Close
AICPA 로고

EBA 가이드라인

매핑 차트

아래 차트에서는 EBA(European Banking Authority)의 아웃소싱 계약 가이드라인(“EBA 가이드라인”)의 13절(계약 단계)의 각 항을 자세히 살펴봅니다. 또한 고객의 내부 검토를 돕기 위해 EBA 가이드라인의 각 고려 사항을 해결하는 방법에 관한 설명도 추가되어 있습니다. Atlassian의 금융 서비스는 보장되는 Cloud 제품의 Enterprise 에디션을 구매한 자격을 갖춘 고객을 대상으로 합니다.

마지막 업데이트: 2021년 12월, [PDF를 다운로드하려면 여기를 클릭하세요]

 

EBA 가이드라인 참조

고려 사항

Atlassian 설명

1.

EBA 가이드라인 참조

13. 계약 단계

2.

EBA 가이드라인 참조

74항

고려 사항

기관, 결제 기관 및 서비스 공급자의 권리 및 의무는 서면 계약서에 명확하게 할당되고 명시되어야 합니다.

Atlassian 설명

일반적으로 Atlassian 고객 계약에 명시되어 있습니다.

3.

EBA 가이드라인 참조

75항

고려 사항

중대하거나 중요한 기능에 대한 아웃소싱 계약은 최소한 다음을 명시해야 합니다.

Atlassian Commentary

 

4.

EBA Guidelines Reference

 

고려 사항

(a) 제공할 아웃소싱 기능에 대한 명확한 설명.

Atlassian 설명

자격을 갖춘 고객을 위한 Atlassian 고객 계약에 참조로 통합된 설명서에는 보장하는 Cloud 제품에 대한 명확한 설명이 포함되어 있습니다.

5.

EBA Guidelines Reference

 

고려 사항

(b) 해당하는 경우 계약의 시작 날짜 및 종료 날짜, 서비스 공급자 및 기관 또는 결제 기관의 통지 기간.

Atlassian 설명

Atlassian 고객 계약에는 구독 기간의 기본 기간과 적용 가능한 모든 통지 기간이 명시됩니다. 또한 하나 이상의 보장되는 Cloud 제품을 주문할 때 해당 구독 기간의 시작 날짜 및 종료 날짜를 포함합니다.

6.

EBA Guidelines Reference

 

고려 사항

(c) 계약의 준거법.

Atlassian 설명

Atlassian 고객 계약의 기본 준거법은 캘리포니아 법입니다. 자세한 내용은 엔터프라이즈 영업팀에 문의하세요.

7.

EBA Guidelines Reference

 

고려 사항

(d) 당사자의 재정적 의무.

Atlassian 설명

보장되는 Cloud 제품의 모든 가격은 www.atlassian.com에 게시됩니다.

8.

EBA Guidelines Reference

 

고려 사항

(e) 중대하거나 중요한 기능 또는 해당 기능 중 상당 부분의 하위 아웃소싱이 허용되는지 여부, 허용될 경우 하위 아웃소싱이 적용되는 13.1절(중대 및 중요 기능의 하위 아웃소싱)에 명시된 조건.

Atlassian 설명

21~36행의 13.1절 설명을 참조하세요.

9.

EBA Guidelines Reference

 

고려 사항

(f) 서비스 공급자가 위치 변경을 제안할 경우 중대하거나 중요한 기능을 제공되거나 가능한 스토리지 위치를 포함하여 관련 데이터를 보관 및 처리하는 위치(예: 지역 또는 국가), 그리고 기관 또는 결제 기관에 통보해야 하는 요구 사항을 포함하여 준수해야 할 조건.

Atlassian 설명

보장되는 특정 Cloud 제품에는 여기에 자세히 설명된 대로 제품 내 데이터 보존 기능이 포함되어 있습니다. 이에 따라 고객의 관리자는 범위 내 제품 데이터를 원하는 위치에 고정할 수 있습니다. 이 페이지는 Atlassian의 클라우드 호스팅 인프라에 대해 설명합니다.

Atlassian은 계약에 따라 (a) 해당 구독 기간 동안 제품 기능을 크게 저하시키지 않으며 (b) 데이터 호스팅 위치의 변경 사항을 고객에게 알립니다.

10.

EBA Guidelines Reference

 

고려 사항

(g) 해당하는 경우 13.2절(데이터 및 시스템의 보안)에 명시된 관련 데이터의 접근성, 가용성, 무결성, 개인정보 보호 및 안전에 관한 조항.

Atlassian 설명

36~39행의 13.2 설명을 참조하세요.

11.

EBA Guidelines Reference

 

고려 사항

(h) 서비스 공급자의 의무 이행을 지속적으로 모니터링할 수 있는 기관 또는 결제 기관의 권리.

Atlassian 설명

Atlassian은 status.atlassian.com에 서비스 가용성 업데이트 항목을 게시하고 계약에 따라 보장되는 Cloud 제품의 가용성에 중대한 영향을 미치는 이벤트를 고객에게 알립니다.

12.

EBA Guidelines Reference

 

고려 사항

(i) 합의된 서비스 수준. 합의된 서비스 수준이 충족되지 않을 경우 과도한 지연 없이 적절한 시정 조치를 취할 수 있도록 적시에 모니터링하기 위해 아웃소싱된 기능에 대한 정확한 정량적 및 정성적 성과 목표를 포함.

Atlassian 설명

보장되는 Cloud 제품에 대한 해당하는 서비스 수준 약관과 서비스 수준을 충족하지 않는 경우의 해결 방법은 서비스 수준 계약 및 해당 제품별 약관에 있습니다.

13.

EBA Guidelines Reference

 

고려 사항

(j) 서비스 공급자가 기관 또는 결제 기관에 보고해야 할 의무. 서비스 공급자가 합의된 서비스 수준에 따라, 그리고 관련 법률 및 규제 요건, 해당하는 경우 서비스 공급자의 내부 감사 기능에 대한 보고서를 제출할 의무에 따라 중대하거나 중요한 기능을 효과적으로 수행하는 능력에 중요한 영향을 미칠 수 있는 개발에 대한 서비스 공급자의 통지를 포함.

Atlassian 설명

Atlassian은 status.atlassian.com에 서비스 가용성 업데이트 항목을 게시하고 계약에 따라 보장되는 Cloud 제품의 가용성에 중대한 영향을 미치는 이벤트를 고객에게 알립니다.

14.

EBA Guidelines Reference

 

고려 사항

(k) 서비스 공급자가 특정 위험에 대해 의무 보험에 가입해야 하는지 여부 및 해당하는 경우 요구하는 보험 보장 수준.

Atlassian 설명

Atlassian은 확인된 여러 위험에 대해, 그리고 Atlassian의 비즈니스에 적용되는 법률에서 요구하는 대로 보험 보장 범위를 유지합니다.

15.

EBA Guidelines Reference

 

고려 사항

(l) 비즈니스 연속성 계획을 구현하고 테스트하기 위한 요구 사항.

Atlassian 설명

Atlassian은 Trust Center에 설명된 대로 비즈니스 연속성 계획과 재해 복구 계획을 유지합니다. 해당 계획은 최소 1년에 한 번 검토하고 테스트합니다.

16.

EBA Guidelines Reference

 

고려 사항

(m) 서비스 공급자에게 파산, 정리 또는 비즈니스 운영 중단이 일어나는 경우 기관 또는 결제 기관이 소유한 데이터에 액세스할 수 있도록 보장하는 조항.

Atlassian 설명

Atlassian은 고객이 계약 기간 동안 데이터에 액세스하고 내보내는 것을 허용합니다.

Atlassian이 파산하는 경우에도 이런 이행 보장은 여전히 적용됩니다. 또한 Atlassian은 Atlassian의 파산으로 인해 계약을 종료할 권리가 없습니다. 단, 고객은 이 경우 편의를 위해 계약 종료를 선택할 수 있습니다.

만에 하나라도 Atlassian 파산이 발생할 경우, 고객은 지정된 파산 집행인을 상대할 때 이러한 이행 보장을 언급할 수 있습니다.

17.

EBA Guidelines Reference

 

고려 사항

(n) 서비스 공급자가 기관 또는 결제 기관(지명한 제3자 포함)의 관할 당국 및 정리 당국과 협력해야 할 의무.

Atlassian 설명

Atlassian은 기관의 관할 당국 및 정리 당국이 감사, 정보 및 액세스 권한을 행사할 때 해당 당국과 협력할 것입니다.

18.

EBA Guidelines Reference

 

고려 사항

(o) 기관의 경우 국가 분재 해결 당국의 권한, 특히 지침 2014/59/EU(BRRD)의 68조와 71조, 그리고 특히 해당 지침의 68조에 명시된 계약의 '실질적 의무'에 대한 설명의 명확한 참조.

Atlassian 설명

Atlassian은 기관 및 모든 정리 주체가 정리 기간 동안 비즈니스를 계속 수행할 수 있어야 한다는 점을 잘 알고 있습니다. 정리 기간 동안 지원을 제공하기 위해 Atlassian은 BRRD에서 요구하는 대로 정리 기간 동안 보장되는 Cloud 제품을 계속 제공합니다.

19.

EBA Guidelines Reference

 

고려 사항

(p) 13.3절(액세스, 정보 및 감사 권리)에 명시된 바와 같이 특히 중대하거나 중요한 아웃소싱 기능과 관련하여 서비스 공급자를 검사하고 감사할 수 있는 기관, 결제 기관 및 관할 당국의 무제한 권리.

Atlassian 설명

40~53행의 13.3절 관련 설명을 참조하세요.

20.

EBA Guidelines Reference

 

고려 사항

(q) 13.4절(종료 권리)에 명시된 종료 권리.

Atlassian 설명

56행의 13.4절 관련 설명을 참조하세요.

21.

EBA 가이드라인 참조

13.1 중대하거나 중요한 기능의 하위 아웃소싱

22.

EBA 가이드라인 참조

76항

고려 사항

아웃소싱 계약에는 중대하거나 중요한 기능 또는 해당 기능 중 상당 부분의 하위 아웃소싱이 허용되는지 여부를 명시해야 합니다.

Atlassian 설명

최소한의 중단으로 글로벌 제품을 제공하기 위해 Atlassian은 중대하거나 중요한 특정 기능을 고품질 서비스 공급자(예: 데이터 호스팅 공급자)에게 하위 아웃소싱할 수 있습니다.

23.

EBA 가이드라인 참조

77항

고려 사항

중대하거나 중요한 기능의 하위 아웃소싱이 허용되는 경우 기관 및 결제 기관은 하위 아웃소싱할 기능의 일부가 중대하거나 중요한지(예: 중대하거나 중요한 기능의 상당 부분) 결정하고, 그러한 경우 이를 등록부에 기록해야 합니다.

Atlassian 설명

이것은 고객의 고려 사항입니다.

24.

EBA 가이드라인 참조

78항

고려 사항

중대하거나 중요한 기능의 하위 아웃소싱이 허용되는 경우 서면 합의는 다음과 같아야 합니다.

Atlassian Commentary

 

25.

EBA Guidelines Reference

 

고려 사항

(a) 하위 아웃소싱에서 제외되는 모든 유형의 활동을 명시합니다.

Atlassian 설명

위의 22행을 참조하세요.

26.

EBA Guidelines Reference

 

고려 사항

(b) 하위 아웃소싱할 경우 준수해야 할 조건을 명시합니다.

Atlassian 설명

Atlassian은 중대하거나 중요한 기능의 변경 또는 새로운 하위 아웃소싱에 대해 공지하고 이러한 하위 아웃소싱 관련 정보를 제공합니다. 기관이 이러한 하위 아웃소싱에 대해 우려하는 경우 Atlassian은 해당 기관이 계약을 종료할 수 있도록 허용합니다.

27.

EBA Guidelines Reference

 

고려 사항

(c) 서비스 공급자와 기관 또는 결제 기관 간의 모든 계약상의 의무가 지속적으로 충족되도록 서비스 공급자는 하청 계약한 서비스를 감독할 의무가 있음을 명시합니다.

Atlassian 설명

Atlassian은 하위 아웃소싱된 모든 기능을 포함하여 Atlassian 고객 계약에 따른 전반적인 이행에 대한 책임을 집니다. 또한 중대하거나 중요한 하위 아웃소싱과 관련하여 Atlassian은 해당 하위 아웃소싱 업체와 적절한 계약을 체결하여 기관, 관할 당국 및 정리 당국에 적절한 감사, 액세스 및 정보 권한을 부여하고 이러한 하위 아웃소싱 업체에 모든 관련 법률을 준수할 것을 요구합니다.

28.

EBA Guidelines Reference

 

고려 사항

(d) 서비스 공급자가 데이터를 하위 아웃소싱하기 전에 기관 또는 결제 기관으로부터 사전에 구체적인 또는 일반적인 서면 승인을 받도록 요구합니다.

Atlassian 설명

DPA에 명시된 GDPR을 준수하기 위해, Atlassian은 고객의 사전 서면 동의 없이 고객 개인 데이터를 처리하는 하청 처리업체를 고용하지 않습니다.

29.

EBA Guidelines Reference

 

고려 사항

(e) 계획된 하위 아웃소싱 또는 해당 하위 아웃소싱의 중대한 변경 사항(특히 서비스 공급자가 아웃소싱 계약에 따른 책임을 이행할 수 있는 능력에 영향을 미칠 수 있는 경우)을 기관 또는 결제 기관에 알릴 서비스 공급자의 의무를 포함합니다. 여기에는 하청 계약업체가 계획한 중대한 변경 및 통지 기간이 포함됩니다. 특히 통지 기간을 설정할 때는 아웃소싱 기관 또는 결제 기관이 최소한 제안된 변경 사항에 대한 위험 평가를 수행하고 계획된 하위 아웃소싱 또는 중대한 변경이 효력을 발생하기 전에 변경에 반대할 수 있도록 시간적 여유를 제공해야 합니다.

Atlassian 설명

위의 26행을 참조하세요.

30.

EBA Guidelines Reference

 

고려 사항

(f) 적절한 경우 기관 또는 결제 기관이 해당하는 하위 아웃소싱 또는 중대한 변경 사항에 반대할 권리나 명시적인 승인이 필요함을 보장합니다.

Atlassian 설명

위의 26행을 참조하세요.

31.

EBA Guidelines Reference

 

고려 사항

(g) 부당한 하위 아웃소싱의 경우(예: 하위 아웃소싱으로 인해 기관 또는 결제 기관의 위험이 실질적으로 증가하거나 서비스 공급자가 기관 또는 결제 기관에 통보하지 않고 하위 아웃소싱을 수행하는 경우) 기관 또는 결제 기관에 계약을 종료할 수 있는 계약상의 권리를 보장합니다.

Atlassian 설명

위의 26행을 참조하세요.

32.

EBA 가이드라인 참조

79항

고려 사항

기관 및 결제 기관은 하청업체가 다음을 약속하는 경우에만 하위 아웃소싱에 동의해야 합니다.

Atlassian Commentary

 

33.

EBA Guidelines Reference

 

고려 사항

(a) 모든 관련 법률, 규제 요구 사항 및 계약상의 의무를 준수합니다.

Atlassian 설명

위의 27행을 참조하세요.

34.

EBA Guidelines Reference

 

고려 사항

(b) 서비스 공급자가 부여한 것과 동일한 액세스 및 감사 권한을 기관, 결제 기관 및 관할 당국에 부여합니다.

Atlassian 설명

위의 27행을 참조하세요.

35.

EBA 가이드라인 참조

80항

고려 사항

기관 및 결제 기관은 서비스 공급자가 기관 또는 결제 기관에서 규정한 정책에 따라 하청 서비스 공급자를 적절하게 감독하는지 확인해야 합니다. 제안된 하위 아웃소싱이 중대하거나 중요한 기능의 아웃소싱 합의에 심각한 악영향을 미칠 수 있거나 79항의 조건이 충족되지 않는 경우를 포함하여 위험을 심각하게 증가시킬 수 있는 경우, 기관 또는 결제 기관은 그러한 권리가 합의된 경우 하위 아웃소싱에 반대 및/또는 계약을 종료하는 등의 권리를 행사해야 합니다.

Atlassian 설명

위의 26행 및 27행을 참조하세요.

36.

EBA 가이드라인 참조

13.2 데이터 및 시스템 보안

37.

EBA 가이드라인 참조

81항

고려 사항

기관 및 결제 기관은 해당하는 경우 서비스 공급자가 적절한 IT 보안 표준을 준수하는지 확인해야 합니다.

Atlassian 설명

Atlassian은 정기적으로 보안, 개인정보 보호 및 컴플라이언스 컨트롤에 대한 독립적인 검사를 수행합니다. 계약 기간 동안 Atlassian은 ISO/IEC 27001 및 ISO/IEC 27018 인증과 SOC 2 Type II 및 SOC 3 감사 보고서를 포함하여 Trust Center에 명시된 표준을 준수합니다.
https://www.atlassian.com/trust/compliance

38.

EBA 가이드라인 참조

82항

고려 사항

관련 있는 경우(예: Cloud 또는 기타 ICT 아웃소싱의 컨텍스트에서) 기관 및 결제 기관은 아웃소싱 계약에 따라 데이터 및 시스템 보안 요구 사항을 정의하고 이러한 요구 사항을 준수하는지 지속적으로 모니터링해야 합니다.

Atlassian 설명

보장되는 Cloud 제품을 제공하는 한 회사와 여러 고객의 특성을 고려하여 Atlassian은 모든 고객에게 동일하게 강력한 보안을 제공합니다. 이러한 보안 관행은 Trust Center(https://www.atlassian.com/trust/)에 자세히 설명되어 있습니다.

Atlassian은 Trust Center의 보안 관행을 준수하고, 구독 기간 동안 보장되는 Cloud 제품의 전반적인 보안을 크게 저하하지 않기로 약속합니다.

39.

EBA 가이드라인 참조

83항

고려 사항

개인 또는 기밀 데이터의 처리 또는 이전을 수반하는 Cloud 서비스 공급자 및 기타 아웃소싱 계약의 경우 기관 및 결제 기관은 데이터 저장 및 데이터 처리 위치(예: 국가 또는 지역) 및 정보 보안 고려 사항에 대한 위험 기반 접근 방식을 채택해야 합니다.

Atlassian 설명

이것은 고객의 고려 사항입니다.

40.

EBA 가이드라인 참조

84항

고려 사항

기관 및 결제 기관은 (특히 제3국에) 아웃소싱할 때 규정(EU) 2016/679에 따른 요구 사항을 침해하지 않으면서 데이터 보호에 관한 국가별 조항의 차이를 고려해야 합니다. 기관 및 결제 기관은 서비스 공급자가 기밀 정보, 개인 정보 또는 기타 민감한 정보를 보호하고 해당 기관 또는 결제 기관에 적용되는 데이터 보호와 관련한 모든 법적 요구 사항(예: 개인 데이터의 보호 및 해당하는 경우 고객의 정보에 대한 금융 기밀 또는 유사한 법적 기밀 의무)을 준수할 의무가 아웃소싱 계약에 포함되어 있는지 확인해야 합니다.

Atlassian 설명

Atlassian은 고객 개인 데이터의 처리 및 보안에 관한 세부 책임이 명시되어 있는 데이터 처리 부록을 제공합니다. GDPR 컴플라이언스 프로그램에 대해 다음에서 자세히 알아볼 수 있습니다.

https://www.atlassian.com/trust/compliance/resources/gdpr

41.

EBA 가이드라인 참조

13.3 액세스, 정보 및 감사 권리

42.

EBA 가이드라인 참조

85항

고려 사항

기관 및 결제 기관은 서면 아웃소싱 계약에 따라 내부 감사 기능이 위험 기반 접근 방식을 사용하여 아웃소싱 기능을 검토할 수 있는지 확인해야 합니다.

Atlassian 설명

Atlassian은 보장되는 Cloud 제품을 지속적으로 검토할 수 있는 계약 메커니즘을 기관에게 제공합니다.

43.

EBA 가이드라인 참조

86항

고려 사항

아웃소싱 기능의 중대성이나 중요성과 관계없이 기관과 서비스 공급자 간의 서면 아웃소싱 계약은 회원국에 위치한 서비스 공급자와 관련한 지침 2014/59/EU의 63(1)(a)조 및 지침 2013/36/EU의 65(3)조에 따라 관할 당국 및 정리 당국의 정보 수집 및 조사 권한을 참조해야 합니다. 또한 제3국에 위치한 서비스 공급자와 관련해서도 이러한 권리를 보장해야 합니다.

Atlassian 설명

Atlassian은 관련 및 적용 가능한 EU 법률에 따라 관할 당국 및 정리 당국의 정보 수집 및 조사 권한을 인정합니다.

44.

EBA 가이드라인 참조

87항

고려 사항

중대하거나 중요한 기능의 아웃소싱과 관련하여 기관 및 결제 기관은 서면 아웃소싱 계약에 따라 서비스 공급자가 자신과 정리 당국을 포함한 관할 당국 및 자신 또는 해당 기관이 지명한 제3자에게 다음과 같은 권한을 부여하도록 보장해야 합니다.

(a) 관련 재무 정보, 직원 및 서비스 공급자의 외부 감사자를 포함하여 아웃소싱 기능을 제공하는 데 사용되는 모든 관련 기기, 시스템, 네트워크, 정보 및 데이터를 포함하는 모든 관련 사업장(예: 본사 및 운영 센터)에 대한 전체 액세스 권한('액세스 및 정보 권리').

(b) 아웃소싱 계약을 모니터링하고 적용 가능한 모든 규제 및 계약 요구 사항을 준수하는지 확인할 수 있는 아웃소싱 계약과 관련된 검사 및 감사에 대한 무제한 권리('감사 권리').

Atlassian 설명

Atlassian은 보장되는 Cloud 제품을 사용하는 모든 기관에 기관, 관계 당국 및 피지명자에 대해 필요한 액세스, 감사 및 정보를 제공합니다.

45.

EBA 가이드라인 참조

88항

고려 사항

중대하지 않거나 중요하지 않은 기능을 아웃소싱하는 경우, 기관 및 결제 기관은 아웃소싱 기능의 특성 및 관련 운영 및 평판 위험, 확장성, 활동의 지속적인 수행 및 계약 기간에 대한 잠재적 영향을 고려하여 위험 기반 접근 방식에 따라 제87(a)항과 (b)항, 13.3절에 명시된 대로 액세스 및 감사 권리를 보장해야 합니다. 기관 및 결제 기관은 시간이 지남에 따라 기능이 중대하거나 중요해질 수 있다는 점을 고려해야 합니다.

Atlassian 설명

위의 44행을 참조하세요.

46.

EBA 가이드라인 참조

89항

고려 사항

기관 및 결제 기관은 아웃소싱 계약 또는 기타 계약으로 인해 자신, 관할 당국 또는 그들이 지명한 제3자가 액세스 및 감사 권리를 효과적으로 행사하지 못하거나 제한받지 않도록 보장해야 합니다.

Atlassian 설명

Atlassian의 감사 프로그램은 자격을 갖춘 고객 및 해당 관계 당국이 보장되는 Cloud 제품을 효과적으로 감사할 수 있도록 설계되었습니다.

47.

EBA 가이드라인 참조

90항

고려 사항

기관 및 결제 기관은 액세스 및 감사 권리를 행사하고, 위험 기반 접근 방식에 따라 감사 빈도 및 감사 영역을 결정하며, 일반적으로 인정되는 관련 국내 및 국제 감사 표준을 준수해야 합니다.

Atlassian 설명

Atlassian은 이러한 고려 사항에 적합한 감사 프로그램을 개발했습니다.

48.

EBA 가이드라인 참조

91항

고려 사항

기관 및 결제 기관은 아웃소싱 계약에 관한 최종 책임을 침해하지 않으면서 다음을 이용할 수 있습니다.

(a) 감사 리소스를 더욱 효율적으로 사용하고 고객과 서비스 공급자 모두의 조직적 부담을 줄이기 위해 동일한 서비스 공급자의 다른 고객들과 공동으로 조직하고 그들과 고객 또는 그들이 지명한 제3자가 수행하는 합동 감사.

(b) 서비스 공급자가 제공하는 타사 인증 및 타사 또는 내부 감사 보고서.

Atlassian 설명

기관은 Atlassian의 감사 프로그램을 통해 합동 감사 및/또는 타사 인증을 사용하여 보장되는 Cloud 제품을 검토할 수 있습니다.

49.

EBA 가이드라인 참조

92항

고려 사항

중대하거나 중요한 기능을 아웃소싱하는 경우, 기관 및 결제 기관은 91(b)항에 언급된 타사 인증 및 보고서가 규제 의무를 준수하기에 적절하고 충분한지 평가해야 하며 시간이 지남에 따라 이러한 보고서에만 의존해서는 안 됩니다.

Atlassian 설명

이것은 고객의 고려 사항입니다.

50.

EBA 가이드라인 참조

93항

고려 사항

기관 및 결제 기관은 다음과 같은 경우에만 91(b)항에 언급된 방법을 사용해야 합니다.

(a) 아웃소싱 기능에 대한 감사 계획에 만족하는 경우.

(b) 인증 또는 감사 보고서의 범위가 시스템(예: 프로세스, 애플리케이션, 인프라, 데이터 센터 등)과 기관 또는 결제 기관에서 식별한 주요 컨트롤과 관련 규제 요구 사항에 대한 컴플라이언스를 포함하는 경우.

(c) 인증 또는 감사 보고서의 내용을 지속적으로 철저히 평가하고 보고서 또는 인증이 구식이 아닌지 확인하는 경우.

(d) 주요 시스템 및 컨트롤을 향후 버전의 인증 또는 감사 보고서에 포함하는지 확인하는 경우.

(e) 인증 또는 감사 당사자의 능력(예: 인증 또는 감사 회사의 교대, 자격, 전문 지식, 기본 감사 파일 속 증명 자료의 재수행/검증 관련)에 만족하는 경우.

(f) 인증을 발급받고 널리 인정되는 관련 전문 표준에 따라 감사가 수행되며 주요 컨트롤의 운영 효과에 대한 테스트를 포함한 것에 만족하는 경우.

(g) 인증 또는 감사 보고서의 범위를 다른 관련 시스템 및 컨트롤로 확장하도록 요청할 계약상의 권리가 있는 경우(범위 수정 요청의 횟수 및 빈도는 위험 관리 관점에서 합리적이고 합법적이어야 함).

(h) 중대하거나 중요한 기능의 아웃소싱과 관련하여 재량에 따라 개별 감사를 수행할 계약상의 권리를 보유하는 경우.

Atlassian 설명

(a)~(f)호는 고객이 고려해야 할 사항입니다. (g)호와 관련하여 Atlassian은 기관에 감사 컨트롤 및 프로세스에 대한 수정을 요청할 수 있는 계약 메커니즘을 제공합니다. (h)호는 위의 44행에 나와 있습니다.

51.

EBA 가이드라인 참조

94항

고려 사항

SREP에 따른 ICT 위험 평가에 관한 EBA 가이드라인에 따라, 기관은 해당하는 경우 보안 침투 테스트를 수행하여 구현된 사이버 및 내부 ICT 보안 조치 및 프로세스의 효과를 평가할 수 있어야 합니다. I장을 고려할 때 결제 기관은 ICT 보안 컨트롤 및 완화 조치를 포함한 내부 ICT 컨트롤 메커니즘도 갖추어야 합니다.

Atlassian 설명

Atlassian은 고객에게 Atlassian의 사전 승인 없이 언제든지 침투 테스트를 수행할 수 있는 권리를 제공합니다. https://www.atlassian.com/trust/security/security-testing

52.

EBA 가이드라인 참조

95항

고려 사항

계획된 현장 방문 전에 기관, 결제 기관, 관할 당국 및 감사자 또는 기관, 결제 기관 또는 관할 당국을 대행하는 제3자는 서비스 공급자에 합리적인 통지를 제공해야 합니다. 단, 비상사태 또는 위기 상황으로 인해 통지가 불가능하거나 감사가 더 이상 효과적이지 않은 상황으로 이어지는 경우는 예외입니다.

Atlassian 설명

Atlassian 감사 프로그램은 이러한 고려 사항에 맞게 조정되었습니다.

53.

EBA 가이드라인 참조

96항

고려 사항

다중 클라이언트 환경에서 감사를 수행할 때는 다른 클라이언트의 환경에 대한 위험(예: 서비스 수준, 데이터 가용성, 기밀성 측면에 미치는 영향)을 방지하거나 완화하도록 주의해야 합니다.

Atlassian 설명

Atlassian이 한 고객과 함께 하는 일로 인해 다른 고객들을 위험에 빠뜨리지 않아야 한다는 점은 매우 중요합니다. 이러한 주의 사항은 고객이 감사를 수행할 때 적용되고, 다른 고객이 감사를 수행하는 경우에도 적용됩니다. 기관이 감사를 수행할 때 Atlassian은 다른 고객의 업무 중단을 최소화하기 위해 기관과 협력할 것입니다. 기관의 업무 중단을 최소화하기 위해 다른 감사 고객과 협력하는 경우에도 마찬가지입니다. 특히 Atlassian은 항상 보안 약속을 준수하기 위해 주의를 기울일 것입니다.

54.

EBA 가이드라인 참조

97항

고려 사항

클라우드 아웃소싱과 같이 아웃소싱 계약이 높은 수준의 기술적 복잡성을 수반하는 경우, 기관 또는 결제 기관은 감사를 수행하는 사람(내부 감사자, 합동 감사자 또는 기관을 대행하는 외부 감사자)이 관련 감사 및/또는 평가를 효과적으로 수행할 수 있는 기술과 지식을 갖췄는지 확인해야 합니다. 서비스 공급자가 수행한 타사 인증 또는 감사를 검토하는 기관 또는 결제 기관의 모든 직원에게도 동일하게 적용됩니다.

Atlassian 설명

고객의 책임입니다.

55.

EBA 가이드라인 참조

13.4 종료 권리

56.

EBA 가이드라인 참조

98항

고려 사항

아웃소싱 계약은 다음 상황을 포함하여 관련 법률에 따라 기관 또는 결제 기관이 계약을 종료할 수 있는 가능성을 명시적으로 허용해야 합니다.

(a) 아웃소싱 기능 공급자가 관련 법률, 규정 또는 계약 조항을 위반하는 경우.

(b) 아웃소싱 기능의 이행을 변경할 수 있는 장애가 식별되는 경우.

(c) 아웃소싱 계약 또는 서비스 공급자에게 영향을 미치는 중대한 변경(예: 하위 아웃소싱 또는 하위 계약업체의 변경)이 있는 경우.

(d) 기밀, 개인 또는 기타 민감한 데이터 또는 정보의 관리 및 보안과 관련하여 취약점이 있는 경우.

(e) 기관 또는 결제 기관의 관할 당국이 지침을 내리는 경우(예: 관할 당국이 아웃소싱 계약으로 인해 더 이상 기관 또는 결제 기관을 효과적으로 감독할 수 없는 경우).

Atlassian 설명

Atlassian은 편의를 위해 고객에게 광범위한 종료 권리를 제공하며, 고객은 EBA 가이드라인의 13.4절에 명시되어 있는 경우에 해당하면 계약을 종료할 수 있습니다.

57.

EBA 가이드라인 참조

99항

고려 사항

서면 아웃소싱 계약은 다음과 같아야 합니다.

Atlassian Commentary

 

58.

EBA Guidelines Reference

 

고려 사항

(a)는 아웃소싱 기능을 다른 서비스 공급자에게 이전하거나 기관 또는 결제 기관으로 다시 이전하는 경우 데이터 처리를 포함한 기존 서비스 공급자의 의무를 명확하게 명시합니다.

Atlassian 설명

Atlassian은 모든 고객이 Atlassian의 도움 없이 계약 기간 중 언제든지 데이터를 내보낼 수 있는 제품 내 기능을 제공합니다.

59.

EBA Guidelines Reference

 

고려 사항

(b) 아웃소싱 계약이 종료된 후에도 서비스 공급자가 중단 위험을 줄이기 위해 아웃소싱 기능을 계속 제공해야 하는 적절한 전환 기간을 명시합니다.

Atlassian 설명

기관에서 요구하는 경우 다른 서비스 공급자로 전환할 수 있도록 구독 기간을 단기간 연장할 수 있습니다.

60.

EBA Guidelines Reference

 

고려 사항

(c) 아웃소싱 계약이 종료되는 경우 서비스 공급자가 기능을 질서 있게 이전하면서 기관 또는 결제 기관을 지원할 의무를 포함합니다.

Atlassian 설명

위의 58행과 59행을 참조하세요.