Close
Logotipo de la FINMA

Autoridad de supervisión del mercado financiero (Suiza) - FINMA

Directrices de externalización de Atlassian

Exención de responsabilidad

La guía que se proporciona a continuación tiene como único fin ayudar a los clientes suizos Cloud del sector público, así como a las organizaciones empresariales que la Autoridad de Supervisión del Mercado Financiero (Eidgenössische Finanzmarktaufsicht, FINMA) considera una "entidad regulada" a considerar la posibilidad de externalizar funciones empresariales a la nube en su evaluación de los productos de Atlassian Cloud y los servicios asociados.

Este informe se destina únicamente a la información y la orientación que Atlassian proporciona a sus clientes de Cloud sobre cómo respetamos la FINMA. Paralelamente, contamos con un artículo técnico dedicado a las responsabilidades compartidas en el que se analizan las responsabilidades compartidas que tanto el proveedor de servicios en la nube (CSP, por sus siglas en inglés), como Atlassian, como sus clientes deben tener en cuenta a la hora de garantizar la conformidad con la FINMA. El modelo de responsabilidad compartida no elimina la responsabilidad ni los riesgos de los clientes al utilizar los productos de Atlassian Cloud, pero sí ayuda a reducir la carga de los clientes de distintas formas, entre ellas: al gestionar y controlar los componentes del sistema y mantener el control físico de las instalaciones; también al transferir una parte del coste de la seguridad y la conformidad a Atlassian y alejarlos de nuestros clientes.

Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

 
Guía de la FINMA
Respuesta de Atlassian
Recursos de Atlassian
Introducción

 

La FINMA es la principal responsable de abordar los riesgos operativos y de externalización para las instituciones financieras, garantizando (i) que las instituciones financieras mantengan los controles de gobernanza de la seguridad adecuados, para protegerse a sí mismas, a los acreedores y a las personas, al interactuar con proveedores de servicios subcontratados, y (ii) que los mercados financieros suizos funcionen de manera eficaz.

 

Guía de externalización de BaFin

 

En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

Si quieres más información, ponte en contacto con nosotros.

BaFin

Guía de la ABE

 

En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

Si quieres más información, ponte en contacto con nosotros.

ABE

Inventario de la función externalizada

4.1. (14) El cliente debe mantener un inventario actualizado de las funciones externalizadas que incluya una descripción de las funciones externalizadas, el proveedor de servicios (incluidos los subcontratistas), el destinatario de la externalización y la unidad interna del cliente, responsable de la externalización

Observamos que esto es una obligación de nuestros clientes, las instituciones reguladas. Sin embargo, en algunos casos, Atlassian puede externalizar ciertas funciones críticas o importantes a proveedores de servicios de alta calidad (por ejemplo, proveedores de alojamiento de datos) de conformidad con el RGPD.

Para aliviar la carga de nuestros clientes al mantener un inventario actualizado de las funciones externalizadas, Atlassian publicará una lista de sus subprocesadores, que incluirá una descripción de los servicios que presta, así como las actualizaciones o modificaciones de esa lista. Si la institución tiene dudas sobre dichos subprocesadores, permitiremos que se oponga a su uso y, en la medida en que la objeción no pueda solucionarse, rescindiremos su contrato con nosotros de conformidad con el RGPD.

En https://www.atlassian.com/legal/sub-processors encontrará una lista de los subprocesadores contratados actualmente por Atlassian y autorizados por el cliente.

Lista de subprocesadores de datos

Selección, instrucción y supervisión del proveedor de servicios

5.1. (16) Las especificaciones del servicio deben acordarse de acuerdo con los objetivos de la externalización y documentarse antes de la firma del acuerdo. Esto incluye realizar un análisis de riesgos que tenga en cuenta las principales consideraciones económicas y operativas, así como los riesgos y oportunidades asociados.

Esta obligación no se aplica a los proveedores de servicios en la nube. Sin embargo, Atlassian proporciona varios recursos para ayudar a sus clientes a realizar las evaluaciones de riesgos necesarias y la diligencia debida que requieren. Para obtener más información sobre las prácticas operativas y de seguridad de Atlassian, visita el Trust Center de Atlassian (https://www.atlassian.com/trust) donde encontrarás:

Trust Center

Seguridad en Atlassian

Conformidad en Atlassian

Centro de recursos de cumplimiento

5.2. (17) El proveedor de servicios debe elegirse teniendo debidamente en cuenta y sujeto a la comprobación de sus competencias profesionales, así como de sus recursos financieros y humanos. Cuando se han externalizado varias funciones al mismo proveedor de servicios, se debe tener en cuenta la concentración del riesgo.

Consulta nuestra guía en la respuesta a las secciones 4.1 y 5.1.

 

5.3. (18) La posibilidad de cambiar de proveedor de servicios y las posibles consecuencias de dicho cambio deben tenerse en cuenta a la hora de decidir subcontratar y seleccionar el proveedor de servicios. El proveedor de servicios debe ofrecer una garantía de prestación de servicios permanente. Se deben tomar medidas para internalizar o transferir la función externalizada.

Durante el periodo de suscripción para el que hayas adquirido un producto de Cloud cubierto relevante, haremos todos los esfuerzos comercialmente razonables para proporcionarte un Porcentaje de Tiempo de Actividad Mensual, tal como se define a continuación ("Compromiso de nivel de servicio"):

  • Productos de Cloud Premium: Porcentaje de Tiempo de Actividad Mensual del 99,9 %
  • Productos de Enterprise Cloud: Porcentaje de Tiempo de Actividad Mensual del 99,95 %

Las condiciones de nivel de servicio correspondientes, así como las compensaciones por no cumplir con los niveles de servicio para los productos de Cloud cubiertos se estipulan en nuestro Acuerdo de nivel de servicio y en las Condiciones específicas del producto pertinentes.

En cualquier momento de la suscripción del cliente, los clientes pueden acceder, importar y exportar los datos de sus clientes con las herramientas de Atlassian. Para obtener más información sobre la exportación de datos de Atlassian Cloud, consulta nuestra documentación de importación y exportación (https://support.atlassian.com/jira-cloud-administration/docs/export-issues/).

Acuerdo de nivel de servicio de Atlassian

Condiciones específicas del producto

https://support.atlassian.com/jira-cloud-administration/docs/export-issues/

5.4. (19) Las obligaciones de las partes deben acordarse y delimitarse contractualmente, en particular en lo que respecta a las interfaces y las responsabilidades.

Consulta el acuerdo de cliente de Atlassian -> https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro

Acuerdo de cliente de Atlassian

5.5. (20 - 21) El cliente debe supervisar y evaluar continuamente los servicios de un proveedor de subcontratación y, para ello, debe establecer las condiciones contractuales de los derechos de instrucción y control necesarios.

Para ayudarte con el cumplimiento y la presentación de informes, ponemos a tu disposición información, prácticas recomendadas y fácil acceso a la documentación sobre la funcionalidad de nuestros productos. Nuestros productos se someten regularmente a una verificación independiente de los controles de seguridad, privacidad y conformidad, y obtienen certificaciones de conformidad con estándares de todo el mundo en los que puedes confiar.

En Atlassian, publicamos el estado de disponibilidad de nuestros servicios en tiempo real para los clientes que utilizan nuestro propio producto de Statuspage (https://status.atlassian.com)

https://status.atlassian.com

Seguridad

6.1. (24) Las partes deben aceptar contractualmente los requisitos de seguridad aplicables y el cliente debe comprobar el cumplimiento de estos requisitos.

Los compromisos contractuales en torno a la seguridad se incluyen en la sección 4.2 del acuerdo de cliente de Atlassian (https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro), en la que se establece que Atlassian ha implementado y mantendrá medidas físicas, técnicas y organizativas apropiadas diseñadas para proteger los datos de sus clientes frente al acceso, la destrucción, el uso, la modificación o la divulgación no autorizados. En esta sección también se establece que Atlassian mantendrá un programa de cumplimiento que incluirá auditorías y certificaciones de terceros independientes. Nuestro centro de confianza (https://www.atlassian.com/es/trust), que se actualiza de vez en cuando, proporciona más información sobre nuestras medidas de seguridad y certificaciones.

Hemos implementado diversas medidas para garantizar la protección y la disponibilidad de los datos de los clientes, y para que estos tengan el mayor control posible sobre sus datos. Para obtener más información, consulta https://www.atlassian.com/trust/security/security-practices#keeping-data-secure

Al menos una vez al año, realizamos exhaustivas auditorías de seguridad mediante empresas independientes de reconocido prestigio. También se realizan auditorías internas adicionales en áreas que se consideran “de alto riesgo” y se comunican al Comité de auditoría. Los resultados de las auditorías sirven para un ciclo de mejora continua con el que seguir perfeccionando el programa global de seguridad. Puedes encontrar más información en nuestro artículo técnico de seguridad.

Acuerdo de cliente de Atlassian

Centro de confianza

Prácticas de seguridad

6.2. (25) Las partes deben elaborar un marco de seguridad para garantizar que la función externalizada pueda seguir desempeñándose en caso de emergencia

Contamos con planes de continuidad empresarial y planes de recuperación ante desastres, tal como se describe en nuestro Trust Center (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Estos planes se revisan y prueban al menos una vez al año.

Prácticas de seguridad

Auditoría y supervisión

7.1. (26) El cliente, su firma de auditoría y la FINMA deben poder comprobar el cumplimiento por parte del proveedor de servicios de la normativa de supervisión. Con ese fin, deben tener el derecho contractual de inspeccionar y auditar toda la información relacionada con la función externalizada en cualquier momento y sin restricciones.

En Atlassian, reconocemos que las entidades reguladas por la FINMA deben poder auditar nuestros servicios de forma eficaz. Atlassian concede ciertos derechos de auditoría, acceso e información a dichas entidades reguladas y a sus autoridades de supervisión de conformidad con la legislación aplicable. Las entidades reguladas pueden acceder a sus datos en los servicios en cualquier momento y pueden dar acceso a su autoridad de supervisión.

 

7.2. (27) La auditoría se puede delegar en los auditores del proveedor de servicios si están debidamente cualificados. Cuando esto ocurra, la firma de auditoría del cliente podrá utilizar las conclusiones de los auditores del proveedor de servicios para su auditoría.

Nuestros productos de Cloud se someten regularmente a una verificación independiente de sus controles de seguridad, privacidad y cumplimiento normativo, y obtienen certificados, homologaciones o informes de auditoría de conformidad con estándares de todo el mundo. Puedes consultar la seguridad líder del sector, las auditorías y certificaciones de terceros, la documentación y los compromisos legales de Atlassian que ayudan a respaldar tu cumplimiento normativo en nuestro Centro de recursos de cumplimiento (https://www.atlassian.com/trust/compliance/resources).

Centro de recursos de cumplimiento

7.3. (28) La externalización de una función no debe dificultar la supervisión por parte de la FINMA, en particular si la función está externalizada a otro país.

Atlassian asume la responsabilidad de su rendimiento general en virtud del contrato de cliente de Atlassian, incluidas las funciones externalizadas. Además, con respecto a las externalizaciones críticas o importantes, Atlassian se compromete a garantizar que dispone de los contratos adecuados con dichos subcontratistas, lo que concede a Atlassian los derechos de auditoría necesarios y exige que dichos subcontratistas cumplan con todas las leyes aplicables.

 

7.4. (29) Si el proveedor de servicios no está supervisado por la FINMA, debe estar obligado contractualmente a proporcionar a la FINMA toda la información y la documentación relacionadas con las funciones externalizadas, que son necesarias para las actividades de supervisión de la FINMA. Si la auditoría se delega en los auditores del proveedor de servicios, su informe debe entregarse, previa solicitud, a la FINMA, así como a los auditores internos y a la firma de auditoría del cliente subcontratado.

Si lo solicita, Atlassian proporcionará su informe de auditoría de terceros.

 

Externalización en el extranjero

8.1. (30) Se permite externalizar a otro país si el cliente puede garantizar expresamente que él, su firma de auditoría y la FINMA pueden hacer valer su derecho a inspeccionar y auditar la información.

En nuestra guía técnica de externalización de la FINMA se detallan asignaciones específicas para cada requisito y cómo ayuda Atlassian Cloud Enterprise a cumplir con las obligaciones, incluida la información sobre los derechos de auditoría, el derecho a emitir instrucciones, la seguridad de los datos, la rescisión y la externalización en cadena. Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.

Si quieres más información, ponte en contacto con nosotros.

Guía de externalización de la ABE

8.2. (31) El cliente debe asegurarse de que la subcontratación a un proveedor de servicios extranjero no obstaculice la reestructuración o la resolución en Suiza y la información necesaria para ello debe estar disponible en Suiza en todo momento.

En Atlassian, cooperaremos de forma razonable con nuestros clientes en caso de cambio de control, desinversión u otra reestructuración organizacional.

 

Acuerdo

9.1. (32) La subcontratación debe basarse en un acuerdo escrito. Además de nombrar a las partes y describir la función subcontratada, el acuerdo también debe cumplir los requisitos de los números de margen. 33–34.

Todos los compromisos con los clientes se rigen por un contrato formal. Consulta el acuerdo de cliente de Atlassian -> https://www.atlassian.com/es/legal/atlassian-customer-agreement#intro

Acuerdo de cliente de Atlassian

9.2. (33) El cliente debe asegurarse de que está informado sobre el uso o la sustitución de subcontratistas para funciones importantes desde el principio y tiene la posibilidad de rescindir la externalización de manera ordenada de acuerdo con el número de margen. 18.1. Cuando se recurra a subcontratistas, también deben cumplir con las obligaciones y garantías por parte del proveedor de servicios que son necesarias para cumplir con esta circular.

La sección 13.4 de las directrices de la ABE describe los derechos de rescisión del cliente. En él, dice: "Ofrecemos a los clientes un amplio derecho de rescisión, lo que les permite ejercerlo en cualquier circunstancia descrita en la sección 13.4 de las Directrices de la ABE." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance

Consulta nuestra respuesta para el punto 7.3

Guía de externalización de la ABE

9.3. (34) El acuerdo debe incluir medidas para garantizar la aplicación de los requisitos establecidos en esta circular, en particular en los números de margen. 21, 24, 26, 29, 30 y 31.

Consulta las preguntas 5.5, 6.1, 7.1, 7.4, 8.1 y 8.2