對應內容

EBA 外包規定

Google Cloud Platform 對應內容

本文件的宗旨是協助歐盟銀行主管機關管轄的金融機構 (以下簡稱「機構」),在採用 Google Cloud Platform (以下簡稱「GCP」) 和《Google Cloud 金融服務協議》的情況下將外包安排規定 (以下簡稱「EBA 外包規定」) 納入考量。

我們會著重說明 EBA 外包規定的第 13 節 (合約階段)。我們也針對第 13 節中的每項提供相關註解,讓您瞭解如何在符合相關規定的情況下使用 Google Cloud 服務和《Google Cloud 金融服務協議》。

EBA 外包規定取代了 2006 年發布的歐洲銀行業管理局 (CEBS) 規定。此外,他們也取代了 EBA 在 2018 年發布的《雲端服務供應商外包建議》。

如果您已有 Google Cloud 合約,且想要瞭解這份文件如何應用於您的合約中,請與您的 Google Cloud 帳戶代表聯絡。

# EBA 外包規定 Google Cloud 註解 Google Cloud 金融服務合約參考資料
1. 13 合約階段
2. 74. 機構、支付機構和服務供應商的權利和義務應明確分配及載明於書面協議中。

雙方的權利和義務皆載明於《Google Cloud 金融服務協議》中。

3. 75. 關鍵或重要功能的外包協議須至少載明:
4. a 針對要外包的功能提供詳細說明; 進一步瞭解 GCP 服務 定義
5. b. 協議開始日期和結束日期 (如適用),以及服務供應商和機構或支付機構的通知期限; 請參閱您的 Google Cloud 金融服務合約。 效期與終止
6. c. 協議的準據法 請參閱您的 Google Cloud 金融服務合約。 準據法。
7. d. 雙方的財務義務; 請參閱您的 Google Cloud 金融服務合約。 付款條件
8. e. 是否允許將關鍵或重要功能,或其重大部分轉包,如是,則應遵守第 13.1 節中規定的轉包條件 請參閱第 13.1 節第 21 至 35 列的說明。 請參閱第 21 至 35 列
9. f. 提供關鍵或重要功能和/或儲存和處理相關資料的位置 (即地區或國家),包括可能的儲存位置,以及需滿足的條件,包括要求在服務供應商提議變更位置時通知機構或支付機構; 位置

為了提供快速、可靠、健全和有彈性的服務,Google 可能會在 Google 或其複委託者負責維護的相關設施儲存及處理您的資料。

無論資料所在的國家 / 地區為何,Google 都會為您的資料提供相同的合約承諾及技術與機構措施。具體而言:

  • 無論國家 / 地區為何,相同的安全防護措施均適用於所有的 Google 設施。
  • 無論國家 / 地區為何,Google 都會確保其所有複委託者履行相同的承諾。

條件

Google 提供資料儲存位置的選擇,包括將資料儲存在歐洲。選擇資料的儲存位置後,Google 便不會將資料儲存在您選擇的地區之外。

瞭解如何限制資源位置

此外,Google 也提供根據歐盟資料保護法規,將個人資料移轉至第三國家/地區之承諾。

資料移轉 (資料處理和安全性條款)

資料安全性;複委託者 (資料處理和安全性條款)

資料位置 (服務專屬條款)

資料移轉 (資料處理和安全性條款)

10. g. 依第 13.2 節所規定,相關資料的可存取性、可用性、完整性、隱私權和安全性的規定; 請參閱第 13.2 節第 36 至 40 列的說明。 請參閱第 36 至 40 列
11. 機構或支付機構持續監控服務供應商效能的權利;

您可以使用「服務」的功能持續監控 Google 服務 (包括 SLA) 的效能。

例如:
  • 狀態資訊主頁提供「服務」的狀態資訊。
  • Google Cloud Operations 是整合式的監控、記錄與診斷託管解決方案,可協助您深入瞭解在 GCP 上執行的應用程式。
  • 資料存取透明化控管機制功能可讓您查看 Google 人員對您的資料採取的動作。記錄項目包括:受影響的資源、動作時間、動作原因 (例如與支援要求相關的客服案件編號);與負責處理資料的人員 (例如 Google 人員的所在位置) 的相關資料。
持續的效能監控
12. i. 協議的服務水準,其中應包括對於外包功能的明確量性與質性效能目標,以便進行即時監控,在無法達到協議的服務水準時採取對應的修正措施; 瞭解 Google 的服務水準協議 服務
13. j。服務供應商對機構或付款機構的通報義務,包括任何可能對服務供應商按照議定的服務水準及遵守適用法律和法規要求,有效執行關鍵或重要功能的能力產生重大影響的進展,或是視情況提交服務供應商內部稽核功能的相關報告:

進一步瞭解事件和 Google Cloud 狀態資訊主頁

此外,Google 會即時通知您資料事件,不會無故拖延。如要進一步瞭解 Google 資料事件的回應程序,請參閱我們的白皮書

重大開發

資料事件 (資料處理和安全性條款)

14. k. 服務供應商是否應針對某些風險採取強制性保險,並要求保險给付等級 (如適用); Google 會為一些已知風險投保。 保險
15. l. 實施和測試業務應變計劃的規定;

Google 每年都會針對「服務」實施業務持續性計畫,並每年至少測試一次,以確保能與業界標準同步。

此外,請參閱我們的災難復原規劃指南,瞭解客戶如何將 Google 服務運用在自己的業務環境中。

業務持續性和災難復原
16. m. 確保在服務供應商破產、清算或終止商業運作的情況下,仍可存取機構或付款機構擁有的資料的條款;

您保有資料的所有智慧財產權。

在合約有效期間,Google 可讓您存取和匯出資料。請參閱第 75 列的相關說明。

這些承諾都不會因 Google 破產而失效。此外 Google 也無權因破產而終止承諾 (不過您可以選擇終止)。萬一 Google 破產,您可以在與指定的破產執行人員溝通時參考這些承諾。

智慧財產權

資料匯出 (資料處理和安全性條款)

效期與終止

17. n. 服務供應商有義務與機構或支付機構的主管機關與清算機構,以及其所指派的其他人員進行合作; Google 會與合格的主管機關與清算機構合作,行使其稽核、資訊及存取權。 實現客戶法規遵循
18. o. 機構,須明確指稱國家清算機構的權力,特別是針對 2014/59/EU 指令 (BRRD) 第 68 和 71 條所述,並根據指令第 68 條描述合約的「重大義務」; Google 瞭解機構及任何清算實體,在清算過程中都應能持續業務。為了在清算過程中提供支援服務,Google 承諾按照 BRRD 的要求在清算期間繼續提供服務。 在清算過程中提供支援服務
19. p. 機構、支付機構和主管部門對服務供應商應有不受限制的檢查和稽核權,尤其是針對關鍵或重要的外包功能 (如第 13.3 節所述); 請參閱第 13.3 節第 41 至 66 列的說明。 請參閱第 41 至 66 列
20. q. 終止權,如第 13.4 節所述。 請參閱第 13.4 節第 67 至 77 列的說明。 請參閱第 67 至 77 列
21. 13.1 關鍵或重要功能的轉包
22.

76. 外包協議應具體說明是否允許轉包關鍵或重要功能或其中重大部分。

Google 瞭解機構需考慮轉包的相關風險。我們也希望竭盡所能為所有客戶提供最可靠、完善、有彈性的全方位服務。在某些情況下,與其他可靠的機構合作可能會帶來明顯的好處,例如可提供全年無休的支援服務。

雖然 Google 會與您提供與我們合作的機構資訊,但我們無法同意永遠不會轉包。考慮到我們服務的一對多性質,如果我們與一位客戶協議不轉包,那麼我們可能會剝奪所有客戶在促進轉包下所可能得到的利益。

為確保機構能監督所有的轉包業務,Google 會依照明確規定讓資訊公開透明並提供選擇。請參閱第 26 列

轉包合同

23.

77. 如果允許將關鍵或重要功能轉包,機構和支付機構應確認要轉包的功能部分本身是否具關鍵性或重要性 (即,關鍵或重要功能的重大部分),如是,則應將其記錄下來。

機構最適合決定轉包功能為關鍵功能或是重要功能的重大部分。為了提供協助,Google 會在外包登記中提供我們每位承包商的所有必要資訊。

Google 承包商

24. 78. 如果允許將關鍵或重要功能轉包,則書面協議應:
25.

a. 指定從轉包排除的任何活動類型;

請參閱第 22 列

請參閱第 22 列

26.

b. 指定在轉包時需遵守的條件;

為使機構能監督所有的轉包業務,並提供機構使用服務的選擇,Google 會:

  • 提供承包商的相關資訊;
  • 提前告知承包商變更;且
  • 機構如果對新承包商存有疑慮,則可終止合約。

Google 承包商

27.

c. 指定服務供應商有義務監督其轉包的服務,以確保能持續達成服務供應商與機構或支付機構之間的所有合約義務;

Google 會監督所有轉包合同的履行情況,並確保我們的承包商遵守我們與您簽訂的合約內容。

Google 承包商

28.

d. 要求服務供應商在轉包資料之前先取得機構或支付機構的事先個案或一般書面授權;

Google 會遵守 GDPR 規範的轉包授權義務。

資料處理;複委託者 (資料處理和安全性條款)

29.

e. 服務供應商有義務將任何計劃的轉包或其重大變更通知機構或支付機構,尤其是在可能影響服務供應商履行其外包協議下之職責能力的情況下。這包括預計的承包商和通知期間的重大變更;尤其是所設通知期應至少允許外包機構或支付機構有時間對擬議的變更進行風險評估,並在預計的轉包或其重大變更生效之前反對該變更;

在變更生效之前,您需要有足夠的時間獲知承包商變更,以進行有意義的風險評估為確保您有足夠的時間,Google 在與新的承包商聯絡或變更現有承包商之前,都會事先通知您。

Google 承包商

30.

f. 確保在適當的情況下,機構或支付機構有權反對預定的轉包或重大變更,或者需明確取得核准;

如果機構認為變更承包商會大幅提高風險,可選擇終止合約。請參閱第 31 列。不過,考慮到我們服務的一對多性質,如果我們同意一位客戶拒絕轉包,那麼我們可能是讓單一客戶剝奪了所有客戶在促進轉包下所得到的利益。

歐盟銀行主管機關體認到,在雲端外包的環境下,取得同意是「過於沉重的負擔」。請參閱歐盟銀行主管機關的《外包至雲端服務供應商的建議》最終報告第 24 頁的說明。

Google 承包商

31.

g. 確保機構或支付機構在過度轉包的情況下具有終止協議的合約權利,例如,轉包嚴重增加了機構或支付機構的風險,或者服務供應商在未通知機構或支付機構的情況下進行轉包。

機構對於為他們提供這類服務的單位應具有選擇權。為了確保這一點,如果機構認為承包商變更會大為增加其風險或未如約定收到通知,則可以選擇終止我們的合約。

Google 承包商

32. 79. 機構和支付機構應僅在承包商承諾採取以下措施時同意轉包:
33.

a 遵守所有適用的法律、法規要求和合約義務;且

Google 要求承包商和我們遵循同樣的高標準。具體而言,Google 會要求承包商遵守我們與您的合約及適用的法律和法規。

Google 承包商

34.

b. 授予機構、支付機構和主管機關的合約資訊取得權和稽核權應與服務提供商所授予的權利相同。

不得因轉包減少機構監控服務的能力或主管機關監督機構的能力。為維護此權利,Google 會確保轉包商遵循我們提供給機構和主管機關的資訊、存取和稽核權。

Google 承包商

35.

80. 機構和支付機構應確保服務供應商根據機構或支付機構定義的政策適當監督轉包服務供應商。如果擬議的轉包可能對關鍵或重要功能的外包安排產生重大不利影響或導致風險大為增加,包括無法滿足第 79 項中的條件,則該機構或支付機構應行使其權利反對轉包 (如果該等權利已同意) 並/或終止合約。

請參閱第 27 列第 30 列第 31 列

請參閱第 27 列第 30 列第 31 列

36. 13.2 資料與系統的安全性
37.

81. 機構和支付機構應確保服務供應商提供相關且適用的 IT 安全性標準。

Google 瞭解您希望 Google 的安全性、隱私權和法規遵循控管機制皆通過獨立驗證。因此 Google 定期接受多個獨立第三方機構的稽核,確保我們提供的服務符合要求。在合約期間,Google 承諾會遵守下列重要國際標準:

認證與稽核報告

38.

82. 在相關情況下 (例如雲端或其他 ICT 外包的情況),機構與付款機構應定義外包協議中的資料和系統安全性規定,並持續監控法規遵循需求。

雲端服務的安全性由兩個重要元素組成:

Google 基礎架構的安全性

Google 負責管理基礎架構的安全性。就是支援「服務」的硬體、軟體、網路和設施的安全性。

由於 Google 服務具有一對多性質,因此能為所有客戶提供同樣強大的安全性。

Google 為客戶提供了安全性做法詳細資訊,讓客戶能瞭解其內容,並將其納入風險分析。

詳情請參閱:

  • 我們的基礎架構安全性頁面
  • 我們的安全性白皮書
  • 我們的基礎架構安全性設計總覽頁面
  • 我們的安全性資源頁面

此外,您也可以查看 Google 的 SOC 2 報告。請參閱第 37 列

雲端中的資料和應用程式安全性

您可以定義雲端上的資料與應用程式的安全性。這是指使用「服務」時,您選擇實施和運作的安全措施

(a) 預設安全性

雖然我們希望在您的資料上為您提供最多的選擇,但 Google 相當重視資料的安全性,我們會採取下列主動措施來協助您:

(b) 安全性產品

除了 Google 以外的其他工具和做法之外,您也可以選擇使用 Google 提供的工具強化及監控資料的安全性。進一步瞭解 Google 安全性產品

例如:

  • Cloud Identity and Access Management 可控管 Google Cloud Platform 資源的存取權和角色,藉此防止未經授權的存取。
  • Cloud Security Scanner 會自動掃描 App Engine、Compute Engine 和 Google Kubernetes Engine 應用程式,檢查是否有常見的安全漏洞。
  • Event Threat Detection 會自動掃描各種類型的記錄檔,檢查在您的 Google Cloud Platform 環境中是否有可疑活動。
  • Cloud Security Command Center 與安全性狀態分析可讓您檢視及監控 Google Cloud Platform 資源,以及 VM 執行個體、映像檔和作業系統等資源的變更。
  • Forseti 是一項開放原始碼工具組,可讓您的安全性團隊高枕無憂,因為他們透過我們的服務取得了適當的安全控管機制。Forseti 包含下列安全性工具:
    • Inventory::提供現有 GCP 資源的瀏覽權限
    • Scanner:驗證所有 GCP 資源的存取權控管政策
    • Enforcer:移除不必要的 GCP 資源存取權
    • Explain:分析能存取 GCP 資源的人員
    進一步瞭解開放原始碼安全性工具
  • 受防護的 VM 可針對完整堆疊的變更進行即時評估、監控和快訊。

(c) 安全性資源

Google 也會發布以下指南:

資料安全性;安全性措施 (資料處理和安全性條款)

39.

83. 在外包給雲端服務供應商和其他涉及處理或轉移個人或機密資料的外包安排情況下,機構和支付機構應針對資料儲存和處理的位置 (例如國家或地區) 採取風險基礎做法並考量資訊安全性。

此為客戶考量事項。如要進一步瞭解資料位置,請參閱第 9 列

40.

84. 在不影響法規 (EU) 2016/679 的要求的前提下,機構與支付機構在外包 (尤其是外包至第三方國家/地區時) 時應考量資料保護規定在不同國家之間的差異。機構和付款機構應確認外包協議包含服務供應商保護機密資訊、個人或其他機密資訊的義務,並遵守所有適用於該機構資料的保護法規或付款機構 (例如個人資料保護措施,以及受客戶相關資訊保護的金融機密法律或法規)。

「服務」的安全性是資料保護的基礎。相關資訊請參閱資料處理與安全性條款。如要進一步瞭解安全性,請參閱第 37 和 38 列

詳情請參閱我們的 GDPR 資源中心

機密性;資料安全性 (資料處理與安全性條款)

41. 13.3 存取權、資訊與稽核權
42.

85. 機構和支付機構應確保在書面外包協議中載明,內部稽核部門可使用風險基礎做法來審查外包的功能。

Google 瞭解,使用「服務」時,不應損害機構 (或其主管機關) 監控並監督自身遵循適用法律和法規及機構內部政策的能力。我們將提供機構審查我們的「服務」所需的協助。

實現客戶法規遵循

43.

86. 無論外包功能的關鍵性或重要性為何,機構與服務供應商之間的書面外包協議均應參照指令 2014/59/EU 第 63(1)(a) 條中關於主管機關和清償機構的資訊收集和調查權,及 2013/36/EU 第 65(3) 條中關於位於會員國之服務供應商的相關規定,並應確保位於第三方國家/地區的服務供應商亦具備這些權利。

Google 確認相關歐盟指令下的資訊收集和調查權。

實現客戶法規遵循

44.

87. 關於關鍵或重要功能的外包,機構和支付機構應在書面外包協議中確保服務供應商授予他們及其主管機關,包括清償機構,以及由他們或主管機關指派的任何其他人員以下權限:

Google 會授予機構、相關主管機關 (包括清償主管機關) 和其指派人稽核權、存取權和資訊權。

主管機關資訊、稽核與存取權;客戶資訊、稽核與存取權

45.

a 所有相關業務據點 (例如總公司和營運中心) 的完整存取權,包括提供外包功能的相關裝置、系統、網路、資訊和資料,包括相關財務資料資訊、人員和服務供應商的外部稽核人員 (「存取權和資訊權」);及

請參閱第 44 列

請參閱第 44 列

46.

b. 不限制與外包安排 (「稽核權利」) 相關的檢測與稽核權,使其得以監控外包安排,並確保遵循所有適用法規與合約規定。

請參閱第 44 列

請參閱第 44 列

47.

88. 對於非關鍵或非重要功能的外包,機構和支付機構應基於風險基礎做法,考量外包功能的特質、相關運作和信譽風險、擴充性,以及活動持續期間和合約期間的潛在影響,確保第 87 (a) 和 (b) 項和第 13.3 節中所述之存取權和稽核權。機構和支付機構應考量的是,功能可能會隨著時間而成為關鍵或重要功能。

Google 瞭解「服務」的使用行為可能隨著時間而擴大。無論機構在合作開始時要如何選擇使用「服務」,Google 都會向機構和主管機關提供稽核、存取和資訊權。

實現客戶法規遵循

48.

89. 機構和付款機構應確保外包協議或任何其他合約的安排不會妨礙或限制他們、主管機關或他們所指派的第三方人員有效行使存取權和稽核權。

合約中任何一方都不得限製或限制機構或授權機構有效監控各項服務的能力。請特別注意,雖然我們會提供許多資訊與工具來協助機構審查我們的「服務」,但我們的合約並未包含預先定義的前提,機構或主管部門可以直接向 Google 要求行使其稽核權、存取權和資訊權。換句話說,沒有制度會妨礙您評估我們的「服務」。

實現客戶法規遵循

49.

90. 機構和付款機構應行使自己的存取權和稽核權、以風險基礎做法決定稽核頻率和區域,並遵循相關且廣泛接受的全國和國際稽核標準。

機構最適合決定其所屬機構組織的稽核頻率和範圍。我們的合約不會限制機構的稽核次數或預先定義範圍。

客戶資訊、稽核與存取權

50. 91.在不影響外包安排、機構和付款機構的最終責任情況下,機構與支付機構可使用:
51.

a. 與同一服務供應商的其他客戶聯合稽核,並由他們和這些客戶或由他們指派的第三方進行聯合稽核,以更有效地使用稽核資源並減輕客戶和服務供應商的組織負擔;

Google 瞭解聯合稽核的優點。我們會很樂意與機構討論。

52.

b. 由第三方服務供應商提供的第三方認證和第三方稽核報告

請參閱第 37 列

請參閱第 37 列

53.

92. 如為關鍵或重要功能,則機構和付款組織應評估第 91(b) 項提及的第三方認證和報表是否足夠,以確保其遵守法規遵循義務。而且不應過於依賴這些報表。

此為客戶考量事項。

54. 93. 機構和支付機構僅有在符合以下第 91(b) 項的內容說明時方可運用:
55.

a. 對外包功能的稽核計畫感到滿意:

請參閱第 37 列

Google 的每個稽核架構每年均至少會接受一次稽核。Google 會在每次稽核之前執行規劃、範圍界定和準備活動。

認證與稽核報告

56.

b. 請確認認證或稽核報告涵蓋哪些單位 (例如程序、應用程式、基礎架構、資料中心等) 以及機構或支付機構所識別的重要控制措施,並遵守相關法律規定;

請參閱第 37 列

Google 的稽核範圍涵蓋範圍、服務系統、政策和程序、常見流程和人員。Google 已通過安全性與隱私權管理方面的稽核,範圍涵蓋稽核範圍的相關認證和稽核報告。

認證與稽核報告

57.

c. 持續評估認證或稽核報告的內容,並確認報告或認證並未過時;

請參閱第 37 列

您可以隨時查看 Google 目前的認證與稽核報告

  • 進一步瞭解 Google 的 ISO 認證
  • 您可以透過 Google Cloud 帳戶代表取得 Google 的 SOC 報告PCI 法規遵循認證 (AOC)

認證與稽核報告

58.

d. 確保認證或稽核報告版本中包含主要系統和控制項;

請參閱第 37 列

在稽核工作開始之前,我們會對週期性的關鍵系統和控制項以及新的系統和控制項進行審查,這是 Google 日常的規劃、範圍界定與準備活動中的一部分。

認證與稽核報告

59.

例如:對認證或稽核方的滿意度 (例如認證或稽核公司的輪替、資格、專業知識、重新執行/驗證稽核檔案中的證據);

請參閱第 37 列

Google 每個稽核的架構都由認證及獨立的第三方稽核員進行。如需認證或稽核方的相關資訊,請參閱相關的認證或稽核報告。

認證與稽核報告

60.

f. 確信已根據廣泛認可的相關專業標準獲得認證並進行稽核,並且對現有關鍵控制項的作業效率進行了測試;

請參閱第 37 列

稽核作業包括測試關鍵控制項機制的實際作業效率。

認證與稽核報告

61.

g. 根據合約有權要求將認證或稽核報告的範圍擴展至其他相關的系統和控制項;對於這類範圍修改作業的要求,其次數和頻率應正常且合理,符合風險管理的判斷;且

為確保「服務」工具的有效性,如果關鍵系統或控制項不在 Google 的認證或稽核報告中,機構可以要求擴展範圍。

認證與稽核報告

62.

h. 在外包關鍵或重要功能上,保留自行決定執行個別稽核的合約權利

機構一律保留執行稽核的權利。合約並未包含預先定義的步驟,機構可以直接向 Google 要求行使其稽核權、存取權和資訊權。換句話說,評估我們「服務」的選擇之間沒有先後之分。

客戶資訊、稽核與存取權

63.

94. 根據 SRTP 對 ICE 風險評估的 EBA 規定,機構應確保相關人員能夠進行安全滲透測試,以評估實作網路和內部 ICT 的效能安全性措施和程序。考量到標題 I 時,支付機構應擁有內部 ICT 控制機制,包括 ICT 安全性控管機制和緩解措施。

無須經 Google 事前核准,您隨時可以執行「服務」的滲透測試。

客戶滲透測試

64.

95. 機構、支付機構、主管機關和代表機構、支付機構、主管機關的稽核員或第三方,在規劃現場訪問之前,均必須向服務供應商提供合理的通知,除非是發生緊急或危機狀況,否則稽核作業無法生效。

合理的通知可讓 Google 有效執行稽核作業。例如,我們致力讓 Google 專家隨時準備就緒,讓您能充分利用時間。通知也可讓 Google 規劃稽核,避免對您的環境或任何其他 Google 客戶產生不必要的風險。Google 瞭解在某些情況下可能無法事先通知。在這種情況下,我們會與稽核單位合作,以滿足他們的需求。

安排

65.

96. 在多重用戶端環境中執行稽核時,應多加留意,避免或減輕對其他用戶端環境 (例如對服務層級的影響、資料可用性、機密性)。

Google 與一家客戶之間的合作,絕不應使其他客戶面臨風險,這對於我們來說極為重要。這原則在您執行稽核時適用。在任何客戶執行稽核作業時,上述原則也仍然適用。

機構在進行審查時,我們會與對方合作,儘可能降低對其他客戶服務中斷的情況。同樣地,我們在與其他稽核客戶合作時,也會盡可能降低機構所受到的干擾。我們會特別謹慎,以確實遵守 Google 的安全性承諾。

安排

66.

97. 如果外包安排具有高層級的技術複雜度,以雲端外包為例,機構或付款機構應確認執行稽核的人員 (無論是內部稽核人員、稽核員團隊或外部稽核人員代表) 具有適當的相關技能和知識,可有效地執行相關稽核和/或評估。相同原則亦適用於機構或支付機構的員工審查第三方認證或由第三方進行的稽核。

此為客戶考量事項。

67. 13.4 終止權利
68.

98. 外包安排應明確允許機構或支付機構根據適用法律終止協議,當中包含下列情況:

為求方便,機構可以選擇終止我們的合約,包括需配合法律規定、依主管機關指示,或在第 13.4 節中列出的任何情況下。

權宜終止。

69.

a. 外包功能的供應商違反適用法律、法規或合約規定;

請參閱第 68 列

請參閱第 68 列

70.

b. 發現會改變外包功能之效能的障礙;

請參閱第 68 列

請參閱第 68 列

71.

c. 發生影響外包安排或服務供應商的重大變更 (例如轉包或承包商的任何異動);

請參閱第 68 列

請參閱第 68 列

72.

d. 機密性、個人或其他機密資料或資訊的管理和安全性存有缺陷;及

請參閱第 68 列

請參閱第 68 列

73.

e. 由機構或付款機構的主管機關給予指示的情況下,例如主管機關原是來自於外包安排,現已無法再有效地監督該機構或支付機構。

請參閱第 68 列

請參閱第 68 列

74. 99. 外包安排應可協助將外包的功能轉移至其他服務供應商,或將其重新納入機構或支付機構。為達到這個目標,書面外包安排應:
75.

a 在將外包功能轉移至其他服務供應商或轉移回機構或支付機構時,應明確規定現有服務供應商的義務,包括資料處理;

在合約有效期間,Google 可讓您存取和匯出資料。您可以使用多種業界標準格式從「服務」匯出資料。例如:

  • Google Kubernetes Engine 是隨時可投入實際工作環境的代管環境,提供不同雲端及內部部署環境的工作負載可攜性。
  • Migrate for Anthos 可讓您直接將工作負載遷移並轉換至 Google Kubernetes Engine 中的容器。
  • 您可以使用 .tar 封存檔案格式匯出/匯入整個 VM 映像檔。進一步瞭解映像檔儲存空間選項

資料匯出 (資料處理和安全性條款)

76.

b. 設定適當的轉換期間,使服務供應商在外包安排終止期間,持續提供外包的功能以降低服務中斷的風險;及

Google 瞭解機構必須能夠在不中斷業務的情況下順利結束我們的「服務」,同時不會違反其本身的法規遵循要求,亦不會因此損害其服務的持續性和品質而導致其客戶受到影響。為了協助機構達成這個目標,Google 會應要求在合約到期或終止後的 12 個月內繼續提供「服務」。

轉換期間

77.

c. 在外包協議終止的情況下,服務提供商有義務支援機構或支付機構順利轉移功能。

我們的「服務」可讓您獨立轉移資料。您不需要 Google 許可即可執行這項操作。請參閱第 75 列。不過,若機構希望能獲得支援,Google 會應要求提供諮詢和實作服務,以協助遷移工作負載或轉換「服務」的使用。

轉換協助