Pemetaan

Manajemen Risiko FFIEC untuk Melakukan Pengalihdayaan Layanan Teknologi

Pemetaan Google Cloud Platform

Dokumen ini dirancang untuk membantu lembaga keuangan (“lembaga”) yang berada di bawah mandat Federal Financial Institutions Examination Council (“FFIEC”) agar mempertimbangkan Buklet Pengalihdayaan Layanan Teknologi (“Buklet Pengalihdayaan FFIEC") dalam konteks Google Cloud Platform (“GCP”) dan Kontrak Layanan Keuangan Google Cloud.

Kami berfokus pada bagian Uji Tuntas dan Masalah Kontrak pada Buklet Pengalihdayaan FFIEC. Kami memberikan komentar atas setiap paragraf yang ada di bagian ini guna membantu Anda memahami cara memanfaatkan Buklet Pengalihdayaan FFIEC menggunakan layanan Google Cloud dan Kontrak Layanan Keuangan Google Cloud.

# Referensi Komentar Google Cloud Referensi Kontrak Layanan Keuangan Google Cloud
1. Uji Tuntas
2 Lembaga keuangan harus melakukan uji tuntas terkait respons penyedia layanan terhadap RFP serta penyedia layanan itu sendiri. Uji tuntas harus berfungsi sebagai alat verifikasi dan analisis, yang memberikan jaminan bahwa penyedia layanan telah memenuhi kebutuhan lembaga. Uji tuntas harus mengonfirmasi dan menilai informasi berikut yang terkait dengan penyedia layanan: Google menyadari bahwa uji tuntas dan penilaian risiko perlu dilakukan sebelum memutuskan untuk menggunakan layanan kami. Oleh sebab itu, kami telah menyediakan informasi untuk tiap area yang perlu Anda pertimbangkan pada baris berikut. T/A
3
  • Keberadaan dan sejarah perusahaan;
 Informasi terkait sejarah perusahaan Google Cloud tersedia di halaman Hubungan Investor Alphabet. T/A
4
  • Persyaratan, latar belakang, dan reputasi pimpinan perusahaan, termasuk pemeriksaan latar belakang kriminal, jika diperlukan;

Pimpinan perusahaan

Informasi terkait tim kepemimpinan Google Cloud tersedia di halaman Referensi Media kami.

Pemeriksaan latar belakang

Google melakukan pemeriksaan latar belakang pada karyawan kami jika diizinkan secara hukum guna menghadirkan lingkungan yang aman bagi pelanggan dan karyawan kami.

T/A
5
  • Perusahaan lain yang menggunakan layanan serupa dari penyedia yang dapat dihubungi sebagai referensi;
Informasi terkait pelanggan yang dapat dijadikan sebagai referensi (termasuk dalam sektor layanan keuangan) tersedia di halaman Pelanggan Google Cloud kami. T/A
6
  • Status keuangan, termasuk tinjauan atas laporan keuangan yang telah diaudit;
Anda dapat meninjau status keuangan Google dan laporan keuangan yang telah diaudit di halaman Hubungan Investor Alphabet. T/A
7
  • Strategi dan reputasi;
Strategi

Informasi terkait strategi Google Cloud tersedia di halaman Hubungan Investor Alphabet.

Reputasi

Google Cloud telah dinobatkan sebagai pemimpin dalam berbagai laporan yang dibuat oleh analis industri pihak ketiga. Anda dapat membaca laporan tersebut di halaman Laporan Analis kami.

T/A
8
  • Kemampuan, status, dan efektivitas penyampaian layanan;
Informasi terkait kemampuan dan efektivitas penyampaian layanan Google Cloud tersedia di halaman Memilih Google Cloud kami. Selain itu, Anda dapat meninjau laporan dari analis industri pihak ketiga di halaman Laporan Analis kami. T/A
9
  • Arsitektur teknologi dan sistem;

Informasi terkait arsitektur teknologi dan sistem Google Cloud tersedia di halaman Memilih Google Cloud kami.

T/A
10
  • Lingkungan kontrol internal, histori keamanan, dan cakupan audit;

Google menyadari bahwa lembaga perlu meninjau kontrol internal kami sebagai bagian dari penilaian risiko mereka. Oleh sebab itu, Google menjalani beberapa audit pihak ketiga yang independen setidaknya setiap tahun guna menyediakan verifikasi independen atas operasi dan kontrol internal kami. Google berkomitmen untuk mematuhi standar internasional utama berikut selama jangka waktu kontrak kami dengan Anda:

T/A
11
  • Kepatuhan hukum dan peraturan termasuk keluhan, proses pengadilan, atau tindakan peraturan;
Informasi terkait proses hukum yang tertunda tersedia dalam laporan tahunan kami di halaman Hubungan Investor Alphabet. T/A
12
  • Pengandalan dan keberhasilan dalam menangani penyedia layanan pihak ketiga;
 Lihat baris 41 terkait subkontrak. T/A
13
  • Perlindungan asuransi; dan
 Google akan mempertahankan perlindungan asuransi terhadap sejumlah risiko yang teridentifikasi. T/A
14
  • Kemampuan untuk memenuhi persyaratan pemulihan dari bencana (disaster recovery) dan kelangsungan bisnis.
 Lihat baris 40 terkait rencana kelangsungan bisnis dan rencana alternatif. T/A
15 Elemen penting lainnya, termasuk pemeriksaan informasi terkait hal-hal yang tidak berwujud, seperti filosofi layanan pihak ketiga, inisiatif kualitas, dan gaya manajemen. Budaya, nilai, dan gaya bisnis harus sesuai dengan yang ada di lembaga keuangan. Anda dapat meninjau informasi terkait misi, filosofi, dan budaya kami di halaman Hubungan Investor Alphabet. Halaman ini juga menyediakan informasi terkait kebijakan organisasi kami, misalnya Kode Etik. T/A
16 Ketika mempertimbangkan penyedia layanan berbasis asing, evaluasi yang dilakukan harus menilai hubungan yang terkait dengan hal-hal di atas serta informasi yang dibahas dalam Lampiran C, Penyedia Layanan Pihak Ketiga Berbasis Asing. Lihat baris 50. T/A
17 Lembaga keuangan dapat melakukan uji tuntas pada satu atau beberapa penyedia layanan yang merespons RFP. Kedalaman dan formalitas uji tuntas yang dilakukan dapat beragam sesuai dengan risiko hubungan alih daya, pemahaman lembaga terkait calon penyedia layanan, dan tahap proses pemilihan penyedia layanan. Setelah menerbitkan RFP, menerima dan mengevaluasi respons, serta melakukan uji tuntas, lembaga akan melakukan negosiasi kontrak dengan satu atau beberapa penyedia layanan yang dianggap mampu memenuhi kebutuhan mereka. Hal ini merupakan pertimbangan pelanggan. T/A
18. Masalah Kontrak
19

Setelah memilih penyedia layanan, manajemen harus menegosiasikan kontrak yang memenuhi persyaratan mereka. RFP dan respons penyedia layanan dapat digunakan sebagai input untuk proses ini. Kontrak adalah dokumen yang mengikat secara hukum yang mendefinisikan semua aspek hubungan layanan. Kontrak tertulis harus ada di semua aspek hubungan layanan. Hal ini termasuk instance tempat penyedia layanan berafiliasi dengan lembaga tersebut. Ketika membuat kontrak dengan afiliasi, lembaga harus memastikan bahwa biaya dan kualitas layanan yang diberikan sepadan dengan penyedia layanan yang tidak terafiliasi. Kontrak adalah satu-satunya kontrol paling penting dalam proses pengalihdayaan. Karena kontrak tersebut penting, manajemen seharusnya:

  • Memastikan keakuratan deskripsi hubungan pengalihdayaan dalam kontrak;
  • Memastikan kontrak ditulis dengan jelas dan berisi detail yang cukup untuk menentukan hak dan tanggung jawab masing-masing pihak secara komprehensif; serta
  • Melibatkan penasihat hukum di awal proses untuk membantu mempersiapkan dan meninjau kontrak yang diusulkan.
Kontrak Layanan Keuangan Google Cloud menentukan aspek hubungan layanan. T/A
20. Contoh elemen kontrak yang harus dipertimbangkan, antara lain:
21 Cakupan Layanan. Kontrak harus secara jelas memaparkan hak dan tanggung jawab masing-masing pihak yang ada dalam kontrak. Pertimbangan harus mencakup: Kewajiban hak dan tanggung jawab masing-masing pihak diatur dalam Kontrak Layanan Keuangan Google Cloud. T/A
22
  • Deskripsi aktivitas yang diperlukan, jangka waktu implementasi, dan pemindahan hak tanggung jawab. Ketentuan implementasi harus mempertimbangkan sistem lain yang sudah ada atau sistem yang saling terkait yang akan dikembangkan oleh penyedia layanan yang berbeda (misalnya, sistem internet banking yang diintegrasikan dengan aplikasi utama atau penyesuaian sistem yang sudah ada);

Aktivitas

Layanan GCP dijelaskan di halaman ringkasan layanan kami.

Integrasi

Ada sejumlah cara untuk mengintegrasikan layanan kami dengan sistem Anda.

  • Dengan Konsol Cloud, Anda dapat menemukan dan memeriksa kondisi semua resource Google Cloud di satu tempat, termasuk virtual machine, setelan jaringan, dan penyimpanan data.
  • Dengan Cloud API, Anda dapat mengakses produk Google Cloud melalui kode dan mengotomatiskan alur kerja menggunakan bahasa pemrograman yang Anda inginkan.
Definisi
23
  • Kewajiban dan layanan yang harus dilakukan oleh penyedia layanan, termasuk dukungan dan pemeliharaan software, pelatihan karyawan, atau layanan pelanggan;

Google akan memberikan Layanan seperti yang dijelaskan di halaman ringkasan layanan kami sesuai dengan Perjanjian Tingkat Layanan Google Cloud Platform.

Layanan dukungan dijelaskan di halaman panduan layanan dukungan teknis kami.

Google menyediakan dokumentasi untuk menjelaskan bagaimana lembaga dan karyawan mereka dapat memanfaatkan layanan kami. Jika suatu lembaga menginginkan pelatihan yang lebih terpandu, Google juga menyediakan berbagai kursus dan sertifikasi.

Layanan

Dukungan Teknis

24
  • Kewajiban lembaga keuangan;
  • Baca Kontrak Layanan Keuangan Google Cloud Anda.
25
  • Hak untuk mengubah layanan yang ada bagi pihak yang melakukan kontrak akan dilakukan berdasarkan kontrak; dan

Google akan terus memperbarui layanan agar pelanggan kami dapat memanfaatkan teknologi yang paling baru. Mengingat layanan kami yang bersifat one-to-many, update berlaku bagi semua pelanggan pada waktu yang sama.

Google tidak akan melakukan update yang secara signifikan mengurangi fungsionalitas, performa, ketersediaan, atau keamanan Layanan.

Jika Google perlu menghentikan layanan tanpa ada penggantinya, pemberitahuan awal akan diterima minimal 12 bulan sebelumnya. Google akan terus menyediakan update keamanan, produk dan dukungan selama periode tersebut.

Perubahan Layanan
26
  • Panduan untuk menambahkan layanan baru atau layanan yang berbeda, dan untuk melakukan negosiasi ulang kontrak.

Layanan baru

Google akan terus memperkenalkan layanan baru guna menawarkan fitur dan fungsi terbaru kepada pelanggan kami. Layanan baru ditambahkan ke halaman ringkasan layanan saat layanan tersedia dan tiap pelanggan dapat memilih untuk menggunakan atau tidak menggunakan layanan tersebut sesuai dengan kontrak yang ada.

Negosiasi ulang kontrak

Seiring dengan berkembangnya layanan dan teknologi, Google dapat memperbarui persyaratan tertentu di sejumlah URL yang berlaku bagi semua pelanggan kami. Setiap pembaruan harus memenuhi kriteria yang ketat. Misalnya, pembaruan tersebut tidak boleh menyebabkan penurunan keamanan layanan secara keseluruhan atau terbukti memiliki dampak yang merugikan hak Anda yang sudah ada. Selain pembaruan terbatas ini, tiap perubahan pada kontrak harus dilakukan secara tertulis dan ditandatangani oleh kedua belah pihak.

Pembaruan Layanan dan Persyaratan

Perubahan Persyaratan; Amendemen

27 Standar Performa. Lembaga harus menyertakan standar performa yang menentukan persyaratan tingkat layanan minimum dan upaya hukum jika gagal memenuhi standar dalam kontrak. Misalnya, metrik tingkat layanan umum meliputi persentase waktu beroperasi sistem, tenggat waktu untuk menyelesaikan batch processing, atau jumlah terjadinya error saat pemrosesan. Standar industri terkait tingkat layanan dapat menjadi titik referensi. Lembaga harus secara berkala meninjau standar performa secara keseluruhan guna memastikan konsistensi dengan tujuan dan sasarannya. Baca juga bagian Perjanjian Tingkat Layanan dalam buklet ini. SLA memberikan upaya hukum dan standar performa yang terukur untuk layanan serta tersedia di halaman Perjanjian Tingkat Layanan Google Cloud Platform kami. Layanan
28 Keamanan dan Kerahasiaan. Kontrak harus mencakup tanggung jawab penyedia layanan terkait keamanan dan kerahasiaan resource lembaga (misalnya, informasi, hardware). Perjanjian tersebut harus melarang penyedia layanan dan agennya untuk menggunakan atau mengungkapkan informasi lembaga, kecuali jika diperlukan atau sesuai dengan penyediaan layanan yang dikontrak, dan untuk melindungi penggunaan yang tidak sah (misalnya, pengungkapan informasi kepada pesaing lembaga). Jika informasi pribadi nonpublik terkait pelanggan lembaga diterima oleh penyedia layanan, lembaga harus memastikan bahwa penyedia layanan telah mematuhi semua persyaratan peraturan privasi yang berlaku. Lembaga harus mewajibkan penyedia layanan agar sepenuhnya mengungkapkan pelanggaran keamanan yang menyebabkan penyusupan yang tidak sah kepada penyedia layanan yang dapat memengaruhi lembaga atau pelanggannya. Penyedia layanan harus memberi tahu lembaga jika penyusupan terjadi, menjelaskan dampaknya terhadap lembaga, serta mengusulkan tindakan korektif untuk merespons penyusupan tersebut, berdasarkan kesepakatan kedua belah pihak. Keamanan

Ada dua elemen utama terkait keamanan dan privasi informasi saat menggunakan layanan cloud:

Infrastruktur Google

Google mengelola keamanan infrastruktur kami. Keamanan tersebut meliputi keamanan hardware, software, jaringan, dan fasilitas yang mendukung Layanan.

Mengingat layanan kami yang bersifat one-to-many, Google menyediakan keamanan yang sama tangguhnya bagi semua pelanggan kami.

Google memberikan informasi mendetail kepada pelanggan tentang praktik keamanan kami sehingga pelanggan dapat memahami dan mempertimbangkan praktik keamanan tersebut sebagai bagian dari analisis risiko.

Informasi lebih lanjut tersedia di:

Data dan aplikasi Anda di cloud

Anda menentukan keamanan data dan aplikasi di cloud. Hal ini merujuk pada tindakan keamanan yang dipilih dan diterapkan serta dioperasikan saat Anda menggunakan Layanan.

(a) Keamanan secara default

Meskipun kami ingin menawarkan sebanyak mungkin pilihan terkait data, keamanan data Anda merupakan hal yang sangat penting bagi Google dan kami mengambil langkah proaktif berikut untuk membantu Anda:

(b) Produk keamanan

Selain alat dan praktik lain yang tersedia di luar Google, Anda dapat memilih untuk menggunakan alat yang disediakan oleh Google untuk meningkatkan dan memantau keamanan data. Informasi terkait produk keamanan Google tersedia di halaman Produk Keamanan Cloud kami.

(c) Referensi keamanan

Google juga memublikasikan panduan tentang:

Penggunaan informasi Anda

Google berkomitmen untuk hanya mengakses atau menggunakan data demi kepentingan penyediaan Layanan yang dipesan oleh Anda dan tidak akan menggunakan data tersebut untuk produk, layanan, atau iklan Google lainnya.

Privasi dan Informasi Pribadi Non-Publik

Google akan mematuhi hukum dan peraturan privasi yang berlaku dalam hal penyediaan Layanan.

Pelanggaran keamanan

Google akan segera memberi tahu Anda jika terjadi insiden data, tanpa penundaan yang tidak semestinya. Informasi lebih lanjut terkait proses respons insiden data Google tersedia di Laporan resmi respons insiden data kami.

Keamanan Data; Tindakan Keamanan (Persyaratan Pemrosesan dan Keamanan Data)

Perlindungan Data Pelanggan

Pemrosesan Data; Kepatuhan Peran dan Peraturan (Persyaratan Pemrosesan dan Keamanan Data)

Insiden Data (Persyaratan Pemrosesan dan Keamanan Data)

29. Kontrol. Manajemen harus mempertimbangkan penerapan ketentuan kontrak yang mencakup kontrol berikut:
30
  • Kontrol internal penyedia layanan;

Google menjalani beberapa audit pihak ketiga yang independen minimal tiap tahun untuk memberikan verifikasi independen terkait efektivitas kontrol internal kami. Untuk menunjukkan efektivitas kontrol internal kami selama kemitraan berlangsung, Google berkomitmen untuk mempertahankan sertifikasi/laporan standar internasional utama berikut selama jangka waktu kontrak kami dengan Anda:

Laporan Audit dan Sertifikasi.
31
  • Kepatuhan terhadap persyaratan peraturan yang berlaku;
 Google akan mematuhi semua hukum dan peraturan yang berlaku dalam hal penyediaan Layanan. Pernyataan dan Jaminan
32
  • Persyaratan pemeliharaan kumpulan data untuk penyedia layanan;
 Google memberikan hak akses dan informasi kepada lembaga dan pihak yang ditunjuk. Informasi Pelanggan, Audit dan Akses
33
  • Akses ke kumpulan data berdasarkan lembaga;
 Lihat baris 32
34
  • Persyaratan notifikasi dan hak persetujuan untuk tiap perubahan informasi pada layanan, sistem, kontrol, personel project utama, dan lokasi layanan;

Layanan

Lihat baris 25 terkait perubahan layanan.

Personel

Pelanggan dapat mengoperasikan layanan secara mandiri tanpa perlu tindakan dari personel Google. Meskipun personel Google mengelola dan memelihara hardware, software, jaringan, dan fasilitas yang mendukung Layanan, mengingat layanan Google yang bersifat one-to-many, tidak ada personel Google yang dikhususkan untuk memberikan layanan kepada masing-masing pelanggan.

Lokasi

Untuk menyediakan layanan yang cepat, andal, kuat, dan tangguh, Google dapat menyimpan dan memproses data Anda di tempat yang dikelola oleh Google atau subpemrosesnya.

Google memberikan komitmen kontrak yang sama, sekaligus tindakan teknis dan tindakan organisasi pada data Anda, terlepas dari negara/region tempat data tersebut berada. Pada khususnya:

  • Tindakan keamanan yang sama tangguhnya berlaku di semua fasilitas Google, terlepas dari negara/region.
  • Google memberikan komitmen yang sama kepada semua subpemrosesnya, terlepas dari negara/region.

Google menyediakan pilihan penyimpanan data - termasuk pilihan untuk menyimpan data Anda di Amerika Serikat. Setelah memilih tempat penyimpanan data, Google tidak akan menyimpan data di luar region yang Anda pilih.

Anda juga dapat memilih untuk menggunakan alat yang disediakan oleh Google untuk menerapkan persyaratan lokasi data. Untuk mengetahui informasi lebih lanjut, lihat Laporan resmi residensi data, transparansi operasional, dan privasi Google Cloud kami.

Transfer Data (Persyaratan Pemrosesan dan Keamanan Data)

Keamanan Data; Subpemroses (Persyaratan Pemrosesan dan Keamanan Data)

Lokasi Data (Persyaratan Khusus Layanan)

35
  • Menetapkan dan memantau parameter untuk fungsi keuangan termasuk pemrosesan pembayaran atau perpanjangan kredit atas nama lembaga; dan
Mengingat sifat layanannya, Google tidak melayani pemrosesan pembayaran (dalam arti yang dimaksudkan dalam Buklet) atau perpanjangan kredit atas nama lembaga. T/A
36
  • Perlindungan asuransi yang dikelola oleh penyedia layanan.
Google akan mempertahankan perlindungan asuransi terhadap sejumlah risiko yang teridentifikasi. Asuransi
37 Audit. Dalam kontrak, lembaga harus menyertakan jenis-jenis laporan audit yang berhak diterimanya (misalnya, tinjauan keuangan, kontrol internal, dan keamanan). Kontrak harus mencakup frekuensi audit, biaya yang dikeluarkan untuk mendapatkan audit, serta hak lembaga dan badan pengatur untuk menerima hasil audit secara tepat waktu. Kontrak juga dapat mencakup hak untuk mendapatkan dokumentasi resolusi dari tiap masalah serta hak untuk memeriksa fasilitas pemrosesan dan praktik operasi penyedia layanan. Berdasarkan tahap penilaian risiko, manajemen harus mempertimbangkan apakah mereka dapat mengandalkan audit internal atau jika diperlukan audit dan tinjauan eksternal.

Laporan audit

Lihat baris 10 untuk mengetahui informasi lebih lanjut terkait laporan audit yang disediakan oleh Google. Google berkomitmen untuk menyimpan laporan tersebut selama jangka waktu kontrak kami dengan Anda. Laporan tersebut dibuat setidaknya tiap tahun setelah dilakukan audit oleh pihak ketiga yang independen.

Anda dapat meninjau laporan sertifikasi dan audit terkini dari Google kapan saja.

  • Sertifikasi ISO Google tersedia di sini.
  • Laporan SOC dan Attestation of Compliance (AOC) PCI Google tersedia melalui perwakilan akun Google Cloud Anda.

Lembaga dapat memberikan referensi ini kepada badan pengatur mereka.

Pemeriksaan

Google menyadari bahwa lembaga harus dapat mengaudit layanan kami secara efektif. Google memberikan hak audit kepada lembaga dan auditor independen mereka, termasuk hak untuk memeriksa fasilitas pemrosesan dan praktik operasi Google. Sebaiknya lembaga diberikan pilihan untuk menentukan frekuensi audit yang tepat bagi organisasi mereka. Kontrak kami tidak membatasi jumlah audit tertentu pada lembaga.

Laporan Audit dan Sertifikasi;

Mengaktifkan Kepatuhan Pelanggan

38 Untuk layanan yang melibatkan akses ke jaringan terbuka, seperti layanan yang berkaitan dengan Internet, manajemen harus memberikan perhatian khusus pada bidang keamanan. Lembaga harus mempertimbangkan untuk menyertakan persyaratan kontrak yang mewajibkan tinjauan kontrol berkala yang dilakukan oleh pihak independen dengan keahlian yang memadai. Tinjauan ini dapat mencakup uji penetrasi, deteksi penyusupan, tinjauan konfigurasi firewall, dan tinjauan kontrol independen lainnya. Lembaga harus menerima laporan yang cukup mendetail terkait temuan dari audit yang sedang berlangsung, sehingga keamanan bisa dinilai secara memadai tanpa perlu mengorbankan keamanan penyedia layanan. Anda dapat melakukan uji penetrasi Layanan kapan pun tanpa persetujuan sebelumnya dari Google. Selain itu, Google melibatkan pihak ketiga yang independen dan memenuhi syarat untuk melakukan uji penetrasi Layanan. Informasi lebih lanjut tersedia di sini. Uji Penetrasi Pelanggan
39 Laporan. Persyaratan kontrak harus mencakup frekuensi dan jenis laporan yang akan diterima oleh lembaga (misalnya, laporan performa, audit kontrol, laporan keuangan, keamanan, dan laporan uji kelangsungan usaha). Kontrak juga harus menguraikan panduan dan biaya untuk mendapatkan laporan kustom.

Laporan performa

Anda dapat memantau performa Layanan Google (termasuk SLA) secara rutin menggunakan fungsi Layanan.

Contoh:

  • Dasbor Status menyediakan informasi status pada Layanan.
  • Google Cloud Operations adalah solusi pemantauan, logging, dan diagnostik yang dihosting dan terintegrasi yang membantu Anda mendapatkan insight terkait aplikasi yang berjalan di GCP.
  • Transparansi Akses adalah fitur yang memungkinkan Anda meninjau log tindakan yang diambil oleh personel Google terkait data Anda. Entri log mencakup: resource yang terpengaruh, waktu tindakan, alasan tindakan (misalnya, nomor kasus yang terkait dengan permintaan dukungan); dan data tentang siapa yang bertindak atas data (misalnya, lokasi personel Google)

Laporan keuangan

Google menyediakan alat penagihan yang dapat digunakan oleh pelanggan untuk mendapatkan laporan penggunaan Layanan dan biaya terkait. Informasi lebih lanjut tersedia di halaman dokumentasi Penagihan Cloud dan halaman Mengekspor data Penagihan Cloud ke BigQuery kami.

Laporan audit dan keamanan

Lihat baris 10.

Laporan uji kelangsungan bisnis

Lihat baris 40.

Pengembangan yang signifikan

Google akan memberikan informasi terkait pengembangan yang terbukti memengaruhi kemampuan Google untuk menyediakan Layanan sesuai dengan SLA yang tersedia bagi Anda. Informasi lebih lanjut tersedia di Dasbor Insiden & Google Cloud kami.

Pemantauan Performa yang Berkelanjutan

Pengembangan yang Signifikan

40 Rencana Kelangsungan Bisnis dan Rencana Alternatif. Kontrak harus mencakup tanggung jawab penyedia layanan dalam hal pencadangan dan perlindungan kumpulan data, termasuk peralatan, program dan file data, serta pemeliharaan pemulihan dari bencana dan rencana alternatif. Kontrak harus menguraikan tanggung jawab penyedia layanan untuk menguji rencana tersebut secara berkala dan memberikan hasil pengujian kepada lembaga. Lembaga harus mempertimbangkan interdependensi di antara penyedia layanan saat menentukan persyaratan uji kelangsungan bisnis. Penyedia layanan harus memberikan salinan rencana alternatif kepada lembaga berisi uraian prosedur operasi yang diperlukan jika terjadi gangguan bisnis. Kontrak harus mencakup ketentuan khusus terkait jangka waktu pemulihan bisnis yang memenuhi persyaratan bisnis lembaga. Lembaga harus memastikan bahwa kontrak tidak berisi ketentuan yang bisa menjadi alasan bagi penyedia layanan untuk tidak menerapkan rencana alternatif.

Google akan menerapkan rencana pemulihan dari bencana dan rencana alternatif bisnis untuk layanan kami, meninjau dan mengujinya minimal tiap tahun, serta memastikan bahwa rencana tersebut tetap sesuai dengan standar industri. Lembaga dapat meninjau rencana dan hasil pengujian kami.

Selain itu, informasi tentang bagaimana pelanggan dapat menggunakan Layanan kami dalam rencana pemulihan dari bencana dan rencana alternatif bisnis mereka tersedia di Panduan Perencanaan Pemulihan dari Bencana kami.

Kelangsungan Bisnis dan Pemulihan dari Bencana (Disaster Recovery)
41 Hubungan Sub-kontrak dan Beberapa Penyedia Layanan. Beberapa penyedia layanan mungkin memiliki kontrak dengan penyedia pihak ketiga dalam memberikan layanan pada lembaga keuangan. Lembaga harus mengetahui dan menyetujui semua subkontraktor. Untuk memberikan akuntabilitas, lembaga keuangan harus menunjuk penyedia layanan kontraktor utama dalam kontrak. Kontrak juga harus menentukan bahwa penyedia layanan kontraktor utama bertanggung jawab atas layanan yang diuraikan dalam kontrak, terlepas dari entitas mana yang melakukan operasi. Lembaga juga harus mempertimbangkan untuk menyertakan persyaratan notifikasi dan persetujuan terkait perubahan pada subkontraktor penyedia layanan yang signifikan.

Google menyadari bahwa lembaga perlu mempertimbangkan risiko yang terkait dengan subkontrak. Kami juga ingin menyediakan layanan yang paling andal, kuat, dan tangguh kepada Anda dan semua pelanggan kami. Dalam beberapa kasus, kerja sama dengan organisasi lain yang tepercaya dapat memberikan manfaat yang jelas, misalnya untuk memberikan dukungan 24/7.

Akuntabilitas

Google mewajibkan subkontraktor kami untuk memenuhi standar yang sama tingginya dengan yang kami terapkan. Secara khusus, Google mewajibkan subkontraktor untuk mematuhi kontrak kami dengan Anda. Google akan tetap bertanggung jawab atas pelaksanaan semua kewajiban yang disubkontrakkan.

Informasi dan perubahan

Agar lembaga dapat mempertahankan pengawasan atas subkontrak dan memberikan pilihan terkait layanan yang digunakan oleh lembaga, Google akan:

  • memberikan informasi tentang subkontraktor kami (termasuk fungsi dan lokasinya);
  • mengirimkan pemberitahuan awal kepada subkontraktor kami jika ada perubahan; dan
  • memberikan kemampuan kepada lembaga untuk menghentikan kontrak jika mereka memiliki kekhawatiran tentang subkontraktor baru.
Subkontraktor Google
42 Biaya. Kontrak harus menjelaskan penghitungan biaya layanan dasar secara lengkap, termasuk pengembangan, konversi, dan layanan berulang, serta biaya apa pun yang didasarkan pada volume aktivitas atau permintaan khusus. Kontrak juga harus mencakup tanggung jawab dan biaya tambahan untuk membeli serta memelihara hardware dan software. Setiap kondisi yang dapat mengubah struktur biaya harus dibahas secara mendetail, termasuk batasan kenaikan biaya. Baca juga bagian Metode Penetapan Harga dan Paket dalam buklet ini.

Baca Kontrak Layanan Keuangan Google Cloud Anda.

Audit

Google berkomitmen untuk mendukung lembaga melalui audit atau pemeriksaan layanan kami. Karena dukungan ini tidak termasuk dalam biaya layanan kami yang terdaftar secara publik, Google dapat mengenakan biaya tambahan sehubungan dengan audit atau pemeriksaan. Google akan memberikan detail biaya lebih lanjut sebelum aktivitas berlangsung dan setelah cakupan aktivitas diketahui.

Persyaratan Pembayaran
43 Kepemilikan dan Lisensi. Kontrak harus mencakup kepemilikan, hak, dan izin penggunaan data, peralatan/hardware, dokumentasi sistem, software aplikasi dan sistem, serta hak atas kekayaan intelektual lainnya milik lembaga. Kepemilikan data lembaga harus jelas dan berada di tangan lembaga. Hak atas kekayaan intelektual lainnya dapat mencakup nama dan logo lembaga, merek dagang atau materi berhak cipta, nama domain, desain situs, dan produk lain yang dikembangkan oleh penyedia layanan untuk lembaga. Informasi tambahan terkait pengembangan software yang disesuaikan untuk mendukung layanan yang dialihdayakan dapat ditemukan dalam Panduan IT yang berjudul "Buklet Pengembangan dan Akuisisi".

Data

Anda memiliki semua hak atas kekayaan intelektual pada data, yakni data yang diambil dari data Anda menggunakan layanan kami dan aplikasi Anda. Lihat baris 28 untuk mengetahui komitmen Google terkait penggunaan dan perlindungan data.

Merek dagang, logo, dll.

Google tidak akan menggunakan fitur merek milik Anda tanpa persetujuan sebelumnya.

Kekayaan Intelektual

Pemasaran dan Publisitas

44 Durasi. Lembaga harus mempertimbangkan jenis teknologi dan kondisi industri saat ini ketika menegosiasikan jangka waktu kontrak yang sesuai serta periode perpanjangannya. Kontrak teknologi jangka panjang mungkin memiliki manfaat yang signifikan, namun teknologi tertentu dapat berkembang dengan cepat dan kontrak jangka pendek terbukti lebih bermanfaat. Demikian pula, lembaga harus mempertimbangkan jangka waktu yang diperlukan untuk memberi tahu penyedia layanan terkait keinginan lembaga untuk tidak memperpanjang kontrak sebelum masa berlakunya habis. Lembaga harus mempertimbangkan untuk mengoordinasi tanggal habis masa berlaku kontrak untuk layanan yang saling terkait (misalnya, situs, telekomunikasi, pemrograman, dukungan jaringan) sehingga bisa bertepatan satu sama lain, jika memungkinkan. Koordinasi seperti ini dapat meminimalkan risiko penghentian kontrak lebih awal dan penalti sebagai akibat dari penghentian kontrak layanan terkait lainnya. Baca Kontrak Layanan Keuangan Google Cloud Anda. Masa Berlaku dan Penghentian
45 Penyelesaian Sengketa. Lembaga harus mempertimbangkan untuk menyertakan ketentuan terkait proses penyelesaian sengketa yang bertujuan untuk mengatasi masalah dengan cepat, sekaligus ketentuan untuk melanjutkan layanan selama periode penyelesaian sengketa. Baca Kontrak Layanan Keuangan Google Cloud Anda. Hukum yang Mengatur
46 Perlindungan terhadap Kerugian. Ketentuan perlindungan terhadap kerugian harus mewajibkan penyedia layanan untuk membebaskan lembaga keuangan dari kewajiban atas kelalaian penyedia layanan. Penasihat hukum harus meninjau ketentuan tersebut guna memastikan bahwa lembaga tidak akan bertanggung jawab atas klaim yang timbul sebagai akibat dari kelalaian penyedia layanan. Baca Kontrak Layanan Keuangan Google Cloud Anda. Perlindungan terhadap Kerugian
47 Batasan Kewajiban. Beberapa kontrak standar penyedia layanan mungkin berisi klausul yang membatasi jumlah kewajiban yang dapat ditanggung oleh penyedia layanan. Jika lembaga sedang mempertimbangkan kontrak seperti ini, manajemen harus menilai apakah batasan kerusakan memiliki hubungan yang memadai dengan jumlah kerugian yang mungkin dialami oleh lembaga keuangan secara wajar sebagai akibat dari kegagalan penyedia layanan dalam melaksanakan kewajibannya. Baca Kontrak Layanan Keuangan Google Cloud Anda. Kewajiban
48 Penghentian. Manajemen harus menilai ketentuan terkait ketepatan waktu dan biaya penghentian kontrak. Cakupan dan fleksibilitas hak penghentian kontrak dapat beragam, bergantung pada layanan. Lembaga harus mempertimbangkan untuk menyertakan hak penghentian kontrak dalam berbagai kondisi, termasuk perubahan kontrol (misalnya, akuisisi dan penggabungan), kenyamanan, peningkatan biaya yang cukup besar, kegagalan berulang dalam memenuhi tingkat layanan, kegagalan dalam menyediakan layanan penting, kebangkrutan, penutupan perusahaan, dan kepailitan. Kontrak harus menetapkan persyaratan notifikasi dan jangka waktu serta menyediakan pengembalian data dan resource lembaga secara tepat waktu dalam format yang dapat dibaca oleh mesin pada saat penghentian kontrak. Biaya apa pun yang terkait dengan bantuan konversi juga harus dinyatakan dengan jelas.

Penghentian

Lembaga dapat memilih untuk menghentikan kontrak kami demi alasan kenyamanan yang disertai pemberitahuan awal, termasuk jika Google menaikkan biaya atau untuk mematuhi hukum yang berlaku, jika diperlukan.

Selain itu, lembaga dapat menghentikan kontrak kami dengan mengirim pemberitahuan awal jika terjadi pelanggaran material Google setelah periode pemulihan, adanya perubahan kontrol, atau karena Google mengalami kepailitan.

Transfer

Google menyadari bahwa lembaga memerlukan waktu yang cukup untuk berhenti dari layanan kami (termasuk untuk mentransfer layanan ke penyedia layanan lain). Untuk membantu lembaga mencapai hal ini, sesuai permintaan, Google akan terus menyediakan layanan selama 12 bulan setelah penghentian atau berakhirnya kontrak.

Google akan memungkinkan Anda untuk mengakses dan mengekspor data selama durasi kontrak dan selama masa transisi pascapenghentian. Anda dapat mengekspor data dari Layanan melalui sejumlah format standar industri. Contoh:

  • Google Kubernetes Engine adalah lingkungan yang terkelola dan siap produksi yang memungkinkan portabilitas di berbagai lingkungan cloud serta di lingkungan lokal.
  • Migrate to Containers memungkinkan Anda memindahkan dan mengonversi workload secara langsung ke dalam container di Google Kubernetes Engine.
  • Anda dapat mengekspor/mengimpor seluruh image VM dalam format arsip .tar. Temukan informasi lebih lanjut terkait opsi image dan penyimpanan di halaman Dokumentasi Compute Engine kami.

Masa Berlaku dan Penghentian

Masa Berlaku Transisi

Ekspor Data (Persyaratan Pemrosesan dan Keamanan Data)

49 Pemindahan Hak. Lembaga harus mempertimbangkan ketentuan kontrak yang melarang pemindahan hak kontrak kepada pihak ketiga tanpa melalui persetujuan lembaga. Ketentuan pemindahan hak juga harus merefleksikan persyaratan notifikasi untuk tiap perubahan pada subkontraktor material.

Pemindahan Hak

Baca Kontrak Layanan Keuangan Google Cloud Anda.

Subkontrak

Lihat baris 41 terkait subkontrak.

Pemindahan Hak
50 Penyedia layanan berbasis asing. Lembaga yang membuat kontrak dengan penyedia layanan berbasis asing harus mempertimbangkan sejumlah masalah dan ketentuan kontrak tambahan. Lihat Lampiran C yang disertakan dalam buklet ini.

Google LLC adalah penyedia layanan untuk lembaga yang berbasis di Amerika Serikat. Google LLC diatur berdasarkan hukum Negara Bagian Delaware, Amerika Serikat.

Lihat Kontrak Layanan Keuangan Google Cloud Anda untuk mengetahui informasi lebih lanjut terkait hukum yang mengatur dan wilayah hukum yang berlaku untuk kontrak kami.

Hukum yang Mengatur
51 Kepatuhan terhadap Peraturan. Lembaga keuangan harus memastikan bahwa kontrak dengan penyedia layanan telah mencakup perjanjian yang menyatakan bahwa penyedia layanan dan layanannya akan mematuhi panduan dan persyaratan peraturan yang berlaku. Ketentuan tersebut juga harus menunjukkan bahwa penyedia layanan setuju untuk memberikan informasi yang akurat serta akses informasi yang tepat waktu kepada badan pengatur terkait berdasarkan jenis dan tingkat layanan yang diberikan kepada lembaga keuangan.

Kepatuhan

Google akan mematuhi semua hukum, peraturan, serta panduan peraturan yang mengikat dan berlaku dalam hal penyediaan Layanan.

Akses berdasarkan badan pengatur

Google memberikan hak akses dan informasi kepada badan pengatur lembaga dan pihak yang ditunjuk.

Pernyataan dan Jaminan

Informasi Badan Pengatur, Audit dan Akses