Directives de l'ABE
Tableau de correspondance
Le tableau ci-dessous présente chaque paragraphe de la section 13 (Phase contractuelle) des directives de l'Autorité bancaire européenne sur les accords d'externalisation (les « Directives de l'ABE »). Pour faciliter votre analyse en interne, nous indiquons comment nous traitons chacune des considérations des Directives de l'ABE. L'offre de services financiers d'Atlassian couvre les clients éligibles qui optent pour les éditions Enterprise des produits Cloud couverts.
Dernière mise à jour en décembre 2021, [cliquez ici pour télécharger le fichier PDF]
| Référence des Directives de l'ABE | Considération | Commentaires d'Atlassian |
---|---|---|---|
1. | Référence des Directives de l'ABE 13. Phase contractuelle | ||
2. | Référence des Directives de l'ABE Paragraphe 74 | Considération Les droits et obligations de l'établissement, de l'établissement de paiement et du fournisseur de services devraient être clairement attribués et définis dans un accord écrit. | Commentaires d'Atlassian Généralement prévu au contrat client Atlassian. |
3. | Référence des Directives de l'ABE Paragraphe 75 | Considération L'accord d'externalisation pour les fonctions critiques ou importantes devrait au moins inclure : | Atlassian Commentary
|
4. | EBA Guidelines Reference
| Considération
(a) une description claire de la fonction externalisée à assurer ; | Commentaires d'Atlassian Notre documentation, qui est intégrée par renvoi dans le contrat client Atlassian pour les clients éligibles, contient des descriptions claires des produits Cloud couverts. |
5. | EBA Guidelines Reference
| Considération
(b) la date de début et de fin, le cas échéant, de l'accord, ainsi que les délais de préavis pour le fournisseur de services et l'établissement ou l'établissement de paiement ; | Commentaires d'Atlassian Le contrat client Atlassian définit la durée par défaut d'un abonnement ainsi que les périodes de notification applicables. En outre, lorsque vous passez une commande pour un ou plusieurs produits cloud couverts, celle-ci inclut la date de début et de fin de la période d'abonnement correspondante. |
6. | EBA Guidelines Reference
| Considération
(c) la loi applicable à l'accord ; | Commentaires d'Atlassian La loi qui régit par défaut le contrat client Atlassian est la loi californienne. Pour plus d'informations, contactez notre équipe commerciale Enterprise. |
7. | EBA Guidelines Reference
| Considération
(d) les obligations financières des parties ; | Commentaires d'Atlassian Le tarif de chacun des produits Cloud couverts est disponible sur www.atlassian.com/fr. |
8. | EBA Guidelines Reference
| Considération
(e) si la sous-traitance d'une fonction critique ou importante, ou de parties substantielles de celle-ci, est autorisée et, le cas échéant, les conditions précisées dans la section 13.1 (Sous-traitance de fonctions critiques et importantes) auxquelles la sous-traitance est soumise ; | Commentaires d'Atlassian Reportez-vous aux commentaires des lignes 21 à 36 de la section 13.1. |
9. | EBA Guidelines Reference
| Considération
(f) le ou les emplacements (c.-à-d. les régions ou pays) où la fonction critique ou importante sera assurée et/ou l'emplacement où les données pertinentes seront conservées et traitées, y compris l'emplacement de stockage éventuel et les conditions à remplir, y compris l'obligation d'informer l'établissement ou l'établissement de paiement si le fournisseur de services propose de modifier le ou les emplacements ; | Commentaires d'Atlassian Certains produits Cloud couverts incluent une fonctionnalité de résidence des données intégrée au produit, comme décrit plus en détail ici, ce qui permet aux administrateurs de nos clients de rattacher des données produit à l'emplacement de leur choix. Cette page présente notre infrastructure d'hébergement dans le cloud. |
10. | EBA Guidelines Reference
| Considération
(g) le cas échéant, les dispositions relatives à l'accessibilité, à la disponibilité, à l'intégrité, à la confidentialité et à la sécurité des données pertinentes, comme précisé dans la section 13.2 (Sécurité des données et des systèmes) ; | Commentaires d'Atlassian Reportez-vous aux commentaires des lignes 36 à 39 de la section 13.2. |
11. | EBA Guidelines Reference
| Considération
(h) le droit de l'établissement ou de l'établissement de paiement d'effectuer un suivi continu des performances du fournisseur de services ; | Commentaires d'Atlassian Nous publions des mises à jour sur la disponibilité des services sur status.atlassian.com et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits cloud couverts. |
12. | EBA Guidelines Reference
| Considération
(i) les niveaux de service convenus, qui doivent inclure des objectifs de performance quantitatifs et qualitatifs précis pour la fonction externalisée afin de permettre un suivi en temps opportun. Ainsi, des mesures correctives appropriées peuvent être prises sans retard injustifié si les niveaux de service convenus ne sont pas atteints ; | Commentaires d'Atlassian Les conditions de niveau de service correspondantes, ainsi que les recours en cas de non-respect des niveaux de service pour les produits Cloud couverts sont prévus dans notre Accord de niveau de service et dans les Conditions spécifiques correspondantes du produit. |
13. | EBA Guidelines Reference
| Considération
(j) les obligations de notification du fournisseur de services à l'établissement ou l'établissement de paiement, y compris la communication par le fournisseur de services de tout événement susceptible d'avoir un impact substantiel sur la capacité du fournisseur de services à assurer efficacement la fonction critique ou importante conformément aux niveaux de service convenus et aux lois et exigences réglementaires applicables et, le cas échéant, l'obligation d'envoyer des rapports sur le service d'audit interne du fournisseur de services ; | Commentaires d'Atlassian Nous publions des mises à jour sur la disponibilité des services sur status.atlassian.com et nous nous engageons contractuellement à informer les clients des événements qui ont un impact substantiel sur la disponibilité des produits cloud couverts. |
14. | EBA Guidelines Reference
| Considération
(k) si le fournisseur de services doit souscrire une assurance obligatoire contre certains risques et, le cas échéant, le niveau de couverture exigé ; | Commentaires d'Atlassian Atlassian bénéficie de couvertures d'assurance contre un certain nombre de risques identifiés, conformément aux lois applicables à notre activité. |
15. | EBA Guidelines Reference
| Considération
(l) les exigences relatives à la mise en œuvre et la mise à l'essai de plans d'urgence opérationnels ; | Commentaires d'Atlassian Des plans de continuité d'activité et de reprise d'activité sont en place, comme indiqué dans notre Trust Center. Ces plans sont révisés et testés au moins une fois par an. |
16. | EBA Guidelines Reference
| Considération
(m) des dispositions qui garantissent que les données détenues par l'établissement ou l'établissement de paiement peuvent être consultées en cas d'insolvabilité, de résolution ou de cessation des activités commerciales du fournisseur de services ; | Commentaires d'Atlassian Nous permettons au client d'accéder à ses données et de les exporter pendant toute la durée de notre contrat. |
17. | EBA Guidelines Reference
| Considération
(n) l'obligation pour le fournisseur de services de coopérer avec les autorités compétentes et les autorités de résolution de l'établissement ou de l'établissement de paiement, y compris les autres personnes qu'ils ont désignées ; | Commentaires d'Atlassian Atlassian coopérera avec les autorités et autorités de résolution compétentes de l'établissement dans l'exercice de leurs droits d'audit, d'information et d'accès. |
18. | EBA Guidelines Reference
| Considération
(o) pour les établissements, une référence claire aux pouvoirs de l'autorité nationale de résolution, en particulier aux Articles 68 et 71 de la Directive 2014/59/UE (BRRD), et en particulier une description des « obligations substantielles » du contrat au sens de l'Article 68 de ladite Directive ; | Commentaires d'Atlassian Atlassian comprend que les établissements et toutes les entités de résolution doivent être en mesure de poursuivre leurs activités pendant la résolution. Afin d'offrir une assistance pendant la résolution, nous nous engageons à continuer de fournir les produits cloud couverts pendant la résolution, comme l'exige la BRRD. |
19. | EBA Guidelines Reference
| Considération
(p) le droit illimité des établissements, des établissements de paiement et des autorités compétentes d'inspecter et d'auditer le fournisseur de services en ce qui concerne, en particulier, la fonction externalisée critique ou importante, comme précisé dans la section 13.3 (Droits d'accès, d'information et d'audit) ; et | Commentaires d'Atlassian Reportez-vous aux commentaires des lignes 40 à 53 de la section 13.3. |
20. | EBA Guidelines Reference
| Considération
(q) des droits de résiliation, comme précisé dans la section 13.4 (Droits de résiliation). | Commentaires d'Atlassian Reportez-vous aux commentaires de la ligne 56 de la section 13.4. |
21. | Référence des Directives de l'ABE 13.1 Sous-traitance de fonctions critiques ou importantes | ||
22. | Référence des Directives de l'ABE Paragraphe 76 | Considération L'accord d'externalisation devrait préciser si la sous-traitance de fonctions critiques ou importantes, ou de parties substantielles de celles-ci, est autorisée ou non. | Commentaires d'Atlassian Afin de fournir des produits à l'échelle mondiale avec un minimum d'interruptions, nous pouvons sous-traiter certaines fonctions critiques ou importantes à des fournisseurs de services de haute qualité (par exemple, des fournisseurs de services d'hébergement de données). |
23. | Référence des Directives de l'ABE Paragraphe 77 | Considération Si la sous-traitance de fonctions critiques ou importantes est autorisée, les établissements et les établissements de paiement devraient déterminer si la partie de la fonction à sous-traiter est, en tant que telle, critique ou importante (c'est-à-dire une partie substantielle de la fonction critique ou importante) et, le cas échéant, l'inscrire dans le registre. | Commentaires d'Atlassian Cette considération s'applique au client. |
24. | Référence des Directives de l'ABE Paragraphe 78 | Considération Si la sous-traitance de fonctions critiques ou importantes est autorisée, l'accord écrit devrait : | Atlassian Commentary
|
25. | EBA Guidelines Reference
| Considération
(a) préciser tous les types d'activités exclus de la sous-traitance ; | Commentaires d'Atlassian Voir la ligne 22 ci-dessus. |
26. | EBA Guidelines Reference
| Considération
(b) préciser les conditions à respecter en cas de sous-traitance ; | Commentaires d'Atlassian Atlassian fera état de tout changement ou de toute nouvelle sous-traitance de fonctions critiques ou importantes, et fournira des informations sur ces sous-traitances. Nous autorisons l'établissement à résilier son contrat avec nous si l'établissement exprime des inquiétudes concernant ces sous-traitances. |
27. | EBA Guidelines Reference
| Considération
(c) préciser que le fournisseur de services est tenu de superviser les services qu'il sous-traite afin de s'assurer que toutes les obligations contractuelles entre le fournisseur de services et l'établissement ou l'établissement de paiement sont continuellement respectées ; | Commentaires d'Atlassian Atlassian reste responsable de ses performances globales dans le cadre du contrat client Atlassian, y compris pour toutes les fonctions sous-traitées. En ce qui concerne les sous-traitances critiques ou importantes, Atlassian s'engage à s'assurer qu'elle dispose de contrats appropriés avec les sous-traitants correspondants, qui accordent des droits d'audit, d'accès et d'information appropriés aux établissements et à leurs autorités et autorités de résolution compétentes, et exigent que ces sous-traitants se conforment à toutes les lois applicables. |
28. | EBA Guidelines Reference
| Considération
(d) exiger du fournisseur de services qu'il obtienne une autorisation écrite spécifique ou générale préalable de l'établissement ou de l'établissement de paiement avant de sous-traiter des données ; | Commentaires d'Atlassian Dans le cadre de notre conformité au RGPD, dans notre Avenant sur le traitement des données, nous nous engageons à ne faire appel à aucun sous-traitant pour traiter les données personnelles du client sans le consentement écrit préalable du client. |
29. | EBA Guidelines Reference
| Considération
(e) inclure une obligation pour le fournisseur de services d'informer l'établissement ou l'établissement de paiement de tout projet de sous-traitance ou de tout changement substantiel y afférent, en particulier lorsque cela pourrait affecter la capacité du fournisseur de services à s'acquitter de ses responsabilités en vertu de l'accord d'externalisation. Cela inclut les changements importants prévus des sous-traitants et de la période de notification ; en particulier, la période de notification à fixer devrait au moins permettre à l'établissement ou l'établissement de paiement externalisant de procéder à une évaluation des risques liés aux changements proposés, et de s'opposer aux changements avant que la sous-traitance prévue ou les changements importants de celle-ci soient effectifs ; | Commentaires d'Atlassian Voir la ligne 26 ci-dessus. |
30. | EBA Guidelines Reference
| Considération
(f) s'assurer, le cas échéant, que l'établissement ou l'établissement de paiement a le droit de s'opposer au projet de sous-traitance ou à des changements substantiels de celui-ci, ou à ce qu'une approbation explicite soit requise ; | Commentaires d'Atlassian Voir la ligne 26 ci-dessus. |
31. | EBA Guidelines Reference
| Considération
(g) s'assurer que l'établissement ou l'établissement de paiement a le droit contractuel de résilier l'accord en cas de sous-traitance injustifiée, par exemple, lorsque la sous-traitance augmente substantiellement les risques pour l'établissement ou l'établissement de paiement, ou lorsque le fournisseur de services sous-traite sans en informer l'établissement ou l'établissement de paiement. | Commentaires d'Atlassian Voir la ligne 26 ci-dessus. |
32. | Référence des Directives de l'ABE Paragraphe 79 | Considération Les établissements et les établissements de paiement ne devraient convenir de sous-traiter que si le sous-traitant s'engage à : | Atlassian Commentary
|
33. | EBA Guidelines Reference
| Considération
(a) se conformer à toutes les lois, exigences réglementaires et obligations contractuelles applicables ; et | Commentaires d'Atlassian Voir la ligne 27 ci-dessus. |
34. | EBA Guidelines Reference
| Considération
(b) accorder à l'établissement, à l'établissement de paiement et à l'autorité compétente les mêmes droits contractuels d'accès et d'audit que ceux accordés par le fournisseur de services. | Commentaires d'Atlassian Voir la ligne 27 ci-dessus. |
35. | Référence des Directives de l'ABE Paragraphe 80 | Considération Les établissements et les établissements de paiement devraient s'assurer que le fournisseur de services supervise de manière appropriée les sous-fournisseurs de services, conformément à la politique définie par l'établissement ou l'établissement de paiement. Si le projet de sous-traitance peut avoir des effets négatifs substantiels sur l'accord d'externalisation d'une fonction critique ou importante, ou entraîne une augmentation substantielle du risque, y compris lorsque les conditions énoncées au paragraphe 79 ne sont pas remplies, l'établissement ou l'établissement de paiement devrait exercer son droit à s'opposer à la sous-traitance, si un tel droit a été convenu, et/ou résilier le contrat. | Commentaires d'Atlassian Voir les lignes 26 et 27 ci-dessus. |
36. | Référence des Directives de l'ABE 13.2 Sécurité des données et des systèmes | ||
37. | Référence des Directives de l'ABE Paragraphe 81 | Considération Les établissements et les établissements de paiement devraient s'assurer que les fournisseurs de services, le cas échéant, respectent les normes de sécurité informatique appropriées. | Commentaires d'Atlassian Les contrôles réalisés par Atlassian en matière de sécurité, de confidentialité et de conformité font l'objet d'examens réguliers. Pendant la durée de notre contrat avec vous, nous respecterons au moins les normes répertoriées dans notre Trust Center, qui comprend les certifications ISO/CEI 27001 et ISO/CEI 27018, ainsi que les rapports d'audit SOC 2 de type II et SOC 3 : https://www.atlassian.com/fr/trust/compliance. |
38. | Référence des Directives de l'ABE Paragraphe 82 | Considération Le cas échéant (par exemple, dans le contexte de l'externalisation du cloud ou d'une autre TIC), les établissements et les établissements de paiement devraient définir des exigences en matière de sécurité des données et des systèmes dans le cadre de l'accord d'externalisation, et veiller au respect de ces exigences en permanence. | Commentaires d'Atlassian Compte tenu de la nature polyvalente de nos produits Cloud couverts, nous fournissons le même degré de sécurité élevé à tous nos clients. Ces pratiques de sécurité sont présentées en détail dans notre Trust Center : |
39. | Référence des Directives de l'ABE Paragraphe 83 | Considération Dans le cas de l'externalisation vers des fournisseurs de services cloud, et d'autres accords d'externalisation impliquant le traitement ou le transfert de données personnelles ou confidentielles, les établissements et les établissements de paiement devraient adopter une approche basée sur les risques pour le stockage des données et la ou les emplacements de traitement des données (c.-à-d. le pays ou la région), ainsi que des considérations relatives à la sécurité des informations. | Commentaires d'Atlassian Cette considération s'applique au client. |
40. | Référence des Directives de l'ABE Paragraphe 84 | Considération Sans préjudice des exigences du Règlement (UE) 2016/679, les établissements et les établissements de paiement, lorsqu'ils externalisent (en particulier vers des pays tiers), devraient tenir compte des différences entre les dispositions de chaque pays relatives à la protection des données. Les établissements et les établissements de paiement devraient s'assurer que l'accord d'externalisation comporte l'obligation pour le fournisseur de services de protéger les informations confidentielles, personnelles ou sensibles, de se conformer à toutes les exigences juridiques relatives à la protection des données qui s'appliquent à l'établissement ou à l'établissement de paiement (par exemple, la protection des données personnelles), et de respecter le secret bancaire ou des obligations juridiques de confidentialité similaires en ce qui concerne les informations des clients, le cas échéant. | Commentaires d'Atlassian Nous proposons un Avenant sur le traitement des données qui détaille les engagements en matière de traitement et de sécurité des données personnelles des clients. Pour en savoir plus sur notre programme de conformité au RGPD, consultez la page suivante : |
41. | Référence des Directives de l'ABE 13.3 Droits d'accès, d'information et d'audit | ||
42. | Référence des Directives de l'ABE Paragraphe 85 | Considération Les établissements et les établissements de paiement devraient s'assurer, dans le cadre de l'accord d'externalisation écrit, que le service d'audit interne est en mesure d'examiner la fonction externalisée en utilisant une approche basée sur les risques. | Commentaires d'Atlassian Atlassian fournit aux établissements des mécanismes contractuels permettant de vérifier en permanence les produits Cloud couverts. |
43. | Référence des Directives de l'ABE Paragraphe 86 | Considération Indépendamment de la criticité ou de l'importance de la fonction externalisée, les accords d'externalisation écrits entre les établissements et les fournisseurs de services devraient faire référence aux pouvoirs de collecte d'informations et d'enquête des autorités et autorités de résolution compétentes en vertu de l'Article 63, paragraphe (1), point (a) de la Directive 2014/59/UE et de l'Article 65, paragraphe (3) de la Directive 2013/36/UE en ce qui concerne les fournisseurs de services situés dans un État membre, et devraient également garantir ces droits aux fournisseurs de services situés dans des pays tiers. | Commentaires d'Atlassian Atlassian reconnaît les pouvoirs de collecte d'informations et d'enquête des autorités et autorités de résolution compétentes en vertu de la législation européenne pertinente et applicable. |
44. | Référence des Directives de l'ABE Paragraphe 87 | Considération En ce qui concerne l'externalisation de fonctions critiques ou importantes, les établissements et les établissements de paiement devraient s'assurer, dans le cadre de l'accord d'externalisation écrit, que le fournisseur de services leur accorde, ainsi qu'à leurs autorités compétentes, y compris les autorités de résolution, et à toute autre personne désignée par eux ou par les autorités compétentes, les éléments suivants : (a) l'accès total à l'ensemble des locaux commerciaux pertinents (par exemple, les sièges sociaux et les centres d'exploitation), y compris l'ensemble des appareils, systèmes, réseaux, informations et données utilisés pour assurer la fonction externalisée, y compris les informations financières connexes, le personnel et les auditeurs externes du fournisseur de services (les « Droits d'accès et d'information ») ; et (b) des droits illimités d'inspection et d'audit liés à l'accord d'externalisation (les « Droits d'audit »), afin de leur permettre de contrôler l'accord d'externalisation, et de garantir le respect de toutes les exigences réglementaires et contractuelles applicables. | Commentaires d'Atlassian Pour tous les établissements qui utilisent les produits Cloud couverts, Atlassian accorde les droits d'audit, d'information et d'accès requis aux établissements, à leurs autorités compétentes et à leurs mandataires. |
45. | Référence des Directives de l'ABE Paragraphe 88 | Considération Pour l'externalisation de fonctions non critiques ou non importantes, les établissements et les établissements de paiement devraient garantir les droits d'accès et d'audit tels que précisés au paragraphe 87, points (a) et (b), et à la section 13.3, selon une approche basée sur les risques, compte tenu de la nature de la fonction externalisée ainsi que des risques liés à l'activité et à la réputation, de l'évolutivité de la fonction externalisée, de l'impact potentiel sur la continuité des activités et de la durée du contrat. Les établissements et les établissements de paiement devraient tenir compte du fait que les fonctions peuvent devenir critiques ou importantes au fil du temps. | Commentaires d'Atlassian Voir la ligne 44 ci-dessus. |
46. | Référence des Directives de l'ABE Paragraphe 89 | Considération Les établissements et les établissements de paiement devraient s'assurer que l'accord d'externalisation ou tout autre accord contractuel n'entrave pas et ne limite pas l'exercice effectif des droits d'accès et d'audit par eux-mêmes, par les autorités compétentes ou par les tiers qu'ils ont désignés pour exercer ces droits. | Commentaires d'Atlassian Notre programme d'audit est conçu pour permettre aux clients éligibles et à leurs autorités compétentes d'auditer efficacement les produits Cloud couverts. |
47. | Référence des Directives de l'ABE Paragraphe 90 | Considération Les établissements et les établissements de paiement devraient exercer leurs droits d'accès et d'audit, déterminer la fréquence des audits et les activités à auditer selon une approche basée sur les risques, et respecter les normes d'audit nationales et internationales pertinentes et communément acceptées. | Commentaires d'Atlassian Nous avons élaboré un programme d'audit conforme à cette considération. |
48. | Référence des Directives de l'ABE Paragraphe 91 | Considération Sans préjudice de leur responsabilité finale concernant les accords d'externalisation, les établissements et les établissements de paiement peuvent utiliser : (a) des audits groupés organisés conjointement avec d'autres clients du même fournisseur de services, et réalisés par eux-mêmes et ces clients ou par un tiers désigné par eux-mêmes, afin d'optimiser l'utilisation des ressources d'audit et de réduire la charge organisationnelle pesant à la fois sur les clients et sur le fournisseur de services ; (b) des certifications tierces, et des rapports d'audit tiers ou internes mis à disposition par le fournisseur de services. | Commentaires d'Atlassian Notre programme d'audit permet aux établissements de vérifier les produits Cloud couverts à l'aide d'audits groupés et/ou de certifications tierces. |
49. | Référence des Directives de l'ABE Paragraphe 92 | Considération Pour l'externalisation de fonctions critiques ou importantes, les établissements et les établissements de paiement devraient déterminer si les certifications et les rapports de tiers visés au paragraphe 91, point (b) sont adéquats et suffisants pour s'acquitter de leurs obligations réglementaires et ne devraient pas se fier uniquement à ces rapports. | Commentaires d'Atlassian Cette considération s'applique au client. |
50. | Référence des Directives de l'ABE Paragraphe 93 | Considération Les établissements et les établissements de paiement ne devraient utiliser la méthode visée au paragraphe 91, point (b) que s'ils : (a) sont satisfaits du plan d'audit pour la fonction externalisée ; (b) s'assurent que le périmètre de la certification ou du rapport d'audit couvre les systèmes (c.-à-d. les processus, les applications, les infrastructures, les data centers, etc.), ainsi que les contrôles clés identifiés par l'établissement ou l'établissement de paiement et la conformité aux exigences réglementaires applicables ; (c) analysent minutieusement et en continu le contenu des certifications ou des rapports d'audit, et s'assurent que certifications ou rapports sont toujours valides ; (d) s'assurent que les systèmes et contrôles clés sont couverts par les futures versions de la certification ou du rapport d'audit ; (e) sont satisfaits de l'aptitude de la partie certificatrice ou auditrice (par exemple, en ce qui concerne la rotation de l'organisme de certification ou d'audit, les qualifications, l'expertise ou le réexamen/la vérification des éléments de preuve contenus dans le dossier d'audit sous-jacent) ; (f) sont satisfaits du fait que les certifications sont délivrées, et que les audits sont réalisés selon des normes professionnelles pertinentes largement reconnues et comprennent une évaluation de l'efficacité opérationnelle des contrôles clés en place ; (g) ont le droit contractuel de demander l'extension du périmètre des certifications ou des rapports d'audit à d'autres systèmes et contrôles pertinents ; le nombre et la fréquence de ces demandes de modification du périmètre devraient être raisonnables et légitimes du point de vue de la gestion des risques ; et (h) conservent le droit contractuel de procéder à des audits individuels, à leur discrétion, de l'externalisation de fonctions critiques ou importantes. | Commentaires d'Atlassian Les sous-paragraphes (a) à (f) sont des considérations client. En ce qui concerne le sous-paragraphe (g), nous fournissons aux établissements un mécanisme contractuel permettant de demander la modification de nos contrôles et processus d'audit. Le sous-paragraphe (h) est traité à la ligne 44 ci-dessus. |
51. | Référence des Directives de l'ABE Paragraphe 94 | Considération Conformément aux Directives de l'ABE en matière d'évaluation des risques liés aux TIC dans le cadre du processus de contrôle et d'évaluation prudentiels (SREP), les établissements devraient, le cas échéant, s'assurer qu'ils sont en mesure de procéder à des tests d'intrusion afin d'évaluer l'efficacité des mesures et processus de cybersécurité et sécurité des TIC internes implémentés. Compte tenu du titre I, les établissements de paiement devraient également disposer de mécanismes internes de contrôle des TIC, y compris un contrôle de sécurité des TIC et des mesures d'atténuation. | Commentaires d'Atlassian Atlassian autorise ses clients à procéder à des tests d'intrusion à tout moment sans l'approbation préalable d'Atlassian : https://www.atlassian.com/fr/trust/security/security-testing. |
52. | Référence des Directives de l'ABE Paragraphe 95 | Considération Avant une visite sur place planifiée, les établissements, les établissements de paiement, les autorités compétentes et les auditeurs ou les tiers agissant pour le compte de l'établissement, de l'établissement de paiement ou des autorités compétentes devraient fournir un préavis raisonnable au fournisseur de services, sauf si cela est impossible en raison d'une urgence ou d'une situation de crise, ou conduirait à une situation dans laquelle l'audit ne serait plus effectif. | Commentaires d'Atlassian Notre programme d'audit est adapté à cette considération. |
53. | Référence des Directives de l'ABE Paragraphe 96 | Considération Lors de la réalisation d'audits dans des environnements multi-clients, il convient de veiller à ce que les risques pour l'environnement d'un autre client (par exemple, l'impact sur les niveaux de service, la disponibilité des données, les aspects de confidentialité) soient évités ou atténués. | Commentaires d'Atlassian Il est extrêmement important pour Atlassian et ses clients que les activités que nous menons avec un client ne mettent aucun autre client en danger. Cela s'applique aux audits que vous réalisez, mais également aux audits que d'autres clients réalisent. Lorsqu'un établissement réalise un audit, nous travaillons avec lui à limiter les perturbations pour nos autres clients, tout comme nous travaillons avec d'autres clients qui réalisent des audits à limiter les perturbations pour l'établissement. En particulier, nous veillons à respecter nos engagements en matière de sécurité en toute circonstance. |
54. | Référence des Directives de l'ABE Paragraphe 97 | Considération Lorsque l'accord d'externalisation présente un niveau élevé de complexité technique, par exemple, dans le cas de l'externalisation dans le cloud, l'établissement ou l'établissement de paiement devrait vérifier que la personne qui réalise l'audit, qu'il s'agisse d'un auditeur interne, d'un groupe d'auditeurs ou d'auditeurs externes agissant pour son compte, possède les compétences et les connaissances appropriées et pertinentes pour réaliser les audits et/ou évaluations pertinents dans les meilleures conditions. Il en va de même pour le personnel de l'établissement ou de l'établissement de paiement qui contrôle les certifications ou les audits tiers réalisés par des fournisseurs de services. | Commentaires d'Atlassian Il s'agit d'une responsabilité du client. |
55. | Référence des Directives de l'ABE 13.4 Droits de résiliation | ||
56. | Référence des Directives de l'ABE Paragraphe 98 | Considération L'accord d'externalisation devrait expressément permettre à l'établissement ou à l'établissement de paiement de résilier l'accord, conformément à la législation applicable, y compris dans les situations suivantes : (a) lorsque le fournisseur des fonctions externalisées enfreint la loi, les réglementations ou les dispositions contractuelles applicables ; b) lorsque des obstacles susceptibles de modifier la fourniture de la fonction externalisée sont identifiés ; (c) lorsque des changements substantiels affectent l'accord d'externalisation ou le fournisseur de services (par exemple, en cas de sous-traitance ou de changement de sous-traitant) ; (d) lorsque des lacunes sont constatées en ce qui concerne la gestion et la sécurité des données ou informations confidentielles, personnelles ou autrement sensibles ; et (e) lorsque des instructions sont données par l'autorité compétente de l'établissement ou de l'établissement de paiement, par exemple, lorsque l'autorité compétente n'est plus en mesure, en raison de l'accord d'externalisation, de surveiller efficacement l'établissement ou l'établissement de paiement. | Commentaires d'Atlassian Nous accordons aux clients un droit étendu de résiliation pour des raisons de commodité, ce qui permet une résiliation dans l'un des cas répertoriés dans la section 13.4 des Directives de l'ABE. |
57. | Référence des Directives de l'ABE Paragraphe 99 | Considération L'accord d'externalisation écrit devrait : | Atlassian Commentary
|
58. | EBA Guidelines Reference
| Considération
(a) définir clairement les obligations du fournisseur de services existant, en cas de transfert de la fonction externalisée à un autre fournisseur de services, ou de retransfert à l'établissement ou à l'établissement de paiement, y compris pour le traitement des données ; | Commentaires d'Atlassian Nous fournissons à tous nos clients des fonctionnalités intégrées au produit leur permettant d'exporter eux-mêmes leurs données à tout moment pendant la durée de leur contrat. |
59. | EBA Guidelines Reference
| Considération
(b) fixer une période de transition appropriée, au cours de laquelle le fournisseur de services, après la résiliation de l'accord d'externalisation, continuerait d'assurer la fonction externalisée afin de réduire le risque de perturbations ; et | Commentaires d'Atlassian Si un établissement l'exige, le fournisseur de services cloud peut prolonger la durée de son abonnement pour une courte période afin de permettre sa transition vers un autre fournisseur de services. |
60. | EBA Guidelines Reference
| Considération
(c) inclure une obligation pour le fournisseur de services d'assister l'établissement ou l'établissement de paiement dans le transfert de la fonction en cas de résiliation de l'accord d'externalisation. | Commentaires d'Atlassian Voir les lignes 58 et 59 ci-dessus. |