对应情况

EBA 外包准则

Google Cloud 映射

本文档旨在帮助欧洲银行管理局授权范围内的金融机构（“机构”）以 Google Cloud 和 Google Cloud Financial Services 合约为背景，考虑外包安排准则（“EBA 外包准则”）。

我们主要关注《EBA 外包准则》第 13 节（合约阶段）。对于第 13 节的每个段落，我们都会提供评论，帮您了解在使用 Google Cloud 服务和 Google Cloud Financial Services 合约时如何满足准则要求。

《EBA 外包准则》将取代欧洲银行业务监管委员会 (CEBS) 于 2006 年发布的外包相关准则。此外也取代了 EBA 在 2018 年发布的关于向云服务提供商外包的建议。

如果您目前已有 Google Cloud 合约，并希望了解本文档如何适用于您的合约，请联系您的 Google Cloud 客户代表。

#	EBA 外包准则	Google Cloud 评论	Google Cloud Financial Services 合约参考
1.13 合约阶段
2.	74. 机构、支付机构和服务提供商的权利和义务必须清晰地予以说明，并在书面协议上载明。	双方的权利和义务已在 Google Cloud Financial Services 合约中规定。	不适用
3.75. 关键或重要职能的外包协议应至少包含如下内容：
4.	a 要提供的外包职能的清晰说明；	详细了解 Google Cloud 服务。	定义
5.	b. 协议的开始日期和结束日期（如果适用），以及服务提供商和机构或支付机构的通知期限；	请参阅您的 Google Cloud Financial Services 合约。	有效期和终止
6.	c. 协议的管辖法律；	请参阅您的 Google Cloud Financial Services 合约。	管辖法律
7.	d.双方的财务义务；	请参阅您的 Google Cloud Financial Services 合约。	付款期限
8.	e. 是否允许将关键或重要职能或其中的重要部分外包，如果允许，则外包受第 13.1 节规定的条件限制；	请参阅第 13.1 节中第 21 到 35 行的注释。	请参阅第 21 到 35 行。
9.	f. 将提供关键或重要职能和/或将保存和处理相关数据的位置（即地区或国家），包括可能的存储位置和要满足的条件，包括在服务提供商提议更改位置时，必须通知机构或支付机构的要求；	位置为了向您提供快速、可靠、可靠的服务，Google 可能会在 Google 或其转包商维护设施中存储和处理您的数据。详细了解 Google 的设施位置以及可以部署具体 Google Cloud 服务的位置。了解 Google 转包商设施的位置。 Google 会为您的数据提供相同的合约承诺以及技术和组织措施，无论其位于哪个国家/地区。特别是：所有 Google 设施均采用相同的安全措施，无论国家/地区为何。 Google 对其所有转包商做出相同的承诺，无论国家/地区为何。条件 Google 为您提供了数据存储位置的选择，包括在欧洲存储数据。选择存储数据的位置后，Google 不会将其存储在您选择的区域之外。了解限制资源位置。此外，Google 承诺会依照欧洲数据保护法律的规定，将个人数据合法转移到第三方国家/地区。	数据传输（云端数据处理附录）数据安全；转包商（云端数据处理附录）数据位置（服务专用条款）数据传输（云端数据处理附录）
10.	g. 在相关情况下，第 13.2 节中指定的相关数据的可访问性、可用性、完整性、隐私权和安全性的规定；	请参阅第 13.2 节中第 36 到 40 行的注释。	请参阅第 36 到 40 行
11.	h. 机构或支付机构持续监控服务提供商表现的权利；	您可以通过使用服务的功能持续监控 Google 服务（包括 SLA）的效果。例如：状态信息中心提供有关服务的状态信息。 Google Cloud Operations 是一个集成的监控、日志记录和诊断解决方案，可帮助您深入了解在 Google Cloud 上运行的应用。 Access Transparency 功能可让您查看 Google 员工对您的数据所执行的操作的日志。日志条目包括：受影响的资源、采取操作的时间、采取操作的原因（例如，与支持请求关联的案例编号）；以及有关谁在处理数据的数据（例如 Google 人员的位置）。	持续性能监控
12.	i. 商定的服务等级，包括外包职能的精确定量和定性性能目标，以便及时监控，并在未达到商定的服务级别时及时采取适当的纠正措施，而且不会有不必要的延误；	了解 Google 的服务等级协议 (SLA)。	服务
13.	j. 服务提供商对机构或支付机构报告的义务，包括服务提供商沟通可能对服务提供商按照商定的服务级别、遵守适用的法律和法规要求有效执行关键或重要职能的能力产生实质性影响的任何发展情况，以及酌情提交服务提供商内部审核职能报告的义务；	了解突发事件和 Google Cloud 状态信息中心。此外，Google 会将数据突发事件及时通知给您，不会有不必要的延误。如需详细了解 Google 的数据突发事件响应流程，请参阅我们的白皮书。	重大发展数据突发事件（云端数据处理附录）
14.	k.服务提供商是否应为某些风险投保强制性保险，以及在适用情况下的保险级别要求	Google 将为许多已确定的风险提供保险。	保险
15.	l. 实施和测试业务应急计划的要求；	Google 将为我们的服务实施业务连续性计划，至少每年审查并测试该计划一次，并确保其遵循行业标准。此外，请参阅灾难恢复规划指南，了解客户如何在自己的业务应急规划中使用我们的服务。	业务连续性和灾难恢复
16.	m. 确保在服务提供商发生破产、清盘或停止经营的情况下，可以访问机构或支付机构拥有的数据的条款；	数据中的所有知识产权由您保留。在我们的合约有效期内，Google 允许您访问和导出您的数据。请参阅第 75 行。如果 Google 进入破产程序，这些承诺均不适用。Google 也无权因自身进入破产程序而终止，但您可以选择终止。万一 Google 进入破产程序（可能性极低），您可以在与指定的破产执行人交易时提及这些承诺。	知识产权数据导出（云端数据处理附录）有效期和终止
17.	n. 服务提供商有义务与机构或支付机构的主管部门和决议机构合作，包括其指定的其他人员；	Google 将与主管部门和决议机构合作，行使其审核、信息和访问权。	实现客户合规性
18.	o. 对于机构而言，明确提及国有决议机构的权力，特别是第 2014/59/EU (BRRD)法令第 68 条和第 71 条，特别是对该法令第 68 条意义上的合规的“实质性义务”的描述；	Google 认识到，在决议期间，机构和任何决议实体必须能够履行业务。为了通过决议提供支持，Google 承诺会在 BRRD 要求的决议期间继续提供服务。	通过决议的方式提供支持
19.	p.机构、支付机构和主管部门不受限制地检查和审核服务提供商，特别是第 13.3 条规定的关键或重要外包职能；	请参阅第 13.3 节中第 41 至 66 行的注释。	请参阅第 41 至 66 行。
20.	q. 终止权利，如第 13.4 节所述。	请参阅第 13.4 节中第 67 到 77 行的注释。	请参阅第 67 到 77 行。
21. 13.1 关键或重要职能的转包
22.	76. 外包协议应明确是否允许对关键或重要职能或其重要部分进行转包。	Google 认识到，机构需要考虑与转包相关的风险。我们还希望为您和我们的所有客户提供我们所能提供的最可靠、最强大和最具弹性的服务。在某些情况下，与其他可信组织合作可能带来显而易见的好处，比如提供全天候支持。虽然 Google 将向您提供与我们合作的组织相关的信息，但我们不能同意我们绝不会进行转包。鉴于我们的服务具有一对多的特点，如果我们向一位客户同意我们不会进行转包，那么可能会造成所有其他客户无法获得最初鼓励我们决定转包的好处。为确保各机构监督转包，Google 将遵循旨在提供透明度和选择权的明确条件。请参阅第 26 行。	转包
23.	77. 如果允许将关键或重要职能转包，机构和支付机构应确定转包的职能部分是否关键或重要（即关键或重要职能的重要部分），如果是，则将其记录在注册表中。	机构最有资格决定转包职能是否为关键职能或重要职能的重要组成部分。为了提供帮助，Google 将为我们的每个转包商提供外包注册所需的全部信息。	Google 转包商
24. 78. 如果允许转包关键或重要职能，那么书面协议应该符合如下条件：
25.	a 指定从转包中排除的任何活动类型；	请参阅第 22 行。	请参阅第 22 行。
26.	b. 指定在设备转包过程中要遵循的条件；	为了使机构能够保留对任何转包合约的监督，并提供机构使用服务的选择，Google 将：提供有关我们的转包商的信息；将变更提前通知给我们的转包商；以及使机构能够在担忧新的转包商时终止合约。	Google 转包商
27.	c. 明确规定服务提供商有义务监督其转包的服务，以确保服务提供商与机构或支付机构之间的所有合同义务得到持续履行；	Google 将监督所有转包义务的履行，并确保我们的转包商遵守我们与您签订的合约。	Google 转包商
28.	d. 要求服务提供商事先获得相应机构或支付机构的具体或一般书面授权，然后才能转包数据；	Google 将遵守我们根据 GDPR 规定应承担的关于转包授权的义务。	数据处理；转包商（云端数据处理附录）
29.	e. 包括服务提供商将任何计划中的转包或其重大变更通知机构或支付机构的义务，特别是在可能影响服务提供者履行外包协议项下责任的能力的情况下。这其中包括对转包商的更改以及通知期限的重大变更；特别是，要设置的通知期限应允许外包机构或支付机构至少进行对建议的变更的风险评估，并在计划的外包或其重大变更生效之前反对变更；	在转包商变更之前，您需要有足够的时间得知此变更，从而对这些变更执行有意义的风险评估。为确保您有足够的时间，Google 会在与新的转包商接洽或变更现有转包商的职能之前提前通知。	Google 转包商
30.	f. 在适当情况下，确保相应机构或支付机构有权拒绝拟进行或转包或其重大变更，或者要求进行明确批准；	如果机构认为转包商的变更会大幅增加风险，用户可以选择终止我们的合同。请参阅第 31 行。但是，鉴于我们的服务具有一对多的特点，如果我们同意一位客户拒绝转包，那么可能会允许一位客户否认我们所有客户获得最初鼓励我们决定转包的好处。欧洲银行管理局承认，在云外包的情境中，同意“过于繁重”。请参阅欧洲银行管理局在关于外包给云服务提供商的建议的最终报告（第 24 页）中的评论。	Google 转包商
31.	g. 确保机构或支付机构在不当转包的情况下有合同权利终止协议，例如，转包大大增加了机构或支付机构的风险，或者服务提供商在没有通知机构或支付机构的情况下进行了转包。	机构应该有权选择为其提供服务的服务方。为了确保这一点，如果机构认为转包商的变更会大幅增加其风险，或者如果他们没有收到商定的通知，则他们可以选择终止我们的合同。	Google 转包商
32. 79. 只有在转包商做出如下承诺的情况下，机构和支付机构才应同意转包：
33.	a. 遵守所有适用的法律、法规要求和合同义务；以及	Google 要求我们的转包商达到与我们相同的高标准。具体来说，Google 会要求我们的转包商遵守我们与您签署的合约以及适用的法律法规。	Google 转包商
34.	b. 授予机构、支付机构和主管部门与服务提供商所授予的相同的合同访问和审核权利。	转包不得降低机构监督服务或主管部门监督机构的能力。为了保证这一点，Google 将确保我们的转包商遵守我们提供给相关机构和主管部门的信息、访问权限和审核权。	Google 转包商
35.	80。机构和支付机构应确保服务提供商按照相应机构或支付机构定义的政策，恰当地监督该服务提供商。如果提议的转包可能会给重大或重要职能的外包安排产生重大不利影响，或者会导致实质性增加风险，包括在第 79 段中的条件不能得到满足的情况，相关机构或支付机构应自行行使其反对转包的权利（如果已经商定这种权利）和/或终止合约。	请参阅第 27 行、第 30 行和第 31 行。	请参阅第 27 行、第 30 行和第 31 行。
36. 13.2 数据和系统的安全性
37.	81. 机构和支付机构应确保相关服务提供商遵守适当的 IT 安全标准。	Google 了解，您希望我们通过安全性、隐私权和合规控制措施方面的独立验证。Google 会定期接受多项独立的第三方审核，确保我们的服务符合要求。Google 承诺在与您的合约期限内遵守以下主要国际标准： ISO/IEC 27001:2013（信息安全管理系统） ISO/IEC 27017:2015（云端安全性） ISO/IEC 27018:2014（云端隐私权） PCI DSS SOC 1 报告 SOC 2 报告 SOC 3 报告	认证和审核报告
38.	82. 在相关情况下（例如，对于云或其他 ICT 外包的情况下），机构和支付机构应在外包协议内定义数据和系统安全要求，并持续监控这些要求的遵守情况。	云服务的安全性由两个关键元素组成： Google 基础架构的安全性 Google 管理我们的基础架构的安全性。这是指支持服务的硬件、软件、网络和设施的安全性。鉴于我们的服务具有一对多特性，Google 为所有客户提供了同样强大的安全性。 Google 向客户提供有关我们安全实践的详细信息，以便客户可以理解它们并将其视为自身风险分析的一部分。如需了解详情，请访问：我们的基础架构安全页面我们的安全白皮书我们的基础架构安全设计概览页面我们的安全资源页面此外，您还可以查看 Google 的 SOC 2 报告。请参阅第 37 行。云端数据和应用的安全性您定义您的数据和应用在云端的安全性。这表示您在使用服务时选择实施和运行的安全措施 (a) 默认安全尽管我们希望为您提供有关数据的尽可能多的选择，但是您的数据安全性对于 Google 至关重要，我们会采取以下积极措施为您提供帮助：静态加密。默认情况下，Google Cloud 对静态存储的客户数据进行加密，无需您采取任何额外操作。如需了解详情，请访问：https://cloud.google.com/security/encryption/default-encryption/。传输中加密。如果数据将移出物理边界，脱离 Google 或 Google 授权代理方的控制范围，Google 会在一个或多个网络层对传输中的所有数据进行加密和身份验证。如需了解详情，请访问 https://cloud.google.com/security/encryption-in-transit。 (b) 安全产品除了 Google 外部方提供给您的其他工具和做法外，您还可以选择使用 Google 提供的工具来增强和监控数据的安全性。详细了解 Google 的安全产品。下面是一些示例： Cloud Identity and Access Management 可通过控制 Google Cloud 资源的访问权限和角色，帮助防止未经授权的访问。 Cloud Security Scanner 会自动扫描 App Engine、Compute Engine 和 Google Kubernetes Engine 应用以查找常见漏洞。 Event Threat Detection 会自动扫描各种类型的日志，以检测 Google Cloud 环境中是否存在可疑的活动。 Cloud Security Command Center 和 Security Health Analytics 可让您了解和监控 Google Cloud 资源以及资源（包括虚拟机实例、映像和操作系统）变更。 Forseti 是一种开源工具包，旨在帮助您的安全团队放心地部署我们的服务，并让他们安心确信我们的服务中已经实施适当的安全控制措施。Forseti 包含以下安全工具： Inventory：了解现有 Google Cloud 资源 Scanner：综合验证各种 Google Cloud 资源的访问权限控制政策 Enforcer：移除对 Google Cloud 资源的不必要访问权限 Explain：分析谁对 Google Cloud 资源拥有什么访问权限详细了解开源安全工具。安全强化型虚拟机可让您针对整个堆栈的任何变更启用实时衡量、监控和提醒。 (c) 安全资源 Google 还发布了有关以下方面的指南：安全性方面的最佳做法安全使用场景	数据安全；安全措施（云端数据处理附录）
39.	83. 在外包给云服务提供商和其他涉及处理或转移个人或机密数据的外包安排的情况下，机构和支付机构应采用基于风险的方法来处理数据存储和数据处理位置（即国家或地区）和信息安全考虑因素。	这是客户考虑的一项因素。如需详细了解数据位置，请参阅第 9 行。	不适用
40.	84. 在不影响条例 (EU) 2016/679 的相关要求的情况下，在外包（特别是外包到第三方国家/地区）方面，机构和支付机构应考虑不同国家/地区的数据保护规定差异。机构和支付机构应确保外包协议包含服务提供商在保护机密、个人信息或其他敏感信息方面的义务，并遵守适用于该机构或支付机构的、有关保护数据的一切法律要求（例如，保护个人数据，以及在适用情况下，遵守与客户信息有关的银行保密或类似的法律保密义务）。	服务的安全性是保护您的数据的基础。如需了解详情，请参阅云端数据处理附录。如需详细了解安全性，请参阅第 37 和 38 行。有关详情，请参阅我们的 GDPR 资源中心。	机密性；数据安全（云端数据处理附录）
41. 13.3 访问权限、信息和审核权
42.	85. 机构和支付机构应确保在书面外包安排中，让内部审核职能可以使用基于风险的方法审核外包职能。	Google 承认，使用 Google 服务时，不应妨碍机构（或其主管部门）监督和监管遵守适用法律法规与机构内部政策的行为。我们将为需要我们审核我们服务的机构提供帮助。	实现客户合规性
43.	86. 无论外包职能的关键性或重要性如何，机构与服务提供商之间的书面外包安排应提及主管部门和决议机构根据指令 2014/59/EU 第 63(1)(a) 条和指令 2013/36/EU 第 65(3) 条对位于成员国的服务提供商拥有的信息收集和调查权力，还应确保对位于第三方国家/地区的服务提供商拥有这些权利。	Google 承认相关欧盟指令赋予的信息收集和调查权。	实现客户合规性
44.	87. 对于关键或重要职能的外包，机构和支付机构应在书面外包协议中确保服务提供商向其及其主管部门（包括决议机构）以及由其或主管部门任命的任何其他人员授予下列权利：	Google 会向机构、主管部门（包括决议机构）和指定人员授予审核、访问权限和信息权利。	监管机构信息、审核和访问权利；客户信息、审核和访问权利
45.	a 拥有对所有相关业务场所（例如总部和运营中心）的完全访问权限，包括用于提供外包职能的所有相关设备、系统、网络、信息和数据，包括相关财务信息、人员和服务提供商的外部审核员（“访问和信息权限”部分）；以及	请参阅第 44 行。	请参阅第 44 行。
46.	b.与外包安排相关的不受限制的检查和审核权利（“审核权利”），使他们能够监督外包安排，并确保遵守所有适用的监管和合约要求。	请参阅第 44 行。	请参阅第 44 行。
47.	88. 对于非关键或非重要职能的外包，各机构和支付机构应确保第 87 (a) 和 (b) 段以及第 13.3 节规定的基于风险的访问和审核权利，同时考虑到外包职能的性质以及相关的运营和声誉风险、其可扩展性、对其活动持续开展的潜在影响以及合约期。机构和支付机构应考虑到，随着时间的推移，职能可能会变得关键或重要。	Google 了解，服务的使用范围可能会逐渐扩缩。无论机构在我们合作之初选择如何使用服务，Google 都将向机构和主管部门提供审核、访问和信息权利。	实现客户合规性
48.	89. 机构和支付机构应确保外包协议或任何其他合约安排不妨碍或限制他们、主管部门或其指定行使这些权利的第三方有效行使访问和审核权利。	我们的合约中没有任何内容旨在限制或阻碍机构或主管部门对我们的服务进行有效审核的能力。具体来说，尽管我们将提供大量信息和工具来帮助机构审核我们的服务，但我们的合约不包含预定义的步骤，机构或主管部门可以与 Google 接洽，以行使其审核、访问和信息权利。换句话说，评估我们服务的不同方案之间不存在层级关系。	实现客户合规性
49.	90. 机构和支付机构应行使访问和审核权利，以风险为基础确定审核频率和审核领域，并遵守相关、普遍接受的国内和国际审核标准。	机构最适合决定适合其组织的审核频率和范围。我们的合同不会为机构限制固定数量的审核或预定义的范围。	客户信息、审核和访问权利
50. 91. 在不损害其关于外包安排的最终责任的情况下，机构和支付机构可以使用：
51.	a. 与同一家服务提供商的其他客户联合组织的集中审核，由他们和这些客户或由他们指定的第三方执行，以更有效地利用审核资源，并减轻客户和服务提供商的组织负担；	Google 深知集中审核的好处。我们很愿意与机构讨论此问题。	不适用
52.	b. 服务提供商提供的第三方认证和第三方或内部审核报告	请参阅第 37 行。	请参阅第 37 行。
53.	92. 对于关键或重要职能的外包，经过一段时间后，机构和支付机构应评估第 91(b) 段所述的第三方认证和报告是否足以履行其监管义务，而不应仅依赖这些报告。	这是客户考虑的一项因素。	不适用
54. 93. 只有在下列情况下，机构和支付机构才应使用第 91(b) 段所述的方法：
55.	a. 对外包职能的审核计划感到满意；	请参阅第 37 行。对于每个经过审核的框架，Google 每年至少接受一次审核。Google 在每次审核之前执行规划、范围界定和准备活动。	认证和审核报告
56.	b. 确保认证或审核报告的范围涵盖系统（即流程、应用、基础架构、数据中心等），以及机构或者支付机构确定的关键控制措施以及相关监管要求的合规性；	请参阅第 37 行。 Google 的审核范围涵盖服务范围、基础架构系统、政策和程序、通用流程和人员。Google 会就我们的安全和隐私权控制措施接受审核，涵盖审核范围内的相关认证和审核报告。	认证和审核报告
57.	c. 持续全面评估认证或审核报告的内容，并确认报告或认证没有作废；	请参阅第 37 行。您可以随时查看 Google 当前的认证和审核报告。详细了解 Google 的 ISO 认证。您可以通过 Google Cloud 客户代表获取 Google 的 SOC 报告和 PCI 合规性证明 (AOC)。	认证和审核报告
58.	d. 确保认证或审核报告的未来版本涵盖关键系统和控制措施；	请参阅第 37 行。作为 Google 日常规划、范围界定和准备活动的一部分，在审核工作开始之前，周期性的关键系统和控制以及新的系统和控制需要先接受审核。	认证和审核报告
59.	e. 对认证或审核方的能力感到满意（例如，关于认证或审核公司的轮换、资质、专门知识、基础审核文件中证据的重新履行/核实）；	请参阅第 37 行。 Google 为每个经过审核的框架聘请经过认证的独立第三方审核机构。有关认证或审核方的相关信息，请参阅相关的认证或审核报告。	认证和审核报告
60.	f. 对证书的颁发和审核符合公认的相关专业标准感到满意，并包括对已实施的关键控制措施的运营有效性的测试；	请参阅第 37 行。审核包括对已实施的关键控制措施的运营有效性进行测试。	认证和审核报告
61.	g. 享有合同权利，可要求将认证或审核报告的范围扩大到其他相关系统和控制措施；从风险管理的角度来看，此类修改范围的请求的次数和频率应是合理和合法的；并且	如果一项服务的关键系统或控制不在 Google 对该服务的认证或审核报告的覆盖范围内，为确保其仍然属于有效工具，机构可以要求扩大范围。	认证和审核报告
62.	h. 保留就关键或重要职能外包自行决定进行单项审核的合同权利	机构始终有权进行审核。该合同没有包含机构可以与 Google 接洽以行使其审核、访问和信息权利之前的预定义步骤。换句话说，评估我们服务的不同方案之间不存在层级关系。	客户信息、审核和访问权利
63.	94. 根据 EBA 在 SREP 下关于 ICT 风险评估的指导方针，机构应在适当的情况下确保其能够进行安全渗透测试，以评估已实施的网络和内部 ICT 安全措施和流程的有效性。考虑到 SREP 的第一条方针，支付机构还应拥有内部信息和通信技术控制机制，包括信息和通信技术安全控制和缓解措施。	您可以随时执行服务渗透测试，而无需事先获得 Google 批准。	客户渗透测试
64.	95. 在计划的现场访问之前，机构、支付机构、主管部门和审核机构或代表机构、支付机构或主管机构行事的第三方应向服务提供商提供合理的通知，除非由于紧急或危机情况而无法这样做，或者这样做可能导致审核不再有效的情况。	合理的通知可让 Google 提供有效的审核服务。例如，我们可以确保相关的 Google 专家有充足的时间，并充分利用您的时间。另外请注意，该通知还允许 Google 规划审核，以免对您的环境或任何其他 Google 客户造成任何风险。Google 了解，在某些情况下，无法实现足够提前的通知。在这些情况下，我们将与审核方协作以满足其需求。	安排
65.	96. 在多客户环境中执行审核时，请务必谨慎，以确保降低给其他客户的环境造成的风险（例如对服务等级的影响、数据的可用性、机密性等）。	对 Google 而言，非常重要的一点是，我们为一位客户所做的事情不应该让任何其他客户处于危险之中。这适用于您执行审核的情况。此外也适用于任何其他客户执行审核的情况。在一家机构执行审核时，我们将与他们合作，将对其他客户的干扰降至最低。同样，我们也会与其他审核客户合作，以尽量减少他们对该机构的干扰。尤其要注意的是，我们将始终如一地遵守我们的安全承诺。	安排
66.	97. 如果外包安排具有高度的技术复杂性，例如在云外包的情况下，机构或支付机构应核实进行审核的人员（无论是其内部审核人员、审核人员团队还是代表其行事的外部审核人员）拥有适当且相关的技能和知识，能够有效地执行相关审核和/或评估。这同样适用于机构或支付机构的任何工作人员审核先前由服务提供商开展的第三方认证或审核的情况。	这是客户考虑的一项因素。	不适用
67. 13.4 终止权利
68.	98. 外包安排应明确允许机构或支付机构根据适用法律终止此类安排，包括在如下情况下：	如果主管部门指示或出现第 13.4 节中列出的任何情况，机构可以选择为方便起见而终止我们的合同，包括出于遵守法律而确有必要这样做的情况。	便利终止
69.	a. 外包职能的提供商违反适用的法律、法规或合约规定；	请参阅第 68 行。	请参阅第 68 行。
70.	b. 在确定存在改变外包职能的履行表现的障碍的情况下；	请参阅第 68 行。	请参阅第 68 行。
71.	c. 对外包安排或服务提供商有重大影响的变更（如转包或转包商变更）；	请参阅第 68 行。	请参阅第 68 行。
72.	d. 在机密、个人或其他敏感数据或信息的管理和安全方面存在弱点；以及	请参阅第 68 行。	请参阅第 68 行。
73.	e. 如果该机构或支付机构的主管部门发出指示，例如，如果该主管部门因外包安排而不再能够有效地监督该机构或支付机构。	请参阅第 68 行。	请参阅第 68 行。
74. 99. 外包安排应便于将外包职能转移给另一家服务提供商，或将其重新纳入机构或支付机构。为此，书面外包安排应：
75.	a. 明确规定现有服务提供商在将外包职能转移给另一服务提供商或转回机构或支付机构的情况下的义务，包括数据的处理；	在我们的合约有效期内，Google 允许您访问和导出您的数据。您可以按各种行业标准格式将数据从服务中导出。例如： Google Kubernetes Engine 是一个可立即投产的代管式环境，可让您在不同云环境和本地环境中移植。借助 Migrate to Containers，您可以将工作负载直接迁移至 Google Kubernetes Engine，并将它们转换为容器。您可以使用 .tar 归档文件的形式导出/导入整个虚拟机映像。详细了解映像与存储方案。	数据导出（云端数据处理附录）
76.	b. 设定适当的过渡期，在这段过渡期内，服务提供商在外包安排终止后，会继续提供外包服务，以降低服务中断的风险；并且	Google 认识到，机构需要能够退出我们的服务，而且要保证这样做不会给其业务造成不必要的中断，不会限制其遵守监管要求的能力，也不会损害其向自己的客户提供服务的连续性和质量。为了帮助机构实现这一目标，如果机构提出要求，Google 将在合同到期或终止后的 12 个月内继续提供服务。	过渡期限
77.	c. 包括服务提供商在外包协议终止时支持机构或支付机构有序转移职能的义务。	我们的服务使您能够单独转移数据。您无需获得 Google 的许可便可执行此操作。请参阅第 75 行。但是，如果机构希望获得支持，Google 可以应请求提供咨询和实施服务，以帮助迁移工作负载或以其他方式进行服务使用的过渡。	过渡帮助