Wytyczne EUNB
Tabela odwzorowania
Poniższa tabela zawiera poszczególne ustępy sekcji 13 (Etap umowy) wytycznych Europejskiego Urzędu Nadzoru Bankowego (EUNB) w sprawie outsourcingu („Wytyczne EUNB”). Aby ułatwić przeprowadzenie przeglądu wewnętrznego, opisaliśmy, w jaki sposób odnosimy się do poszczególnych kwestii zawartych w Wytycznych EUNB. Oferta Atlassian dla sektora usług finansowych obejmuje kwalifikujących się klientów, którzy kupują wersje Enterprise Objętych umową produktów Cloud.
Ostatnia aktualizacja: grudzień 2021 roku, [kliknij tutaj, aby pobrać plik PDF]
| Odniesienie do Wytycznych EUNB | Zobowiązanie | Komentarz Atlassian |
---|---|---|---|
1. | Odniesienie do Wytycznych EUNB 13. Etap umowy | ||
2. | Odniesienie do Wytycznych EUNB Ust. 74 | Zobowiązanie Prawa i obowiązki instytucji, instytucji płatniczej i dostawcy usług są w sposób jasny rozdzielone i określone w pisemnej umowie. | Komentarz Atlassian Zasadniczo te kwestie reguluje umowa z klientem Atlassian. |
3. | Odniesienie do Wytycznych EUNB Ust. 75 | Zobowiązanie Umowa outsourcingu dotycząca krytycznych lub istotnych funkcji powinna określać co najmniej: | Atlassian Commentary
|
4. | EBA Guidelines Reference
| Zobowiązanie
a) jasny opis funkcji zleconych na zasadzie outsourcingu; | Komentarz Atlassian Nasza dokumentacja, włączona przez odniesienie do umowy z klientem Atlassian zawieranej z kwalifikującymi się klientami, zawiera czytelne opisy Objętych umową produktów Cloud. |
5. | EBA Guidelines Reference
| Zobowiązanie
b) datę rozpoczęcia i zakończenia, w stosownych przypadkach, umowy i okresy wypowiedzenia dla dostawcy usług oraz instytucji lub instytucji płatniczej; | Komentarz Atlassian Umowa z klientem Atlassian określa domyślną długość okresu subskrypcji i wszystkie obowiązujące okresy wypowiedzenia. Ponadto w przypadku złożenia zamówienia na co najmniej jeden Objęty umową produkt Cloud będzie ona zawierać datę rozpoczęcia i zakończenia odpowiedniego okresu subskrypcji. |
6. | EBA Guidelines Reference
| Zobowiązanie
c) prawo właściwe dla umowy; | Komentarz Atlassian Domyślnym prawem właściwym w przypadku umów z klientem Atlassian jest prawo stanu Kalifornia. Aby uzyskać więcej informacji, skontaktuj się z naszym zespołem sprzedaży produktów Enterprise. |
7. | EBA Guidelines Reference
| Zobowiązanie
d) zobowiązania finansowe stron; | Komentarz Atlassian Ceny każdego z Objętych umową produktów Cloud są publikowane w witrynie www.atlassian.com |
8. | EBA Guidelines Reference
| Zobowiązanie
e) czy dopuszcza się podoutsourcingu danej krytycznej lub istotnej funkcji lub jej istotnych części, a jeżeli tak — warunki określone w sekcji 13.1 (Podoutsourcing krytycznych lub istotnych funkcji), którym podlega podoutsourcing; | Komentarz Atlassian Zapoznaj się z komentarzami do sekcji 13.1 w wierszach 21–36. |
9. | EBA Guidelines Reference
| Zobowiązanie
f) lokalizację (tj. regiony lub państwa), w których będzie wykonywana krytyczna lub istotna funkcja lub gdzie będą przechowywane i przetwarzane odpowiednie dane, w tym ewentualne miejsce przechowywania, oraz warunki, jakie należy spełnić, w tym wymóg dotyczący powiadamiania instytucji lub instytucji płatniczej, jeżeli dostawca usług zaproponuje zmianę lokalizacji; | Komentarz Atlassian Niektóre z Objętych umową produktów Cloud oferują dostępną w produkcie funkcję wyboru jurysdykcji danych (opisaną szczegółowo tutaj), która umożliwia administratorom naszych klientów przypisanie stosownych produktów do wybranej lokalizacji. Na tej stronie znajduje się opis naszej infrastruktury hostingu w chmurze. |
10. | EBA Guidelines Reference
| Zobowiązanie
g) w stosownych przypadkach, przepisy dotyczące dostępności, osiągalności, integralności, prywatności i bezpieczeństwa odpowiednich danych, określone w sekcji 13.2 (Bezpieczeństwo danych i systemów); | Komentarz Atlassian Zapoznaj się z komentarzami do sekcji 13.2 w wierszach 36–39. |
11. | EBA Guidelines Reference
| Zobowiązanie
h) prawo instytucji lub instytucji płatniczej do bieżącego monitorowania wyników dostawcy usług; | Komentarz Atlassian Publikujemy aktualne informacje na temat dostępności usług w witrynie status.atlassian.com, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud. |
12. | EBA Guidelines Reference
| Zobowiązanie
i) uzgodnione gwarantowane poziomy usług, które powinny obejmować dokładne cele ilościowe i jakościowe dla funkcji zleconej na zasadzie outsourcingu, które można terminowo monitorować, tak aby umożliwić bezzwłoczne podjęcie odpowiednich działań naprawczych, jeżeli gwarantowane poziomy usług nie zostaną osiągnięte; | Komentarz Atlassian Odpowiednie warunki dotyczące poziomu świadczenia usług, a także środki zaradcze w przypadku niedotrzymania poziomu świadczenia usług w odniesieniu do Objętych umową produktów Cloud zostały zdefiniowane w naszej Umowie o gwarantowanym poziomie świadczenia usług i odpowiednich warunkach dotyczących konkretnych produktów. |
13. | EBA Guidelines Reference
| Zobowiązanie
j) obowiązki sprawozdawcze spoczywające na dostawcy usług wobec instytucji lub instytucji płatniczej, w tym powiadomienie przez dostawcę usług o wszelkich zmianach, które mogą mieć istotny wpływ na jego zdolność do skutecznego wykonywania krytycznej lub istotnej funkcji zgodnie z uzgodnionymi gwarantowanymi poziomami usług oraz zgodnie z obowiązującymi przepisami i wymogami regulacyjnymi oraz, w stosownych przypadkach, obowiązki dostawcy usług w zakresie przedkładania sprawozdań dotyczących funkcji audytu wewnętrznego; | Komentarz Atlassian Publikujemy aktualne informacje na temat dostępności usług w witrynie status.atlassian.com, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud. |
14. | EBA Guidelines Reference
| Zobowiązanie
k) czy dostawca usług powinien wykupić obowiązkowe ubezpieczenie od określonych rodzajów ryzyka oraz, w stosownych przypadkach, wymagany poziom ochrony; | Komentarz Atlassian Firma Atlassian jest ubezpieczona od szeregu określonych rodzajów ryzyka, zgodnie z wymogami prawa właściwymi dla naszej działalności. |
15. | EBA Guidelines Reference
| Zobowiązanie
l) wymogi dotyczące wdrażania i testowania planów awaryjnych przedsiębiorstwa; | Komentarz Atlassian Prowadzimy plany zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego zgodnie z opisem zawartym w naszym Centrum zaufania. Te plany są weryfikowane i testowane co najmniej raz w roku. |
16. | EBA Guidelines Reference
| Zobowiązanie
m) postanowienia zapewniające dostęp do danych stanowiących własność instytucji lub instytucji płatniczej w przypadku niewypłacalności, restrukturyzacji i uporządkowanej likwidacji lub zaprzestania działalności dostawcy usług; | Komentarz Atlassian Przez cały okres trwania naszej umowy z klientem zapewniamy klientowi dostęp do danych oraz możliwość ich wyeksportowania. |
17. | EBA Guidelines Reference
| Zobowiązanie
n) obowiązek współpracy dostawcy usług z właściwymi organami i organami ds. restrukturyzacji i uporządkowanej likwidacji instytucji lub instytucji płatniczej, w tym z innymi osobami przez nie wyznaczonymi; | Komentarz Atlassian Firma Atlassian będzie współpracować z właściwymi organami instytucji i organami ds. restrukturyzacji i uporządkowanej likwidacji przy wykonywaniu ich praw do audytu, informacji i dostępu. |
18. | EBA Guidelines Reference
| Zobowiązanie
o) w przypadku instytucji — wyraźne odniesienie do uprawnień organu ds. restrukturyzacji i uporządkowanej likwidacji, w szczególności do art. 68 i 71 dyrektywy 2014/59/UE (dyrektywa w sprawie naprawy oraz restrukturyzacji i uporządkowanej likwidacji banków), w szczególności opis „istotnych zobowiązań” umowy w rozumieniu art. 68 tej dyrektywy; | Komentarz Atlassian Firma Atlassian rozumie, że instytucje oraz każda jednostka ds. restrukturyzacji i uporządkowanej likwidacji muszą mieć możliwość prowadzenia działalności w trakcie restrukturyzacji i uporządkowanej likwidacji. W celu zapewnienia wsparcia w tym okresie zobowiązujemy się do dostarczania Objętych umową produktów Cloud w okresie restrukturyzacji i uporządkowanej likwidacji, zgodnie z wymogami dyrektywy w sprawie naprawy oraz restrukturyzacji i uporządkowanej likwidacji banków. |
19. | EBA Guidelines Reference
| Zobowiązanie
p) nieograniczone prawo instytucji, instytucji płatniczych i właściwych organów do przeprowadzania kontroli i audytu u dostawcy usług, w szczególności w odniesieniu do krytycznej lub istotnej funkcji zleconej na zasadzie outsourcingu, jak określono w sekcji 13.3 (Prawa do dostępu, informacji i audytu); | Komentarz Atlassian Zapoznaj się z komentarzami do sekcji 13.3 w wierszach 40–53. |
20. | EBA Guidelines Reference
| Zobowiązanie
q) prawa do rozwiązania umowy, jak określono w sekcji 13.4 (Prawa do rozwiązania umowy). | Komentarz Atlassian Zapoznaj się z komentarzami do sekcji 13.4 w wierszu 56. |
21. | Odniesienie do Wytycznych EUNB 13.1 Podoutsourcing krytycznych lub istotnych funkcji | ||
22. | Odniesienie do Wytycznych EUNB Ust. 76 | Zobowiązanie Umowa outsourcingu powinna określać, czy dozwolony jest podoutsourcing krytycznych lub istotnych funkcji bądź ich istotnych części. | Komentarz Atlassian Aby móc dostarczać produkty globalne przy minimalnej liczbie zakłóceń, możemy zlecać podoutsourcing niektórych krytycznych lub istotnych funkcji dostawcom usług wysokiej jakości (np. dostawcom usług hostingu danych). |
23. | Odniesienie do Wytycznych EUNB Ust. 77 | Zobowiązanie Jeżeli dopuszcza się podoutsourcing krytycznych lub istotnych funkcji, instytucje i instytucje płatnicze określają czy dana część funkcji, która ma być zlecona na zasadzie podoutsourcingu, jest, jako taka, krytyczna lub istotna (tj. stanowi istotną część krytycznej lub istotnej funkcji), a jeżeli tak — wpisują ją do rejestru. | Komentarz Atlassian Klient powinien rozważyć tę kwestię. |
24. | Odniesienie do Wytycznych EUNB Ust. 78 | Zobowiązanie Jeżeli dopuszcza się podoutsourcing krytycznych lub istotnych funkcji, pisemna umowa powinna: | Atlassian Commentary
|
25. | EBA Guidelines Reference
| Zobowiązanie
a) określać rodzaje działalności, które są wyłączone z podoutsourcingu; | Komentarz Atlassian Patrz wiersz 22 powyżej. |
26. | EBA Guidelines Reference
| Zobowiązanie
b) określać warunki, które muszą być spełnione w przypadku podoutsourcingu; | Komentarz Atlassian Firma Atlassian powiadomi o wszelkich zmianach w zakresie podoutsourcingu krytycznych lub istotnych funkcji, bądź wdrożenia nowego podoutsourcingu oraz udostępni informacje na temat takich przypadków podoutsourcingu. Jeśli instytucja będzie miała wątpliwości związane z takim podoutsourcingiem, zezwolimy jej na rozwiązanie umowy z nami. |
27. | EBA Guidelines Reference
| Zobowiązanie
c) wskazywać, że dostawca usług jest zobowiązany do nadzorowania tych usług, które zlecił na zasadzie podoutsourcingu, w celu zapewnienia, by wszystkie zobowiązania umowne między dostawcą usług a instytucją lub instytucją płatniczą były spełniane w sposób nieprzerwany; | Komentarz Atlassian Firma Atlassian ponosi odpowiedzialność za ogólne działanie wynikające z umowy z klientem Atlassian, w tym za wszelkie funkcje zlecane na zasadzie podoutsourcingu. Ponadto w odniesieniu do krytycznych lub istotnych usług zlecanych podwykonawcom na zasadzie outsourcingu firma Atlassian zobowiązuje się do zawarcia z takimi podmiotami realizującymi podzlecone usługi outsourcingowe odpowiednich umów, na mocy których instytucje oraz ich właściwe organy i organy ds. restrukturyzacji i uporządkowanej likwidacji zyskują odpowiednie prawa do audytu, informacji oraz dostępu, a także wymaga od takich podmiotów przestrzegania wszystkich obowiązujących praw. |
28. | EBA Guidelines Reference
| Zobowiązanie
d) zobowiązywać dostawcę usług do uzyskania uprzedniej szczegółowej lub ogólnej pisemnej zgody od instytucji lub instytucji płatniczej przed udostępnieniem danych na podstawie podoutsourcingu; | Komentarz Atlassian W ramach zapewniania zgodności z RODO w naszym Aneksie dotyczącym przetwarzania danych (DPA) zobowiązujemy się nie angażować żadnych podrzędnych podmiotów przetwarzających do przetwarzania danych osobowych klientów bez uprzedniej pisemnej zgody klienta. |
29. | EBA Guidelines Reference
| Zobowiązanie
e) obejmować zobowiązanie dostawcy usług do informowania instytucji lub instytucji płatniczej o jakimkolwiek planowanym podoutsourcingu lub istotnych zmianach dotyczących podoutsourcingu, w szczególności jeżeli może to mieć wpływ na zdolność dostawcy usług do wywiązywania się z jego obowiązków wynikających z umowy outsourcingu. Powyższe obejmuje planowane istotne zmiany podwykonawców i okres powiadamiania; w szczególności okres powiadamiania powinien umożliwiać zlecającej instytucji lub instytucji płatniczej co najmniej przeprowadzanie oceny ryzyka w odniesieniu do proponowanych zmian oraz wniesienie sprzeciwu wobec zaproponowanym zmianom, zanim planowany podoutsourcing lub dotyczące go istotne zmiany wejdą w życie; | Komentarz Atlassian Patrz wiersz 26 powyżej. |
30. | EBA Guidelines Reference
| Zobowiązanie
f) zapewniać, w stosownych przypadkach, prawo instytucji lub instytucji płatniczej do sprzeciwu wobec zamierzonego podoutsourcingu lub istotnych zmian go dotyczących lub wymóg uzyskania wyraźnej zgody; | Komentarz Atlassian Patrz wiersz 26 powyżej. |
31. | EBA Guidelines Reference
| Zobowiązanie
g) zapewniać wynikające z umowy prawo instytucji lub instytucji płatniczej do rozwiązania umowy w przypadku nieuzasadnionego podoutsourcingu, np. w przypadku, gdy podoutsourcing istotnie zwiększa ryzyko dla instytucji lub instytucji płatniczej lub w przypadku, gdy dostawca usług podzleca bez powiadomienia o tym instytucji lub instytucji płatniczej. | Komentarz Atlassian Patrz wiersz 26 powyżej. |
32. | Odniesienie do Wytycznych EUNB Ust. 79 | Zobowiązanie Instytucje i instytucje płatnicze wyrażają zgodę na podoutsourcing wyłącznie w przypadku, gdy podwykonawca zobowiązuje się do: | Atlassian Commentary
|
33. | EBA Guidelines Reference
| Zobowiązanie
a) przestrzegania wszystkich obowiązujących przepisów prawa, wymogów regulacyjnych i zobowiązań wynikających z umowy; oraz | Komentarz Atlassian Patrz wiersz 27 powyżej. |
34. | EBA Guidelines Reference
| Zobowiązanie
b) przyznania instytucji, instytucji płatniczej i właściwemu organowi takich samych wynikających z umowy praw dostępu i kontroli, co prawa przyznane przez dostawcę usług. | Komentarz Atlassian Patrz wiersz 27 powyżej. |
35. | Odniesienie do Wytycznych EUNB Ust. 80 | Zobowiązanie Instytucje i instytucje płatnicze zapewniają, aby dostawca usług odpowiednio nadzorował poddostawców usług, zgodnie z polityką określoną przez instytucję lub instytucję płatniczą. Jeżeli proponowany podoutsourcing mógłby mieć istotny niekorzystny wpływ na umowę outsourcingu dotyczącą krytycznej lub istotnej funkcji lub mógłby doprowadzić do znacznego wzrostu ryzyka, również w przypadku, gdy warunki określone w ust. 79 nie zostałyby spełnione, instytucja lub instytucja płatnicza powinna wykonywać swoje prawo do wniesienia sprzeciwu wobec podoutsourcingu, jeżeli takie prawo zostało uzgodnione, lub rozwiązać umowę. | Komentarz Atlassian Patrz wiersze 26 i 27 powyżej. |
36. | Odniesienie do Wytycznych EUNB 13.2 Bezpieczeństwo danych i systemów | ||
37. | Odniesienie do Wytycznych EUNB Ust. 81 | Zobowiązanie Instytucje i instytucje płatnicze zapewniają, aby dostawcy usług, w stosownych przypadkach, przestrzegali odpowiednich standardów bezpieczeństwa IT. | Komentarz Atlassian Firma Atlassian regularnie przechodzi badania środków kontroli bezpieczeństwa, ochrony prywatności i zgodności z przepisami. W okresie obowiązywania naszej umowy z Tobą będziemy spełniać wymagania co najmniej norm wymienionych w naszym Centrum zaufania, co obejmuje certyfikaty zgodności z normami ISO/IEC 27001 i iSO/IEC 27018 oraz sprawozdania z audytów SOC 2 typu II i SOC 3: |
38. | Odniesienie do Wytycznych EUNB Ust. 82 | Zobowiązanie W stosownych przypadkach (np. w kontekście outsourcingu w chmurze lub innego rodzaju outsourcingu dotyczącego ICT) instytucje i instytucje płatnicze określają wymogi dotyczące bezpieczeństwa danych i systemów w umowie outsourcingu i na bieżąco monitorują zgodność z tymi wymogami. | Komentarz Atlassian Biorąc pod uwagę sposób udostępniania na zasadzie relacji jeden-do-wielu naszych Objętych umową produktów Cloud, wszystkim naszym klientom zapewniamy jednakowe, niezawodne zabezpieczenia. Te praktyki związane z bezpieczeństwem zostały szczegółowo opisane w naszym Centrum zaufania: |
39. | Odniesienie do Wytycznych EUNB Ust. 83 | Zobowiązanie W przypadku zlecania na zasadzie outsourcingu dostawcom usług w chmurze oraz innych umów outsourcingu obejmujących obsługę lub przekazywanie danych osobowych lub poufnych, instytucje i instytucje płatnicze powinny przyjąć podejście oparte na analizie ryzyka w odniesieniu do lokalizacji przechowywania i przetwarzania danych (tj. kraju lub regionu) i kwestii bezpieczeństwa informacji. | Komentarz Atlassian Klient powinien rozważyć tę kwestię. |
40. | Odniesienie do Wytycznych EUNB Ust. 84 | Zobowiązanie Z zastrzeżeniem wymogów rozporządzenia (UE) 2016/679, instytucje i instytucje płatnicze, zlecając na zasadzie outsourcingu (w szczególności do państw trzecich), powinny uwzględniać różnice w przepisach krajowych dotyczących ochrony danych. Instytucje i instytucje płatnicze dopilnowują, aby umowa outsourcingu zawierała zobowiązanie, że dostawca usług zapewni ochronę informacji poufnych, osobowych lub innych informacji szczególnie chronionych i spełnia wszystkie wymogi prawne dotyczące ochrony danych, które mają zastosowanie do instytucji lub instytucji płatniczej (np. ochrona danych osobowych, oraz w stosownych przypadkach przestrzeganie obowiązku zachowania tajemnicy bankowej lub podobnych obowiązków w zakresie poufności w odniesieniu do informacji klientów). | Komentarz Atlassian Oferujemy Aneks dotyczący przetwarzania danych, który zawiera szczegółowe zobowiązania dotyczące przetwarzania i bezpieczeństwa danych osobowych klientów. Więcej informacji na temat naszego programu zapewniania zgodności z RODO można znaleźć tutaj: |
41. | Odniesienie do Wytycznych EUNB 13.3 Prawa do dostępu, informacji i audytu | ||
42. | Odniesienie do Wytycznych EUNB Ust. 85 | Zobowiązanie W ramach pisemnej umowy outsourcingu instytucje i instytucje płatnicze powinny zapewnić, aby funkcja audytu wewnętrznego była w stanie dokonać przeglądu funkcji zleconych na zasadzie outsourcingu, stosując podejście oparte na analizie ryzyka. | Komentarz Atlassian Firma Atlassian zapewnia instytucjom mechanizmy umowne umożliwiające bieżący przegląd Objętych umową produktów Cloud. |
43. | Odniesienie do Wytycznych EUNB Ust. 86 | Zobowiązanie Niezależnie od krytycznego lub istotnego znaczenia funkcji zleconej na zasadzie outsourcingu, pisemne umowy outsourcingu zawierane pomiędzy instytucjami a dostawcami usług powinny odnosić się do gromadzenia informacji i uprawnień dochodzeniowych właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji na mocy art. 63 ust. 1 lit. a) dyrektywy 2014/59/UE i art. 65 ust. 3 dyrektywy 2013/36/UE w odniesieniu do dostawców usług znajdujących się w państwie członkowskim, a także zapewniać te prawa w odniesieniu do dostawców usług znajdujących się w państwach trzecich. | Komentarz Atlassian Atlassian uznaje uprawnienia właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji w zakresie gromadzenia informacji i prowadzenia dochodzeń na mocy odpowiedniego i obowiązującego prawodawstwa UE. |
44. | Odniesienie do Wytycznych EUNB Ust. 87 | Zobowiązanie Odnośnie do outsourcingu krytycznych lub istotnych funkcji instytucje i instytucje płatnicze powinny zapewnić w ramach pisemnej umowy outsourcingu, że dostawca usług udzieli im oraz ich właściwym organom, w tym organom ds. restrukturyzacji i uporządkowanej likwidacji, oraz każdej innej osobie wyznaczonej przez te instytucje lub właściwe organy: a) pełnego dostępu do wszystkich odpowiednich lokali (np. siedziby firmy i centrów operacyjnych), w tym do pełnego zakresu odpowiednich urządzeń, systemów, sieci, informacji i danych wykorzystywanych do wykonywania funkcji zleconych na podstawie outsourcingu, w tym do powiązanych informacji finansowych, dotyczących personelu i audytorów zewnętrznych dostawcy usług („prawa do dostępu i informacji”); oraz b) nieograniczonych praw w zakresie kontroli i audytu związanych z umową outsourcingu („prawa do audytu”), aby umożliwić im monitorowanie umowy outsourcingu oraz zapewnić zgodność ze wszystkimi obowiązującymi wymogami prawnymi i umownymi. | Komentarz Atlassian Wszystkim instytucjom korzystającym z Objętych umową produktów Cloud firma Atlassian zapewnia wymagane prawa do audytu, informacji i dostępu dla nich, ich właściwych organów i osób przez nie wyznaczonych. |
45. | Odniesienie do Wytycznych EUNB Ust. 88 | Zobowiązanie W odniesieniu do outsourcingu funkcji, które nie są krytyczne lub istotne, instytucje i instytucje płatnicze powinny zapewnić prawa do dostępu i audytu określone w ust. 87 lit. a) i b) oraz w sekcji 13.3, w oparciu o podejście oparte na analizie ryzyka, z uwzględnieniem charakteru funkcji zleconej na zasadzie outsourcingu oraz związanego z nią ryzyka operacyjnego i ryzyka utraty reputacji, ich skalowalności, potencjalnego wpływu na ciągłość prowadzenia działalności i na okres objęty umową. Instytucje i instytucje płatnicze powinny wziąć pod uwagę, że funkcje mogą z czasem stać się krytyczne lub istotne. | Komentarz Atlassian Patrz wiersz 44 powyżej. |
46. | Odniesienie do Wytycznych EUNB Ust. 89 | Zobowiązanie Instytucje i instytucje płatnicze dopilnowują, aby umowa outsourcingu lub inne ustalenia umowne nie utrudniały ani nie ograniczały skutecznego korzystania z praw do dostępu i audytu przez te instytucje, właściwe organy lub osoby trzecie wyznaczone przez te instytucje do wykonywania takich praw. | Komentarz Atlassian Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz właściwym organom skuteczne przeprowadzanie audytu Objętych umową produktów Cloud. |
47. | Odniesienie do Wytycznych EUNB Ust. 90 | Zobowiązanie Instytucje i instytucje płatnicze powinny korzystać ze swoich praw do dostępu i audytu, określać częstotliwość audytów i obszary podlegające kontroli, stosując podejście oparte na analizie ryzyka oraz stosować się do odpowiednich, powszechnie przyjętych krajowych i międzynarodowych standardów audytu. | Komentarz Atlassian Opracowaliśmy program audytu, który jest zgodny z tym zobowiązaniem. |
48. | Odniesienie do Wytycznych EUNB Ust. 91 | Zobowiązanie Z zastrzeżeniem spoczywającej na nich ostatecznej odpowiedzialności za umowy outsourcingu instytucje i instytucje płatnicze mogą stosować: a) zbiorcze audyty organizowane wspólnie z innymi klientami tego samego dostawcy usług i przeprowadzane przez instytucje i tych samych klientów lub wyznaczoną przez nich osobę trzecią w celu bardziej efektywnego wykorzystania zasobów audytowych oraz zmniejszenia obciążenia organizacyjnego zarówno po stronie klientów, jak i dostawcy usług; b) certyfikaty osoby trzeciej oraz sprawozdania osoby trzeciej lub sprawozdania z audytu wewnętrznego udostępnione przez dostawcę usług. | Komentarz Atlassian Nasz program audytu umożliwia instytucjom wykonanie przeglądu Objętych umową produktów Cloud w drodze audytów zbiorczych i/lub w oparciu o certyfikaty osób trzecich. |
49. | Odniesienie do Wytycznych EUNB Ust. 92 | Zobowiązanie W przypadku outsourcingu krytycznych lub istotnych funkcji instytucje i instytucje płatnicze powinny ocenić, czy certyfikaty i sprawozdania osób trzecich, o których mowa w ust. 91 lit. b), są odpowiednie i wystarczające do spełnienia ich obowiązków regulacyjnych i na przestrzeni czasu nie powinny opierać się wyłącznie na tych sprawozdaniach. | Komentarz Atlassian Klient powinien rozważyć tę kwestię. |
50. | Odniesienie do Wytycznych EUNB Ust. 93 | Zobowiązanie Instytucje i instytucje płatnicze powinny stosować metodę, o której mowa w ust. 91 lit. b), tylko wtedy, gdy: a) są zadowolone z planu audytu dotyczącego funkcji zleconej na podstawie outsourcingu; b) zapewniają, aby zakres certyfikatu lub sprawozdania z audytu obejmowały systemy (tj. procesy, aplikacje, infrastrukturę, centra danych itd.) oraz kluczowe mechanizmy kontroli określone przez instytucję lub instytucję płatniczą oraz sprawdzenie zgodności z odpowiednimi wymogami regulacyjnymi; c) dokonują dokładnej bieżącej oceny treści certyfikatów lub sprawozdań z audytu i weryfikacji, czy sprawozdania lub certyfikaty nie są nieaktualne; d) zapewniają objęcie kluczowych systemów i kontroli przyszłymi wersjami certyfikatu lub sprawozdania z audytu; e) są zadowolone z umiejętności podmiotu certyfikującego lub podmiotu przeprowadzającego audyt (np. w odniesieniu do rotacji firmy certyfikującej lub audytowej, kwalifikacji, wiedzy fachowej, ponownego przeprowadzenia/weryfikacji dowodów w bazowej dokumentacji audytu); f) upewniły się, że certyfikaty zostaną wydane a audyty przeprowadzone zgodnie z powszechnie uznawanymi odpowiednimi standardami zawodowymi i obejmują badanie skuteczności operacyjnej kluczowych kontroli prowadzonych na miejscu; g) mają wynikające z umowy prawo zwrócić się o rozszerzenie zakresu certyfikatów lub sprawozdań z audytu na inne odpowiednie systemy i mechanizmy kontroli; liczba i częstotliwość takich wniosków o zmianę zakresu powinny być uzasadnione i zgodne z prawem z perspektywy zarządzania ryzykiem; oraz h) zachowują wynikające z umowy prawo do przeprowadzania indywidualnych audytów według ich uznania w odniesieniu do outsourcingu krytycznych lub istotnych funkcji. | Komentarz Atlassian Kwestie opisane w punktach od a) do f) leżą po stronie klientów. W odniesieniu do punktu g) zapewniamy instytucjom mechanizm umowny umożliwiający zażądanie zmian w naszych kontrolach i procesach audytowych. Do punktu h) ustosunkowano się w wierszu 44 powyżej. |
51. | Odniesienie do Wytycznych EUNB Ust. 94 | Zobowiązanie Zgodnie z wytycznymi EUNB w sprawie oceny ryzyka technologii informacyjno-komunikacyjnych w ramach procesu przeglądu i oceny nadzorczej (SREP) instytucje powinny w stosownych przypadkach zapewniać, by były one w stanie przeprowadzać testy penetracyjne w celu oceny skuteczności wdrożonych środków i procesów z zakresu cybernetycznego i wewnętrznego bezpieczeństwa ICT. Biorąc pod uwagę tytuł I, instytucje płatnicze powinny również posiadać wewnętrzne mechanizmy kontroli ICT, w tym środki kontroli w zakresie ochrony ICT i środki ograniczające ryzyko. | Komentarz Atlassian Atlassian oferuje klientom prawo do przeprowadzania testów penetracyjnych w dowolnym momencie bez uprzedniej zgody firmy Atlassian: https://www.atlassian.com/trust/security/security-testing. |
52. | Odniesienie do Wytycznych EUNB Ust. 95 | Zobowiązanie Przed planowaną kontrolą na miejscu, instytucje, instytucje płatnicze, właściwe organy i audytorzy lub osoby trzecie działające w imieniu instytucji, instytucji płatniczej lub właściwych organów powinny przekazać dostawcy usług stosowne zawiadomienie, chyba że jest to niemożliwe ze względu na sytuację nadzwyczajną lub kryzysową lub doprowadziłoby to do sytuacji, w której audyt przestanie być skuteczny. | Komentarz Atlassian Nasz program audytu spełnia wymagania zawarte w tym zobowiązaniu. |
53. | Odniesienie do Wytycznych EUNB Ust. 96 | Zobowiązanie Podczas przeprowadzania audytów w środowiskach wielu klientów należy dołożyć starań w celu uniknięcia powstania zagrożeń dla środowiska innego klienta (np. wpływu na gwarantowane poziomy usług, dostępność danych, aspekty poufności) lub ograniczenia takich zagrożeń. | Komentarz Atlassian Niezwykle ważne dla Atlassian i naszych klientów jest, aby nasze działania w ramach relacji z jednym klientem nie narażały innych klientów na ryzyko. Dotyczy to zarówno przeprowadzania audytu przez Ciebie, jak i sytuacji, w których audyt przeprowadzany jest przez innych klientów. W trakcie audytu przeprowadzanego przez dowolną instytucję będziemy współpracować z nią w celu zminimalizowania zakłóceń dla innych naszych klientów. Podobnie będziemy współpracować z innymi klientami przeprowadzającymi audyty, aby zminimalizować ich wpływ na tę instytucję. W szczególności będziemy zawsze uważnie wypełniać nasze zobowiązania w zakresie bezpieczeństwa. |
54. | Odniesienie do Wytycznych EUNB Ust. 97 | Zobowiązanie Jeśli umowa outsourcingu wiąże się z wysokim poziomem złożoności technicznej, na przykład w przypadku outsourcingu usług w chmurze, instytucja lub instytucja płatnicza powinna sprawdzić, czy podmiot, który przeprowadza audyt, niezależnie od tego, czy są to jej audytorzy wewnętrzni, zespół audytorów lub audytorów zewnętrznych działających w jej imieniu, posiada odpowiednie i istotne umiejętności oraz wiedzę w zakresie skutecznego przeprowadzania odpowiednich audytów lub ocen. To samo dotyczy wszystkich pracowników instytucji lub instytucji płatniczej dokonujących kontroli certyfikatów lub audytów przeprowadzonych przez dostawców usług. | Komentarz Atlassian Jest to obowiązek klienta. |
55. | Odniesienie do Wytycznych EUNB 13.4 Prawa do rozwiązania umowy | ||
56. | Odniesienie do Wytycznych EUNB Ust. 98 | Zobowiązanie W umowie outsourcingu należy w sposób wyraźny umożliwić instytucji lub instytucji płatniczej rozwiązanie umowy zgodnie z obowiązującymi przepisami prawa, w tym w następujących sytuacjach: a) jeżeli dostawca wykonujący funkcje zlecone na zasadzie outsourcingu narusza obowiązujące przepisy prawa, regulacje lub postanowienia umowne; b) w przypadku wykrycia przeszkód mogących zakłócić wykonywanie funkcji będącej przedmiotem outsourcingu; c) w przypadku istotnych zmian mających wpływ na umowę outsourcingu lub dostawcę usług (np. zmiana dotycząca podoutsourcingu lub zmiany podwykonawców); d) w przypadku wystąpienia braków w zakresie zarządzania danymi lub informacjami poufnymi, osobowymi lub szczególnie chronionymi oraz w zakresie ich bezpieczeństwa; oraz e) jeżeli właściwy organ instytucji lub instytucji płatniczej wyda nakaz, np. w przypadku gdy właściwy organ, z powodu umowy outsourcingu, nie jest już w stanie skutecznie nadzorować instytucji lub instytucji płatniczej. | Komentarz Atlassian Dla wygody zapewniamy klientom szerokie prawa do rozwiązania umowy, dzięki czemu mają możliwość rozwiązania umowy w dowolnym przypadku wskazanym w sekcji 13.4 Wytycznych EUNB. |
57. | Odniesienie do Wytycznych EUNB Ust. 99 | Zobowiązanie Pisemna umowa outsourcingu powinna: | Atlassian Commentary
|
58. | EBA Guidelines Reference
| Zobowiązanie
a) jasno określać obowiązki istniejącego dostawcy usług w przypadku przeniesienia funkcji zleconych na zasadzie outsourcingu do innego dostawcy usług lub z powrotem do instytucji lub instytucji płatniczej, również w zakresie przetwarzania danych; | Komentarz Atlassian Zapewniamy wszystkim klientom dostępną w produkcie funkcję eksportu własnych danych w dowolnej chwili w trakcie okresu obowiązywania umowy bez naszej pomocy. |
59. | EBA Guidelines Reference
| Zobowiązanie
b) określać odpowiedni okres przejściowy, w którym dostawca usług, po zakończeniu umowy outsourcingu, będzie w dalszym ciągu wykonywał funkcję zlecaną na zasadzie outsourcingu w celu ograniczenia ryzyka powstania zakłóceń; oraz | Komentarz Atlassian Jeśli instytucja będzie tego wymagać, możliwe jest przedłużenie okresu subskrypcji na krótki czas, aby umożliwić przekazanie do innego dostawcy usług. |
60. | EBA Guidelines Reference
| Zobowiązanie
c) obejmować zobowiązanie dostawcy usług do wspierania instytucji lub instytucji płatniczej w prawidłowym przeniesieniu funkcji w przypadku rozwiązania umowy outsourcingu. | Komentarz Atlassian Patrz wiersze 58 i 59 powyżej. |