Mappage

Gestion des risques FFIEC pour l'externalisation des services technologiques

Application à Google Cloud Platform

Ce document est destiné à aider les institutions financières ("institutions") dans le cadre du mandat du Federal Financial Institutions Examination Council ("FFIEC") à prendre en compte les consignes du manuel FFIEC Outsourcing Booklet ("manuel d'externalisation du FFIEC") dans le contexte de Google Cloud Platform ("GCP") et du contrat de services financiers Google Cloud.

Nous nous concentrons sur les sections "Obligations de diligence" et "Questions liées au contrat" du manuel d'externalisation du FFIEC. Pour chaque paragraphe de ces sections, des commentaires sont proposés pour vous aider à comprendre comment prendre en compte les consignes du manuel d'externalisation du FFIEC dans le contexte des services Google Cloud et du contrat de services financiers Google Cloud.

# Référence Commentaires pour Google Cloud Texte du Contrat de services financiers Google Cloud
1. Obligations de diligence
2 Au titre de ses obligations de diligence, une institution financière doit effectuer des vérifications portant sur la réponse du fournisseur de services à un appel d'offres, ainsi que sur le fournisseur lui-même. Le devoir de diligence doit être considéré comme un outil de vérification et d'analyse, garantissant que le fournisseur de services répond aux besoins de l'institution. Les opérations de diligence doivent confirmer et évaluer les informations suivantes concernant le fournisseur de services: Google reconnaît que vos obligations de diligence vous imposent d'effectuer une évaluation des risques avant de décider d'utiliser nos services. Afin vous aider, nous avons regroupé les informations pour chaque domaine dans les lignes suivantes. ND
3
  • Historique de l'entreprise
Les informations sur l'histoire de Google Cloud sont disponibles sur la page des Relations investisseurs d'Alphabet. ND
4
  • Qualifications, antécédents professionnels et réputation des entités principales de l'entreprise, y compris vérification des antécédents criminels, le cas échéant.

Entités principales de l'entreprise

Des informations sur l'équipe de direction de Google Cloud sont disponibles sur la page Ressources multimédias.

Vérification des antécédents

Google effectue des vérifications des antécédents de ses employés lorsque la loi l'y autorise afin de fournir un environnement sécurisé à ses clients et employés.

ND
5
  • Autres sociétés qui font appel à des services similaires de l'entreprise et qui peuvent être contactées pour référence.
Vous trouverez des informations sur nos clients référencés (y compris dans le secteur des services financiers) sur la page Clients Google Cloud. ND
6
  • Situation financière, y compris avis d'état financiers audités
Vous pouvez consulter la situation financière de Google et les états financiers audités sur la page Relations investisseurs d'Alphabet. ND
7
  • Stratégie et réputation
Stratégie

Des informations sur les stratégies de Google Cloud sont disponibles sur la page Relations investisseurs d'Alphabet.

Réputation

Google Cloud figure parmi les leaders du marché dans les rapports de plusieurs analystes tiers du secteur. Vous pouvez les consulter sur la page Rapports d'analystes.

ND
8
  • Capacité, état et efficacité des services
Des informations sur la capacité et les performances des services de Google Cloud sont disponibles sur la page Choisir Google Cloud. Vous pouvez également consulter les rapports des analystes tiers du secteur sur la page Rapports d'analystes. ND
9
  • Technologies et architecture des systèmes

Des informations sur la technologie et l'architecture des systèmes de Google Cloud sont disponibles sur la page Choisir Google Cloud.

ND
10
  • Environnement des contrôles internes, historique de sécurité et couverture d'audit

Google reconnaît que les institutions doivent examiner nos contrôles internes dans le cadre de leur évaluation des risques. Dans ce but, Google se soumet à différents audits réalisés par des tiers indépendants, afin de fournir une vérification indépendante de nos opérations et contrôles internes. Google s'engage à respecter les normes internationales suivantes pendant la durée de notre contrat:

ND
11
  • Conformité légale et réglementaire, y compris les réclamations, litiges ou actions réglementaires
Des informations sur les procédures judiciaires en cours sont disponibles dans nos rapports annuels sur la page Relations investisseurs d'Alphabet. ND
12
  • Confiance et succès dans les relations avec les fournisseurs de services tiers
Reportez-vous à la ligne 41 sur la sous-traitance. ND
13
  • Couverture d'assurance
Google maintient une couverture d'assurance pour un certain nombre de risques identifiés. ND
14
  • Capacité à répondre aux exigences de reprise après sinistre et de continuité des activités
Reportez-vous à la ligne 40 sur les plans de reprise d'activité et les plans d'urgence. ND
15 D'autres éléments importants incluent la vérification d'informations sur les actifs incorporels, tels que les principes fondamentaux, les initiatives liées à la qualité et le style de gestion des services tiers. La culture, les valeurs et les styles entrepreneuriaux doivent correspondre à ceux de l'institution financière. Vous pouvez consulter les informations sur notre mission, nos principes fondamentaux et notre culture sur la page Relations investisseurs d'Alphabet. Vous y trouverez également des informations sur nos règles d'administration, telles que notre code de conduite. ND
16 Lorsqu'un fournisseur de services établi à l'étranger est pris en compte, l'évaluation doit porter sur la relation au vu des éléments ci-dessus et des informations détaillées dans l'annexe C, "Fournisseurs de services tiers établis à l'étranger". Reportez-vous à la ligne 50. ND
17 Les institutions financières peuvent faire l'objet d'une vérification de diligence sur un ou plusieurs des fournisseurs de services qui répondent à l'appel d'offres. La profondeur et la formalité des opérations de diligence peuvent varier en fonction du risque de la relation externalisée, de la connaissance de l'institution des fournisseurs de services potentiels et de la phase du processus de leursélection. Une fois les appels d'offres publiés, les réponses reçues et évaluées, puis les vérifications de diligence effectuées, les institutions commencent à négocier les contrats avec un ou plusieurs fournisseurs de services identifiés. Ces considérations sont d'ordre commercial. ND
18. Questions liées au contrat
19

Une fois un fournisseur de services sélectionné, la direction doit négocier un contrat répondant à ses besoins. L'appel d'offres et la réponse du fournisseur de services fournissent les informations de base pour ce processus. Le contrat est un document juridique contraignant qui définit tous les aspects de la relation de service. Un contrat écrit doit être présent dans toutes les relations de service. Cela inclut les instances où le fournisseur de services est affilié à l'institution. Lorsqu'un contrat est conclu avec une société affiliée, l'institution doit s'assurer que les coûts et la qualité de services fournis sont de même niveau que ceux d'un fournisseur non affilié. Le contrat constitue l'élément de contrôle le plus important du processus d'externalisation. En raison de l'importance du contrat, la direction doit:

  • vérifier l'exactitude de la description de la relation de sous-traitance dans le contrat ;
  • s'assurer que le contrat est rédigé de façon claire et qu'il contient suffisamment de détails pour définir de manière exhaustive les droits et les responsabilités de chaque partie ;
  • faire participer le conseiller juridique dès le début du processus pour préparer et réviser le contrat proposé.
Le contrat de services financiers Google Cloud définit les aspects de la relation de service. ND
20. Voici quelques exemples d'éléments contractuels à prendre en compte:
21 Champ d'application du service. Le contrat doit clairement décrire les droits et les responsabilités des parties au contrat. Points à prendre en compte: Les obligations relatives aux droits et aux responsabilités des parties sont définies dans le contrat de services financiers Google Cloud. ND
22
  • Description des activités requises, délais de mise en œuvre et attribution des responsabilités. Les conditions de mise en œuvre doivent tenir compte des autres systèmes existants ou connexes devant être développés par différents fournisseurs de services (par exemple, un système de banque en ligne intégré nécessitant l'adaptation des applications ou des systèmes principaux existants).

Activités

Les services GCP sont décrits sur la page Récapitulatif des services.

Intégration

Vous pouvez intégrer nos services à vos systèmes de plusieurs façons.

  • Cloud Console vous permet de rechercher et de vérifier l'état de toutes vos ressources Google Cloud depuis un seul emplacement, y compris les machines virtuelles, les paramètres réseau et le stockage des données.
  • Les API Cloud vous permettent d'accéder aux produits Google Cloud à partir de votre code et d'automatiser vos workflows dans le langage de programmation de votre choix.
Définitions
23
  • Obligations liées à la fourniture des services et services devant être assurés par le fournisseur de services, y compris les services d'assistance et de maintenance des logiciels, la formation des employés et le service client.

Google fournira les Services décrits sur la page Récapitulatif des services, conformément aux contrats de niveau de service Google Cloud Platform.

Les services d'assistance sont décrits sur la page Instructions relatives aux services d'assistance technique.

Google fournit une documentation expliquant comment les institutions et leurs employés peuvent utiliser nos services. Si une institution souhaite suivre une formation plus poussée, Google propose également une grande variété de cours et certifications.

Services

Assistance technique

24
  • Obligations de l'institution financière
  • Reportez-vous à votre contrat de services financiers Google Cloud.
25
  • les droits des parties contractantes liés à la modification des services existants effectués dans le cadre du contrat ;

Google met continuellement à jour les services pour permettre à nos clients de jouir de la technologie la plus avancée. La nature "un à plusieurs" de notre service nous permet d'appliquer les mises à jour à tous les clients en même temps.

Google n'effectuera pas de mises à jour pouvant sensiblement altérer les fonctionnalités, les performances, la disponibilité ou la sécurité des Services.

Si Google doit arrêter un service sans le remplacer, vous en serez averti au moins 12 mois à l'avance. Google continuera à fournir une assistance ainsi que des mises à jour du produit et de sécurité pendant cette période.

Modifications des Services
26
  • Consignes pour l'ajout de services ou de services différents, et renégociation du contrat.

Nouveaux services

Google introduit constamment de nouveaux services afin de proposer à ses clients les dernières fonctions et fonctionnalités. De nouveaux services sont ajoutés à la page Récapitulatif des services lorsqu'ils sont disponibles, et chaque client peut choisir de les utiliser ou non en vertu de son contrat existant.

Renégociation du contrat

À mesure que les services et la technologie évoluent, Google peut mettre à jour certaines conditions via les URL qui s'appliquent à tous ses clients. Toute mise à jour doit répondre à des critères stricts. Elles ne doivent par exemple pas entraîner une dégradation matérielle de la sécurité des services ni avoir un impact négatif substantiel sur vos droits existants. Au-delà de ces mises à jour limitées, toute modification du contrat doit être effectuée par écrit et signée par les deux parties.

Mises à jour des Services et des Conditions d'utilisation

Modifications apportées aux Conditions d'utilisation, Avenants

27 Critères relatifs aux performances. Les institutions doivent inclure des normes de performance qui définissent les exigences minimales de niveau de service et les solutions en cas de défaillance dans les conditions prévues au contrat. Par exemple, les métriques courantes de niveau de service incluent le pourcentage d'activité du système, le délai d'exécution du traitement par lot ou le nombre d'erreurs de traitement. Les normes du secteur pour les niveaux de service peuvent fournir un point de référence. L'institution doit régulièrement consulter les normes de performance globales pour garantir la cohérence avec ses objectifs. Consultez également la section "Contrat de niveau de service" de cette brochure. Les contrats de niveau de service définissent des normes de performance mesurables ainsi que des solutions en cas de défaillance des services. Ils sont disponibles sur la page Contrats de niveau de service de Google Cloud Platform. Services
28 Sécurité et confidentialité. Le contrat doit définir les responsabilités du fournisseur de services en ce qui concerne la sécurité et la confidentialité des ressources de l'institution (par exemple, les informations, le matériel). Le contrat doit prévoir l'interdiction pour le fournisseur de services et ses agents d'utiliser ou de divulguer les informations de l'institution, sauf si cela s'avère nécessaire à la fourniture des services objets du contrat et pour assurer une protection contre les utilisations non autorisées (par exemple, la divulgation d'informations aux concurrents de l'institution). Si le fournisseur de services reçoit des informations personnelles non publiques concernant les clients de l'institution, celle-ci doit vérifier que le fournisseur de services respecte toutes les dispositions légales relatives à la confidentialité des données. Les institutions doivent demander au fournisseur de services de divulguer dans leur intégralité les infractions à la sécurité des données pouvant entraîner des intrusions non autorisées dans les systèmes du fournisseur de services avec des conséquences significatives sur l'institution ou sur ses clients. Le fournisseur de services doit informer l'institution des intrusions qui se produisent, de leurs conséquences sur l'institution et des mesures correctives nécessaires pour y remédier, conformément aux accords entre les deux parties. Sécurité

La sécurité et la confidentialité des informations lors de l'utilisation d'un service cloud reposent sur deux éléments clés:

L'infrastructure de Google

Google gère la sécurité de notre infrastructure. Cela inclut la sécurité du matériel, des logiciels, du réseau et des installations nécessaires au fonctionnement des Services.

La nature "un à plusieurs" de notre service permet à Google d'appliquer les mêmes niveaux de sécurité rigoureux à tous nos clients.

Google fournit des informations détaillées aux clients concernant nos pratiques de sécurité, afin qu'ils puissent les comprendre et les prendre en compte dans le cadre de leur propre analyse des risques.

Pour plus d'informations, consultez les ressources suivantes :

Vos données et applications dans le cloud

Vous définissez la sécurité de vos données et applications dans le cloud. Il s'agit des mesures de sécurité que vous mettez en place et appliquez lorsque vous utilisez les Services.

(a) Sécurité par défaut

Nous souhaitons vous offrir le plus de flexibilité possible avec vos données. Toutefois, leur sécurité est d'une importance capitale pour Google. Pour vous protéger, nous respectons les mesures préventives suivantes :

(b) Produits de sécurité

En plus d'outils et de méthodes tiers, vous pouvez choisir d'utiliser les outils fournis par Google pour améliorer et protéger la sécurité de vos données. Les informations sur les produits de sécurité de Google sont disponibles sur notre page Produits de sécurité cloud.

(c) Ressources de sécurité

Google publie également des conseils sur les questions suivantes :

Utilisation de vos informations

Google s'engage à n'accéder à vos données et à ne les utiliser que pour fournir les Services que vous avez commandés, et à ne pas les utiliser pour tout autre produit, service ou publicité de Google.

Confidentialité et informations personnelles non publiques

Google s'engage à respecter les lois et réglementations en vigueur concernant la confidentialité dans le cadre de la fourniture des Services.

Failles de sécurité

Google vous avertit rapidement en cas d'incident lié aux données et sans délai. Pour en savoir plus sur le processus de gestion des incidents liés aux données de Google, consultez notre livre blanc consacré à la gestion des incidents liés aux données.

Sécurité des données ; Mesures de sécurité (Conditions relatives à la sécurité et au traitement des données)

Protection des Données client

Traitement des données, Rôles et Conformité réglementaire ( Conditions relatives à la sécurité et au traitement des données)

Incidents liés aux données (Conditions relatives à la sécurité et au traitement des données)

29. Contrôles. La direction doit envisager de mettre en œuvre des dispositions contractuelles couvrant les contrôles suivants:
30
  • Contrôles internes du fournisseur de services

Chaque année, Google se soumet à différents audits réalisés par des tiers indépendants, afin de fournir une vérification indépendante de l'efficacité de nos contrôles internes. Afin de vous offrir une visibilité sur l'efficacité de nos contrôles internes tout au long de notre relation, Google s'engage à maintenir des certifications et des rapports sur le respect des normes internationales suivantes pendant la durée de notre contrat:

Certifications et rapports d'audit
31
  • Conformité avec les exigences réglementaires applicables
Google s'engage à respecter l'ensemble des lois et réglementations en vigueur dans le cadre de la fourniture des Services. Déclarations et garanties
32
  • Exigences en matière de tenue des données enregistrées applicables au fournisseur de services
Google accorde les droits d'accès et d'informations aux institutions et à leurs représentants. Informations, audit et accès du client
33
  • Accès de l'institution aux données enregistrées
Reportez-vous à la ligne 32.
34
  • Exigences en matière de notification et droits d'approbation pour toute modification substantielle des services, des systèmes, des contrôles, du personnel de projet clé et des emplacements de services

Services

Reportez-vous à la ligne 25 sur les modifications apportées aux services.

Personnel

Les clients peuvent exploiter les services de manière indépendante, sans l'intervention du personnel de Google. Bien que le personnel de Google administre et gère le matériel, les logiciels, la mise en réseau et les installations qui prennent en charge les Services, la nature un à plusieurs des services implique qu'aucun membre du personnel de Google n'est chargé de fournir les services à un client en particulier.

Emplacements

Afin de vous offrir un service rapide, fiable, robuste et résilient, Google peut stocker et traiter vos données dans les cas où Google ou ses sous-traitants indirects gèrent des installations.

Google propose les mêmes engagements contractuels, mesures techniques et organisationnelles concernant vos données, quel que soit le pays ou la région où ils se trouvent. En particulier :

  • Les mêmes mesures de sécurité fiables s'appliquent à toutes les installations Google, quel que soit le pays ou la région.
  • Google s'engage dans les mêmes conditions pour tous ses sous-traitants, quel que soit leur pays ou leur région.

Google vous propose plusieurs solutions pour stocker vos données, y compris un choix de stockage des données aux États-Unis. Une fois que vous avez choisi où stocker vos données, Google s'engage à ne pas les stocker pas en dehors des régions que vous avez choisies.

Vous pouvez également choisir d'utiliser les outils fournis par Google pour appliquer les exigences relatives à l'emplacement des données. Pour plus d'informations, consultez notre Livre blanc sur la résidence, la transparence opérationnelle et la confidentialité des données sur Google Cloud.

Transferts de données (Conditions relatives à la sécurité et au traitement des données)

Sécurité des données, Sous-traitants indirects (Conditions relatives à la sécurité et au traitement des données)

Emplacement des données (Conditions d'utilisation spécifiques des Services)

35
  • Définition et surveillance des paramètres des fonctions financières, y compris du traitement des paiements ou des extensions de crédit pour le compte de l'institution
Compte tenu de la nature des services, Google n'effectue aucun traitement des paiements (conformément à l'usage prévu dans la brochure) ni des extensions de crédit pour le compte de l'institution. ND
36
  • Couverture d'assurance fournie par le fournisseur de services
Google maintient une couverture d'assurance pour un certain nombre de risques identifiés. Assurances
37 Audit. L'institution doit inclure dans le contrat les types de rapports d'audit qu'elle est habilitée à recevoir (par exemple, financier, contrôle interne et examens de sécurité). Le contrat doit spécifier la fréquence d'audit, les frais liés à l'obtention des rapports d'audit, ainsi que les droits de l'institution et de ses autorités de contrôle à obtenir les résultats de ces audits en temps opportun. Le contrat peut également spécifier les droits d'obtention de la documentation sur la résolution des défaillances, d'inspection des installations de traitement, ainsi que des pratiques opérationnelles du fournisseur de services. La direction doit examiner, selon la phase d'évaluation des risques, si les audits internes sont suffisants ou s'il est nécessaire d'effectuer des audits et des examens externes.

Rapports d'audit

Pour en savoir plus sur les rapports d'audit fournis par Google, reportez-vous à la ligne 10. Google s'engage à conserver ces rapports pendant toute la durée du contrat. Les rapports sont générés au moins une fois par an après un audit par un tiers indépendant.

Vous pouvez consulter les certifications et rapports d'audit actuels de Google à tout moment.

  • Les certifications ISO de Google sont disponibles ici.
  • Les rapports SOC et l'attestation de conformité PCI (AOC) de Google sont disponibles via votre responsable de compte Google Cloud.

Les institutions peuvent fournir ces documents à leurs autorités de contrôle.

Inspection

Google reconnaît que les institutions doivent pouvoir auditer nos services efficacement. Google accorde des droits d'audit aux institutions et à leurs auditeurs indépendants, y compris pour inspecter les installations de traitement et les pratiques opérationnelles de Google. L'institution est la mieux placée pour décider de la fréquence d'audit la plus adaptée à son organisation. Notre contrat ne limite pas les institutions à un nombre fixe d'audits.

Certifications et rapports d'audit

Assurer la conformité client

38 Pour les services nécessitant un accès à des réseaux ouverts, tels que les services Internet, la direction doit être particulièrement vigilante sur les questions de sécurité. L'institution doit envisager d'inclure des conditions contractuelles nécessitant des examens périodiques de contrôle effectués par une partie indépendante disposant d'une expertise suffisante. Ces vérifications peuvent inclure des tests de pénétration, la détection des intrusions, des examens de la configuration des pare-feu et d'autres examens de contrôle indépendants. L'institution doit recevoir des rapports suffisamment détaillés sur les résultats de ces audits réguliers afin d'évaluer la sécurité de manière adéquate sans compromettre la sécurité du fournisseur de services. Vous pouvez à tout moment tester la pénétration des Services sans l'accord préalable de Google. En outre, Google fait appel à un tiers qualifié et indépendant pour réaliser les tests d'intrusion des Services. Des informations supplémentaires sont disponibles ici. Tests de pénétration client
39 Rapports. Les conditions contractuelles doivent inclure la fréquence et le type de rapports que l'institution recevra (par exemple, rapports sur les performances, audits de contrôle, états financiers, sécurité et tests de reprise d'activité). Les contrats doivent également décrire les consignes et les frais d'obtention de rapports personnalisés.

Rapports sur les performances

Vous pouvez surveiller la prestation des Services par Google (y compris des contrats de niveau de service) de manière régulière à l'aide des fonctionnalités mises à votre disposition dans les Services.

Exemple :

  • Le tableau de bord d'état fournit des informations sur l'état des Services.
  • La suite des opérations Google Cloud est une solution hébergée intégrée de surveillance, de journalisation et de diagnostic qui vous aide à obtenir des informations sur vos applications s'exécutant sur GCP.
  • La fonctionnalité Access Transparency vous permet de consulter les journaux des actions liées à vos données effectuées par les équipes Google. Les entrées de journal comprennent : la ressource concernée, l'heure de l'action, le motif de l'action (par exemple, le numéro de ticket associé à la demande d'assistance), ainsi que les informations concernant les personnes agissant sur les données (par exemple, la position géographique du membre du personnel de Google).

Rapports financiers

Google fournit des outils de facturation que les clients peuvent utiliser pour obtenir des rapports sur leur utilisation des Services et sur les coûts associés. Des informations supplémentaires sont disponibles sur la page de documentation sur Cloud Billing et sur la page Exporter des données Cloud Billing vers BigQuery.

Rapports d'audit et de sécurité

Reportez-vous à la ligne 10.

Rapports de test de reprise d'activité

Reportez-vous à la ligne 40.

Développements importants

Google vous informera de tout développement ayant un impact significatif sur sa capacité à offrir les Services conformément aux contrats de niveau de service. Pour en savoir plus, consultez notre page Incidents et tableau de bord Google Cloud.

Surveillance continue des performances

Développements importants

40 Reprise des activités et plans d'urgence : Le contrat doit prévoir la responsabilité du fournisseur de services en matière de sauvegarde et de protection des enregistrements, y compris les équipements, les programme et fichiers de données, ainsi que la maintenance des plans de reprise après sinistre et des plans d'urgence. Les contrats doivent prévoir l'obligation du fournisseur de services de tester les plans de façon régulière et de fournir les résultats à l'institution. L'institution doit examiner les interdépendances entre les fournisseurs de services afin de déterminer les exigences de test de reprise des activités. Le fournisseur de services doit fournir à l'institution une copie du plan d'urgence décrivant les procédures opérationnelles requises en cas de perturbation des activités. Les contrats doivent inclure des dispositions spécifiques pour les délais de reprise des activités qui répondent aux exigences de l'établissement. L'institution doit s'assurer que le contrat ne contient aucune disposition susceptible d'exonérer le fournisseur de services de son obligation de mettre en œuvre ses plans d'urgence.

Google s'engage à mettre en œuvre un plan de reprise après sinistre et de continuité des opérations de nos services, à effectuer un contrôle et des tests au moins une fois par an, et à s'assurer qu'il respecte les normes du secteur. Les institutions peuvent consulter nos plans et les résultats des tests.

De plus, vous trouverez des informations sur la manière dont les clients peuvent utiliser nos services dans le cadre de leur propre planification de reprise après sinistre et de continuité des activités dans notre Guide de planification de reprise après sinistre.

Continuité des activités et reprise après sinistre
41 Sous-traitance et relations avec plusieurs fournisseurs de services. Certains fournisseurs de services peuvent passer des contrats avec des tiers afin de fournir des services à l'institution financière. Les institutions doivent connaître et approuver tous les sous-traitants. Pour des raisons de responsabilité, l'institution financière doit désigner le fournisseur de services principal dans le contrat. Le contrat doit également stipuler que le fournisseur de services principal est responsable des services énoncés dans le contrat, quelle que soit l'entité qui conduit effectivement les opérations. L'institution doit également prévoir d'inclure des exigences de notification et d'approbation lors de changements concernant les sous-traitants importants du fournisseur de services.

Google reconnaît que les institution doivent prendre en compte les risques associés à la sous-traitance. Nous souhaitons également vous fournir, ainsi qu'à tous nos clients, le service le plus fiable, robuste et résilient que possible. Dans certains cas, la collaboration avec d'autres organisations de confiance peut présenter un net avantage, par exemple pour offrir une assistance 24h/24, 7j/7.

Responsabilité

Nos sous-traitants doivent répondre aux mêmes exigences que nous. En particulier, Google exige que nos sous-traitants respectent nos contrats avec vous. Google demeure responsable de la bonne exécution de toutes ses opérations sous-traitées.

Informations et modifications

Pour permettre aux institutions de garder le contrôle sur la sous-traitance et de proposer des choix quant aux services qu'elles utilisent, Google s'engage à:

  • fournir des informations sur nos sous-traitants (y compris leur fonction et leur situation géographique) ;
  • informer à l'avance des changements concernant nos sous-traitants ;
  • proposer aux institutions la possibilité de mettre fin au contrat en cas de doute concernant un nouveau sous-traitant.
Sous-traitants Google
42 Coût. Le contrat doit énoncer entièrement le calcul des frais pour les services de base, y compris les services de développement, de conversion et récurrents, ainsi que tous les frais basés sur le volume d'activité ou pour des demandes spéciales. Les contrats doivent également prévoir la responsabilité et les coûts supplémentaires liés à l'achat et à la gestion du matériel et des logiciels. Les conditions dans lesquelles la structure des coûts peut être modifiée doivent être énoncées en détail, y compris les limites d'augmentation des coûts. Consultez également les sections "Méthodes de tarification" et "Regroupement" de ce livret.

Reportez-vous à votre contrat de services financiers Google Cloud.

Audit

Google s'engage à assister les institutions lors des audits ou des examens de ses services. Comme cette assistance n'est pas incluse dans nos frais de services habituels, nous pouvons facturer des frais supplémentaires en lien avec un audit ou un examen. Google fournira au préalable des informations supplémentaires sur les frais liés à l'activité lorsque sa portée sera connue.

Conditions de paiement
43 Propriété et licence. Le contrat doit définir la propriété et les droits afférents, les droits d'utilisation des données, des équipements/du matériel, de la documentation système, des logiciels système et d'application, et d'autres droits de propriété intellectuelle de l'institution. Il doit être clairement stipulé que données de l'institution demeurent sa propriété. D'autres droits de propriété intellectuelle peuvent inclure le nom et le logo de l'institution, ses marques ou éléments protégés par des droits d'auteur, ses noms de domaine, ses conceptions de sites Web et d'autres produits professionnels développés par le fournisseur de services pour l'institution. Vous trouverez des informations supplémentaires sur le développement de logiciels personnalisés pour la prise en charge des services externalisés dans le manuel informatique "Develop and Acquisition Booklet".

Données

Vous conservez tous les droits de propriété intellectuelle sur vos données, ainsi que sur les données extraites de vos données à l'aide de nos services et de vos applications. Reportez-vous à la ligne 28 pour en savoir plus sur l'engagement de Google concernant l'utilisation et la protection des données.

Marques, logos, etc.

Google s'engage à ne pas utiliser pas les caractéristiques de votre marque sans votre autorisation préalable.

Propriété intellectuelle

Marketing et publicité

44 Duration. Les institutions doivent tenir compte du type de technologie et de l'état actuel du secteur lors de la négociation d'une durée appropriée du contrat et de sa période de renouvellement. Bien qu'il existe des avantages à des contrats technologiques à long terme, certaines technologies peuvent être sujettes à un changement rapide, et un contrat à court terme peut être plus pertinent. De même, les institutions doivent tenir compte du temps nécessaire à l'envoi des notifications pour informer le fournisseur de services de leur intention de ne pas renouveler le contrat avant son terme. Les institutions doivent veiller à coordonner les dates d'expiration des contrats des services interdépendants (par exemple, site Web, télécommunications, programmation, assistance réseau) afin qu'elles puissent coïncider, le cas échéant. une telle coordination peut réduire le risque de résiliation anticipée d'un contrat et d'éviter les pénalités résultant de la fin concomitante d'un autre contrat de service associé. Reportez-vous à votre contrat de services financiers Google Cloud. Durée et résiliation
45 Résolution des litiges. L'institution doit envisager une disposition portant sur un processus de résolution des litiges afin de tenter de résoudre les problèmes de manière rapide, ainsi qu'une disposition pour la continuité des services pendant la période de résolution des litiges. Reportez-vous à votre contrat de services financiers Google Cloud. Loi applicable
46 Indemnisation. Les conditions d'indemnisation doivent obliger le fournisseur de services à assumer la responsabilité financière des dommages causés à l'institution, résultant de sa négligence. Un conseiller juridique doit examiner ces dispositions pour veiller à ce que l'institution ne soit pas responsable des réclamations découlant de la négligence du fournisseur de services. Reportez-vous à votre contrat de services financiers Google Cloud. Indemnisation
47 Limitation de responsabilité Certains contrats standards des fournisseurs de services peuvent contenir des clauses qui limitent la responsabilité pouvant être encourue par le fournisseur de services. Si l'institution envisage de conclure un tel contrat, la direction doit déterminer si la limitation des dommages est en adéquation avec le niveau de perte que l'institution financière pourrait raisonnablement subir en cas de manquement du fournisseur de services à remplir ses obligations. Reportez-vous à votre contrat de services financiers Google Cloud. Responsabilité
48 Résiliation. La direction doit évaluer la chronologie et les dépenses liées aux dispositions relatives à la résiliation des contrats. L'étendue et la flexibilité des droits de résiliation peuvent varier en fonction du service. Les institutions devraient envisager d'inclure des droits de résiliation adaptés à diverses conditions, y compris le changement de contrôle (par exemple, acquisitions et fusions), pour raisons de commodité, en cas d'augmentation substantielle des coûts, de non-respect répété des niveaux de service, de défaut de fournir des services essentiels, de faillite, de fermeture d'entreprise et d'insolvabilité. Le contrat doit établir des conditions de notification et de délai, et prévoir le retour rapide des données et des ressources de l'institution dans un format lisible au moment de la résiliation. Les coûts liés à l'assistance pour les conversions doivent aussi être clairement indiqués.

Résiliation

Les institutions peuvent choisir de résilier leur contrat avec préavis pour des raisons de commodité, par exemple en cas d'augmentation des frais ou, si nécessaire, afin de respecter la loi.

En outre, les institutions peuvent résilier le contrat avec préavis en cas de violation substantielle de Google après une période de réparation, de changement de contrôle ou d'insolvabilité de Google.

Transfert

Google reconnaît que les entités réglementées doivent avoir suffisamment de temps pour cesser d'utiliser les services (par exemple, pour transférer les services vers un autre fournisseur). Pour aider les entités réglementées qui en font la demande, Google continue de fournir les services pendant les 12 mois qui suivent l'expiration ou la cessation du contrat.

Pendant toute la durée de votre contrat, ainsi que pendant la période de transition qui suit sa cessation, Google vous permet d'accéder à vos données et de les exporter. Vous pouvez exporter vos données liées aux Services dans plusieurs formats standard. Exemple :

  • Google Kubernetes Engine est un environnement géré et adapté à la production qui permet la portabilité entre les différents clouds ainsi qu'entre les environnements sur site.
  • Migrate for Anthos vous permet de migrer vos charges de travail et de les convertir directement en conteneurs dans Google Kubernetes Engine.
  • Vous pouvez exporter ou importer l'ensemble d'une image de VM sous la forme d'une archive .tar. Pour plus d'informations sur les images et les options de stockage, consultez notre page Documentation Compute Engine.

Durée et résiliation

Période de transition

Exportation des données (Conditions relatives à la sécurité et au traitement des données)

49 Cession. L'institution doit envisager des dispositions contractuelles qui interdisent la cession du contrat à un tiers sans son autorisation. Les conditions de cession doivent également refléter les exigences de notification en cas de changement important des sous-traitants.

Assignment

Reportez-vous à votre contrat de services financiers Google Cloud.

Sous-traitance

Reportez-vous à la ligne 41 sur la sous-traitance.

Devoir
50 Fournisseurs de services établis à l'étranger Les institutions qui concluent des contrats avec des fournisseurs de services établis à l'étranger doivent examiner un certain nombre de questions et dispositions contractuelles supplémentaires. Voir l'annexe C incluse dans cette brochure.

Google LLC est le fournisseur des services pour les institutions aux États-Unis. Google LLC est régie par les lois de l'État du Delaware, États-Unis.

Reportez-vous à votre contrat de services financiers Google Cloud pour plus d'informations sur la loi applicable et la juridiction compétente.

Loi applicable
51 Conformité réglementaire. Les institutions financières doivent s'assurer que les contrats avec des fournisseurs de services incluent un accord selon lequel le fournisseur de services et ses services respectent les directives et exigences réglementaires applicables. La disposition doit également stipuler que le fournisseur de services doit fournir des informations précises et un accès rapide aux autorités de contrôle appropriées en fonction du type et du niveau de service fournis à l'institution financière.

Conformité

Google s'engage à respecter l'ensemble des lois, réglementations et directives applicables dans le cadre de la fourniture des Services.

Accès des autorités de contrôle

Google accorde des droits d'accès et d'information aux autorités de contrôle des institutions et à leurs représentants.

Déclarations et garanties

Informations, audit et accès du régulateur