Рекомендации EBA
Таблица сопоставления
В приведенной ниже таблице представлен каждый параграф раздела 13 («Этап заключения договора») Руководства Европейского банковского управления по договорам об аутсорсинге («Руководство EBA»). Чтобы помочь вам провести внутреннюю проверку, мы привели сведения о том, как наша команда учитывает каждый из вопросов Руководства EBA. Предложение Atlassian по финансовым услугам распространяется на соответствующих требованиям клиентов, приобретающих Enterprise-версии затрагиваемых облачных продуктов.
Последнее обновление: декабрь 2021 г. [нажмите здесь, чтобы загрузить PDF]
| | Ссылка на Руководство EBA | Рассматриваемый вопрос | Комментарий Atlassian |
|---|---|---|---|
| 1. | Ссылка на Руководство EBA 13. Этап заключения договора | ||
| 2. | Ссылка на Руководство EBA Параграф 74 | Рассматриваемый вопрос Права и обязанности учреждения, платежной организации и поставщика услуг должны быть четко распределены и изложены в письменном соглашении. | Комментарий Atlassian Как правило, такие аспекты рассматриваются в договоре между Atlassian и клиентом. |
| 3. | Ссылка на Руководство EBA Параграф 75 | Рассматриваемый вопрос В соглашении об аутсорсинге критически необходимых или важных функций должно быть указано по крайней мере следующее: | Atlassian Commentary
|
| 4. | EBA Guidelines Reference
| Рассматриваемый вопрос
(a) четкое описание функции, подлежащей передаче на аутсорсинг; | Комментарий Atlassian Наша документация, включенная в качестве справочных материалов в договор с Atlassian для соответствующих требованиям клиентов, содержит четкое описание затрагиваемых облачных продуктов. |
| 5. | EBA Guidelines Reference
| Рассматриваемый вопрос
(b) дата начала и дата окончания (если это применимо) договора и периоды уведомления для поставщика услуг и учреждения или платежной организации; | Комментарий Atlassian В договоре между Atlassian и клиентом указана продолжительность срока подписки по умолчанию и все применимые сроки уведомления. Кроме того, когда вы размещаете заказ на один или несколько затрагиваемых облачных продуктов, в нем можно просмотреть дату начала и окончания соответствующего срока подписки. |
| 6. | EBA Guidelines Reference
| Рассматриваемый вопрос
(c) регулирующее законодательство в рамках договора; | Комментарий Atlassian По умолчанию к договору между Atlassian и клиентом применяется законодательство штата Калифорния. Свяжитесь с нашей командой по продажам для корпоративных клиентов, чтобы получить более подробную информацию. |
| 7. | EBA Guidelines Reference
| Рассматриваемый вопрос
(d) финансовые обязательства сторон; | Комментарий Atlassian Цены на каждый из затронутых облачных продуктов опубликованы на сайте www.atlassian.com |
| 8. | EBA Guidelines Reference
| Рассматриваемый вопрос
(e) разрешен ли дальнейший аутсорсинг критически необходимой или важной функции или ее существенных частей. Если это так, необходимо привести условия для такого аутсорсинга из раздела 13.1 («Дальнейший аутсорсинг критически необходимых и важных функций»); | Комментарий Atlassian См. комментарии к разделу 13.1 в строках с 21 по 36. |
| 9. | EBA Guidelines Reference
| Рассматриваемый вопрос
(f) места (т. е. регионы или страны), где будет предоставляться критически необходимая или важная функция и (или) где будут храниться и обрабатываться соответствующие данные, включая возможное место хранения, и условия, которые должны быть выполнены, включая требование уведомить учреждение или платежную организацию в том случае, если поставщик услуг предлагает изменить эти места; | Комментарий Atlassian В некоторых затрагиваемых облачных продуктах предусмотрена функция размещения данных внутри продукта (сведения об этом см. ниже), что позволяет администраторам наших клиентов хранить соответствующие данные, связанные с продуктами, в выбранном ими месте. Инфраструктура размещения в облаке описана на этой странице. |
| 10. | EBA Guidelines Reference
| Рассматриваемый вопрос
(g) положения (если это уместно), касающиеся доступности, целостности, конфиденциальности и безопасности соответствующих данных, как указано в разделе 13.2 («Безопасность данных и систем»); | Комментарий Atlassian См. комментарии к разделу 13.2 в строках с 36 по 39. |
| 11. | EBA Guidelines Reference
| Рассматриваемый вопрос
(h) право учреждения или платежной организации отслеживать эффективность работы поставщика услуг на постоянной основе; | Комментарий Atlassian Мы публикуем обновления о доступности услуг по адресу status.atlassian.com и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов. |
| 12. | EBA Guidelines Reference
| Рассматриваемый вопрос
(i) согласованные уровни обслуживания, которые должны включать точные количественные и качественные показатели выполнения функции, переданной на аутсорсинг, с тем чтобы обеспечить своевременный контроль, позволяющий без неоправданных задержек принимать надлежащие корректирующие меры в случае несоблюдения согласованных уровней обслуживания; | Комментарий Atlassian Условия уровня обслуживания, а также меры обеспечения в случае его несоблюдения для затрагиваемых облачных продуктов предусмотрены в нашем соглашении об уровне обслуживания и соответствующих условиях для конкретных продуктов. |
| 13. | EBA Guidelines Reference
| Рассматриваемый вопрос
(j) обязательства поставщика услуг по представлению отчетности учреждению или платежной организации, включая уведомление со стороны поставщика услуг о любом событии, которое может существенно повлиять на его способность эффективно выполнять критически необходимую или важную функцию в соответствии с согласованными уровнями обслуживания или применимыми законами и нормативными требованиями, а также (если того требует ситуация) обязательствами поставщика услуг по представлению отчетов по внутренним аудитам; | Комментарий Atlassian Мы публикуем обновления о доступности услуг по адресу status.atlassian.com и по договору обязуемся уведомлять клиентов о событиях, которые оказывают существенное влияние на доступность затрагиваемых облачных продуктов. |
| 14. | EBA Guidelines Reference
| Рассматриваемый вопрос
(k) сведения о том, требуется ли поставщику услуг обязательное страхование от определенных рисков, а также (если это применимо) о запрашиваемом уровне страхового покрытия; | Комментарий Atlassian Atlassian поддерживает страховое покрытие в рамках ряда выявленных рисков с учетом требований законодательства, применимого к нашему бизнесу. |
| 15. | EBA Guidelines Reference
| Рассматриваемый вопрос
(l) требования к внедрению и тестированию планов действий в чрезвычайных ситуациях; | Комментарий Atlassian Мы поддерживаем планы непрерывной работы и аварийного восстановления, как описано в нашем Центре безопасности. Мы пересматриваем и тестируем их не реже одного раза в год. |
| 16. | EBA Guidelines Reference
| Рассматриваемый вопрос
(m) положения, обеспечивающие доступ к данным, принадлежащим учреждению или платежной организации, в случае неплатежеспособности, разрешения спора или прекращения деятельности поставщика услуг; | Комментарий Atlassian Мы предоставляем клиенту доступ к его данным и позволяем экспортировать их в течение всего срока действия нашего договора. |
| 17. | EBA Guidelines Reference
| Рассматриваемый вопрос
(n) обязанность поставщика услуг сотрудничать с компетентными органами и органами по разрешению споров учреждения или платежной организации, включая других назначенных ими лиц; | Комментарий Atlassian Atlassian будет сотрудничать с компетентными органами учреждения и органами по разрешению споров при реализации их прав на аудит, информацию и доступ. |
| 18. | EBA Guidelines Reference
| Рассматриваемый вопрос
(o) четкая ссылка (для учреждений) на полномочия национального органа по разрешению споров, главным образом на статьи 68 и 71 Директивы 2014/59/EU (BRRD), а также, в частности, на описание «материально-правовых обязательств» договора в контексте статьи 68 этой Директивы; | Комментарий Atlassian Atlassian понимает, что учреждения и любая организация, занимающаяся разрешением споров, должны иметь возможность продолжать деятельность во время разрешения споров. Чтобы обеспечить поддержку в ходе этого процесса, мы обязуемся продолжать предоставлять затрагиваемые облачные продукты во время разрешения споров, как того требует BRRD. |
| 19. | EBA Guidelines Reference
| Рассматриваемый вопрос
(p) право учреждений, платежных организаций и компетентных органов без ограничений выполнять проверку и аудит поставщика услуг в отношении, например, критически необходимой или важной функции, переданной на аутсорсинг, как указано в разделе 13.3 («Права на доступ, информацию и аудит»); | Комментарий Atlassian См. комментарии к разделу 13.3 в строках с 40 по 53. |
| 20. | EBA Guidelines Reference
| Рассматриваемый вопрос
(q) права на расторжение договора, как указано в разделе 13.4 («Права на расторжение договора»). | Комментарий Atlassian См. комментарии к разделу 13.4 в строке 56. |
| 21. | Ссылка на Руководство EBA 13.1 Дальнейший аутсорсинг критически необходимых или важных функций | ||
| 22. | Ссылка на Руководство EBA Параграф 76 | Рассматриваемый вопрос В соглашении об аутсорсинге должно быть указано, допустим ли дальнейший аутсорсинг критически необходимых или важных функций или их существенных частей. | Комментарий Atlassian Чтобы предоставлять продукты на международном уровне с минимальными перебоями, мы можем передавать некоторые критически необходимые или важные функции на дальнейший аутсорсинг поставщикам высококачественных услуг (например, поставщикам хостинга данных). |
| 23. | Ссылка на Руководство EBA Параграф 77 | Рассматриваемый вопрос Если дальнейший аутсорсинг критически необходимых или важных функций разрешен, учреждениям и платежным организациям следует определить, относится ли часть передаваемой на дальнейший аутсорсинг функции к числу критически необходимых или важных (т. е. идет ли речь о существенной части критически необходимой или важной функции). Если это так, ее необходимо зарегистрировать в реестре. | Комментарий Atlassian Этот вопрос рассматривается клиентом. |
| 24. | Ссылка на Руководство EBA Параграф 78 | Рассматриваемый вопрос Если дальнейший аутсорсинг критически необходимых или важных функций разрешен, в письменном соглашении необходимо: | Atlassian Commentary
|
| 25. | EBA Guidelines Reference
| Рассматриваемый вопрос
(a) указать виды деятельности, для которых не допускается дальнейший аутсорсинг; | Комментарий Atlassian См. строку 22 выше. |
| 26. | EBA Guidelines Reference
| Рассматриваемый вопрос
(b) указать условия, которые должны соблюдаться в случае дальнейшего аутсорсинга; | Комментарий Atlassian Atlassian уведомляет о любых изменениях по части дальнейшего аутсорсинга и о возникновении новых уровней аутсорсинга для критически необходимых или важных функций, а также предоставляет информацию о таком аутсорсинге. Если у учреждения есть опасения по поводу такого аутсорсинга, мы предоставляем возможность расторгнуть соглашение с нами. |
| 27. | EBA Guidelines Reference
| Рассматриваемый вопрос
(c) обозначить, что поставщик услуг обязан контролировать услуги, которые он передает на субподряд, для обеспечения бесперебойного выполнения всех договорных обязательств между поставщиком услуг и учреждением или платежной организацией; | Комментарий Atlassian По условиям договора с клиентом Atlassian по-прежнему отвечает за общую производительность, в том числе функций, переданных на дальнейший аутсорсинг. Что касается дальнейшего аутсорсинга критически необходимых или важных функций, Atlassian обязуется заключать со своими субподрядчиками договоры, которые предоставляют учреждениям и их компетентным органам и органам по разрешению споров надлежащие права на аудит, доступ и информацию, а также требуют от таких субподрядчиков соблюдения всех применимых законов. |
| 28. | EBA Guidelines Reference
| Рассматриваемый вопрос
(d) потребовать от поставщика услуг получения предварительного специального или общего письменного разрешения от учреждения или платежной организации до передачи данных на дальнейший аутсорсинг; | Комментарий Atlassian В рамках соблюдения требований GDPR в нашем Приложении об обработке данных мы обязуемся не привлекать субобработчиков к обработке персональных данных клиентов без предварительного письменного согласия клиента. |
| 29. | EBA Guidelines Reference
| Рассматриваемый вопрос
(e) включить обязательство поставщика услуг информировать учреждение или платежную организацию о любом планируемом дальнейшем аутсорсинге или о существенных изменениях в нем, включая такие ситуации, в которых это может повлиять на способность поставщика услуг выполнять свои обязанности по соглашению об аутсорсинге. Сюда входят планируемые существенные изменения по части субподрядчиков и периода уведомления; в частности, устанавливаемый период уведомления должен позволять учреждению или платежной организации, получающей аутсорсинг, как минимум провести оценку рисков предлагаемых изменений и возразить против них до вступления запланированного дальнейшего аутсорсинга или его существенных изменений в силу; | Комментарий Atlassian См. строку 26 выше. |
| 30. | EBA Guidelines Reference
| Рассматриваемый вопрос
(f) предоставить (в уместном случае) учреждению или платежной организации право возражать против предполагаемого дальнейшего аутсорсинга или его существенных изменений либо договориться о том, что для таких случаев требуется явное разрешение; | Комментарий Atlassian См. строку 26 выше. |
| 31. | EBA Guidelines Reference
| Рассматриваемый вопрос
(g) обеспечить для учреждения или платежной организации договорное право расторгнуть соглашение в случае неоправданного дальнейшего аутсорсинга, например, когда он существенно увеличивает риски для учреждения или платежной организации или когда поставщик услуг передает функцию на дальнейший аутсорсинг, не уведомив учреждение или платежную организацию. | Комментарий Atlassian См. строку 26 выше. |
| 32. | Ссылка на Руководство EBA Параграф 79 | Рассматриваемый вопрос Учреждения и платежные организации должны соглашаться на дальнейший аутсорсинг только в том случае, если субподрядчик обязуется: | Atlassian Commentary
|
| 33. | EBA Guidelines Reference
| Рассматриваемый вопрос
(a) соблюдать все применимые законы, нормативные требования и договорные обязательства; | Комментарий Atlassian См. строку 27 выше. |
| 34. | EBA Guidelines Reference
| Рассматриваемый вопрос
(b) предоставлять учреждению, платежной организации и компетентному органу те же договорные права на доступ и аудит, что и поставщик услуг. | Комментарий Atlassian См. строку 27 выше. |
| 35. | Ссылка на Руководство EBA Параграф 80 | Рассматриваемый вопрос Учреждения и платежные организации должны обеспечить надлежащий контроль субподрядчиков поставщиком услуг в соответствии с политикой, определенной учреждением или платежной организацией. Если предлагаемый дальнейший аутсорсинг может оказать существенное отрицательное влияние на механизм аутсорсинга критически необходимой или важной функции либо привести к существенному увеличению риска, в том числе к ситуации, когда не будут выполняться условия параграфа 79, учреждению или платежной организации следует воспользоваться правом возражать против дальнейшего аутсорсинга, если такое право было согласовано, и (или) расторгнуть договор. | Комментарий Atlassian См. строки 26 и 27 выше. |
| 36. | Ссылка на Руководство EBA 13.2 Безопасность данных и систем | ||
| 37. | Ссылка на Руководство EBA Параграф 81 | Рассматриваемый вопрос Учреждения и платежные организации должны обеспечить (в уместном случае) соблюдение поставщиками услуг соответствующих стандартов информационной безопасности. | Комментарий Atlassian Atlassian регулярно проходит независимую проверку в отношении средств обеспечения безопасности, конфиденциальности и соответствия требованиям. В течение срока действия нашего с вами договора мы будем соблюдать, по крайней мере, требования стандартов, перечисленных в нашем Центре безопасности, включая сертификаты ISO/IEC 27001 и ISO/IEC 27018, а также требования аудиторских отчетов SOC 2 типа II и SOC 3: |
| 38. | Ссылка на Руководство EBA Параграф 82 | Рассматриваемый вопрос Там, где это уместно (например, в контексте облачного или иного аутсорсинга ИКТ), учреждения и платежные организации должны определить требования к безопасности данных и систем в рамках соглашения об аутсорсинге и контролировать соблюдение этих требований на постоянной основе. | Комментарий Atlassian Поскольку затрагиваемые облачные продукты основаны на модели «один ко многим», мы предоставляем одинаково надежные средства безопасности всем клиентам. Наши методы подробно описаны в Центре безопасности, который доступен по ссылке |
| 39. | Ссылка на Руководство EBA Параграф 83 | Рассматриваемый вопрос В случае аутсорсинга с привлечением поставщиков облачных услуг и других соглашений об аутсорсинге, связанных с обработкой или передачей личных или конфиденциальных данных, учреждениям и платежным организациям следует оценивать риски по месту хранения и обработки данных (т. е. стране или региону), а также по вопросам информационной безопасности. | Комментарий Atlassian Этот вопрос рассматривается клиентом. |
| 40. | Ссылка на Руководство EBA Параграф 84 | Рассматриваемый вопрос Чтобы не нарушить требования Регламента (ЕС) 2016/679, учреждения и платежные организации при аутсорсинге (в частности, в третьи страны) должны учитывать различия в национальных положениях, касающихся защиты данных. Учреждения и платежные организации должны удостовериться в том, что соглашение об аутсорсинге включает обязательство поставщика услуг защищать конфиденциальную, личную или иную закрытую информацию и соблюдать все правовые требования в отношении защиты данных, которые применяются к учреждению или платежной организации (например, защита персональных данных и соблюдение банковской тайны или аналогичных юридических обязательств по конфиденциальности в отношении информации клиентов, если это применимо). | Комментарий Atlassian Мы предоставляем Приложение об обработке данных, которое содержит подробные обязательства в отношении обработки и безопасности персональных данных клиентов. Подробнее о нашей программе соответствия GDPR можно узнать здесь: |
| 41. | Ссылка на Руководство EBA 13.3 Права на доступ, информацию и аудит | ||
| 42. | Ссылка на Руководство EBA Параграф 85 | Рассматриваемый вопрос В рамках письменного соглашения об аутсорсинге учреждения и платежные организации должны обеспечить для внутреннего аудиторского подразделения возможность проверять функцию, передаваемую на аутсорсинг, с учетом рисков. | Комментарий Atlassian Atlassian предоставляет учреждениям договорные механизмы для проверки затрагиваемых облачных продуктов на постоянной основе. |
| 43. | Ссылка на Руководство EBA Параграф 86 | Рассматриваемый вопрос Вне зависимости от критической необходимости или важности передаваемой на аутсорсинг функции письменные соглашения об аутсорсинге между учреждениями и поставщиками услуг должны указывать полномочия компетентных органов и органов по разрешению споров в отношении сбора информации и проведения расследований в соответствии со статьей 63 (1) (a) Директивы 2014/59/EU и статьей 65 (3) Директивы 2013/36/EU в отношении поставщиков услуг, расположенных в государстве-члене, а также обеспечивать эти права в отношении поставщиков услуг, расположенных в третьих странах. | Комментарий Atlassian Atlassian признает полномочия компетентных органов и органов по разрешению споров в отношении сбора информации и проведения расследований согласно соответствующему и применимому законодательству ЕС. |
| 44. | Ссылка на Руководство EBA Параграф 87 | Рассматриваемый вопрос Что касается аутсорсинга критически необходимых или важных функций, учреждения и платежные организации должны предусмотреть в рамках письменного соглашения об аутсорсинге такие условия, чтобы поставщик услуг предоставлял им и их компетентным органам, включая органы по разрешению споров, а также назначенным ими либо компетентными органами лицам следующее: (a) полный доступ ко всем соответствующим служебным помещениям (например, головным офисам и операционным центрам), включая весь набор соответствующих устройств, систем, сетей, информации и данных, используемых для выполнения функции, передаваемой на аутсорсинг, включая соответствующую финансовую информацию, персонал и внешних аудиторов («права на доступ и информацию»); (b) неограниченные права на проверку и аудит, связанные с соглашением об аутсорсинге («права на аудит»), а также позволяющие контролировать такое соглашение и обеспечивать соблюдение всех применимых нормативных и договорных требований. | Комментарий Atlassian Atlassian предоставляет необходимые права на аудит, информацию и доступ учреждениям, использующим затрагиваемые облачные продукты, а также их компетентным органам и их представителям. |
| 45. | Ссылка на Руководство EBA Параграф 88 | Рассматриваемый вопрос При аутсорсинге функций, которые не являются критически необходимыми или важными, учреждения и платежные организации должны обеспечить доступ и права на аудит, изложенные в пунктах (a) и (b) параграфа 87 и в разделе 13.3, на основе подхода с оценкой рисков, в которой учитывается характер передаваемой на аутсорсинг функции и связанных с ней операционных и репутационных рисков, ее масштабируемость, а также потенциальное влияние на непрерывное осуществление деятельности и предусмотренный договором период. Учреждения и платежные организации должны учитывать, что функции могут со временем стать критически необходимыми или важными. | Комментарий Atlassian См. строку 44 выше. |
| 46. | Ссылка на Руководство EBA Параграф 89 | Рассматриваемый вопрос Учреждения и платежные организации должны удостовериться в том, что соглашение об аутсорсинге или любое другое договорное соглашение не препятствует и не ограничивает эффективную реализацию прав на доступ и аудита для них, компетентных органов или третьих сторон, назначенных ими для реализации этих прав. | Комментарий Atlassian Наша программа аудита позволяет клиентам, соответствующим требованиям, и их компетентным органам эффективно проводить проверки затрагиваемых облачных продуктов. |
| 47. | Ссылка на Руководство EBA Параграф 90 | Рассматриваемый вопрос Учреждения и платежные организации должны пользоваться своими правами на доступ и аудит, определять периодичность аудита и его область на основе подхода с оценкой рисков и придерживаться соответствующих общепринятых национальных и международных стандартов аудита. | Комментарий Atlassian Мы разработали программу аудита, которая согласуется с этим положением. |
| 48. | Ссылка на Руководство EBA Параграф 91 | Рассматриваемый вопрос Без ущерба для своей окончательной ответственности в отношении соглашений об аутсорсинге учреждения и платежные организации могут использовать: (a) групповые аудиты, организованные совместно с другими клиентами того же поставщика услуг и выполняемые ими и этими клиентами или назначенной ими третьей стороной в целях более эффективного использования аудиторских ресурсов и снижения организационной нагрузки как на клиентов, так и на поставщика услуг; (b) сторонние сертификаты и отчеты по сторонним и внутренним аудитам, предоставляемые поставщиком услуг. | Комментарий Atlassian Наша программа аудита позволяет учреждениям проверять затрагиваемые облачные продукты с помощью групповых аудитов и (или) сторонних сертификатов. |
| 49. | Ссылка на Руководство EBA Параграф 92 | Рассматриваемый вопрос Для критически необходимых или важных функций, передаваемых на аутсорсинг, учреждениям и платежным организациям следует оценить, отвечают ли сторонние сертификаты и отчеты, упомянутые в пункте (b) параграфа 91, требованиям и достаточны ли они для выполнения нормативных обязательств, и не полагаться исключительно на эти отчеты в долгосрочной перспективе. | Комментарий Atlassian Этот вопрос рассматривается клиентом. |
| 50. | Ссылка на Руководство EBA Параграф 93 | Рассматриваемый вопрос Учреждения и платежные организации должны использовать метод, упомянутый в пункте (b) параграфа 91, только в том случае, если они: (a) удовлетворены планом аудита для функции, переданной на аутсорсинг; (b) удостоверились в том, что сертификат или отчет по аудиту охватывает системы (т. е. процессы, приложения, инфраструктуру, центры обработки данных и т. д.) и ключевые средства управления, определенные учреждением или платежной организацией, а также предполагает соблюдение соответствующих нормативных требований; (c) тщательно оценивают содержание сертификатов или отчетов по аудитам на постоянной основе и проверяют, не устарели ли эти отчеты или сертификаты; (d) предусмотрели охват ключевых систем и средств управления в будущих версиях сертификатов или отчетов по аудитам; (e) удовлетворены компетентностью сертифицирующей или аудиторской стороны (например, в отношении ротации сертифицирующей или аудиторской компании, квалификации, опыта, а также проверки доказательств в базовом аудиторском досье); (f) удостоверились, что сертификаты выдаются и аудиты проводятся в соответствии со значимыми общепризнанными профессиональными стандартами и включают проверку эффективности действующих ключевых средств управления; (g) имеют договорное право требовать расширения сферы сертификации или отчетов по аудитам с целью включения других соответствующих систем и средств управления; количество и частота таких запросов на изменение охвата должны быть разумными и законными с точки зрения управления рисками; (h) сохраняют за собой договорное право проводить индивидуальные аудиты по своему усмотрению в отношении критически необходимых или важных функций, передаваемых на аутсорсинг. | Комментарий Atlassian Подпункты (a)–(f) представляют собой вопросы, рассматриваемые клиентом. Что касается подпункта (g), мы предоставляем учреждениям договорный механизм для запроса изменений в наших средствах управления и процессах аудита. Подпункт (h) рассматривается в строке 44 выше. |
| 51. | Ссылка на Руководство EBA Параграф 94 | Рассматриваемый вопрос В соответствии с Руководством EBA по оценке рисков ИКТ в рамках процедуры контроля и оценки (SREP) учреждения должны (если это уместно) предусмотреть возможность тестирования на проникновение в целях оценки эффективности внедренных мер и процессов в сфере кибербезопасности и внутренней безопасности ИКТ. С учетом раздела I платежные организации также должны иметь внутренние механизмы контроля ИКТ, включая меры контроля безопасности ИКТ и действия по смягчению последствий инцидентов. | Комментарий Atlassian Atlassian предоставляет клиентам право проводить тестирование на проникновение в любое время без предварительного разрешения Atlassian: https://www.atlassian.com/trust/security/security-testing |
| 52. | Ссылка на Руководство EBA Параграф 95 | Рассматриваемый вопрос Прежде чем посетить объект, учреждения, платежные организации, компетентные органы или их сторонние представители вместе с аудиторами должны заблаговременно уведомить поставщика услуг, кроме тех случаев, когда это невозможно из-за чрезвычайной или кризисной ситуации либо может привести к утрате эффективности аудита. | Комментарий Atlassian Наша программа аудита разработана с учетом этого вопроса. |
| 53. | Ссылка на Руководство EBA Параграф 96 | Рассматриваемый вопрос При проведении аудитов в средах с несколькими клиентами необходимо следить за тем, чтобы риски в отношении среды другого клиента (например, влияние на уровни обслуживания, доступность данных или аспекты конфиденциальности) предотвращались или смягчались. | Комментарий Atlassian Для Atlassian и наших клиентов чрезвычайно важно, чтобы наша деятельность с одним клиентом не подвергала риску других. Это распространяется на аудиты как с вашей стороны, так и со стороны любого другого клиента. Когда учреждение проводит аудит, мы будем работать с ним таким образом, чтобы свести к минимуму перебои для остальных наших клиентов. Кроме того, мы постараемся обеспечить для этого учреждения те же условия, когда аудит будут проводить другие клиенты. В частности, мы будем непрерывно отслеживать соблюдение собственных обязательств по безопасности со стороны своей команды. |
| 54. | Ссылка на Руководство EBA Параграф 97 | Рассматриваемый вопрос Когда соглашение об аутсорсинге сопряжено с высоким уровнем технической сложности, например в случае облачного аутсорсинга, учреждение или платежная организация должны убедиться в том, что аудитор — будь то внутренние аудиторы, группа аудиторов или внешние аудиторы, действующие от имени учреждения или платежной организации, — обладает соответствующими навыками и знаниями для эффективного проведения соответствующих аудитов и (или) оценок. То же относится к любому персоналу учреждения или платежной организации, проверяющему сторонние сертификаты или аудиты, проводимые поставщиками услуг. | Комментарий Atlassian Ответственность за это лежит на клиенте. |
| 55. | Ссылка на Руководство EBA 13.4 Права на расторжение договора | ||
| 56. | Ссылка на Руководство EBA Параграф 98 | Рассматриваемый вопрос Соглашение об аутсорсинге должно в явной форме предусматривать возможность для учреждения или платежной организации расторгнуть соглашение в соответствии с применимым законодательством, в том числе в следующих ситуациях: (a) если поставщик передаваемых на аутсорсинг функций нарушает применимые законы, правила или договорные положения; (b) если выявлены препятствия, способные повлиять на эффективность выполнения передаваемой на аутсорсинг функции; (c) если произошли существенные изменения, влияющие на соглашение об аутсорсинге или на поставщика услуг (например, дальнейший аутсорсинг или смена субподрядчиков); (d) если выявлены недостатки в отношении безопасности конфиденциальных, личных или других закрытых данных или информации, а также в отношении управления ими; (e) если компетентный орган учреждения или платежной организации дает соответствующие инструкции, например когда компетентный орган, назначенный в соглашении об аутсорсинге, больше не в состоянии эффективно контролировать учреждение или платежную организацию. | Комментарий Atlassian Мы предоставляем клиентам широкие и удобные права на расторжение договора, которые позволяют принять такое решение в любом из случаев, перечисленных в разделе 13.4 Руководства EBA. |
| 57. | Ссылка на Руководство EBA Параграф 99 | Рассматриваемый вопрос Письменное соглашение об аутсорсинге должно: | Atlassian Commentary
|
| 58. | EBA Guidelines Reference
| Рассматриваемый вопрос
(a) четко излагать обязательства существующего поставщика услуг в случае передачи функции, отданной на аутсорсинг, другому поставщику услуг либо обратно учреждению или платежной организации, включая обработку данных; | Комментарий Atlassian Встроенные функции наших продуктов позволяют экспортировать данные клиентов в любое время в течение срока действия договора без нашей помощи. |
| 59. | EBA Guidelines Reference
| Рассматриваемый вопрос
(b) установить соответствующий переходный период, в течение которого поставщик услуг после прекращения действия соглашения об аутсорсинге будет продолжать предоставлять функции, переданные на аутсорсинг, для снижения риска сбоев; | Комментарий Atlassian Если это необходимо учреждению, срок подписки можно продлить на короткий период, чтобы обеспечить переход к другому поставщику услуг. |
| 60. | EBA Guidelines Reference
| Рассматриваемый вопрос
(c) включать обязательство поставщика услуг поддерживать учреждение или платежную организацию в ходе передачи функции в должном порядке при расторжении соглашения об аутсорсинге. | Комментарий Atlassian См. строки 58 и 59 выше. |