Close

BaFin

Atlassian 外包指南

该图表旨在帮助受德国联邦金融监管局监管的金融服务机构,方便机构将《云服务提供商外包指南》(“BaFin 指南”)第五章(“(实质性)外包情况下的合同条款”)中的每个段落)与 Atlassian 的客户合同文档对应。

如果您已有 Atlassian 合同,或者想进一步了解这些条款如何应用于您的合同,请联系我们

最后更新于 2021 年 12 月,[点击此处下载 pdf]

编号
注意事项和要求
Atlassian 评论

1.

根据监管法的要求,对于实质性外包1或根据 KAGB 的无差别外包,外包协议中应特别包括以下条款和条件:

 

2.

1. 执行范围

 

3.

协议应包括云服务提供商要执行的服务的规范和说明(如必要)。这应在引用的服务等级协议中加以规定。在此情况下,应定义以下方面的内容:

 

4.

  • 要外包的项目及其实施(例如服务类型和部署模式、提供的服务范围(例如计算能力或可用内存空间、可用性要求、响应时间),
  • 我们的文档以引用方式纳入了面向符合条件的客户的 Atlassian 客户合同,其中包含对所涉云产品的清晰描述。

    5.

  • 支持服务
  • 符合条件的客户可以使用 Atlassian 支持服务,该服务受 Atlassian 客户合同的约束。

    6.

  • 责任、合作义务和调配(例如,在更新的情况下),
  • 通常由 Atlassian 客户合同处理。

    7.

  • 执行地点(例如,数据中心的位置),
  • 此处所述,特定所涉云产品包含产品内数据驻留功能,允许客户的管理员将范围内的产品数据固定到他们选择的位置。本页介绍我们的云托管基础架构。

    根据合同,我们承诺:(a) 在适用的订阅期内不会对产品功能进行重大降级;(b) 数据托管位置出现任何更改都会通知客户。

    8.

  • 外包协议的开始和终止,
  • Atlassian 客户合同规定了订阅期限的默认期限和所有适用的通知期。此外,当您下单购买一个或多个所涉云产品时,订单中将包含相应订阅期限的开始和结束日期。

    9.

  • 执行持续审查服务级别的关键比率,
  • 有关所涉云产品的相应服务级别条款以及不符合服务级别的补救措施,请参见我们的服务水平协议和相应的产品特定条款

    10.

  • 用于识别不可接受的服务级别的指标。
  • 我们会在 https://status.atlassian.com/ 发布服务可用性更新,并通过合同承诺告知客户对所涉云产品可用性产生重大影响的事件。

    11.

    2. 监管公司的信息和审计权

     

    12.

    监管公司的信息和审计权以及控制可能性不得受到合同限制。必须确保监管公司收到所需的信息,以便能充分控制和监控与外包相关的风险。

    我们的审核计划旨在确保符合条件的客户及其监管机构能够有效地审计所涉云产品。

    13.

    为了保护信息和审计权,应特别通过合同约定以下条款:

  • 授予对信息和数据的完全访问权限,以及访问云服务提供商的营业场所,包括用于提供外包项目的所有数据中心、设备、系统和网络的完全访问权限,其中包括相关的流程和控制,
  • 控制和审计整个外包链的有效可能性。
  • 见上文第 12 行。

    14.

    没有(间接)限制权利有效行使信息和审计权不得受到合同的限制。德国监管机构认为,这种对信息和审计权的禁用限制确实存在,特别是在合同协议仅在某些条件下授予此类权利的情况下。尤其包括:

  • 约定增量信息和审计程序,例如,在监管公司能够执行自己的审计活动之前,应该先依赖云服务提供商提供的审计报告、证书或其他遵守公认标准的证据;
  • 限制信息履行和审计权限仅限于提交审计报告、证书或其他云服务提供商遵守公认标准的证据;
  • 将信息获取与之前的特别培训项目考勤联系起来;
  • 条款规定审计的执行应以其商业合理性为前提;
  • 在时间和人员方面限制审计执行,但是,作为一般规则,在事先通知的情况下限制正常工作时间访问是可以接受的;
  • 提及管理控制台等专属功能来行使公司的信息和审计权。
  • 见上文第 12 行。

    15.

    豁免

    根据监管法的适用要求,监管公司可以申请豁免,以提高自身审计活动的效率。此类豁免包括集中审计或者使用基于通用标准的文件/证书、认可的第三方的审计报告或云服务提供商的内部审计报告。

    具体取决于客户的考量。另请参阅上文第 12 行和下文第 20 行。

    16.

    集中审计

    监管公司须遵守第 25a、25b 条规定,KWG 可以利用第 09/2017 号通告 (BA)—风险管理最低要求 (MaRisk) 中的豁免。根据 BT 2.1 第 3 项 MaRisk,在重大外包的情况下,监管公司的内部审计职能部门可以放弃自己的审计活动,前提是外部服务提供商开展的审计工作符合 AT 4.4 和 BT 2 MaRisk 的要求。受监管外包公司的内部审计部门必须定期确保能满足这些条件。有关监管公司的审计结果将转交给受监管外包公司的内部审计部门。

    具体取决于客户的考量。另请参阅上文第 12 行。

    17.

    针对此方面,审计活动可以由云服务提供商的内部审计部门、代表受监管外包公司的一家或多家受监管外包公司的内部审计部门(“集中审计”)、云服务提供商指定的第三方或受监管外包公司指定的第三方执行。

    具体取决于客户的考量。另请参阅上文第 12 行。

    18.

    对于其他监管公司,在个别情况下,可能允许通过集中审计与其他监管公司共同对云服务提供商行使某些信息和审计权。

    具体取决于客户的考量。另请参阅上文第 12 行。

    19.

    如果监管公司利用上述豁免之一,这可能不会导致其信息和审计权受到限制。

    见上文第 12 行。

    20.

    证明/证书和审计报告

    作为一般规则,监管公司可以使用基于共同标准的文件/证书(例如,国际标准化组织的国际安全标准 ISO/IEC 2700X、BSI 的云计算合规控制目录(C 5 目录)、认可的第三方审计报告或云服务提供商的内部审计报告。针对此方面,监管公司必须考虑到此类文件/证书和审计报告的认证机构或审计机构的范围、详细程度、最新程度和适用性。

    Atlassian 会定期接受对我们的安全、隐私和合规控制的独立审查。在我们与您签订的合同期限内,我们将至少遵守信任中心列出的各项标准,其中包括 ISO/IEC 27001 和 ISO/IEC 27018 认证,以及 SOC 2 Type II 和 SOC 3 审计报告:https://www.atlassian.com/trust/compliance

    21.

    但是,监管公司在进行审计活动时不得仅依赖这些标准。如果内部审计部门在其活动中使用此类文件/证书,它应能审查其背后的证据。

    具体取决于客户的考量。另请参阅上文第 12 行。

    22.

    3. 监管公司的信息和审计权

     

    23.

    监管公司的信息和审计权以及控制可能性不得受到合同限制。监管机构必须能够完全按照适用法律对监管公司的规定来监控云服务提供商。监管机构必须能够就外包项目行使其信息和审计权、可以执行适当的控制,并且不受限制,这也适用于监管机构参与审计的工作人员。

    我们的审核计划旨在确保符合条件的客户及其监管机构能够有效地审计所涉云产品。

    24.

    为了保护这些权利,应特别通过合同约定以下条款:

  • 云服务提供商有义务与监管机构合作,且不受限制,
  • 授予对信息和数据的完全访问权限,以及云服务提供商营业场所的访问权限,包括用于提供外包项目的所有数据中心、设备、系统和网络,这包括与之相关的流程和控制,以及执行云服务提供商(以及在适用情况下对连锁外包公司)的现场审计的可能性,
  • 控制和审计整个外包链的有效可能性。
  • 见上文第 23 行。

    25.

    权利没有(间接)限制

    我们认为确实存在这种对信息和审计权的禁用限制以及德国监管机构的控制可能性,特别是在规定仅在某些条件下授予此类权利的情况下。我们会参考上述关于限制监管公司权利的声明,以避免重复。

    见上文第 23 行。

    26.

    4. 发布指示的权利

     

    27.

    监管公司发布指示的权利须经商定。发布指示的权利是为了确保能够发出履行约定服务所需的所有指示,即需要存在影响和控制外包项目的可能性。技术实施可以根据公司的具体情况单独组织。

    我们的客户可以通过其客户支持渠道向我们发布有关所涉云产品的说明(包括涉及第三方认证和审计报告)。

    28.

    如果监管公司使用证明/认证或审计报告(参见V.2),它还应有可能影响证明/认证或审计报告的范围,以便扩大范围,将相关的系统和控制措施都纳入其中。在发出此类指示的数量和频率方面,应有合理的比例。

    见上文第 27 行。

    29.

    此外,应随时授权监管公司向云服务提供商发出更正、删除和封锁数据的指示,并且应允许云服务提供商收集、处理和使用数据,但只能在监管公司发布的指示的背景下收集、处理和使用数据。这还应包括随时发出指示,要求将云服务提供商处理的数据迅速、不受限制地传回监管公司的可能性。

    我们提供了一份数据处理附录,其中提供有关处理和保护客户个人数据的详细承诺。您可以点击此处详细了解我们的 GDPR 合规计划:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    此外,我们还为所有客户提供产品内置功能,让他们在合同期限内无需我们协助即可随时导出自己的数据。

    30.

    如果可以放弃关于监管公司发布指示的权利的明确协议,则应在外包协议中足够明确地规定外包公司提供的服务。

    见上文第 27 行。

    31.

    5. 数据安全/保护(关于数据存储位置)

     

    32.

    需要约定确保遵守数据保护法规和其他安全要求的条款。

    鉴于所涉云产品的一对多性质,我们为所有客户提供同样强大的安全性。我们的信任中心详细介绍了这些安全实践:https://www.atlassian.com/trust/

    我们承诺遵守信任中心的安全实践,并且在订阅期内不会大幅降低所涉云产品的整体安全性。

    另请参阅上文第 27 行和第 29 行。

    33.

    监管公司必须知道数据存储的位置。其中应包括数据中心的具体位置。通常,提供地点的名称(例如乡镇或城市)即可。但是,如果监管公司基于风险管理的考虑需要数据中心的确切地址,则云服务提供商应提供确切地址。

    见上文第 7 行。

    34.

    此外,应确保数据和系统的冗余性,以便在一个数据中心发生故障时确保服务能够持续。

    我们维护有业务连续性计划和灾难恢复计划,详见信任中心所述。至少每年,我们都会对这些计划进行审查和测试。

    35.

    外包链中还要确保数据和系统的安全性。

    见上文第 32 行。

    36.

    监管公司必须能随时快速访问其存储在云服务提供商处的数据,并在需要时重新传输这些数据。针对此方面,必须确保所选重传形式不会限制或排除数据的使用。因此,应约定不受平台约束的标准数据格式。必须考虑不同系统的兼容性。

    见上文第 29 行。

    37.

    6. 终止条款

     

    38.

    必须约定终止权利和适当的终止通知期。尤其是,应约定一项特殊终止权,规定如果监管机构要求终止协议,则可视为有正当理由终止协议。

    为方便起见,我们为客户提供了广泛的终止权利,以便他们可在任何情况下终止。

    39.

    必须确保在终止的情况下继续提供外包给云服务提供商的项目,直到外包项目完全转移给其他云服务提供商或监管公司为止。针对此方面,必须特别保证,云服务提供商将合理协助监管公司将外包项目转移给其他云服务提供商或直接转让给监管公司。

    如果机构提出要求,则可短期延长其订阅期限,以便过渡到其他服务提供商。

    40.

    应定义外包项目和数据的转让类型、形式和质量。如果数据格式根据监管公司的个人需求进行了调整,则云服务提供商应在终止时提供此类调整的文档。

    该信息可参阅我们的文档

    41.

    应该约定,在将数据重传给监管公司后,其数据已被云服务提供商完全且不可撤消地删除。

    我们的数据处理附录讨论了这一考量因素。

    42.

    为确保在按计划或意外终止协议时维持外包区域,监管公司必须制定退出战略并审查其可行性。

    此项具体取决于客户的考量。

    43.

    7. 连锁外包

     

    44.

    将约定关于连锁外包的可能性和模式的条款,以确保监督法的要求继续得到满足。不允许施加限制,例如只承担最基本的类似义务。尤其是必须确保在连锁外包的情况下,受监管的外包公司以及监督当局的信息和审计权以及控制可能性也适用于分包商。

    为了在最大限度地减少中断的情况下提供全球产品,我们可能会将某些关键功能分包给高质量的服务提供商(例如数据托管提供商)。关于重要的分包业务,Atlassian 承诺确保与此类分包商签订适当的合同,这些分包商授予机构及其监管机构适当的审计、访问和信息权,并要求此类分包商遵守所有适用的法律。另请参阅上文第 12 行。

    45.

    就连锁外包而言,外包协议中应规定外包公司同意的保留意见或实现供应链外包必须满足的具体条件。应该定义哪些外包项目和/或其中的部分可以连锁外包,哪些又不可以。

    见上文第 44 行。

    46.

    连锁外包之前,应以文本形式告知监管公司外包的项目以及/或部分外包项目的情况。监管公司应了解分包商以及外包给他们的项目和/或通过连锁外包提供的部分外包项目。

    Atlassian 将提供针对关键或重要功能的所有变更或新分包的通知,并提供有关此类分包的信息。如果该机构对此类分包存有疑虑,则可选择与我们终止合同。

    47.

    如果出现新的连锁外包,必须记住,这可能会对外包的风险状况产生影响,从而影响外包公司。因此,如果出现新的连锁外包,至少应审查或重新执行风险分析。这也适用于已知分包商提供的云服务出现重大缺陷和重大变更的情况。

    此项具体取决于客户的考量。

    48.

    无论云服务是由云服务提供商还是其分包商提供,公司都应持续审查和监控整个服务的执行情况。

    此项具体取决于客户的考量。

    49.

    8. 信息职责

     

    50.

    约定条款,确保云服务提供商向监管公司告知可能对外包项目的有序绩效产生不利影响的事态发展。这包括了就提供云服务时出现的任何中断进行报告等内容。这是为了确保监管公司能够充分监控外包项目。

    我们会在 https://status.atlassian.com/ 发布服务可用性更新,并通过合同承诺告知客户对所涉云产品可用性产生重大影响的事件。

    51.

    云提供商应立即通知监管公司可能危及云服务提供商处理的监管公司数据安全性的任何情况,例如由于第三方的行为(例如,附件或征用)、破产或和解程序或其他事件。

    除了上文第 50 行提到的承诺外,我们还承诺在数据处理附录中向客户提供安全事件通知。

    52.

    应确保监管公司在云服务提供商提供的云服务发生相关变化时,提前获得云服务提供商的充分通知。服务说明及其任何变更都应以文本形式提供并/或通知监管公司。如果第三方要求获得监管公司的数据,在法律允许的范围内,应确保监管公司充分了解情况。

    我们发布了云产品路线图,向客户提供有关所涉云产品重大变更的通知。

    此外,我们仅根据我们的执法请求指南向第三方提供客户数据。

    53.

    9. 适用法律通知

     

    54.

    如果约定了法律选择条款,但未约定德国法律为管辖法律,则无论如何都应以欧盟或欧洲经济区国家的法律作为管辖该协议的法律。

    Atlassian 客户合同的默认适用法律是加利福尼亚州的法律。请联系我们的企业销售团队,了解更多详情。

    1《德国联邦金融监管局指南》中使用的“实质性外包”一词相当于《企业年度评估指南》中使用的“关键或重大外包”一词。