Mapeamento

Diretrizes de terceirização da EBA

Mapeamento do Google Cloud Platform

Este documento foi elaborado para ajudar instituições financeiras no escopo da autorização da Autoridade Bancária Europeia ("instituições") a considerar as Diretrizes de acordos de terceirização ("Diretrizes de terceirização da EBA") no contexto do Google Cloud Platform ("GCP") e do contrato de serviços financeiros do Google Cloud.

O foco é a seção 13 (fase contratual) das Diretrizes de terceirização da EBA. Para cada parágrafo da seção 13, fornecemos comentários para ajudar você a entender como lidar com as diretrizes usando os serviços do Google Cloud e o contrato de serviços financeiros do Google Cloud.

As Diretrizes de terceirização da EBA substituem as diretrizes de terceirização do Comitê de Supervisores Bancários Europeus (CEBS, na sigla em inglês) publicadas em 2006. Elas também substituem as recomendações da EBA para provedores de serviços de nuvem publicadas em 2018.

Se você tem um contrato do Google Cloud e quer entender como esse documento se aplica a ele, entre em contato com seu representante de conta do Google Cloud.

# Diretrizes de terceirização da EBA Comentários do Google Cloud Referência no contrato de serviços financeiros do Google Cloud
1. 13 Fase contratual
2. 74. Os direitos e as obrigações da instituição, a instituição de pagamento e o provedor de serviços precisam ser claramente alocados e definidos em um contrato por escrito.

Os direitos e as obrigações das partes estão definidos no contrato de serviços financeiros do Google Cloud.

N/A
3. 75. O contrato de terceirização para funções essenciais ou importantes deve definir no mínimo:
4. a. uma descrição clara da função terceirizada a ser fornecida; Saiba mais sobre os serviços do GCP. Definições
5. b. a data de início e a data de término, quando aplicável, dos períodos de vigência e de aviso dos provedores de serviços e da instituição ou instituição de pagamento. Consulte seu contrato de serviços financeiros do Google Cloud. Vigência e Rescisão
6. c. a lei aplicável ao contrato; Consulte seu contrato de serviços financeiros do Google Cloud. Legislação aplicável
7. d. as obrigações financeiras das partes; Consulte seu contrato de serviços financeiros do Google Cloud. Condições de pagamento
8. e. se a subterceirização de uma função essencial ou importante, ou partes materiais dela, é permitida e, em caso positivo, as condições especificadas na seção 13.1 às quais a subterceirização está sujeita; Consulte os comentários na Seção 13.1, linhas 21 a 35. Consulte as linhas 21 a 35.
9. f. os locais (regiões ou países) em que a função essencial ou importante será fornecida e/ou onde os dados relevantes serão mantidos e processados, incluindo o possível local de armazenamento e as condições a serem atendidas, incluindo um requisito para notificar a instituição ou a instituição de pagamento se o provedor de serviços sugerir a mudança dos locais; Locais

Para oferecer a você um serviço rápido, confiável, robusto e robusto, o Google pode armazenar e processar seus dados nos locais em que o Google ou seus subprocessadores mantêm instalações.

O Google fornece os mesmos compromissos contratuais e as medidas técnicas e organizacionais dos seus dados, independentemente do país/região em que estão localizados. Mais especificamente:

  • As mesmas medidas de segurança avançadas se aplicam a todas as instalações do Google, independentemente do país/região.
  • O Google assume os mesmos compromissos com todos os subprocessadores, independentemente do país/região.

Condições

O Google oferece opções para armazenar seus dados, incluindo a opção de armazená-los na Europa. Quando você escolhe onde armazenar os dados, o Google não os armazena fora das regiões escolhidas.

Saiba como restringir locais de recursos.

Além disso, o Google fornece compromissos para permitir a transferência legal de dados pessoais para um terceiro país em conformidade com a legislação europeia de proteção de dados.

Transferências de dados ( Termos de processamento de dados e segurança)

Segurança de dados; Subprocessadores ( Termos de processamento de dados e segurança)

Local dos dados ( Termos específicos do serviço)

Transferências de dados ( Termos de processamento de dados e segurança)

10. g. nos casos pertinentes, disposições em relação à acessibilidade, disponibilidade, integridade, privacidade e segurança dos dados relevantes, conforme especificado na seção 13.2; Consulte os comentários na Seção 13.2, linhas 36 a 40. Consulte as linhas 36 a 40.
11. h. o direito da instituição ou da instituição de pagamento de monitorar continuamente o desempenho do provedor de serviços;

É possível monitorar o desempenho dos Serviços do Google (incluindo os SLAs) de maneira contínua usando a funcionalidade dos Serviços.

Por exemplo:
  • O Painel de status fornece informações de status sobre os Serviços.
  • O Google Cloud Operations é uma solução hospedada de monitoramento, geração de registros e diagnóstico que ajuda a conseguir insights sobre seus aplicativos executados no GCP.
  • A Transparência no acesso é um recurso que permite analisar os registros das ações realizadas pela equipe do Google em relação aos seus dados. As entradas de registro incluem: o recurso afetado, a hora da ação, o motivo da ação (por exemplo, o número do caso associado à solicitação de suporte) e os dados sobre quem está operando nos dados (por exemplo, o local da equipe do Google)
Monitoramento de desempenho contínuo
12. i. os níveis de serviço acordados, que devem incluir metas de desempenho quantitativas e qualitativas precisas para a função terceirizada a fim de permitir o monitoramento oportuno. Desse modo, as ações corretivas adequadas poderão ser realizadas sem atrasos excessivos caso os níveis de serviço acordados não sejam atendidos; Saiba mais sobre os SLAs do Google. Serviços
13. j. as obrigações de relatório do provedor de serviços para a instituição ou a instituição de pagamento, incluindo a comunicação pelo provedor de serviços de qualquer ocorrência que possa ter um impacto material na capacidade do provedor de serviços de desempenhar efetivamente a função essencial ou importante de acordo com os níveis de serviço acordados e em conformidade com as leis aplicáveis e os requisitos regulamentares e, se for o caso, as obrigações de envio de relatórios da função de auditoria interna do provedor de serviços;

Saiba mais sobre incidentes e o painel de status do Google Cloud.

Além disso, o Google notificará você sobre incidentes de dados imediatamente e sem atrasos. Saiba mais sobre o processo de resposta a incidentes de dados do Google no nosso whitepaper.

Ocorrências significativas

Incidentes de dados ( Termos de segurança e processamento de dados)

14. k. se o provedor de serviços deve fazer um seguro obrigatório contra determinados riscos e, se for o caso, o nível de cobertura de seguro solicitado; O Google manterá a cobertura do seguro contra vários riscos identificados. Seguros
15. l. os requisitos para implementar e testar planos de contingência comercial;

O Google implementará um plano de continuidade de negócios para os Serviços, revisará e testará pelo menos anualmente e garantirá que ele permaneça atualizado com os padrões do setor.

Além disso, é possível acessar informações sobre como os clientes podem usar nossos Serviços nos seus planos de contingência comercial com nosso guia de planejamento de recuperação de desastres.

Continuidade comercial e recuperação de desastres
16. m. disposições que garantam que os dados pertencentes à instituição ou instituição de pagamento possam ser acessados em caso de insolvência, resolução ou desativação das operações comerciais do provedor de serviços;

Você detém todos os direitos de propriedade intelectual de seus dados.

O Google permitirá que você acesse e exporte seus dados durante a vigência do nosso contrato. Consulte a linha 75.

Nenhum desses compromissos é cancelado em caso de insolvência do Google. O Google também não tem o direito de rescindir devido à própria insolvência do Google, embora você possa optar por rescindir. No caso improvável de insolvência do Google, você pode citar esses compromissos ao tratar com o administrador judicial indicado.

Propriedade intelectual

Exportação de dados ( Termos de segurança e processamento de dados)

Vigência e Rescisão

17. n. a obrigação do provedor de serviços de colaborar com as autoridades competentes e as autoridades de resolução da instituição ou instituição de pagamento, incluindo outras pessoas indicadas por elas; O Google cooperará com as autoridades competentes que estiverem exercendo direitos de auditoria, acesso e informações. Ativação da conformidade do cliente
18. o. no caso das instituições, uma referência clara dos poderes da autoridade de resolução nacional, especialmente aos artigos 68 e 71 da Diretiva 2014/59/UE (BRRD, na sigla em inglês), e uma descrição específica das "obrigações materiais" do contrato no âmbito do artigo 68 da Diretiva; O Google reconhece que as instituições e qualquer entidade de resolução precisam poder continuar com as atividades comerciais durante a resolução. Para oferecer suporte pela resolução, o Google se compromete a continuar fornecendo os Serviços durante a resolução, conforme exigência da BRRD. Suporte por resolução
19. p. o direito irrestrito de instituições, instituições de pagamento e autoridades competentes de inspecionar e auditar o provedor de serviços no que diz respeito, em especial, à função essencial ou importante terceirizada, conforme especificado na seção 13.3; Consulte os comentários na seção 13.3, linhas 41 a 66. Consulte as linhas 41 a 66.
20. q. os direitos de rescisão, conforme especificado na seção 13.4. Consulte os comentários na seção 13.4, linhas 67 a 77. Consulte as linhas 67 a 77.
21. 13.1 Subterceirização de funções essenciais ou importantes
22.

76. O acordo de terceirização deve especificar se a subterceirização de funções essenciais ou importantes, ou partes materiais delas, é permitida.

O Google reconhece que as instituições precisam considerar os riscos associados à subterceirização. Queremos oferecer a você e a todos os nossos clientes o serviço mais confiável, robusto e resiliente possível. Em alguns casos, pode haver benefícios claros para trabalhar com outras organizações confiáveis, por exemplo, oferecer suporte 24 horas por dia, 7 dias por semana.

Embora o Google forneça informações sobre as organizações com as quais trabalha, não podemos garantir que nunca vamos subterceirizar. Devido à natureza de um para muitos do nosso serviço, se acordarmos com um cliente que não iremos subterceirizar, haveria a possibilidade de negar a todos os nossos clientes o benefício que motiva a subterceirização.

Para que as instituições retenham a supervisão de qualquer subterceirização, o Google cumprirá as condições claras criadas para fornecer transparência e escolha. Consulte a linha 26.

Subcontratação

23.

77. Se a subcontratação de funções essenciais ou importantes for permitida, as instituições e as instituições de pagamento deverão determinar se a parte da função a ser subterceirizada é, de fato, essencial ou importante (ou seja, uma parte material da função essencial ou importante) e, em caso afirmativo, faça um registro dela.

A instituição é mais indicada para decidir se uma função subterceirizada é parte material de uma função essencial ou importante. Para ajudar, o Google fornecerá todas as informações necessárias para o registro de terceirização de cada um de nossos subcontratados.

Subcontratados do Google

24. 78. Se a subterceirização de funções essenciais ou importantes for permitida, o acordo por escrito deverá:
25.

a. especificar qualquer tipo de atividade que esteja excluída da subterceirização;

Consulte a linha 22.

Consulte a linha 22.

26.

b. especificar as condições a serem cumpridas em caso de subterceirização;

Para que as instituições retenham a supervisão de qualquer subterceirização e forneçam opções para os serviços utilizados pelas instituições, o Google:

  • fornecerá informações sobre nossos subcontratados;
  • fornecerá avisos de alterações com antecedência aos nossos subcontratados; e
  • dará às instituições a possibilidade de rescindir se tiverem dúvidas quanto a um novo subcontratado.

Subcontratados do Google

27.

c. especificar que o provedor de serviços é obrigado a supervisionar os serviços que subcontrata para garantir que todas as obrigações contratuais entre o provedor de serviços e a instituição ou instituição de pagamento sejam cumpridas continuamente;

O Google supervisionará o desempenho de todas as obrigações subcontratadas e garantirá que nossos subcontratados cumpram o contrato com você.

Subcontratados do Google

28.

d. exigir que o provedor de serviços consiga autorização prévia escrita, geral ou específica, da instituição ou instituição de pagamento antes de terceirizar os dados;

O Google obedecerá às obrigações de acordo com o GDPR em relação à autorização de subprocessamento.

Processamento de dados; Subprocessadores ( Termos de segurança e processamento de dados)

29.

e. incluir uma obrigação do provedor de serviços de informar a instituição ou a instituição de pagamento sobre qualquer subterceirização planejada ou alterações materiais decorrentes dela. Especificamente, deve incluir os aspectos que possam afetar a capacidade do provedor de serviços de cumprir com as suas responsabilidades no contrato de terceirização. Isso inclui alterações significativas planejadas de subcontratados e do período de notificação. Em particular, o período de notificação a ser definido deve permitir que a instituição ou instituição de pagamento que estiver terceirizando a, pelo menos, realizar uma avaliação de risco das alterações propostas contestar as alterações antes que a subterceirização planejada ou as alterações materiais decorrentes dela entrem em vigor;

Você precisa de tempo suficiente para se informar sobre a alteração de um subcontratado para realizar uma avaliação de risco significativa antes que a alteração entre em vigor. Para garantir que você tenha o tempo necessário, o Google envia um aviso com antecedência antes de subcontratado ou alterar a função de um subcontratado atual.

Subcontratados do Google

30.

f. garantir, quando for o caso, que a instituição ou a instituição de pagamento tenha o direito de contestar uma subterceirização prevista ou alterações decorrentes dela, ou que exijam aprovação explícita;

As instituições têm a opção de rescindir nosso contrato se julgarem que um subcontratado muda substancialmente o risco. Consulte a linha 31. No entanto, devido à natureza de um para muitos do nosso serviço, se acordarmos que um cliente pode vetar uma subterceirização, haveria a possibilidade de permitir que um único cliente prive todos os nossos clientes do benefício que motiva a subterceirização.

A Autoridade Bancária Europeia reconhece que o consentimento é "pesado demais" no contexto de terceirização da nuvem. Veja o comentário na página 24 do Relatório Final das Recomendações sobre terceirização para provedores de serviços de nuvem da Autoridade Bancária Europeia

Subcontratados do Google

31.

g. garanta que a instituição ou instituição de pagamento tenha o direito contratual de rescindir o contrato em caso de subcontratação indevida, ou seja, se a subterceirização aumentar substancialmente os riscos da instituição ou da instituição de pagamento ou se o provedor de serviços subterceirizar sem notificar a instituição ou instituição de pagamento.

As instituições devem ter o direito de escolher as partes que oferecem serviços a elas. Para garantir isso, as instituições devem ter a opção de rescindir nosso contrato se julgarem que um subcontratado muda substancialmente seu risco ou se não tiverem recebido a notificação acordada.

Subcontratados do Google

32. 79. As instituições e as instituições de pagamento devem concordar com a subterceirização somente se o subcontratado se comprometer a:
33.

a. cumprir todas as leis, exigências regulamentares e obrigações contratuais; e

O Google exige que os nossos subcontratados atendam aos mesmos padrões elevados. Especificamente, o Google exige que os nossos subcontratados cumpram o nosso contrato feito com você e as leis e regulamentações aplicáveis.

Subcontratados do Google

34.

b. conceder à instituição, instituição de pagamento e autoridade competente os mesmos direitos contratuais de acesso e auditoria conferidos ao provedor de serviços.

A subterceirização não pode reduzir a capacidade da instituição de supervisionar o serviço ou a capacidade da autoridade competente de supervisionar a instituição. Para preservar isso, o Google fará com que os nossos subcontratados cumpram os direitos de auditoria, acesso e informações que concedemos às instituições e autoridades competentes.

Subcontratados do Google

35.

80. As instituições e as instituições de pagamento devem garantir que o provedor de serviços estejam supervisionando adequadamente os provedores de subserviços, de acordo com a política definida pela instituição ou instituição de pagamento. Se a subterceirização proposta tiver possíveis efeitos materiais adversos no acordo de terceirização de uma função essencial ou importante ou levar a um aumento material de riscos, inclusive o descumprimento das condições do parágrafo 79, a instituição ou a instituição de pagamento precisa exercer o direito de contestar a subterceirização, se esse direito tiver sido acordado, e/ou rescindir o contrato.

Consulte as linhas 27, 30 e 31.

Consulte as linhas 27, 30 e 31.

36. 13.2 Segurança de dados e sistemas
37.

81. As instituições e as instituições de pagamento devem garantir que os provedores de serviços, quando for o caso, cumpram os padrões de segurança de TI adequados.

O Google reconhece que você espera uma verificação independente dos nossos controles de segurança, privacidade e conformidade. O Google passa por várias auditorias independentes e terceirizadas regularmente para oferecer essa segurança. O Google se compromete a obedecer os seguintes padrões internacionais durante a vigência do nosso contrato com você:

Certificados e relatórios de auditoria

38.

82. Quando for o caso (por exemplo, no contexto de terceirização de nuvem ou de outros tipos de ICT), as instituições e as instituições de pagamento devem definir os requisitos de segurança de dados e sistema no contrato de terceirização e monitorar a conformidade com esses requisitos de maneira contínua.

A segurança de um serviço de nuvem consiste em dois elementos principais:

Segurança da infraestrutura do Google

O Google gerencia a segurança da nossa infraestrutura. Essa é a segurança de hardware, software, rede e instalações compatíveis com os Serviços.

Devido à natureza de um para muitos do nosso serviço, o Google fornece a mesma segurança robusta para todos os nossos clientes.

O Google fornece informações detalhadas aos clientes sobre nossas práticas de segurança para que eles possam entendê-las e incluí-las na sua própria análise de risco.

Veja mais informações em:

  • Nossa página de segurança de infraestrutura
  • Nosso whitepaper de segurança
  • Nossa página de visão geral de design de segurança da infraestrutura
  • Nossa página de recursos de segurança

Além disso, é possível consultar o relatório SOC 2 do Google. Consulte a linha 37.

Segurança dos dados e aplicativos na nuvem

Você define a segurança dos seus dados e aplicativos na nuvem. Isso se refere às medidas de segurança que você opta por implementar e operar ao usar os Serviços.

(a) Segurança por padrão

Queremos oferecer o maior número de opções possível quanto aos seus dados, mas a segurança deles é de extrema importância para o Google. Por isso, tomamos as seguintes medidas para ajudar você:

(b) Produtos de segurança

Além das outras ferramentas e práticas disponíveis fora do Google, é possível usar as ferramentas fornecidas pelo Google para melhorar e monitorar a segurança dos seus dados. Saiba mais sobre os produtos de segurança do Google.

Veja alguns exemplos:

  • O Cloud Identity and Access Management ajuda a impedir o acesso não autorizado, controlando os direitos de acesso e os papéis dos recursos do Google Cloud Platform.
  • O Cloud Security Scanner verifica automaticamente os aplicativos do App Engine, Compute Engine e Google Kubernetes Engine em busca de vulnerabilidades comuns.
  • O Event Threat Detection verifica automaticamente vários tipos de registros em busca de atividades suspeitas no seu ambiente do Google Cloud Platform.
  • O Cloud Security Command Center e o Security Health Analytics fornecem visibilidade e monitoramento dos recursos do Google Cloud Platform e alterações em recursos que incluem instâncias de VM, imagens e sistemas operacionais.
  • O Forseti (em inglês) é um kit de ferramentas de código aberto criado para oferecer às suas equipes de segurança a confiança e a tranquilidade de ter os controles de segurança apropriados implantados nos nossos serviços. O Forseti inclui as seguintes ferramentas de segurança:
    • Inventory: oferece visibilidade de recursos existentes do GCP
    • Scanner: valida políticas de controle de acesso em recursos do GCP
    • Enforcer: remove o acesso indesejado aos recursos do GCP
    • Explicar: analisa quem tem acesso aos recursos do GCP
    Saiba mais sobre ferramentas de segurança de código aberto.
  • As VMs protegidas permitem medir, monitorar e alertar em tempo real qualquer alteração na pilha completa.

(c) Recursos de segurança

O Google também publica orientações sobre:

Segurança de dados; Medidas de segurança ( Termos de segurança e processamento de dados)

39.

83. Em caso de terceirização para provedores de serviços de nuvem e outros acordos de terceirização que envolvem o gerenciamento ou a transferência de dados pessoais ou confidenciais, as instituições e as instituições de pagamento devem adotar uma abordagem baseada em risco quanto aos locais (país ou região) de armazenamento e processamento dos dados e considerações sobre a segurança das informações.

Esta é uma consideração do cliente. Consulte a linha 9 para saber mais sobre a localização dos dados.

N/A

40.

84. Sem prejuízo aos requisitos do Regulamento (UE) 2016/679, as instituições e as instituições de pagamento, ao terceirizar (especialmente para países terceiros), devem considerar as diferenças nas disposições nacionais a respeito da proteção de dados. As instituições e as instituições de pagamento precisam garantir que o contrato de terceirização inclua a obrigação do provedor de serviços de proteger informações confidenciais, pessoais ou sensíveis e cumprir todos os requisitos legais em relação à proteção de dados que se aplicam à instituição ou instituição de pagamento. Por exemplo, são respeitadas a proteção de dados pessoais e do sigilo bancário ou obrigações de confidencialidade semelhantes em relação às informações dos clientes, quando for o caso.

A segurança dos Serviços é fundamental para proteger seus dados. Isso está descrito nos Termos de segurança e processamento de dados. Consulte as linhas 37 e 38 para saber mais sobre segurança.

Saiba mais na Central de recursos do GDPR.

Confidencialidade; Segurança de dados ( Termos de segurança e processamento de dados)

41. 13.3 Direitos de auditoria, acesso e informações
42.

85. As instituições e as instituições de pagamento devem garantir, no acordo escrito de terceirização, que a função de auditoria interna possa analisar a função terceirizada usando uma abordagem baseada em riscos.

O Google reconhece que o uso dos nossos Serviços não pode comprometer a capacidade de uma instituição ou autoridade competente de monitorar e supervisionar a conformidade com as leis e regulamentações aplicáveis, bem como com as políticas internas da instituição. Forneceremos às instituições a assistência necessária para analisar os nossos Serviços.

Ativação da conformidade do cliente

43.

86. Independentemente de a função terceirizada ser essencial ou importante, os acordos escritos de terceirização entre instituições e provedores de serviços devem se basear nos poderes de investigação e coleta de informações das autoridades competentes e das e autoridades de resolução de acordo com o artigo 63(1)(a) da Diretiva 2014/59/UE e do Artigo 65(3) da Diretiva 2013/36/UE em relação aos provedores de serviços localizados em um estado-membro e devem garantir esses direitos em relação aos provedores de serviços localizados em países terceiros.

O Google reconhece o poder de investigação e coleta de informações de acordo com as Diretivas da UE relevantes.

Ativação da conformidade do cliente

44.

87. Quanto à terceirização de funções essenciais ou importantes, as instituições e as instituições de pagamento devem garantir, no acordo escrito de terceirização, que o provedor de serviços conceda a elas e às autoridades competentes, incluindo autoridades de resolução e qualquer outra pessoa indicada por elas ou pelas autoridades competentes, o seguinte:

O Google concede direitos de auditoria, acesso e informações a instituições, autoridades competentes (inclusive autoridades de resolução) e seus representantes.

Informações do regulador, Auditoria e acesso, Informações do cliente, Auditoria e acesso

45.

a. acesso total a todas as instalações relevantes da empresa, como sede e centros de operações. Isso inclui o conjunto completo de dispositivos, sistemas, redes, informações e dados relevantes usados para fornecer a função terceirizada, incluindo informações financeiras relacionadas, funcionários e auditores externos do provedor de serviços ("direitos de acesso e informações"); e

Consulte a linha 44.

Consulte a linha 44.

46.

b. direitos irrestritos de inspeção e auditoria relacionados ao acordo de terceirização ("direitos de auditoria"), permitindo que monitorem o acordo de terceirização e garantam a conformidade com todos os requisitos regulatórios e contratuais aplicáveis.

Consulte a linha 44.

Consulte a linha 44.

47.

88. Para a terceirização de funções que não são essenciais ou importantes, as instituições e as instituições de pagamento devem garantir os direitos de acesso e auditoria definidos no parágrafo 87 (a) e (b) e na seção 13.3, com base em risco, considerando a natureza da função terceirizada e os riscos relacionados para as operações e a reputação, a escalonabilidade, o impacto potencial no desempenho contínuo das atividades e o período contratual. As instituições e as instituições de pagamento precisam considerar as funções que podem se tornar essenciais ou importantes ao longo do tempo.

O Google reconhece que o uso dos Serviços pode aumentar com o tempo. Independentemente de como as instituições escolhem usar os Serviços no início da nossa relação, o Google concederá às instituições e autoridades competentes os direitos de auditoria, acesso e informações.

Ativação da conformidade do cliente

48.

89. As instituições e as instituições de pagamento devem garantir que o contrato de terceirização ou qualquer outro acordo contratual não impeça nem limite o exercício efetivo dos direitos de acesso e auditoria por elas, autoridades competentes ou terceiros indicadas por elas para exercer esses direitos.

Nenhum item do nosso contrato pretende limitar ou impedir a capacidade da instituição ou da autoridade competente de auditar os nossos serviços com eficiência. Especificamente, embora coloquemos à disposição muitas informações e ferramentas para que as instituições avaliem os nossos Serviços, nosso contrato não contém etapas predefinidas antes que as instituições ou autoridades competentes possam abordar o Google para exercer seus direitos de auditoria, acesso e informações. m outras palavras, não há hierarquia entre as opções para avaliar os nossos Serviços.

Ativação da conformidade do cliente

49.

90. As instituições e as instituições de pagamento devem exercer seus direitos de acesso e auditoria, determinar a frequência e as áreas a serem auditadas com uma abordagem baseada em risco e aderir a padrões de auditoria relevantes e mais aceitos, nacionais e internacionais.

A instituição é mais indicada para decidir a frequência e o escopo da auditoria para a organização. Nosso contrato não limita as instituições a um número fixo de auditorias nem a um escopo predefinido.

Informações do cliente, auditoria e acesso

50. 91.Sem prejuízo da responsabilidade final em relação aos acordos de terceirização,. as instituições e as instituições de pagamento podem usar:
51.

a. auditorias em pool organizadas com outros clientes do mesmo provedor de serviços, e realizadas pelo provedor e esses clientes ou por um terceiro indicado por eles, a fim de usar os recursos de auditoria com mais eficiência e reduzir a carga organizacional tanto dos clientes quanto do provedor de serviços;

O Google reconhece os benefícios das auditorias em pool. Teremos o prazer em discutir isso com as instituições.

N/A

52.

b. certificados de terceiros e relatórios de auditoria internos ou de terceiros, disponibilizados pelo provedor de serviços.

Consulte a linha 37.

Consulte a linha 37.

53.

92. Para a terceirização de funções essenciais ou importantes, as instituições e as instituições de pagamento devem avaliar se os certificados e relatórios de terceiros citados no parágrafo 91(b) são adequados e suficientes para cumprir suas obrigações regulatórias e não devem contar somente com esses relatórios ao longo do tempo.

Esta é uma consideração do cliente.

N/A

54. 93. As instituições e as instituições de pagamento só podem usar o método citado no parágrafo 91(b) se:
55.

a. estiverem satisfeitas com o plano de auditoria da função terceirizada;

Consulte a linha 37.

O Google é auditado pelo menos uma vez por ano para cada framework auditado. O Google realiza atividades de planejamento, escopo e prontidão antes de cada auditoria.

Certificados e relatórios de auditoria

56.

b. garantirem que o escopo do certificado ou do relatório de auditoria abranja os sistemas (processos, aplicativos, infraestrutura, data centers etc.) e os principais controles identificados pela instituição ou instituição de pagamento, além da conformidade com os requisitos regulatórios pertinentes;

Consulte a linha 37.

O escopo de auditoria do Google abrange os Serviços, sistemas de infraestrutura, políticas e procedimentos, processos comuns e funcionários. O Google é auditado com base nos nossos controles de segurança e privacidade que abrangem certificados e relatórios de auditoria pertinentes do escopo da auditoria.

Certificados e relatórios de auditoria

57.

c. avaliar cuidadosamente o conteúdo dos certificados ou relatórios de auditoria continuamente e verificar se estão obsoletos;

Consulte a linha 37.

Consulte os certificados e relatórios de auditoria atuais do Google a qualquer momento.

  • Saiba mais sobre os certificados ISO do Google.
  • Os relatórios de SOC e o Atestado de conformidade (AOC, na sigla em inglês) PCI do Google estão disponíveis com o representante da sua conta do Google Cloud.

Certificados e relatórios de auditoria

58.

d. garantir que os principais sistemas e controles sejam abordados em versões futuras do certificado e relatório de auditoria;

Consulte a linha 37.

Como parte da rotina do Google, atividades de planejamento, escopo e prontidão, sistemas e controles principais, e também os novos, são analisadas antes do início do trabalho de auditoria.

Certificados e relatórios de auditoria

59.

e. estão satisfeitos com a aptidão da parte certificadora ou auditora, em relação à rotação da empresa certificadora ou auditora, qualificações, experiência, novo desempenho/confirmação da evidência no arquivo de auditoria subjacente;

Consulte a linha 37.

O Google chama auditores externos certificados e independentes para cada framework auditado. Consulte o certificado ou relatório de auditoria relevante para ver informações sobre a parte certificadora ou auditora.

Certificados e relatórios de auditoria

60.

f. estão satisfeitos com a emissão de certificados e a realização de auditorias com base em padrões profissionais amplamente reconhecidos e relevantes e a inclusão de um teste de eficácia operacional dos principais controles implantados;

Consulte a linha 37.

As auditorias incluem o teste da eficácia operacional dos principais controles implantados.

Certificados e relatórios de auditoria

61.

g. ter o direito contratual de solicitar a expansão do escopo dos certificados ou dos relatórios de auditoria para outros sistemas e controles relevantes; o número e a frequência dessas solicitações de modificação do escopo devem ser razoáveis e legítimos do ponto de vista do gerenciamento de riscos; e

Para garantir que continuem sendo uma ferramenta eficaz, se um sistema de controle ou controle de um Serviço não for incluído nos certificados ou relatórios de auditoria do Google para esse serviço, as instituições poderão solicitar uma expansão do escopo.

Certificados e relatórios de auditoria

62.

h. manter o direito contratual de realizar auditorias individuais a critério próprio em relação à terceirização de funções essenciais ou importantes

As instituições sempre mantêm o direito de realizar uma auditoria. O contrato não contém etapas predefinidas antes que as instituições possam abordar o Google para exercer seus direitos de auditoria, acesso e informações. Em outras palavras, não há hierarquia entre as opções para avaliar os nossos Serviços.

Informações do cliente, auditoria e acesso

63.

94. Conforme as Diretrizes da EBA sobre avaliações de risco em ICT sob o SREP, as instituições devem, quando for o caso, garantir que possam realizar testes de penetração de segurança para avaliar a eficácia das medidas e processos de segurança em ICT Considerando o Título I, as instituições de pagamento também devem ter mecanismos de controle internos de ICT, incluindo medidas de mitigação e controles de segurança em ICT.

Você pode realizar testes de penetração dos Serviços a qualquer momento sem a aprovação prévia do Google.

Teste de penetração do cliente

64.

95. Antes de uma visita planejada ao local, as instituições, instituições de pagamento, autoridades competentes e auditores ou terceiros agindo em nome da instituição, instituição de pagamento ou autoridades competentes devem fornecer uma notificação razoável para o provedor de serviços, a menos que isso não seja possível devido a uma situação de emergência ou crise ou acarrete uma situação em que a auditoria não seja mais eficaz.

Um aviso razoável permite que o Google faça uma auditoria eficaz. Por exemplo, podemos garantir que os especialistas relevantes do Google estarão disponíveis e preparados para aproveitar ao máximo o seu tempo. O aviso também permite que o Google planeje a auditoria para que ela não gere riscos indevidos ao seu ambiente ou de outros clientes do Google. O Google reconhece que, em alguns casos, não é possível fornecer um aviso razoável. Nesses casos, trabalharemos com a equipe de auditoria para atender às necessidades dela.

Disposições

65.

96. Ao fazer auditorias em ambientes de múltiplos clientes, tome cuidado para garantir que os riscos ao ambiente de outro cliente, como impacto nos níveis de serviço, disponibilidade de dados e aspectos de confidencialidade, sejam evitados ou mitigados.

É extremamente importante para o Google que o que fazemos com um cliente não coloque outros clientes em risco. Isso se aplica quando você realiza uma auditoria. Isso também se aplica quando qualquer outro cliente realiza uma auditoria.

Quando uma instituição realiza uma auditoria, trabalhamos com ela para minimizar as interrupções de nossos outros clientes. Da mesma forma, trabalhamos com outro cliente de auditoria para minimizar as interrupções da instituição. Especificamente, cuidaremos para cumprir os nossos compromissos de segurança sempre.

Disposições

66.

97. Quando o acordo de terceirização contém um alto nível de complexidade técnica, por exemplo, no caso de terceirização de nuvem, a instituição ou a instituição de pagamento deve verificar se quem está realizando a auditoria (auditores internos, um conjunto de auditores ou auditores externos que atuam em seu nome) tem habilidades e conhecimentos apropriados e pertinentes para realizar auditorias e/ou avaliações relevantes com eficiência. Isso também se aplica a qualquer funcionário da instituição ou instituição de pagamento que analise certificados de terceiros ou auditorias realizadas por provedores de serviços.

Esta é uma consideração do cliente.

N/A

67. 13.4 Direitos de rescisão
68.

98. O acordo de terceirização deve permitir expressamente a possibilidade de a instituição ou a instituição de pagamento rescindir o acordo, conforme a legislação aplicável, inclusive nas seguintes situações:

As instituições podem optar por rescindir nosso contrato por conveniência, incluindo, se necessário, para cumprir a legislação, se orientadas pela autoridade competente ou em qualquer uma das situações indicadas na seção 13.4.

Rescisão unilateral

69.

a. em que o provedor das funções terceirizadas violar as leis, regulamentações ou disposições contratuais aplicáveis;

Consulte a linha 68.

Consulte a linha 68.

70.

b. b. em que são identificados obstáculos que podem alterar o desempenho da função terceirizada;

Consulte a linha 68.

Consulte a linha 68.

71.

c. quando houver alterações materiais que afetem o acordo de terceirização ou o provedor de serviços, como subterceirização ou alteração de subcontratados;

Consulte a linha 68.

Consulte a linha 68.

72.

d. quando houver pontos fracos em relação ao gerenciamento e à segurança de dados ou informações confidenciais, pessoais ou sensíveis; e

Consulte a linha 68.

Consulte a linha 68.

73.

e. quando as instruções são fornecidas pela autoridade competente da instituição ou da instituição de pagamento, por exemplo, no caso de a autoridade competente, devido ao acordo de terceirização, não estar mais em condições de supervisionar efetivamente a instituição ou a instituição de pagamento.

Consulte a linha 68.

Consulte a linha 68.

74. 99. O acordo de terceirização deve facilitar a transferência da função terceirizada para outro provedor de serviços ou sua reincorporação à instituição ou instituição de pagamento. Para isso, o acordo de terceirização escrito deverá:
75.

a. definir claramente as obrigações do provedor de serviços atual, no caso de uma transferência da função terceirizada para outro provedor de serviços ou de volta à instituição ou instituição de pagamento, incluindo o tratamento de dados;

O Google permitirá que você acesse e exporte seus dados durante a vigência do nosso contrato. É possível exportar os dados dos Serviços em vários formatos padrão do setor. Exemplo:

  • O Google Kubernetes Engine é um ambiente gerenciado de produção que permite a portabilidade entre diferentes nuvens, bem como em ambientes locais.
  • O Migrate for Anthos permite mover e converter cargas de trabalho diretamente em contêineres no Google Kubernetes Engine.
  • É possível exportar/importar toda uma imagem de VM na forma de um arquivo .tar. Saiba mais sobre imagens e opções de armazenamento.

Exportação de dados ( Termos de segurança e processamento )

76.

b. definir um período de transição apropriado, durante o qual o provedor de serviços, após a rescisão do acordo de terceirização, continua fornecendo a função terceirizada para reduzir o risco de interrupções; e

O Google reconhece que as instituições precisam poder sair dos nossos Serviços sem interrupções indevidas aos negócios, sem limitar a conformidade com os requisitos regulatórios e sem prejudicar a continuidade e a qualidade do serviços aos seus próprios clientes. Para ajudar as instituições a fazer isso, mediante solicitação, o Google continuará fornecendo os Serviços por 12 meses além do término ou rescisão do contrato.

Vigência da transição

77.

c. incluir uma obrigação do provedor de serviços para dar suporte à instituição ou instituição de pagamento na transferência ordenada da função em caso de rescisão do acordo de terceirização.

Nossos Serviços permitem que você transfira os dados de maneira independente. Você não precisa da permissão do Google para fazer isso. Consulte a linha 75. No entanto, se uma instituição quiser suporte, mediante solicitação, o Google fornecerá serviços de consultoria e implementação para ajudar na migração das cargas de trabalho ou na transição do uso dos Serviços.

Assistência para transição