Close

BaFin

Directrices de externalización de Atlassian

Esta tabla está pensada para ayudar a las instituciones de servicios financieros bajo la supervisión de la BaFin, la Autoridad Federal de Alemania para la Supervisión Financiera, a relacionar los párrafos del Capítulo V (Condiciones contractuales en caso de externalización [material]) de la Guía de externalización para proveedores de servicios en la nube (la "Guía de BaFin") con la documentación del contrato de cliente de Atlassian.

Si ya tienes un contrato con Atlassian o quieres más información sobre cómo se pueden aplicar estas condiciones a tu contrato, ponte en contacto con nosotros.

Última actualización: diciembre de 2021 (haz clic aquí para descargar el pdf)

N.º
Consideraciones y requisitos
Comentario de Atlassian

1.

Dependiendo de los requisitos de la ley de supervisión, los siguientes términos y condiciones deben incluirse en el acuerdo de externalización material1 o para la externalización no diferenciada según la KAGB:

 

2.

1. Ámbito de actuación

 

3.

El acuerdo debe especificar y, si es necesario, describir el servicio que ofrecerá el proveedor de servicios en la nube. Esto debe estipularse en lo que se conoce como el "acuerdo de nivel de servicio". En este contexto, deben definirse los siguientes aspectos:

 

4.

  • La partida externalizada y su implementación (por ejemplo, el tipo de servicio y modelo de implementación, el alcance de los servicios ofrecidos, como la capacidad de procesamiento o el espacio de memoria disponible, los requisitos de disponibilidad o los tiempos de respuesta)
  • Nuestra documentación, que se incluye como referencia con el contrato de cliente de Atlassian para los clientes que cumplen los requisitos, contiene descripciones claras de los productos de Cloud cubiertos.

    5.

  • Servicios de asistencia
  • Los clientes que cumplan los requisitos tienen acceso a las ofertas de soporte de Atlassian, que están sujetas al contrato de cliente de Atlassian.

    6.

  • Responsabilidades, obligaciones de cooperación y aprovisionamiento (por ejemplo, en el caso de actualizaciones).
  • En general, esto suele especificarse en el contrato de cliente de Atlassian.

    7.

  • Lugar de ejecución (por ejemplo, ubicación de los centros de datos).
  • Algunos productos de Cloud cubiertos incluyen una función de residencia de datos en el producto. Esta función se describe con más detalle aquí y permite a los administradores de nuestros clientes vincular los datos del producto en cuestión a la ubicación que elijan. En esta página se detalla nuestra infraestructura de alojamiento en la nube.

    Nos comprometemos por contrato a lo siguiente: (a) no degradar sustancialmente las funciones del producto durante el periodo de suscripción aplicable y (b) notificar a los clientes cualquier cambio en nuestras ubicaciones de alojamiento de datos.

    8.

  • Inicio y fin del acuerdo de externalización.
  • El contrato de cliente de Atlassian establece la duración predeterminada de un periodo de suscripción y todos los plazos de notificación aplicables. Además, al hacer un pedido de uno o más productos de Cloud cubiertos, se incluirá la fecha de inicio y finalización del periodo de suscripción correspondiente.

    9.

  • Índices clave para llevar a cabo la revisión continua del nivel de servicio.
  • Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes.

    10.

  • Indicadores de un nivel de servicio inaceptable.
  • Publicamos novedades en cuanto a disponibilidad de servicios en https://status.atlassian.com/ y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

    11.

    2. Derechos de información y auditoría de la empresa supervisada

     

    12.

    Los derechos de información y auditoría, así como las opciones de control de la empresa supervisada, no deben estar sujetos a restricciones contractuales. Se debe garantizar que la empresa supervisada reciba la información necesaria para controlar y supervisar adecuadamente los riesgos relacionados con la externalización.

    Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar los productos de Cloud cubiertos de manera eficaz.

    13.

    Para proteger los derechos de información y auditoría, deben acordarse contractualmente las siguientes condiciones:

  • La concesión de acceso total a la información y los datos, así como a las instalaciones comerciales del proveedor de servicios en la nube, incluidos todos los centros de datos, equipos, sistemas y redes utilizados para proporcionar las partidas externalizadas; esto incluye los procesos y controles relacionados.
  • Las posibilidades efectivas de controlar y auditar toda la cadena de externalización.
  • Consulta la fila 12 más arriba.

    14.

    Sin restricciones (indirectas) de derechosEl ejercicio efectivo de los derechos de información y auditoría no puede restringirse por contrato. Las autoridades supervisoras alemanas consideran que esta restricción no aceptable de los derechos de información y auditoría se produce especialmente en el caso de acuerdos contractuales que conceden dichos derechos solo con ciertas condiciones, lo que incluye, en particular:

  • Aceptar procedimientos graduales de información y auditoría, por ejemplo, la obligación de confiar inicialmente en los informes de auditoría, los certificados u otras pruebas de conformidad con las normas reconocidas del proveedor de servicios en la nube antes de que la empresa supervisada pueda llevar a cabo sus propias auditorías.
  • Limitar el ejercicio de los derechos de información y auditoría a la presentación de informes de auditoría, certificados u otras pruebas de conformidad con las normas reconocidas por parte del proveedor de servicios en la nube.
  • Supeditar el acceso a la información a la asistencia previa a programas de formación especiales.
  • Redactar una cláusula de tal manera que la realización de una auditoría esté condicionada a su carácter razonable desde el punto de vista comercial.
  • Limitar la realización de las auditorías en términos de tiempo y personal; sin embargo, por regla general, es aceptable limitar el acceso al horario comercial habitual previa notificación.
  • Hacer referencia al uso exclusivo, por ejemplo, de consolas de gestión para ejercer los derechos de información y auditoría de la empresa.
  • Consulta la fila 12 más arriba.

    15.

    Excepciones

    Dependiendo de los requisitos aplicables en virtud de la ley de supervisión, las empresas supervisadas pueden solicitar excepciones para que sus propias actividades de auditoría sean más eficientes. Estas excepciones consisten en auditorías conjuntas o el uso de documentación/certificados basados en normas comunes, de informes de auditoría de terceros reconocidos o de informes de auditoría interna del proveedor de servicios en la nube.

    Esta es una consideración del cliente. Consulta también la fila 12 anterior y la fila 20 siguiente.

    16.

    Auditorías conjuntas

    Las empresas supervisadas sujetas al cumplimiento de las secciones 25a, 25b de la Ley Bancaria Alemana (KWG) pueden acogerse a las excepciones de la Circular 09/2017 (BA) – Requisitos mínimos para la gestión de riesgos (MaRisk). De conformidad con el punto 3 de la parte especial 2.1 de los requisitos MaRisk, el departamento de auditoría interna de la empresa supervisada en el caso de la externalización material puede renunciar a sus propias actividades de auditoría siempre que las tareas de auditoría realizadas por el proveedor de servicios externo cumplan con los requisitos de la parte general 4.4 y la parte especial 2 de los requisitos MaRisk. La función de auditoría interna de la empresa de externalización supervisada debe asegurarse periódicamente de que se cumplen estas condiciones. Las conclusiones de la auditoría relativas a la empresa supervisada se transmitirán a la función de auditoría interna de la empresa de externalización supervisada.

    Esta es una consideración del cliente. Consulta también la fila 12 más arriba.

    17.

    En este sentido, las auditorías puede realizarlas el departamento de auditoría interna del proveedor de servicios en la nube, el departamento de auditoría interna de una o varias de las empresas de externalización supervisadas en nombre de la propia empresa ("auditorías conjuntas"), un tercero designado por el proveedor de servicios en la nube o un tercero designado por las empresas de externalización supervisadas.

    Esta es una consideración del cliente. Consulta también la fila 12 más arriba.

    18.

    En el caso de las otras empresas supervisadas, puede permitirse en cada caso individual ejercer ciertos derechos de información y auditoría frente al proveedor de servicios en la nube junto con otras empresas supervisadas mediante una auditoría conjunta.

    Esta es una consideración del cliente. Consulta también la fila 12 más arriba.

    19.

    Si una empresa supervisada hace uso de una de las excepciones antes mencionadas, es posible que no se limiten sus derechos de información y auditoría.

    Consulta la fila 12 más arriba.

    20.

    Pruebas/certificados e informes de auditoría

    La empresa supervisada, por regla general, puede utilizar documentación/certificados basados en normas comunes (por ejemplo, el estándar de seguridad internacional ISO/IEC 2700X de la Organización Internacional de Normalización o el Catálogo de controles de conformidad de computación en la nube [Catálogo C5] de la BSI), informes de auditoría de terceros reconocidos o informes de auditoría interna del proveedor de servicios en la nube. La empresa supervisada a este respecto debe tener en cuenta el alcance, el nivel de detalle, la vigencia y la idoneidad del certificador o auditor de la documentación/los certificados y los informes de auditoría.

    Atlassian se somete periódicamente a una evaluación independiente de nuestros controles de seguridad, privacidad y conformidad. Durante la vigencia de nuestro contrato contigo, cumpliremos al menos con los estándares indicados en nuestro Trust Center, que incluyen las certificaciones ISO/IEC 27001 e ISO/IEC 27018 y los informes de auditoría SOC 2 Tipo II y SOC 3: https://www.atlassian.com/trust/compliance.

    21.

    Sin embargo, una empresa supervisada no debe basarse únicamente en ello para sus auditorías. Si el departamento de auditoría interna recurre a dicha documentación/certificados, debe poder analizar las pruebas que los sustentan.

    Esta es una consideración del cliente. Consulta también la fila 12 más arriba.

    22.

    3. Derechos de información y auditoría de las autoridades supervisoras

     

    23.

    Los derechos de información y auditoría, así como las opciones de control de las autoridades supervisoras, no deben estar sujetos a restricciones contractuales. Las autoridades supervisoras deben poder supervisar a los proveedores de servicios en la nube exactamente como la ley aplicable establece para la empresa supervisada. Además, deben poder ejercer sus derechos de información y auditoría, así como sus opciones de control, de manera adecuada y sin restricciones con respecto a la partida externalizada; esto también afecta a las personas que realizan las auditorías en nombre de las autoridades de supervisión.

    Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar los productos de Cloud cubiertos de manera eficaz.

    24.

    Para proteger estos derechos, deben acordarse contractualmente las siguientes condiciones:

  • La obligación del proveedor de servicios en la nube de cooperar con las autoridades supervisoras sin restricciones.
  • La concesión de acceso total a la información y los datos, así como a las instalaciones comerciales del proveedor de servicios en la nube, incluidos todos los centros de datos, equipos, sistemas y redes utilizados para proporcionar las partidas externalizadas; esto incluye los procesos y controles relacionados y la posibilidad de realizar auditorías in situ del proveedor de servicios en la nube (además de la empresa de externalización en cadena cuando corresponda).
  • Las posibilidades efectivas de controlar y auditar toda la cadena de externalización.
  • Consulta la fila 23 más arriba.

    25.

    Sin restricciones (indirectas) de derechos

    Se considera que esta restricción no aceptable de los derechos de información y auditoría, así como de las opciones de control de las autoridades supervisoras alemanas, se produce especialmente en el caso de acuerdos contractuales que conceden dichos derechos solo con ciertas condiciones. Para evitar repeticiones, te remitimos a las declaraciones anteriores sobre la restricción de los derechos de las empresas supervisadas.

    Consulta la fila 23 más arriba.

    26.

    4. Derecho a emitir instrucciones

     

    27.

    Deben acordarse los derechos de las empresas supervisadas a emitir instrucciones. Estos derechos sirven para garantizar que se puedan emitir todas las instrucciones necesarias para realizar el servicio acordado, es decir, debe existir la posibilidad de intervenir en la partida externalizada y de supervisarla. La implementación técnica puede organizarse individualmente en función de las circunstancias específicas de la empresa.

    Nuestros clientes pueden enviarnos instrucciones (incluso con respecto a certificaciones de terceros e informes de auditoría) en relación con los productos de Cloud cubiertos a través de sus canales de atención al cliente.

    28.

    Si la empresa supervisada utiliza pruebas/certificaciones o informes de auditoría (cf. V.2), también debe tener la posibilidad de influir en el alcance de las pruebas/certificaciones o informes de auditoría para que pueda ampliarse e incluir los sistemas y controles pertinentes. Debe haber una proporción razonable entre el número y la frecuencia con que se emitan estas instrucciones.

    Consulta la fila 27 más arriba.

    29.

    Además, la empresa supervisada debe estar autorizada en todo momento a emitir instrucciones al proveedor de servicios en la nube para la corrección, eliminación y bloqueo de datos, y el proveedor de servicios en la nube debe poder recopilar, tratar y utilizar los datos solo en el contexto de las instrucciones emitidas por la empresa supervisada. Esto también debe incluir la posibilidad de emitir una instrucción en cualquier momento para que los datos tratados por el proveedor de servicios en la nube se devuelvan a la empresa supervisada de manera inmediata y sin restricciones.

    Ofrecemos un Anexo sobre el tratamiento de datos en el que se especifican compromisos detallados con respecto al tratamiento y la seguridad de los datos personales de los clientes. Puedes obtener más información sobre nuestro programa de conformidad con el RGPD aquí:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    Además, ofrecemos a todos los clientes una función integrada en el producto para que puedan exportar sus datos en cualquier momento y sin necesidad de asistencia por nuestra parte durante la vigencia de su contrato.

    30.

    Si se puede renunciar al acuerdo explícito sobre los derechos de la empresa supervisada para emitir instrucciones, el servicio que debe prestar la empresa de externalización debe especificarse con suficiente claridad en el acuerdo de externalización.

    Consulta la fila 27 más arriba.

    31.

    5. Seguridad y protección de datos (referencia a la ubicación del almacenamiento de datos)

     

    32.

    Deben acordarse disposiciones que garanticen el cumplimiento de las normas de protección de datos y otros requisitos de seguridad.

    Dada la naturaleza de uno a varios de nuestros productos de Cloud cubiertos, ofrecemos la misma seguridad robusta para todos nuestros clientes. Estas prácticas de seguridad se describen detalladamente en nuestro Trust Center: https://www.atlassian.com/trust/

    Nos comprometemos a cumplir con las prácticas de seguridad de nuestro Trust Center y a no reducir sustancialmente la seguridad general de nuestros productos de Cloud cubiertos durante el período de suscripción.

    Consulta también las filas 27 y 29 anteriores.

    33.

    La empresa supervisada debe conocer la ubicación del almacenamiento de datos. Esto debe incluir la ubicación específica de los centros de datos. Como regla general, basta con dar el nombre de la ubicación (por ejemplo, la población). Sin embargo, si la empresa supervisada necesita la dirección exacta del centro de datos por motivos relacionados con la gestión de riesgos, el proveedor de servicios en la nube debe proporcionársela.

    Consulta la fila 7 más arriba.

    34.

    Además, debe garantizarse la redundancia de los datos y sistemas para que, en caso de fallo de un centro de datos, se puedan mantener los servicios.

    Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center. Estos planes se revisan y prueban al menos una vez al año.

    35.

    La seguridad de los datos y los sistemas también debe garantizarse dentro de la cadena de externalización.

    Consulta la fila 32 más arriba.

    36.

    La empresa supervisada debe tener la posibilidad de acceder rápidamente y en todo momento a los datos almacenados con el proveedor de servicios en la nube y de recuperarlos si es necesario. A este respecto, debe garantizarse que el método para recuperarlos no limita ni excluye el uso de los datos. Por este motivo, deben acordarse formatos de datos estándar independientes de la plataforma. También debe tenerse en cuenta la compatibilidad de los diferentes sistemas.

    Consulta la fila 29 más arriba.

    37.

    6. Disposiciones de rescisión

     

    38.

    Deben acordarse los derechos de rescisión y los plazos de notificación de la rescisión adecuados. En particular, debe acordarse un derecho especial de rescisión que prevea la rescisión por un buen motivo si la autoridad supervisora pide que se ponga fin al acuerdo.

    Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia.

    39.

    Debe garantizarse que, en caso de rescisión, las partidas externalizadas al proveedor de servicios en la nube sigan proporcionándose hasta el momento en que la partida externalizada se haya transferido por completo a otro proveedor de servicios en la nube o a la empresa supervisada. A este respecto, debe garantizarse en particular que el proveedor de servicios en la nube ayudará razonablemente a la empresa supervisada a transferir las partidas externalizadas a otro proveedor de servicios en la nube o directamente a la empresa supervisada.

    Si una entidad lo requiere, puede ampliar su periodo de suscripción por un breve periodo de tiempo para permitir la transición a otro proveedor de servicios.

    40.

    Deben definirse el tipo, la forma y la calidad de la transferencia de la partida externalizada y de los datos. Si el formato de los datos se ha adaptado a las necesidades individuales de la empresa supervisada, el proveedor de servicios en la nube debe entregar la documentación relacionada con dichas adaptaciones en el momento de la rescisión.

    Se puede acceder a esta información en nuestra documentación.

    41.

    Debe acordarse que, después de volver a transferir los datos a la empresa supervisada, el proveedor de servicios en la nube eliminará completa e irrevocablemente dichos datos.

    Este tema se aborda en nuestro Anexo sobre el tratamiento de datos.

    42.

    Para garantizar que las áreas externalizadas se mantengan en caso de rescisión planificada o no planificada del acuerdo, la empresa supervisada debe contar con una estrategia de salida y revisar su viabilidad.

    Esta es una consideración del cliente.

    43.

    7. Externalización en cadena

     

    44.

    Se acordarán disposiciones sobre la posibilidad y las modalidades de externalización en cadena que garanticen que se siguen cumpliendo los requisitos de la ley de supervisión. No se permiten restricciones tales que solo se asuman obligaciones sustancialmente similares. Debe garantizarse, en particular, que los derechos de información y auditoría, así como las opciones de control de la empresa de externalización supervisada y de las autoridades supervisoras, se apliquen también a los subcontratistas en el caso de la externalización en cadena.

    Para ofrecer productos globales con interrupciones mínimas, podemos externalizar ciertas funciones críticas a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos). Con respecto a las externalizaciones críticas, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas para otorgar los derechos de auditoría, acceso e información adecuados a las instituciones y sus autoridades supervisoras y exigir que dichos subcontratistas cumplan con la legislación aplicable. Consulta también la fila 12 más arriba.

    45.

    En cuanto a la externalización en cadena, en el acuerdo de externalización deben indicarse las reservas de consentimiento de la empresa de externalización o las condiciones específicas que deben cumplirse para que sea posible la externalización en cadena. Debe definirse qué partidas externalizadas o qué parte de ellas pueden externalizarse en cadena y cuáles no.

    Consulta la fila 44 más arriba.

    46.

    Es necesario informar a la empresa supervisada de la externalización en cadena de las partidas externalizadas o de parte de ellas por escrito y con antelación. La empresa supervisada debe tener conocimiento de los subcontratistas y de las partidas o la parte de ellas que se hayan externalizado en cadena.

    Atlassian notificará cualquier cambio en las externalizaciones de funciones críticas o importantes (o si hay externalizaciones nuevas) y proporcionará información sobre dichas externalizaciones. Si la entidad tiene alguna inquietud sobre estas externalizaciones, podrá rescindir su contrato con nosotros.

    47.

    En el caso de una nueva externalización en cadena, hay que tener en cuenta que esto puede tener un impacto en la situación de riesgo de la externalización y, por lo tanto, en la empresa de externalización. En consecuencia, el análisis de riesgos debe revisarse o repetirse si se produce una nueva externalización en cadena. Esto también se aplica si se conocen defectos o cambios materiales en el servicio en la nube proporcionado por los subcontratistas.

    Esta es una consideración del cliente.

    48.

    La empresa debe revisar y supervisar la prestación del servicio de forma continua, independientemente de si el servicio en la nube lo proporciona el proveedor de servicios en la nube o sus subcontratistas.

    Esta es una consideración del cliente.

    49.

    8. Deberes de información

     

    50.

    Se deben acordar disposiciones que garanticen que el proveedor de servicios en la nube informe a la empresa supervisada sobre los desarrollos que puedan afectar negativamente a la prestación ordenada de las partidas externalizadas. Esto incluye, por ejemplo, informar sobre cualquier interrupción en la prestación del servicio en la nube. Así se garantiza que la empresa pueda supervisar adecuadamente la partida externalizada.

    Publicamos novedades en cuanto a disponibilidad de servicios en https://status.atlassian.com/ y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

    51.

    El proveedor de servicios en la nube debe informar inmediatamente a la empresa supervisada de cualquier circunstancia que pueda poner en peligro la seguridad de los datos de la empresa supervisada que debe procesar el proveedor de servicios en la nube, por ejemplo, como resultado de actuaciones de terceros (como embargos o confiscaciones), procedimientos de insolvencia o de concurso de acreedores u otros acontecimientos.

    Además de los compromisos a los que se hace referencia en la fila 50 anterior, nos comprometemos a informar a los clientes de los incidentes de seguridad en nuestro Anexo sobre el tratamiento de datos.

    52.

    Debe garantizarse que el proveedor de servicios en la nube informe adecuadamente y con antelación a la empresa supervisada en caso de que vaya a realizar cambios relevantes en el servicio en la nube. Las descripciones de los servicios y cualquier cambio que se haga en ellos deben proporcionarse o notificarse a la empresa supervisada por escrito. Debe garantizarse que la empresa supervisada esté debidamente informada, en la medida en que lo permita la ley, si un tercero presenta una solicitud/demanda de entrega de datos de la empresa supervisada.

    Publicamos nuestra hoja de ruta de productos de Cloud, que informa a los clientes de cambios importantes en los productos de Cloud cubiertos

    . Además, solo proporcionamos datos de clientes a terceros de acuerdo con nuestras directrices para requerimientos legales.

    53.

    9. Aviso de legislación aplicable

     

    54.

    Si se acuerda una cláusula de elección de ley y se decide que la legislación aplicable no sea la alemana, deberá escogerse la legislación de un país de la Unión Europea o del Espacio Económico Europeo como ley que regule el acuerdo.

    La legislación aplicable predeterminada para el contrato de cliente de Atlassian es la ley de California. Contacta con nuestro equipo de ventas Enterprise si quieres más información.

    1El término "externalización material" que se utiliza en la Guía de BaFin equivale al término "externalización crítica o significativa" que se utiliza en las directrices de la ABE.