Служба по надзору за финансовыми рынками (Швейцария) — FINMA
Рекомендации Atlassian по аутсорсингу
Разъяснительное замечание
Приведенное ниже руководство предназначено исключительно для оказания помощи клиентам Cloud из Швейцарии, работающим в государственном секторе, а также организациям, признанным «регулируемыми организациями» Службой по надзору за финансовыми рынками (Eidgenössische Finanzmarktaufsicht, FINMA), рассматривающим возможность аутсорсинга бизнес-функций в облако и оценивающим продукты Atlassian Cloud и связанные с ними услуги.
Данный отчет содержит только информацию и рекомендации, предоставляемые компанией Atlassian клиентам Cloud и касающиеся того, как мы обеспечиваем соответствие принципам FINMA. Кроме того, мы составили специальный технический документ, озаглавленный «Общая ответственность», в котором описаны общие обязанности, возлагаемые как на поставщика облачных услуг («CSP»), такого как Atlassian, так и на его клиентов при обеспечении соответствия требованиям FINMA. Модель общей ответственности не избавляет клиентов, использующих продукты Atlassian Cloud, от ответственности и рисков, но в нескольких аспектах облегчает задачу по обеспечению безопасности, включая управление компонентами системы и физическую защиту объектов. Кроме того, благодаря ей часть расходов на обеспечение безопасности и соответствия нормативным требованиям перекладывается с плеч клиентов на Atlassian.
Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности.
| | Руководство FINMA | Ответ Atlassian | Ресурсы Atlassian |
Введение |
| FINMA в первую очередь отвечает за операционные риски и риски аутсорсинга для финансовых учреждений: обеспечение (i) соблюдения финансовыми учреждениями надлежащего контроля за управлением безопасностью с целью защиты самих себя, кредиторов и физических лиц при взаимодействии с внешними поставщиками услуг и (ii) эффективное функционирование швейцарских финансовых рынков. |
|
Руководство BaFin по аутсорсингу |
| В нашем руководстве по аутсорсингу FINMA вы найдете конкретные соответствия для каждого требования и узнаете, как с помощью Atlassian Cloud Enterprise можно выполнить свои обязательства, включая информацию о правах на аудит, праве на выдачу инструкций, безопасности данных, прекращении действия и многоуровневом аутсорсинге. Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности. | |
Руководство EBA |
| В нашем руководстве по аутсорсингу FINMA вы найдете конкретные соответствия для каждого требования и узнаете, как с помощью Atlassian Cloud Enterprise можно выполнить свои обязательства, включая информацию о правах на аудит, праве на выдачу инструкций, безопасности данных, прекращении действия и многоуровневом аутсорсинге. Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности. | |
Перечень функций, переданных на внешний аутсорсинг | 4.1. (14) Клиент должен вести актуальный перечень функций, переданных на аутсорсинг, включающий описание функций, передаваемых на аутсорсинг, поставщика услуг (включая субподрядчиков), получателя аутсорсинга и внутреннее подразделение клиента, отвечающее за аутсорсинг | Мы отмечаем, что это обязанность наших клиентов — регулируемых учреждений. Однако в отдельных случаях Atlassian может передавать некоторые критически важные или важные функции на аутсорсинг поставщикам высококачественных услуг (например, поставщикам услуг размещения данных) в соответствии с GDPR. | |
Выбор, инструктаж и мониторинг поставщика услуг | 5.1. (16) Спецификации услуг должны быть согласованы в соответствии с целями аутсорсинга и задокументированы до подписания соглашения. Сюда входит проведение анализа рисков с учетом основных экономических и операционных факторов, а также связанных рисков и возможностей | Это обязательство не распространяется на поставщиков облачных услуг. Однако Atlassian предоставляет ряд ресурсов для помощи клиентам в проведении необходимой оценки рисков и комплексной проверки. Дополнительные сведения о методах обеспечения безопасности и эксплуатации Atlassian см. в Центре безопасности Atlassian (https://www.atlassian.com/trust), где вы найдете следующее.
| Центр безопасности |
| 5.2. (17) Поставщик услуг должен быть выбран с должным учетом его профессиональных возможностей, а также финансовых и кадровых ресурсов и подвергнут соответствующей проверке. При передаче нескольких функций одному и тому же поставщику услуг необходимо учитывать концентрацию рисков. | См. руководство в нашем ответе на разделы 4.1 и 5.1. |
| |
| 5.3. (18) Перспектива смены поставщиков услуг и возможные последствия такой смены должны учитываться при принятии решения об аутсорсинге и выборе поставщика услуг. Поставщик услуг должен предоставить гарантию постоянного предоставления услуг. Необходимо предусмотреть возможность обратной передачи функции, переданной на аутсорсинг, или ее передачи другому поставщику. | В течение срока подписки, на который вами приобретен соответствующий продукт Cloud, мы будем прилагать коммерчески разумные усилия для обеспечения ежемесячного процента времени бесперебойной работы, определенного ниже («Обязательства в отношении уровня обслуживания»):
Условия уровня обслуживания, а также меры обеспечения в случае его несоблюдения для затрагиваемых продуктов Cloud предусмотрены в нашем соглашении об уровне обслуживания и соответствующих условиях для конкретных продуктов. | Соглашение об уровне обслуживания Atlassian | |
| 5.4. (19) Обязанности сторон должны быть согласованы и разграничены в договоре, в частности в отношении взаимодействия и ответственности. | См. Соглашение Atlassian с клиентом -> https://www.atlassian.com/legal/atlassian-customer-agreement | ||
| 5.5. (20 - 21) Клиент должен постоянно контролировать и оценивать услуги поставщика услуг аутсорсинга и с этой целью установить договорные условия касательно необходимых прав на инструктаж и контроль. | Мы предлагаем полезную информацию, рекомендации и удобный доступ к документам, касающимся функций наших продуктов, чтобы вы могли без труда соблюдать требования и составлять отчеты. Вы можете доверять нашим продуктам, которые регулярно проходят независимую проверку встроенных средств контроля безопасности, конфиденциальности и соответствия требованиям, а также получают сертификаты соответствия международным стандартам. | ||
Безопасность | 6.1. (24) Стороны должны на договорной основе согласиться с применимыми требованиями безопасности, а клиент должен контролировать соблюдение этих требований | Договорные обязательства в отношении безопасности включены в Раздел 4.2 Соглашения Atlassian с клиентом (https://www.atlassian.com/legal/atlassian-customer-agreement), в котором говорится, что компания Atlassian внедрила и будет поддерживать соответствующие физические, технические и организационные меры безопасности, предназначенные для защиты данных клиентов от несанкционированного доступа, уничтожения, использования, изменения или раскрытия. В этом разделе также указано, что Atlassian будет поддерживать программу соответствия требованиям, включающую независимые сторонние аудиты и сертификаты. Наш Центр безопасности (https://www.atlassian.com/trust), обновляющийся периодически, содержит дополнительную информацию о наших мерах безопасности и сертификациях. | Соглашение Atlassian с клиентом |
| 6.2. (25) Стороны должны разработать систему безопасности, обеспечивающую выполнение функций, переданных на аутсорсинг, в чрезвычайных ситуациях | Мы поддерживаем планы непрерывной работы и аварийного восстановления, как описано в нашем Центре безопасности (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Мы пересматриваем и тестируем их не реже одного раза в год. | ||
Аудит и надзор | 7.1. (26) Клиент, его аудиторская фирма и FINMA должны иметь возможность проверять соблюдение поставщиком услуг требований в отношении надзора. Для этого они должны иметь установленное договором право проверять всю информацию, касающуюся функции, переданной на аутсорсинг, и проводить ее аудит в любое время без ограничений. | Atlassian признает, что регулируемые организации, подотчетные FINMA, должны иметь возможность эффективно проводить аудит наших услуг. Atlassian предоставляет определенные права на аудит, доступ и информацию таким регулируемым организациям и их надзорным органам в соответствии с применимым законодательством. Регулируемые организации могут получить доступ к своим данным об услугах в любое время и предоставить доступ своему надзорному органу. |
|
| 7.2. (27) Аудит может быть делегирован аудиторам поставщика услуг, если они обладают достаточной квалификацией. В этом случае аудиторская фирма клиента может провести свой аудит с использованием результатов аудиторов поставщика услуг. | Наши облачные продукты регулярно проходят независимую проверку встроенных средств контроля безопасности, конфиденциальности и соответствия требованиям. По ее результатам им присуждаются сертификаты и для них создаются отчеты о соответствии международным стандартам. Вы можете ознакомиться с ведущими отраслевыми решениями Atlassian в области безопасности, аудитами и сертификатами третьих сторон, документацией и юридическими обязательствами, которые помогают обеспечить соответствие требованиям, в нашем Центре ресурсов по обеспечению соответствия требованиям (https://www.atlassian.com/trust/compliance/resources). | ||
| 7.3. (28) Передача функции на аутсорсинг не должна затруднять надзор со стороны FINMA, в частности, если функция передается на аутсорсинг в другую страну. | По условиям договора с клиентом Atlassian по-прежнему отвечает за общую производительность, в том числе функций, переданных на дальнейший аутсорсинг. Что касается дальнейшего аутсорсинга критически необходимых или важных функций, Atlassian обязуется заключать со своими субподрядчиками договоры, которые предоставляют Atlassian права на аудит в случае необходимости, и требует от субподрядчиков соблюдения всех применимых законов. |
| |
| 7.4. (29) Если поставщик услуг не находится под надзором FINMA, он должен быть по договору обязан предоставлять FINMA всю информацию и документацию, касающуюся переданных на аутсорсинг функций, которые необходимы для надзорной деятельности FINMA. Если аудит делегирован аудиторам поставщика услуг, они должны по запросу предоставлять свой отчет в FINMA, а также внутренним аудиторам и аудиторской фирме клиента аутсорсинга. | По запросу Atlassian предоставит отчет об аудите, проведенном третьей стороной. |
| |
Аутсорсинг за рубеж | 8.1. (30) Аутсорсинг в другую страну допустим, если клиент может явным образом гарантировать, что он, его аудиторская фирма и FINMA могут отстаивать и реализовывать свое право на проверку и аудит информации. | В нашем руководстве по аутсорсингу FINMA вы найдете конкретные соответствия для каждого требования и узнаете, как с помощью Atlassian Cloud Enterprise можно выполнить свои обязательства, включая информацию о правах на аудит, праве на выдачу инструкций, безопасности данных, прекращении действия и многоуровневом аутсорсинге. Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности. | |
| 8.2. (31) Клиент должен убедиться, что аутсорсинг иностранному поставщику услуг не препятствует реструктуризации или урегулированию в Швейцарии, а необходимая для этой цели информация должна быть постоянно доступна в Швейцарии. | Atlassian обязуется в обоснованной мере сотрудничать со своими клиентами в случае смены контроля, вывода инвестиций или другой организационной реструктуризации. |
| |
Соглашение | 9.1. (32) Аутсорсинг должен быть основан на письменном соглашении. Помимо наименования сторон и описания функции, переданной на аутсорсинг, в соглашении также должны быть учтены требования параграфов 33–34. | Все взаимоотношения с клиентами регулируются официальным договором. См. Соглашение Atlassian с клиентом -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) Клиент должен быть проинформирован об использовании или замене субподрядчиков для выполнения важных функций на ранней стадии. Клиент должен иметь возможность прекратить аутсорсинг в организованном порядке в соответствии с параграфом 18.1. В тех случаях, когда используются субподрядчики, они также должны соблюдать обязательства и гарантии со стороны поставщика услуг, необходимые для соблюдения настоящей директивы. | В разделе 13.4 рекомендаций EBA описаны права клиента на расторжение договора. В нем говорится: «Мы предоставляем клиентам широкие права на расторжение договора в одностороннем порядке, согласно которым они могут расторгнуть договор в любом из случаев, перечисленных в разделе 13.4 рекомендаций EBA». https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) Соглашение должно включать меры по обеспечению выполнения требований, изложенных в настоящей директиве, в частности, в параграфах 21, 24, 26, 29, 30 и 31. | См. вопросы 5.5, 6.1, 7.1, 7.4, 8.1 и 8.2 |
|