Close
선택한 언어로 이 페이지를 보고 계십니까?
모든 언어
언어를 선택합니다.
FINMA 로고

금융시장감독청(스위스) - FINMA

Atlassian 아웃소싱 가이드라인

고지 사항

아래에 제공된 안내의 유일한 목적은 Atlassian의 Cloud 제품 및 관련 서비스를 평가할 때 비즈니스 기능을 클라우드에 아웃소싱하는 것을 고려 중인, 공공 부문의 스위스 클라우드 고객에 더해 금융시장감독청(Eidgenössische Finanzmarktaufsicht, FINMA)에서 "규제 기관"으로 간주하는 엔터프라이즈 조직을 지원하기 위한 것입니다.

이 보고서는 전적으로 Atlassian Cloud 고객에게 Atlassian이 FINMA를 준수하는 방법에 관한 정보 및 안내를 제공하기 위해 마련되었습니다. 이와 동시에 Atlassian은 Atlassian과 같은 Cloud 서비스 공급자("CSP") 및 그 고객이 FINMA 컴플라이언스를 보장할 때 염두에 둬야 할 공동 책임에 대해 설명하는 전용 공동 책임 백서를 갖추고 있습니다. 이 공동 책임 모델이 Atlassian Cloud 제품을 사용하는 고객의 책임 및 위험을 없애주는 것은 아니지만 몇 가지 방법을 통해 고객의 부담을 줄일 수 있습니다. 그 방법에는 시스템 컴포넌트와 시설의 물리적 컨트롤을 관리 및 제어하는 것과 보안 및 컴플라이언스 비용의 일부를 고객이 아니라 Atlassian의 부담으로 돌리는 것이 포함됩니다.

고객 데이터 보호를 위한 Atlassian의 노력에 대해 자세히 알아보려면 보안 관행 페이지를 참조하세요.

 
FINMA 안내
Atlassian 대응
Atlassian 리소스
소개

 

FINMA는 주로 금융 기관의 운영 및 아웃소싱 위험을 해결하는 일을 담당하여 (i) 금융 기관이 적절한 보안 거버넌스 통제를 유지하여 아웃소싱 서비스 공급자와 거래할 때 자신, 채권자, 개인을 보호하고 (ii) 스위스 금융 시장이 효과적으로 작동하도록 보장합니다.

 

BaFin 아웃소싱 지침

 

FINMA 아웃소싱 참고 자료 백서는 감사 권한, 지시 지정 권한, 데이터 보안, 해지 및 체인 아웃소싱에 대한 정보를 포함하여 각 요구 사항과 Atlassian Cloud Enterprise가 고객이 의무를 이행하도록 지원하는 방법에 대한 구체적인 매핑을 제공합니다. 고객 데이터 보호를 위한 Atlassian의 노력에 대해 자세히 알아보려면 보안 관행 페이지를 참조하세요.

자세한 내용을 확인하려면 문의하세요.

BaFin

EBA 안내

 

FINMA 아웃소싱 참고 자료 백서는 감사 권한, 지시 지정 권한, 데이터 보안, 해지 및 체인 아웃소싱에 대한 정보를 포함하여 각 요구 사항과 Atlassian Cloud Enterprise가 고객이 의무를 이행하도록 지원하는 방법에 대한 구체적인 매핑을 제공합니다. 고객 데이터 보호를 위한 Atlassian의 노력에 대해 자세히 알아보려면 보안 관행 페이지를 참조하세요.

자세한 내용을 확인하려면 문의하세요.

EBA

아웃소싱 기능의 인벤토리

4.1. (14) 고객은 아웃소싱된 기능에 대한 설명, 서비스 공급자(하청업체 포함), 아웃소싱을 받는 자, 아웃소싱에 대한 책임이 있는 고객의 내부 부서에 대한 설명을 포함하여 아웃소싱된 기능의 최신 인벤토리를 보관해야 합니다

이것은 고객사, 즉 규제 기관에 대한 Atlassian의 의무입니다. 하지만 경우에 따라 Atlassian은 GDPR에 따라 중대하거나 중요한 특정 기능을 고품질 서비스 공급자(예: 데이터 호스팅 공급자)에 하위 아웃소싱할 수 있습니다.

아웃소싱 기능의 최신 인벤토리를 유지하는 데 따르는 고객의 부담을 덜기 위해 Atlassian은 제공되는 서비스의 설명 및 목록의 업데이트 또는 수정 사항을 포함하여 하위 프로세서 목록을 공개할 것입니다. 기관이 하위 프로세서에 대해 우려하는 경우 Atlassian은 기관이 하위 프로세서의 사용에 반대하도록 허용하며 이의 제기를 수정할 수 없는 범위 내에서 GDPR에 따라 Atlassian과의 계약을 해지할 것입니다.

현재 Atlassian이 사용하고 고객이 승인한 하위 프로세서 목록은 https://www.atlassian.com/legal/sub-processors에 나와 있습니다.

데이터 하위 프로세서 목록

서비스 공급자 선택, 안내 및 모니터링

5.1. (16) 서비스 사양은 아웃소싱 목적에 따라 합의되고 계약 서명 전에 문서화되어야 합니다. 여기에는 주요 경제적 및 운영 차원의 고려 사항뿐만 아니라 관련 위험 및 기회를 고려한 위험 분석을 실시하는 것도 포함됩니다

이 의무는 Cloud 서비스 공급자에는 적용되지 않습니다. 하지만 Atlassian은 고객이 필요한 위험 평가 및 실사를 수행할 수 있도록 여러 리소스를 제공합니다. Atlassian의 보안 및 운영 관행에 대한 자세한 내용은 Atlassian의 Trust Center(https://www.atlassian.com/trust)에서 확인하세요 내용:

Trust Center

Atlassian의 보안

Atlassian의 컴플라이언스

컴플라이언스 리소스 센터

5.2. (17) 서비스 공급자는 재정적, 인적 자원뿐 아니라 전문성을 충분히 고려하여 선택해야 합니다. 여러 기능을 동일한 서비스 공급자에 아웃소싱하는 경우 위험의 집중도를 고려해야 합니다.

섹션 4.1 및 5.1에 대한 답변에서 Atlassian의 안내를 확인하세요.

 

5.3. (18) 서비스 공급자를 아웃소싱 및 선택할 때는 서비스 공급자를 변경할 가능성 및 그러한 변경으로 발생할 수 있는 결과를 고려해야 합니다. 서비스 공급자는 영구적인 서비스 제공을 보장해야 합니다. 아웃소싱한 기능을 인소싱하거나 이전하기 위한 조항을 만들어야 합니다.

사용자가 보장 Cloud 제품을 구입한 구독 기간에 Atlassian은 아래에 정의된 대로 사용자에게 월간 가동 시간 비율을 제공하기 위해 상업적으로 합당한 노력을 기울입니다("서비스 수준 이행").

  • Premium Cloud 제품 - 월간 가동 시간 비율 99.9%
  • Enterprise Cloud 제품 - 월간 가동 시간 비율 99.95%

보장되는 Cloud 제품에 대한 서비스 수준 약관 및 서비스 수준을 충족하지 않는 경우의 해결 방법은 서비스 수준 계약 및 해당 제품별 약관에 있습니다.

고객은 구독 중 언제든지 Atlassian의 도구를 사용하여 고객 데이터에 액세스하고 고객 데이터를 가져오거나 내보낼 수 있습니다. Atlassian Cloud 데이터 내보내기에 대한 자세한 내용은 가져오기 및 내보내기 설명서(https://support.atlassian.com/jira-cloud-administration/docs/export-issues/)를 참조하세요.

Atlassian 서비스 수준 계약

제품 - 특정 약관

https://support.atlassian.com/jira-cloud-administration/docs/export-issues/

5.4. (19) 특히 인터페이스 및 책임과 관련하여 양 당사자의 의무는 계약상 합의하고 범위를 지정해야 합니다.

Atlassian 고객 계약 참조 -> https://www.atlassian.com/legal/atlassian-customer-agreement

Atlassian 고객 계약

5.5. (20 - 21) 고객은 아웃소싱 공급자의 서비스를 지속해서 모니터링하고 평가해야 하며 이 목적을 위해 필요한 안내 및 통제권에 대한 계약 조건을 정해야 합니다.

Atlassian은 컴플라이언스 및 보고에 도움이 되도록 정보 및 모범 사례를 공유하고 제품 기능에 관한 설명서에 쉽게 액세스할 수 있도록 합니다. Atlassian의 제품은 정기적으로 보안, 개인 정보 보호 및 규정 준수 컨트롤에 관한 독립적인 검증을 거쳐 전 세계의 표준에 대한 인증을 확보하여 고객의 신뢰를 얻습니다.

Atlassian에서는 자체 Statuspage 제품(https://status.atlassian.com)을 사용하는 고객을 위해 서비스 가용성 상태를 실시간으로 게시합니다

https://status.atlassian.com

보안

6.1. (24) 계약 당사자는 적용되는 보안 요구 사항에 계약상 동의해야 하고 고객은 이 요구 사항의 컴플라이언스를 모니터링해야 합니다

보안에 관한 계약상의 약속은 Atlassian 고객 계약(https://www.atlassian.com/legal/atlassian-customer-agreement) 섹션 4.2에 포함되어 있으며 여기에는 Atlassian이 귀하의 고객 데이터를 무단 액세스, 파기, 사용, 수정 또는 공개로부터 보호해 주는 적절한 물리적, 기술적, 조직적 보안 조치를 구현했으며 앞으로도 유지할 것이라고 명시되어 있습니다. 또한 해당 섹션에는 Atlassian은 독립적인 타사 감사 및 인증을 포함하는 컴플라이언스 프로그램을 유지한다고 명시되어 있습니다. 수시로 업데이트되는 Trust Center(https://www.atlassian.com/trust)는 보안 조치 및 인증에 대한 추가 세부 정보를 제공합니다.

Atlassian은 고객 데이터 보안 및 가용성을 유지하고 고객이 최대한 데이터를 제어할 수 있도록 보장하는 다양한 조치를 보유하고 있습니다. 자세한 내용은 https://www.atlassian.com/trust/security/security-practices#keeping-data-secure에서 확인하세요

Atlassian은 최소한 일 년마다 독립적인 유명 감사 회사를 통해 포괄적인 보안 감사를 실시합니다. '높은 위험'으로 간주되는 영역에서는 추가 내부 감사를 수행하며 감사 결과를 감사 위원회에 보고합니다. 감사 결과는 모두 지속적 개선 주기에 반영되므로, Atlassian은 전체 보안 프로그램을 지속해서 개선할 수 있습니다. 자세한 내용은 보안 백서에서 확인할 수 있습니다.

Atlassian 고객 계약

Trust Center

보안 관행

6.2. (25) 비상시에도 아웃소싱 기능을 계속 수행할 수 있도록 양 당사자가 보안 프레임워크를 세워야 합니다

Atlassian은 Trust Center(https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management)에 설명된 대로 비즈니스 연속성 계획과 재해 복구 계획을 유지합니다. 해당 계획은 최소 1년에 한 번 검토하고 테스트합니다.

보안 관행

감사 및 감독

7.1. (26) 고객, 감사 회사 및 FINMA가 서비스 공급자의 감독 컴플라이언스 여부를 확인할 수 있어야 합니다. 그렇게 하기 위해서는 아웃소싱 기능과 관련된 모든 정보를 제한 없이 언제든지 검사 및 감사할 수 있는 계약상의 권리가 있어야 합니다.

Atlassian은 FINMA의 규제 대상 기관이 Atlassian의 서비스를 효과적으로 감사할 수 있어야 한다는 것을 인정합니다. Atlassian은 관련 법률에 따라 규제 대상 기관 및 감독 기관에 특정한 감사, 액세스 및 정보 권한을 부여합니다. 규제 대상 기관은 언제든지 서비스의 데이터에 액세스하고 감독 기관에 액세스 권한을 부여할 수 있습니다.

 

7.2. (27) 서비스 공급자의 감사자가 충분한 자격을 갖추면 감사를 위임받을 수 있습니다. 그런 경우 고객의 감사 회사는 서비스 공급자 감사자의 조사 결과를 감사에 사용할 수 있습니다.

Atlassian Cloud 제품은 정기적으로 보안, 개인 정보 보호 및 컴플라이언스 컨트롤에 관한 독립적인 검증을 거쳐 전 세계 표준에 대한 인증 또는 컴플라이언스 증명을 획득하거나 감사 보고서를 제공합니다. 컴플라이언스 리소스 센터(https://www.atlassian.com/trust/compliance/resources)에서 Atlassian의 업계 최고 보안, 타사 감사 및 인증, 문서, 컴플라이언스를 지원하는 법적 의무를 검토할 수 있습니다.

컴플라이언스 리소스 센터

7.3. (28) 특히 기능을 다른 나라에 아웃소싱하는 경우 기능을 아웃소싱하는 것이 FINMA의 감독을 더 어렵게 만들어서는 안 됩니다.

Atlassian은 하위 아웃소싱된 모든 기능을 포함하여 Atlassian 고객 계약에 따른 전반적인 이행에 대한 책임을 집니다. 또한 중대하거나 중요한 하위 아웃소싱과 관련하여 Atlassian은 해당 하위 아웃소싱 업체와 적절한 계약을 체결하여 Atlassian에 필요한 감사 권한을 부여하고 이러한 하위 아웃소싱 업체에 모든 관련 법률을 준수할 것을 요구합니다.

 

7.4. (29) 서비스 공급자가 FINMA의 감독을 받지 않는 경우 FINMA의 감독 활동에 필요한 아웃소싱 기능과 관련된 모든 정보 및 문서를 FINMA에 제공할 계약상 의무가 있습니다. 서비스 공급자의 감사자에게 감사를 위임하면 요청 시 FINMA와 아웃소싱 고객의 내부 감사자 및 감사 회사에 보고서를 제공해야 합니다.

요청 시 Atlassian은 타사 감사 보고서를 제공할 것입니다.

 

해외 아웃소싱

8.1. (30) 다른 국가로의 아웃소싱은 감사 회사 및 FINMA가 정보를 검사하고 감사할 권리를 주장하고 행사할 수 있다는 것을 고객이 명시적으로 보장할 수 있는 경우에 허용됩니다.

FINMA 아웃소싱 참고 자료 백서는 감사 권한, 지시 지정 권한, 데이터 보안, 해지 및 체인 아웃소싱에 대한 정보를 포함하여 각 요구 사항과 Atlassian Cloud Enterprise가 고객이 의무를 이행하도록 지원하는 방법에 대한 구체적인 매핑을 제공합니다. 고객 데이터 보호를 위한 Atlassian의 노력에 대해 자세히 알아보려면 보안 관행 페이지를 참조하세요.

자세한 내용을 확인하려면 문의하세요.

EBA 아웃소싱 참고 자료

8.2. (31) 고객은 외국 서비스 공급자에게 아웃소싱하는 것이 스위스에서의 구조조정 또는 정리절차에 방해가 되지 않도록 해야 하며 이 목적에 필요한 정보는 스위스에서 항상 액세스 가능해야 합니다.

Atlassian은 지배권 변경, 매각 또는 기타 조직 구조조정 시 고객과 합리적으로 협조할 것입니다.

 

동의

9.1. (32) 아웃소싱은 서면 계약에 근거해야 합니다. 계약 당사자의 이름을 지정하고 아웃소싱 기능을 설명하는 것 외에도 계약서에는 마진 숫자 33–34의 요구 사항도 포함되어야 합니다.

고객과의 모든 계약은 정식 계약에 의해 규율됩니다. Atlassian 고객 계약 참조 -> https://www.atlassian.com/legal/atlassian-customer-agreement

Atlassian 고객 계약

9.2. (33) 고객은 중요한 기능에 하청업체를 사용하거나 교체하는 것에 대해 조기에 알려야 하고 마진 숫자 18.1에 따라 질서 있는 방식으로 아웃소싱을 종료할 수 있어야 합니다. 하청업체를 이용하는 경우 하청업체도 이 문서를 준수하는 데 필요한 서비스 공급자 측의 의무 및 보증을 준수해야 합니다.

EBA 가이드라인 섹션 13.4에서는 고객의 종료 권리를 설명합니다. 해당 섹션에서는 "Atlassian은 고객에게 편의를 위해 광범위한 종료 권리를 부여하며 고객은 이 권리를 통해 EBA 가이드라인의 섹션 13.4에 열거된 어떠한 경우에도 계약을 종료할 수 있습니다"고 명시하고 있습니다. https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance

7.3에 대한 Atlassian의 답변을 확인하세요.

EBA 아웃소싱 참고 자료

9.3. (34) 계약서에는 이 문서에 명시된 요구 사항, 특히 마진 숫자 21, 24, 26, 29, 30, 31에 명시된 요구 사항의 이행을 보장하는 조치가 포함되어야 합니다.

질문 5.5, 6.1, 7.1, 7.4, 8.1 및 8.2를 참조하세요