Szwajcarski Urząd Nadzoru Rynku Finansowego (FINMA)
Wytyczne Atlassian dotyczące outsourcingu
Wyłączenie odpowiedzialności
Poniższe wytyczne zostały opracowane wyłącznie na potrzeby użytkowników chmury w sektorze publicznym w Szwajcarii, a także organizacji biznesowych zaklasyfikowanych przez Urząd Nadzoru Rynku Finansowego (Eidgenössische Finanzmarktaufsicht, FINMA) jako „podmioty podlegające regulacjom”, które rozważają outsourcing funkcji biznesowych do chmury. Mają one pomóc w ocenie produktów chmurowych i powiązanych usług firmy Atlassian.
Niniejszy raport ma charakter wyłącznie informacyjny i zawiera wytyczne dla klientów korzystających z usług w chmurze firmy Atlassian na temat jej zgodności z regulacjami FINMA. Oprócz tego mamy specjalny dokument „Wspólna odpowiedzialność” zawierający opis wspólnych obowiązków, które zarówno dostawca usług w chmurze („CSP”), jak i firma Atlassian oraz jej klienci, muszą brać pod uwagę przy zapewnianiu zgodności z regulacjami FINMA. Ten model wspólnej odpowiedzialności nie zwalnia klientów korzystających z produktów Atlassian Cloud z odpowiedzialności ani nie eliminuje ryzyka, które ponoszą, jednak pomaga ich odciążyć na wiele sposobów, w tym przez zarządzanie komponentami systemu i ich kontrolowanie, a także sprawowanie fizycznej kontroli nad obiektami i przenoszenie w ten sposób części kosztów związanych z zapewnianiem bezpieczeństwa i zgodności z przepisami z klientów na firmę Atlassian.
Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyk bezpieczeństwa.
| | Wytyczne FINMA | Odpowiedź Atlassian | Zasoby Atlassian |
Wstęp |
| FINMA zajmuje się przede wszystkim ryzykiem operacyjnym i związanym z outsourcingiem w instytucjach finansowych — dba, aby (i) instytucje finansowe stosowały odpowiednie mechanizmy kontroli zarządzania bezpieczeństwem, zapewniające ochronę im samym oraz kredytobiorcom i osobom fizycznym podczas angażowania dostawców usług outsourcingowych oraz (ii) rynki finansowe w Szwajcarii funkcjonowały sprawnie. |
|
Wytyczne BaFin dotyczące outsourcingu |
| Nasz oficjalny dokument na temat wytycznych FINMA dotyczących outsourcingu konkretnie odnosi się do każdego wymogu oraz przedstawia, jak Atlassian Cloud Enterprise pomaga w wypełnianiu obowiązków; zawiera także informacje o prawach do audytu, prawie do wydawania instrukcji, bezpieczeństwie danych, wypowiedzeniu i outsourcingu łańcuchowym. Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyki dotyczące bezpieczeństwa. | |
Wytyczne EUNB |
| Nasz oficjalny dokument na temat wytycznych FINMA dotyczących outsourcingu konkretnie odnosi się do każdego wymogu oraz przedstawia, jak Atlassian Cloud Enterprise pomaga w wypełnianiu obowiązków; zawiera także informacje o prawach do audytu, prawie do wydawania instrukcji, bezpieczeństwie danych, wypowiedzeniu i outsourcingu łańcuchowym. Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyki dotyczące bezpieczeństwa. | |
Wykaz funkcji zleconych na zasadzie outsourcingu | 4.1. (14) Klient ma obowiązek prowadzić aktualny wykaz funkcji zleconych na zasadzie outsourcingu, wraz z opisem tych funkcji, wskazaniem dostawców usług outsourcingu (w tym podwykonawców), odbiorców outsourcingu oraz wewnętrznej jednostki klienta odpowiedzialnej za outsourcing. | Zwracamy uwagę, że jest to obowiązek naszych klientów będących instytucjami podlegającymi regulacjom. Jednak w niektórych przypadkach Atlassian może zlecać podoutsourcing niektórych krytycznych lub istotnych funkcji dostawcom usług wysokiej jakości (np. dostawcom usług hostingu danych) zgodnie z RODO. | |
Wybór, instruowanie i monitorowanie dostawcy usług | 5.1. (16) Specyfikacje usług muszą być dostosowane do celów outsourcingu i udokumentowane przed podpisaniem umowy. Obejmuje to przeprowadzenie analizy ryzyka, która uwzględnia główne czynniki ekonomiczne i operacyjne, a także związane z nimi ryzyka i możliwości. | Ten obowiązek nie dotyczy dostawców usług w chmurze. Atlassian zapewnia jednak szereg zasobów, aby pomóc swoim klientom w przeprowadzaniu niezbędnych ocen ryzyka i analiz due diligence, których potrzebują. Więcej informacji na temat praktyk firmy Atlassian w zakresie bezpieczeństwa i działalności operacyjnej przedstawiono w Centrum zaufania Atlassian (https://www.atlassian.com/trust). Można tam znaleźć:
| Centrum zaufania |
| 5.2. (17) Przy wyborze dostawcy usług należy brać pod uwagę i sprawdzić jego kwalifikacje zawodowe, a także zasoby finansowe i kadry. Jeżeli jednemu dostawcy usług zleca się na zasadzie outsourcingu wiele funkcji, należy rozpatrzyć kwestię koncentracji ryzyka. | Zob. nasze wytyczne w odpowiedzi na sekcje 4.1 i 5.1. |
| |
| 5.3. (18) Przy podejmowaniu decyzji o outsourcingu i wyborze dostawcy usług należy wziąć pod uwagę ewentualną zmianę dostawcy usług w przyszłości i możliwe konsekwencje takiej zmiany. Dostawca usług musi dawać gwarancję ciągłego świadczenia usług. Należy zastrzec możliwość insourcingu lub przekazania funkcji zleconej na zasadzie outsourcingu innemu dostawcy. | Firma Atlassian dołoży uzasadnionych ekonomicznie starań, aby przez Okres subskrypcji, na który użytkownik wykupił odpowiedni Objęty umową produkt Cloud, zapewniać Miesięczny procent dostępności określony poniżej („Gwarantowany poziom świadczenia usług”):
Odpowiednie warunki dotyczące poziomu świadczenia usług, a także środki zaradcze w przypadku niedotrzymania poziomu świadczenia usług w odniesieniu do Objętych umową produktów Cloud zostały zdefiniowane w Umowie o gwarantowanym poziomie świadczenia usług i odnośnych Warunkach dotyczących konkretnych produktów. | Umowa o gwarantowanym poziomie świadczenia usług Atlassian | |
| 5.4. (19) Zobowiązania stron muszą zostać ustalone i określone w umowie, zwłaszcza w odniesieniu do punktów komunikacji i obowiązków. | Zobacz Umowę z klientem firmy Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | ||
| 5.5. (20–21) Klient jest zobowiązany stale monitorować i oceniać usługi świadczone przez dostawcę usług outsourcingowych i w tym celu musi ustanowić warunki umowne dotyczące niezbędnych praw do wydawania instrukcji i dokonywania kontroli. | Aby pomóc użytkownikom w zachowywaniu zgodności i raportowaniu, dzielimy się informacjami i najlepszymi praktykami oraz zapewniamy łatwy dostęp do dokumentacji dotyczącej funkcjonalności naszych produktów. Nasze produkty są regularnie poddawane niezależnej weryfikacji pod kątem środków bezpieczeństwa, ochrony prywatności i zapewniania zgodności z przepisami, uzyskując certyfikaty zgodności z globalnymi standardami. | ||
Bezpieczeństwo | 6.1. (24) Strony muszą zaakceptować w umowie obowiązujące wymogi bezpieczeństwa, a klient musi monitorować przestrzeganie tych wymogów. | Zobowiązania umowne dotyczące bezpieczeństwa zawarto w sekcji 4.2 Umowy z klientem firmy Atlassian (https://www.atlassian.com/legal/atlassian-customer-agreement). Sekcja ta stanowi, że firma Atlassian wdrożyła i będzie utrzymywać fizyczne, techniczne i organizacyjne środki bezpieczeństwa mające na celu ochronę Danych klientów przed nieuprawnionym dostępem, zniszczeniem, wykorzystaniem, modyfikacją lub ujawnieniem. Sekcja ta stanowi również, że firma Atlassian będzie utrzymywać program zapewniania zgodności obejmujący niezależne zewnętrzne audyty i certyfikaty. Więcej informacji na temat naszych środków bezpieczeństwa i certyfikatów można znaleźć w Centrum zaufania Atlassian (https://www.atlassian.com/trust), które jest okresowo aktualizowane. | Umowa z klientem firmy Atlassian |
| 6.2. (25) Strony muszą opracować ramy zarządzania bezpieczeństwem, które zagwarantują, że w sytuacjach awaryjnych funkcja zlecona na zasadzie outsourcingu będzie dalej wykonywana. | Wprowadziliśmy plany ciągłości działania i plany odzyskiwania awaryjnego, które są opisane w naszym Centrum zaufania (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Te plany są weryfikowane i testowane co najmniej raz w roku. | ||
Audyt i nadzór | 7.1. (26) Klient, zatrudniona przez niego firma audytorska i FINMA muszą mieć możliwość sprawdzenia, czy dostawca usług przestrzega regulacji organów nadzorczych. W tym celu w umowie należy zawrzeć zapis, że te podmioty mają prawo w dowolnym momencie bez ograniczeń dokonać kontroli i audytu wszystkich informacji związanych z funkcją zleconą na zasadzie outsourcingu. | Atlassian zdaje sobie sprawę, że podmioty podlegające regulacjom FINMA muszą mieć możliwość przeprowadzenia skutecznego audytu naszych usług. Atlassian przyznaje tym podmiotom i organom sprawującym nad nimi nadzór określone prawa do audytu, dostępu i informacji, zgodnie z obowiązującymi przepisami. Podmioty podlegające regulacjom mogą w każdej chwili uzyskać dostęp do swoich danych dotyczących usług i zapewnić dostęp organom sprawującym nadzór. |
|
| 7.2. (27) Audyt można zlecić audytorom dostawcy usług, pod warunkiem że posiadają oni odpowiednie kwalifikacje. W takim przypadku firma audytorska klienta może wykorzystać ustalenia audytorów dostawcy usług na potrzeby własnego audytu. | Nasze produkty w chmurze regularnie przechodzą niezależną weryfikację kontroli bezpieczeństwa, prywatności i zgodności z przepisami, uzyskując certyfikaty, zaświadczenia o zgodności lub sprawozdania z audytu w oparciu o globalne standardy. W naszym Centrum zasobów na temat zgodności z przepisami (https://www.atlassian.com/trust/compliance/resources) można zapoznać się z wiodącymi w branży zabezpieczeniami Atlassian, audytami i certyfikatami stron trzecich, dokumentacją i zobowiązaniami prawnymi, które pomagają zachować zgodność z przepisami. | ||
| 7.3. (28) Outsourcing funkcji nie może utrudniać FINMA sprawowania nadzoru, w szczególności jeśli funkcja ma być wykonywana na zasadzie outsourcingu w innym państwie. | Firma Atlassian ponosi odpowiedzialność za ogół działań wynikających z umowy z klientem Atlassian, w tym za wszelkie funkcje zlecane na zasadzie podoutsourcingu. Ponadto w odniesieniu do krytycznych lub istotnych usług zlecanych na zasadzie podoutsourcingu Atlassian zobowiązuje się do zawarcia z podmiotami realizującymi te podzlecone usługi odpowiednich umów, które stosownie do potrzeb przyznają Atlassian prawa do audytu i wymagają od tych podmiotów przestrzegania wszystkich obowiązujących przepisów. |
| |
| 7.4. (29) Jeżeli dostawca usług nie podlega nadzorowi ze strony FINMA, musi zostać zobowiązany umownie do przekazywania FINMA wszelkich potrzebnych jej do sprawowania nadzoru informacji i dokumentów dotyczących funkcji zleconych na zasadzie outsourcingu. Jeśli przeprowadzenie audytu zostanie zlecone audytorom dostawcy usług, ich raport musi zostać przekazany, na żądanie, do FINMA, a także do audytorów wewnętrznych i firmy audytorskiej klienta korzystającego z usług zleconych na zasadzie outsourcingu. | Na żądanie Atlassian dostarczy raport z audytu zewnętrznego. |
| |
Outsourcing zagraniczny | 8.1. (30) Outsourcing do innego kraju jest dopuszczalny, jeżeli klient może wyraźnie zagwarantować, że on, jego firma audytorska i FINMA mogą zachować prawa do kontroli i audytu informacji oraz te prawa egzekwować. | Nasz oficjalny dokument na temat wytycznych FINMA dotyczących outsourcingu konkretnie odnosi się do każdego wymogu oraz przedstawia, jak Atlassian Cloud Enterprise pomaga w wypełnianiu obowiązków; zawiera także informacje o prawach do audytu, prawie do wydawania instrukcji, bezpieczeństwie danych, wypowiedzeniu i outsourcingu łańcuchowym. Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyki dotyczące bezpieczeństwa. | |
| 8.2. (31) Klient musi dopilnować, aby outsourcing do zagranicznego dostawcy usług nie utrudniał procesów restrukturyzacji i uporządkowanej likwidacji w Szwajcarii, a informacje niezbędne do realizacji tych procesów muszą być dostępne w Szwajcarii przez cały czas. | Atlassian będzie w rozsądnym zakresie współpracować z klientami w przypadku zmian w organach zarządzających, zbycia lub restrukturyzacji organizacyjnej innego rodzaju. |
| |
Umowa | 9.1. (32) Outsourcing musi opierać się na pisemnej umowie. Oprócz wskazania stron i opisania funkcji zlecanej na zasadzie outsourcingu umowa musi również uwzględniać wymagania określone w akapitach nr 33–34. | Wszystkie kontakty z klientami są regulowane formalną umową. Zobacz Umowę z klientem firmy Atlassian -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) Klient musi dopilnować, aby informowano go na wczesnym etapie o angażowaniu lub zastępowaniu podwykonawców na potrzeby wykonywania ważnych funkcji oraz aby miał możliwość zakończenia outsourcingu w sposób uporządkowany zgodnie z akapitem nr 18.1. Zaangażowani podwykonawcy również muszą zostać zobligowani do przestrzegania zobowiązań i gwarancji ze strony dostawcy usług, które są niezbędne do realizacji postanowień niniejszego dokumentu. | W sekcji 13.4 wytycznych EUNB opisano prawa klienta do rozwiązania umowy. W odniesieniu do tej sekcji powstał zapis: „Dla wygody zapewniamy klientom szerokie prawa do rozwiązania umowy, dzięki czemu mają oni możliwość rozwiązania umowy w dowolnym przypadku wskazanym w sekcji 13.4 Wytycznych EUNB”. https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) Umowa musi obejmować środki gwarantujące realizację wymagań określonych w niniejszym dokumencie, w szczególności akapitach nr 21, 24, 26, 29, 30 i 31. | Zob. pytania 5.5, 6.1, 7.1, 7.4, 8.1 i 8.2. |
|