Autoridad de supervisión del mercado financiero (Suiza) - FINMA
Directrices de externalización de Atlassian
Exención de responsabilidad
La guía que se proporciona a continuación tiene como único fin ayudar a los clientes suizos Cloud del sector público, así como a las organizaciones empresariales que la Autoridad de Supervisión del Mercado Financiero (Eidgenössische Finanzmarktaufsicht, FINMA) considera una "entidad regulada" a considerar la posibilidad de externalizar funciones empresariales a la nube en su evaluación de los productos de Atlassian Cloud y los servicios asociados.
Este informe se destina únicamente a la información y la orientación que Atlassian proporciona a sus clientes de Cloud sobre cómo respetamos la FINMA. Paralelamente, contamos con un artículo técnico dedicado a las responsabilidades compartidas en el que se analizan las responsabilidades compartidas que tanto el proveedor de servicios en la nube (CSP, por sus siglas en inglés), como Atlassian, como sus clientes deben tener en cuenta a la hora de garantizar la conformidad con la FINMA. El modelo de responsabilidad compartida no elimina la responsabilidad ni los riesgos de los clientes al utilizar los productos de Atlassian Cloud, pero sí ayuda a reducir la carga de los clientes de distintas formas, entre ellas: al gestionar y controlar los componentes del sistema y mantener el control físico de las instalaciones; también al transferir una parte del coste de la seguridad y la conformidad a Atlassian y alejarlos de nuestros clientes.
Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.
| | Guía de la FINMA | Respuesta de Atlassian | Recursos de Atlassian |
Introducción |
| La FINMA es la principal responsable de abordar los riesgos operativos y de externalización para las instituciones financieras, garantizando (i) que las instituciones financieras mantengan los controles de gobernanza de la seguridad adecuados, para protegerse a sí mismas, a los acreedores y a las personas, al interactuar con proveedores de servicios subcontratados, y (ii) que los mercados financieros suizos funcionen de manera eficaz. |
|
Guía de externalización de BaFin |
| En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad. | |
Guía de la ABE |
| En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad. | |
Inventario de la función externalizada | 4.1. (14) El cliente debe mantener un inventario actualizado de las funciones externalizadas que incluya una descripción de las funciones externalizadas, el proveedor de servicios (incluidos los subcontratistas), el destinatario de la externalización y la unidad interna del cliente, responsable de la externalización | Observamos que esto es una obligación de nuestros clientes, las instituciones reguladas. Sin embargo, en algunos casos, Atlassian puede externalizar ciertas funciones críticas o importantes a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos) de conformidad con el RGPD. | |
Selección, instrucción y supervisión del proveedor de servicios | 5.1. (16) Las especificaciones del servicio deben acordarse de acuerdo con los objetivos de la externalización y documentarse antes de la firma del acuerdo. Esto incluye realizar un análisis de riesgos que tenga en cuenta las principales consideraciones económicas y operativas, así como los riesgos y oportunidades asociados. | Esta obligación no se aplica a los proveedores de servicios en la nube. Sin embargo, Atlassian proporciona varios recursos para ayudar a sus clientes a realizar las evaluaciones de riesgos necesarias y la diligencia debida que requieren. Para obtener más información sobre las prácticas operativas y de seguridad de Atlassian, visita el Trust Center de Atlassian (https://www.atlassian.com/trust) donde encontrarás:
| Trust Center |
| 5.2. (17) El proveedor de servicios debe elegirse teniendo debidamente en cuenta y sujeto a la comprobación de sus competencias profesionales, así como de sus recursos financieros y humanos. Cuando se han externalizado varias funciones al mismo proveedor de servicios, se debe tener en cuenta la concentración del riesgo. | Consulta nuestra guía en la respuesta a las secciones 4.1 y 5.1. |
| |
| 5.3. (18) La posibilidad de cambiar de proveedor de servicios y las posibles consecuencias de dicho cambio deben tenerse en cuenta a la hora de decidir subcontratar y seleccionar el proveedor de servicios. El proveedor de servicios debe ofrecer una garantía de prestación de servicios permanente. Se deben tomar medidas para internalizar o transferir la función externalizada. | Durante el periodo de suscripción para el que hayas adquirido un producto de Cloud cubierto relevante, haremos todos los esfuerzos comercialmente razonables para proporcionarte un Porcentaje de Tiempo de Actividad Mensual, tal como se define a continuación ("Compromiso de nivel de servicio"):
Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes. | Acuerdo de nivel de servicio de Atlassian | |
| 5.4. (19) Las obligaciones de las partes deben acordarse y delimitarse contractualmente, en particular en lo que respecta a las interfaces y las responsabilidades. | Consulta el acuerdo de cliente de Atlassian -> https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro | ||
| 5.5. (20 - 21) El cliente debe supervisar y evaluar continuamente los servicios de un proveedor de subcontratación y, para ello, debe establecer las condiciones contractuales de los derechos de instrucción y control necesarios. | Para ayudarte con el cumplimiento y la presentación de informes, ponemos a tu disposición información, prácticas recomendadas y fácil acceso a la documentación sobre la funcionalidad de nuestros productos. Nuestros productos se someten regularmente a una verificación independiente de los controles de seguridad, privacidad y conformidad, y obtienen certificaciones de conformidad con estándares de todo el mundo en los que puedes confiar. | ||
Seguridad | 6.1. (24) Las partes deben aceptar contractualmente los requisitos de seguridad aplicables y el cliente debe comprobar el cumplimiento de estos requisitos. | Los compromisos contractuales en torno a la seguridad se incluyen en la sección 4.2 del acuerdo de cliente de Atlassian (https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro), en la que se establece que Atlassian ha implementado y mantendrá medidas físicas, técnicas y organizativas apropiadas diseñadas para proteger los datos de sus clientes frente al acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. En esta sección también se establece que Atlassian mantendrá un programa de cumplimiento que incluirá auditorías y certificaciones de terceros independientes. Nuestro centro de confianza (https://www.atlassian.com/es/trust), que se actualiza de vez en cuando, proporciona más información sobre nuestras medidas de seguridad y certificaciones. | Acuerdo de cliente de Atlassian |
| 6.2. (25) Las partes deben elaborar un marco de seguridad para garantizar que la función externalizada pueda seguir desempeñándose en caso de emergencia | Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Estos planes se revisan y prueban al menos una vez al año. | ||
Auditoría y supervisión | 7.1. (26) El cliente, su firma de auditoría y la FINMA deben poder comprobar el cumplimiento por parte del proveedor de servicios de la normativa de supervisión. Con ese fin, deben tener el derecho contractual de inspeccionar y auditar toda la información relacionada con la función externalizada en cualquier momento y sin restricciones. | En Atlassian, reconocemos que las entidades reguladas por la FINMA deben poder auditar nuestros servicios de forma eficaz. Atlassian concede ciertos derechos de auditoría, acceso e información a dichas entidades reguladas y a sus autoridades de supervisión de conformidad con la legislación aplicable. Las entidades reguladas pueden acceder a sus datos en los servicios en cualquier momento y pueden dar acceso a su autoridad de supervisión. |
|
| 7.2. (27) La auditoría se puede delegar en los auditores del proveedor de servicios si están debidamente cualificados. Cuando esto ocurra, la firma de auditoría del cliente podrá utilizar las conclusiones de los auditores del proveedor de servicios para su auditoría. | Nuestros productos de Cloud se someten regularmente a una verificación independiente de sus controles de seguridad, privacidad y cumplimiento normativo, y obtienen certificados, homologaciones o informes de auditoría de conformidad con estándares de todo el mundo. Puedes consultar la seguridad líder del sector, las auditorías y certificaciones de terceros, la documentación y los compromisos legales de Atlassian que ayudan a respaldar tu cumplimiento normativo en nuestro Centro de recursos de cumplimiento (https://www.atlassian.com/trust/compliance/resources). | ||
| 7.3. (28) La externalización de una función no debe dificultar la supervisión por parte de la FINMA, en particular si la función está externalizada a otro país. | Atlassian asume la responsabilidad de su rendimiento general en virtud del contrato de cliente de Atlassian, incluidas las funciones externalizadas. Además, con respecto a las externalizaciones críticas o importantes, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas, lo que concede a Atlassian los derechos de auditoría necesarios y exige que dichos subcontratistas cumplan con todas las leyes aplicables. |
| |
| 7.4. (29) Si el proveedor de servicios no está supervisado por la FINMA, debe estar obligado contractualmente a proporcionar a la FINMA toda la información y la documentación relacionadas con las funciones externalizadas, que son necesarias para las actividades de supervisión de la FINMA. Si la auditoría se delega en los auditores del proveedor de servicios, su informe debe entregarse, previa solicitud, a la FINMA, así como a los auditores internos y a la firma de auditoría del cliente subcontratado. | Si lo solicita, Atlassian proporcionará su informe de auditoría de terceros. |
| |
Externalización en el extranjero | 8.1. (30) Se permite externalizar a otro país si el cliente puede garantizar expresamente que él, su firma de auditoría y la FINMA pueden hacer valer su derecho a inspeccionar y auditar la información. | En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad. | |
| 8.2. (31) El cliente debe asegurarse de que la subcontratación a un proveedor de servicios extranjero no obstaculice la reestructuración o la resolución en Suiza y la información necesaria para ello debe estar disponible en Suiza en todo momento. | En Atlassian, cooperaremos de forma razonable con nuestros clientes en caso de cambio de control, desinversión u otra reestructuración organizacional. |
| |
Acuerdo | 9.1. (32) La subcontratación debe basarse en un acuerdo escrito. Además de nombrar a las partes y describir la función subcontratada, el acuerdo también debe cumplir los requisitos de los números de margen. 33–34. | Todos los compromisos con los clientes se rigen por un contrato formal. Consulta el acuerdo de cliente de Atlassian -> https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro | |
| 9.2. (33) El cliente debe asegurarse de que está informado sobre el uso o la sustitución de subcontratistas para funciones importantes desde el principio y tiene la posibilidad de rescindir la externalización de manera ordenada de acuerdo con el número de margen. 18.1. Cuando se recurra a subcontratistas, también deben cumplir con las obligaciones y garantías por parte del proveedor de servicios que son necesarias para cumplir con esta circular. | La sección 13.4 de las directrices de la ABE describe los derechos de rescisión del cliente. En él, dice: "Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia descrita en la sección 13.4 de las Directrices de la ABE." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) El acuerdo debe incluir medidas para garantizar la aplicación de los requisitos establecidos en esta circular, en particular en los números de margen. 21, 24, 26, 29, 30 y 31. | Consulta las preguntas 5.5, 6.1, 7.1, 7.4, 8.1 y 8.2 |
|