Mappage
Gestion des risques FFIEC pour l'externalisation des services technologiques
Application à Google Cloud Platform
Ce document est destiné à aider les institutions financières ("institutions") dans le cadre du mandat du Federal Financial Institutions Examination Council ("FFIEC") à prendre en compte les consignes du manuel FFIEC Outsourcing Booklet ("manuel d'externalisation du FFIEC") dans le contexte de Google Cloud Platform ("GCP") et du contrat de services financiers Google Cloud.
Nous nous concentrons sur les sections "Obligations de diligence" et "Questions liées au contrat" du manuel d'externalisation du FFIEC. Pour chaque paragraphe de ces sections, des commentaires sont proposés pour vous aider à comprendre comment prendre en compte les consignes du manuel d'externalisation du FFIEC dans le contexte des services Google Cloud et du contrat de services financiers Google Cloud.
| # | Référence | Commentaires pour Google Cloud | Texte du Contrat de services financiers Google Cloud |
|---|---|---|---|
| 1. Obligations de diligence | |||
| 2 | Au titre de ses obligations de diligence, une institution financière doit effectuer des vérifications portant sur la réponse du fournisseur de services à un appel d'offres, ainsi que sur le fournisseur lui-même. Le devoir de diligence doit être considéré comme un outil de vérification et d'analyse, garantissant que le fournisseur de services répond aux besoins de l'institution. Les opérations de diligence doivent confirmer et évaluer les informations suivantes concernant le fournisseur de services: | Google reconnaît que vos obligations de diligence vous imposent d'effectuer une évaluation des risques avant de décider d'utiliser nos services. Afin vous aider, nous avons regroupé les informations pour chaque domaine dans les lignes suivantes. | ND |
| 3 |
|
Les informations sur l'histoire de Google Cloud sont disponibles sur la page des Relations investisseurs d'Alphabet. | ND |
| 4 |
|
Entités principales de l'entreprise Des informations sur l'équipe de direction de Google Cloud sont disponibles sur la page Ressources multimédias. Vérification des antécédents Google effectue des vérifications des antécédents de ses employés lorsque la loi l'y autorise afin de fournir un environnement sécurisé à ses clients et employés. |
ND |
| 5 |
|
Vous trouverez des informations sur nos clients référencés (y compris dans le secteur des services financiers) sur la page Clients Google Cloud. | ND |
| 6 |
|
Vous pouvez consulter la situation financière de Google et les états financiers audités sur la page Relations investisseurs d'Alphabet. | ND |
| 7 |
|
Stratégie
Des informations sur les stratégies de Google Cloud sont disponibles sur la page Relations investisseurs d'Alphabet. Réputation Google Cloud figure parmi les leaders du marché dans les rapports de plusieurs analystes tiers du secteur. Vous pouvez les consulter sur la page Rapports d'analystes. |
ND |
| 8 |
|
Des informations sur la capacité et les performances des services de Google Cloud sont disponibles sur la page Choisir Google Cloud. Vous pouvez également consulter les rapports des analystes tiers du secteur sur la page Rapports d'analystes. | ND |
| 9 |
|
Des informations sur la technologie et l'architecture des systèmes de Google Cloud sont disponibles sur la page Choisir Google Cloud. |
ND |
| 10 |
|
Google reconnaît que les institutions doivent examiner nos contrôles internes dans le cadre de leur évaluation des risques. Dans ce but, Google se soumet à différents audits réalisés par des tiers indépendants, afin de fournir une vérification indépendante de nos opérations et contrôles internes. Google s'engage à respecter les normes internationales suivantes pendant la durée de notre contrat: |
ND |
| 11 |
|
Des informations sur les procédures judiciaires en cours sont disponibles dans nos rapports annuels sur la page Relations investisseurs d'Alphabet. | ND |
| 12 |
|
Reportez-vous à la ligne 41 sur la sous-traitance. | ND |
| 13 |
|
Google maintient une couverture d'assurance pour un certain nombre de risques identifiés. | ND |
| 14 |
|
Reportez-vous à la ligne 40 sur les plans de reprise d'activité et les plans d'urgence. | ND |
| 15 | D'autres éléments importants incluent la vérification d'informations sur les actifs incorporels, tels que les principes fondamentaux, les initiatives liées à la qualité et le style de gestion des services tiers. La culture, les valeurs et les styles entrepreneuriaux doivent correspondre à ceux de l'institution financière. | Vous pouvez consulter les informations sur notre mission, nos principes fondamentaux et notre culture sur la page Relations investisseurs d'Alphabet. Vous y trouverez également des informations sur nos règles d'administration, telles que notre code de conduite. | ND |
| 16 | Lorsqu'un fournisseur de services établi à l'étranger est pris en compte, l'évaluation doit porter sur la relation au vu des éléments ci-dessus et des informations détaillées dans l'annexe C, "Fournisseurs de services tiers établis à l'étranger". | Reportez-vous à la ligne 50. | ND |
| 17 | Les institutions financières peuvent faire l'objet d'une vérification de diligence sur un ou plusieurs des fournisseurs de services qui répondent à l'appel d'offres. La profondeur et la formalité des opérations de diligence peuvent varier en fonction du risque de la relation externalisée, de la connaissance de l'institution des fournisseurs de services potentiels et de la phase du processus de leursélection. Une fois les appels d'offres publiés, les réponses reçues et évaluées, puis les vérifications de diligence effectuées, les institutions commencent à négocier les contrats avec un ou plusieurs fournisseurs de services identifiés. | Ces considérations sont d'ordre commercial. | ND |
| 18. Questions liées au contrat | |||
| 19 |
Une fois un fournisseur de services sélectionné, la direction doit négocier un contrat répondant à ses besoins. L'appel d'offres et la réponse du fournisseur de services fournissent les informations de base pour ce processus. Le contrat est un document juridique contraignant qui définit tous les aspects de la relation de service. Un contrat écrit doit être présent dans toutes les relations de service. Cela inclut les instances où le fournisseur de services est affilié à l'institution. Lorsqu'un contrat est conclu avec une société affiliée, l'institution doit s'assurer que les coûts et la qualité de services fournis sont de même niveau que ceux d'un fournisseur non affilié. Le contrat constitue l'élément de contrôle le plus important du processus d'externalisation. En raison de l'importance du contrat, la direction doit:
|
Le contrat de services financiers Google Cloud définit les aspects de la relation de service. | ND |
| 20. Voici quelques exemples d'éléments contractuels à prendre en compte: | |||
| 21 | Champ d'application du service. Le contrat doit clairement décrire les droits et les responsabilités des parties au contrat. Points à prendre en compte: | Les obligations relatives aux droits et aux responsabilités des parties sont définies dans le contrat de services financiers Google Cloud. | ND |
| 22 |
|
Activités Les services GCP sont décrits sur la page Récapitulatif des services. Intégration Vous pouvez intégrer nos services à vos systèmes de plusieurs façons.
|
Définitions |
| 23 |
|
Google fournira les Services décrits sur la page Récapitulatif des services, conformément aux contrats de niveau de service Google Cloud Platform. Les services d'assistance sont décrits sur la page Instructions relatives aux services d'assistance technique. Google fournit une documentation expliquant comment les institutions et leurs employés peuvent utiliser nos services. Si une institution souhaite suivre une formation plus poussée, Google propose également une grande variété de cours et certifications. |
Services Assistance technique |
| 24 |
|
|
|
| 25 |
|
Google met continuellement à jour les services pour permettre à nos clients de jouir de la technologie la plus avancée. La nature "un à plusieurs" de notre service nous permet d'appliquer les mises à jour à tous les clients en même temps. Google n'effectuera pas de mises à jour pouvant sensiblement altérer les fonctionnalités, les performances, la disponibilité ou la sécurité des Services. Si Google doit arrêter un service sans le remplacer, vous en serez averti au moins 12 mois à l'avance. Google continuera à fournir une assistance ainsi que des mises à jour du produit et de sécurité pendant cette période. |
Modifications des Services |
| 26 |
|
Nouveaux services Google introduit constamment de nouveaux services afin de proposer à ses clients les dernières fonctions et fonctionnalités. De nouveaux services sont ajoutés à la page Récapitulatif des services lorsqu'ils sont disponibles, et chaque client peut choisir de les utiliser ou non en vertu de son contrat existant. Renégociation du contrat À mesure que les services et la technologie évoluent, Google peut mettre à jour certaines conditions via les URL qui s'appliquent à tous ses clients. Toute mise à jour doit répondre à des critères stricts. Elles ne doivent par exemple pas entraîner une dégradation matérielle de la sécurité des services ni avoir un impact négatif substantiel sur vos droits existants. Au-delà de ces mises à jour limitées, toute modification du contrat doit être effectuée par écrit et signée par les deux parties. |
Mises à jour des Services et des Conditions d'utilisation Modifications apportées aux Conditions d'utilisation, Avenants |
| 27 | Critères relatifs aux performances. Les institutions doivent inclure des normes de performance qui définissent les exigences minimales de niveau de service et les solutions en cas de défaillance dans les conditions prévues au contrat. Par exemple, les métriques courantes de niveau de service incluent le pourcentage d'activité du système, le délai d'exécution du traitement par lot ou le nombre d'erreurs de traitement. Les normes du secteur pour les niveaux de service peuvent fournir un point de référence. L'institution doit régulièrement consulter les normes de performance globales pour garantir la cohérence avec ses objectifs. Consultez également la section "Contrat de niveau de service" de cette brochure. | Les contrats de niveau de service définissent des normes de performance mesurables ainsi que des solutions en cas de défaillance des services. Ils sont disponibles sur la page Contrats de niveau de service de Google Cloud Platform. | Services |
| 28 | Sécurité et confidentialité. Le contrat doit définir les responsabilités du fournisseur de services en ce qui concerne la sécurité et la confidentialité des ressources de l'institution (par exemple, les informations, le matériel). Le contrat doit prévoir l'interdiction pour le fournisseur de services et ses agents d'utiliser ou de divulguer les informations de l'institution, sauf si cela s'avère nécessaire à la fourniture des services objets du contrat et pour assurer une protection contre les utilisations non autorisées (par exemple, la divulgation d'informations aux concurrents de l'institution). Si le fournisseur de services reçoit des informations personnelles non publiques concernant les clients de l'institution, celle-ci doit vérifier que le fournisseur de services respecte toutes les dispositions légales relatives à la confidentialité des données. Les institutions doivent demander au fournisseur de services de divulguer dans leur intégralité les infractions à la sécurité des données pouvant entraîner des intrusions non autorisées dans les systèmes du fournisseur de services avec des conséquences significatives sur l'institution ou sur ses clients. Le fournisseur de services doit informer l'institution des intrusions qui se produisent, de leurs conséquences sur l'institution et des mesures correctives nécessaires pour y remédier, conformément aux accords entre les deux parties. |
Sécurité
La sécurité et la confidentialité des informations lors de l'utilisation d'un service cloud reposent sur deux éléments clés: L'infrastructure de Google Google gère la sécurité de notre infrastructure. Cela inclut la sécurité du matériel, des logiciels, du réseau et des installations nécessaires au fonctionnement des Services. La nature "un à plusieurs" de notre service permet à Google d'appliquer les mêmes niveaux de sécurité rigoureux à tous nos clients. Google fournit des informations détaillées aux clients concernant nos pratiques de sécurité, afin qu'ils puissent les comprendre et les prendre en compte dans le cadre de leur propre analyse des risques. Pour plus d'informations, consultez les ressources suivantes :
Vos données et applications dans le cloud Vous définissez la sécurité de vos données et applications dans le cloud. Il s'agit des mesures de sécurité que vous mettez en place et appliquez lorsque vous utilisez les Services. (a) Sécurité par défaut Nous souhaitons vous offrir le plus de flexibilité possible avec vos données. Toutefois, leur sécurité est d'une importance capitale pour Google. Pour vous protéger, nous respectons les mesures préventives suivantes :
(b) Produits de sécurité En plus d'outils et de méthodes tiers, vous pouvez choisir d'utiliser les outils fournis par Google pour améliorer et protéger la sécurité de vos données. Les informations sur les produits de sécurité de Google sont disponibles sur notre page Produits de sécurité cloud. (c) Ressources de sécurité Google publie également des conseils sur les questions suivantes : Utilisation de vos informations Google s'engage à n'accéder à vos données et à ne les utiliser que pour fournir les Services que vous avez commandés, et à ne pas les utiliser pour tout autre produit, service ou publicité de Google. Confidentialité et informations personnelles non publiques Google s'engage à respecter les lois et réglementations en vigueur concernant la confidentialité dans le cadre de la fourniture des Services. Failles de sécurité Google vous avertit rapidement en cas d'incident lié aux données et sans délai. Pour en savoir plus sur le processus de gestion des incidents liés aux données de Google, consultez notre livre blanc consacré à la gestion des incidents liés aux données. |
Sécurité des données ; Mesures de sécurité (Conditions relatives à la sécurité et au traitement des données) Protection des Données client Traitement des données, Rôles et Conformité réglementaire ( Conditions relatives à la sécurité et au traitement des données) Incidents liés aux données (Conditions relatives à la sécurité et au traitement des données) |
| 29. Contrôles. La direction doit envisager de mettre en œuvre des dispositions contractuelles couvrant les contrôles suivants: | |||
| 30 |
|
Chaque année, Google se soumet à différents audits réalisés par des tiers indépendants, afin de fournir une vérification indépendante de l'efficacité de nos contrôles internes. Afin de vous offrir une visibilité sur l'efficacité de nos contrôles internes tout au long de notre relation, Google s'engage à maintenir des certifications et des rapports sur le respect des normes internationales suivantes pendant la durée de notre contrat: |
Certifications et rapports d'audit |
| 31 |
|
Google s'engage à respecter l'ensemble des lois et réglementations en vigueur dans le cadre de la fourniture des Services. | Déclarations et garanties |
| 32 |
|
Google accorde les droits d'accès et d'informations aux institutions et à leurs représentants. | Informations, audit et accès du client |
| 33 |
|
Reportez-vous à la ligne 32. | |
| 34 |
|
Services Reportez-vous à la ligne 25 sur les modifications apportées aux services. Personnel Les clients peuvent exploiter les services de manière indépendante, sans l'intervention du personnel de Google. Bien que le personnel de Google administre et gère le matériel, les logiciels, la mise en réseau et les installations qui prennent en charge les Services, la nature un à plusieurs des services implique qu'aucun membre du personnel de Google n'est chargé de fournir les services à un client en particulier. Emplacements Afin de vous offrir un service rapide, fiable, robuste et résilient, Google peut stocker et traiter vos données là où Google ou ses sous-traitants indirects disposent d'installations.
Google propose les mêmes engagements contractuels, mesures techniques et organisationnelles concernant vos données, quel que soit le pays ou la région où ils se trouvent. En particulier :
Google vous propose plusieurs solutions pour stocker vos données, y compris un choix de stockage des données aux États-Unis. Une fois que vous avez choisi où stocker vos données, Google s'engage à ne pas les stocker pas en dehors des régions que vous avez choisies. Vous pouvez également choisir d'utiliser les outils fournis par Google pour appliquer les exigences relatives à l'emplacement des données. Pour plus d'informations, consultez notre Livre blanc sur la résidence, la transparence opérationnelle et la confidentialité des données sur Google Cloud. |
Transferts de données (Conditions relatives à la sécurité et au traitement des données) Sécurité des données, Sous-traitants indirects (Conditions relatives à la sécurité et au traitement des données) Emplacement des données (Conditions d'utilisation spécifiques des Services) |
| 35 |
|
Compte tenu de la nature des services, Google n'effectue aucun traitement des paiements (conformément à l'usage prévu dans la brochure) ni des extensions de crédit pour le compte de l'institution. | ND |
| 36 |
|
Google maintient une couverture d'assurance pour un certain nombre de risques identifiés. | Assurances |
| 37 | Audit. L'institution doit inclure dans le contrat les types de rapports d'audit qu'elle est habilitée à recevoir (par exemple, financier, contrôle interne et examens de sécurité). Le contrat doit spécifier la fréquence d'audit, les frais liés à l'obtention des rapports d'audit, ainsi que les droits de l'institution et de ses autorités de contrôle à obtenir les résultats de ces audits en temps opportun. Le contrat peut également spécifier les droits d'obtention de la documentation sur la résolution des défaillances, d'inspection des installations de traitement, ainsi que des pratiques opérationnelles du fournisseur de services. La direction doit examiner, selon la phase d'évaluation des risques, si les audits internes sont suffisants ou s'il est nécessaire d'effectuer des audits et des examens externes. |
Rapports d'audit Pour en savoir plus sur les rapports d'audit fournis par Google, reportez-vous à la ligne 10. Google s'engage à conserver ces rapports pendant toute la durée du contrat. Les rapports sont générés au moins une fois par an après un audit par un tiers indépendant. Vous pouvez consulter les certifications et rapports d'audit actuels de Google à tout moment.
Les institutions peuvent fournir ces documents à leurs autorités de contrôle. Inspection Google reconnaît que les institutions doivent pouvoir auditer nos services efficacement. Google accorde des droits d'audit aux institutions et à leurs auditeurs indépendants, y compris pour inspecter les installations de traitement et les pratiques opérationnelles de Google. L'institution est la mieux placée pour décider de la fréquence d'audit la plus adaptée à son organisation. Notre contrat ne limite pas les institutions à un nombre fixe d'audits. |
Certifications et rapports d'audit Assurer la conformité client |
| 38 | Pour les services nécessitant un accès à des réseaux ouverts, tels que les services Internet, la direction doit être particulièrement vigilante sur les questions de sécurité. L'institution doit envisager d'inclure des conditions contractuelles nécessitant des examens périodiques de contrôle effectués par une partie indépendante disposant d'une expertise suffisante. Ces vérifications peuvent inclure des tests de pénétration, la détection des intrusions, des examens de la configuration des pare-feu et d'autres examens de contrôle indépendants. L'institution doit recevoir des rapports suffisamment détaillés sur les résultats de ces audits réguliers afin d'évaluer la sécurité de manière adéquate sans compromettre la sécurité du fournisseur de services. | Vous pouvez à tout moment tester la pénétration des Services sans l'accord préalable de Google. En outre, Google fait appel à un tiers qualifié et indépendant pour réaliser les tests d'intrusion des Services. Des informations supplémentaires sont disponibles ici. | Tests de pénétration client |
| 39 | Rapports. Les conditions contractuelles doivent inclure la fréquence et le type de rapports que l'institution recevra (par exemple, rapports sur les performances, audits de contrôle, états financiers, sécurité et tests de reprise d'activité). Les contrats doivent également décrire les consignes et les frais d'obtention de rapports personnalisés. |
Rapports sur les performances Vous pouvez surveiller la prestation des Services par Google (y compris des contrats de niveau de service) de manière régulière à l'aide des fonctionnalités mises à votre disposition dans les Services. Exemple :
Rapports financiers Google fournit des outils de facturation que les clients peuvent utiliser pour obtenir des rapports sur leur utilisation des Services et sur les coûts associés. Des informations supplémentaires sont disponibles sur la page de documentation sur Cloud Billing et sur la page Exporter des données Cloud Billing vers BigQuery. Rapports d'audit et de sécurité Reportez-vous à la ligne 10. Rapports de test de reprise d'activité Reportez-vous à la ligne 40. Développements importants Google vous informera de tout développement ayant un impact significatif sur sa capacité à offrir les Services conformément aux contrats de niveau de service. Pour en savoir plus, consultez notre page Incidents et tableau de bord Google Cloud. |
Surveillance continue des performances Développements importants |
| 40 | Reprise des activités et plans d'urgence : Le contrat doit prévoir la responsabilité du fournisseur de services en matière de sauvegarde et de protection des enregistrements, y compris les équipements, les programme et fichiers de données, ainsi que la maintenance des plans de reprise après sinistre et des plans d'urgence. Les contrats doivent prévoir l'obligation du fournisseur de services de tester les plans de façon régulière et de fournir les résultats à l'institution. L'institution doit examiner les interdépendances entre les fournisseurs de services afin de déterminer les exigences de test de reprise des activités. Le fournisseur de services doit fournir à l'institution une copie du plan d'urgence décrivant les procédures opérationnelles requises en cas de perturbation des activités. Les contrats doivent inclure des dispositions spécifiques pour les délais de reprise des activités qui répondent aux exigences de l'établissement. L'institution doit s'assurer que le contrat ne contient aucune disposition susceptible d'exonérer le fournisseur de services de son obligation de mettre en œuvre ses plans d'urgence. |
Google s'engage à mettre en œuvre un plan de reprise après sinistre et de continuité des opérations de nos services, à effectuer un contrôle et des tests au moins une fois par an, et à s'assurer qu'il respecte les normes du secteur. Les institutions peuvent consulter nos plans et les résultats des tests. De plus, vous trouverez des informations sur la manière dont les clients peuvent utiliser nos services dans le cadre de leur propre planification de reprise après sinistre et de continuité des activités dans notre Guide de planification de reprise après sinistre. |
Continuité des activités et reprise après sinistre |
| 41 | Sous-traitance et relations avec plusieurs fournisseurs de services. Certains fournisseurs de services peuvent passer des contrats avec des tiers afin de fournir des services à l'institution financière. Les institutions doivent connaître et approuver tous les sous-traitants. Pour des raisons de responsabilité, l'institution financière doit désigner le fournisseur de services principal dans le contrat. Le contrat doit également stipuler que le fournisseur de services principal est responsable des services énoncés dans le contrat, quelle que soit l'entité qui conduit effectivement les opérations. L'institution doit également prévoir d'inclure des exigences de notification et d'approbation lors de changements concernant les sous-traitants importants du fournisseur de services. |
Google reconnaît que les institution doivent prendre en compte les risques associés à la sous-traitance. Nous souhaitons également vous fournir, ainsi qu'à tous nos clients, le service le plus fiable, robuste et résilient que possible. Dans certains cas, la collaboration avec d'autres organisations de confiance peut présenter un net avantage, par exemple pour offrir une assistance 24h/24, 7j/7. Responsabilité Nos sous-traitants doivent répondre aux mêmes exigences que nous. En particulier, Google exige que nos sous-traitants respectent nos contrats avec vous. Google demeure responsable de la bonne exécution de toutes ses opérations sous-traitées. Informations et modifications Pour permettre aux institutions de garder le contrôle sur la sous-traitance et de proposer des choix quant aux services qu'elles utilisent, Google s'engage à:
|
Sous-traitants Google |
| 42 | Coût. Le contrat doit énoncer entièrement le calcul des frais pour les services de base, y compris les services de développement, de conversion et récurrents, ainsi que tous les frais basés sur le volume d'activité ou pour des demandes spéciales. Les contrats doivent également prévoir la responsabilité et les coûts supplémentaires liés à l'achat et à la gestion du matériel et des logiciels. Les conditions dans lesquelles la structure des coûts peut être modifiée doivent être énoncées en détail, y compris les limites d'augmentation des coûts. Consultez également les sections "Méthodes de tarification" et "Regroupement" de ce livret. |
Reportez-vous à votre contrat de services financiers Google Cloud. Audit Google s'engage à assister les institutions lors des audits ou des examens de ses services. Comme cette assistance n'est pas incluse dans nos frais de services habituels, nous pouvons facturer des frais supplémentaires en lien avec un audit ou un examen. Google fournira au préalable des informations supplémentaires sur les frais liés à l'activité lorsque sa portée sera connue. |
Conditions de paiement |
| 43 | Propriété et licence. Le contrat doit définir la propriété et les droits afférents, les droits d'utilisation des données, des équipements/du matériel, de la documentation système, des logiciels système et d'application, et d'autres droits de propriété intellectuelle de l'institution. Il doit être clairement stipulé que données de l'institution demeurent sa propriété. D'autres droits de propriété intellectuelle peuvent inclure le nom et le logo de l'institution, ses marques ou éléments protégés par des droits d'auteur, ses noms de domaine, ses conceptions de sites Web et d'autres produits professionnels développés par le fournisseur de services pour l'institution. Vous trouverez des informations supplémentaires sur le développement de logiciels personnalisés pour la prise en charge des services externalisés dans le manuel informatique "Develop and Acquisition Booklet". |
Données Vous conservez tous les droits de propriété intellectuelle sur vos données, ainsi que sur les données extraites de vos données à l'aide de nos services et de vos applications. Reportez-vous à la ligne 28 pour en savoir plus sur l'engagement de Google concernant l'utilisation et la protection des données. Marques, logos, etc. Google s'engage à ne pas utiliser pas les caractéristiques de votre marque sans votre autorisation préalable. |
Propriété intellectuelle Marketing et publicité |
| 44 | Duration. Les institutions doivent tenir compte du type de technologie et de l'état actuel du secteur lors de la négociation d'une durée appropriée du contrat et de sa période de renouvellement. Bien qu'il existe des avantages à des contrats technologiques à long terme, certaines technologies peuvent être sujettes à un changement rapide, et un contrat à court terme peut être plus pertinent. De même, les institutions doivent tenir compte du temps nécessaire à l'envoi des notifications pour informer le fournisseur de services de leur intention de ne pas renouveler le contrat avant son terme. Les institutions doivent veiller à coordonner les dates d'expiration des contrats des services interdépendants (par exemple, site Web, télécommunications, programmation, assistance réseau) afin qu'elles puissent coïncider, le cas échéant. une telle coordination peut réduire le risque de résiliation anticipée d'un contrat et d'éviter les pénalités résultant de la fin concomitante d'un autre contrat de service associé. | Reportez-vous à votre contrat de services financiers Google Cloud. | Durée et résiliation |
| 45 | Résolution des litiges. L'institution doit envisager une disposition portant sur un processus de résolution des litiges afin de tenter de résoudre les problèmes de manière rapide, ainsi qu'une disposition pour la continuité des services pendant la période de résolution des litiges. | Reportez-vous à votre contrat de services financiers Google Cloud. | Loi applicable |
| 46 | Indemnisation. Les conditions d'indemnisation doivent obliger le fournisseur de services à assumer la responsabilité financière des dommages causés à l'institution, résultant de sa négligence. Un conseiller juridique doit examiner ces dispositions pour veiller à ce que l'institution ne soit pas responsable des réclamations découlant de la négligence du fournisseur de services. | Reportez-vous à votre contrat de services financiers Google Cloud. | Indemnisation |
| 47 | Limitation de responsabilité Certains contrats standards des fournisseurs de services peuvent contenir des clauses qui limitent la responsabilité pouvant être encourue par le fournisseur de services. Si l'institution envisage de conclure un tel contrat, la direction doit déterminer si la limitation des dommages est en adéquation avec le niveau de perte que l'institution financière pourrait raisonnablement subir en cas de manquement du fournisseur de services à remplir ses obligations. | Reportez-vous à votre contrat de services financiers Google Cloud. | Responsabilité |
| 48 | Résiliation. La direction doit évaluer la chronologie et les dépenses liées aux dispositions relatives à la résiliation des contrats. L'étendue et la flexibilité des droits de résiliation peuvent varier en fonction du service. Les institutions devraient envisager d'inclure des droits de résiliation adaptés à diverses conditions, y compris le changement de contrôle (par exemple, acquisitions et fusions), pour raisons de commodité, en cas d'augmentation substantielle des coûts, de non-respect répété des niveaux de service, de défaut de fournir des services essentiels, de faillite, de fermeture d'entreprise et d'insolvabilité. Le contrat doit établir des conditions de notification et de délai, et prévoir le retour rapide des données et des ressources de l'institution dans un format lisible au moment de la résiliation. Les coûts liés à l'assistance pour les conversions doivent aussi être clairement indiqués. |
Résiliation Les institutions peuvent choisir de résilier leur contrat avec préavis pour des raisons de commodité, par exemple en cas d'augmentation des frais ou, si nécessaire, afin de respecter la loi. En outre, les institutions peuvent résilier le contrat avec préavis en cas de violation substantielle de Google après une période de réparation, de changement de contrôle ou d'insolvabilité de Google. Transfert Google reconnaît que les entités réglementées doivent avoir suffisamment de temps pour cesser d'utiliser les services (par exemple, pour transférer les services vers un autre fournisseur). Pour aider les entités réglementées qui en font la demande, Google continue de fournir les services pendant les 12 mois qui suivent l'expiration ou la cessation du contrat. Pendant toute la durée de votre contrat, ainsi que pendant la période de transition qui suit sa cessation, Google vous permet d'accéder à vos données et de les exporter. Vous pouvez exporter vos données liées aux Services dans plusieurs formats standard. Exemple :
|
Durée et résiliation Période de transition Exportation des données (Conditions relatives à la sécurité et au traitement des données) |
| 49 | Cession. L'institution doit envisager des dispositions contractuelles qui interdisent la cession du contrat à un tiers sans son autorisation. Les conditions de cession doivent également refléter les exigences de notification en cas de changement important des sous-traitants. |
Assignment Reportez-vous à votre contrat de services financiers Google Cloud. Sous-traitance Reportez-vous à la ligne 41 sur la sous-traitance. |
Devoir |
| 50 | Fournisseurs de services établis à l'étranger Les institutions qui concluent des contrats avec des fournisseurs de services établis à l'étranger doivent examiner un certain nombre de questions et dispositions contractuelles supplémentaires. Voir l'annexe C incluse dans cette brochure. |
Google LLC est le fournisseur des services pour les institutions aux États-Unis. Google LLC est régie par les lois de l'État du Delaware, États-Unis. Reportez-vous à votre contrat de services financiers Google Cloud pour plus d'informations sur la loi applicable et la juridiction compétente. |
Loi applicable |
| 51 | Conformité réglementaire. Les institutions financières doivent s'assurer que les contrats avec des fournisseurs de services incluent un accord selon lequel le fournisseur de services et ses services respectent les directives et exigences réglementaires applicables. La disposition doit également stipuler que le fournisseur de services doit fournir des informations précises et un accès rapide aux autorités de contrôle appropriées en fonction du type et du niveau de service fournis à l'institution financière. |
Conformité Google s'engage à respecter l'ensemble des lois, réglementations et directives applicables dans le cadre de la fourniture des Services. Accès des autorités de contrôle Google accorde des droits d'accès et d'information aux autorités de contrôle des institutions et à leurs représentants. |
Déclarations et garanties Informations, audit et accès du régulateur |