Close
Logo dell'AICPA

Linee guida dell'ABE

Tabella di mappatura

La tabella qui sotto riporta ogni paragrafo della Sezione 13 (Fase contrattuale) delle Linee guida sugli accordi di esternalizzazione dell'Autorità bancaria europea (le "Linee guida dell'ABE"). Per semplificare la tua revisione interna, abbiamo spiegato come affrontiamo ciascuna delle considerazioni nelle Linee guida dell'ABE. L'offerta di servizi finanziari di Atlassian copre i clienti idonei che acquistano le edizioni Enterprise dei Prodotti Cloud interessati.

Ultimo aggiornamento: dicembre 2021, [clicca qui per scaricare il PDF]

 

Riferimento nelle Linee guida dell'ABE

Considerazione

Commento di Atlassian

1.

Riferimento nelle Linee guida dell'ABE

13. Fase contrattuale

2.

Riferimento nelle Linee guida dell'ABE

Paragrafo 74

Considerazione

I diritti e gli obblighi dell'ente, dell'istituto di pagamento e del fornitore di servizi devono essere chiaramente distribuiti e specificati in un accordo scritto.

Commento di Atlassian

Generalmente disciplinati dal contratto con il cliente Atlassian.

3.

Riferimento nelle Linee guida dell'ABE

Paragrafo 75

Considerazione

L'accordo di esternalizzazione per funzioni essenziali o importanti dovrebbe contenere almeno:

Atlassian Commentary

 

4.

EBA Guidelines Reference

 

Considerazione

(a) una descrizione chiara della funzione esternalizzata da fornire;

Commento di Atlassian

La nostra Documentazione, inclusa come riferimento nel contratto con il cliente Atlassian per i clienti idonei, contiene descrizioni chiare dei Prodotti Cloud interessati.

5.

EBA Guidelines Reference

 

Considerazione

(b) la data di inizio e la data di fine, se applicabile, del contratto e i termini di preavviso per il fornitore di servizi e l'ente o l'istituto di pagamento;

Commento di Atlassian

Il contratto con il cliente Atlassian stabilisce la durata predefinita di un periodo di abbonamento e tutti i termini di preavviso applicabili. Inoltre, quando effettui un ordine per uno o più Prodotti Cloud interessati, questo conterrà la data di inizio e di fine del periodo di abbonamento corrispondente.

6.

EBA Guidelines Reference

 

Considerazione

(c) la legge che disciplina l'accordo;

Commento di Atlassian

La legge predefinita che disciplina il contratto con il cliente Atlassian è la legge della California. Contatta il nostro team per le vendite Enterprise per maggiori dettagli.

7.

EBA Guidelines Reference

 

Considerazione

(d) gli obblighi finanziari delle parti coinvolte;

Commento di Atlassian

I prezzi per ciascuno dei Prodotti Cloud interessati sono disponibili su www.atlassian.com

8.

EBA Guidelines Reference

 

Considerazione

(e) se è consentita la sub-esternalizzazione di una funzione essenziale o importante oppure di parti materiali della stessa e, in caso affermativo, le condizioni specificate nella Sezione 13.1 (Sub-esternalizzazione di funzioni essenziali e importanti) a cui è soggetta la sub-esternalizzazione;

Commento di Atlassian

Fai riferimento ai commenti sulla Sezione 13.1 alle righe 21-36.

9.

EBA Guidelines Reference

 

Considerazione

(f) il luogo o i luoghi (ad es. regioni o paesi) in cui verrà fornita la funzione essenziale o importante e/o dove saranno conservati e trattati i dati pertinenti, incluso l'eventuale luogo di archiviazione e le condizioni da soddisfare, nonché l'obbligo di informare l'ente o l'istituto di pagamento se il fornitore di servizi propone di modificare il luogo o i luoghi;

Commento di Atlassian

Determinati Prodotti Cloud interessati includono funzionalità di residenza dei dati all'interno del prodotto, come descritto in dettaglio qui, che consentono agli amministratori dei clienti di conservare i dati di prodotto inclusi nell'ambito in una posizione di loro scelta. Questa pagina descrive la nostra infrastruttura di hosting del cloud.

Ci impegniamo contrattualmente a (a) non ridurre sostanzialmente la qualità delle funzionalità dei prodotti durante il periodo di abbonamento applicabile e a (b) informare i clienti di eventuali modifiche alle nostre sedi di hosting dei dati.

10.

EBA Guidelines Reference

 

Considerazione

(g) ove opportuno, le disposizioni relative all'accessibilità, alla disponibilità, all'integrità, alla riservatezza e alla sicurezza dei dati pertinenti, come specificato nella Sezione 13.2 (Sicurezza dei dati e dei sistemi);

Commento di Atlassian

Fai riferimento ai commenti sulla Sezione 13.2 alle righe 36-39.

11.

EBA Guidelines Reference

 

Considerazione

(h) il diritto dell'ente o dell'istituto di pagamento di monitorare le prestazioni del fornitore di servizi su base continuativa;

Commento di Atlassian

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

12.

EBA Guidelines Reference

 

Considerazione

(i) i livelli di servizio concordati, che dovrebbero comprendere precisi obiettivi prestazionali quantitativi e qualitativi per la funzione esternalizzata per consentire un monitoraggio tempestivo, in modo tale da poter adottare senza indebito ritardo le opportune azioni correttive qualora i livelli di servizio concordati non vengano soddisfatti;

Commento di Atlassian

I termini dei livelli di servizio corrispondenti, nonché i rimedi per il mancato rispetto dei livelli di servizio, per i Prodotti Cloud interessati sono illustrati nel nostro Accordo sui livelli di servizio e nei Termini specifici di prodotto corrispondenti.

13.

EBA Guidelines Reference

 

Considerazione

(j) gli obblighi di segnalazione del fornitore di servizi all'ente o all'istituto di pagamento, compresa la comunicazione da parte del fornitore di servizi di qualsiasi sviluppo che possa avere un impatto significativo sulla capacità del fornitore di servizi di svolgere efficacemente la funzione essenziale o importante in conformità ai livelli di servizio concordati e nel rispetto delle leggi e dei requisiti normativi applicabili e, ove opportuno, gli obblighi di inviare report sulla funzione di audit interno del fornitore di servizi;

Commento di Atlassian

Pubblichiamo aggiornamenti sulla disponibilità dei servizi su status.atlassian.com e ci impegniamo contrattualmente a informare i clienti in merito agli eventi che hanno un impatto sostanziale sulla disponibilità dei Prodotti Cloud interessati.

14.

EBA Guidelines Reference

 

Considerazione

(k) se il fornitore di servizi debba stipulare un'assicurazione obbligatoria contro determinati rischi e, ove opportuno, il livello di copertura assicurativa richiesto;

Commento di Atlassian

Atlassian mantiene coperture assicurative per una serie di rischi identificati, nel rispetto delle Leggi applicabili alla nostra azienda.

15.

EBA Guidelines Reference

 

Considerazione

(l) i requisiti per l'attuazione e il collaudo dei piani di emergenza aziendale;

Commento di Atlassian

Manteniamo piani di continuità aziendale e ripristino di emergenza, come descritto nel nostro Trust Center. Questi piani vengono controllati e testati almeno una volta all'anno.

16.

EBA Guidelines Reference

 

Considerazione

(m) le disposizioni che garantiscono che i dati di proprietà dell'ente o dell'istituto di pagamento sono accessibili in caso di insolvenza, risoluzione o cessazione delle operazioni aziendali del fornitore di servizi;

Commento di Atlassian

Consentiamo al cliente di accedere ai suoi dati e di poterli esportare per tutta la durata del nostro contratto.

Nessuno di questi impegni viene meno in caso di insolvenza da parte di Atlassian. Atlassian non ha inoltre il diritto di recedere per insolvenza, ma il cliente può richiedere il recesso libero in questo scenario.

Nell'improbabile eventualità di insolvenza da parte di Atlassian, il cliente può fare riferimento a questi impegni quando tratta con l'amministratore delle procedure di insolvenza designato.

17.

EBA Guidelines Reference

 

Considerazione

(n) l'obbligo del fornitore di servizi di cooperare con le autorità competenti e le autorità di risoluzione dell'ente o dell'istituto di pagamento, comprese le altre persone da essi designate;

Commento di Atlassian

Atlassian collaborerà con le autorità competenti e le autorità di risoluzione dell'istituto nell'esercizio dei loro diritti di audit, informazione e accesso.

18.

EBA Guidelines Reference

 

Considerazione

(o) per gli enti, un riferimento chiaro ai poteri dell'autorità nazionale di risoluzione, specialmente agli Articoli 68 e 71 della Direttiva 2014/59/UE (BRRD), e in particolare una descrizione degli "obblighi sostanziali" del contratto ai sensi dell'Articolo 68 di tale Direttiva;

Commento di Atlassian

Atlassian comprende che gli istituti e qualsiasi entità di risoluzione devono essere in grado di svolgere le proprie attività durante la risoluzione. Per fornire supporto attraverso la risoluzione, ci impegniamo a continuare a fornire i Prodotti Cloud interessati durante la risoluzione, come richiesto dalla direttiva BRRD.

19.

EBA Guidelines Reference

 

Considerazione

(p) il diritto illimitato degli enti, degli istituti di pagamento e delle autorità competenti di analizzare e controllare il fornitore di servizi in riferimento, in particolare, alla funzione esternalizzata essenziale o importante, come specificato nella Sezione 13.3 (Diritti di accesso, informazione e audit);

Commento di Atlassian

Fai riferimento ai commenti sulla Sezione 13.3 alle righe 40-53.

20.

EBA Guidelines Reference

 

Considerazione

(q) i diritti di cessazione, come specificato nella Sezione 13.4 (Diritti di cessazione).

Commento di Atlassian

Fai riferimento ai commenti sulla Sezione 13.4 alla riga 56.

21.

Riferimento nelle Linee guida dell'ABE

13.1 Sub-esternalizzazione di funzioni essenziali o importanti

22.

Riferimento nelle Linee guida dell'ABE

Paragrafo 76

Considerazione

L'accordo di esternalizzazione dovrebbe specificare se è consentita o meno la sub-esternalizzazione di funzioni essenziali o importanti, o di parti materiali di esse

Commento di Atlassian

Allo scopo di fornire prodotti globali riducendo al minimo le interruzioni, potremmo sub-esternalizzare alcune funzioni essenziali o importanti a fornitori di servizi di alta qualità (ad es., fornitori di hosting di dati).

23.

Riferimento nelle Linee guida dell'ABE

Paragrafo 77

Considerazione

Se è consentita la sub-esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero stabilire se la parte della funzione da sub-esternalizzare sia, in quanto tale, essenziale o importante (ossia una parte materiale della funzione essenziale o importante) e, in caso affermativo, indicarlo nel registro

Commento di Atlassian

Questa è una considerazione del cliente.

24.

Riferimento nelle Linee guida dell'ABE

Paragrafo 78

Considerazione

Se è consentita la sub-esternalizzazione di funzioni essenziali o importanti, l'accordo scritto dovrebbe:

Atlassian Commentary

 

25.

EBA Guidelines Reference

 

Considerazione

(a) specificare i tipi di attività che sono esclusi dalla sub-esternalizzazione;

Commento di Atlassian

Vedi la riga 22 sopra.

26.

EBA Guidelines Reference

 

Considerazione

(b) specificare le condizioni da rispettare in caso di sub-esternalizzazione;

Commento di Atlassian

Atlassian comunicherà eventuali modifiche alle sub-esternalizzazioni o nuove sub-esternalizzazioni di funzioni essenziali o importanti e fornirà informazioni su tali sub-esternalizzazioni. L'istituto che nutra delle preoccupazioni su tali sub-esternalizzazioni può cessare il suo contratto con noi.

27.

EBA Guidelines Reference

 

Considerazione

(c) specificare che il fornitore di servizi è tenuto a supervisionare i servizi che ha subappaltato per garantire che tutti gli obblighi contrattuali tra il fornitore di servizi e l'ente o l'istituto di pagamento siano sempre soddisfatti;

Commento di Atlassian

Atlassian rimane responsabile delle sue prestazioni complessive, ai sensi del contratto con il cliente Atlassian, anche per le funzioni sub-esternalizzate. Inoltre, per quanto riguarda la sub-esternalizzazione di funzioni essenziali o importanti, Atlassian si impegna a stipulare contratti appropriati con i subappaltatori, che concedono adeguati diritti di audit, accesso e informazione agli istituti e alle relative autorità competenti e di risoluzione e richiedono a questi di rispettare tutte le leggi applicabili.

28.

EBA Guidelines Reference

 

Considerazione

(d) richiedere al fornitore di servizi di ottenere la previa autorizzazione scritta specifica o generale dall'ente o dall'istituto di pagamento prima di sub-esternalizzare i dati;

Commento di Atlassian

Nell'ambito della nostra conformità al GDPR, nel nostro DPA, ci impegniamo a non coinvolgere i subappaltatori nel trattamento dei dati personali del cliente senza il previo consenso scritto dello stesso.

29.

EBA Guidelines Reference

 

Considerazione

(e) includere l'obbligo per il fornitore di servizi di informare l'ente o l'istituto di pagamento di eventuali sub-esternalizzazioni programmate o di modifiche sostanziali alle stesse, in particolare qualora ciò possa influire sulla capacità del fornitore di servizi di adempiere alle proprie responsabilità ai sensi dell'accordo di esternalizzazione. Ciò include modifiche significative programmate dei subappaltatori e modifiche al periodo di notifica; in particolare, il periodo di notifica da fissare dovrebbe consentire all'istituto di esternalizzazione o all'istituto di pagamento di effettuare almeno una valutazione del rischio delle modifiche proposte e di potersi opporre a esse prima che la sub-esternalizzazione programmata o le modifiche sostanziali della stessa vengano messe in atto;

Commento di Atlassian

Vedi la riga 26 sopra.

30.

EBA Guidelines Reference

 

Considerazione

(f) garantire, ove opportuno, che l'ente o l'istituto di pagamento abbiano il diritto di opporsi alla sub-esternalizzazione prevista o a modifiche sostanziali della stessa, o che venga richiesta l'approvazione esplicita;

Commento di Atlassian

Vedi la riga 26 sopra.

31.

EBA Guidelines Reference

 

Considerazione

(g) garantire che l'ente o l'istituto di pagamento abbiano il diritto contrattuale di cessare il contratto in caso di sub-esternalizzazione indebita, ad es. quando la sub-esternalizzazione aumenta in misura rilevante i rischi per l'ente o l'istituto di pagamento o quando il fornitore di servizi ricorre alla sub-esternalizzazione senza comunicarlo all'ente o all'istituto di pagamento.

Commento di Atlassian

Vedi la riga 26 sopra.

32.

Riferimento nelle Linee guida dell'ABE

Paragrafo 79

Considerazione

Gli enti e gli istituti di pagamento dovrebbero acconsentire alla sub-esternalizzazione solo se il subappaltatore si impegna a:

Atlassian Commentary

 

33.

EBA Guidelines Reference

 

Considerazione

(a) rispettare tutte le leggi, i requisiti normativi e gli obblighi contrattuali applicabili; e

Commento di Atlassian

Vedi la riga 27 sopra.

34.

EBA Guidelines Reference

 

Considerazione

(b) concedere all'ente, all'istituto di pagamento e all'autorità competente gli stessi diritti contrattuali di accesso e audit riconosciuti per il fornitore di servizi.

Commento di Atlassian

Vedi la riga 27 sopra.

35.

Riferimento nelle Linee guida dell'ABE

Paragrafo 80

Considerazione

Gli enti e gli istituti di pagamento dovrebbero assicurare che il fornitore di servizi supervisioni adeguatamente i fornitori di sottoservizi, in conformità alla policy definita dall'ente o dall'istituto di pagamento. Se la sub-esternalizzazione proposta potrebbe avere effetti negativi rilevanti sull'accordo di esternalizzazione di una funzione essenziale o importante o comporterebbe un aumento sostanziale del rischio, anche nel caso in cui le condizioni di cui al paragrafo 79 non fossero soddisfatte, l'ente o l'istituto di pagamento dovrebbe esercitare il diritto di opporsi alla sub-esternalizzazione, se tale diritto è stato concesso, e/o cessare il contratto.

Commento di Atlassian

Vedi le righe 26 e 27 sopra.

36.

Riferimento nelle Linee guida dell'ABE

13.2 Sicurezza dei dati e dei sistemi

37.

Riferimento nelle Linee guida dell'ABE

Paragrafo 81

Considerazione

Gli enti e gli istituti di pagamento dovrebbero garantire che i fornitori di servizi, ove opportuno, rispettino gli standard di sicurezza IT appropriati

Commento di Atlassian

Atlassian viene sottoposta regolarmente a un'analisi indipendente dei controlli di sicurezza, privacy e conformità. Nel corso della durata del contratto che abbiamo stipulato con te, rispetteremo come requisito minimo gli standard indicati nel nostro Trust Center, tra cui le certificazioni ISO/IEC 27001 e ISO/IEC 27018 e i report di audit SOC 2 Type II e SOC 3:
https://www.atlassian.com/trust/compliance

38.

Riferimento nelle Linee guida dell'ABE

Paragrafo 82

Considerazione

Ove opportuno (ad esempio nel contesto dell'esternalizzazione del cloud o di altre TIC), gli enti e gli istituti di pagamento dovrebbero definire i requisiti di sicurezza dei dati e dei sistemi nell'ambito dell'accordo di esternalizzazione e dovrebbero monitorare la conformità a tali requisiti su base continuativa.

Commento di Atlassian

Considerata la natura uno-a-molti dei nostri Prodotti Cloud interessati, offriamo la stessa solida sicurezza a tutti i nostri clienti. Queste pratiche di sicurezza sono descritte in dettaglio nel nostro Trust Center:
https://www.atlassian.com/trust/

Ci impegniamo a rispettare le pratiche di sicurezza del nostro Trust Center e a non ridurre sostanzialmente la sicurezza complessiva dei nostri Prodotti Cloud interessati durante il periodo di abbonamento.

39.

Riferimento nelle Linee guida dell'ABE

Paragrafo 83

Considerazione

In caso di esternalizzazione a fornitori di servizi cloud e di altri accordi di esternalizzazione che comportano il trattamento o il trasferimento di dati personali o riservati, gli enti e gli istituti di pagamento dovrebbero adottare un approccio basato sul rischio per l'archiviazione dei dati e i luoghi del loro trattamento (ad es. paese o regione) e per le considerazioni sulla sicurezza delle informazioni.

Commento di Atlassian

Questa è una considerazione del cliente.

40.

Riferimento nelle Linee guida dell'ABE

Paragrafo 84

Considerazione

Fatti salvi i requisiti di cui al Regolamento (UE) 2016/679, gli enti e gli istituti di pagamento, in caso di esternalizzazione (in particolare a paesi terzi), dovrebbero tener conto delle differenze tra le disposizioni nazionali in materia di protezione dei dati. Gli enti e gli istituti di pagamento dovrebbero garantire che l'accordo di esternalizzazione includa l'obbligo che il fornitore di servizi protegga le informazioni riservate, personali o altrimenti sensibili e rispetti tutti i requisiti legali in materia di protezione dei dati che si applicano all'ente o all'istituto di pagamento (ad es., la protezione dei dati personali e il rispetto del segreto bancario o di obblighi di riservatezza legale simili in relazione alle informazioni dei clienti, ove applicabili).

Commento di Atlassian

Nella nostra Appendice sul trattamento dei dati sono indicati gli impegni specifici in merito al trattamento e alla sicurezza dei dati personali dei clienti. Ulteriori informazioni sul nostro programma di conformità al GDPR sono disponibili qui:

https://www.atlassian.com/trust/compliance/resources/gdpr

41.

Riferimento nelle Linee guida dell'ABE

13.3 Diritti di accesso, informazione e audit

42.

Riferimento nelle Linee guida dell'ABE

Paragrafo 85

Considerazione

Gli enti e gli istituti di pagamento dovrebbero garantire, nell'ambito dell'accordo scritto di esternalizzazione, che la funzione di audit interno sia in grado di controllare la funzione esternalizzata utilizzando un approccio basato sul rischio.

Commento di Atlassian

Atlassian fornisce agli enti appositi meccanismi contrattuali per controllare i Prodotti Cloud interessati su base continuativa.

43.

Riferimento nelle Linee guida dell'ABE

Paragrafo 86

Considerazione

Indipendentemente dall'essenzialità o dall'importanza della funzione esternalizzata, gli accordi scritti di esternalizzazione tra enti e fornitori di servizi dovrebbero fare riferimento ai poteri di raccolta delle informazioni e di indagine delle autorità competenti e delle autorità di risoluzione di cui all'Articolo 63(1)(a) della Direttiva 2014/59/UE e all'Articolo 65(3) della Direttiva 2013/36/UE in relazione ai fornitori di servizi che si trovano in uno Stato membro e dovrebbero inoltre garantire tali diritti in relazione ai fornitori di servizi che si trovano in paesi terzi.

Commento di Atlassian

Atlassian riconosce i poteri di raccolta delle informazioni e di indagine delle autorità competenti e delle autorità di risoluzione ai sensi della legislazione UE pertinente e applicabile.

44.

Riferimento nelle Linee guida dell'ABE

Paragrafo 87

Considerazione

In merito all'esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero garantire, nell'ambito dell'accordo scritto di esternalizzazione, che il fornitore di servizi conceda a loro e alle rispettive autorità competenti, comprese le autorità di risoluzione, e a qualsiasi altra persona da essi designata o autorità competente, quanto segue:

(a) l'accesso completo a tutti i locali commerciali pertinenti (ad es., sedi centrali e centri operativi), nonché all'intera gamma di dispositivi, sistemi, reti, informazioni e dati pertinenti utilizzati per fornire la funzione esternalizzata, comprese le relative informazioni finanziarie, il personale e i revisori esterni del fornitore di servizi ("diritti di accesso e informazione"); e

(b) i diritti illimitati di ispezione e audit relativi all'accordo di esternalizzazione ("diritti di audit"), per consentire loro di monitorare l'accordo di esternalizzazione e garantire la conformità a tutti i requisiti normativi e contrattuali applicabili.

Commento di Atlassian

Per tutti gli enti che utilizzano i Prodotti Cloud interessati, Atlassian fornisce agli enti, alle loro autorità competenti e alle persone da essi designate i diritti di audit, informazioni e accesso necessari.

45.

Riferimento nelle Linee guida dell'ABE

Paragrafo 88

Considerazione

Per l'esternalizzazione di funzioni che non sono essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero garantire i diritti di accesso e di audit di cui al paragrafo 87(a) e (b) e alla Sezione 13.3, secondo un approccio basato sul rischio, considerando la natura della funzione esternalizzata e i relativi rischi operativi e reputazionali, la sua scalabilità, l'impatto potenziale sullo svolgimento continuativo delle proprie attività e il periodo contrattuale. Gli enti e gli istituti di pagamento dovrebbero tener conto del fatto che le funzioni possono diventare essenziali o importanti nel tempo.

Commento di Atlassian

Vedi la riga 44 sopra.

46.

Riferimento nelle Linee guida dell'ABE

Paragrafo 89

Considerazione

Gli enti e gli istituti di pagamento dovrebbero garantire che l'accordo di esternalizzazione o qualsiasi altro accordo contrattuale non ostacoli o limiti l'esercizio effettivo dei diritti di accesso e di audit da parte loro, delle autorità competenti o di terze parti da essi designate per l'esercizio di tali diritti.

Commento di Atlassian

Il nostro programma di audit è pensato per consentire ai clienti qualificati e alle relative autorità competenti di controllare in modo efficace i Prodotti Cloud interessati.

47.

Riferimento nelle Linee guida dell'ABE

Paragrafo 90

Considerazione

Gli enti e gli istituti di pagamento dovrebbero esercitare i propri diritti di accesso e di audit, determinare la frequenza e i settori da sottoporre all'audit secondo un approccio basato sul rischio e aderire agli standard di audit nazionali e internazionali pertinenti comunemente accettati.

Commento di Atlassian

Abbiamo sviluppato un programma di audit coerente con questa considerazione.

48.

Riferimento nelle Linee guida dell'ABE

Paragrafo 91

Considerazione

Fatta salva la loro responsabilità finale in merito agli accordi di esternalizzazione, gli enti e gli istituti di pagamento possono utilizzare:

(a) audit collettivi organizzati congiuntamente con altri clienti dello stesso fornitore di servizi ed eseguiti da loro e da questi clienti o da terze parti da essi designate per utilizzare le risorse di audit in modo più efficiente e ridurre l'onere organizzativo sia per i clienti che per il fornitore di servizi;

(b) certificazioni di terze parti e report di audit interno o di terze parti, messi a disposizione dal fornitore di servizi.

Commento di Atlassian

Il nostro programma di audit consente agli enti di controllare i Prodotti Cloud interessati utilizzando audit collettivi e/o certificazioni di terze parti.

49.

Riferimento nelle Linee guida dell'ABE

Paragrafo 92

Considerazione

Per l'esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero valutare se le certificazioni e i report di terze parti di cui al paragrafo 91(b) siano adeguati e sufficienti per ottemperare ai loro obblighi normativi e non dovrebbero basarsi unicamente su questi report nel tempo.

Commento di Atlassian

Questa è una considerazione del cliente.

50.

Riferimento nelle Linee guida dell'ABE

Paragrafo 93

Considerazione

Gli enti e gli istituti di pagamento dovrebbero utilizzare il metodo di cui al paragrafo 91(b) solo se:

(a) sono soddisfatti del piano di audit per la funzione esternalizzata;

(b) garantiscono che l'ambito della certificazione o del report di audit copre i sistemi (ad es. processi, applicazioni, infrastrutture, centri dati ecc.) e i controlli chiave individuati dall'ente o dall'istituto di pagamento e la conformità ai requisiti normativi pertinenti;

(c) valutano attentamente il contenuto delle certificazioni o dei report di audit su base continuativa e verificano che tali report o certificazioni non siano obsoleti;

(d) garantiscono che i sistemi e i controlli chiave siano contemplati nelle versioni future della certificazione o del report di audit;

(e) sono soddisfatti di chi si occupa della certificazione o dell'audit (ad es. per quanto riguarda la rotazione della società di certificazione o di audit, le qualifiche, la competenza e la riesecuzione/verifica delle prove contenute nel file di audit sottostante);

(f) sono certi che le certificazioni siano rilasciate e che gli audit vengano eseguiti sulla base di standard professionali pertinenti ampiamente riconosciuti e che includano un test dell'efficacia operativa dei controlli chiave in atto;

(g) hanno il diritto contrattuale di richiedere l'estensione dell'ambito delle certificazioni o dei report di audit ad altri sistemi e controlli pertinenti; il numero e la frequenza di tali richieste di modifica dell'ambito dovrebbero essere ragionevoli e legittimi dal punto di vista della gestione del rischio; e

(h) conservano il diritto contrattuale di eseguire a propria discrezione audit individuali in relazione all'esternalizzazione di funzioni essenziali o importanti.

Commento di Atlassian

I commi da (a) a (f) sono considerazioni del cliente. Per quanto riguarda il comma (g), forniamo agli enti un meccanismo contrattuale per richiedere modifiche ai nostri controlli e processi di audit. Il comma (h) è indicato nella riga 44 sopra.

51.

Riferimento nelle Linee guida dell'ABE

Paragrafo 94

Considerazione

In conformità alle Linee guida dell'ABE sulla valutazione del rischio delle TIC ai sensi dello SREP, gli enti dovrebbero, ove opportuno, garantire di essere in grado di effettuare test di penetrazione della sicurezza per valutare l'efficacia delle misure e dei processi di sicurezza interna delle TIC e di quella informatica attuati. Considerando il Titolo I, gli istituti di pagamento dovrebbero inoltre disporre di meccanismi di controllo delle TIC interni, come il controllo della sicurezza delle TIC e le misure di mitigazione.

Commento di Atlassian

Atlassian offre ai clienti il diritto di effettuare test di penetrazione in qualsiasi momento senza la previa approvazione di Atlassian: https://www.atlassian.com/trust/security/security-testing

52.

Riferimento nelle Linee guida dell'ABE

Paragrafo 95

Considerazione

Prima di una visita in loco programmata, gli enti, gli istituti di pagamento, le autorità competenti e i revisori o le terze parti che agiscono per conto dell'ente, dell'istituto di pagamento o delle autorità competenti dovrebbero fornire un preavviso ragionevole al fornitore di servizi, a meno che ciò non sia possibile a causa di un'emergenza o di una situazione di crisi o nel caso in cui farlo porterebbe a una situazione in cui l'audit non sarebbe più efficace.

Commento di Atlassian

Il nostro programma di audit è stato progettato su misura per questa considerazione.

53.

Riferimento nelle Linee guida dell'ABE

Paragrafo 96

Considerazione

Quando vengono eseguiti audit in ambienti multi-client, è necessario prestare attenzione per garantire che i rischi per l'ambiente di un altro cliente (ad es. l'impatto sui livelli di servizio, la disponibilità dei dati o aspetti relativi alla riservatezza) vengano evitati o mitigati.

Commento di Atlassian

È estremamente importante per Atlassian e per i suoi clienti che ciò che facciamo con un cliente non comporti un rischio per altri clienti. Questo discorso è valido nei casi in cui viene eseguito un audit, ma anche quando un altro cliente esegue un audit. Quando un ente esegue un audit, collaboreremo con quest'ultimo per ridurre al minimo le interruzioni per gli altri nostri clienti. Allo stesso modo, lavoreremo con un altro cliente che esegue un audit per ridurre al minimo le interruzioni per l'ente. In particolare, ci assicureremo di rispettare in ogni momento i nostri impegni in materia di sicurezza.

54.

Riferimento nelle Linee guida dell'ABE

Paragrafo 97

Considerazione

Qualora l'accordo di esternalizzazione comporti un elevato livello di complessità tecnica, ad esempio nel caso dell'esternalizzazione del cloud, l'ente o l'istituto di pagamento dovrebbero verificare che chiunque esegui l'audit, a prescindere che si tratti di revisori interni, di un insieme di revisori o di revisori esterni che agiscono per loro conto, possieda competenze e conoscenze adeguate e pertinenti per eseguire audit e/o valutazioni pertinenti in modo efficace. Lo stesso discorso si applica al personale dell'ente o dell'istituto di pagamento che controlla le certificazioni di terze parti o gli audit che vengono eseguiti dai fornitori di servizi.

Commento di Atlassian

Questa è una responsabilità del cliente.

55.

Riferimento nelle Linee guida dell'ABE

13.4 Diritti di cessazione

56.

Riferimento nelle Linee guida dell'ABE

Paragrafo 98

Considerazione

L'accordo di esternalizzazione dovrebbe concedere espressamente all'ente o all'istituto di pagamento la possibilità di cessare l'accordo, in conformità alla legge applicabile, anche nelle seguenti situazioni:

(a) qualora il fornitore delle funzioni esternalizzate violi la legge, le normative o le disposizioni contrattuali applicabili;

(b) qualora vengano individuati impedimenti in grado di alterare lo svolgimento della funzione esternalizzata;

(c) in caso di modifiche sostanziali che riguardano l'accordo di esternalizzazione o il fornitore di servizi (ad es. sub-esternalizzazione o modifiche di subappaltatori);

(d) in presenza di carenze relative alla gestione e alla sicurezza di dati o informazioni riservati, personali o altrimenti sensibili; e

(e) quando le istruzioni sono impartite dall'autorità competente dell'ente o dell'istituto di pagamento, ad esempio nel caso in cui l'autorità competente, a causa dell'accordo di esternalizzazione, non sia più in grado di supervisionare efficacemente l'ente o l'istituto di pagamento.

Commento di Atlassian

Forniamo ai clienti un ampio diritto di recesso libero, che consente loro di cessare il contratto in una qualsiasi delle circostanze elencate nella Sezione 13.4 delle Linee guida dell'ABE.

57.

Riferimento nelle Linee guida dell'ABE

Paragrafo 99

Considerazione

L'accordo scritto di esternalizzazione dovrebbe:

Atlassian Commentary

 

58.

EBA Guidelines Reference

 

Considerazione

(a) indicare chiaramente gli obblighi del fornitore di servizi esistente, in caso di trasferimento della funzione esternalizzata a un altro fornitore di servizi o di ritorno all'ente o all'istituto di pagamento, incluso il trattamento dei dati;

Commento di Atlassian

Forniamo a tutti i clienti funzionalità interne al prodotto per esportare i loro dati in qualsiasi momento nel corso della durata del contratto senza la nostra assistenza.

59.

EBA Guidelines Reference

 

Considerazione

(b) fissare un periodo di transizione adeguato durante il quale il fornitore di servizi, dopo la cessazione dell'accordo di esternalizzazione, continuerà a fornire la funzione esternalizzata per ridurre il rischio di interruzioni; e

Commento di Atlassian

Se richiesto da un ente, è possibile prorogare la durata dell'abbonamento per un breve periodo per consentirne la transizione verso un altro fornitore di servizi.

60.

EBA Guidelines Reference

 

Considerazione

(c) includere l'obbligo per il fornitore di servizi di supportare l'ente o l'istituto di pagamento nel trasferimento ordinato della funzione in caso di cessazione del contratto di esternalizzazione.

Commento di Atlassian

Vedi le righe 58 e 59 sopra.