Zuordnung

FFIEC-Risikomanagement für das Outsourcing von Technologiediensten

Google Cloud Platform-Zuordnung

Dieses Dokument soll Finanzinstituten („Einrichtungen“) im Rahmen des Mandats des Federal Financial Institutions Examination Council (FFIEC) helfen, das Outsourcing Technology Services Booklet (das „FFIEC Outsourcing Booklet“) im Kontext der Google Cloud Platform („GCP“) und dem Google Cloud Financial Service-Vertrags zu berücksichtigen.

Wir konzentrieren uns auf die Bereiche „Due Diligence“ und „Contract Issues“ des FFIEC Outsourcing Booklet. Zu jedem Absatz dieser Abschnitte finden Sie einen Kommentar, der Ihnen dabei helfen soll, zu verstehen, wie Sie das FFIEC Outsourcing Booklet mit den Google Cloud-Diensten und dem Google Cloud Financial Service-Vertrag umsetzen können.

# Referenz Google Cloud-Kommentare Vertragsreferenz für Google Cloud Financial Services
1. Due Diligence
2 Ein Finanzinstitut sollte sowohl die Antwort des Dienstleisters auf eine Ausschreibung als auch den Dienstleister selbst einer Due Diligence unterziehen. Die Due-Diligence-Prüfung sollte als Verifizierungs- und Analyseinstrument dienen, um sicherzustellen, dass der Dienstleister die Anforderungen des Instituts erfüllt. Dabei sollten die folgenden Informationen zum Dienstanbieter bestätigt und geprüft werden: Google erkennt an, dass Sie eine Due-Diligence-Prüfung anstrengen und eine Risikobewertung vornehmen müssen, bevor Sie sich für die Nutzung unserer Dienste entscheiden. In den nachfolgenden Zeilen finden Sie Informationen zu den einzelnen Bereichen, die Sie berücksichtigen sollten.
3
  • Existenz- und Firmengeschichte;
Informationen über die Unternehmensgeschichte von Google Cloud finden Sie auf der Investor Relations-Seite von Alphabet.
4
  • Qualifikationen, Hintergründe und Ruf der Firmenchefs, ggf. einschließlich Überprüfung des strafrechtlichen Hintergrunds;

Firmenchefs

Informationen zum Leadership-Team von Google Cloud finden Sie auf unserer Seite Medienressourcen.

Hintergrundprüfungen

Google führt Hintergrundprüfungen zu unseren Mitarbeitern durch, soweit dies gesetzlich zulässig ist, damit unsere Kunden und Mitarbeiter eine sichere Umgebung erhalten.

5
  • Andere Unternehmen, die ähnliche Dienstleistungen von dem Anbieter in Anspruch nehmen, die möglicherweise kontaktiert werden;
Informationen zu unseren relevanten Kunden (auch aus der Finanzdienstleistungsbranche) finden Sie auf der Seite Google Cloud-Kunden.
6
  • Finanzstatus, einschließlich geprüfter Finanzberichte;
Sie können den Finanzstatus und die geprüften Jahresabschlüsse von Google auf der Investor Relations-Seite von Alphabet einsehen.
7
  • Strategie und Ruf;
Strategie

Informationen zu den Strategien von Google Cloud finden Sie auf der Seite Investor Relations-Seite von Alphabet.

Ruf

Google Cloud wurde in mehreren Berichten von externen Analysten als führender Anbieter eingestuft. Diese finden Sie auf der Seite Analystenberichte.

8
  • Servicebereitstellungsfunktion, Status und Effektivität;
Informationen zur Servicebereitstellungsfunktion und zur Effektivität von Google Cloud finden Sie auf der Seite Google Cloud nutzen. Darüber hinaus können Sie auf unserer Seite mit den Analystenberichten Berichte von Drittanbietern einsehen.
9
  • Technologie- und Systemarchitektur;

Informationen zur Technologie und Systemarchitektur von Google Cloud finden Sie auf der Seite Google Cloud nutzen.

10
  • Interne Steuerungsumgebung, Sicherheitsverlauf und Audit-Abdeckung;

Google erkennt an, dass Institutionen unsere internen Kontrollen im Rahmen ihrer Risikobewertung prüfen müssen. Deshalb unterzieht sich Google mindestens einmal jährlich einer unabhängigen Prüfung, um unsere Abläufe und internen Kontrollen unabhängig zu verifizieren. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen folgende wichtige internationale Standards einzuhalten:

11
  • Rechtliche und regulatorische Compliance, einschließlich Beschwerden, Rechtsstreitigkeiten oder behördlichen Maßnahmen;
Informationen über wesentliche anhängige Rechtsverfahren finden Sie in unseren Geschäftsberichten auf der Investor Relations-Seite von Alphabet.
12
  • Zuverlässigkeit und Erfolg mit Drittanbietern;
Siehe Zeile 41 zur Vergabe von Nebenverträgen.
13
  • Versicherungen; und
Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken.
14
  • Fähigkeit, die Anforderungen an die Notfallwiederherstellung und Geschäftskontinuität zu erfüllen.
Siehe Zeile 40 zu Wiederaufnahme des Betriebs und Notfallplänen.
15 Weitere wichtige Elemente sind Informationen über immaterielle Faktoren, wie z. B. die Servicephilosophien, Qualitätsinitiativen und der Managementstil des Drittanbieters. Die Kultur, Werte und Geschäftsstile sollten zu denen des Finanzinstituts passen. Informationen zu unseren Zielen, unserer Philosophie und unserer Kultur finden Sie auf der Seite Alphabet: Investor Relations. Außerdem finden Sie dort Informationen zu unseren Organisationsrichtlinien, z. B. unseren Verhaltenskodex.
16 Wenn ein im Ausland ansässiger Dienstanbieter in Betracht gezogen wird, sollte die Bewertung die Beziehung unter Berücksichtigung der oben genannten Punkte sowie der in Anhang C, Im Ausland ansässige Drittanbieter, besprochenen Informationen beurteilen. Weitere Informationen finden Sie in Zeile 50.
17 Finanzinstitute können eine Due-Diligence-Prüfung bei einem oder mehreren Dienstanbietern durchführen, die auf die Ausschreibung antworten. Die Tiefe und Formalität der durchgeführten Due-Diligence-Prüfung kann je nach dem Risiko der ausgelagerten Beziehung, der Vertrautheit des Instituts mit den potenziellen Dienstanbietern und dem Stadium des Anbieterauswahlprozesses variieren. Nachdem die Institutionen Ausschreibungen durchgeführt, Antworten erhalten und ausgewertet und eine Due Diligence durchgeführt haben, treten sie in Vertragsverhandlungen mit einem oder mehreren Dienstanbietern ein, von denen sie festgestellt haben, dass sie ihre Anforderungen am besten erfüllen können. Dies unterliegt der Entscheidung des Kunden.
18. Vertragsaspekte
19

Nachdem Sie einen Dienstanbieter gewählt haben, sollte die Verwaltung einen Vertrag aushandeln, der die entsprechenden Anforderungen erfüllt. Die Angebotsanfrage und die Antwort des Dienstanbieters können als Eingaben für diesen Prozess dienen. Der Vertrag ist das rechtsverbindliche Dokument, das alle Aspekte der Servicebeziehung definiert. Bei allen Servicebeziehungen muss ein schriftlicher Vertrag vorhanden sein. Das gilt auch, wenn der Dienstanbieter mit der Einrichtung verbunden ist. Bei Verträgen mit einem verbundenen Unternehmen muss die Einrichtung dafür sorgen, dass Kosten und Qualität der erbrachten Dienstleistungen denen eines nicht verbundenen Anbieters entsprechen. Der Vertrag ist das wichtigste Steuerelement im Outsourcingprozess. Aufgrund der Bedeutung des Vertrags sollte das Management:

  • Die Richtigkeit der Beschreibung der Outsourcing-Beziehung im Vertrag überprüfen;
  • Sicherstellen, dass der Vertrag klar formuliert ist und die erforderlichen Details enthält, um die Rechte und Pflichten jeder Partei vollständig zu definieren; und
  • Sich frühzeitig an einen Rechtsberater wenden, um den vorgeschlagenen Vertrag vorzubereiten und zu prüfen.
Der Vertrag über Google Cloud Financial Services definiert die Aspekte der Servicebeziehung.
20. Beispiele für Vertragselemente, die in Betracht gezogen werden sollten, sind:
21 Umfang des Dienstes. Die Rechte und Pflichten der Parteien müssen im Vertrag genau beschrieben werden. Folgendes sollte dabei berücksichtigt werden: Die Rechte und Pflichten der Parteien sind im Vertrag über Google Cloud Financial Services dargelegt.
22
  • Beschreibungen der erforderlichen Aktivitäten, Zeitrahmen für deren Umsetzung und Zuweisung von Verantwortlichkeiten. Die Implementierungsbestimmungen sollten andere bestehende Systeme oder miteinander verbundene Systeme berücksichtigen, die von verschiedenen Dienstanbietern entwickelt werden sollen (z. B. ein Internet-Banking-System, das in bestehende Kernanwendungen integriert wird, oder eine Systemanpassung);

Aktivitäten

Die GCP-Dienste werden auf der Seite Zusammenfassung der Dienste beschrieben.

Integration

Es gibt verschiedene Möglichkeiten, unsere Dienste in Ihre Systeme zu integrieren.

  • Mit der Cloud Console können Sie Ihre Google Cloud-Ressourcen zentral finden und deren Status prüfen. Dies gilt auch für virtuelle Maschinen, Netzwerkeinstellungen und Datenspeicher.
  • Mit Cloud APIs können Sie über Ihren Code auf Google Cloud-Produkte zugreifen und Ihre Workflows unter Einsatz Ihrer bevorzugten Programmiersprache automatisieren.
Definitionen
23
  • Verpflichtungen und Dienstleistungen des Dienstanbieters, z. B. Softwaresupport und -wartung, Schulung von Mitarbeitern oder Kundenservice;

Google stellt die auf unserer Seite zur Dienstübersicht die beschriebenen Dienste gemäß den Service Level Agreements (SLAs) der Google Cloud Platform bereit.

Eine Beschreibung der Supportdienste finden Sie auf der Seite mit den Richtlinien für technische Supportdienste.

Google stellt eine Dokumentation zur Verfügung, in der erläutert wird, wie Institutionen und deren Mitarbeiter unsere Dienste nutzen können. Falls eine Einrichtung an einer Training interessiert ist, bietet Google auch eine Vielzahl an Kursen und Zertifizierungen an.

Dienste

Technischer Support

24
  • Pflichten des Finanzinstituts;
  • Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.
25
  • Die Rechte der Vertragsparteien bei der Änderung bestehender, unter dem Vertrag erbrachter Leistungen; und

Google aktualisiert die Dienste kontinuierlich, damit unsere Kunden die neueste Technologie nutzen können. Angesichts der 1:n-Natur unseres Dienstes gelten Aktualisierungen für alle Kunden gleichzeitig.

Google nimmt nie Aktualisierungen vor, die die Funktionalität, Leistung, Verfügbarkeit oder Sicherheit der Dienste wesentlich beeinträchtigen.

Wenn Google einen Dienst einstellen muss, ohne ihn zu ersetzen, werden Sie mindestens 12 Monate im Voraus benachrichtigt. Google wird während dieses Zeitraums weiterhin Support sowie Produkt- und Sicherheitsupdates bereitstellen.

Änderungen an Diensten
26
  • Richtlinien zum Hinzufügen neuer oder anderer Dienstleistungen und zur Neuverhandlung von Verträgen.

Neue Dienste

Google führt kontinuierlich neue Dienste ein, um Kunden die neuesten Features und Funktionen bieten zu können. Neue Dienste werden der Seite der Dienstübersicht hinzugefügt, sobald sie verfügbar sind. Außerdem können Kunden entscheiden, ob sie die Dienste gemäß ihrem existierenden Vertrag verwenden möchten.

Erneute Vertragsverhandlung

Wenn sich Dienste und Technologien ändern, kann Google bestimmte Nutzungsbedingungen unter URLs aktualisieren, die für alle unsere Kunden gelten. Alle Aktualisierungen müssen strenge Kriterien erfüllen. Sie dürfen beispielsweise nicht zu einer wesentlichen Beeinträchtigung der Sicherheit der Dienste insgesamt führen und die vorhandenen Rechte nicht erheblich beeinträchtigen. Abgesehen von diesen eingeschränkten Aktualisierungen müssen Vertragsänderungen schriftlich erfolgen und von beiden Parteien unterzeichnet werden.

Aktualisierungen von Diensten und Nutzungsbedingungen

Änderungen an den Nutzungsbedingungen; Zusätze

27 Leistungsstandards. Die Einrichtungen sollten Leistungsstandards festlegen, in denen Mindestanforderungen an das Servicelevel und Abhilfemaßnahmen definiert werden, wenn die Standards des Vertrags nicht eingehalten werden. Gängige Servicelevel-Messwerte sind z. B. die prozentuale Systemverfügbarkeit, Fristen für die Batchverarbeitung oder die Anzahl der Verarbeitungsfehler. Branchenstandards für Servicelevels können als Referenz dienen. Die Einrichtung sollte regelmäßig die allgemeinen Leistungsstandards überprüfen, um ihre Konsistenz mit den Zielen sicherzustellen. Weitere Informationen finden Sie im Abschnitt zu Service Level Agreements (SLAs) in dieser Broschüre. Die SLAs bieten messbare Leistungsstandards und Abhilfemaßnahmen für die Dienste und sind auf unserer Seite Google Cloud Platform Service Level Agreements verfügbar. Dienste
28 Sicherheit und Vertraulichkeit. Der Vertrag sollte die Verantwortung des Dienstleisters für Sicherheit und Vertraulichkeit der Ressourcen der Einrichtung (z.B. Informationen, Hardware) ansprechen. Die Vereinbarung sollte es dem Dienstleister und seinen Vertretern verbieten, die Informationen der Einrichtung zu verwenden oder offenzulegen, es sei denn, dies ist zur Bereitstellung oder zur vertragsgemäßen Erbringung der Dienste notwendig und vor nicht autorisierter Nutzung schützen (z. B. vor der Offenlegung von Informationen an die Konkurrenz). Wenn der Dienstanbieter nicht öffentliche, personenbezogene Daten zu den Kunden der Einrichtung erhält, sollte die Einrichtung prüfen, ob der Dienstanbieter alle relevanten Anforderungen der Datenschutzbestimmungen erfüllt. Einrichtungen sollten den Dienstanbieter auffordern, Sicherheitslücken vollständig offenzulegen, die zu unerlaubten Eingriffen in den Dienstanbieter führen, die sich erheblich auf die Einrichtung oder deren Kunden auswirken können. Der Dienstleister sollte Sicherheitsbrüche der Einrichtung mitteilen, klarlegen, welche Auswirkungen dies auf die Einrichtung hat, und auf Basis der Abmachung zwischen den Parteien Korrekturmaßnahmen ergreifen, um auf den Sicherheitsbruch zu reagieren. Sicherheit

Die Sicherheit und der Datenschutz bei der Verwendung eines Cloud-Dienstes bestehen aus zwei Hauptelementen:

Infrastruktur von Google

Google kümmert sich um die Sicherheit unserer Infrastruktur. Dies ist die Sicherheit der Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen.

Aufgrund der n:1-Beziehung unseres Dienstes bietet Google allen Kunden dieselbe robuste Sicherheitsleistung.

Google stellt Kunden detaillierte Informationen zu Sicherheitsmaßnahmen zur Verfügung, damit sie diese nachvollziehen und in ihre eigene Risikoanalyse einfließen lassen können.

Weitere Informationen finden Sie hier:

Ihre Daten und Anwendungen in der Cloud

Sie legen die Sicherheit Ihrer Daten und Anwendungen in der Cloud fest. Dies bezieht sich auf die Sicherheitsmaßnahmen, die Sie bei der Nutzung der Dienste implementieren und betreiben.

(a) Standardmäßige Sicherheit

Obwohl wir Ihnen so viel Auswahl wie möglich bieten möchten, wenn es um Ihre Daten geht, ist die Sicherheit Ihrer Daten für Google von größter Bedeutung, und wir ergreifen die folgenden proaktiven Schritte, um Sie zu unterstützen:

  • Verschlüsselung inaktiver Daten: Google Cloud verschlüsselt inaktive Kundendaten standardmäßig, ohne dass ein Eingreifen Ihrerseits erforderlich ist. Weitere Informationen finden Sie unter https://cloud.google.com/security/encryption/default-encryption.
  • Verschlüsselung während der Übertragung. Google verschlüsselt und authentifiziert alle Daten auf einer oder mehreren Netzwerkebenen, wenn Daten außerhalb der physischen Grenzen übertragen werden, die von Google oder im Auftrag von Google kontrolliert werden. Weitere Informationen finden Sie unter https://cloud.google.com/security/encryption-in-transit.

(b) Sicherheitsprodukte

Zusätzlich zu den anderen Tools und Praktiken, die Ihnen außerhalb von Google zur Verfügung stehen, können Sie auch Tools von Google verwenden, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Informationen zu den Sicherheitsprodukten von Google finden Sie auf der Seite zu Cloud-Sicherheitsprodukten.

(c) Sicherheitsressourcen

Google veröffentlicht außerdem Richtlinien zu:

Verwndung Ihrer Daten

Google verpflichtet sich, Ihre Daten nur für die Bereitstellung der von Ihnen bestellten Dienste abzurufen oder zu verwenden und wird sie nicht für andere Google-Produkte, -Dienste oder Werbezwecke nutzen.

Datenschutz und nicht öffentliche personenbezogene Daten

Google befolgt die anwendbaren Datenschutzgesetze und -bestimmungen bei der Bereitstellung der Dienste.

Sicherheitsverstöße

Sie werden von Google unverzüglich und ohne unangemessene Verzögerung über Datenvorfälle benachrichtigt. Weitere Informationen zum Umgang mit Datenvorfällen durch Google finden Sie in unserem Whitepaper zur Reaktion auf Datenvorfälle.

Datensicherheit; Sicherheitsmaßnahmen ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

Schutz von Kundendaten

Datenverarbeitung, Rollen und Compliance-Richtlinien ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

Datenvorfälle ( Begriffe der Datenverarbeitung und Sicherheit)

29. Kontrollen. Das Management sollte die Implementierung von Vertragsbestimmungen in Betracht ziehen, die folgende Kontrollen betreffen:
30
  • Interne Kontrollen des Dienstanbieters;

Google unterzieht sich mindestens einmal im Jahr mehreren unabhängigen Prüfungen durch Dritte, um die Effektivität der internen Kontrollen unabhängig zu überprüfen. Um Ihnen während unserer Geschäftsbeziehung einen Einblick in die Effektivität unserer internen Kontrollen zu geben, verpflichtet sich Google, während der Laufzeit unseres Vertrags mit Ihnen Zertifizierungen/Berichte für die folgenden wichtigen internationalen Standards zu erstellen:

Zertifizierungen und Auditberichte
31
  • Einhaltung gesetzlicher Vorschriften;
Google befolgt alle anwendbaren Gesetze und Bestimmungen bei der Bereitstellung der Dienste. Erklärungen und Gewährleistung
32
  • Wartungsanforderungen für den Dienstanbieter erfassen;
Google gewährt Einrichtungen und deren Beauftragten Zugriffs- und Informationsrechte. Kundendaten, Prüfungen und Zugriff
33
  • Zugang zu den Aufzeichnungen durch die Einrichtung;
Weitere Informationen finden Sie in Zeile 32
34
  • Benachrichtigungsanforderungen und Genehmigungsrechte für alle wesentlichen Änderungen an Dienstleistungen, Systemen, Steuerungen, Schlüsselpersonal des Projekts und Dienststandorten;

Services

In Zeile 25 finden Sie Informationen zu Änderungen an den Diensten.

Mitarbeiter

Kunden können die Dienste auch ohne Hilfe der Mitarbeiter von Google selbst nutzen. Obwohl Die Mitarbeiter von Google die Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen, verwalten und warten, gibt es aufgrund der Tatsache, dass es sich um 1:n-Dienste handelt, keine Mitarbeiter von Google, die sich speziell um die Bereitstellung der Dienste an Einzelpersonen kümmern.

Orte

Um Ihnen einen schnellen, zuverlässigen, robusten und widerstandsfähigen Dienst zur Verfügung zu stellen, kann Google Ihre Daten dort speichern und verarbeiten, wo Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten.

Google bietet unabhängig von dem Land / der Region, in dem sich das Unternehmen befindet, dieselben vertraglichen Zusicherungen sowie technische und organisatorische Maßnahmen für Ihre Daten. Beispiele:

  • Unabhängig vom Land/der Region gelten für alle Einrichtungen von Google die gleichen strengen Sicherheitsmaßnahmen.
  • Google gibt für alle Unterauftragsverarbeiter die gleichen Zusicherungen, unabhängig vom Land/Region.

Google bietet Ihnen die Wahl, wo Sie Ihre Daten speichern möchten – Sie können Ihre Daten auch in den USA speichern. Nachdem Sie den Speicherort für Ihre Daten ausgewählt haben, speichert Google diese nicht außerhalb der ausgewählten Regionen.

Sie können Tools von Google verwenden, um die Anforderungen an den Datenspeicherort zu erzwingen. Weitere Informationen finden Sie in unserem Whitepaper Datenstandort, operative Transparenz und Datenschutz in Google Cloud .

Datenübertragungen (Datenverarbeitungs- und Sicherheitsbestimmungen)

Datensicherheit, Unterauftragsverarbeiter (Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen)

Datenstandort (Dienstspezifische Nutzungsbedingungen)

35
  • Festlegen und Überwachen von Parametern für Finanzfunktionen, einschließlich Zahlungsabwicklung oder Kreditvergabe im Namen des Instituts∞ und
Aufgrund der Art der Dienste führt Google keine Zahlungsabwicklung (im Sinne des Booklets) oder Kreditvergabe im Auftrag des Instituts durch.
36
  • Versicherungsschutz durch den Dienstanbieter.
Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken. Versicherung
37 Audits. Die Einrichtung muss in den Vertrag aufnehmen, welche Arten von Prüfberichten sie erhalten will (z. B. Finanz-, interne Kontroll- und Sicherheitsüberprüfungen). Im Vertrag sollten die Audithäufigkeit, etwaige Gebühren für den Erhalt der Audits sowie die Rechte der Einrichtung und ihrer Aufsichtsstellen angegeben werden, um die Ergebnisse der Audits zeitnah zu erhalten. Der Vertrag kann auch die Rechte auf den Erhalt von Dokumentationen zur Behebung etwaiger Mängel und die Prüfung der Verarbeitungseinrichtungen und Betriebspraktiken des Dienstanbieters spezifizieren. Das Management sollte je nach Risikobewertungsphase überlegen, ob es sich auf interne Prüfungen verlassen kann oder ob externe Prüfungen und Bewertungen erforderlich sind.

Prüfberichte

Weitere Informationen zu den von Google bereitgestellten Prüfberichten finden Sie in Zeile 10. Google verpflichtet sich, diese Berichte während der gesamten Vertragslaufzeit mit Ihnen aufrechtzuerhalten. Die Berichte werden mindestens einmal pro Jahr nach einer Prüfung durch einen unabhängigen Dritten erstellt.

Sie können die aktuellen Zertifizierungen und Auditberichte von Google jederzeit prüfen.

  • Die ISO-Zertifizierungen von Google finden Sie hier.
  • Die SOC-Berichte und die PCI-Konformitätsbescheinigung (AOC) von Google sind über Ihren Google Cloud-Kundenbetreuer verfügbar.

Einrichtungen können diese Materialien an ihre Aufsichtsstellen weitergeben.

Prüfung

Wir sind uns bewusst, dass Einrichtungen unsere Dienste effektiv prüfen müssen. Google gewährt Einrichtungen und deren unabhängigen Prüfern Prüfungsrechte, einschließlich der Prüfung der Verarbeitungseinrichtungen und Betriebspraktiken von Google. Einrichtung wissen am besten, welche Audithäufigkeit für ihre Organisation ideal ist. Unser Vertrag beschränkt Einrichtungen nicht auf eine feste Anzahl an Prüfungen.

Zertifizierungen und Auditberichte;

Einhaltung der Richtlinien durch den Kunden

38 Bei Diensten mit Zugriff auf offene Netzwerke, z. B. bei Internetdiensten, sollte die Verwaltung besonders auf Sicherheit achten. Dabei sollte in Erwägung gezogen werden, Vertragsbedingungen einzubeziehen, die regelmäßige Prüfungen durch eine unabhängige Partei mit ausreichendem Fachwissen erfordern. Diese Prüfungen können Penetrationstests, Einbruchserkennung, Prüfung der Firewallkonfiguration und andere unabhängige Kontrollen umfassen. Einrichtungen sollten ausreichend detaillierte Berichte über die Ergebnisse dieser laufenden Audits erhalten, um die Sicherheit angemessen bewerten zu können, ohne die Sicherheit des Dienstanbieters zu gefährden. Sie können Penetrationstests der Dienste jederzeit ohne die vorherige Genehmigung durch Google anstrengen. Darüber hinaus beauftragt Google einen qualifizierten und unabhängigen Dritten mit Penetrationstests für die Dienste. Weitere Informationen Penetrationstests durch den Kunden
39 Berichte. Die Vertragsbedingungen sollten die Häufigkeit und Art der Berichte enthalten, die die Einrichtung erhält (z. B. Leistungsberichte, Prüfberichte, Finanzberichte, Sicherheitsberichte und Testberichte zur Wiederaufnahme der Geschäftstätigkeit). In den Verträgen sollten auch die Richtlinien und Gebühren für den Erhalt benutzerdefinierter Berichte beschrieben werden.

Leistungsberichte

Sie können die Leistung der Dienste (einschließlich der SLAs) von Google mithilfe der Funktionen der Dienste regelmäßig überwachen.

Beispiel:

  • Das Status-Dashboard enthält Statusinformationen zu den Diensten.
  • Google Cloud Operations ist eine integrierte Lösung für Monitoring, Logging und Diagnose, mit der Sie Informationen zu Anwendungen erhalten, die auf der GCP ausgeführt werden.
  • Access Transparency ist ein Feature, mit dem Sie Logs von Aktionen überprüfen können, die von Google-Mitarbeitern in Bezug auf Ihre Daten ausgeführt wurden. Logeinträge umfassen die betroffene Ressource, den Zeitpunkt der Aktion, den Grund für die Aktion (z. B. die mit der Supportanfrage verknüpfte Fallnummer) sowie Daten dazu, wer auf Daten reagiert (z. B. den Standort der Google-Mitarbeiter).

Finanzberichte

Google bietet Abrechnungstools, mit denen Kunden Berichte zur Nutzung der Dienste und zu den damit verbundenen Kosten abrufen können. Weitere Informationen finden Sie auf der Dokumentationsseite von Cloud Billing und auf der Seite Cloud Billing-Daten nach BigQuery exportieren.

Prüf- und Sicherheitsberichte

Weitere Informationen finden Sie in Zeile 10.

Testberichte für die Wiederaufnahme von Geschäftstätigkeiten

Weitere Informationen finden Sie in Zeile 40.

Wesentliche Entwicklungen

Google wird Ihnen Informationen über Entwicklungen zur Verfügung stellen, die sich wesentlich auf die Fähigkeit von Google auswirken, die Dienste gemäß den SLAs zu erbringen. Weitere Informationen finden Sie in unserem Vorfällen und im Google Cloud-Dashboard.

Laufende Leistungsüberwachung

Wesentliche Entwicklungen

40 Geschäftswiederaufnahme- und Notfallpläne. Der Vertrag sollte die Verantwortung des Dienstanbieters für Sicherungs- und Datensatzschutz, einschließlich Ausrüstung, Programm- und Datendateien sowie für die Pflege von Notfallwiederherstellungs- und Notfallplänen ansprechen. Verträge sollten die Verantwortung des Dienstanbieters detaillieren, diese Pläne regelmäßig zu testen und der Einrichtung die Ergebnisse zur Verfügung zu stellen. Bei der Ermittlung der Anforderungen für Tests für die Wiederaufnahme von Geschäftstätigkeiten sollten die Abhängigkeiten zwischen Dienstanbietern berücksichtigt werden. Der Dienstanbieter sollte der Einrichtung eine Kopie des Notfallplans zur Verfügung stellen, in der die erforderlichen Betriebsabläufe für den Fall von Geschäftsunterbrechungen beschrieben werden. Verträge sollten spezifische Bestimmungen für die zur Wiederaufnahme von Geschäftstätigkeiten nötige Zeit enthalten, die den Geschäftsanforderungen der Einrichtung entsprechen. Dabei ist darauf zu achten, dass der Vertrag keine Bestimmungen enthält, die den Dienstanbieter davon abhalten könnten, die Notfallpläne zu implementieren.

Google implementiert einen Notfallwiederherstellungs- und Notfallplan für seine Dienste und prüft und testet diesen mindestens jährlich, damit er den Branchenstandards entspricht. Einrichtungen können unseren Plan und die Testergebnisse prüfen.

Darüber hinaus finden Sie in unserem Leitfaden zur Planung der Notfallwiederherstellung Informationen dazu, wie Kunden unsere Dienste in ihrer eigenen Notfallwiederherstellungs- und Notfallgeschäftsplanung verwenden können.

Geschäftskontinuität und Notfallwiederherstellung
41 Vergabe an Unterauftragnehmer und Beziehungen zu mehreren Dienstanbietern. Einige Dienstanbieter beauftragen möglicherweise Dritte mit der Erbringung von Dienstleistungen für das Finanzinstitut. Institutionen sollten alle Unterauftragnehmer kennen und genehmigen. Für die Rechenschaftspflicht sollte das Finanzinstitut den primären vertraglichen Dienstanbieter im Vertrag nennen. Außerdem sollte im Vertrag angegeben sein, dass der primäre vertragliche Dienstanbieter für die im Vertrag aufgeführten Dienste verantwortlich ist. Dabei spielt es keine Rolle, welches Rechtssubjekt die Vorgänge durchführt. Außerdem sollte die Institution in Betracht ziehen, Benachrichtigungs- und Genehmigungsanforderungen für Änderungen an den wichtigsten Unterauftragnehmern des Dienstanbieters einzuschließen.

Google ist sich der Tatsache bewusst, dass Institutionen die mit der Vergabe von Nebenverträgen verbundenen Risiken berücksichtigen müssen. Außerdem wollen wir Ihnen und allen unseren Kunden den zuverlässigsten, robustesten und belastbarsten Dienst bieten. In einigen Fällen kann es klare Vorteile bringen, mit anderen vertrauenswürdigen Organisationen zusammenzuarbeiten, um z. B. einen 24/7-Support zu bieten.

Verantwortlichkeit

Die Subunternehmer von Google müssen dieselben hohen Standards erfüllen wie Google. Insbesondere verlangt Google von den Subunternehmern, dass sie unseren Vertrag mit Ihnen einhalten. Google bleibt für die Erfüllung aller Verpflichtungen des Subunternehmers verantwortlich.

Informationen und Änderungen

Damit Einrichtungen den Überblick über die Vergabe von Nebenverträgen behalten und Wahlmöglichkeiten bezüglich der von ihnen genutzten Dienste haben, wird Google:

  • Informationen über unsere Subunternehmer (einschließlich ihrer Funktion und ihres Standorts) bereitstellen.
  • im Voraus über Änderungen an unseren Subunternehmern informieren; und
  • Einrichtungen die Möglichkeit geben, zu kündigen, wenn sie Bedenken gegen einen neuen Subunternehmer haben.
Unterauftragnehmer von Google
42 Kosten: Der Vertrag sollte die Berechnung der Gebühren für Basisdienste einschließlich aller Entwicklungs-, Konvertierungs- und wiederkehrenden Dienste sowie aller Gebühren basierend auf dem Aktivitätsvolumen oder bei speziellen Anfragen vollständig beschreiben. In den Verträgen sollten auch die Verantwortung und die zusätzlichen Kosten für den Kauf und die Wartung von Hardware und Software berücksichtigt werden. Alle Bedingungen, unter denen die Kostenstruktur geändert werden kann, sollten ausführlich berücksichtigt werden, einschließlich Limits für Kostenerhöhungen. Weitere Informationen finden Sie auch in den Abschnitten zu Preismethoden und zur Bündelung in dieser Broschüre.

Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.

Audit

Google unterstützt Institutionen bei Prüfungen und Untersuchungen unserer Dienste. Da diese Unterstützung nicht in unseren üblichen, öffentlich aufgelisteten Servicegebühren enthalten ist, kann Google eine zusätzliche Gebühr im Zusammenhang mit einer Prüfung oder Untersuchung verlangen. Google wird im Vorfeld der Aktivität zusätzliche Details zu den Gebühren mitteilen, wenn der Umfang der Aktivität bekannt ist.

Zahlungsbedingungen
43 Eigentumsrechte und Lizenz. Im Vertrag sollten die Eigentümerschaft, die Rechte an und die zulässige Nutzung der Daten, der Ausrüstung/Hardware, der Systemdokumentation, der System- und Anwendungssoftware und anderer gewerblicher Schutzrechte der Institution geregelt sein. Die Eigentümerschaft an den Daten der Institution muss eindeutig bei der Institution liegen. Weitere gewerbliche Schutzrechte können der Name und das Logo der Institution, ihr Marken- oder urheberrechtlich geschütztes Material, Domainnamen, Websitedesigns und andere Arbeitsprodukte sein, die vom Dienstanbieter für die Institution entwickelt wurden. Weitere Informationen zur Entwicklung kundenspezifischer Software zur Unterstützung von ausgelagerten Diensten finden Sie im IT-Handbuch in der „Entwicklungs- und Akquisitionsbroschüre“.

Daten

Sie behalten alle gewerblichen Schutzrechte an Ihren Daten, an den Daten, die Sie über unsere Dienste aus Ihren Daten ableiten, und an Ihren Anwendungen. Weitere Informationen dazu, wie Google Ihre Daten verwendet und schützt, finden Sie in Zeile 28.

Marken, Logos usw.

Google wird Ihre Markenkennzeichen nicht ohne Ihre vorherige Zustimmung verwenden.

Gewerbliche Schutzrechte

Marketing und Publicity

44 Duration Einrichtungen sollten den technologischen und aktuellen Zustand der Branche berücksichtigen, wenn die entsprechende Vertragslaufzeit sowie die Verlängerungszeiträume verhandelt werden. Während langfristige Technologieverträge durchaus ihre Vorteile haben können, können bestimmte Technologien einem schnellen Wandel unterliegen und ein kurzfristigerer Vertrag kann sich als vorteilhaft erweisen. Ebenso sollten Einrichtungen die angemessene Zeitspanne berücksichtigen, die erforderlich ist, um den Dienstanbieter vor Ablauf des Vertrags über die Absicht der Einrichtung zu informieren, den Vertrag nicht zu verlängern. Einrichtungen sollten in Erwägung ziehen, die Ablauftermine von Verträgen für zusammenhängende Dienstleistungen (z. B. Website, Telekommunikation, Programmierung, Netzwerkunterstützung) so zu koordinieren, dass sie, wenn möglich, übereinstimmen. Eine solche Koordination kann das Risiko minimieren, dass ein Vertrag vorzeitig beendet wird und Vertragsstrafen aufgrund der notwendigen Beendigung eines anderen, damit verbundenen Servicevertrags anfallen. Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Laufzeit und Kündigung
45 Schlichtung. Die Einrichtung sollte in Erwägung ziehen, eine Bestimmung für ein Schlichtungsverfahren aufzunehmen, das versucht, Probleme zügig zu lösen, sowie eine Bestimmung für die Fortführung der Dienste während der Schlichtungsphase. Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Geltendes Recht
46 Haftungsfreistellung: Haftungsfreistellungsbestimmungen sollten den Dienstanbieter verpflichten, die Finanzeinrichtung von der Haftung für die Fahrlässigkeit des Dienstanbieters freizustellen. Eine Rechtsberatung sollte diese Bestimmungen überprüfen, um sicherzustellen, dass die Einrichtung nicht für Ansprüche haftbar gemacht werden kann, die sich aus der Fahrlässigkeit des Dienstanbieters ergeben. Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Haftungsfreistellung
47 Haftungsbeschränkung. Einige Standardverträge von Dienstanbietern können Klauseln enthalten, die die Höhe der Haftung des Dienstanbieters begrenzen. Wenn die Einrichtung einen solchen Vertrag in Erwägung zieht, sollte die Geschäftsleitung beurteilen, ob die Schadensbegrenzung in einem angemessenen Verhältnis zu der Höhe des Verlusts steht, der der Einrichtung nach vernünftigem Ermessen durch die Nichterfüllung der Verpflichtungen des Dienstanbieters entstehen könnte. Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Haftung
48 Kündigung. Das Management sollte die zeitlichen Bedingungen und die Kosten der Bestimmungen zur Vertragsbeendigung bewerten. Der Umfang und die Flexibilität der Kündigungsrechte können je nach Dienst variieren. Institutionen sollten Kündigungsrechte für eine Vielzahl von Bedingungen in Betracht ziehen, einschließlich Kontrollwechsel (z. B. Akquisitionen und Fusionen), Zweckmäßigkeit, erhebliche Kostensteigerungen, wiederholte Nichterfüllung von Serviceleveln, Nichtbereitstellung kritischer Dienste, Zahlungsunfähigkeit, Unternehmensschließungen und Insolvenz. Der Vertrag sollte Benachrichtigungs- und Fristanforderungen festlegen und die Rückgabe der Daten und Ressourcen der Institution nach einer Kündigung in maschinenlesbarem Format innerhalb eines angemessenen Zeitraums vorschreiben. Außerdem sollten alle Kosten im Zusammenhang mit der Konvertierungsunterstützung klar angegeben werden.

Kündigung

Einrichtungen haben die Möglichkeit, den Vertrag mit einer angemessenen Frist zu kündigen, auch wenn Google die Gebühren erhöht oder wenn dies zur Einhaltung von Gesetzen erforderlich ist.

Darüber hinaus können Einrichtungen unseren Vertrag mit einer Vorankündigung beenden, wenn Google einen wesentlichen Verstoß nach einer Sperrfrist begeht, wenn ein Kontrollwechsel stattfindet oder wenn Google insolvent wird.

Übertragen

Google erkennt an, dass Einrichtungen ausreichend Zeit benötigen, um unsere Dienste zu beenden (einschließlich der Übertragung der Dienste auf einen anderen Dienstanbieter). Um Einrichtungen dabei zu helfen, wird Google auf Anfrage die Dienste für 12 Monate über das Auslaufen oder die Beendigung des Vertrags hinaus weiter anbieten.

Google ermöglicht es Ihnen, während der Vertragslaufzeit sowie während der Nachkündigungszeit auf Ihre Daten zuzugreifen und sie zu exportieren. Sie können Ihre Daten in verschiedenen branchenüblichen Formaten aus den Diensten exportieren. Beispiel:

  • Google Kubernetes Engine ist eine verwaltete, produktionsfertige Umgebung, die die Übertragbarkeit über verschiedene Clouds sowie lokale Umgebungen hinweg ermöglicht.
  • Mit Migrate to Containers können Sie Arbeitslasten direkt in Container in Google Kubernetes Engine verschieben und umwandeln.
  • Sie können ein vollständiges VM-Image in Form eines TAR-Archivs exportieren/importieren. Weitere Informationen zu Images und Speicheroptionen finden Sie auf der Seite Compute Engine-Dokumentation.

Laufzeit und Kündigung

Übergangszeitraum

Datenexport (Datenverarbeitungs- und Sicherheitsbestimmungen)

49 Übertragung. Die Einrichtung sollte Vertragsbestimmungen bedenken, die die Übertragung des Vertrags an Dritte ohne Zustimmung der Einrichtung untersagen. Die Zuweisungsbestimmungen sollten auch Benachrichtigungsanforderungen für Änderungen an wesentlichen Unterauftragnehmern berücksichtigen.

Zuweisung

Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag.

Nebenverträge

Siehe Zeile 41 zur Vergabe von Nebenverträgen.

Zuweisung
50 Ausländische Dienstleister. Institutionen, die Verträge mit ausländischen Dienstanbietern abschließen, sollten eine Reihe zusätzlicher Vertragsaspekte und Bestimmungen in Betracht ziehen. Siehe Anhang C in dieser Broschüre.

Google LLC ist der Anbieter der Dienste für Institutionen in den USA. Google LLC ist nach den Gesetzen des US-Bundesstaates Delaware organisiert.

Weitere Informationen über das geltende Recht und die Gerichtsbarkeit, die für unseren Vertrag gilt, finden Sie in Ihrem Google Cloud Financial Services-Vertrag.

Geltendes Recht
51 Compliance mit gesetzlichen Vorschriften. Finanzinstitute müssen dafür sorgen, dass Verträge mit Dienstanbietern eine Vereinbarung enthalten, gemäß der der Dienstleister und dessen Dienstleistungen geltende gesetzliche Vorschriften und Anforderungen einhalten müssen. Die Vereinbarung sollte auch darauf hinweisen, dass der Dienstanbieter sich damit einverstanden erklärt, den relevanten Regulierungsbehörden auf Grundlage der Art und des Levels der dem Finanzinstitut geleisteten Dienste genaue Informationen und rechtzeitigen Zugriff bereitzustellen.

Compliance

Google hält alle Gesetze, Vorschriften und verbindlichen rechtlichen Bestimmungen ein, die für die Bereitstellung der Dienste gelten.

Zugriff durch Aufsichtsbehörden

Google gewährt den Aufsichtsbehörden der Einrichtungen und deren Beauftragten Zugangs- und Informationsrechte.

Erklärungen und Gewährleistung

Informationen zu Verordnungen, Audit und Zugriff