BaFin

Il contratto dovrebbe includere una specifica e, se necessario, una descrizione del servizio che deve essere eseguito dal fornitore di servizi cloud. Questo dovrebbe essere stabilito in ciò che è definito l'accordo sui livelli di servizio. In questo contesto, occorre definire i seguenti aspetti:

La nostra Documentazione, inclusa come riferimento nel contratto con il cliente Atlassian per i clienti idonei, contiene descrizioni chiare dei Prodotti Cloud interessati.

I clienti idonei hanno accesso all'Offerta di Assistenza Atlassian, che è disciplinata dal contratto con il cliente Atlassian.

Generalmente disciplinati dal contratto con il cliente Atlassian.

Determinati prodotti Cloud interessati includono funzionalità di residenza dei dati all'interno del prodotto, come descritto in dettaglio qui, che consentono agli amministratori dei clienti di conservare i dati di prodotto inclusi nell'ambito in una posizione di loro scelta. Questa pagina descrive la nostra infrastruttura di hosting del cloud

Ci impegniamo contrattualmente a (a) non ridurre sostanzialmente la qualità delle funzionalità dei prodotti durante il periodo di abbonamento applicabile e a (b) informare i clienti di eventuali modifiche alle nostre sedi di hosting dei dati.

Il contratto con il cliente Atlassian stabilisce la durata predefinita di un periodo di abbonamento e tutti i termini di preavviso applicabili. Inoltre, quando effettui un ordine per uno o più Prodotti Cloud interessati, questo conterrà la data di inizio e di fine del periodo di abbonamento corrispondente.

I termini dei livelli di servizio corrispondenti, nonché i rimedi per il mancato rispetto dei livelli di servizio, per i Prodotti Cloud interessati sono illustrati nel nostro Accordo sui livelli di servizio e nei Termini specifici di prodotto corrispondenti.

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su https://status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

I diritti di informazione e di audit, nonché le possibilità di controllo dell'azienda sottoposta a vigilanza non devono essere soggetti a restrizioni contrattuali. È necessario garantire che l'azienda sottoposta a vigilanza riceva le informazioni necessarie per controllare e monitorare adeguatamente i rischi associati all'esternalizzazione.

Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità di vigilanza di controllare in modo efficace i Prodotti Cloud interessati.

Vedi la riga 12 sopra.

Vedi la riga 12 sopra.

Esenzioni

A seconda dei requisiti applicabili ai sensi della legge di vigilanza, le aziende sottoposte a vigilanza possono richiedere esenzioni per rendere più efficienti le proprie attività di audit. Tali esenzioni riguardano audit collettivi o l'uso di documentazione/certificati basati su standard comuni o di report di audit di terze parti riconosciute o di report di audit interni del fornitore di servizi cloud.

Questa è una considerazione del cliente. Vedi anche la riga 12 qui sopra e la riga 20 di seguito.

Audit collettivi

Le aziende sottoposte a vigilanza e soggette al rispetto delle sezioni 25a, 25b della legge tedesca sul credito (KWG) possono avvalersi delle esenzioni previste dalla Circolare 09/2017 (BA): Requisiti minimi per la gestione del rischio (MaRisk). Ai sensi di BT 2.1 Voce 3 MaRisk, la funzione di audit interno dell'azienda sottoposta a vigilanza in caso di esternalizzazione materiale può rinunciare alle proprie attività di audit a condizione che il lavoro di audit svolto dal fornitore di servizi esterno soddisfi i requisiti di MaRisk AT 4.4 e BT 2. La funzione di audit interno dell'azienda di esternalizzazione sottoposta a vigilanza deve accertarsi a intervalli regolari che queste condizioni siano soddisfatte. I risultati dell'audit relativi all'azienda sottoposta a vigilanza devono essere trasmessi alla funzione di audit interno dell'azienda di esternalizzazione sottoposta a vigilanza.

Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

A tale riguardo l'attività di audit può essere svolta dal reparto di audit interno del fornitore di servizi cloud, dal reparto di audit interno di una o più aziende di esternalizzazione sottoposte a vigilanza per conto delle aziende di esternalizzazione sottoposte a vigilanza ("audit collettivi"), una terza parte nominata dal fornitore di servizi cloud o una terza parte nominata dalle aziende di esternalizzazione sottoposte a vigilanza.

Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

Per le altre aziende sottoposte a vigilanza, può essere consentito, in casi specifici, esercitare determinati diritti di informazione e audit nei confronti del fornitore di servizi cloud congiuntamente ad altre aziende sottoposte a vigilanza mediante audit collettivo.

Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

Se un'azienda sottoposta a vigilanza si avvale di una delle suddette esenzioni, ciò potrebbe non comportare la limitazione dei suoi diritti di informazione e audit.

Vedi la riga 12 sopra.

Prove/certificati e report di audit

Come regola generale, l'azienda sottoposta a vigilanza può utilizzare documentazione/certificati sulla base di standard comuni (ad es. standard di sicurezza internazionale ISO/IEC 2700X dell'International Organization for Standardization, Cloud Computing Compliance Controls Catalogue (C 5 Catalogue) della BSI), report di audit di terze parti riconosciute o report di audit interni del fornitore di servizi cloud. L'azienda sottoposta a vigilanza deve tenere conto dell'ambito, della profondità dei dettagli, dello stato di aggiornamento e dell'idoneità del certificatore o del revisore di tale documentazioni/tali certificati e report di audit.

Atlassian viene sottoposta regolarmente a un'analisi indipendente dei controlli di sicurezza, privacy e conformità. Nel corso della durata del contratto stipulato con l'utente, rispetteremo come requisito minimo gli standard indicati nel nostro Trust Center, tra cui le certificazioni ISO/IEC 27001 e ISO/IEC 27018 e i report di audit SOC 2 Type II e SOC 3: https://www.atlassian.com/trust/compliance

Tuttavia, un'azienda sottoposta a vigilanza non deve basarsi esclusivamente su questi elementi nell'esercizio della propria attività di audit. Qualora il reparto di audit interno utilizzi tale documentazione/tali certificati nella sua attività, dovrebbe essere in grado di esaminare le prove che ne sono alla base.

Questa è una considerazione del cliente. Vedi anche la riga 12 sopra.

I diritti di informazione e di audit nonché le possibilità di controllo delle autorità di vigilanza non devono essere soggetti a restrizioni contrattuali. Le autorità di vigilanza devono essere in grado di monitorare i fornitori di servizi cloud esattamente come previsto dalla legge applicabile per l'azienda sottoposta a vigilanza. Le autorità di vigilanza devono poter esercitare i loro diritti di informazione e di audit nonché le possibilità di controllo in modo adeguato e senza restrizioni per quanto riguarda il servizio esternalizzato; questo vale anche per le persone di cui le autorità di vigilanza si avvalgono per l'esecuzione degli audit.

Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità di vigilanza di controllare in modo efficace i Prodotti Cloud interessati.

Vedi la riga 23 sopra.

Nessuna restrizione (indiretta) dei diritti

Si ritiene che tale limitazione inammissibile dei diritti di informazione e di audit, nonché delle possibilità di controllo delle autorità di vigilanza tedesche esista, in particolare, nel caso di disposizioni che concedono tali diritti solo a determinate condizioni. Ci riferiamo alle dichiarazioni di cui sopra sulla limitazione dei diritti delle aziende sottoposte a vigilanza.

Vedi la riga 23 sopra.

4. Diritti di emettere istruzioni

I diritti delle aziende sottoposte a vigilanza di emettere istruzioni devono essere concordati. Il diritto di emettere istruzioni consiste nella garanzia di poter emettere tutte le istruzioni necessarie per eseguire il servizio concordato; in altri termini, la possibilità di influenzare e controllare l'elemento esternalizzato costituisce un requisito. L'implementazione tecnica può essere organizzata individualmente in base alle circostanze specifiche dell'azienda.

I nostri clienti possono emettere istruzioni (anche per quanto riguarda le certificazioni di terze parti e i report di audit) in merito ai Prodotti Cloud interessati tramite i loro canali di assistenza clienti.

Se l'azienda sottoposta a vigilanza utilizza prove/certificazioni o report di audit (vedi V.2), dovrebbe avere la possibilità di influenzare l'ambito delle prove/certificazioni o dei report di audit in modo che possa essere ampliato per includere sistemi e controlli pertinenti. Dovrebbe esserci una proporzione ragionevole nel numero e nella frequenza con cui tali istruzioni vengono emesse.

Vedi la riga 27 sopra.

Inoltre, l'azienda sottoposta a vigilanza dovrebbe essere autorizzata in qualsiasi momento a emettere istruzioni al fornitore di servizi cloud per la correzione, l'eliminazione e il blocco dei dati e il fornitore di servizi cloud dovrebbe essere autorizzato a raccogliere, trattare e utilizzare i dati solo nel contesto delle istruzioni emesse dall'azienda sottoposta a vigilanza. Ciò dovrebbe riguardare anche la possibilità di emettere istruzioni in qualsiasi momento affinché i dati trattati dal fornitore di servizi cloud vengano trasferiti all'azienda sottoposta a vigilanza tempestivamente e senza restrizioni.

Nella nostra Appendice sul trattamento dei dati sono indicati gli impegni specifici in merito al trattamento e alla sicurezza dei dati personali dei clienti. Ulteriori informazioni sul nostro programma di conformità al GDPR sono disponibili qui:

https://www.atlassian.com/trust/compliance/resources/gdpr

Inoltre, forniamo a tutti i clienti funzionalità interne al prodotto per esportare i loro dati in qualsiasi momento nel corso della durata del contratto senza la nostra assistenza.

Se è possibile rinunciare all'accordo esplicito sui diritti dell'azienda sottoposta a vigilanza di emettere istruzioni, il servizio che viene fornito dall'azienda di esternalizzazione deve essere specificato con sufficiente chiarezza nel contratto di esternalizzazione.

Vedi la riga 27 sopra.

Devono essere concordate disposizioni che garantiscano il rispetto delle norme sulla protezione dei dati e altri requisiti di sicurezza.

Considerata la natura uno-a-molti dei nostri Prodotti Cloud interessati, offriamo la stessa solida sicurezza a tutti i nostri clienti. Queste pratiche di sicurezza sono descritte in dettaglio nel nostro Trust Center: https://www.atlassian.com/trust/

Ci impegniamo a rispettare le pratiche di sicurezza del nostro Trust Center e a non ridurre sostanzialmente la sicurezza complessiva dei nostri Prodotti Cloud interessati durante il periodo di abbonamento.

Vedi anche le righe 27 e 29 sopra.

La posizione di archiviazione dei dati deve essere nota all'azienda sottoposta a vigilanza. Ciò dovrebbe includere la posizione specifica dei data center. Come regola generale, a tale scopo è sufficiente fornire il nome della località (ad esempio la città). Tuttavia, se l'azienda sottoposta a vigilanza dovesse avere la necessità dell'indirizzo preciso del data center sulla base di considerazioni relative alla gestione del rischio, il fornitore di servizi cloud dovrebbe fornirlo.

Vedi la riga 7 sopra.

Inoltre, dovrebbe essere garantita la ridondanza dei dati e dei sistemi in modo che, in caso di guasto di un data center, la manutenzione dei servizi sia garantita.

Manteniamo piani di continuità aziendale e ripristino di emergenza, come descritto nel nostro Trust Center. Questi piani vengono controllati e testati almeno una volta all'anno.

La sicurezza dei dati e dei sistemi deve essere garantita anche all'interno della catena di esternalizzazione.

Vedi la riga 32 sopra.

L'azienda sottoposta a vigilanza deve avere la possibilità di accedere rapidamente in ogni momento ai suoi dati memorizzati presso il fornitore di servizi cloud e di ritrasferirli, se necessario. A tale proposito è necessario garantire che la forma selezionata per il ritrasferimento non limiti o escluda l'utilizzo dei dati. Per questo motivo, dovrebbero essere concordati formati di dati standard indipendenti dalla piattaforma. È necessario tenere conto della compatibilità dei diversi sistemi.

Vedi la riga 29 sopra.

È necessario concordare i diritti di cessazione e i periodi di preavviso adeguati. In particolare, dovrebbe essere concordato un diritto speciale di cessazione, che preveda la risoluzione per giusta causa qualora l'autorità di controllo chieda la cessazione del contratto.

Forniamo ai clienti un ampio diritto di recesso libero, che consente loro di cessare il contratto in qualsiasi circostanza.

È necessario garantire che, in caso di cessazione, i servizi esternalizzati al fornitore di servizi cloud continuino ad essere erogati fino al momento in cui non siano stati completamente trasferiti a un altro fornitore di servizi cloud o all'azienda sottoposta a vigilanza. A questo proposito occorre garantire in particolare che il fornitore di servizi cloud fornisca ragionevole assistenza all'azienda sottoposta a vigilanza per il trasferimento degli elementi esternalizzati a un altro fornitore di servizi cloud o direttamente all'azienda sottoposta a vigilanza.

Se richiesto da un ente, è possibile prorogare la durata dell'abbonamento per un breve periodo per consentirne la transizione verso un altro fornitore di servizi.

È necessario definire il tipo, la forma e la qualità del trasferimento del servizio esternalizzato e dei dati. Se i formati dei dati sono adattati alle specifiche esigenze dell'azienda sottoposta a vigilanza, il fornitore dei servizi cloud dovrebbe fornire una documentazione di tali adattamenti al momento della cessazione.

Queste informazioni sono accessibili nella nostra documentazione.

È necessario concordare che dopo il ritrasferimento dei dati all'azienda sottoposta a vigilanza, il fornitore di servizi cloud provveda a eliminarli in modo completo e irrevocabile.

Questa considerazione è trattata nel nostro Addendum al trattamento dei dati.

Per garantire che le aree esternalizzate siano mantenute in caso di cessazione pianificata o non pianificata del contratto, l'azienda sottoposta a vigilanza deve disporre di una strategia di uscita e verificarne la fattibilità.

Questa è una considerazione del cliente.

Devono essere concordate disposizioni sulla possibilità e sulle modalità di esternalizzazione a catena che garantiscano la conformità continua ai requisiti della legge di vigilanza. Le restrizioni che comportino, ad esempio, solo l'assunzione degli obblighi sostanzialmente più simili non sono consentite. È necessario garantire in particolare che i diritti di informazione e di audit, nonché le possibilità di controllo dell'azienda di esternalizzazione sottoposta a vigilanza e delle autorità di vigilanza, si applichino anche ai subappaltatori in caso di esternalizzazione a catena.

Allo scopo di fornire prodotti globali riducendo al minimo le interruzioni, potremmo sub-esternalizzare alcune funzioni essenziali o importanti a fornitori di servizi di alta qualità (ad es., fornitori di hosting di dati). Per quanto riguarda la sub-esternalizzazione di funzioni essenziali, Atlassian si impegna a stipulare contratti appropriati con i subappaltatori, che concedono adeguati diritti di audit, accesso e informazione agli istituti e alle relative autorità di vigilanza e richiedono a questi di rispettare tutte le leggi applicabili. Vedi anche la riga 12 sopra.

In un'ottica di esternalizzazione a catena, il contratto di esternalizzazione dovrebbe includere riserve di autorizzazione della società di esternalizzazione o condizioni specifiche da soddisfare affinché l'esternalizzazione a catena sia possibile. Dovrebbero essere indicati quali servizi esternalizzati e/o quali parti di essi possano essere esternalizzati a catena e quali no.

Vedi la riga 44 sopra.

L'azienda sottoposta a vigilanza deve essere informata in anticipo e per iscritto dell'esternalizzazione a catena dei servizi esternalizzati e/o di parti di essi. I subappaltatori e i servizi e/o le parti dei servizi esternalizzati a catena dovrebbero essere noti all'azienda sottoposta a vigilanza.

Atlassian comunicherà eventuali modifiche alle sub-esternalizzazioni o nuove sub-esternalizzazioni di funzioni essenziali o importanti e fornirà informazioni su tali sub-esternalizzazioni. L'istituto che nutra delle preoccupazioni su tali sub-esternalizzazioni può cessare il suo contratto con noi.

Nel caso di una nuova esternalizzazione a catena, occorre tenere presente che ciò potrebbe influire sulla situazione di rischio dell'esternalizzazione e quindi sull'azienda di esternalizzazione. Di conseguenza, l'analisi dei rischi dovrebbe almeno essere rivista o ripetuta in caso di una nuova esternalizzazione a catena. Ciò vale anche nel caso in cui vengano resi noti difetti materiali e modifiche sostanziali del servizio cloud fornito dai subappaltatori.

Questa è una considerazione del cliente.

L'azienda deve esaminare e monitorare l'esecuzione dell'intero servizio su base continuativa, indipendentemente dal fatto che il servizio cloud sia erogato dal fornitore di servizi cloud o dai suoi subappaltatori.

Questa è una considerazione del cliente.

Devono essere concordate disposizioni al fine di garantire che il fornitore di servizi cloud informi l'azienda sottoposta a vigilanza in merito agli sviluppi che potrebbero influire negativamente sull'esecuzione ordinata dei servizi esternalizzati. Sono inclusi aspetti come la segnalazione di eventuali interruzioni nella fornitura del servizio cloud. Ciò ha lo scopo di garantire che l'azienda possa monitorare adeguatamente il servizio esternalizzato.

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su https://status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

Il fornitore di servizi cloud deve informare senza indugio l'azienda sottoposta a vigilanza in merito a qualsiasi circostanza che possa rappresentare un rischio per la sicurezza dei dati della stessa che devono essere trattati dal fornitore di servizi cloud, ad esempio a seguito di atti di terze parti (ad es. sequestro o confisca), insolvenza, procedure concordatarie o altri eventi.

Oltre agli impegni di cui alla riga 50 sopra, ci impegniamo a fornire ai clienti un avviso relativo agli incidenti di sicurezza nel nostro Addendum al trattamento dei dati.

È opportuno garantire che l'azienda sottoposta a vigilanza sia adeguatamente informata in anticipo dal fornitore di servizi cloud in caso di modifiche pertinenti del servizio cloud che il fornitore di servizi cloud deve erogare. Le descrizioni dei servizi e le relative modifiche devono essere fornite e/o comunicate per iscritto all'azienda sottoposta a vigilanza. È necessario garantire che l'azienda sottoposta a vigilanza sia adeguatamente informata, nella misura consentita dalla legge, di eventuali richieste di consegna dei dati dell'azienda sottoposta a vigilanza presentate da terze parti.

Pubblichiamo la nostra Roadmap dei prodotti Cloud, che fornisce ai clienti un avviso delle modifiche sostanziali ai prodotti Cloud interessati.

Inoltre, forniamo i dati dei clienti a terze parti solo in conformità alle nostre Linee guida per le richieste delle forze dell'ordine.

Se si stabilisce di inserire una disposizione sulla scelta della legge applicabile e la legge concordata non è quella tedesca, è necessario comunque concordare la legge di un paese dell'Unione europea o dello Spazio economico europeo come legge che disciplina il contratto.

La legge predefinita che disciplina il contratto con il cliente Atlassian è la legge della California. Contatta il nostro il team delle vendite Enterprise per maggiori dettagli.