Asignación

Administración de riesgos del FFIEC para la subcontratación de servicios tecnológicos

Asignación en Google Cloud Platform

Este documento está diseñado para ayudar a las instituciones financieras (“instituciones”) dentro del mandato del Consejo Federal de Análisis de Instituciones Financieras (“FFIEC”) a considerar el Folleto de servicios de tecnología de subcontratación (el “Folleto de subcontratación del FFIEC”) en el contexto de Google Cloud Platform (“GCP”) y el Contrato de Servicios financieros de Google Cloud.

Nos enfocamos en las secciones de diligencia debida y problemas de contratos del folleto de subcontratación del FFIEC. Para cada párrafo de estas secciones, proporcionamos comentarios que te ayudarán a comprender la forma en que puedes abordar el Folleto de subcontratación del FFIEC mediante los servicios de Google Cloud y el Contrato de servicios financieros de Google Cloud.

# Referencia Comentario de Google Cloud Referencia del contrato de servicios financieros de Google Cloud
1. Diligencia debida
2 Una institución financiera debe actuar con diligencia debida con respecto a la respuesta del proveedor de servicios a una RFP y al propio proveedor de servicios. La diligencia debida debe servir como una herramienta de verificación y análisis, lo que garantiza que el proveedor de servicios satisfaga las necesidades de la institución. La diligencia debida debe confirmar y evaluar la siguiente información sobre el proveedor de servicios: Google reconoce que debe realizar una evaluación de riesgo con diligencia debida antes de decidir usar nuestros servicios. Para ayudarlo, a continuación proporcionamos información de cada una de las áreas que debe considerar. N/A
3
  • Existencia e historia corporativa;
 La información sobre la historia corporativa de Google Cloud está disponible en la página Relaciones de inversionistas de Alphabet. N/A
4
  • Calificaciones, antecedentes y reputación de los jefes de la empresa, incluidas verificaciones de antecedentes penales cuando corresponda;

Jefes de empresas

La información sobre el equipo de liderazgo de Google Cloud está disponible en nuestra página de Recursos multimedia.

Verificaciones de antecedentes

Google realiza verificaciones de antecedentes de nuestros empleados en los casos en que la ley lo permita para brindar un entorno seguro para nuestros clientes y empleados.

N/A
5
  • Otras empresas que usan servicios similares del proveedor a las que se podría contactar para referencia
La información sobre los clientes que se pueden encontrar (incluso en el sector de servicios financieros) está disponible en nuestra página de Clientes de Google Cloud. N/A
6
  • Estado financiero, incluidas reseñas de los estados financieros auditados;
Puedes revisar el estado financiero de Google y los estados financieros auditados en la página Relaciones de inversionistas de Alphabet. N/A
7
  • Estrategia y reputación;
Estrategia

La información sobre las estrategias de Google Cloud está disponible en la página Relaciones de inversionistas de Alphabet.

Reputación

Google Cloud fue nombrado líder como líder en varios informes de analistas externos. de la industria Puedes leerlos en nuestra página Informes de analistas.

N/A
8
  • Capacidad, estado y efectividad de la entrega de servicios;
La información sobre la capacidad y la eficacia de entrega de los servicios de Google Cloud está disponible en nuestra página Elige Google Cloud. Además, puedes revisar los informes de analistas externos de la industria en nuestra página Informes de analistas. N/A
9
  • Arquitectura de sistemas y tecnología;

La información sobre la arquitectura de sistemas y tecnología de Google Cloud está disponible en nuestra página Elige Google Cloud.

N/A
10
  • Entorno de controles internos, historial de seguridad y cobertura de auditorías:

Google reconoce que las instituciones necesitan revisar nuestros controles internos como parte de su evaluación de riesgos. Para brindar ayuda, Google se somete a varias auditorías externas independientes una vez por año como mínimo a fin de proporcionar una verificación independiente de nuestras operaciones y nuestros controles internos. Google se compromete a cumplir con los siguientes estándares internacionales clave durante toda la vigencia de nuestro contrato contigo:

N/A
11
  • Cumplimiento legal y regulatorio, incluidos reclamos, litigios o acciones regulatorias;
La información sobre los procedimientos legales pendientes pertinentes se encuentra disponible en nuestros informes anuales en la página Relaciones de inversionistas de Alphabet. N/A
12
  • Confiar y tener éxito en el trabajo con proveedores de servicios externos;
 Consulta la fila 41 de la subcontratación. N/A
13
  • Cobertura de seguro; y
 Google mantendrá la cobertura de seguro contra varios riesgos identificados. N/A
14
  • Capacidad de cumplir con los requisitos de recuperación ante desastres y continuidad del negocio.
 Consulta la fila 40 sobre los planes de contingencia y reanudación del negocio. N/A
15 Otros elementos importantes incluyen el sondeo para obtener información sobre intangibles, como la filosofía de servicio, las iniciativas de calidad y el estilo de administración del tercero. La cultura, los valores y los estilos de negocio deben cumplir con los de la institución financiera. Puedes revisar la información sobre nuestra misión, filosofía y cultura en la página Relaciones de inversionistas de Alphabet. También proporciona información sobre nuestras políticas de la organización, como nuestro Código de conducta. N/A
16 Cuando se considera un proveedor de servicios extranjero, la evaluación debe abordar la relación, teniendo en cuenta los elementos anteriores, la información que se menciona en el Apéndice C y los proveedores de servicios externos extranjeros. Consulta la fila 50. N/A
17 Las instituciones financieras pueden actuar con diligencia debida con uno o más de los proveedores de servicios que responden a la RFP. La profundidad y formalidad de la diligencia debida pueden variar según el riesgo de la relación subcontratada, el conocimiento que tiene la institución sobre los proveedores de servicios potenciales y la etapa del proceso de selección de proveedores. Una vez que las instituciones emiten RFP, reciben y evalúan respuestas, y actúan con diligencia debida, inician negociaciones contratuales con uno o más de los proveedores de servicios que consideran que pueden satisfacer mejor sus necesidades. Esta es una consideración del cliente. N/A
18. Problemas con el contrato
19

Después de seleccionar un proveedor de servicios, la administración debe negociar un contrato que cumpla con sus requisitos. La RFP y la respuesta del proveedor de servicios se pueden usar como entradas para este proceso. El contrato es el documento de vinculación legal que define todos los aspectos de la relación de servicio. Debe haber un contrato escrito en todas las relaciones de servicio. Esto incluye casos en los que el proveedor de servicios está afiliado a la institución. Cuando se contrata a un afiliado, la institución debe garantizar que los costos y la calidad de los servicios proporcionados sean coherentes con los de un proveedor no afiliado. El contrato es el único control más importante en el proceso de subcontratación. Debido a la importancia del contrato, la administración debe hacer lo siguiente:

  • Verificar la exactitud de la descripción de la relación de subcontratación en el contrato;
  • Garantizar que el contrato esté escrito de manera clara y que incluya suficientes detalles para definir los derechos y las responsabilidades de cada parte de forma integral; e
  • Involucrar a un asesor legal al comienzo del proceso para preparar y revisar el contrato propuesto.
El contrato de servicios financieros de Google Cloud define los aspectos de la relación de servicio. N/A
20. Entre los ejemplos de elementos de contrato que se deben considerar se incluyen:
21 Alcance del servicio. El contrato debe describir claramente los derechos y las responsabilidades de las partes del contrato. Se deben tener en cuenta las siguientes consideraciones: Los derechos, las responsabilidades y las obligaciones de las partes se establecen en el Contrato de servicios financieros de Google Cloud. N/A
22
  • Descripciones de las actividades requeridas, los plazos para su implementación y la asignación de responsabilidades. Las disposiciones de implementación deben tener en cuenta otros sistemas existentes o sistemas interrelacionados para ser desarrolladas por diferentes proveedores de servicios (p. ej., un sistema bancario de Internet que se integra con la personalización de los sistemas o las aplicaciones principales existentes).

Actividades

Los servicios de GCP se describen en nuestra página de resumen de servicios.

Integración

Hay varias maneras de integrar nuestros servicios en tus sistemas.

  • >La consola de Cloud te permite buscar y verificar el estado de todos tus recursos de Google Cloud en un solo lugar, incluidas las máquinas virtuales, la configuración de red y el almacenamiento de datos.
  • Las API de Cloud te permiten acceder a los productos de Google Cloud desde tu código y automatizar tus flujos de trabajo con el lenguaje de programación que prefieras.
Definiciones
23
  • Obligaciones del proveedor de servicios y los servicios que debe llevar a cabo, incluidos el mantenimiento y la asistencia para software, la capacitación de los empleados o la atención al cliente;

Google proporcionará los servicios descritos en nuestra página deresumen de servicios de acuerdo con los Acuerdos de Nivel de Servicio de Google Cloud Platform.

Los servicios de asistencia se describen en nuestra página de lineamientos de los servicios de asistencia técnica.

Google proporciona documentación para explicar cómo las instituciones y sus empleados pueden usar nuestros servicios. Si una institución quiere una capacitación más guiada, Google también proporciona una variedad de cursos y certificaciones.

Servicios

Asistencia técnica

24
  • Obligaciones de la institución financiera;
  • Consulta tu contrato de servicios financieros de Google Cloud.
25
  • Los derechos de las partes contratantes para modificar los servicios existentes prestados según el contrato; y

Google actualiza los servicios continuamente para permitir que nuestros clientes aprovechen la tecnología más actualizada. Dada la naturaleza “uno a varios” del servicio, las actualizaciones se aplican a todos los clientes al mismo tiempo.

Google no realizará actualizaciones que reduzcan de forma concreta la funcionalidad, el rendimiento, la disponibilidad o la seguridad de los Servicios.

Si Google necesita interrumpir un servicio sin reemplazarlo, recibirás un aviso con un mínimo de 12 meses de anticipación. Durante este período, Google seguirá proporcionando asistencia y actualizaciones de seguridad y productos.

Cambios en los servicios
26
  • Lineamientos para agregar servicios nuevos o diferentes, así como para renegociar contratos

Servicios nuevos

Google lanza nuevos servicios de forma continua a fin de ofrecer a nuestros clientes las funciones y funcionalidades más recientes. Los servicios nuevos se agregan a la página de resumen de servicios cuando están disponibles, y cada cliente puede elegir si desea usarlos según su contrato existente.

Renegociación de contrato

A medida que cambian los servicios y la tecnología, Google puede actualizar ciertos términos en las URL que se aplican a todos nuestros clientes. Todas las actualizaciones deben cumplir con criterios estrictos. Por ejemplo, no deben derivar en una degradación material de la seguridad general de los servicios ni tener un impacto adverso material sobre tus derechos existentes. Además de estas actualizaciones limitadas, cualquier cambio de contrato debe realizarse por escrito y estar firmado por ambas partes.

Actualizaciones de los servicios y las condiciones

Cambios en las condiciones; enmiendas

27 Estándares de rendimiento. Las instituciones deben incluir estándares de rendimiento que definan requisitos mínimos de nivel de servicio y soluciones para cuando no se cumplen los estándares en el contrato. Por ejemplo, las métricas comunes de nivel de servicio incluyen el porcentaje de tiempo de actividad del sistema, los plazos para completar el procesamiento por lotes o la cantidad de errores de procesamiento. Los estándares de la industria para niveles de servicio pueden proporcionar un punto de referencia. La institución debe revisar periódicamente los estándares de rendimiento generales para garantizar la coherencia con sus metas y objetivos. Consulta también la sección Acuerdo de Nivel de Servicio en este folleto. Los ANS ofrecen estándares y soluciones de rendimiento medibles para los servicios y están disponibles en nuestra página de Acuerdos de Nivel de Servicio de Google Cloud Platform. Servicios
28 Seguridad y confidencialidad. El contrato debe abordar la responsabilidad del proveedor de servicios acerca de la seguridad y la confidencialidad de los recursos de la institución (p. ej, información, hardware). El acuerdo debe prohibir que el proveedor de servicios y sus agentes usen o divulguen la información de la institución, excepto cuando sea necesario para brindar los servicios contratados, y proteger contra el uso no autorizado (p. ej., divulgación de información con la competencia de la institución). Si el proveedor de servicios recibe información personal no pública en relación con los clientes de la institución, la institución debe verificar que el proveedor de servicios cumpla con todos los requisitos aplicables de las regulaciones de privacidad. Las instituciones deben solicitarle al proveedor de servicios que divulgue por completo las violaciones de la seguridad que deriven en intrusiones no autorizadas al proveedor de servicios, lo que podría afectar de forma significativa a la institución o a sus clientes. El proveedor de servicios debe informar a la institución cuando se produzcan intrusiones, el efecto en la institución y la acción correctiva para responder a la intrusión, en función de los acuerdos entre ambas partes. Seguridad

La seguridad y privacidad de la información cuando se usa un servicio en la nube consta de dos elementos clave:

Infraestructura de Google

Google administra la seguridad de nuestra infraestructura. Esto es la seguridad del hardware, el software, las herramientas de redes y las instalaciones que respaldan los Servicios.

Dada la naturaleza uno a varios de nuestro servicio, Google brinda la misma seguridad sólida para todos nuestros clientes.

Google brinda información detallada a los clientes sobre nuestras prácticas de seguridad para que los clientes puedan comprenderlas y considerarlas como parte de su propio análisis de riesgos.

Puedes encontrar más información en:

Tus datos y aplicaciones en la nube

Define la seguridad de tus datos y aplicaciones en la nube. Esto se refiere a las medidas de seguridad que eliges implementar y operar cuando usas los Servicios.

(a) Seguridad según la configuración predeterminada

Aunque queremos ofrecer la mayor cantidad de opciones posible en relación con tus datos, la seguridad de tus datos es de suma importancia para Google y nosotros tomamos las siguientes medidas proactivas para ayudarte:

  • Encriptación en reposo. GCP permite encriptar los datos del cliente almacenados en reposo según la configuración predeterminada, sin que debas realizar ninguna acción adicional. Para obtener más información, consulta https://cloud.google.com/security/encryption/default-encryption/.
  • Encriptación en tránsito Google encripta y autentica todos los datos en tránsito en una o más capas de red cuando los datos se transfieren fuera de los límites físicos no controlados por Google ni en su nombre. Para obtener más información, consulta https://cloud.google.com/security/encryption-in-transit.

(b) Productos de seguridad

Además de las otras herramientas y prácticas disponibles fuera de Google, puedes elegir usar las herramientas proporcionadas por Google para mejorar y supervisar la seguridad de tus datos. La información sobre los productos de seguridad de Google está disponible en nuestra página de Productos de seguridad en la nube.

(c) Recursos de seguridad

Google también publica información sobre lo siguiente:

Uso de tu información

Google se compromete a acceder a tus datos o usarlos solo a fin de proporcionarte los Servicios que hayas solicitado y no los usará para ningún otro producto, servicio o publicidad de Google.

Privacidad y datos personales no públicos

Google satisfará las leyes y reglamentaciones de privacidad aplicables a él en la prestación de los Servicios.

Violación de la seguridad

Google te notificará los incidentes de datos con rapidez y sin demora. Puedes encontrar más información sobre el proceso de respuesta de Google ante incidentes de datos en nuestro informe de respuesta ante incidentes de datos.

Seguridad de los datos Medidas de seguridad (Condiciones de Seguridad y Procesamiento de Datos)

Protección de los datos del cliente

Procesamiento de datos; Funciones y cumplimiento de las normas (Condiciones de Seguridad y Procesamiento de Datos)

Incidentes de datos (Condiciones de Seguridad y Procesamiento de Datos)

29. Controles. La administración debe considerar la implementación de las disposiciones del contrato que aborden los siguientes controles:
30
  • Controles internos del proveedor de servicios;

Google se somete a varias auditorías externas independientes una vez por año como mínimo a fin de proporcionar una verificación independiente de la efectividad de nuestros controles internos. Para que puedas ver la eficacia de nuestros controles internos en nuestra relación, Google se compromete a mantener certificaciones/informes de los siguientes estándares internacionales clave durante toda la vigencia de nuestro contrato contigo:

Informes de auditoría y certificaciones
31
  • Cumplimiento de los requisitos regulatorios aplicables;
 Google satisfará las leyes y reglamentaciones aplicables a él en la prestación de los Servicios. Manifestaciones y garantías
32
  • Registra los requisitos de mantenimiento del proveedor de servicios;
 Google otorga derechos de acceso y de información a las instituciones y a las personas designadas respectivas. Información, auditoría y acceso del cliente
33
  • Acceso a los registros por parte de la institución;
 Consulta la fila 32
34
  • Requisitos de notificaciones y derechos de aprobación para cualquier cambio material en los servicios, sistemas, controles, personal de proyectos clave y ubicaciones de servicio;

Servicios

Consulta la fila 25 sobre los cambios en los servicios.

Personal

Los clientes pueden operar los servicios de forma independiente, sin que el personal de Google realice ninguna acción. Aunque el personal de Google administra y mantiene el hardware, el software, las herramientas de redes y las instalaciones que admiten los Servicios, dada la naturaleza “uno a varios” de los servicios, no hay personal de Google dedicado a entregar los servicios a un cliente individual.

Ubicaciones

Para brindarte un servicio rápido, confiable, sólido y resiliente, Google puede almacenar y procesar tus datos en ubicaciones en las que Google o sus subprocesadores mantienen instalaciones.

Google proporciona los mismos compromisos contractuales y medidas técnicas y organizativas para tus datos, sin importar el país o la región en que se encuentren. En particular, considera lo siguiente:

  • Las mismas medidas sólidas de seguridad se aplican a todas las instalaciones de Google, independientemente del país o la región.
  • Google hace los mismos compromisos sobre todos sus subprocesadores, independientemente del país o la región.

Google te ofrece opciones sobre dónde almacenar tus datos, incluida una opción para almacenar tus datos en Estados Unidos. Una vez que elijas dónde almacenar tus datos, Google no los almacenará fuera de las regiones que elegiste.

También puedes elegir usar las herramientas proporcionadas por Google para cumplir con los requisitos de ubicación de datos. Para obtener más información, consulta nuestro Informe sobre residencia de datos, transparencia operativa y privacidad en Google Cloud.

Transferencias de datos (Condiciones de Seguridad y Procesamiento de Datos)

Seguridad de los datos, Subprocesadores (Condiciones de Seguridad y Procesamiento de Datos)

Ubicación de los datos (Condiciones específicas del servicio)

35
  • Configurar y supervisar parámetros para funciones financieras, como el procesamiento de pagos o las extensiones de crédito en nombre de la institución; y
Debido a la naturaleza de los servicios, Google no realiza el procesamiento de pagos (en el sentido previsto en el folleto) ni las extensiones de crédito en nombre de la institución. N/A
36
  • Cobertura de seguro que mantiene el proveedor de servicios.
Google mantendrá la cobertura de seguro contra varios riesgos identificados. Seguros
37 Auditoría. La institución debe incluir en el contrato los tipos de informes de auditoría que puede recibir (p. ej., revisiones de finanzas, control interno y seguridad). El contrato debe especificar la frecuencia de auditoría, los cargos por obtener las auditorías, los derechos de la institución y sus agencias reguladoras a fin de obtener los resultados de las auditorías de manera oportuna. El contrato también puede especificar derechos para obtener documentación sobre la resolución de las deficiencias y para inspeccionar las instalaciones de procesamiento y las prácticas operativas del proveedor de servicios. La administración debe tener en cuenta, en función de la fase de evaluación de riesgos, si puede depender de auditorías internas o si es necesario realizar auditorías y revisiones externas.

Informes de auditoría

Consulta la fila 10 para obtener más información sobre los informes de auditoría que proporciona Google. Google se compromete a mantener estos informes durante toda la vigencia de nuestro contrato contigo. Los informes se producen, como mínimo, una vez al año después de una auditoría realizada por un tercero independiente.

Puedes revisar los informes actuales de auditoría y certificaciones de Google en cualquier momento.

  • Las certificaciones ISO de Google están disponibles aquí.
  • Los informes de SOC y la Certificación de cumplimiento (AOC) de PCI de Google están disponibles a través de tu representante de cuenta de Google Cloud.

Las instituciones pueden proporcionar estos materiales a sus agencias reguladoras.

Inspección

Google reconoce que las instituciones deben poder auditar nuestros servicios de manera efectiva. Google otorga derechos de auditoría a las instituciones y a sus auditores independientes, incluso para inspeccionar las instalaciones de procesamiento y las prácticas operativas de Google. La institución está más calificada para decidir la frecuencia de auditoría adecuada para la organización. Nuestro contrato no limita a las instituciones a una cantidad fija de auditorías.

Informes de auditoría y certificaciones;

Habilita el cumplimiento de los clientes

38 En el caso de los servicios que involucran acceso a redes abiertas, como servicios relacionados con Internet, la administración debe prestar especial atención a la seguridad. La institución debe considerar incluir los términos del contrato que requieren revisiones periódicas de control realizadas por una parte independiente con suficiente experiencia. Estas pueden incluir pruebas de penetración, detección de intrusiones, revisiones de configuración de firewall y otras revisiones de control independientes. La institución debe recibir informes lo suficientemente detallados sobre los resultados de estas auditorías en curso para evaluar la seguridad de manera adecuada sin comprometer la seguridad del proveedor de servicios. Puede realizar pruebas de penetración de los Servicios en cualquier momento sin la aprobación previa de Google. Además, Google involucra a un tercero independiente y calificado para realizar pruebas de penetración de los Servicios. Puedes encontrar más información aquí. Pruebas de penetración del cliente
39 Informes Los términos contractuales deben incluir la frecuencia y el tipo de informes que recibirá la institución (p. ej., informes de rendimiento, auditorías de control, estados financieros, seguridad e informes de pruebas de reanudación del negocio). Los contratos también deben describir los lineamientos y las tarifas para obtener informes personalizados.

Informes de rendimiento

Puedes supervisar el rendimiento de Google de los Servicios (incluidos los ANS) de forma periódica con la funcionalidad de los servicios.

Por ejemplo:

  • El Panel de estado proporciona información del estado de los Servicios.
  • Las operaciones de Google Cloud son una solución integrada de supervisión, registro y diagnóstico alojada que te ayuda a obtener estadísticas sobre tus aplicaciones que se ejecutan en GCP.
  • La Transparencia de acceso es una función que te permite revisar registros de las acciones que realiza el personal de Google en relación con tus datos. Las entradas de registro incluyen el recurso afectado, el momento de la acción y el motivo de la acción (p. ej., el número de caso asociado a la solicitud de asistencia), y datos acerca de quién actúa sobre los datos (p. ej., la ubicación del personal de Google)

Informes financieros

Google ofrece herramientas de facturación que los clientes pueden usar para obtener informes sobre el uso de los Servicios y sobre los costos asociados. Para obtener más información, consulta la página de documentación Facturación de Cloud y la página Exporta datos de Facturación de Cloud a BigQuery.

Informes de auditoría y seguridad

Consulta la fila 10.

Informes de prueba de reanudación del negocio

Consulta la fila 40.

Desarrollos significativos

Google generará información sobre los desarrollos que tengan un impacto significativo en su capacidad para prestar los Servicios de acuerdo con los ANS disponibles. Para obtener más información, consulta nuestro panel de incidentes y de Google Cloud.

Supervisión de rendimiento en curso

Desarrollos significativos

40 Planes de contingencia y reanudación del negocio. El contrato debe abordar la responsabilidad del proveedor de servicios para proteger copias de seguridad y registros (lo que incluye los equipos, los programas y los archivos de datos), y mantener los planes de contingencia y recuperación ante desastres. Los contratos deben describir la responsabilidad del proveedor de servicios para probar los planes con regularidad y proporcionar los resultados a la institución. La institución debe considerar las interdependencias entre los proveedores de servicios cuando determina los requisitos de prueba de reanudación del negocio. El proveedor de servicios debe proporcionar a la institución una copia del plan de contingencia, en el cual se deben describir los procedimientos operativos necesarios en caso de interrupción de los negocios. Los contratos deben incluir disposiciones específicas para los períodos de recuperación del negocio que cumplan con los requisitos empresariales de la institución. La institución debe asegurarse de que el contrato no contenga ninguna disposición que impida al proveedor de servicios implementar sus planes de contingencia.

Google implementará un plan de contingencia del negocio y de recuperación ante desastres para nuestros servicios, lo revisará y lo probará al menos una vez al año, y se asegurará de mantenerlo actualizado con los estándares de la industria. Las instituciones pueden revisar nuestro plan y los resultados de la prueba.

Además, la información sobre cómo los clientes pueden usar nuestros Servicios en sus propios planes de contingencia del negocio y de recuperación ante desastres está disponible en nuestra Guía de planificación de recuperación ante desastres.

Continuidad del negocio y recuperación ante desastres
41 Subcontratación y relaciones de proveedores de servicios múltiples. Algunos proveedores de servicios pueden contratar a terceros para proporcionar servicios a la institución financiera. Las instituciones deben conocer y aprobar a todos los subcontratistas. Para proporcionar responsabilidad, la institución financiera debe designar al proveedor de servicios de contratación principal en el contrato. El contrato también debe especificar que el proveedor de servicios de contratación principal es responsable de los servicios descritos en el contrato, independientemente de qué entidad realmente realiza las operaciones. Además, la institución debe considerar incluir requisitos de notificación y aprobación relacionados con los cambios en los subcontratistas importantes del proveedor de servicios.

Google reconoce que las instituciones necesitan considerar los riesgos asociados a la subcontratación. También queremos proporcionarte a ti y a todos nuestros clientes el servicio más confiable, sólido y resiliente que podamos. En algunos casos, puede haber beneficios claros en trabajar con otras organizaciones de confianza, p. ej., brindar asistencia las 24 horas, todos los días.

Responsabilidad

Google exige que nuestros subcontratistas cumplan con los mismos estándares altos que nosotros. En particular, Google requiere que nuestros subcontratistas cumplan con el contrato que tenemos contigo. Google seguirá siendo responsable del cumplimiento de todas las obligaciones subcontratadas.

Información y cambios

Para permitir que las instituciones retengan la supervisión de todos los subcontratos y brinden opciones sobre los servicios que usan las instituciones, Google hará lo siguiente:

  • proporcionar información sobre nuestros subcontratistas (incluida su función y ubicación);
  • proporcionar avisos anticipados de los cambios a nuestros subcontratistas; y
  • dar a las instituciones la posibilidad de rescindir el contrato si tienen dudas sobre un nuevo subcontratista.
Subcontratistas de Google
42 Costo. El contrato debe describir completamente el cálculo de las tarifas de los servicios básicos, incluido cualquier servicio de desarrollo, conversión y recurrente, así como cualquier cargo que se base en el volumen de actividad o en solicitudes especiales. Los contratos también deben abordar la responsabilidad y el costo adicional de comprar y mantener el hardware y el software. Cualquier condición en la que se modifique la estructura de costos debe abordarse en detalle, incluidos los límites de los aumentos de costos. En este folleto, consulta también las secciones Agrupación en paquetes y Métodos de fijación de precios.

Consulta tu contrato de servicios financieros de Google Cloud.

Auditoría

Google tiene el compromiso de brindar asistencia a las instituciones con auditorías o análisis de nuestros servicios. Debido a que esta asistencia no se incluye en las tarifas habituales de nuestro servicio, es posible que Google cobre una tarifa adicional en relación con una auditoría o un análisis. Google proporcionará más detalles de cualquier tarifa antes de la actividad cuando se conozca el alcance de la actividad.

Condiciones de pago
43 Propiedad y licencia. El contrato debe abordar la propiedad, los derechos y el uso permitido de los datos, el equipo o el hardware, la documentación del sistema, y el software del sistema y de aplicaciones de la institución, así como cualquier otro derecho de propiedad intelectual. La propiedad de los datos de la institución debe recaer claramente sobre la institución. Otros derechos de propiedad intelectual pueden incluir el nombre y el logotipo de la institución, su marca o material protegido por derechos de autor, nombres de dominio, diseños de sitios web y otros productos de trabajo desarrollados por el proveedor de servicios para la institución. Puedes encontrar información adicional sobre el desarrollo de software personalizado para admitir servicios subcontratados en el "Folleto de desarrollo y adquisición" del Manual de TI.

Datos

Conservarás todos los derechos de propiedad intelectual en tus datos y los datos que generes de tus datos mediante nuestros servicios y tus aplicaciones. Consulta la fila 28 para conocer el compromiso de Google sobre el uso y la protección de tus datos.

Marcas, logotipos, etcétera

Google no utilizará las características de tu marca sin tu aprobación previa.

Propiedad Intelectual

Marketing y publicidad
44 Duración. Las instituciones deben considerar el tipo de tecnología y el estado actual de la industria al negociar la duración adecuada del contrato y sus períodos de renovación. Si bien puede haber beneficios en los contratos tecnológicos a largo plazo, algunas tecnologías pueden estar sujetas a cambios rápidos, y un contrato a corto plazo puede resultar beneficioso. Del mismo modo, las instituciones deben considerar la cantidad de tiempo necesaria para notificar al proveedor de servicios de la intención de las instituciones de no renovar el contrato antes de que venza. Las instituciones deben considerar coordinar las fechas de vencimiento de los contratos de los servicios interregionales (p. ej., el sitio web, las telecomunicaciones, la programación, la asistencia de red) para que coincidan, cuando sea conveniente. Esta coordinación puede minimizar el riesgo de rescindir un contrato con anticipación e incurrir en sanciones como resultado de la rescisión necesaria de otro contrato de servicio relacionado. Consulta tu contrato de servicios financieros de Google Cloud. Período de vigencia y Rescisión
45 Resolución de disputas. La institución debe considerar incluir una disposición para un proceso de resolución de disputas que intente resolver los problemas de manera exhaustiva, así como una disposición para la continuidad de los servicios durante el período de resolución de disputas. Consulta tu contrato de servicios financieros de Google Cloud. Ley Aplicable
46 Indemnización. Las disposiciones de indemnización deben solicitarle al proveedor de servicios que deje a la institución financiera libre de responsabilidad por negligencia de dicho proveedor. El asesor legal debe revisar estas disposiciones para garantizar que la institución no sea responsable de los reclamos que surjan como resultado de la negligencia del proveedor de servicios. Consulta tu contrato de servicios financieros de Google Cloud. Indemnización
47 Limitación de Responsabilidades. Algunos contratos estándar de los proveedores de servicios pueden contener cláusulas que limitan la cantidad de responsabilidad que puede tener el proveedor de servicios. Si la institución está considerando un contrato de ese tipo, la administración debe evaluar si la limitación de daños genera una relación adecuada respecto de la cantidad de pérdidas que la institución financiera podría tener como resultado de la imposibilidad del proveedor de servicios para cumplir con sus obligaciones. Consulta tu contrato de servicios financieros de Google Cloud. Responsabilidad
48 Rescisión. La administración debe evaluar los plazos y los gastos de las disposiciones de rescisión del contrato. El alcance y la flexibilidad de los derechos de rescisión pueden variar según el servicio. Las instituciones deben considerar incluir los derechos de rescisión por diversas condiciones, como los cambios en el control (p. ej., adquisiciones y fusiones), la conveniencia, el aumento sustancial en los costos, la imposibilidad repetida para cumplir con los niveles de servicio, la imposibilidad para ofrecer servicios esenciales, servicios, la bancarrota, el cierre de la empresa y la insolvencia. El contrato debe establecer requisitos de notificación y plazo, y devolver de forma oportuna los datos y recursos de la institución en un formato legible por máquina después de la rescisión. También se debe indicar claramente cualquier costo asociado con la asistencia en la conversión.

Rescisión

Las instituciones pueden optar por rescindir nuestro contrato para su comodidad con un aviso anticipado, incluido si Google aumenta las tarifas o si es necesario para cumplir con la ley.

Además, las instituciones pueden rescindir nuestro contrato con un aviso anticipado por un incumplimiento sustancial de Google después de un período de subsanación, por un cambio en el control o por la insolvencia de Google.

Transferir

Google reconoce que las instituciones necesitan tiempo suficiente para salir de nuestros servicios (incluido para transferir servicios a otro proveedor de servicios). Para ayudar a las instituciones a lograr esto, cuando se solicite, Google seguirá prestando los servicios durante 12 meses después del vencimiento o la rescisión del contrato.

Google te permitirá acceder a tus datos y exportarlos durante la vigencia de nuestro contrato y durante el período de transición posterior a la rescisión. Puedes exportar tus datos desde los servicios en diversos formatos estándar de la industria. Por ejemplo:

  • Google Kubernetes Engine es un entorno administrado listo para la producción que permite la portabilidad entre diferentes nubes y entornos locales.
  • Migrate to Containers te permite trasladar y convertir cargas de trabajo directamente en contenedores de Google Kubernetes Engine.
  • Puedes exportar o importar una imagen de VM completa con el formato de archivo .tar. Encuentra más información sobre las opciones de imágenes y almacenamiento en nuestra página de documentación de Compute Engine.

Período de vigencia y Rescisión

Período de transición

Exportación de datos (Condiciones de Seguridad y Procesamiento de Datos)

49 Cesión. La institución debe considerar las disposiciones del contrato que prohíben la cesión del contrato a un tercero sin el consentimiento de la institución. Las disposiciones de cesión también deben reflejar los requisitos de notificación de cualquier cambio en los subcontratistas materiales.

Assignment

Consulta tu contrato de servicios financieros de Google Cloud.

Subcontratación

Consulta la fila 41 de la subcontratación.

Tarea
50 Proveedores de servicios extranjeros. Las instituciones que participan en contratos con proveedores de servicios extranjeros deben considerar diversos problemas y disposiciones adicionales del contrato. Consulta el Apéndice C incluido en este folleto.

Google LLC es el proveedor de los servicios para las instituciones de EE.UU. Google LLC está organizado según las leyes del estado de Delaware, EE.UU.

Consulta tu Contrato de servicios financieros de Google Cloud para obtener más información sobre la ley aplicable y la jurisdicción que se aplica a nuestro contrato.

Ley Aplicable
51 Cumplimiento de las normativas. Las instituciones financieras deben asegurarse de que los contratos con los proveedores de servicios incluyan un acuerdo en el que se indique que el proveedor de servicios y sus servicios cumplirán con la orientación y los requisitos regulatorios aplicables. La disposición también debe indicar que el proveedor de servicios acepta proporcionar información precisa y acceso oportuno a las agencias reguladoras correspondientes en función del tipo y nivel de servicio que brinda a la institución financiera.

Cumplimiento

Google cumplirá con todas las leyes, normativas y orientación regulatoria aplicable a él en la prestación de los Servicios.

Acceso de agencias reguladoras

Google otorga derechos de acceso y de información a las agencias reguladoras de las instituciones y a las personas designadas respectivas.

Manifestaciones y garantías

Información, auditoría y acceso del regulador