Documentos

Gestión de riesgos de la externalización de servicios tecnológicos de FFIEC

Documentos de Google Cloud Platform

Este documento se ha diseñado para ayudar a las instituciones financieras ("instituciones") en el marco del mandato del Consejo Federal de Examen de Instituciones Financieras ("FFIEC") a considerar el manual de externalización de servicios tecnológicos ("manual de externalización de FFIEC") en el contexto de Google Cloud Platform ("GCP") y el contrato de servicios financieros de Google Cloud.

Nos centramos en las secciones relacionadas con la diligencia debida y los problemas relacionados con los contratos del manual de externalización de FFIEC. En cada párrafo de estas seccions, incluimos comentarios para ayudarte a entender cómo puedes abordar el manual de externalización de FFIEC al utilizar los servicios de Google Cloud y el contrato de servicios financieros de Google Cloud.

# Referencia Comentarios de Google Cloud Referencia de contrato de servicios financieros de Google Cloud
1. Diligencia debida
2 Una institución financiera debe realizar una revisión de la diligencia debida de la respuesta del proveedor de servicios a una solicitud de propuesta, así como del propio proveedor de servicios. La diligencia debida debe ser una herramienta de verificación y análisis que garantice que el proveedor de servicios satisface las necesidades de la institución. Con las revisiones de diligencia debida se debe confirmar y evaluar la siguiente información sobre el proveedor de servicios: Google reconoce que debes realizar una revisión de la diligencia debida y una evaluación de riesgos antes de decidir usar nuestros servicios. Para ayudarte, puedes consultar información sobre cada una de las áreas que debes tener en cuenta en las siguientes filas. N/A
3
  • Existencia e historial corporativo
 La información sobre el historial corporativo de Google Cloud está disponible en la página de relaciones con los inversores de Alphabet. N/A
4
  • Cualificaciones, experiencia y reputación de los directores de la empresa, incluidas las comprobaciones de antecedentes, si procede

Directores de la empresa

La información sobre el equipo de directivo de Google Cloud está disponible en la página Recursos multimedia.

Comprobación de antecedentes

En Google, comprobamos los antecedentes de nuestros empleados si la ley lo permite para que nuestros clientes y empleados dispongan de un entorno seguro.

N/A
5
  • Otras empresas que usen servicios similares del proveedor a las que se pueda consultar para obtener referencias
La información de referencia sobre nuestros clientes (incluido el sector de los servicios financieros) está disponible en la página Clientes de Google Cloud. N/A
6
  • Estado financiero, incluidas las revisiones de los informes financieros auditados
Puedes consultar el estado financiero y los informes financieros auditados de Google en la página de relaciones con los inversores de Alphabet. N/A
7
  • Estrategia y reputación
Estrategia

Puedes consultar información sobre las estrategias de Google Cloud en la página de relaciones con los inversores de Alphabet.

Reputación

Google Cloud ha sido nombrado líder en varios informes de analistas independientes del sector. Puedes consultar estos informes en la página de informes de analistas.

N/A
8
  • Capacidad, estado y eficacia de la prestación de servicios
Encontrarás información sobre la eficacia y capacidad de prestación de servicios de Google Cloud en nuestra página Ventajas de Google Cloud. Además, puedes consultar los informes de los analistas independientes del sector en nuestra página Informes de analistas. N/A
9
  • Arquitectura de sistemas y tecnología

En la página Ventajas de Google Cloud encontrarás información sobre la arquitectura de sistemas y la tecnología de Google Cloud.

N/A
10
  • Entorno de controles internos, historial de seguridad y cobertura de auditoría

Google reconoce que las instituciones deben revisar nuestros controles internos como parte de su evaluación de riesgos. Como ayuda, Google se somete a diversas auditorías de terceros independientes al menos una vez al año para verificar nuestras operaciones y controles internos de manera independiente. Google se compromete a cumplir los siguientes estándares internacionales clave durante el periodo de vigencia del contrato:

N/A
11
  • Cumplimiento legal y normativo, incluidas las reclamaciones, los pleitos o las medidas normativas
La información sobre los procesos legales pendientes está disponible en nuestros informes anuales en la página de relaciones con los inversores de Alphabet. N/A
12
  • Confianza y excelentes resultados en las relaciones con los proveedores de servicios externos
 Consulta la fila 41 sobre la subcontratación. N/A
13
  • Cobertura de seguros
 Google mantendrá la cobertura de los seguros frente a diversos riesgos identificados. N/A
14
  • Capacidad para satisfacer los requisitos de recuperación tras fallos y continuidad empresarial
 Consulta la fila 40 sobre los planes de contingencia y reanudación empresarial. N/A
15 Entre otros elementos importantes se incluyen la comprobación de la información sobre propiedades intangibles, como las filosofías de servicio de terceros, las iniciativas de calidad y el estilo de gestión. La cultura, los valores y los estilos de negocio deben adaptarse a los de la institución financiera. Puedes consultar información sobre nuestra misión, filosofía y cultura en la página de relaciones con los inversores de Alphabet. También encontrarás información sobre las políticas de nuestra organización, como nuestro código de conducta. N/A
16 Cuando se tiene en cuenta a un proveedor de servicios extranjero, en la evaluación se debe incluir la relación en vista de los elementos anteriores, así como la información mencionada en el apéndice C sobre los proveedores de servicios extranjeros. Consulta la fila 50. N/A
17 Las instituciones financieras pueden realizar revisiones de la diligencia debida de uno o más proveedores de servicios que respondan a la solicitud de propuesta. La profundidad y formalidad de la revisión de diligencia debida pueden variar según el riesgo de relación de la relación externalizada, la familiaridad de la institución con los proveedores de servicios potenciales y la fase del proceso de selección de proveedores. Una vez que las instituciones emitan las solicitudes de propuesta, reciban y evalúen las respuestas, y realicen la revisión de diligencia debida, pasarán a negociar el contrato con uno o varios de los proveedores de servicios que hayan determinado que satisfacen mejor sus necesidades. Se trata de una consideración del cliente. N/A
18. Problemas con los contratos
19

Cuando ya se haya elegido un proveedor de servicios, los directivos deben negociar un contrato que cumpla sus requisitos. La solicitud de propuesta y la respuesta del proveedor de servicios se pueden usar como información para este proceso. El contrato es el documento legalmente vinculante que define todos los aspectos de la relación de prestación del servicio. Debe haber un contrato por escrito en todas las relaciones de prestación de servicios. Se incluyen las instancias en las que el proveedor de servicios esté afiliado a la institución en cuestión. Al contratar a un afiliado, la institución debe asegurarse de que los costes y la calidad de los servicios proporcionados sean equivalentes a los de un proveedor que no esté afiliado. El contrato es el control más importante del proceso de externalización. Debido a la importancia del contrato, los directivos deben hacer lo siguiente:

  • Verificar la exactitud de la descripción de la relación de externalización del contrato.
  • Asegurarse de que el contrato esté bien escrito y contenga detalles suficientes para definir de forma detallada los derechos y las responsabilidades de cada parte.
  • Contactar con un asesor jurídico al principio del proceso para preparar y revisar el contrato propuesto.
En el contrato de servicios financieros de Google Cloud se definen los aspectos de la relación de prestación del servicio. N/A
20. Estos son algunos ejemplos de elementos del contrato que se deben tener en cuenta:
21 Ámbito del servicio. En el contrato se deben describir claramente los derechos y las responsabilidades de las partes que participan en él. Se debe tener en cuenta lo siguiente: Las obligaciones y responsabilidades de las partes se establecen en el contrato de servicios financieros de Google Cloud. N/A
22
  • Descripciones de las actividades requeridas, los plazos de implementación y la asignación de responsabilidades. En las disposiciones relacionadas con la implementación se deben tener en cuenta otros sistemas que ya se tengan o que estén interrelacionados que puedan desarrollar distintos proveedores de servicios (por ejemplo, un sistema bancario por Internet que se integre con las aplicaciones principales actuales o la personalización de los sistemas).

Actividades

Los servicios de GCP se describen en la página de resumen de servicios.

Integración

Hay varias formas de integrar nuestros servicios con tus sistemas.

  • La consola de Cloud te permite localizar y comprobar el estado de todos tus recursos de Google Cloud en un mismo lugar (por ejemplo, las máquinas virtuales, la configuración de red y el almacenamiento de datos).
  • Las API de Cloud te permiten acceder a los productos de Google Cloud desde tu código y automatizar los flujos de trabajo utilizando el lenguaje de programación que prefieras.
Definiciones
23
  • Obligaciones de los proveedores de servicios y de los servicios que van a prestar, como la asistencia y el mantenimiento de software, la formación de empleados o el servicio de atención al cliente.

Google proporcionará los servicios descritos en la página de resumen de servicios de acuerdo con los acuerdos de nivel de servicio de Google Cloud Platform.

Los servicios de asistencia se describen en la página de directrices de los servicios de asistencia técnica.

Google proporciona documentación en la que se explica cómo pueden utilizar nuestros servicios las instituciones y sus empleados. Si a una institución le gustaría acceder a una formación más específica, Google también ofrece una gran variedad de cursos y certificaciones.

Servicios

Asistencia técnica

24
  • Obligaciones de la institución financiera.
  • Consulta tu contrato de servicios financieros de Google Cloud.
25
  • Los derechos de las partes del contrato en relación con la modificación de los servicios prestados en virtud del contrato.

Google actualiza continuamente los servicios para permitir que nuestros clientes aprovechen la tecnología más reciente. Dada la naturaleza uno a muchos de nuestro servicio, las actualizaciones se aplican a todos los clientes al mismo tiempo.

Google no realizará actualizaciones que reduzcan significativamente la funcionalidad, el rendimiento, la disponibilidad o la seguridad de los servicios.

Si Google tiene que interrumpir un servicio sin sustituirlo, recibirás un aviso con al menos 12 meses de antelación. Durante ese tiempo, Google seguirá ofreciendo asistencia y actualizaciones de seguridad y de los productos.

Cambios en los servicios
26
  • Directrices para añadir servicios nuevos o diferentes y para renegociar el contrato.

Nuevos servicios

Google incorpora constantemente nuevos servicios para ofrecer a nuestros clientes las características y funciones más recientes. Los nuevos servicios se añaden a la página de resumen de servicios cuando están disponibles y cada cliente puede elegir si quiere usarlos o no según lo estipulado en su contrato.

Renegociación del contrato

A medida que se van cambiando los servicios y la tecnología, Google puede actualizar ciertos términos en las URL que se aplican a todos nuestros clientes. Todas las actualizaciones deben cumplir unos criterios estrictos. Por ejemplo, no deben conllevar la degradación de la seguridad general de los servicios ni tener un impacto negativo significativo en tus derechos actuales. Además de estas actualizaciones limitadas, cualquier cambio en el contrato debe realizarse por escrito y ambas partes tienen que firmarlo.

Actualizaciones de los servicios y los términos

Cambios en los términos; adendas

27 Estándares de rendimiento. Las instituciones deben incluir estándares de rendimiento que definan los requisitos mínimos del nivel de servicio y las soluciones en caso de incumplimiento de los estándares del contrato. Entre las métricas de nivel de servicio habituales se incluyen el porcentaje de tiempo de funcionamiento del sistema, los plazos para completar el procesamiento por lotes o el número de errores de procesamiento. Los estándares del sector para los niveles de servicio pueden proporcionar un punto de referencia. La institución debe revisar los estándares de rendimiento generales de forma periódica para asegurar que sean coherentes con sus objetivos y metas. Consulta también la sección de acuerdos de nivel de servicio de este manual. Los acuerdos de nivel de servicio ofrecen estándares y soluciones de rendimiento medibles para los servicios. Se pueden consultar en la página de acuerdos de nivel de servicio de Google Cloud Platform. Servicios
28 Seguridad y confidencialidad. En el contrato se debe abordar la responsabilidad del proveedor de servicios respecto a la seguridad y la confidencialidad de los recursos de la institución (por ejemplo, la información o el hardware). En el contrato se debe prohibir que el proveedor de servicios y sus agentes utilicen o revelen información de la institución, excepto si es necesario para mantener los servicios contratados o para protegerla frente a usos no autorizados (como la divulgación de información a instituciones de la competencia). Si el proveedor de servicios recibe información personal que no sea pública en relación con los clientes de la institución, la institución debe verificar que se cumplan todos los requisitos correspondientes a las normativas de privacidad. Las instituciones deben solicitar al proveedor de servicios que revele por completo las vulnerabilidades de seguridad que puedan dar lugar a intrusiones no autorizadas en los sistemas del proveedor de servicios que puedan afectar sustancialmente a la institución o a sus clientes. El proveedor de servicios debe informar a la institución si se producen intrusiones, del efecto que tienen en la institución y de la medida correctiva para responder a ella en función de los contratos entre ambas partes. Seguridad

La seguridad y la privacidad de la información cuando se usa un servicio en la nube constan de dos elementos clave:

Infraestructura de Google

Google gestiona la seguridad de nuestra infraestructura, es decir, la seguridad del hardware, el software, las redes y las instalaciones que sustentan los Servicios.

Dada la naturaleza uno a muchos del servicio, Google ofrece la misma seguridad sólida para todos los clientes.

Google proporciona a los clientes información detallada sobre sus prácticas de seguridad para que los clientes puedan conocerlas y estudiarlas como parte de su propio análisis de riesgos.

Para obtener más información, consulta:

Tus datos y aplicaciones en la nube

Tú defines la seguridad de tus datos y aplicaciones en la nube. Estas son las medidas de seguridad que decides implementar y operar cuando usas los servicios.

(a) Seguridad predeterminada

Aunque queremos ofrecerte la mayor variedad posible de información relacionada con tus datos, la seguridad de tus datos es de vital importancia para Google, por lo que adoptamos las siguientes medidas proactivas para ayudarte:

(b) Productos de seguridad

Además de otras herramientas y prácticas de Google que puedes utilizar, puedes usar las herramientas que ofrece Google para mejorar y monitorizar la seguridad de tus datos. Consulta más información sobre los productos de seguridad de Google en la página de productos de seguridad en la nube.

(c) Recursos de seguridad

Google también publica directrices sobre:

Uso de tu información

Google se compromete a acceder solo a tus datos o a utilizarlos para prestar los servicios solicitados por ti, y no los empleará para otros productos, servicios o publicidad de Google.

Privacidad e información personal que no es pública

Google cumplirá la legislación de privacidad relacionada con la prestación de los servicios.

Infracciones de seguridad

Google te notificará los incidentes de datos de inmediato y sin demora injustificada. Consulta el informe sobre el proceso de respuesta a incidentes de datos de Google para obtener más información sobre este tema.

Seguridad de los datos; medidas de seguridad (términos de seguridad y tratamiento de datos)

Protección de los datos del cliente

Tratamiento de datos; roles y cumplimiento normativo ( términos de seguridad y tratamiento de datos)

Incidentes de datos (términos de seguridad y tratamiento de datos)

29. Controles. Los directivos deberían plantearse implementar disposiciones contractuales en las que se aborden los siguientes controles:
30
  • Controles internos del proveedor de servicios

Google se somete a diversas auditorías de terceros independientes al menos una vez al año para verificar la eficacia de nuestros controles internos de manera independiente. Para darle visibilidad a la eficacia de nuestros controles internos a lo largo de nuestra relación, Google se compromete a mantener las certificaciones y los informes de los siguientes estándares internacionales clave durante el periodo de vigencia del contrato:

Certificaciones e informes de auditoría
31
  • Cumplimiento de los requisitos normativos pertinentes
 Google cumplirá toda la legislación relacionada con la prestación de los servicios. Manifestaciones y garantías
32
  • Registro de los requisitos de mantenimiento del proveedor de servicios
 Google otorga derechos de acceso e información a las instituciones y a sus respectivos propietarios. Información del cliente, auditoría y acceso
33
  • Acceso de la institución a los registros
 Consulta la fila 32.
34
  • Requisitos de notificación y derechos de aprobación de los cambios significativos en los servicios, los sistemas, los controles, el personal clave del proyecto y las ubicaciones del servicio

Servicios

Consulta la fila 25 sobre los cambios en los servicios.

Personal

Los clientes pueden gestionar los servicios de forma independiente sin que el personal de Google realice ninguna acción. Aunque el personal de Google gestiona y mantiene el hardware, el software, las redes y las instalaciones que prestan los servicios, en lo que respecta a la naturaleza uno a muchos de los servicios, no hay personal de Google dedicado a prestar los servicios a un cliente concreto.

Ubicaciones

Para proporcionarte un servicio rápido, fiable, robusto y resiliente, Google puede almacenar y tratar tus datos donde se encuentren las instalaciones de Google o las de los subencargados de su tratamiento.

Google ofrece los mismos compromisos contractuales y medidas técnicas y organizativas para tus datos, independientemente del país o la región en los que se encuentren. En particular:

  • Se aplican las mismas medidas de seguridad sólidas a todas las instalaciones de Google, independientemente del país o región donde se encuentren.
  • Google mantiene los mismos compromisos con todos sus subencargados del tratamiento, independientemente del país o región donde se encuentren.

Google te ofrece varias opciones para almacenar tus datos, incluida una opción para almacenarlos en Estados Unidos. Si eliges dónde almacenar tus datos, Google no los almacenará fuera de las regiones que elijas.

También puedes usar herramientas que proporcione Google para aplicar requisitos de ubicación de datos. Para obtener más información, consulta el informe sobre la residencia de los datos, la transparencia operativa y la privacidad en Google Cloud.

Transferencias de datos (términos de seguridad y tratamiento de datos)

Seguridad de los datos; subencargados del tratamiento (términos de seguridad y tratamiento de datos)

Ubicación de los datos (términos específicos del servicio)

35
  • Establecimiento y monitorización de los parámetros de las funciones financieras, como el procesamiento de los pagos o las extensiones de crédito en nombre de la institución
Dada la naturaleza de los servicios, Google no lleva a cabo el procesamiento de pagos (de la forma descrita en el manual) ni las extensiones de crédito en nombre de la institución. N/A
36
  • Cobertura de seguros mantenida por el proveedor de servicios
Google mantendrá la cobertura de los seguros frente a diversos riesgos identificados. Seguros
37 Auditoría. La institución debe incluir en el contrato los tipos de informes de auditoría que tiene derecho a recibir (por ejemplo, revisiones financieras, de control interno y de seguridad). En el contrato se debe especificar la frecuencia de las auditorías, cualquier cargo por acceder a ellas y los derechos de la institución y de sus agencias reguladoras a obtener los resultados de las auditorías de forma oportuna. El contrato también puede especificar los derechos a obtener documentos relacionados con la resolución de cualquier deficiencia y a inspeccionar las instalaciones de procesamiento y las prácticas operativas del proveedor de servicios. En función de la fase de evaluación de riesgos, los directivos deben tener en cuenta si pueden confiar en las auditorías internas o si se necesitan auditorías y revisiones externas.

Informes de auditoría

Consulta la fila 10 para obtener más información sobre los informes de auditoría que facilita Google. Google se compromete a mantener estos informes durante el periodo de vigencia del contrato contigo. Los informes se generan al menos una vez al año después de una auditoría realizada por un tercero independiente.

Puedes consultar las certificaciones e informes de auditoría de Google en cualquier momento.

  • Las certificaciones ISO de Google están disponibles en el Centro de recursos para el cumplimiento.
  • Los informes de SOC y la certificación de cumplimiento del PCI de Google están disponibles a través del representante de tu cuenta de Google Cloud.

Las instituciones pueden proporcionar este material a sus agencias reguladoras.

Inspección

Google reconoce que las instituciones deben poder auditar nuestros servicios de forma eficaz. Google concede derechos de auditoría, incluida la inspección de las instalaciones de procesamiento y las prácticas operativas de Google, a las instituciones y a sus auditores independientes. Lo mejor es que la institución determine la frecuencia de auditoría más adecuada para su organización. Nuestro contrato no incluye ningún límite en el número de auditorías de las instituciones.

Certificaciones e informes de auditoría

Permitir el cumplimiento del cliente

38 Los directivos deben prestar una atención especial a la seguridad en el caso de los servicios relacionados con el acceso a redes abiertas, como los servicios relacionados con Internet. La institución debería considerar la inclusión de términos del contrato por los que se requieran revisiones de control periódicas a cargo de un tercero independiente con conocimientos suficientes. Estas revisiones pueden incluir pruebas de penetración, detección de intrusos, revisiones de la configuración de los cortafuegos y otras revisiones de control independientes. La institución debería recibir informes suficientemente detallados sobre los resultados de las auditorías en curso para evaluar la seguridad adecuadamente sin poner en riesgo la seguridad del proveedor de servicios. Puedes realizar pruebas de penetración de los servicios en cualquier momento sin la aprobación previa de Google. Además, Google interactúa con auditores externos certificados e independientes para realizar pruebas de penetración de los servicios. Obtén más información. Pruebas de penetración de los clientes
39 Informes. Los términos contractuales deben incluir la frecuencia y el tipo de informes que la institución recibirá (por ejemplo, informes de rendimiento, auditorías de control, estados financieros, seguridad y pruebas de reanudación empresarial). En los contratos también se deberían indicar las directrices y las tarifas que se aplican para obtener informes personalizados.

Informes de rendimiento

Puedes monitorizar el rendimiento de los servicios de Google (incluidos los acuerdos de nivel de servicio) de forma periódica con las funciones de los servicios.

Por ejemplo:

  • El panel de estado proporciona información sobre el estado de los servicios.
  • El paquete de operaciones de Google Cloud es una solución integrada de monitorización, almacenamiento de registros y diagnóstico que te ayuda a obtener información sobre las aplicaciones que se ejecutan en GCP.
  • Transparencia de acceso es una función que te permite revisar los registros de las acciones que ha llevado a cabo el personal de Google en lo que respecta a tus datos. Entre las entradas de registro se incluyen el recurso afectado, la hora de la acción o el motivo de la acción (por ejemplo, el número de caso asociado a la solicitud de asistencia) y datos sobre quién actúa en ellos (por ejemplo, la ubicación del trabajador de Google).

Informes financieros

Google proporciona herramientas de facturación que los clientes pueden usar para obtener informes sobre su uso de los servicios y los costes asociados. Para obtener más información, consulta la página de documentación de facturación de Cloud y la página sobre cómo exportar datos de facturación de Cloud a BigQuery.

Informes de auditoría y seguridad

Consulta la fila 10.

Informes de pruebas de reanudación empresarial

Consulta la fila 40.

Desarrollos importantes

Google proporcionará información sobre desarrollos que influyan de forma significativa en la capacidad de Google para prestar los servicios de conformidad con los acuerdos de nivel de servicio que tengas a tu disposición. Encontrarás más información en el artículo Incidentes y el panel de estado de Google Cloud.

Monitorización continua del rendimiento

Desarrollos importantes

40 Planes de contingencia y reanudación empresarial. El contrato debe abordar la responsabilidad del proveedor de servicios respecto a la protección de las copias de seguridad y los registros, incluidos los equipos, los archivos de datos y programas, y el mantenimiento de los planes de recuperación tras fallos y de contingencia. En los contratos, se debe indicar la responsabilidad del proveedor de servicios de probar los planes periódicamente y proporcionar los resultados a la institución. A la hora de determinar los requisitos de las pruebas de reanudación empresarial, la institución debe tener en cuenta las interdependencias entre los proveedores de servicios. El proveedor de servicios debe proporcionar a la institución una copia del plan de contingencia en la que se describan los procedimientos operativos necesarios en caso de que la actividad de la empresa se vea interrumpida. Los contratos deben incluir disposiciones específicas relativas a los periodos de recuperación empresarial que cumplan los requisitos empresariales de la institución. La institución debe asegurarse de que el contrato no contiene disposiciones que sirvan de pretexto para que el proveedor de servicios no implemente sus planes de contingencia.

Google implementará un plan de recuperación tras fallos y de contigencia empresarial para nuestros servicios, lo revisará y probará al menos una vez al año, y se asegurará de que siga vigente según los estándares del sector. Las instituciones pueden consultar nuestro plan y los resultados de las pruebas.

Además, en la Guía de planificación para la recuperación ante desastres encontrarás información sobre cómo los clientes pueden usar nuestros servicios en su propio plan de contingencia empresarial y recuperación tras fallos.

Continuidad de la actividad empresarial y recuperación tras fallos
41 Subcontratación y relaciones entre varios proveedores de servicios. Algunos proveedores de servicios pueden contratar a terceros para que estos presten los servicios a la institución financiera. Las instituciones deben saber que se ha recurrido a dichos subcontratistas y aprobarlos. Por motivos de responsabilidad proactiva, la institución financiera debe designar al proveedor de servicios principal en el contrato. En el contrato también se debe especificar que el proveedor de servicios principal contratado es el responsable de los servicios que se describen en el contrato, independientemente de la entidad que lleve a cabo las operaciones. También se deben incluir requisitos de notificación y aprobación en relación con los cambios significativos en los subcontratistas del proveedor de servicios.

Google reconoce que las instituciones deben tener en cuenta los riesgos asociados a la subcontratación. También queremos que tu empresa y todos nuestros clientes disfruten de un servicio lo más fiable, robusto y resiliente posible. En algunos casos, puede haber ventajas claras de trabajar con otras organizaciones de confianza; por ejemplo, para brindar asistencia ininterrumpida.

Responsabilidad

Google exige a los subcontratistas que cumplan con los mismos estándares de calidad que sigue. En concreto, Google requiere que los subcontratistas cumplan con su contrato contigo y Google seguirá siendo responsable ante las obligaciones subcontratadas.

Información y cambios

Para que las instituciones puedan supervisar cualquier subcontratación y ofrecer opciones sobre los servicios que estas utilizan, Google:

  • Proporciona información sobre sus subcontratistas (incluida su función y ubicación).
  • Avisa de los cambios a sus subcontratistas.
  • Ofrece a las entidades la posibilidad de resolver su contrato si tienen reservas acerca de un nuevo subcontratista.
Subcontratistas de Google
42 Coste. En el contrato se debe describir por completo el cálculo de las tarifas de los servicios básicos, incluidos el desarrollo, la conversión y los servicios recurrentes, así como cualquier cargo basado en el volumen de actividad o en solicitudes especiales. En los contratos también se debe abordar la responsabilidad y el coste adicional que supone pagar y mantener el hardware y el software. Cualquier condición en la que se pueda cambiar la estructura de costes debe abordarse en detalle, incluidos los límites de los incrementos de costes. Consulta también las secciones sobre los métodos de precios y los paquetes en este manual.

Consulta tu contrato de servicios financieros de Google Cloud.

Auditoría

En Google nos comprometemos a ayudar a las instituciones con auditorías o análisis de nuestros servicios. Como esta asistencia no se incluye en las cuotas de servicio que se publican habitualmente, Google puede cobrar una comisión adicional por la auditoría o análisis. Si se conoce el ámbito de la actividad, Google proporcionará más detalles sobre las tarifas por adelantado.

Condiciones de Pago
43 Propiedad y licencia. En este contrato, se debe abordar la propiedad, el derecho y el uso permitido de los datos, el equipo o hardware, la documentación del sistema, el software de las aplicaciones y del sistema, y otros derechos de propiedad intelectual de la institución. La institución debe mantener claramente la propiedad de los datos. Entre otros derechos de propiedad intelectual se pueden incluir el nombre y el logotipo de la institución, sus marcas comerciales o materiales protegidos por derechos de autor, nombres de dominio, diseños de sitios web y otros productos fruto del trabajo desarrollado por el proveedor de servicios para la institución. En la guía de desarrollo y adquisición del manual de TI encontrarás más información sobre el desarrollo de software personalizado como soporte para los servicios de externalización.

Datos

Conservas todos los derechos de propiedad intelectual sobre tus datos, los datos que obtengas a partir de ellos mediante el uso de nuestros servicios y tus aplicaciones. Consulta la fila 28 para ver el compromiso de Google con respecto al uso y la protección de tus datos.

Marcas, logotipos, etc.

Google no utilizará tus recursos de marca sin tu consentimiento previo.

Propiedad ntelectual

Marketing y publicidad
44 Duración. Al negociar la duración adecuada del contrato y los periodos de renovación, las instituciones deben tener en cuenta el tipo de tecnología y el estado actual del sector. Aunque los contratos de tecnología a largo plazo presentan ventajas, puede que algunas tecnologías estén sujetas a cambios rápidos y un contrato a corto plazo puede resultar beneficioso. Del mismo modo, las instituciones deben tener en cuenta el tiempo necesario para notificar al proveedor de servicios de la intención de las autoridades de no renovar el contrato antes de su vencimiento. Las instituciones deben considerar la coordinación de las fechas de vencimiento de los contratos para los servicios relacionados entre sí (por ejemplo, sitios web, telecomunicaciones, programación o asistencia de red) de forma que coincidan, siempre que sea pertinente. Esta coordinación puede reducir el riesgo de rescindir el contrato antes de tiempo y de incurrir en sanciones debido a la necesidad de rescindir otro contrato de servicio relacionado. Consulta tu contrato de servicios financieros de Google Cloud. Periodo de Vigencia y resolución
45 Resolución de disputas. La institución debe considerar la incorporación de una disposición relacionada con un proceso de resolución de disputas por el que se intenten resolver los problemas de manera diligente, así como una disposición para la continuación de los servicios durante el periodo de resolución de la disputa. Consulta tu contrato de servicios financieros de Google Cloud. Legislación aplicable
46 Indemnización. Las disposiciones relacionadas con la indemnización deben obligar al proveedor de servicios a eximir a la institución financiera de la responsabilidad por la negligencia del proveedor de servicios. El asesor jurídico debe revisar estas disposiciones para asegurarse de que la institución no será responsable de las reclamaciones derivadas de la negligencia del proveedor de servicios. Consulta tu contrato de servicios financieros de Google Cloud. Indemnización
47 Limitación de responsabilidades. Algunos contratos estándar del proveedor de servicios pueden incluir cláusulas que limiten el nivel de responsabilidad en el que pueda incurrir el proveedor de servicios. Si la institución está considerando un contrato de este tipo, los directivos deben evaluar si la limitación de los daños se corresponde con el nivel razonable de pérdidas al que se podría ver expuesta la institución financiera como consecuencia del incumplimiento de las obligaciones del proveedor de servicios. Consulta tu contrato de servicios financieros de Google Cloud. Responsabilidad
48 Rescisión. Los directivos deben evaluar los plazos y los gastos de las disposiciones sobre la rescisión del contrato. La magnitud y la flexibilidad de los derechos de rescisión pueden variar en función del servicio. Las instituciones deben tener en cuenta los derechos de rescisión según una serie de condiciones, incluidos los cambios en el control (por ejemplo, adquisiciones y fusiones), la conveniencia, el aumento significativo del coste, los incumplimientos repetidos de los niveles de servicio, los fallos en la prestación de servicios esenciales, la quiebra, el cierre de la empresa y la insolvencia. En el contrato se deben abordar los requisitos de notificación y plazos que debe cumplir el proveedor de servicios para la devolución oportuna de los datos y recursos de la institución en un formato legible tras la rescisión. Los costes relacionados con la asistencia de conversión también deben indicarse claramente.

Rescisión

Las instituciones pueden optar por rescindir por completo nuestro contrato con antelación por conveniencia, incluyendo si Google aumenta las tarifas o si es necesario para cumplir la ley.

Además, las instituciones pueden rescindir el contrato avisando por adelantado a Google del incumplimiento sustancial del mismo tras un periodo de subsanación, por un cambio en el control o por insolvencia de Google.

Transferir

Google reconoce que las instituciones necesitan tiempo suficiente para dejar de usar nuestros servicios (incluida la transferencia de los servicios a otro proveedor de servicios). Para ayudar a las instituciones a lograr este objetivo, Google seguirá ofreciendo los servicios durante 12 meses tras la caducidad o rescisión del contrato.

Google te permitirá acceder a tus datos y exportarlos a lo largo de nuestro contrato y durante el periodo de transición tras la rescisión. Puedes exportar tus datos desde los servicios en varios formatos estándar del sector. Por ejemplo:

  • Google Kubernetes Engine es un entorno gestionado listo para la fase de producción que permite la portabilidad entre diferentes nubes y entornos on‐premise.
  • Migrar a contenedores te permite mover y convertir cargas de trabajo directamente en contenedores de Google Kubernetes Engine.
  • Puedes exportar o importar una imagen de máquina virtual completa con un archivo .tar. Encontrarás más información sobre las imágenes y las opciones de almacenamiento en la página de documentación de Compute Engine.

Periodo de Vigencia y resolución

Plazo de transición

Exportación de datos (términos de seguridad y tratamiento de datos)

49 Cesión. La institución debe considerar la inclusión de disposiciones contractuales por las que se prohíba la cesión del contrato a un tercero sin el consentimiento de la institución. En las disposiciones relacionadas con la cesión también se deben indicar los requisitos de notificación de los cambios en los subcontratistas materiales.

Tarea

Consulta tu contrato de servicios financieros de Google Cloud.

Subcontratación

Consulta la fila 41 sobre la subcontratación.

Tarea
50 Proveedores de servicios extranjeros. Las instituciones que establezcan contratos con proveedores de servicios extranjeros deberán tener en cuenta otros aspectos y disposiciones adicionales relacionados con el contrato. Consulta el apéndice C incluido en este manual.

Google LLC es el proveedor de servicios para instituciones de Estados Unidos. Google LLC se rige por la legislación del estado de Delaware (EE. UU.).

Consulta tu contrato de servicios financieros de Google Cloud para obtener más información sobre la legislación aplicable y la jurisdicción que corresponde a nuestro contrato.

Legislación aplicable
51 Cumplimiento de las normativas. Las instituciones financieras deben asegurarse de que los contratos con los proveedores de servicios incluyan un acuerdo por el que el proveedor de servicios y sus servicios cumplan los requisitos y las directrices normativas correspondientes. La disposición también debe indicar que el proveedor de servicios acepta proporcionar información precisa y acceso puntual a las agencias reguladoras competentes en función del tipo y el nivel de servicio que presta a la institución financiera.

Cumplimiento

Google cumplirá todas las leyes, normativas y directrices normativas vinculantes en virtud de la prestación de los servicios.

Acceso de las agencias reguladoras

Google concede derechos de acceso e información a las agencias reguladoras y a sus respectivos propietarios.

Manifestaciones y garantías

Información del regulador, auditoría y acceso