Autorità di vigilanza sul mercato finanziario (Svizzera) - FINMA
Linee guida per l'esternalizzazione Atlassian
Esclusione di responsabilità
Le linee guida fornite di seguito hanno il solo scopo di assistere i clienti Cloud del settore pubblico residenti in Svizzera, nonché le organizzazioni aziendali considerate "entità regolamentate" dall'Autorità federale di vigilanza sui mercati finanziari FINMA (Eidgenössische Finanzmarktaufsicht) che stanno valutando l'esternalizzazione delle funzioni aziendali al cloud nella loro valutazione dei prodotti cloud di Atlassian e dei servizi associati.
Questo report è riservato esclusivamente alle informazioni e alle indicazioni fornite da Atlassian ai suoi clienti Cloud su come ci allineiamo alla FINMA. Parallelamente, disponiamo di un white paper dedicato alle responsabilità condivise che sia un provider di servizi cloud (Cloud Service Provider, CSP), come Atlassian, sia i suoi clienti devono tenere a mente per garantire la conformità alla FINMA. Questo modello di responsabilità condivisa non elimina la responsabilità e il rischio per i clienti che utilizzano i prodotti Atlassian Cloud, ma è utile per alleggerire gli oneri dei nostri clienti, ad esempio gestendo e controllando i componenti del sistema e del controllo fisico delle strutture e trasferendo una parte del costo della sicurezza e della conformità dai clienti ad Atlassian.
Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza.
| | Linee guida FINMA | Risposta di Atlassian | Risorse Atlassian |
Introduzione |
| La FINMA è la principale responsabile della gestione dei rischi operativi e di esternalizzazione per gli istituti finanziari. Garantisce (i) che gli istituti finanziari mantengano adeguati controlli di governance della sicurezza per proteggere se stessi, i creditori e le singole persone quando collaborano con fornitori di servizi esternalizzati e (ii) che i mercati finanziari svizzeri funzionino efficacemente. |
|
Guida all'esternalizzazione BaFin |
| Il nostro whitepaper sull'esternalizzazione FINMA offre mappature specifiche per ogni requisito e informazioni su come Atlassian Cloud Enterprise ti aiuta a soddisfare i diversi obblighi, comprese informazioni sui diritti di audit, sul diritto di emettere istruzioni, sulla sicurezza dei dati, sulla risoluzione e sull'esternalizzazione a catena. Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza. | |
Linee guida dell'EBA |
| Il nostro whitepaper sull'esternalizzazione FINMA offre mappature specifiche per ogni requisito e informazioni su come Atlassian Cloud Enterprise ti aiuta a soddisfare i diversi obblighi, comprese informazioni sui diritti di audit, sul diritto di emettere istruzioni, sulla sicurezza dei dati, sulla risoluzione e sull'esternalizzazione a catena. Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza. | |
Inventario delle funzioni esternalizzate | 4.1. (14) Il cliente deve tenere un inventario aggiornato delle funzioni esternalizzate che includa una descrizione di tali funzioni, il fornitore di servizi (compresi i sub-appaltatori), il destinatario dell'esternalizzazione e l'unità interna del cliente, responsabile dell'esternalizzazione | Ricordiamo che questo è un obbligo per i nostri clienti, gli istituti regolamentati. Tuttavia, in alcuni casi Atlassian può sub-esternalizzare alcune funzioni critiche o importanti a fornitori di servizi di alta qualità (ad esempio, provider di hosting di dati) in conformità al GDPR. | |
Selezione, istruzione e monitoraggio del provider di servizi | 5.1. (16) Le specifiche del servizio devono essere concordate in linea con gli obiettivi dell'esternalizzazione e documentate prima della firma dell'accordo. Ciò include la conduzione di un'analisi dei rischi che tenga conto delle principali considerazioni economiche e operative, nonché dei rischi e delle opportunità associati. | Questo obbligo non si applica ai fornitori di servizi Cloud. Atlassian, tuttavia, fornisce diverse risorse per aiutare i propri clienti a condurre le necessarie valutazioni del rischio e la due diligence di cui hanno bisogno. Per ulteriori informazioni sulla sicurezza e sulle pratiche operative di Atlassian, visita il Trust Center di Atlassian (https://www.atlassian.com/trust) dove troverai:
| Trust Center |
| 5.2. (17) Il fornitore di servizi deve essere scelto con la dovuta considerazione ed è soggetto a verifiche delle sue capacità professionali e delle sue risorse finanziarie e umane. Se più funzioni vengono esternalizzate allo stesso fornitore di servizi, è necessario tenere conto della concentrazione del rischio. | Consulta le nostre linee guida nella nostra risposta alle Sezioni 4.1 e 5.1. |
| |
| 5.3. (18) Quando si decide di esternalizzare e selezionare il provider di servizi, è necessario prendere in considerazione la possibilità di cambiare provider di servizi e le possibili conseguenze di tale cambiamento. Il provider di servizi deve offrire una garanzia di fornitura permanente del servizio. È necessario prevedere di riportare all'interno la funzione esternalizzata o trasferirla. | Durante il Periodo di abbonamento per il quale hai acquistato un prodotto Cloud incluso applicabile, faremo del nostro meglio per fornirti una percentuale di operatività mensile come definito di seguito ("Impegno sul livello di servizio"):
I termini dei livelli di servizio corrispondenti, nonché i rimedi per il mancato rispetto dei livelli di servizio, per i prodotti Cloud interessati sono illustrati nel nostro Accordo sui livelli di servizio e nei Termini specifici di prodotto corrispondenti. | Accordo sul livello di servizio di Atlassian | |
| 5.4. (19) Gli obblighi delle parti devono essere concordati e delimitati contrattualmente, in particolare per quanto riguarda le interfacce e le responsabilità. | Consulta il Contratto con i clienti Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | ||
| 5,5. (20 - 21) Il cliente deve monitorare e valutare continuamente i servizi di un provider di esternalizzazione e, a tal fine, deve stabilire le condizioni contrattuali per i necessari diritti di istruzione e controllo. | Per aiutarti con la conformità e la rendicontazione, condividiamo informazioni e best practice, oltre a fornire un facile accesso alla documentazione sulla funzionalità dei nostri prodotti. Per conquistare la tua fiducia, i nostri prodotti sono regolarmente sottoposti a una verifica indipendente dei controlli di sicurezza, privacy e conformità, grazie alla quale ottengono certificazioni basate su standard globali. | ||
Sicurezza | 6.1. (24) Le parti devono accettare contrattualmente i requisiti di sicurezza applicabili e il cliente deve monitorare la conformità a tali requisiti. | Gli impegni contrattuali in materia di sicurezza sono inclusi nella Sezione 4.2 del Contratto con i clienti Atlassian (https://www.atlassian.com/legal/atlassian-customer-agreement), in cui si afferma che Atlassian ha implementato e manterrà misure di sicurezza fisiche, tecniche e organizzative progettate per proteggere i dati dei clienti da accesso, distruzione, uso, modifica o divulgazione non autorizzati. Questa sezione afferma inoltre che Atlassian gestirà un programma di conformità che include audit e certificazioni indipendenti di terze parti. Il nostro Trust Center (https://www.atlassian.com/trust), aggiornato periodicamente, fornisce ulteriori dettagli sulle nostre misure di sicurezza e certificazioni. | Contratto con i clienti Atlassian |
| 6.2. (25) Le parti devono elaborare un quadro di sicurezza per garantire che la funzione esternalizzata possa continuare a essere svolta in caso di emergenza | Gestiamo piani di continuità aziendale e piani di ripristino di emergenza, come descritto nel nostro Trust Center (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Questi piani vengono controllati e testati almeno una volta all'anno. | ||
Revisione e supervisione | 7.1. (26) Il cliente, la sua società di revisione contabile e la FINMA devono essere in grado di verificare la conformità del fornitore di servizi alle norme di vigilanza. A tal fine, devono avere il diritto contrattuale di ispezionare e revisionare tutte le informazioni relative alla funzione esternalizzata in qualsiasi momento senza restrizioni. | Atlassian riconosce che le entità regolamentate ai sensi della FINMA devono essere in grado di controllare i nostri servizi in modo efficace. Atlassian concede determinati diritti di revisione, accesso e informazione a tali entità regolamentate e alle loro autorità di vigilanza in conformità alle leggi applicabili. Le entità regolamentate possono accedere ai propri dati sui servizi in qualsiasi momento e possono fornire l'accesso alla propria autorità di vigilanza. |
|
| 7.2. (27) La revisione può essere delegata ai revisori del fornitore di servizi se sono adeguatamente qualificati. In tal caso, la società di revisione del cliente può utilizzare i risultati dei revisori del fornitore di servizi per la revisione. | I nostri prodotti Cloud sono regolarmente sottoposti a una verifica indipendente dei relativi controlli di sicurezza, privacy e conformità, grazie alla quale ottengono certificazioni, attestazioni di conformità o report di audit basati su standard globali. Puoi verificare la sicurezza leader del settore, gli audit e le certificazioni di terze parti, le documentazioni e gli impegni legali di Atlassian che aiutano a supportare la tua conformità presso il nostro Centro risorse per la conformità (https://www.atlassian.com/trust/compliance/resources). | ||
| 7.3. (28) L'esternalizzazione di una funzione non deve rendere più difficile la supervisione da parte della FINMA, in particolare se la funzione viene esternalizzata in un altro Paese. | Atlassian rimane responsabile delle sue prestazioni complessive, ai sensi del contratto con il cliente Atlassian, anche per le funzioni sub-esternalizzate. Inoltre, per quanto riguarda le sub-esternalizzazioni critiche o importanti, Atlassian si impegna a garantire di stipulare contratti appropriati con tali subappaltatori, che concedono ad Atlassian i diritti di revisione necessari e richiedono a tali subappaltatori di rispettare tutte le leggi applicabili. |
| |
| 7.4. (29) Se il fornitore di servizi non è supervisionato dalla FINMA, deve essere contrattualmente obbligato a fornire alla FINMA tutte le informazioni e la documentazione relative alle funzioni esternalizzate, necessarie per le attività di vigilanza della FINMA. Se la revisione è delegata ai revisori del fornitore di servizi, il loro report deve essere fornito, su richiesta, alla FINMA nonché ai revisori interni e alla società di revisione contabile del cliente che effettua l'esternalizzazione. | Su richiesta, Atlassian fornirà il suo report di revisione di terze parti. |
| |
Esternalizzazione all'estero | 8.1. (30) L'esternalizzazione in un altro Paese è ammissibile se il cliente può garantire espressamente che il cliente, la sua società di revisione e la FINMA possono affermare e far valere il proprio diritto di ispezionare e verificare le informazioni. | Il nostro whitepaper sull'esternalizzazione FINMA offre mappature specifiche per ogni requisito e informazioni su come Atlassian Cloud Enterprise ti aiuta a soddisfare i diversi obblighi, comprese informazioni sui diritti di audit, sul diritto di emettere istruzioni, sulla sicurezza dei dati, sulla risoluzione e sull'esternalizzazione a catena. Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza. | |
| 8.2. (31) Il cliente deve garantire che l'esternalizzazione a un fornitore di servizi estero non ostacoli la ristrutturazione o la risoluzione in Svizzera e le informazioni necessarie a tal fine devono essere accessibili in Svizzera in ogni momento. | Atlassian collaborerà ragionevolmente con i nostri clienti in caso di cambio di controllo, cessione o altra ristrutturazione organizzativa. |
| |
Accordo | 9.1. (32) L'esternalizzazione deve essere basata su un accordo scritto. Oltre a nominare le parti e descrivere la funzione esternalizzata, l'accordo deve soddisfare anche i requisiti indicati ai punti n. 33–34. | Tutti i rapporti con i clienti sono regolati da un contratto formale. Consulta il Contratto con i clienti Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) Il cliente deve assicurarsi di essere informato sull'uso o la sostituzione di subappaltatori per funzioni significative in una fase precoce e di avere la possibilità di porre fine all'esternalizzazione in modo ordinato in conformità al punto n. 18.1. Se vengono utilizzati subappaltatori, questi devono anche essere vincolati dagli obblighi e dalle garanzie da parte del fornitore di servizi necessari per conformarsi alla presente circolare. | La sezione 13.4 delle linee guida dell'EBA descrive i diritti di recesso del cliente. In essa si afferma che "forniamo ai clienti un ampio diritto di recesso libero, che consente loro di cessare il contratto in una qualsiasi delle circostanze elencate nella Sezione 13.4 delle Linee guida dell'ABE." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) L'accordo deve includere misure per garantire l'attuazione dei requisiti stabiliti nella presente circolare, in particolare ai punti n. 21, 24, 26, 29, 30 e 31. | Vedi le domande 5.5, 6.1, 7.1, 7.4, 8.1 e 8.2 |
|