Toezichthouder op de financiële markt (Zwitserland) - FINMA
Atlassian-richtlijnen voor outsourcing
Disclaimer
De onderstaande richtlijnen zijn uitsluitend bedoeld om Zwitserse cloud-klanten in de publieke sector te helpen, evenals bedrijfsorganisaties die door de Financial Market Supervisory Authority (Eidgenössische Finanzmarktaufsicht, FINMA) worden beschouwd als een 'gereguleerde entiteit' bij hun evaluatie van de cloud-producten en aanverwante diensten van Atlassian.
Dit rapport is uitsluitend bedoeld voor de informatie en begeleiding die Atlassian aan zijn cloudklanten verstrekt over hoe we ons aanpassen aan FINMA. Daarnaast hebben we een speciale whitepaper over gedeelde verantwoordelijkheden waarin de gedeelde verantwoordelijkheden worden besproken die zowel een Cloud Service Provider ("CSP") zoals Atlassian, als zijn klanten in gedachten moeten houden bij het waarborgen van de naleving van FINMA. Dit model voor gedeelde verantwoordelijkheid neemt voor onze klanten die Atlassian Cloud-producten gebruiken niet de verantwoordelijkheid en het risico weg, maar het helpt wel om op verschillende manieren hun lasten weg te nemen, onder andere door systeemcomponenten en fysieke controle van faciliteiten eenvoudiger te beheren en te controleren. Ook verschuift het een deel van de kosten van beveiliging en naleving naar Atlassian en niet naar onze klanten.
Ga voor meer informatie over onze inzet om klantgegevens te beschermen naar onze pagina Beveiligingspraktijken.
| | Richtlijnen voor FINMA | Atlassian-reactie | Atlassian-bronnen |
Introductie |
| FINMA is in de eerste plaats verantwoordelijk voor het aanpakken van operationele en uitbestedingsrisico's voor financiële instellingen, door ervoor te zorgen dat (i) financiële instellingen passende controles handhaven op gebied van toezicht op beveiliging, om zichzelf, schuldeisers en personen te beschermen wanneer ze zaken doen met uitbestede dienstverleners, en (ii) de Zwitserse financiële markten doeltreffend functioneren. |
|
Richtlijnen voor BaFin-outsourcing |
| Onze whitepaper over richtlijnen voor FINMA-uitbesting biedt specifieke informatie voor elke vereiste en de manier waarop Atlassian Cloud Enterprise je helpt bij het nakomen van je verplichtingen, inclusief informatie over auditrechten, het recht om instructies uit te geven, gegevensbeveiliging, beëindiging en ketenoutsourcing. Ga voor meer informatie over onze inzet om klantgegevens te beschermen naar onze pagina Beveiligingsmethoden. | |
EBA-richtlijnen |
| Onze whitepaper over richtlijnen voor FINMA-uitbesting biedt specifieke informatie voor elke vereiste en de manier waarop Atlassian Cloud Enterprise je helpt bij het nakomen van je verplichtingen, inclusief informatie over auditrechten, het recht om instructies uit te geven, gegevensbeveiliging, beëindiging en ketenoutsourcing. Ga voor meer informatie over onze inzet om klantgegevens te beschermen naar onze pagina Beveiligingsmethoden. | |
Inventarisatie van uitbestede functie | 4.1. (14) De klant moet een actuele inventaris bijhouden van de uitbestede functies met een omschrijving van de uitbestede functies, de dienstverlener (inclusief onderaannemers), de ontvanger van de uitbesteding en de interne unit van de klant die verantwoordelijk is voor de uitbesteding | We constateren dat dit een verplichting is voor onze klanten, de gereguleerde instellingen. In sommige gevallen kan Atlassian echter bepaalde kritieke of belangrijke functies sub-uitbesteden aan hoogwaardige dienstverleners (bijvoorbeeld aanbieders van datahosting) in overeenstemming met de AVG. | |
Selectie, instructie en monitoring van de dienstverlener | 5.1. (16) De servicespecificaties moeten worden goedgekeurd in overeenstemming met de doelstellingen van de uitbesteding en moeten worden gedocumenteerd voordat de overeenkomst wordt ondertekend. Dit omvat het uitvoeren van een risicoanalyse waarbij rekening wordt gehouden met zowel de belangrijkste economische en operationele overwegingen als de bijbehorende risico's en kansen | Deze verplichting geldt niet voor cloudproviders. Atlassian stelt echter wel verschillende middelen ter beschikking om klanten te helpen bij het uitvoeren van de noodzakelijke risicobeoordelingen en due diligence die ze nodig hebben. Ga voor meer informatie over de beveiligings- en operationele praktijken van Atlassian naar het vertrouwenscentrum van Atlassian (https://www.atlassian.com/trust). Daar vind je:
| Vertrouwenscentrum |
| 5.2. (17) De dienstverlener moet worden gekozen met inachtneming van, en onder voorbehoud van controles van, zowel zijn professionele capaciteiten als zijn financiële en personele middelen. Wanneer meerdere functies worden uitbesteed aan dezelfde dienstverlener, moet rekening worden gehouden met de risicoconcentratie. | Zie onze richtlijnen in ons antwoord op de secties 4.1 en 5.1. |
| |
| 5.3. (18) Bij de beslissing om uit te besteden en de dienstverlener te selecteren, moet rekening worden gehouden met het vooruitzicht om van dienstverlener te veranderen en met de mogelijke gevolgen van een dergelijke verandering. De dienstverlener moet een garantie bieden op permanente dienstverlening. Er moeten voorzieningen worden gevormd om de uitbestede functie te insourcen of over te dragen aan. | Tijdens de abonnementsperiode waarvoor je een toepasselijk gedekt Cloud-product hebt gekocht, doen we commercieel redelijke inspanningen om je een maandelijks uptimepercentage te geven, zoals hieronder gedefinieerd ("Service Level Commitment"):
De bijbehorende serviceniveauvoorwaarden, evenals de rechtsmiddelen voor het niet voldoen aan serviceniveaus voor de Gedekte Cloud-producten zijn opgenomen in onze Service Level Agreement en de bijbehorende productspecifieke voorwaarden. | Atlassian Service Level Agreement | |
| 5.4. (19) De plichten van de partijen moeten contractueel worden overeengekomen en afgebakend, met name met betrekking tot raakvlakken en verantwoordelijkheden. | |||
| 5.5. (20 - 21) De klant moet de services van een outsourcingprovider voortdurend monitoren en beoordelen en daartoe contractuele voorwaarden opstellen voor de benodigde instructie- en controlerechten. | Om je te helpen met de naleving en de rapportage, delen we informatie en best practices en geven we je eenvoudige toegang tot documentatie over de functionaliteit van onze producten. Onze producten ondergaan regelmatig onafhankelijke verificatie van hun veiligheids-, beveiligings- en nalevingscontroles. Deze verdienen hiervoor certificeringen volgens wereldwijde standaarden, zodat je op ze kunt vertrouwen. | ||
Beveiliging | 6.1. (24) De partijen moeten contractueel instemmen met de beveiligingsvereisten die van toepassing zijn en de klant moet toezien op de naleving van deze vereisten | Contractuele verplichtingen op het gebied van beveiliging zijn opgenomen in paragraaf 4.2 van de klantenovereenkomst van Atlassian (https://www.atlassian.com/legal/atlassian-customer-agreement). Hierin wordt verklaard dat Atlassian geschikte fysieke, technische en organisatorische ontwikkelingen heeft geïmplementeerd en deze zal handhaven om je klantgegevens te beschermen tegen niet-geautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking. In deze paragraaf staat ook dat Atlassian een nalevingsprogramma onderhoudt met onafhankelijke audits en certificeringen door externen. Ons Trust Center (https://www.atlassian.com/trust), dat bijwijlen wordt bijgewerkt, biedt meer informatie over onze veiligheidsmaatregelen en certificeringen. | Klantenovereenkomst van Atlassian |
| 6.2. (25) De partijen moeten een framework voor beveiliging opstellen om ervoor te zorgen dat de uitbestede functie in geval van nood uitgevoerd kan worden | We handhaven bedrijfscontinuïteitsplannen en plannen voor disaster recovery, zoals beschreven in ons Trust Center (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Deze plannen worden minimaal eens per jaar herzien en getest. | ||
Audit en toezicht | 7.1. (26) De klant, diens auditbedrijf en de FINMA moeten kunnen verifiëren dat de serviceprovider de toezichthoudende regelgeving naleeft. Daartoe moeten ze het contractuele recht hebben om alle gegevens met betrekking tot de uitbestede functie op elk moment en zonder beperkingen te inspecteren en te auditen. | Atlassian erkent dat gereglementeerde entiteiten onder FINMA onze services effectief moeten kunnen auditen. Atlassian verleent bepaalde audit-, toegangs- en gegevensrechten aan dergelijke gereglementeerde entiteiten en hun toezichthoudende autoriteiten in overeenstemming met de toepasselijke wetgeving. Gereglementeerde entiteiten mogen op elk moment hun gegevens over de services inzien en mogen hun toezichthoudende autoriteit toegang verlenen. |
|
| 7.2. (27) Auditing mag gedelegeerd worden aan de auditors van de serviceprovider indien deze daartoe zijn bevoegd. Wanneer dit gebeurt, kan het auditbedrijf van de klant de bevindingen van de auditors van de serviceprovider gebruiken voor de audit. | Onze cloudproducten ondergaan regelmatig onafhankelijke verificatie van hun beveiligings-, privacy- en nalevingscontroles. Deze verdienen hiervoor certificeringen, conformiteitsverklaringen en auditrapporten volgens wereldwijde standaarden. In ons Compliance Resource Center (https://www.atlassian.com/trust/compliance/resources) kun je de toonaangevende beveiliging en externe audits van Atlassian en de certificeringen, documentatie en juridische verplichtingen ter ondersteuning van je naleving bekijken. | ||
| 7.3. (28) De uitbesteding van een functie mag het toezicht door de FINMA niet bemoeilijken, vooral niet als de functie wordt uitbesteed aan een ander land. | Atlassian blijft verantwoordelijk voor zijn algehele prestaties in het kader van het Atlassian-klantencontract, inclusief voor alle functies die worden uitbesteed. Bovendien verbindt Atlassian zich er met betrekking tot sub-outsourcing ook toe ervoor te zorgen dat het passende contracten heeft met dergelijke sub-outsourcers, die Atlassian zo nodig auditrechten verlenen en dergelijke sub-outsourcers vereisen alle toepasselijke wetgevingen na te leven. |
| |
| 7.4. (29) Als de serviceprovider niet onder toezicht staat van de FINMA, moet deze contractueel verplicht worden alle gegevens en documentatie aan de FINMA te verstrekken over de uitbestede functies, welke nodig zijn voor de toezichtsactiviteiten van de FINMA. Als de audit wordt gedelegeerd aan de auditors van de serviceprovider, moet hun rapport op verzoek worden verstrekt aan de FINMA en aan de interne auditors en het auditbedrijf van de uitbestedende klant. | Atlassian zal op verzoek het externe auditrapport verstrekken. |
| |
Uitbesteden naar het buitenland | 8.1. (30) Uitbesteding naar een ander land is toegestaan als de klant uitdrukkelijk kan garanderen dat hij/zij, diens auditkantoor en de FINMA hun recht om gegevens te inspecteren en te auditen kunnen verzekeren en uitvoeren. | Onze whitepaper over richtlijnen voor FINMA-uitbesting biedt specifieke informatie voor elke vereiste en de manier waarop Atlassian Cloud Enterprise je helpt bij het nakomen van je verplichtingen, inclusief informatie over auditrechten, het recht om instructies uit te geven, gegevensbeveiliging, beëindiging en ketenoutsourcing. Ga voor meer informatie over onze inzet om klantgegevens te beschermen naar onze pagina Beveiligingsmethoden. | |
| 8.2. (31) De klant moet ervoor zorgen dat uitbesteding aan een buitenlandse serviceprovider geen belemmering vormt voor de herstructurering of afwikkeling in Zwitserland en dat de benodigde gegevens te allen tijde toegankelijk zijn in Zwitserland. | Atlassian zal redelijkerwijs samenwerken met onze klanten in geval van een wijziging in het gezag, desinvestering of andere organisatorische herstructurering. |
| |
Overeenkomst | 9.1. (32) De uitbesteding moet gebaseerd zijn op een schriftelijke overeenkomst. Naast de namen van de partijen en een beschrijving van de uitbestede functie, moet de overeenkomst ook de volgende vereisten aanhalen: Margin nrs. 33—34. | Alle verplichtingen met klanten worden vastgelegd in een formeel contract. Zie de Atlassian-klantovereenkomst -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) De klant moet ervoor zorgen dat hij/zij in een vroeg stadium op de hoogte wordt gebracht van het gebruik of de vervanging van onderaannemers voor belangrijke functies en dat hij/zij de mogelijkheid heeft om de uitbesteding op ordelijke wijze te beëindigen in overeenstemming met Margin nr. 18.1. Wanneer er gebruik wordt gemaakt van onderaannemers, moeten zij ook gebonden zijn aan de verplichtingen en garanties ten aanzien van de serviceprovider die nodig zijn om te voldoen aan deze circulaire. | Sectie 13.4 van de EBA-richtlijnen beschrijft de beëindigingsrechten van klanten. Daarin wordt vastgesteld dat "we klanten gemakshalve een breed beëindigingsrecht bieden, waardoor ze in elk van de gevallen die worden vermeld in Sectie 13.4 van de EBA-richtlijnen mogen overgaan op beëindiging." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) In de overeenkomst moeten maatregelen worden opgenomen die de implementatie van de vereisten uiteengezet in deze circulaire verzekeren, in het bijzonder die in Margin nrs. 21, 24, 26, 29, 30 en 31. | Bekijk de vragen 5.5, 6.1, 7.1, 7.4, 8.1 en 8.2 |
|