Zuordnung
FFIEC-Risikomanagement für das Outsourcing von Technologiediensten
Google Cloud Platform-Zuordnung
Dieses Dokument soll Finanzinstituten („Einrichtungen“) im Rahmen des Mandats des Federal Financial Institutions Examination Council (FFIEC) helfen, das Outsourcing Technology Services Booklet (das „FFIEC Outsourcing Booklet“) im Kontext der Google Cloud Platform („GCP“) und dem Google Cloud Financial Service-Vertrags zu berücksichtigen.
Wir konzentrieren uns auf die Bereiche „Due Diligence“ und „Contract Issues“ des FFIEC Outsourcing Booklet. Zu jedem Absatz dieser Abschnitte finden Sie einen Kommentar, der Ihnen dabei helfen soll, zu verstehen, wie Sie das FFIEC Outsourcing Booklet mit den Google Cloud-Diensten und dem Google Cloud Financial Service-Vertrag umsetzen können.
# | Referenz | Google Cloud-Kommentare | Vertragsreferenz für Google Cloud Financial Services |
---|---|---|---|
1. Due Diligence | |||
2 | Ein Finanzinstitut sollte sowohl die Antwort des Dienstleisters auf eine Ausschreibung als auch den Dienstleister selbst einer Due Diligence unterziehen. Die Due-Diligence-Prüfung sollte als Verifizierungs- und Analyseinstrument dienen, um sicherzustellen, dass der Dienstleister die Anforderungen des Instituts erfüllt. Dabei sollten die folgenden Informationen zum Dienstanbieter bestätigt und geprüft werden: | Google erkennt an, dass Sie eine Due-Diligence-Prüfung anstrengen und eine Risikobewertung vornehmen müssen, bevor Sie sich für die Nutzung unserer Dienste entscheiden. In den nachfolgenden Zeilen finden Sie Informationen zu den einzelnen Bereichen, die Sie berücksichtigen sollten. | – |
3 |
|
Informationen über die Unternehmensgeschichte von Google Cloud finden Sie auf der Investor Relations-Seite von Alphabet. | – |
4 |
|
Firmenchefs Informationen zum Leadership-Team von Google Cloud finden Sie auf unserer Seite Medienressourcen. Hintergrundprüfungen Google führt Hintergrundprüfungen zu unseren Mitarbeitern durch, soweit dies gesetzlich zulässig ist, damit unsere Kunden und Mitarbeiter eine sichere Umgebung erhalten. |
– |
5 |
|
Informationen zu unseren relevanten Kunden (auch aus der Finanzdienstleistungsbranche) finden Sie auf der Seite Google Cloud-Kunden. | – |
6 |
|
Sie können den Finanzstatus und die geprüften Jahresabschlüsse von Google auf der Investor Relations-Seite von Alphabet einsehen. | – |
7 |
|
Strategie
Informationen zu den Strategien von Google Cloud finden Sie auf der Seite Investor Relations-Seite von Alphabet. Ruf Google Cloud wurde in mehreren Berichten von externen Analysten als führender Anbieter eingestuft. Diese finden Sie auf der Seite Analystenberichte. |
– |
8 |
|
Informationen zur Servicebereitstellungsfunktion und zur Effektivität von Google Cloud finden Sie auf der Seite Google Cloud nutzen. Darüber hinaus können Sie auf unserer Seite mit den Analystenberichten Berichte von Drittanbietern einsehen. | – |
9 |
|
Informationen zur Technologie und Systemarchitektur von Google Cloud finden Sie auf der Seite Google Cloud nutzen. |
– |
10 |
|
Google erkennt an, dass Institutionen unsere internen Kontrollen im Rahmen ihrer Risikobewertung prüfen müssen. Deshalb unterzieht sich Google mindestens einmal jährlich einer unabhängigen Prüfung, um unsere Abläufe und internen Kontrollen unabhängig zu verifizieren. Google verpflichtet sich, während der Laufzeit unseres Vertrags mit Ihnen folgende wichtige internationale Standards einzuhalten: |
– |
11 |
|
Informationen über wesentliche anhängige Rechtsverfahren finden Sie in unseren Geschäftsberichten auf der Investor Relations-Seite von Alphabet. | – |
12 |
|
Siehe Zeile 41 zur Vergabe von Nebenverträgen. | – |
13 |
|
Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken. | – |
14 |
|
Siehe Zeile 40 zu Wiederaufnahme des Betriebs und Notfallplänen. | – |
15 | Weitere wichtige Elemente sind Informationen über immaterielle Faktoren, wie z. B. die Servicephilosophien, Qualitätsinitiativen und der Managementstil des Drittanbieters. Die Kultur, Werte und Geschäftsstile sollten zu denen des Finanzinstituts passen. | Informationen zu unseren Zielen, unserer Philosophie und unserer Kultur finden Sie auf der Seite Alphabet: Investor Relations. Außerdem finden Sie dort Informationen zu unseren Organisationsrichtlinien, z. B. unseren Verhaltenskodex. | – |
16 | Wenn ein im Ausland ansässiger Dienstanbieter in Betracht gezogen wird, sollte die Bewertung die Beziehung unter Berücksichtigung der oben genannten Punkte sowie der in Anhang C, Im Ausland ansässige Drittanbieter, besprochenen Informationen beurteilen. | Weitere Informationen finden Sie in Zeile 50. | – |
17 | Finanzinstitute können eine Due-Diligence-Prüfung bei einem oder mehreren Dienstanbietern durchführen, die auf die Ausschreibung antworten. Die Tiefe und Formalität der durchgeführten Due-Diligence-Prüfung kann je nach dem Risiko der ausgelagerten Beziehung, der Vertrautheit des Instituts mit den potenziellen Dienstanbietern und dem Stadium des Anbieterauswahlprozesses variieren. Nachdem die Institutionen Ausschreibungen durchgeführt, Antworten erhalten und ausgewertet und eine Due Diligence durchgeführt haben, treten sie in Vertragsverhandlungen mit einem oder mehreren Dienstanbietern ein, von denen sie festgestellt haben, dass sie ihre Anforderungen am besten erfüllen können. | Dies unterliegt der Entscheidung des Kunden. | – |
18. Vertragsaspekte | |||
19 |
Nachdem Sie einen Dienstanbieter gewählt haben, sollte die Verwaltung einen Vertrag aushandeln, der die entsprechenden Anforderungen erfüllt. Die Angebotsanfrage und die Antwort des Dienstanbieters können als Eingaben für diesen Prozess dienen. Der Vertrag ist das rechtsverbindliche Dokument, das alle Aspekte der Servicebeziehung definiert. Bei allen Servicebeziehungen muss ein schriftlicher Vertrag vorhanden sein. Das gilt auch, wenn der Dienstanbieter mit der Einrichtung verbunden ist. Bei Verträgen mit einem verbundenen Unternehmen muss die Einrichtung dafür sorgen, dass Kosten und Qualität der erbrachten Dienstleistungen denen eines nicht verbundenen Anbieters entsprechen. Der Vertrag ist das wichtigste Steuerelement im Outsourcingprozess. Aufgrund der Bedeutung des Vertrags sollte das Management:
|
Der Vertrag über Google Cloud Financial Services definiert die Aspekte der Servicebeziehung. | – |
20. Beispiele für Vertragselemente, die in Betracht gezogen werden sollten, sind: | |||
21 | Umfang des Dienstes. Die Rechte und Pflichten der Parteien müssen im Vertrag genau beschrieben werden. Folgendes sollte dabei berücksichtigt werden: | Die Rechte und Pflichten der Parteien sind im Vertrag über Google Cloud Financial Services dargelegt. | – |
22 |
|
Aktivitäten Die GCP-Dienste werden auf der Seite Zusammenfassung der Dienste beschrieben. Integration Es gibt verschiedene Möglichkeiten, unsere Dienste in Ihre Systeme zu integrieren.
|
Definitionen |
23 |
|
Google stellt die auf unserer Seite zur Dienstübersicht die beschriebenen Dienste gemäß den Service Level Agreements (SLAs) der Google Cloud Platform bereit. Eine Beschreibung der Supportdienste finden Sie auf der Seite mit den Richtlinien für technische Supportdienste. Google stellt eine Dokumentation zur Verfügung, in der erläutert wird, wie Institutionen und deren Mitarbeiter unsere Dienste nutzen können. Falls eine Einrichtung an einer Training interessiert ist, bietet Google auch eine Vielzahl an Kursen und Zertifizierungen an. |
Dienste Technischer Support |
24 |
|
|
|
25 |
|
Google aktualisiert die Dienste kontinuierlich, damit unsere Kunden die neueste Technologie nutzen können. Angesichts der 1:n-Natur unseres Dienstes gelten Aktualisierungen für alle Kunden gleichzeitig. Google nimmt nie Aktualisierungen vor, die die Funktionalität, Leistung, Verfügbarkeit oder Sicherheit der Dienste wesentlich beeinträchtigen. Wenn Google einen Dienst einstellen muss, ohne ihn zu ersetzen, werden Sie mindestens 12 Monate im Voraus benachrichtigt. Google wird während dieses Zeitraums weiterhin Support sowie Produkt- und Sicherheitsupdates bereitstellen. |
Änderungen an Diensten |
26 |
|
Neue Dienste Google führt kontinuierlich neue Dienste ein, um Kunden die neuesten Features und Funktionen bieten zu können. Neue Dienste werden der Seite der Dienstübersicht hinzugefügt, sobald sie verfügbar sind. Außerdem können Kunden entscheiden, ob sie die Dienste gemäß ihrem existierenden Vertrag verwenden möchten. Erneute Vertragsverhandlung Wenn sich Dienste und Technologien ändern, kann Google bestimmte Nutzungsbedingungen unter URLs aktualisieren, die für alle unsere Kunden gelten. Alle Aktualisierungen müssen strenge Kriterien erfüllen. Sie dürfen beispielsweise nicht zu einer wesentlichen Beeinträchtigung der Sicherheit der Dienste insgesamt führen und die vorhandenen Rechte nicht erheblich beeinträchtigen. Abgesehen von diesen eingeschränkten Aktualisierungen müssen Vertragsänderungen schriftlich erfolgen und von beiden Parteien unterzeichnet werden. |
Aktualisierungen von Diensten und Nutzungsbedingungen Änderungen an den Nutzungsbedingungen; Zusätze |
27 | Leistungsstandards. Die Einrichtungen sollten Leistungsstandards festlegen, in denen Mindestanforderungen an das Servicelevel und Abhilfemaßnahmen definiert werden, wenn die Standards des Vertrags nicht eingehalten werden. Gängige Servicelevel-Messwerte sind z. B. die prozentuale Systemverfügbarkeit, Fristen für die Batchverarbeitung oder die Anzahl der Verarbeitungsfehler. Branchenstandards für Servicelevels können als Referenz dienen. Die Einrichtung sollte regelmäßig die allgemeinen Leistungsstandards überprüfen, um ihre Konsistenz mit den Zielen sicherzustellen. Weitere Informationen finden Sie im Abschnitt zu Service Level Agreements (SLAs) in dieser Broschüre. | Die SLAs bieten messbare Leistungsstandards und Abhilfemaßnahmen für die Dienste und sind auf unserer Seite Google Cloud Platform Service Level Agreements verfügbar. | Dienste |
28 | Sicherheit und Vertraulichkeit. Der Vertrag sollte die Verantwortung des Dienstleisters für Sicherheit und Vertraulichkeit der Ressourcen der Einrichtung (z.B. Informationen, Hardware) ansprechen. Die Vereinbarung sollte es dem Dienstleister und seinen Vertretern verbieten, die Informationen der Einrichtung zu verwenden oder offenzulegen, es sei denn, dies ist zur Bereitstellung oder zur vertragsgemäßen Erbringung der Dienste notwendig und vor nicht autorisierter Nutzung schützen (z. B. vor der Offenlegung von Informationen an die Konkurrenz). Wenn der Dienstanbieter nicht öffentliche, personenbezogene Daten zu den Kunden der Einrichtung erhält, sollte die Einrichtung prüfen, ob der Dienstanbieter alle relevanten Anforderungen der Datenschutzbestimmungen erfüllt. Einrichtungen sollten den Dienstanbieter auffordern, Sicherheitslücken vollständig offenzulegen, die zu unerlaubten Eingriffen in den Dienstanbieter führen, die sich erheblich auf die Einrichtung oder deren Kunden auswirken können. Der Dienstleister sollte Sicherheitsbrüche der Einrichtung mitteilen, klarlegen, welche Auswirkungen dies auf die Einrichtung hat, und auf Basis der Abmachung zwischen den Parteien Korrekturmaßnahmen ergreifen, um auf den Sicherheitsbruch zu reagieren. |
Sicherheit
Die Sicherheit und der Datenschutz bei der Verwendung eines Cloud-Dienstes bestehen aus zwei Hauptelementen: Infrastruktur von Google Google kümmert sich um die Sicherheit unserer Infrastruktur. Dies ist die Sicherheit der Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen. Aufgrund der n:1-Beziehung unseres Dienstes bietet Google allen Kunden dieselbe robuste Sicherheitsleistung. Google stellt Kunden detaillierte Informationen zu Sicherheitsmaßnahmen zur Verfügung, damit sie diese nachvollziehen und in ihre eigene Risikoanalyse einfließen lassen können. Weitere Informationen finden Sie hier:
Ihre Daten und Anwendungen in der Cloud Sie legen die Sicherheit Ihrer Daten und Anwendungen in der Cloud fest. Dies bezieht sich auf die Sicherheitsmaßnahmen, die Sie bei der Nutzung der Dienste implementieren und betreiben. (a) Standardmäßige Sicherheit Obwohl wir Ihnen so viel Auswahl wie möglich bieten möchten, wenn es um Ihre Daten geht, ist die Sicherheit Ihrer Daten für Google von größter Bedeutung, und wir ergreifen die folgenden proaktiven Schritte, um Sie zu unterstützen:
(b) Sicherheitsprodukte Zusätzlich zu den anderen Tools und Praktiken, die Ihnen außerhalb von Google zur Verfügung stehen, können Sie auch Tools von Google verwenden, um die Sicherheit Ihrer Daten zu verbessern und zu überwachen. Informationen zu den Sicherheitsprodukten von Google finden Sie auf der Seite zu Cloud-Sicherheitsprodukten. (c) Sicherheitsressourcen Google veröffentlicht außerdem Richtlinien zu: Verwndung Ihrer Daten Google verpflichtet sich, Ihre Daten nur für die Bereitstellung der von Ihnen bestellten Dienste abzurufen oder zu verwenden und wird sie nicht für andere Google-Produkte, -Dienste oder Werbezwecke nutzen. Datenschutz und nicht öffentliche personenbezogene Daten Google befolgt die anwendbaren Datenschutzgesetze und -bestimmungen bei der Bereitstellung der Dienste. Sicherheitsverstöße Sie werden von Google unverzüglich und ohne unangemessene Verzögerung über Datenvorfälle benachrichtigt. Weitere Informationen zum Umgang mit Datenvorfällen durch Google finden Sie in unserem Whitepaper zur Reaktion auf Datenvorfälle. |
Datensicherheit; Sicherheitsmaßnahmen ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen) Schutz von Kundendaten Datenverarbeitung, Rollen und Compliance-Richtlinien ( Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen) Datenvorfälle ( Begriffe der Datenverarbeitung und Sicherheit) |
29. Kontrollen. Das Management sollte die Implementierung von Vertragsbestimmungen in Betracht ziehen, die folgende Kontrollen betreffen: | |||
30 |
|
Google unterzieht sich mindestens einmal im Jahr mehreren unabhängigen Prüfungen durch Dritte, um die Effektivität der internen Kontrollen unabhängig zu überprüfen. Um Ihnen während unserer Geschäftsbeziehung einen Einblick in die Effektivität unserer internen Kontrollen zu geben, verpflichtet sich Google, während der Laufzeit unseres Vertrags mit Ihnen Zertifizierungen/Berichte für die folgenden wichtigen internationalen Standards zu erstellen: |
Zertifizierungen und Auditberichte |
31 |
|
Google befolgt alle anwendbaren Gesetze und Bestimmungen bei der Bereitstellung der Dienste. | Erklärungen und Gewährleistung |
32 |
|
Google gewährt Einrichtungen und deren Beauftragten Zugriffs- und Informationsrechte. | Kundendaten, Prüfungen und Zugriff |
33 |
|
Weitere Informationen finden Sie in Zeile 32 | |
34 |
|
Services In Zeile 25 finden Sie Informationen zu Änderungen an den Diensten. Mitarbeiter Kunden können die Dienste auch ohne Hilfe der Mitarbeiter von Google selbst nutzen. Obwohl Die Mitarbeiter von Google die Hardware, Software, Netzwerke und Einrichtungen, die die Dienste unterstützen, verwalten und warten, gibt es aufgrund der Tatsache, dass es sich um 1:n-Dienste handelt, keine Mitarbeiter von Google, die sich speziell um die Bereitstellung der Dienste an Einzelpersonen kümmern. Orte Um Ihnen einen schnellen, zuverlässigen, robusten und widerstandsfähigen Dienst zur Verfügung zu stellen, kann Google Ihre Daten dort speichern und verarbeiten, wo Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten.
Google bietet unabhängig von dem Land / der Region, in dem sich das Unternehmen befindet, dieselben vertraglichen Zusicherungen sowie technische und organisatorische Maßnahmen für Ihre Daten. Beispiele:
Google bietet Ihnen die Wahl, wo Sie Ihre Daten speichern möchten – Sie können Ihre Daten auch in den USA speichern. Nachdem Sie den Speicherort für Ihre Daten ausgewählt haben, speichert Google diese nicht außerhalb der ausgewählten Regionen. Sie können Tools von Google verwenden, um die Anforderungen an den Datenspeicherort zu erzwingen. Weitere Informationen finden Sie in unserem Whitepaper Datenstandort, operative Transparenz und Datenschutz in Google Cloud . |
Datenübertragungen (Datenverarbeitungs- und Sicherheitsbestimmungen) Datensicherheit, Unterauftragsverarbeiter (Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen) Datenstandort (Dienstspezifische Nutzungsbedingungen) |
35 |
|
Aufgrund der Art der Dienste führt Google keine Zahlungsabwicklung (im Sinne des Booklets) oder Kreditvergabe im Auftrag des Instituts durch. | – |
36 |
|
Google unterhält einen Versicherungsschutz gegen eine Reihe von identifizierten Risiken. | Versicherung |
37 | Audits. Die Einrichtung muss in den Vertrag aufnehmen, welche Arten von Prüfberichten sie erhalten will (z. B. Finanz-, interne Kontroll- und Sicherheitsüberprüfungen). Im Vertrag sollten die Audithäufigkeit, etwaige Gebühren für den Erhalt der Audits sowie die Rechte der Einrichtung und ihrer Aufsichtsstellen angegeben werden, um die Ergebnisse der Audits zeitnah zu erhalten. Der Vertrag kann auch die Rechte auf den Erhalt von Dokumentationen zur Behebung etwaiger Mängel und die Prüfung der Verarbeitungseinrichtungen und Betriebspraktiken des Dienstanbieters spezifizieren. Das Management sollte je nach Risikobewertungsphase überlegen, ob es sich auf interne Prüfungen verlassen kann oder ob externe Prüfungen und Bewertungen erforderlich sind. |
Prüfberichte Weitere Informationen zu den von Google bereitgestellten Prüfberichten finden Sie in Zeile 10. Google verpflichtet sich, diese Berichte während der gesamten Vertragslaufzeit mit Ihnen aufrechtzuerhalten. Die Berichte werden mindestens einmal pro Jahr nach einer Prüfung durch einen unabhängigen Dritten erstellt. Sie können die aktuellen Zertifizierungen und Auditberichte von Google jederzeit prüfen.
Einrichtungen können diese Materialien an ihre Aufsichtsstellen weitergeben. Prüfung Wir sind uns bewusst, dass Einrichtungen unsere Dienste effektiv prüfen müssen. Google gewährt Einrichtungen und deren unabhängigen Prüfern Prüfungsrechte, einschließlich der Prüfung der Verarbeitungseinrichtungen und Betriebspraktiken von Google. Einrichtung wissen am besten, welche Audithäufigkeit für ihre Organisation ideal ist. Unser Vertrag beschränkt Einrichtungen nicht auf eine feste Anzahl an Prüfungen. |
Zertifizierungen und Auditberichte; Einhaltung der Richtlinien durch den Kunden |
38 | Bei Diensten mit Zugriff auf offene Netzwerke, z. B. bei Internetdiensten, sollte die Verwaltung besonders auf Sicherheit achten. Dabei sollte in Erwägung gezogen werden, Vertragsbedingungen einzubeziehen, die regelmäßige Prüfungen durch eine unabhängige Partei mit ausreichendem Fachwissen erfordern. Diese Prüfungen können Penetrationstests, Einbruchserkennung, Prüfung der Firewallkonfiguration und andere unabhängige Kontrollen umfassen. Einrichtungen sollten ausreichend detaillierte Berichte über die Ergebnisse dieser laufenden Audits erhalten, um die Sicherheit angemessen bewerten zu können, ohne die Sicherheit des Dienstanbieters zu gefährden. | Sie können Penetrationstests der Dienste jederzeit ohne die vorherige Genehmigung durch Google anstrengen. Darüber hinaus beauftragt Google einen qualifizierten und unabhängigen Dritten mit Penetrationstests für die Dienste. Weitere Informationen | Penetrationstests durch den Kunden |
39 | Berichte. Die Vertragsbedingungen sollten die Häufigkeit und Art der Berichte enthalten, die die Einrichtung erhält (z. B. Leistungsberichte, Prüfberichte, Finanzberichte, Sicherheitsberichte und Testberichte zur Wiederaufnahme der Geschäftstätigkeit). In den Verträgen sollten auch die Richtlinien und Gebühren für den Erhalt benutzerdefinierter Berichte beschrieben werden. |
Leistungsberichte Sie können die Leistung der Dienste (einschließlich der SLAs) von Google mithilfe der Funktionen der Dienste regelmäßig überwachen. Beispiel:
Finanzberichte Google bietet Abrechnungstools, mit denen Kunden Berichte zur Nutzung der Dienste und zu den damit verbundenen Kosten abrufen können. Weitere Informationen finden Sie auf der Dokumentationsseite von Cloud Billing und auf der Seite Cloud Billing-Daten nach BigQuery exportieren. Prüf- und Sicherheitsberichte Weitere Informationen finden Sie in Zeile 10. Testberichte für die Wiederaufnahme von Geschäftstätigkeiten Weitere Informationen finden Sie in Zeile 40. Wesentliche Entwicklungen Google wird Ihnen Informationen über Entwicklungen zur Verfügung stellen, die sich wesentlich auf die Fähigkeit von Google auswirken, die Dienste gemäß den SLAs zu erbringen. Weitere Informationen finden Sie in unserem Vorfällen und im Google Cloud-Dashboard. |
Laufende Leistungsüberwachung Wesentliche Entwicklungen |
40 | Geschäftswiederaufnahme- und Notfallpläne. Der Vertrag sollte die Verantwortung des Dienstanbieters für Sicherungs- und Datensatzschutz, einschließlich Ausrüstung, Programm- und Datendateien sowie für die Pflege von Notfallwiederherstellungs- und Notfallplänen ansprechen. Verträge sollten die Verantwortung des Dienstanbieters detaillieren, diese Pläne regelmäßig zu testen und der Einrichtung die Ergebnisse zur Verfügung zu stellen. Bei der Ermittlung der Anforderungen für Tests für die Wiederaufnahme von Geschäftstätigkeiten sollten die Abhängigkeiten zwischen Dienstanbietern berücksichtigt werden. Der Dienstanbieter sollte der Einrichtung eine Kopie des Notfallplans zur Verfügung stellen, in der die erforderlichen Betriebsabläufe für den Fall von Geschäftsunterbrechungen beschrieben werden. Verträge sollten spezifische Bestimmungen für die zur Wiederaufnahme von Geschäftstätigkeiten nötige Zeit enthalten, die den Geschäftsanforderungen der Einrichtung entsprechen. Dabei ist darauf zu achten, dass der Vertrag keine Bestimmungen enthält, die den Dienstanbieter davon abhalten könnten, die Notfallpläne zu implementieren. |
Google implementiert einen Notfallwiederherstellungs- und Notfallplan für seine Dienste und prüft und testet diesen mindestens jährlich, damit er den Branchenstandards entspricht. Einrichtungen können unseren Plan und die Testergebnisse prüfen. Darüber hinaus finden Sie in unserem Leitfaden zur Planung der Notfallwiederherstellung Informationen dazu, wie Kunden unsere Dienste in ihrer eigenen Notfallwiederherstellungs- und Notfallgeschäftsplanung verwenden können. |
Geschäftskontinuität und Notfallwiederherstellung |
41 | Vergabe an Unterauftragnehmer und Beziehungen zu mehreren Dienstanbietern. Einige Dienstanbieter beauftragen möglicherweise Dritte mit der Erbringung von Dienstleistungen für das Finanzinstitut. Institutionen sollten alle Unterauftragnehmer kennen und genehmigen. Für die Rechenschaftspflicht sollte das Finanzinstitut den primären vertraglichen Dienstanbieter im Vertrag nennen. Außerdem sollte im Vertrag angegeben sein, dass der primäre vertragliche Dienstanbieter für die im Vertrag aufgeführten Dienste verantwortlich ist. Dabei spielt es keine Rolle, welches Rechtssubjekt die Vorgänge durchführt. Außerdem sollte die Institution in Betracht ziehen, Benachrichtigungs- und Genehmigungsanforderungen für Änderungen an den wichtigsten Unterauftragnehmern des Dienstanbieters einzuschließen. |
Google ist sich der Tatsache bewusst, dass Institutionen die mit der Vergabe von Nebenverträgen verbundenen Risiken berücksichtigen müssen. Außerdem wollen wir Ihnen und allen unseren Kunden den zuverlässigsten, robustesten und belastbarsten Dienst bieten. In einigen Fällen kann es klare Vorteile bringen, mit anderen vertrauenswürdigen Organisationen zusammenzuarbeiten, um z. B. einen 24/7-Support zu bieten. Verantwortlichkeit Die Subunternehmer von Google müssen dieselben hohen Standards erfüllen wie Google. Insbesondere verlangt Google von den Subunternehmern, dass sie unseren Vertrag mit Ihnen einhalten. Google bleibt für die Erfüllung aller Verpflichtungen des Subunternehmers verantwortlich. Informationen und Änderungen Damit Einrichtungen den Überblick über die Vergabe von Nebenverträgen behalten und Wahlmöglichkeiten bezüglich der von ihnen genutzten Dienste haben, wird Google:
|
Unterauftragnehmer von Google |
42 | Kosten: Der Vertrag sollte die Berechnung der Gebühren für Basisdienste einschließlich aller Entwicklungs-, Konvertierungs- und wiederkehrenden Dienste sowie aller Gebühren basierend auf dem Aktivitätsvolumen oder bei speziellen Anfragen vollständig beschreiben. In den Verträgen sollten auch die Verantwortung und die zusätzlichen Kosten für den Kauf und die Wartung von Hardware und Software berücksichtigt werden. Alle Bedingungen, unter denen die Kostenstruktur geändert werden kann, sollten ausführlich berücksichtigt werden, einschließlich Limits für Kostenerhöhungen. Weitere Informationen finden Sie auch in den Abschnitten zu Preismethoden und zur Bündelung in dieser Broschüre. |
Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Audit Google unterstützt Institutionen bei Prüfungen und Untersuchungen unserer Dienste. Da diese Unterstützung nicht in unseren üblichen, öffentlich aufgelisteten Servicegebühren enthalten ist, kann Google eine zusätzliche Gebühr im Zusammenhang mit einer Prüfung oder Untersuchung verlangen. Google wird im Vorfeld der Aktivität zusätzliche Details zu den Gebühren mitteilen, wenn der Umfang der Aktivität bekannt ist. |
Zahlungsbedingungen |
43 | Eigentumsrechte und Lizenz. Im Vertrag sollten die Eigentümerschaft, die Rechte an und die zulässige Nutzung der Daten, der Ausrüstung/Hardware, der Systemdokumentation, der System- und Anwendungssoftware und anderer gewerblicher Schutzrechte der Institution geregelt sein. Die Eigentümerschaft an den Daten der Institution muss eindeutig bei der Institution liegen. Weitere gewerbliche Schutzrechte können der Name und das Logo der Institution, ihr Marken- oder urheberrechtlich geschütztes Material, Domainnamen, Websitedesigns und andere Arbeitsprodukte sein, die vom Dienstanbieter für die Institution entwickelt wurden. Weitere Informationen zur Entwicklung kundenspezifischer Software zur Unterstützung von ausgelagerten Diensten finden Sie im IT-Handbuch in der „Entwicklungs- und Akquisitionsbroschüre“. |
Daten Sie behalten alle gewerblichen Schutzrechte an Ihren Daten, an den Daten, die Sie über unsere Dienste aus Ihren Daten ableiten, und an Ihren Anwendungen. Weitere Informationen dazu, wie Google Ihre Daten verwendet und schützt, finden Sie in Zeile 28. Marken, Logos usw. Google wird Ihre Markenkennzeichen nicht ohne Ihre vorherige Zustimmung verwenden. |
Gewerbliche Schutzrechte Marketing und Publicity |
44 | Duration Einrichtungen sollten den technologischen und aktuellen Zustand der Branche berücksichtigen, wenn die entsprechende Vertragslaufzeit sowie die Verlängerungszeiträume verhandelt werden. Während langfristige Technologieverträge durchaus ihre Vorteile haben können, können bestimmte Technologien einem schnellen Wandel unterliegen und ein kurzfristigerer Vertrag kann sich als vorteilhaft erweisen. Ebenso sollten Einrichtungen die angemessene Zeitspanne berücksichtigen, die erforderlich ist, um den Dienstanbieter vor Ablauf des Vertrags über die Absicht der Einrichtung zu informieren, den Vertrag nicht zu verlängern. Einrichtungen sollten in Erwägung ziehen, die Ablauftermine von Verträgen für zusammenhängende Dienstleistungen (z. B. Website, Telekommunikation, Programmierung, Netzwerkunterstützung) so zu koordinieren, dass sie, wenn möglich, übereinstimmen. Eine solche Koordination kann das Risiko minimieren, dass ein Vertrag vorzeitig beendet wird und Vertragsstrafen aufgrund der notwendigen Beendigung eines anderen, damit verbundenen Servicevertrags anfallen. | Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. | Laufzeit und Kündigung |
45 | Schlichtung. Die Einrichtung sollte in Erwägung ziehen, eine Bestimmung für ein Schlichtungsverfahren aufzunehmen, das versucht, Probleme zügig zu lösen, sowie eine Bestimmung für die Fortführung der Dienste während der Schlichtungsphase. | Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. | Geltendes Recht |
46 | Haftungsfreistellung: Haftungsfreistellungsbestimmungen sollten den Dienstanbieter verpflichten, die Finanzeinrichtung von der Haftung für die Fahrlässigkeit des Dienstanbieters freizustellen. Eine Rechtsberatung sollte diese Bestimmungen überprüfen, um sicherzustellen, dass die Einrichtung nicht für Ansprüche haftbar gemacht werden kann, die sich aus der Fahrlässigkeit des Dienstanbieters ergeben. | Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. | Haftungsfreistellung |
47 | Haftungsbeschränkung. Einige Standardverträge von Dienstanbietern können Klauseln enthalten, die die Höhe der Haftung des Dienstanbieters begrenzen. Wenn die Einrichtung einen solchen Vertrag in Erwägung zieht, sollte die Geschäftsleitung beurteilen, ob die Schadensbegrenzung in einem angemessenen Verhältnis zu der Höhe des Verlusts steht, der der Einrichtung nach vernünftigem Ermessen durch die Nichterfüllung der Verpflichtungen des Dienstanbieters entstehen könnte. | Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. | Haftung |
48 | Kündigung. Das Management sollte die zeitlichen Bedingungen und die Kosten der Bestimmungen zur Vertragsbeendigung bewerten. Der Umfang und die Flexibilität der Kündigungsrechte können je nach Dienst variieren. Institutionen sollten Kündigungsrechte für eine Vielzahl von Bedingungen in Betracht ziehen, einschließlich Kontrollwechsel (z. B. Akquisitionen und Fusionen), Zweckmäßigkeit, erhebliche Kostensteigerungen, wiederholte Nichterfüllung von Serviceleveln, Nichtbereitstellung kritischer Dienste, Zahlungsunfähigkeit, Unternehmensschließungen und Insolvenz. Der Vertrag sollte Benachrichtigungs- und Fristanforderungen festlegen und die Rückgabe der Daten und Ressourcen der Institution nach einer Kündigung in maschinenlesbarem Format innerhalb eines angemessenen Zeitraums vorschreiben. Außerdem sollten alle Kosten im Zusammenhang mit der Konvertierungsunterstützung klar angegeben werden. |
Kündigung Einrichtungen haben die Möglichkeit, den Vertrag mit einer angemessenen Frist zu kündigen, auch wenn Google die Gebühren erhöht oder wenn dies zur Einhaltung von Gesetzen erforderlich ist. Darüber hinaus können Einrichtungen unseren Vertrag mit einer Vorankündigung beenden, wenn Google einen wesentlichen Verstoß nach einer Sperrfrist begeht, wenn ein Kontrollwechsel stattfindet oder wenn Google insolvent wird. Übertragen Google erkennt an, dass Einrichtungen ausreichend Zeit benötigen, um unsere Dienste zu beenden (einschließlich der Übertragung der Dienste auf einen anderen Dienstanbieter). Um Einrichtungen dabei zu helfen, wird Google auf Anfrage die Dienste für 12 Monate über das Auslaufen oder die Beendigung des Vertrags hinaus weiter anbieten. Google ermöglicht es Ihnen, während der Vertragslaufzeit sowie während der Nachkündigungszeit auf Ihre Daten zuzugreifen und sie zu exportieren. Sie können Ihre Daten in verschiedenen branchenüblichen Formaten aus den Diensten exportieren. Beispiel:
|
Laufzeit und Kündigung Übergangszeitraum Datenexport (Datenverarbeitungs- und Sicherheitsbestimmungen) |
49 | Übertragung. Die Einrichtung sollte Vertragsbestimmungen bedenken, die die Übertragung des Vertrags an Dritte ohne Zustimmung der Einrichtung untersagen. Die Zuweisungsbestimmungen sollten auch Benachrichtigungsanforderungen für Änderungen an wesentlichen Unterauftragnehmern berücksichtigen. |
Zuweisung Weitere Informationen finden Sie in Ihrem Google Cloud Financial Services-Vertrag. Nebenverträge Siehe Zeile 41 zur Vergabe von Nebenverträgen. |
Zuweisung |
50 | Ausländische Dienstleister. Institutionen, die Verträge mit ausländischen Dienstanbietern abschließen, sollten eine Reihe zusätzlicher Vertragsaspekte und Bestimmungen in Betracht ziehen. Siehe Anhang C in dieser Broschüre. |
Google LLC ist der Anbieter der Dienste für Institutionen in den USA. Google LLC ist nach den Gesetzen des US-Bundesstaates Delaware organisiert. Weitere Informationen über das geltende Recht und die Gerichtsbarkeit, die für unseren Vertrag gilt, finden Sie in Ihrem Google Cloud Financial Services-Vertrag. |
Geltendes Recht |
51 | Compliance mit gesetzlichen Vorschriften. Finanzinstitute müssen dafür sorgen, dass Verträge mit Dienstanbietern eine Vereinbarung enthalten, gemäß der der Dienstleister und dessen Dienstleistungen geltende gesetzliche Vorschriften und Anforderungen einhalten müssen. Die Vereinbarung sollte auch darauf hinweisen, dass der Dienstanbieter sich damit einverstanden erklärt, den relevanten Regulierungsbehörden auf Grundlage der Art und des Levels der dem Finanzinstitut geleisteten Dienste genaue Informationen und rechtzeitigen Zugriff bereitzustellen. |
Compliance Google hält alle Gesetze, Vorschriften und verbindlichen rechtlichen Bestimmungen ein, die für die Bereitstellung der Dienste gelten. Zugriff durch Aufsichtsbehörden Google gewährt den Aufsichtsbehörden der Einrichtungen und deren Beauftragten Zugangs- und Informationsrechte. |
Erklärungen und Gewährleistung Informationen zu Verordnungen, Audit und Zugriff |