Asignación

Lineamientos de Subcontratación de la EBA

Asignación en Google Cloud Platform

Este documento está diseñado para ayudar a las instituciones financieras dentro del alcance de la orden de la Autoridad de Asuntos Financieros de la UE (“instituciones”) a considerar los Lineamientos sobre los acuerdos de subcontratación (los “lineamientos de subcontratación de la EBA”) en el contexto de Google Cloud Platform (“GCP”) y el contrato de servicios financieros de Google Cloud.

Nos enfocamos en el artículo 13 (fase contractual) de los lineamientos de subcontratación de la EBA. Para cada párrafo del artículo 13, proporcionamos comentarios que te ayudarán a comprender cómo puedes abordar los lineamientos mediante los servicios de Google Cloud y el Contrato de servicios financieros de Google Cloud.

Los Lineamientos de Subcontratación de la EBA reemplazan a los lineamientos del Comité de Supervisores bancarios europeos (CEBS) sobre la subcontratación que se emitieron en 2006. También reemplazaron las Recomendaciones de la EBA sobre la subcontratación a proveedores de servicios en la nube publicados en 2018.

Si tienes un contrato de Google Cloud existente y deseas comprender cómo se aplica este documento a tu contrato, comunícate con el representante de tu cuenta de Google Cloud.

# Lineamientos de Subcontratación de la EBA Comentario de Google Cloud Referencia de contratos de servicios financieros de Google Cloud
1. 13 Fase contractual
2. 74. Los derechos y las obligaciones de la institución, la institución de pago y el proveedor de servicios se deben asignar y definir claramente en un acuerdo escrito.

Los derechos y las obligaciones de las partes se establecen en el Contrato de servicios financieros de Google Cloud.

N/A
3. 75. El acuerdo de subcontratación para las funciones vitales o importantes se debe establecer como mínimo lo siguiente:
4. a. una descripción clara de la función de subcontratación que se proporcionará; Obtén más información sobre los servicios de GCP. Definiciones
5. b. la fecha de inicio y de finalización, según corresponda, del acuerdo y los períodos de notificación del proveedor de servicios, la institución o la institución de pagos; Consulta tu contrato de servicios financieros de Google Cloud. Período de vigencia y Rescisión
6. c. la ley aplicable que rige el acuerdo; Consulta tu contrato de servicios financieros de Google Cloud. Ley aplicable
7. d. las obligaciones financieras de las partes; Consulta tu contrato de servicios financieros de Google Cloud. Condiciones de pago
8. e. si se permite la subcontratación de una función esencial o importante, o partes materiales, y, en ese caso, las condiciones especificadas en el artículo 13.1 a las que está sujeto el subcontrato; Consulta los comentarios sobre el artículo 13.1 en las filas de la 21 a la 35. Consulta las filas de la 21 a la35.
9. f. las ubicaciones (es decir, las regiones o los países) en los que se proporcionará la función esencial o importante, o donde se conservarán y procesarán los datos relevantes, incluida la ubicación de almacenamiento posible y las condiciones que se deben cumplir, lo que incluye un requisito para notificar a la institución o institución de pago si el proveedor de servicios propone cambiar las ubicaciones. Ubicaciones

Para brindarte un servicio rápido, confiable, sólido y resiliente, Google puede almacenar y procesar tus datos en ubicaciones en las que Google o sus subprocesadores mantienen instalaciones.

Google proporciona los mismos compromisos contractuales y medidas técnicas y organizativas para tus datos, sin importar el país o la región en que se encuentren. En particular, considera lo siguiente:

  • Las mismas medidas sólidas de seguridad se aplican a todas las instalaciones de Google, independientemente del país o la región.
  • Google hace los mismos compromisos sobre todos sus subprocesadores, independientemente del país o la región.

Condiciones

Google te ofrece opciones sobre dónde almacenar tus datos, incluida una opción para almacenarlos en Europa. Una vez que elijas dónde almacenar tus datos, Google no los almacenará fuera de las regiones que elegiste.

Obtén más información sobre cómo restringir ubicaciones de recursos.

Además, Google proporciona compromisos para habilitar la transferencia legal de datos personales a un tercer país según la ley europea de protección de datos.

Transferencias de datos ( Condiciones de Seguridad y Procesamiento de Datos)

Seguridad de los datos; Subprocesadores ( Condiciones de Seguridad y Procesamiento de Datos)

Ubicación de los datos ( Condiciones específicas del servicio)

Transferencias de datos ( Condiciones de Seguridad y Procesamiento de Datos)

10. g. en casos relevantes, disposiciones respecto de la accesibilidad, disponibilidad, integridad, privacidad y seguridad de los datos relevantes, tal como se especifica en el artículo 13.2; Consulta los comentarios sobre el artículo 13.2 en las filas 36 a 40. Consulta las filas 36 a 40
11. h. el derecho de la institución o institución de pago para supervisar el rendimiento del proveedor de servicios de forma continua;

Puedes supervisar el rendimiento de Google de los Servicios (incluidos los ANS) de forma continua con las funciones que usan.

Por ejemplo:
  • El Panel de estado proporciona información de estado sobre los servicios.
  • Operaciones de Google Cloud es una solución integrada de supervisión, registro y diagnóstico alojada que te ayuda a obtener estadísticas sobre tus aplicaciones que se ejecutan en GCP.
  • La Transparencia de acceso es una función que te permite revisar registros de las acciones que realiza el personal de Google en relación con tus datos. Las entradas de registro incluyen las siguientes: el recurso afectado, el momento de la acción y el motivo de la acción (p. ej., el número de caso asociado a la solicitud de asistencia) y los detalles sobre quién actúa sobre los datos (p. ej., la ubicación del personal de Google).
Supervisión continua del rendimiento
12. i. los niveles de servicio acordados, que deben incluir objetivos de rendimiento cuantitativos y cualitativos precisos para la función de subcontratación a fin de permitir una supervisión oportuna, de modo que se puedan tomar las medidas correctivas adecuadas sin una demora excesiva si los niveles de servicio acordados no se cumplen; Obtén más información sobre los ANS de Google. Servicios
13. j. las obligaciones de declaración del proveedor de servicios para la institución o institución de pago, incluida la comunicación por parte del proveedor de servicios de cualquier desarrollo que pueda tener un impacto material en la capacidad del proveedor de servicios de llevar a cabo de manera efectiva la función esencial o importante de acuerdo con los niveles de servicio acordados y de acuerdo con las leyes y los requisitos normativos aplicables y, según corresponda, las obligaciones para enviar informes sobre la función de auditoría interna del proveedor de servicios;

Obtén más información sobre los incidentes y el panel de estado de Google Cloud.

Además, Google te notificará con rapidez los incidentes de datos con rapidez y sin demora. Puedes encontrar más información sobre el proceso de respuesta de Google para los incidentes de datos en nuestro informe.

Desarrollos significativos

Incidentes de datos ( Condiciones de Seguridad y Procesamiento de Datos)

14. k. si el proveedor de servicios debe tener un seguro obligatorio respecto de ciertos riesgos y, si corresponde, el nivel de cobertura de seguro que se solicitó; Google mantendrá la cobertura de seguro contra varios riesgos identificados. Seguros
15. l. los requisitos para implementar y probar los planes de contingencia comercial;

Google implementará un plan de continuidad empresarial para los Servicios, lo revisará y lo probará al menos una vez al año y se mantendrá actualizado con los estándares de la industria.

Además, accede a información sobre cómo los clientes pueden usar nuestros Servicios en su propia planificación de contingencia empresarial con nuestra guía de planificación de recuperación ante desastres.

Continuidad del negocio y recuperación ante desastres
16. m. disposiciones que garantizan que se pueda acceder a los datos que son propiedad de la institución o institución de pago en caso de insolvencia, resolución o descontinuación de las operaciones comerciales del proveedor del servicio;

Conservas todos los derechos de propiedad intelectual de tus datos.

Google te permitirá acceder a tus datos y exportarlos durante el contrato. Consulta la fila 75.

Ninguno de estos compromisos se rechazan según la insolvencia de Google. Google tampoco tiene el derecho de rescindir la insolvencia propia de Google, aunque podrás elegir la rescisión del contrato. En el improbable caso de que la insolvencia de Google no pueda resolverse, puedes hacer referencia a estos compromisos cuando trates con el profesional designado.

Propiedad intelectual

Exportación de datos ( Condiciones de Seguridad y Procesamiento de Datos)

Período de vigencia y Rescisión

17. n. la obligación del proveedor de servicios de cooperar con las autoridades competentes y las autoridades de resolución de la institución o institución de pago, incluidas otras personas designadas por estas autoridades; Google cooperará con las autoridades competentes y de resolución para ejercer sus derechos de auditoría, información y acceso. Habilita el cumplimiento de los clientes
18. o. para instituciones, una referencia clara a los poderes de la autoridad de resolución nacional, en especial en los artículos 68 y 71 de la Directiva 2014/59/EU (BRRD), y, en particular, una descripción de las “Obligaciones sustantivas” del contrato en el sentido estipulado en el artículo 68 de esa Directiva; Google reconoce que las instituciones y las entidades de resolución deben poder continuar con las actividades de las empresas durante la resolución. Para brindar asistencia mediante la resolución, Google se compromete a seguir proporcionando los Servicios durante la resolución según lo requiera la BRRD. Asistencia mediante la resolución
19. p. el derecho irrestricto de las instituciones, instituciones de pago y autoridades competentes para inspeccionar y auditar al proveedor del servicio, en particular, con respecto a la función esencial o importante subcontratada, como se especifica en el artículo 13.3; Consulta los comentarios del artículo 13.3 en las filas 41 a 66. Consulta las filas 41 a 66.
20. q. derechos de rescisión, como se especifica en el artículo 13.4. Consulta los comentarios del artículo 13.4 en las filas 67 hasta 77. Consulta las filas 67 a 77.
21. 13.1 Subcontratación de funciones importantes o esenciales
22.

76. El acuerdo de subcontratación debe especificar si se permite o no la subcontratación de funciones esenciales o importantes, o partes de ella.

Google reconoce que las instituciones necesitan tener en cuenta los riesgos asociados a la subexternalización. También queremos proporcionarte a ti y a todos nuestros clientes el servicio más confiable, sólido y resiliente que podamos. En algunos casos, puede haber beneficios claros de trabajar con otras organizaciones de confianza, p. ej., brindar asistencia las 24 horas, todos los días.

A pesar de que Google te proporcionará información sobre las organizaciones con las que trabajamos, no podemos aceptar que nunca subexternalicemos. Dada la naturaleza uno a varios del servicio, si acordamos con un cliente que no subexternalizamos, es probable que les neguemos a todos nuestros clientes el beneficio de la subexternalización.

A fin de garantizar que las instituciones mantengan la vigilancia sobre la subexternalización, Google satisfará las condiciones claras diseñadas para brindar transparencia y opciones. Consulta la fila 26.

Subcontratación

23.

77. Si se permite la subexternalización de funciones importantes o esenciales, las instituciones y las instituciones de pago deben determinar si la parte de la función que se subcontrata es subexternalizada, en sí, esencial o importante (es decir, una parte material de la función esencial o importante) y, en caso afirmativo, registrarlo en el registro.

La institución cuenta con una buena posición para decidir si una función subexternalizada es una parte esencial de una función esencial o importante. A fin de brindar asistencia, Google proporcionará toda la información requerida en el registro de subcontratación para cada uno de nuestros subcontratistas.

Subcontratistas de Google

24. 78. Si se permite la subcontratación de funciones importantes o esenciales, el acuerdo escrito debe incluir lo siguiente:
25.

a. especificar cualquier tipo de actividades que se excluyan de la subexternalización;

Consulta la fila 22.

Consulta la fila 22.

26.

b. especificar las condiciones que deben cumplirse en el caso de la subexternalización;

Para permitir que las instituciones retengan la supervisión de las subexternalizaciones y proporcionen opciones sobre los servicios que usan las instituciones, Google hará lo siguiente:

  • proporcionar información sobre nuestros subcontratistas;
  • proporcionar avisos anticipados de los cambios a nuestros subcontratistas;
  • dar a las instituciones la posibilidad de rescindir el contrato si tienen dudas sobre un nuevo subcontratista.

Subcontratistas de Google

27.

c. especificar que el proveedor de servicios está obligado a supervisar aquellos servicios que subcontrató a fin de garantizar que todas las obligaciones contractuales entre el proveedor de servicios y la institución o institución de pago se cumplan de forma continua;

Google supervisará el rendimiento de todas las obligaciones subcontratadas y garantizará que nuestros subcontratistas cumplan con nuestro contrato contigo.

Subcontratistas de Google

28.

d. requerir que el proveedor de servicios obtenga una autorización previa específica o general por escrito de la institución o institución de pago antes de subexternalizar los datos;

Google cumplirá con nuestras obligaciones en virtud del GDPR en relación con la autorización para el subprocesamiento.

Procesamiento de datos, Subprocesadores ( Condiciones de Seguridad y Procesamiento de Datos)

29.

e. incluir una obligación del proveedor de servicios para informar a la institución o institución de pago de cualquier subexternalización planificada, o cambios materiales relacionados, en particular, que podrían afectar la capacidad del proveedor de servicios para cumplir con su responsabilidades en virtud del acuerdo de subcontratación. Esto incluye cambios significativos de subcontratistas y en el período de notificación. En particular, el período de notificación que se debe establecer debe permitir que la institución de subcontratación o la institución de pago, como mínimo, realicen una evaluación de riesgo de los cambios propuestos y que objeten los cambios antes de que se haga efectiva la subexternalización planificada o los cambios importantes;

Necesitas tiempo suficiente para informarte sobre un cambio de subcontratista a fin de realizar una evaluación de riesgo significativa antes de que el cambio entre en vigencia. Para asegurarse de que tengas el tiempo que necesitas, Google proporciona un aviso anticipado antes de contratar a un nuevo subcontratista o cambiar la función de un subcontratista existente.

Subcontratistas de Google

30.

f. asegurarse de que, cuando corresponda, la institución o institución de pago tenga el derecho de objetar la subexternalización deseada o los cambios materiales relacionados, o que se requiera una aprobación explícita;

Las instituciones tienen la posibilidad de rescindir nuestro contrato si consideran que un subcontratista cambia considerablemente su riesgo. Consulta la fila 31. Sin embargo, dada la naturaleza uno a varios de nuestro servicio, si acordamos que un cliente podría vetar una subexternalización, es probable que un solo cliente les niegue el beneficio de fomentar la subexternalización a todos nuestros clientes.

La Autoridad Bancaria Europea reconoce que el consentimiento es “demasiado oneroso” en el contexto de la subcontratación en la nube. Consulta el comentario en la página 24 del informe final de las Recomendaciones sobre la subcontratación para proveedores de servicios en la nube de la Autoridad Bancaria Europea.

Subcontratistas de Google

31.

p. asegúrate de que la institución o la institución de pago tengan el derecho contractual para rescindir el acuerdo en caso de subcontratación errónea, p. ej., en los casos en los que la subexternalización aumente sustancialmente los riesgos para la institución o institución de pago, o en los que el proveedor de servicios subexternaliza sin notificar a la institución o la institución de pago.

Las instituciones deben hacer una elección sobre las partes que les prestan servicios. Para garantizar esto, las instituciones tienen la posibilidad de rescindir nuestro contrato si consideran que un subcontratista cambia considerablemente su riesgo o si no reciben la notificación acordada.

Subcontratistas de Google

32. 79. Las instituciones y las instituciones de pago deben acordar la subexternalización solo si el subcontratista acuerda lo siguiente:
33.

a. cumplir con todas las leyes aplicables, los requisitos normativos y las obligaciones contractuales;

Google exige que nuestros subcontratistas cumplan con los mismos estándares altos que nosotros. En particular, Google requiere que nuestros subcontratistas cumplan con nuestro contrato con usted, y con las leyes y normativas aplicables.

Subcontratistas de Google

34.

b. otorgar a la institución, institución de pago y autoridad competente los mismos derechos contractuales de acceso y auditoría que los que otorga el proveedor de servicios.

La subexternalización no debe reducir la capacidad de la institución para supervisar el servicio o la capacidad de la autoridad competente para supervisarla. Para preservar esto, Google se asegurará de que nuestros subcontratistas cumplan con la información, los derechos de acceso y de auditoría que proporcionamos a las instituciones y autoridades competentes.

Subcontratistas de Google

35.

80. Las instituciones e instituciones de pago deben asegurarse de que el proveedor de servicios supervise correctamente a los proveedores de subservicios, de conformidad con la política definida por la institución o la institución de pago. Si la subexternalización tiene efectos colaterales adversos en el acuerdo de subcontratación de una función esencial o importante, o podría generar un aumento sustancial del riesgo, como uno en el que las condiciones del párrafo 79 no se cumplan, la institución o la institución de pago deben ejercer su derecho a objetar la subexternalización, si se aceptó dicho derecho o rescindir el contrato.

Consulta las filas 27, 30 y 31.

Consulta las filas 27, 30 y 31.

36. 13.2 Seguridad de los datos y sistemas
37.

81. Las instituciones e instituciones de pago deben asegurarse de que los proveedores de servicios, en caso de que sean relevantes, satisfagan los estándares de seguridad de TI adecuados.

Google reconoce que esperas una verificación independiente de nuestros controles de cumplimiento, seguridad y privacidad. Google se somete a diversas auditorías independientes de terceros con regularidad para proporcionar esta seguridad. Google se compromete a cumplir con los siguientes estándares internacionales clave durante el plazo de nuestro contrato contigo:

Informes de auditoría y certificaciones

38.

82. Cuando sea relevante (por ejemplo, en el contexto de la nube o de otro tipo de subcontratación de ICT), las instituciones y las instituciones de pago deben definir los requisitos de seguridad de sistemas y datos dentro del acuerdo de subcontratación y supervisar el cumplimiento de estos requisitos de forma continua.

La seguridad de un servicio en la nube consta de dos elementos clave:

Seguridad de la infraestructura de Google

Google administra la seguridad de nuestra infraestructura. Esto es la seguridad del hardware, el software, las herramientas de redes y las instalaciones que respaldan los Servicios.

Dada la naturaleza uno a varios de nuestro servicio, Google brinda la misma seguridad sólida para todos nuestros clientes.

Google brinda información detallada a los clientes sobre nuestras prácticas de seguridad para que los clientes puedan comprenderlas y considerarlas como parte de su propio análisis de riesgos.

Puedes encontrar más información en:

  • Nuestra página de seguridad de infraestructura
  • Nuestro informe de seguridad
  • Nuestra página de descripción general del diseño de seguridad de infraestructura
  • Nuestra página de recursos de seguridad

Además, puedes revisar el informe SOC 2 de Google. Consulta la fila 37.

Seguridad de tus datos y aplicaciones en la nube

Defines la seguridad de tus datos y aplicaciones en la nube. Esto se refiere a las medidas de seguridad que eliges implementar y operar cuando usas los Servicios.

(a) Seguridad de forma predeterminada

Aunque queremos ofrecer la mayor cantidad de opciones posible en relación con tus datos, la seguridad de tus datos es de suma importancia para Google y nosotros tomamos las siguientes medidas proactivas para ayudarte:

(b) Productos de seguridad

Además de las otras herramientas y prácticas disponibles fuera de Google, puedes elegir usar las herramientas proporcionadas por Google para mejorar y supervisar la seguridad de tus datos. Obtén más información sobre los productos de seguridad de Google.

Estos son algunos ejemplos:

  • Cloud Identity and Access Management ayuda a prevenir el acceso no autorizado mediante el control de los derechos de acceso y las funciones para los recursos de Google Cloud Platform.
  • Cloud Security Scanner analiza automáticamente las aplicaciones de App Engine, Compute Engine y Google Kubernetes Engine en busca de vulnerabilidades comunes.
  • Event Threat Detection analiza automáticamente varios tipos de registros en busca de actividades sospechosas en tu entorno de Google Cloud Platform.
  • Cloud Security Command Center y las estadísticas del estado de la seguridad proporcionan visibilidad y supervisión de los recursos de Google Cloud Platform y cambios en los recursos, incluidas las instancias de VM, las imágenes y los sistemas operativos.
  • Forseti es un kit de herramientas de código abierto diseñado para ayudar a tus equipos de seguridad a confiar y tener la tranquilidad de que cuentan con los controles de seguridad adecuados en todos nuestros servicios. Forseti incluye las siguientes herramientas de seguridad:
    • Inventory: proporciona visibilidad de los recursos existentes de GCP
    • Scanner: valida las políticas de control de acceso en los recursos de GCP
    • Enforcer: quita el acceso no deseado a los recursos de GCP
    • Explain: analiza quién tiene acceso a los recursos de GCP
    Obtén más información sobre las herramientas de seguridad de código abierto.
  • Las VM protegidas permiten habilitar la medición, la supervisión y las alertas en ejecución de cualquier cambio de la pila completa.

(c) Recursos de seguridad

Google también publica instrucciones sobre lo siguiente:

Seguridad de los datos; Medidas de seguridad ( Condiciones de Seguridad y Procesamiento de Datos)

39.

83. En el caso de la subcontratación a proveedores de servicios en la nube y otros acuerdos de subcontratación que involucran la administración o transferencia de datos personales o confidenciales, las instituciones e instituciones de pago deben adoptar un enfoque basado en el riesgo para el almacenamiento de datos y ubicaciones de procesamiento de datos (es decir, el país o la región) y las consideraciones de seguridad de la información.

Esta es una consideración del cliente. Consulta la fila 9 para obtener más información sobre la ubicación de los datos.

N/A

40.

84. Sin perjuicio de los requisitos establecidos en el Reglamento (UE) 2016/679, las instituciones y las instituciones de pago, cuando se subcontrata (en particular en países externos), deben tener en cuenta las diferencias en las disposiciones nacionales relacionadas con la protección. de datos. Las instituciones e instituciones de pago deben asegurarse de que el acuerdo de subcontratación incluya la obligación de que el proveedor de servicios proteja la información confidencial, personal o sensible, y cumpla con todos los requisitos legales relativos a la protección de los datos que se aplican a la institución. o institución de pago (p. ej., la protección de los datos personales y que se observen la confidencialidad bancaria o los deberes legales de confidencialidad similares con respecto a la información de los clientes, cuando corresponda).

La seguridad de los Servicios es fundamental para proteger tus datos. Esto se describe en las Condiciones de Seguridad y Procesamiento de Datos. Consulta las filas 37 y 38 para obtener más información sobre la seguridad.

Visita nuestro Centro de recursos del GDPR para obtener más información.

Confidencialidad; Seguridad de los datos ( Condiciones de Seguridad y Procesamiento de Datos)

41. 13.3 Derechos de acceso, información y auditoría
42.

85. Las instituciones e instituciones de pago deben asegurarse de que, en el arreglo de subcontratación por escrito, la función de auditoría interna pueda revisar a la función subcontratada en función de un enfoque basado en riesgos.

Google reconoce que el uso de nuestros Servicios no debe alterar la capacidad de una institución (o su autoridad competente) para supervisar y vigilar el cumplimiento de las leyes y normas aplicables, así como de las políticas internas de una institución. Proporcionaremos a las instituciones la asistencia que necesitan para revisar nuestros Servicios.

Habilita el cumplimiento de los clientes

43.

86. A pesar de lo crucial o importante de la función subcontratada, los acuerdos de subcontratación por escrito entre instituciones y proveedores de servicios deben hacer referencia a los poderes de investigación y de recopilación de información de las autoridades competentes y las autoridades de resolución según el artículo 63(1). (a) de la Directiva 2014/59/EU y el artículo 65(3) de la Directiva 2013/36/UE con respecto a los proveedores de servicios ubicados en un estado miembro y también deben garantizar esos derechos con respecto a los proveedores de servicios que se encuentra en otros países.

Google reconoce los poderes de investigación y de recopilación de información en virtud de las Directivas de la UE relevantes.

Habilita el cumplimiento de los clientes

44.

87. Con respecto a la subcontratación de funciones esenciales o importantes, las instituciones e instituciones de pago deben garantizar en el acuerdo de subcontratación por escrito que el proveedor de servicios les otorgue a ellas y a sus autoridades competentes, incluidas las autoridades de resolución, y cualquier otra persona que hayan designado ellas o las autoridades competentes, lo siguiente:

Google otorga derechos de auditoría, información y acceso para las instituciones, las autoridades competentes (incluidas las autoridades de resolución) y sus entidades designadas.

Información, auditoría y acceso de la entidad reguladora; Información, auditoría y acceso del cliente

45.

a. tiene acceso completo a todas las instalaciones comerciales relevantes (p. ej., oficinas centrales y centros de operaciones), lo que incluye la gama completa de dispositivos, sistemas, redes, información y datos relevantes que se usan para desempeñar la función subcontratada, incluida la información financiera relacionada, el personal y los auditores externos del proveedor de servicios (“derechos de acceso e información”);

Consulta la fila 44.

Consulta la fila 44.

46.

b. derechos ilimitados de inspección y auditoría relacionados con el acuerdo de subcontratación (“derechos de auditoría”) para permitirles supervisar el acuerdo de subcontratación y garantizar el cumplimiento de todos los requisitos regulatorios y contractuales aplicables.

Consulta la fila 44.

Consulta la fila 44.

47.

88. Para la subcontratación de funciones que no sean esenciales o importantes, las instituciones e instituciones de pago deben garantizar el acceso y los derechos de auditoría, como se estipula en el párrafo 87 (a) y (b) y en el artículo 13.3, según un enfoque basado en el riesgo, que considere la naturaleza de la función subcontratada y los riesgos operativos y de reputación relacionados, su escalabilidad, el impacto potencial en el rendimiento continuo de sus actividades y el período contractual. Las instituciones e instituciones de pago deben tener en cuenta que las funciones pueden volverse esenciales o importantes con el tiempo.

Google reconoce que, con el tiempo, el uso de los Servicios podría escalar verticalmente. Independientemente de cómo las instituciones elijan usar los Servicios al comienzo de nuestra relación, Google les proporcionará a las instituciones y autoridades competentes permisos de auditoría, información y acceso.

Habilita el cumplimiento de los clientes

48.

89. Las instituciones e instituciones de pago deben asegurarse de que el acuerdo de subcontratación o cualquier otro acuerdo contractual no impida ni limite el ejercicio efectivo de los derechos de auditoría y acceso por parte de estas, o por parte de las autoridades competentes o los terceros designados por ellas para ejercer estos derechos.

Ninguna parte del contrato tiene la intención de limitar o impedir la capacidad de una institución o de la autoridad competente para auditar nuestros servicios de forma eficaz. En particular, aunque haremos que haya mucha información y herramientas disponibles para ayudar a las instituciones a revisar nuestros Servicios, nuestro contrato no contiene pasos predefinidos antes de que las instituciones o las autoridades competentes puedan abordar a Google para ejercer su derechos de auditoría, información y acceso. En otras palabras, no existe una jerarquía entre las opciones para evaluar nuestros Servicios.

Habilita el cumplimiento de los clientes

49.

90. Las instituciones e instituciones de pago deben ejercer sus derechos de acceso y auditoría, determinar la frecuencia de auditoría y las áreas que se deben auditar de acuerdo con un enfoque basado en el riesgo y cumplir con los estándares de auditoría nacionales e internacionales relevantes y de común aceptación.

La institución cuenta con más posibilidades para decidir qué frecuencia y alcance de auditoría es el adecuado para su organización. Nuestro contrato no limita a las instituciones a una cantidad fija de auditorías o un alcance predefinido.

Información, auditoría y acceso del cliente

50. 91. Sin perjuicio de su responsabilidad final respecto de los acuerdos de subcontratación, las instituciones e instituciones de pago pueden utilizar lo siguiente:
51.

a. auditorías agrupadas organizadas con otros clientes del mismo proveedor de servicios y realizados por ellos y estos clientes, o por un tercero designado por ellos, para usar recursos de auditoría de manera más eficiente y para reducir la carga organizacional en los clientes y el proveedor de servicios;

Google reconoce los beneficios de las auditorías agrupadas. Estaremos encantados de analizar esto con las instituciones.

N/A

52.

b. certificaciones de terceros y, también, informes de auditorías internas o de terceros, disponibles para el proveedor de servicios

Consulta la fila 37.

Consulta la fila 37.

53.

92. En el caso de la subcontratación de funciones esenciales o importantes, las instituciones de pago deben evaluar si las informes y las certificaciones de terceros, como se detalla en el párrafo 91(b), son adecuadas y suficientes para satisfacer sus obligaciones regulatorias y no deben depender únicamente de estos informes a lo largo del tiempo.

Esta es una consideración del cliente.

N/A

54. 93. Las instituciones e instituciones de pago deben usar el método al que se hace referencia en el párrafo 91(b) solo en los siguientes casos:
55.

a. cuando estén satisfechos con el plan de auditoría para la función subcontratada;

Consulta la fila 37.

Se audita a Google, al menos, una vez al año para cada marco de trabajo auditado. Google realiza las actividades de planificación, alcance y preparación antes de cada auditoría.

Informes de auditoría y certificaciones

56.

b. cuando deban asegurarse de que el alcance del informe de auditoría o de la certificación abarca los sistemas (es decir, procesos, aplicaciones, infraestructura, centros de datos, etc.) y los controles clave identificados por la institución o la institución de pagos, y el cumplimiento de los requisitos regulatorios relevantes;

Consulta la fila 37.

El alcance de auditoría de Google abarca los servicios, los sistemas de infraestructura, las políticas y procedimientos, los procesos comunes y el personal considerados. Se audita a Google en nuestros controles de seguridad y privacidad que abarcan los informes de auditoría y las certificaciones relevantes para el alcance de la auditoría.

Informes de auditoría y certificaciones

57.

c. evaluar en detalle el contenido de los informes de auditoría o las certificaciones de manera continua y verificar que los informes o las certificaciones no estén obsoletos;

Consulta la fila 37.

Puedes revisar los informes de auditoría y certificaciones actuales de Google en cualquier momento.

  • Obtén más información sobre las certificaciones ISO de Google.
  • Los informes SOC y la Certificación de cumplimiento de PCI (AOC) de Google están disponibles a través de tu representante de cuenta de Google Cloud.

Informes de auditoría y certificaciones

58.

d. asegurarse de que los sistemas y controles clave estén cubiertos en versiones futuras del informe de auditoría o certificación;

Consulta la fila 37.

Como parte de la planificación de rutina, el alcance y las actividades de preparación de Google, los controles y sistemas claves recurrentes, además de los nuevos sistemas y controles, se revisan antes del inicio del trabajo de auditoría.

Informes de auditoría y certificaciones

59.

e. cuando estén satisfechos con la aptitud de la parte que lo certifica o audita (p. ej., en relación con la rotación de la empresa que certifica o audita la empresa, las calificaciones, la experiencia, la repetición o la verificación de la evidencia en el archivo de auditoría subyacente);

Consulta la fila 37.

Google involucra a auditores externos independientes y certificados, para cada marco de trabajo auditado. Consulta el informe de auditoría o la certificación relevantes para obtener información sobre el proveedor de certificación o auditoría.

Informes de auditoría y certificaciones

60.

f. cuando estén satisfechos de que las certificaciones se emiten y que las auditorías se realizan de conformidad con estándares profesionales relevantes ampliamente reconocidos y, además, incluyen una prueba de la eficacia operativa de los controles clave establecidos;

Consulta la fila 37.

Las auditorías incluyen las pruebas de la eficacia operativa de los controles clave en su lugar.

Informes de auditoría y certificaciones

61.

g. tener derecho a solicitar la expansión del alcance de los informes de auditoría o de las certificaciones a otros sistemas y controles relevantes; la cantidad y frecuencia de solicitudes para modificar el alcance deben ser razonables y legítimas desde la perspectiva de la administración de riesgos;

A fin de garantizar que sigan siendo una herramienta eficaz, si un sistema o control clave para un Servicio no está cubierto por las certificaciones de Google ni por los informes de auditoría para ese servicio, las instituciones pueden solicitar una expansión del alcance.

Informes de auditoría y certificaciones

62.

h. conservar el derecho contractual para realizar auditorías individuales a su discreción en relación con la subcontratación de funciones esenciales o importantes

Las instituciones siempre retienen el derecho de realizar una auditoría. El contrato no contiene pasos predefinidos antes de que las instituciones puedan abordar a Google para ejercer sus derechos de auditoría, información y acceso. En otras palabras, no existe una jerarquía entre las opciones para evaluar nuestros Servicios.

Información, auditoría y acceso del cliente

63.

94. De acuerdo con los Lineamientos de la EBA sobre la evaluación de riesgo de ICT en virtud del SREP, las instituciones deben, cuando corresponda, garantizar que puedan realizar pruebas de penetración de seguridad para evaluar la eficacia de las medidas y los procesos implementados de seguridad ICT interna e informática. Teniendo en cuenta el Título I, las instituciones de pago también deben tener mecanismos internos de control, que incluyen las medidas de mitigación y control de seguridad de ITC.

Puedes realizar pruebas de penetración de los Servicios en cualquier momento sin la aprobación previa de Google.

Pruebas de penetración del cliente

64.

95. Antes de una visita presencial al centro, las instituciones, las instituciones de pago, las autoridades y los auditores competentes, o terceros que actúan en nombre de la institución, la institución de pago o las autoridades competentes deben proporcionar un aviso razonable al proveedor de servicios, a menos que esto no sea posible debido a una situación de emergencia o crisis, o si provocara una situación en la que la auditoría ya no fuera eficaz.

Un aviso razonable le permite a Google entregar una auditoría eficaz. Por ejemplo, podemos garantizar que los expertos de Google relevantes estén disponibles y preparados para aprovechar al máximo tu tiempo. Ten en cuenta que también le permite a Google planificar la auditoría para que no genere un riesgo indebido en tu entorno o en cualquier otro cliente de Google. Google reconoce que, en algunos casos, el aviso extendido no es posible. En estos casos, trabajaremos con la parte de auditoría para abordar sus necesidades.

Acuerdos

65.

96. Cuando se realizan auditorías en entornos de varios clientes, se debe tener cuidado a fin de garantizar que se eviten o mitiguen los riesgos para el entorno de otro cliente (p. ej., el impacto en los niveles de servicio, la disponibilidad de datos, los aspectos de confidencialidad).

Es sumamente importante para Google que lo que hacemos con un cliente no debería poner en riesgo a ningún otro cliente. Esto se aplica cuando realizas una auditoría. También se aplica cuando otro cliente realiza una auditoría.

Cuando una institución realice una auditoría, trabajaremos con ellos para minimizar la interrupción para otros clientes. Así como trabajaremos con otro cliente de auditoría para minimizar la interrupción de la institución. En particular, nos ocuparemos de cumplir con nuestros compromisos de seguridad en todo momento.

Acuerdos

66.

97. Cuando la disposición de subcontratación conlleva un alto nivel de complejidad técnica, por ejemplo, en el caso de servicios externos de nube, la institución o la institución de pago debe verificar que quien esté realizando la auditoría, ya sea que se trate de sus auditores internos, el grupo de auditores o los auditores externos que actúan en su nombre, tiene las habilidades y los conocimientos adecuados y relevantes para realizar auditorías o evaluaciones pertinentes de manera eficaz. Lo mismo se aplica a cualquier personal de la institución o institución de pago que revise certificaciones o auditorías de terceros realizadas por proveedores de servicios.

Esta es una consideración del cliente.

N/A

67. 13.4 Derechos de rescisión
68.

98. El acuerdo de subcontratación debe permitir, de manera expresa, que la institución o la institución de pago finalicen el acuerdo, de conformidad con la ley aplicable, lo que incluye las siguientes situaciones:

Las instituciones pueden optar por rescindir nuestro contrato por conveniencia, incluso si es necesario para cumplir con la ley, si así lo indica la autoridad competente o en cualquiera de las situaciones mencionadas en el artículo 13.4.

Rescisión por Conveniencia

69.

a. cuando el proveedor de las funciones subcontratadas incumple con la legislación, las normativas o las disposiciones contractuales aplicables;

Consulta la fila 68.

Consulta la fila 68.

70.

b. cuando se identifican consecuencias que pueden alterar el rendimiento de la función subcontratada;

Consulta la fila 68.

Consulta la fila 68.

71.

c. cuando haya cambios materiales que afecten al acuerdo de subcontratación o al proveedor de servicios (p. ej., subexternalización o cambio de contratistas).

Consulta la fila 68.

Consulta la fila 68.

72.

d. cuando haya debilidades relativas a la administración y seguridad de la información o los datos confidenciales, personales o sensibles;

Consulta la fila 68.

Consulta la fila 68.

73.

e. cuando se otorguen instrucciones por parte de la autoridad competente de la institución o la institución de pago, p. ej., en el caso de que la autoridad competente se derive del acuerdo de subcontratación y ya no se encuentre en una posición para supervisar la institución o la institución de pago de forma eficaz.

Consulta la fila 68.

Consulta la fila 68.

74. 99. El acuerdo de subcontratación debería facilitar la transferencia de la función subcontratada a otro proveedor de servicios o su reincorporación en la institución o institución de pago. Para ello, el acuerdo de subcontratación por escrito debe hacer lo siguiente:
75.

a. establecer claramente las obligaciones del proveedor de servicios existente, en el caso de una transferencia de la función subcontratada a otro proveedor de servicios o a la institución o institución de pago, incluido el tratamiento de datos;

Google te permitirá acceder a tus datos y exportarlos durante el contrato. Puedes exportar tus datos desde los servicios en diversos formatos estándar de la industria. Por ejemplo:

  • Google Kubernetes Engine es un entorno administrado listo para la producción que permite la portabilidad entre diferentes nubes y entornos locales.
  • Migrate for Anthos te permite mover y convertir cargas de trabajo directamente en contenedores de Google Kubernetes Engine.
  • Puedes exportar o importar una imagen de VM completa con el formato de archivo .tar. Obtén más información sobre las imágenes y las opciones de almacenamiento.

Exportación de datos ( Condiciones de Seguridad y Procesamiento de Datos)

76.

b. establecer un período de transición apropiado, durante el cual el proveedor de servicios, después de la rescisión del arreglo de subcontratación, seguiría proporcionando la función subcontratada para reducir el riesgo de interrupciones;

Google reconoce que las instituciones necesitan poder salir de nuestros Servicios sin que se interrumpa su negocio, sin limitar el cumplimiento de los requisitos normativos y sin afectar la continuidad y la calidad de su servicio para sus propios clientes. Para ayudar a las instituciones a lograr esto, cuando se solicite, Google seguirá prestando los Servicios durante 12 meses más allá del vencimiento o la rescisión del contrato.

Plazo de transición

77.

c. incluir una obligación del proveedor de servicios para brindar asistencia a la institución o institución de pago en la transferencia ordenada de la función en caso de rescisión del acuerdo de subcontratación.

Nuestros Servicios te permiten transferir tus datos de forma independiente. No necesitas el permiso de Google para hacerlo. Consulta la fila 75. Sin embargo, si una institución desea obtener asistencia, a solicitud, Google ofrecerá asesoría y servicios de implementación para ayudar en la migración de cargas de trabajo o en la transición del uso de los Servicios.

Asistencia en la transición