Close
Logotipo de AICPA

Directrices de la ABE

Gráfico de asignaciones

La siguiente tabla incluye todos los apartados de la sección 13 (Fase contractual) de las Directrices sobre los acuerdos de externalización de la Autoridad Bancaria Europea (las "Directrices de la ABE"). Para facilitarte su revisión, hemos descrito cómo abordamos cada una de las consideraciones de las Directrices de la ABE. La oferta de servicios financieros de Atlassian está destinada a los clientes que cumplan los requisitos y adquieran las ediciones Enterprise de los productos de Cloud cubiertos.

Última actualización: diciembre de 2021 (haz clic aquí para descargar el pdf)

 

Referencia de las directrices de la ABE

Consideración

Comentario de Atlassian

1.

Referencia de las directrices de la ABE

13. Fase contractual

2.

Referencia de las directrices de la ABE

Apdo. 74

Consideración

Los derechos y obligaciones de la entidad, la entidad de pago y el proveedor de servicios deben asignarse y establecerse claramente en un acuerdo por escrito.

Comentario de Atlassian

En general, esto suele especificarse en el contrato de cliente de Atlassian.

3.

Referencia de las directrices de la ABE

Apdo. 75

Consideración

El acuerdo de externalización para funciones críticas o importantes debe establecer, como mínimo:

Atlassian Commentary

 

4.

EBA Guidelines Reference

 

Consideración

(a) Una descripción clara de la función externalizada que va a prestarse.

Comentario de Atlassian

Nuestra documentación, que se incluye como referencia con el contrato de cliente de Atlassian para los clientes que cumplen los requisitos, contiene descripciones claras de los productos de Cloud cubiertos.

5.

EBA Guidelines Reference

 

Consideración

(b) La fecha de inicio y de finalización, si procede, del acuerdo y los plazos de notificación para el proveedor de servicios y para la entidad o la entidad de pago.

Comentario de Atlassian

El contrato de cliente de Atlassian establece la duración predeterminada de un periodo de suscripción y todos los plazos de notificación aplicables. Además, al hacer un pedido de uno o más productos de Cloud cubiertos, se incluirá la fecha de inicio y finalización del periodo de suscripción correspondiente.

6.

EBA Guidelines Reference

 

Consideración

(c) La legislación aplicable al acuerdo.

Comentario de Atlassian

La legislación aplicable predeterminada para el contrato de cliente de Atlassian es la ley de California. Contacta con nuestro equipo de ventas Enterprise si quieres más información.

7.

EBA Guidelines Reference

 

Consideración

(d) Las obligaciones financieras de las partes.

Comentario de Atlassian

Los precios de cada uno de los productos de Cloud cubiertos están publicados en www.atlassian.com.

8.

EBA Guidelines Reference

 

Consideración

(e) Si se permite la externalización de una función crítica o importante, o de partes significativas de ella. De ser así, también deben especificarse las condiciones de la sección 13.1 (Externalización de funciones críticas e importantes) a las que está sujeta la externalización.

Comentario de Atlassian

Consulta los comentarios de la sección 13.1 en las filas 21 a 36.

9.

EBA Guidelines Reference

 

Consideración

(f) Las ubicaciones (es decir, regiones o países) en los que se prestará la función crítica o importante o en los que se conservarán y tratarán los datos pertinentes, incluidas la posible ubicación de almacenamiento y las condiciones que deben cumplirse, como la obligación de informar a la entidad o la entidad de pago en caso de que el proveedor de servicios quiera cambiar dichas ubicaciones.

Comentario de Atlassian

Algunos productos de Cloud cubiertos incluyen una función de residencia de datos en el producto. Esta función se describe con más detalle aquí y permite a los administradores de nuestros clientes vincular los datos del producto en cuestión a la ubicación que elijan. En esta página se detalla nuestra infraestructura de alojamiento en la nube.

Nos comprometemos por contrato a lo siguiente: (a) no degradar sustancialmente las funciones del producto durante el periodo de suscripción aplicable y (b) notificar a los clientes cualquier cambio en nuestras ubicaciones de alojamiento de datos.

10.

EBA Guidelines Reference

 

Consideración

(g) Cuando proceda, las disposiciones relativas a la accesibilidad, disponibilidad, integridad, privacidad y seguridad de los datos pertinentes, tal como se especifica en la sección 13.2 (Seguridad de los datos y sistemas).

Comentario de Atlassian

Consulta los comentarios de la sección 13.2 en las filas 36 a 39.

11.

EBA Guidelines Reference

 

Consideración

(h) El derecho de la entidad o la entidad de pago a supervisar el rendimiento del proveedor de servicios de forma continua.

Comentario de Atlassian

Publicamos novedades en cuanto a la disponibilidad de los servicios en status.atlassian.com y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

12.

EBA Guidelines Reference

 

Consideración

(i) Los niveles de servicio acordados, que deben incluir objetivos de rendimiento cuantitativos y cualitativos precisos para la función externalizada a fin de posibilitar una supervisión oportuna, de modo que se puedan adoptar las medidas correctivas adecuadas sin demoras indebidas si no se cumplen los niveles de servicio acordados.

Comentario de Atlassian

Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes.

13.

EBA Guidelines Reference

 

Consideración

(j) Las obligaciones de información del proveedor de servicios a la entidad o la entidad de pago. Esto incluye la obligación por parte del proveedor de servicios de informar de cualquier circunstancia que pueda repercutir de forma significativa en su capacidad para prestar con eficacia la función crítica o importante de acuerdo con los niveles de servicio acordados y de conformidad con la legislación y los requisitos reglamentarios aplicables, como la obligación de presentar informes de la función de auditoría interna del proveedor de servicios.

Comentario de Atlassian

Publicamos novedades en cuanto a la disponibilidad de los servicios en status.atlassian.com y nos comprometemos por contrato a informar a los clientes de los eventos que tengan un impacto importante en la disponibilidad de los productos de Cloud cubiertos.

14.

EBA Guidelines Reference

 

Consideración

(k) Si el proveedor de servicios debe contratar un seguro obligatorio frente a ciertos riesgos y, en su caso, el nivel de cobertura requerido.

Comentario de Atlassian

Atlassian cuenta con coberturas de seguro contra una serie de riesgos identificados de acuerdo con la legislación aplicable a nuestro negocio.

15.

EBA Guidelines Reference

 

Consideración

(l) Los requisitos para poner en práctica y poner a prueba planes de contingencia empresarial.

Comentario de Atlassian

Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center. Estos planes se revisan y prueban al menos una vez al año.

16.

EBA Guidelines Reference

 

Consideración

(m) Las disposiciones que garantizan que se pueda acceder a los datos que sean propiedad de la entidad o la entidad de pago en caso de insolvencia, resolución o cese de las operaciones comerciales del proveedor de servicios.

Comentario de Atlassian

Permitimos a los clientes acceder a sus datos y exportarlos durante la vigencia del contrato.

En caso de insolvencia de Atlassian, ninguno de estos compromisos deja de aplicarse ni tenemos derecho a rescindir el contrato, aunque los clientes sí tienen la opción de hacerlo.

En el improbable caso de insolvencia de Atlassian, los clientes pueden consultar estos compromisos con el administrador concursal designado.

17.

EBA Guidelines Reference

 

Consideración

(n) La obligación del proveedor de servicios de cooperar con las autoridades competentes y las autoridades de resolución de la entidad o entidad de pago, incluidas otras personas designadas por estas.

Comentario de Atlassian

Atlassian colaborará con las autoridades competentes de la entidad y las autoridades de resolución en el ejercicio de sus derechos de auditoría, información y acceso.

18.

EBA Guidelines Reference

 

Consideración

(o) En el caso de las entidades, una referencia clara a las competencias de la autoridad de resolución nacional, especialmente a los artículos 68 y 71 de la Directiva 2014/59/UE (BRRD) y, en particular, una descripción de las "obligaciones sustantivas" del contrato en el sentido del artículo 68 de dicha Directiva.

Comentario de Atlassian

Atlassian entiende que las entidades y cualquier entidad de resolución deben poder desarrollar su actividad durante la resolución. Para ofrecer soporte durante la resolución, nos comprometemos a seguir proporcionando los productos de Cloud cubiertos tal como exige la BRRD.

19.

EBA Guidelines Reference

 

Consideración

(p) El derecho sin restricciones de las entidades, entidades de pago y autoridades competentes a inspeccionar y auditar al proveedor de servicios por lo que respecta, en particular, a la función crítica o importante externalizada, tal como se especifica en la sección 13.3 (Derechos de acceso, información y auditoría).

Comentario de Atlassian

Consulta los comentarios de la sección 13.3 en las filas 40 a 53.

20.

EBA Guidelines Reference

 

Consideración

(q) Los derechos de rescisión, tal como se especifica en la sección 13.4 (Derechos de rescisión).

Comentario de Atlassian

Consulta los comentarios de la sección 13.4 en la fila 56.

21.

Referencia de las directrices de la ABE

13.1 Externalización de funciones críticas o importantes

22.

Referencia de las directrices de la ABE

Apdo. 76

Consideración

El acuerdo de externalización debe especificar si se permite o no la externalización de funciones críticas o importantes, o partes significativas de ellas.

Comentario de Atlassian

Para ofrecer productos globales con interrupciones mínimas, podemos externalizar ciertas funciones críticas o importantes a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos).

23.

Referencia de las directrices de la ABE

Apdo. 77

Consideración

Si se permite la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben determinar si la parte de la función que se va a externalizar es, como tal, crítica o importante (es decir, una parte significativa de la función crítica o importante) y, de ser así, especificarlo en el registro.

Comentario de Atlassian

Esta es una consideración del cliente.

24.

Referencia de las directrices de la ABE

Apdo. 78

Consideración

Si se permite la externalización de funciones críticas o importantes, el acuerdo escrito debe:

Atlassian Commentary

 

25.

EBA Guidelines Reference

 

Consideración

(a) Especificar cualquier tipo de actividad que esté excluido de la externalización.

Comentario de Atlassian

Consulta la fila 22 más arriba.

26.

EBA Guidelines Reference

 

Consideración

(b) Especificar las condiciones que deben cumplirse en caso de externalización.

Comentario de Atlassian

Atlassian notificará cualquier cambio en las externalizaciones de funciones críticas o importantes (o si hay externalizaciones nuevas) y proporcionará información sobre dichas externalizaciones. Si la entidad tiene alguna inquietud sobre estas externalizaciones, podrá rescindir su contrato con nosotros.

27.

EBA Guidelines Reference

 

Consideración

(c) Especificar que el proveedor de servicios está obligado a supervisar los servicios que haya externalizado para garantizar el cumplimiento en todo momento de todas las obligaciones contractuales entre el proveedor de servicios y la entidad o la entidad de pago.

Comentario de Atlassian

Atlassian asume la responsabilidad de su rendimiento general en virtud del contrato de cliente de Atlassian, incluidas las funciones externalizadas. Además, con respecto a las externalizaciones críticas o importantes, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas para otorgar los derechos de auditoría, acceso e información adecuados a las entidades, las autoridades competentes y de resolución y exigir que dichos subcontratistas cumplan con la legislación aplicable.

28.

EBA Guidelines Reference

 

Consideración

(d) Especificar la obligación del proveedor de servicios de obtener una autorización previa por escrito, específica o general, de la entidad o la entidad de pago antes de externalizar el tratamiento de datos.

Comentario de Atlassian

Como parte del cumplimiento del RGPD por parte de Atlassian, en nuestro Anexo sobre el tratamiento de datos (DPA) nos comprometemos a no contratar a ningún encargado del tratamiento de los datos personales subcontratado para procesar los datos personales de los clientes sin su consentimiento previo por escrito.

29.

EBA Guidelines Reference

 

Consideración

(e) Incluir la obligación de que el proveedor de servicios informe a la entidad o la entidad de pago de cualquier externalización prevista o de cualquier cambio sustancial de esta, en particular si ello puede afectar a la capacidad del proveedor de servicios de cumplir con sus responsabilidades en virtud del acuerdo de externalización. Esto incluye los cambios significativos previstos de los subcontratistas y del periodo de notificación; en concreto, el periodo de notificación que se establezca debe permitir que la entidad o la entidad de pago que externaliza lleve a cabo, como mínimo, una evaluación del riesgo de los cambios propuestos y pueda oponerse a ellos antes de que se hagan efectivos la externalización o los cambios significativos en la externalización.

Comentario de Atlassian

Consulta la fila 26 más arriba.

30.

EBA Guidelines Reference

 

Consideración

(f) Garantizar, cuando proceda, que la entidad o la entidad de pago tenga derecho a oponerse a la externalización prevista o a los cambios significativos en la externalización, o que sea necesaria una autorización explícita.

Comentario de Atlassian

Consulta la fila 26 más arriba.

31.

EBA Guidelines Reference

 

Consideración

(g) Garantizar que la entidad o la entidad de pago tenga el derecho contractual de rescindir el acuerdo en caso de externalización indebida, por ejemplo, si la externalización aumenta considerablemente los riesgos para la entidad o la entidad de pago o si el proveedor de servicios externaliza sin notificarlo a la entidad o la entidad de pago.

Comentario de Atlassian

Consulta la fila 26 más arriba.

32.

Referencia de las directrices de la ABE

Apdo. 79

Consideración

Las entidades y las entidades de pago deben aceptar la externalización solo si el subcontratista se compromete a:

Atlassian Commentary

 

33.

EBA Guidelines Reference

 

Consideración

(a) Cumplir todas las leyes, requisitos regulatorios y obligaciones contractuales aplicables.

Comentario de Atlassian

Consulta la fila 27 más arriba.

34.

EBA Guidelines Reference

 

Consideración

(b) Conceder a la entidad, la entidad de pago y la autoridad competente los mismos derechos contractuales de acceso y auditoría que los concedidos por el proveedor de servicios.

Comentario de Atlassian

Consulta la fila 27 más arriba.

35.

Referencia de las directrices de la ABE

Apdo. 80

Consideración

Las entidades y entidades de pago deben garantizar que el proveedor de servicios supervise adecuadamente a los subcontratistas, en línea con la política definida por la entidad o la entidad de pago. Si la externalización propuesta pudiera tener efectos adversos significativos sobre el acuerdo de externalización de una función crítica o importante o conllevara un aumento considerable del riesgo, incluso en el caso de que no se cumplieran las condiciones del apartado 79, la entidad o la entidad de pago debería ejercer su derecho a oponerse a la externalización, si se ha acordado tal derecho, o a rescindir el contrato.

Comentario de Atlassian

Consulta las filas 26 y 27 más arriba.

36.

Referencia de las directrices de la ABE

13.2 Seguridad de los datos y sistemas

37.

Referencia de las directrices de la ABE

Apdo. 81

Consideración

Las entidades y las entidades de pago deben asegurarse de que los proveedores de servicios, cuando proceda, cumplen los estándares de seguridad informática adecuados.

Comentario de Atlassian

Atlassian se somete periódicamente a una evaluación independiente de nuestros controles de seguridad, privacidad y cumplimiento. Durante la vigencia de nuestro contrato contigo, cumpliremos al menos con los estándares indicados en nuestro Trust Center, que incluyen las certificaciones ISO/IEC 27001 e ISO/IEC 27018 y los informes de auditoría SOC 2 Tipo II y SOC 3:
https://www.atlassian.com/trust/compliance.

38.

Referencia de las directrices de la ABE

Apdo. 82

Consideración

Cuando proceda (por ejemplo, en el contexto de servicios en la nube u otra externalización TIC), las entidades y las entidades de pago deberán definir los requisitos de seguridad de los datos y sistemas en el acuerdo de externalización y supervisar de forma continua el cumplimiento de estos requisitos.

Comentario de Atlassian

Dada la naturaleza de uno a varios de nuestros productos de Cloud cubiertos, ofrecemos la misma seguridad robusta para todos nuestros clientes. Estas prácticas de seguridad se describen detalladamente en nuestro Trust Center:
https://www.atlassian.com/trust/

Nos comprometemos a cumplir con las prácticas de seguridad de nuestro Trust Center y a no reducir sustancialmente la seguridad general de nuestros productos de Cloud cubiertos durante el período de suscripción.

39.

Referencia de las directrices de la ABE

Apdo. 83

Consideración

En el caso de la externalización a proveedores de servicios en la nube y otros acuerdos de externalización que impliquen el tratamiento o la transferencia de datos personales o confidenciales, las entidades y las entidades de pago deben adoptar un enfoque basado en el riesgo en relación con las ubicaciones de almacenamiento y tratamiento de los datos (es decir, país o región) y con las consideraciones relativas a la seguridad de la información.

Comentario de Atlassian

Esta es una consideración del cliente.

40.

Referencia de las directrices de la ABE

Apdo. 84

Consideración

Sin perjuicio de los requisitos establecidos en el Reglamento (UE) 2016/679, las entidades y las entidades de pago, al externalizar (en particular a terceros países), deben tener en cuenta las diferencias en las disposiciones nacionales en materia de protección de datos. Las entidades y las entidades de pago deben asegurarse de que el acuerdo de externalización incluya la obligación de que el proveedor de servicios proteja la información confidencial, personal o cualquier otro tipo de información delicada y cumpla todos los requisitos legales en materia de protección de datos aplicables a la entidad o a la entidad pago (por ejemplo, cuando proceda, que se cumplan las normas sobre la protección de datos personales y el secreto bancario u obligaciones de confidencialidad similares que establezca la ley con respecto a la información de los clientes).

Comentario de Atlassian

Ofrecemos un Anexo sobre el tratamiento de datos en el que detallamos nuestros compromisos con respecto al tratamiento y la seguridad de los datos personales de los clientes. Puedes obtener más información sobre nuestro programa de cumplimiento con el RGPD aquí:

https://www.atlassian.com/trust/compliance/resources/gdpr

41.

Referencia de las directrices de la ABE

13.3 Derechos de acceso, información y auditoría

42.

Referencia de las directrices de la ABE

Apdo. 85

Consideración

Las entidades y las entidades de pago deben asegurarse en el acuerdo de externalización escrito que la función de auditoría interna pueda revisar la función externalizada aplicando un enfoque basado en el riesgo.

Comentario de Atlassian

Atlassian proporciona mecanismos contractuales a las entidades para revisar los productos de Cloud cubiertos de forma continua.

43.

Referencia de las directrices de la ABE

Apdo. 86

Consideración

Independientemente de lo crítica o importante que sea la función externalizada, los acuerdos de externalización entre las entidades y los proveedores de servicios deben referirse a las facultades de recopilación de información e investigación de las autoridades competentes y de las autoridades de resolución con arreglo al artículo 63, apartado 1, letra a), de la Directiva 2014/59 /UE y al artículo 65, apartado 3, de la Directiva 2013/36/UE en lo que respecta a los proveedores de servicios ubicados en un Estado miembro, y deben garantizar esos derechos también a los proveedores de servicios ubicados en terceros países.

Comentario de Atlassian

Atlassian reconoce las facultades de recopilación de información e investigación de las autoridades competentes y las autoridades de resolución en virtud de la legislación pertinente y aplicable de la UE.

44.

Referencia de las directrices de la ABE

Apdo. 87

Consideración

En lo que respecta a la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben asegurarse, en el acuerdo de externalización escrito, que el proveedor de servicios les conceda a ellas y a sus autoridades competentes, incluidas las autoridades de resolución, y a cualquier otra persona designada por ellas o las autoridades competentes, lo siguiente:

(a) Acceso total a todas las instalaciones comerciales pertinentes (por ejemplo, oficinas centrales y centros de operaciones), incluida toda la gama de dispositivos, sistemas, redes, información y datos pertinentes utilizados para proporcionar la función externalizada, así como la información financiera relacionada, el personal y los auditores externos del proveedor de servicios ("derechos de acceso e información").

(b) Derechos sin restricción de inspección y auditoría en relación con el acuerdo de externalización ("derechos de auditoría") para que puedan supervisar el acuerdo de externalización y garantizar el cumplimiento de todos los requisitos regulatorios y contractuales aplicables.

Comentario de Atlassian

Atlassian proporciona derechos de auditoría, información y acceso necesarios a todas las entidades que utilizan los productos de Cloud cubiertos, sus autoridades competentes y las personas que designen.

45.

Referencia de las directrices de la ABE

Apdo. 88

Consideración

En el caso de la externalización de funciones que no son esenciales o importantes, las entidades y las entidades de pago deben garantizar los derechos de acceso y auditoría establecidos en el apartado 87(a), 87(b) y en la sección 13.3 mediante un enfoque basado en el riesgo, teniendo en cuenta la naturaleza de la función externalizada y los riesgos operacionales y de reputación asociados, su escalabilidad, el posible impacto en el desempeño continuo de sus actividades y el periodo contractual. Las entidades y las entidades de pago deben tener en cuenta que las funciones pueden convertirse en críticas o importantes con el transcurso del tiempo.

Comentario de Atlassian

Consulta la fila 44 más arriba.

46.

Referencia de las directrices de la ABE

Apdo. 89

Consideración

Las entidades y las entidades de pago deben asegurarse de que el acuerdo de externalización o cualquier otro acuerdo contractual no impida ni limite el ejercicio efectivo de los derechos de acceso y auditoría por su parte, las autoridades competentes o los terceros que hayan designado para ejercer estos derechos.

Comentario de Atlassian

Nuestro programa de auditoría está diseñado para que los clientes que cumplan los requisitos y sus autoridades supervisoras puedan auditar de manera eficaz los productos de Cloud cubiertos.

47.

Referencia de las directrices de la ABE

Apdo. 90

Consideración

Las entidades y las entidades de pago deben ejercer sus derechos de acceso y auditoría, determinar la frecuencia de las auditorías y las áreas que se auditarán mediante un enfoque basado en el riesgo y ajustarse a las normas de auditoría nacionales e internacionales pertinentes y comúnmente aceptadas.

Comentario de Atlassian

Hemos desarrollado un programa de auditoría acorde con esta consideración.

48.

Referencia de las directrices de la ABE

Apdo. 91

Consideración

Sin perjuicio de su responsabilidad última en relación con los acuerdos de externalización, las entidades y las entidades de pago podrán utilizar:

(a) Auditorías conjuntas organizadas con otros clientes del mismo proveedor de servicios, realizadas por ellos y por dichos clientes o por un tercero designado por ellos, con el fin de utilizar los recursos de auditoría de forma más eficiente y reducir la carga organizativa que suponen, tanto para los clientes como para el proveedor de servicios.

(b) Certificaciones de terceros e informes de auditoría internos o externos facilitados por el proveedor de servicios.

Comentario de Atlassian

Nuestro programa de auditoría permite a las entidades revisar los productos de Cloud cubiertos mediante auditorías conjuntas o certificaciones de terceros.

49.

Referencia de las directrices de la ABE

Apdo. 92

Consideración

Para la externalización de funciones críticas o importantes, las entidades y las entidades de pago deben evaluar si las certificaciones e informes de terceros a los que se hace referencia en el apartado 91(b) son adecuados y suficientes para cumplir con sus obligaciones reglamentarias, pero no deben basarse únicamente en dichos informes a lo largo del tiempo.

Comentario de Atlassian

Esta es una consideración del cliente.

50.

Referencia de las directrices de la ABE

Apdo. 93

Consideración

Las entidades y las entidades de pago deberán utilizar el método mencionado en el apartado 91(b) únicamente cuando:

(a) Estén satisfechas con el plan de auditoría de la función externalizada.

(b) Se aseguren de que el alcance de la certificación o el informe de auditoría incluye los sistemas (es decir, los procesos, aplicaciones, infraestructura, centros de datos, etc.) y los controles clave identificados por la entidad o la entidad de pago y el cumplimiento de los requisitos legales pertinentes.

(c) Evalúen minuciosamente el contenido de las certificaciones o los informes de auditoría de forma continua y verifiquen que no estén obsoletos.

(d) Se aseguren que los sistemas y controles clave estén incluidos en futuras versiones de la certificación o informe de auditoría.

(e) Estén satisfechas con la aptitud de la parte certificadora o auditora (por ejemplo, con respecto a la rotación de la empresa certificadora o auditora, sus cualificaciones, experiencia o repetición/verificación de las pruebas del expediente de auditoría subyacente).

(f) Estén de acuerdo con que las certificaciones se expidan y las auditorías se lleven a cabo siguiendo los estándares profesionales pertinentes generalmente aceptados e incluyan una prueba de la eficacia operativa de los controles clave establecidos.

(g) Dispongan del derecho contractual de solicitar una ampliación del alcance de las certificaciones o los informes de auditoría para que incluyan otros sistemas y controles pertinentes; el número y la frecuencia de dichas solicitudes de modificación del alcance deben ser razonables y lícitos desde el punto de vista de la gestión de riesgos.

(h) Conserven el derecho contractual de realizar auditorías individuales a su discreción con respecto a la externalización de funciones críticas o importantes.

Comentario de Atlassian

Los subapartados de (a) a (f) son consideraciones del cliente. Con respecto al subapartado (g), proporcionamos a las entidades un mecanismo contractual para solicitar modificaciones en nuestros controles y procesos de auditoría. El apartado (h) se trata en la fila 44 de más arriba.

51.

Referencia de las directrices de la ABE

Apdo. 94

Consideración

De conformidad con las Directrices de la ABE sobre la evaluación de riesgos de las TIC en el marco del proceso de revisión y evaluación supervisora (PRES), las entidades deben asegurarse, cuando proceda, de que pueden llevar a cabo pruebas de penetración de seguridad para evaluar la eficacia de las medidas y procesos implementados de ciberseguridad y seguridad tecnológica interna de las TIC. Teniendo en cuenta el título I, las entidades de pago también deben disponer de mecanismos internos de control de las TIC, incluidas medidas de mitigación y control de la seguridad de las TIC.

Comentario de Atlassian

Atlassian ofrece a los clientes el derecho de realizar pruebas de penetración en cualquier momento sin la aprobación previa de Atlassian: https://www.atlassian.com/trust/security/security-testing.

52.

Referencia de las directrices de la ABE

Apdo. 95

Consideración

Antes de realizar una visita in situ planificada, las entidades, las entidades de pago, las autoridades competentes y los auditores o terceros que actúen en nombre de la entidad, la entidad de pago o las autoridades competentes deben avisar al proveedor de servicios con una antelación razonable, a menos que no sea posible debido a una emergencia o situación de crisis o porque provocaría una situación en la que la auditoría dejaría de ser eficaz.

Comentario de Atlassian

Nuestro programa de auditoría está diseñado teniendo esto en cuenta.

53.

Referencia de las directrices de la ABE

Apdo. 96

Consideración

Al realizar auditorías en entornos de varios clientes, se deben tomar precauciones para evitar o mitigar los riesgos para el entorno de otro cliente (por ejemplo, que los niveles de servicio, la disponibilidad de datos o aspectos relacionados con la confidencialidad no se vean afectados).

Comentario de Atlassian

Es sumamente importante para Atlassian y para nuestros clientes que lo que hagamos con un cliente no ponga en riesgo a otro. Esto es aplicable tanto cuando haces una auditoría como cuando la hace otro cliente. Cuando una entidad hace una auditoría, colaboramos con ella para minimizar las molestias al resto de nuestros clientes. Del mismo modo, colaboramos con cualquier cliente que esté haciendo una auditoría para evitar problemas a dicha entidad. En concreto, aplicamos el máximo cuidado para cumplir con nuestros compromisos de seguridad en todo momento.

54.

Referencia de las directrices de la ABE

Apdo. 97

Consideración

Cuando el acuerdo de externalización conlleve un alto nivel de complejidad técnica, por ejemplo, en el caso de la externalización de servicios en la nube, la entidad o la entidad de pago debe verificar que quien realiza la auditoría (ya sean auditores internos, los auditores de la auditoría conjunta o auditores externos que actúan en su nombre) tiene las habilidades y los conocimientos adecuados y pertinentes para llevar a cabo de manera efectiva las auditorías o las evaluaciones correspondientes. Esto es igualmente aplicable a todo el personal de la entidad o la entidad de pago que revise las certificaciones o auditorías de terceros realizadas por proveedores de servicios.

Comentario de Atlassian

Se trata de una responsabilidad del cliente.

55.

Referencia de las directrices de la ABE

13.4 Derechos de rescisión

56.

Referencia de las directrices de la ABE

Apdo. 98

Consideración

El acuerdo de externalización debe permitir expresamente a la entidad o a la entidad de pago rescindir el acuerdo, de conformidad con la legislación aplicable, incluyendo las situaciones siguientes:

(a) Cuando el proveedor de las funciones externalizadas infrinja las disposiciones legales, regulatorias o contractuales aplicables.

(b) Cuando se detecten impedimentos que puedan alterar el desempeño de la función externalizada.

(c) Cuando haya cambios significativos que afecten al acuerdo de externalización o al proveedor de servicios (por ejemplo, cambios en la externalización o los subcontratistas).

(d) Cuando existan deficiencias en cuanto a la gestión y seguridad de datos o información confidenciales, personales o delicados.

(e) Cuando la autoridad competente de la entidad o la entidad de pago así lo establezca, por ejemplo, en caso de que la autoridad competente, como consecuencia del acuerdo de externalización, ya no esté en condiciones de supervisar eficazmente a la entidad o la entidad de pago.

Comentario de Atlassian

Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia descrita en la sección 13.4 de las Directrices de la ABE.

57.

Referencia de las directrices de la ABE

Apdo. 99

Consideración

El acuerdo de externalización debe:

Atlassian Commentary

 

58.

EBA Guidelines Reference

 

Consideración

(a) Estipular claramente las obligaciones del proveedor de servicios existente, en caso de transferencia de la función externalizada a otro proveedor de servicios o de que la recupere la entidad o la entidad de pago, incluido el tratamiento de datos.

Comentario de Atlassian

Ofrecemos a todos los clientes una función integrada en el producto para que, durante la vigencia de su contrato, puedan exportar sus datos en cualquier momento y sin necesidad de asistencia por nuestra parte.

59.

EBA Guidelines Reference

 

Consideración

(b) Establecer un periodo de transición adecuado durante el cual el proveedor de servicios, tras la rescisión del acuerdo de externalización, seguirá proporcionando la función externalizada para reducir el riesgo de interrupciones.

Comentario de Atlassian

Si una entidad lo requiere, puede ampliar su periodo de suscripción por un breve periodo de tiempo para permitir la transición a otro proveedor de servicios.

60.

EBA Guidelines Reference

 

Consideración

(c) Incluir la obligación de que el proveedor de servicios ofrezca soporte a la entidad o la entidad de pago en la transferencia ordenada de la función en caso de rescisión del acuerdo de externalización.

Comentario de Atlassian

Consulta las filas 58 y 59 de más arriba.