Mapeamento

Gerenciamento de risco da FFIEC para serviços de tecnologia de terceirização

Mapeamento do Google Cloud Platform

Este documento foi criado para ajudar instituições financeiras ("instituições ") dentro do Conselho Federal de Exame das Instituições Financeiras ("FFIEC") para considerar o Folheto de serviços de tecnologia de terceirização (o "Folheto de terceirização FFIEC") no contexto do Google Cloud Platform ("GCP") e o contrato de serviços financeiros do Google Cloud.

O foco das seções " diligências e problemas de contrato" do Flex de FFIEC Para cada parágrafo dessas seções, fornecemos comentários para ajudar você a entender como lidar com o folheto de terceirização FFIEC usando os serviços do Google Cloud e o Contrato de serviços financeiros do Google Cloud.

# Referência Comentários do Google Cloud Referência do contrato de serviços financeiros do Google Cloud
1. Investigação
2 Uma instituição financeira deve executar a diligência da resposta do provedor de serviços a uma RFP e ao próprio provedor de serviços. A diligência deve servir como uma ferramenta de verificação e análise, garantindo que o provedor de serviços atenda às necessidades da instituição. A investigação precisa confirmar e avaliar as seguintes informações relacionadas ao provedor de serviços: O Google reconhece que você precisa conduzir a diligência e realizar uma avaliação de risco antes de decidir usar nossos serviços. Para ajudá-lo, fornecemos informações sobre cada uma das áreas que você precisa considerar nas linhas seguintes. N/A
3
  • Existência e história corporativa;
As informações sobre o histórico corporativo do Google Cloud estão disponíveis na página Relações com o investimento da Alphabet. N/A
4
  • Qualificações, histórico e reputação de diretores de empresas, incluindo investigações de histórico para contratação criminal, quando apropriado;

Diretores da empresa

As informações sobre a equipe de liderança do Google Cloud estão disponíveis na nossa página Recursos de mídia.

Investigações de histórico para contratação

O Google realiza investigações de histórico para contratação nos nossos funcionários onde legalmente permitido fornecer um ambiente seguro para clientes e funcionários.

N/A
5
  • Outras empresas que usam serviços semelhantes do provedor que podem ser contatadas para referência;
Informações sobre nossos clientes para referência (incluindo no setor de serviços financeiros) estão disponíveis na nossa página Cliente do Google Cloud. N/A
6
  • status financeiro, incluindo avaliações de demonstrativos financeiros auditados;
Você pode analisar o status financeiro do Google e os demonstrativos financeiros auditados na página Relações com investidores do Alphabet. N/A
7
  • Estratégia e reputação
Estratégia

As informações sobre as estratégias do Google Cloud estão disponíveis na página Relações com o investimento da Alphabet.

Reputação

O Google Cloud foi indicado como líder em vários relatórios de analistas do setor terceirizados. Você pode ler essas informações na nossa página Relatórios de analistas.

N/A
8
  • Capacidade, status e eficácia do serviço;
As informações sobre a capacidade e a eficiência do serviço de entrega do Google Cloud estão disponíveis na nossa página Como escolher o Google Cloud. Além disso, você pode consultar os relatórios de analistas de terceiros no setor na nossa página Relatórios de analistas. N/A
9
  • Arquitetura de tecnologia e sistemas;

Informações sobre a arquitetura de tecnologia e sistemas do Google Cloud estão disponíveis na nossa página Como escolher o Google Cloud.

N/A
10
  • Ambiente de controles internos, histórico de segurança e cobertura de auditoria;

O Google reconhece que as instituições precisam revisar os controles internos como parte da avaliação de risco. Para ajudar, o Google passa por várias auditorias independentes de terceiros pelo menos uma vez ao ano para fornecer uma verificação independente de nossas operações e controles internos. O Google se compromete a obedecer aos seguintes padrões internacionais durante a vigência do nosso contrato com você:

N/A
11
  • Conformidade legal e regulatória, incluindo quaisquer reclamações, litígios ou ações regulatórias;
Informações sobre materiais pendentes em processos legais estão disponíveis nos nossos relatórios anuais na página Relações com investidores da Alphabet. N/A
12
  • Dependência e sucesso no processamento com provedores terceirizados;
Consulte a linha 41 sobre subcontratação. N/A
13
  • Cobertura de seguro e
O Google manterá a cobertura do seguro contra vários riscos identificados. N/A
14
  • Capacidade de atender aos requisitos de recuperação de desastres e continuidade dos negócios.
Consulte a linha 40 dos planos de continuidade e continuidade dos negócios. N/A
15 Outros elementos importantes incluem sondagem para informações sobre intangíveis, como filosofias, iniciativas de qualidade e estilo de gerenciamento de terceiros. A cultura, os valores e os estilos de negócios devem se adequar aos da instituição financeira. Veja informações sobre nossa missão, filosofia e cultura na página de Relações com investidores da Alphabet. Além disso, fornecemos informações sobre nossas políticas organizacionais, por exemplo, nosso código de conduta. N/A
16 Quando um provedor de serviços externo é considerado, a avaliação deve avaliar o relacionamento com base nos itens acima, bem como as informações discutidas no Apêndice C, provedores de serviços terceirizados baseados em estrangeiros. Consulte a linha 50. N/A
17 As instituições financeiras podem realizar a diligência de informações em um ou mais provedores de serviços que respondem à RFP. A profundidade e a formalidade da diligência realizada pode variar de acordo com o risco do relacionamento terceirizado, a familiaridade da instituição com os provedores de serviços em potencial e o estágio do processo de seleção do provedor. Quando as instituições emitem solicitações de RFPs, recebem e avaliam as respostas e realizam a diligência, elas entram em negociações de contratos com um ou mais provedores de serviços que demonstraram que atendem melhor às necessidades. Esta é uma consideração do cliente. N/A
18. Problemas de contrato
19

Depois de selecionar um provedor de serviços, o gerenciamento precisa negociar um contrato que atenda aos requisitos exigidos. A RFP e a resposta do provedor de serviços podem ser usadas como entradas para esse processo. O contrato é o documento de vinculação legal que define todos os aspectos do relacionamento de serviços. Um contrato por escrito precisa estar presente em todos os relacionamentos de serviços. Isso inclui instâncias em que o provedor de serviços é afiliado à instituição. Ao contratar um afiliado, a instituição precisa garantir que os custos e a qualidade dos serviços fornecidos estejam em conformidade com os provedores de um não afiliado. O contrato é o único controle mais importante do processo de terceirização. Devido à importância do contrato, o gerenciamento precisa:

  • Verificar a precisão da descrição da relação de terceirização no contrato;
  • Certifique-se de que o contrato foi claramente escrito e contenha detalhes suficientes para definir os direitos e as responsabilidades de cada parte de forma abrangente; e
  • Contrate aconselhamento jurídico no início do processo para preparar e analisar o contrato proposto.
O Contrato de serviços financeiros do Google Cloud define os aspectos do relacionamento de serviço. N/A
20. Exemplos de elementos de contrato que devem ser considerados:
21 Escopo do Serviço. O contrato deve descrever claramente os direitos e as responsabilidades das partes sobre o contrato. As considerações devem incluir o seguinte: As obrigações de direitos e responsabilidades das partes são estabelecidas no Contrato de Serviços Financeiros do Google Cloud. N/A
22
  • Descrições das atividades necessárias, prazos da implementação e atribuição de responsabilidades. As provisões de implementação precisam considerar outros sistemas ou sistemas inter-relacionados a serem desenvolvidos por diferentes provedores de serviços (por exemplo, um sistema de internet banking sendo integrado a aplicativos ou personalização de sistemas principais existentes);

Atividades

Os serviços do GCP estão descritos na nossa página de resumo de serviços.

Integração

Há várias maneiras de integrar nossos serviços aos seus sistemas.

  • O Console do Cloud permite que você encontre e verifique a integridade de todos os seus recursos do Google Cloud em um só lugar, incluindo máquinas virtuais, configurações de rede e armazenamento de dados.
  • As APIs do Cloud permitem que você acesse produtos do Google Cloud a partir do seu código e automatize os fluxos de trabalho usando a linguagem de programação que preferir.
Definições
23
  • Obrigações e serviços que devem ser realizados pelo provedor de serviços, incluindo suporte e manutenção de software, treinamento de funcionários ou atendimento ao cliente;

O Google fornecerá os serviços descritos na página Resumo dos serviços de acordo com os Contratos de nível de serviço do Google Cloud Platform.

Os serviços de suporte estão descritos na nossa página de diretrizes de serviços de suporte técnico.

O Google fornece uma documentação para explicar como as instituições e os funcionários podem usar nossos serviços. Se uma instituição quiser mais treinamentos guiados, o Google também fornece uma variedade de cursos e certificações.

Serviços

Suporte técnico

24
  • Obrigações da instituição financeira;
  • Consulte seu contrato de serviços financeiros do Google Cloud.
25
  • os direitos das partes interessadas na modificação dos serviços existentes realizados sob o contrato; e

O Google atualiza continuamente os serviços para permitir que nossos clientes aproveitem a tecnologia mais atualizada. Devido à natureza de um para muitos de nosso serviço, as atualizações se aplicam a todos os clientes ao mesmo tempo.

O Google não fará atualizações que reduzem significativamente a funcionalidade, o desempenho, a disponibilidade ou a segurança dos Serviços.

Se o Google precisar descontinuar um serviço sem substituí-lo, você receberá uma notificação com pelo menos 12 meses de antecedência. O Google continuará oferecendo atualizações de suporte e de produtos durante esse período.

Alterações nos Serviços
26
  • Diretrizes para adicionar serviços novos ou diferentes e para renegociação de contrato.

Novos serviços

O Google está sempre introduzindo novos serviços para oferecer aos clientes os recursos e as funcionalidades mais recentes. Os novos serviços são adicionados à página Resumo dos serviços quando estiverem disponíveis, e cada cliente pode escolher se quer ou não usá-los sob o contrato existente.

Renegociação de contratos

Como os serviços e a tecnologia mudam, o Google pode atualizar alguns termos em URLs que se aplicam a todos os nossos clientes. As atualizações precisam atender a critérios rigorosos. Por exemplo, eles não podem resultar em uma degradação material da segurança geral dos serviços, nem terão um impacto material negativo nos seus direitos existentes. Além dessas atualizações limitadas, qualquer alteração contratual deve ser feita por escrito e assinada por ambas as partes.

Atualizações nos Serviços e nos Termos.

Alterações nos Termos; Aditivos

27 Padrões de desempenho. As instituições precisam incluir padrões de desempenho que definam requisitos mínimos e níveis de serviço para falhas no cumprimento dos padrões no contrato. Por exemplo, as métricas de nível de serviço comuns incluem porcentagem de tempo de atividade do sistema, prazos para a conclusão do processamento em lote ou número de erros de processamento. Os padrões do setor para níveis de serviço podem fornecer um ponto de referência. A instituição precisa revisar periodicamente os padrões gerais de desempenho para garantir consistência com os objetivos e metas. Consulte também a seção Contratos de nível de serviço neste folheto. Os SLAs fornecem padrões de desempenho mensuráveis e soluções para os serviços e estão disponíveis na página Contratos de nível de serviço do Google Cloud Platform. Serviços
28 Segurança e confidencialidade. O contrato deve abordar a responsabilidade do provedor de serviços por segurança e confidencialidade dos recursos da instituição (por exemplo, informações, hardware). O contrato deve proibir o provedor de serviços e seus agentes de usar ou divulgar as informações da instituição, exceto conforme necessário ou de maneira consistente com o fornecimento dos serviços contratados e a proteção contra o uso não autorizado (por exemplo, divulgação de informações sobre concorrentes. Se o provedor de serviços receber informações pessoais não públicas sobre os clientes, ele precisará verificar se está em conformidade com todos os requisitos aplicáveis dos regulamentos de privacidade. As instituições precisam exigir que o provedor de serviços divulgue completamente as violações na segurança, resultando em intrusões não autorizadas no provedor de serviços, que podem afetar significativamente a instituição ou os clientes. O provedor de serviços deve informar à instituição quando ocorrerem intrusões, o efeito na instituição e a ação corretiva para responder à invasão, com base nos contratos entre as duas partes. Segurança

A segurança e a privacidade das informações ao usar um serviço de nuvem consistem em dois elementos principais:

Infraestrutura do Google

O Google gerencia a segurança da nossa infraestrutura. Essa é a segurança do hardware, software, rede e instalação compatíveis com os serviços.

Devido à natureza de um para muitos de nosso serviço, o Google fornece a mesma segurança robusta para todos os nossos clientes.

O Google fornece informações detalhadas aos clientes sobre nossas práticas de segurança para que eles possam compreendê-las e as considerar como parte da própria análise de risco.

Mais informações estão disponíveis em:

Seus dados e aplicativos na nuvem

Você define a segurança dos seus dados e aplicativos na nuvem. Isso se refere às medidas de segurança que você opta por implementar e operar ao usar os Serviços.

(a) Segurança por padrão

Queremos oferecer o máximo de escolha possível nos seus dados. No entanto, a segurança dos seus dados é de extrema importância do Google. Por isso, tomamos as seguintes medidas proativas para ajudar você:

(b) Produtos de segurança

Além das outras ferramentas e práticas disponíveis fora do Google, é possível usar as ferramentas fornecidas pelo Google para melhorar e monitorar a segurança dos seus dados. As informações sobre os produtos de segurança do Google estão disponíveis na nossa página Produtos de segurança do Cloud.

(c) Recursos de segurança

O Google também publica orientações sobre:

Uso das suas informações

O Google se compromete a acessar ou usar apenas seus dados para fornecer os Serviços solicitados por você e não os usará para nenhum outro produto, serviço ou publicidade do Google.

Privacidade e informações pessoais não públicas

O Google cumprirá as leis e regulamentações de privacidade aplicáveis a ele no fornecimento dos Serviços.

Violações de segurança

O Google notificará você sobre incidentes de dados imediatamente e sem atrasos. Mais informações sobre o processo de resposta a incidentes de dados do Google estão disponíveis no nosso whitepaper sobre resposta a incidentes de dados.

Segurança dos dados Medidas de segurança ( Termos de Segurança e Processamento de Dados)

Proteção dos Dados do Cliente

Processamento de Dados; Papéis e conformidade regulatória ( Termos de processamento e segurança de dados)

Incidentes de dados ( Termos de segurança e processamento de dados)

29. Controles. A administração precisa implementar disposições contratuais que atendam aos seguintes controles:
30
  • Controles internos do provedor de serviços;

O Google passa por várias auditorias terceirizadas terceirizadas pelo menos uma vez por ano para fornecer uma verificação independente da eficiência de nossos controles internos. Para garantir a visibilidade da eficiência dos nossos controles internos em todo o nosso relacionamento, o Google se compromete a manter certificações / relatórios para os seguintes padrões internacionais durante a vigência do nosso contrato com você:

Certificações e relatórios de auditoria
31
  • Conformidade com os requisitos regulamentares aplicáveis;
O Google obedecerá a todas as leis e regulamentações aplicáveis no fornecimento dos Serviços. Declarações e Garantias
32
  • Gravar requisitos de manutenção para o provedor de serviços;
O Google concede acesso e direitos de informação às instituições e aos indicados. Informações do cliente, auditoria e acesso
33
  • Acesso aos registros da instituição;
Consulte a linha 32
34
  • Requisitos de notificação e direitos de aprovação para quaisquer alterações importantes em serviços, sistemas, controles, equipe-projeto e locais de serviços.

Serviços

Consulte a linha 25 sobre alterações nos serviços.

Equipe

Os clientes podem operar os serviços de maneira independente, sem ação da equipe do Google. A equipe do Google gerencia e mantém o hardware, o software, a rede e as instalações compatíveis com os Serviços, dada a natureza de um para muitos dos serviços, mas não há pessoal do Google dedicado a entregar os serviços a uma pessoa.

Locais

Para oferecer a você um serviço rápido, confiável, robusto e robusto, o Google pode armazenar e processar seus dados onde o Google ou os subprocessadores dele mantêm instalações.

O Google fornece os mesmos compromissos contratuais e as medidas técnicas e organizacionais dos seus dados, independentemente do país / região em que eles estão localizados. Especificamente:

  • As mesmas medidas de segurança avançadas se aplicam a todas as instalações do Google, independentemente do país ou da região.
  • O Google assume os mesmos compromissos sobre todos os subprocessadores, independentemente do país / região.

O Google oferece opções para armazenar seus dados, incluindo a opção de armazená-los nos Estados Unidos. Quando você escolhe onde armazenar os dados, o Google não os armazena fora das regiões escolhidas.

Também é possível usar as ferramentas fornecidas pelo Google para aplicar requisitos de localização de dados. Para mais informações, consulte nosso artigo sobre residência de dados, transparência operacional e privacidade no Google Cloud Whitepaper .

Transferências de dados ( Termos de processamento e segurança de dados)

Segurança dos dados Subprocessadores ( Termos de Segurança e Processamento de Dados)

Local dos dados (Termos específicos do serviço)

35
  • Definir e monitorar parâmetros de funções financeiras, incluindo processamento de pagamentos ou extensões de crédito, em nome da instituição; e
Dada a natureza dos serviços, o Google não realiza o processamento de pagamentos (no sentido previsto no Booklet) ou extensões de crédito em nome da instituição. N/A
36
  • Cobertura de seguro mantida pelo provedor de serviços.
O Google manterá a cobertura do seguro contra vários riscos identificados. Seguros
37 Auditoria. Ela precisa incluir no contrato os tipos de relatórios de auditoria que tem direito a receber (por exemplo, análises financeiras, de controle interno e de segurança). O contrato deve especificar a frequência de auditoria, as cobranças pela obtenção das auditorias, os direitos da instituição e das agências reguladoras para receber os resultados das auditorias em tempo hábil. O contrato também pode especificar direitos para obter a documentação da resolução de quaisquer instalações e para inspecionar as instalações de processamento e as práticas operacionais do provedor de serviços. O gerenciamento deve considerar, com base na fase de avaliação de risco, se pode confiar em auditorias internas ou se há necessidade de auditorias e avaliações externas.

Relatórios de auditoria

Consulte a linha 10 para mais informações sobre os relatórios de auditoria fornecidos pelo Google. O Google se compromete a manter esses relatórios durante a vigência do nosso contrato com você. Os relatórios são produzidos no mínimo uma vez anualmente após uma auditoria feita por terceiros independentes.

Consulte as certificações e relatórios de auditoria atuais do Google a qualquer momento.

  • As certificações ISO do Google estão disponíveis neste link.
  • Os relatórios de SOC e o Atestado de conformidade (AOC, na sigla em inglês) do Google estão disponíveis por meio do representante da sua conta do Google Cloud.

As instituições podem fornecer esses materiais às agências reguladoras.

Inspeção

O Google reconhece que as instituições precisam conseguir auditar nossos serviços com eficácia. O Google concede direitos de auditoria a instituições e seus auditores independentes, incluindo a inspeção das instalações de processamento e das práticas operacionais do Google. A instituição é a melhor forma de decidir qual é a frequência de auditoria ideal para a organização. Nosso contrato não limita as instituições a um número fixo de auditorias.

Certificações e relatórios de auditoria

Ativação da conformidade do cliente

38 Para serviços que envolvem acesso a redes abertas, como serviços relacionados à Internet, o gerenciamento deve prestar atenção especial à segurança. A instituição precisa considerar a inclusão de termos de contrato que exijam análises periódicas de controle realizadas por uma parte independente com experiência suficiente. Essas revisões podem incluir teste de invasão, detecção de invasão, avaliações de configuração de firewall e outras análises de controle independentes. A instituição precisa receber relatórios suficientes sobre as descobertas dessas auditorias contínuas para avaliar a segurança adequadamente sem comprometer a segurança do provedor de serviços. Você pode realizar testes de penetração dos Serviços a qualquer momento sem a aprovação prévia do Google. Além disso, o Google envolve um terceiro qualificado e independente para realizar testes de penetração dos Serviços. Veja mais informações neste link. Teste de penetração do cliente
39 Relatórios. Os termos contratuais devem incluir a frequência e o tipo de relatório que a instituição receberá (por exemplo, relatórios de desempenho, auditorias de controle, demonstrativos financeiros, segurança e relatórios de teste de retomada comercial). Além disso, eles precisam descrever as diretrizes e taxas para geração de relatórios personalizados.

Relatórios de desempenho

Você pode monitorar o desempenho dos Serviços do Google (incluindo os SLAs) regularmente usando a funcionalidade dos Serviços.

Exemplo:

  • O Painel de status fornece informações de status sobre os Serviços.
  • O Google Cloud Operations é uma solução hospedada de monitoramento, geração de registros e diagnóstico que ajuda você a conseguir insights sobre seus aplicativos executados no GCP.
  • A transparência no acesso é um recurso que permite analisar os registros das ações realizadas pela equipe do Google em relação aos seus dados. As entradas de registro incluem: o recurso afetado, a hora da ação, o motivo da ação (por exemplo, o número do caso associado à solicitação de suporte); dados sobre quem está atuando nos dados (por exemplo, o local da equipe do Google)

Relatórios financeiros

O Google oferece ferramentas de faturamento que podem ser usadas pelos clientes para conseguir relatórios sobre o uso dos Serviços e custos associados. Mais informações estão disponíveis na página de documentação do Cloud Billing e na página Exportar dados do Faturamento do Cloud para o BigQuery.

Relatórios de auditoria e segurança

Consulte a linha 10.

Relatórios de testes de retomada de negócios

Consulte a linha 40.

Desenvolvimentos significativos

O Google fará informações sobre desenvolvimentos que afetam materialmente a capacidade do Google de realizar os Serviços de acordo com os SLAs disponíveis. Para mais informações, acesse o painel Incidentes e o painel do Google Cloud.

Monitoramento de desempenho contínuo

Desenvolvimentos significativos

40 Planos de recuperação e recuperação comercial. O contrato precisa abordar a responsabilidade do provedor de serviços de proteção e backup, incluindo equipamentos, arquivos de programas e dados, e manutenção de planos de continuidade e recuperação de desastres. Os contratos precisam descrever a responsabilidade do provedor de serviços para testar os planos regularmente e fornecer os resultados à instituição. A instituição precisa considerar interdependências entre os provedores de serviços ao determinar os requisitos de teste de retomada comercial. O provedor de serviços fornece à instituição uma cópia do plano de contingência que descreve os procedimentos operacionais necessários no caso de interrupção dos negócios. Os contratos precisam incluir disposições específicas para prazos de recuperação de negócios que atendam aos requisitos de negócios da instituição. A instituição precisa garantir que o contrato não contenha disposições que possam exclusificar o provedor de serviços de implementar seus planos de contingência.

O Google implementará um plano de continuidade dos negócios e recuperação de desastres para nossos serviços, revisará e testará pelo menos uma vez e se manterá atualizado com os padrões do setor. As instituições podem avaliar nosso plano e testar os resultados.

Além disso, as informações sobre como os clientes podem usar nossos serviços nos próprios planos de recuperação de desastres e recuperação de desastres estão disponíveis no nosso Guia de planejamento de recuperação de desastres.

Continuidade comercial e recuperação de desastres
41 Relações de subcontratação e vários provedores de serviços. Alguns provedores de serviços podem contratar terceiros para prestar serviços à instituição financeira. As instituições precisam estar cientes e aprovar todos os subcontratados. Para fornecer responsabilidade, a instituição financeira precisa designar o fornecedor de serviços principal principal no contrato. O contrato também deve especificar que o provedor de serviços principal principal é responsável pelos serviços descritos no contrato, independentemente de qual entidade realmente realiza as operações. A instituição também precisa incluir os requisitos de notificação e aprovação relacionados às alterações nos subcontratados significativos do provedor de serviços.

O Google reconhece que as instituições precisam considerar os riscos associados à subcontratação. Queremos oferecer a você o serviço mais confiável, robusto e resiliente possível. Em alguns casos, pode haver benefícios claros para trabalhar com outras organizações confiáveis, por exemplo, oferecer suporte 24 horas por dia, 7 dias por semana.

Responsabilidade

O Google exige que nossos subcontratados atendam aos mesmos padrões elevados. Em particular, o Google exige que nossos subcontratados obedeçam ao contrato. O Google permanecerá responsável pelo desempenho de todas as obrigações subcontratadas.

Informações e alterações

Para permitir que as instituições retenham a supervisão de qualquer subcontratação e forneçam opções sobre os serviços usados pelas instituições, o Google:

  • forneça informações sobre nossos subcontratados (incluindo a função e o local);
  • fornecer avisos com antecedência de alterações aos nossos subcontratados; e
  • Os instituições podem rescindir se têm dúvidas sobre um novo subcontratado.
Subcontratados do Google
42 Custo. O contrato deve descrever completamente o cálculo de taxas dos serviços básicos, incluindo qualquer desenvolvimento, conversão e serviços recorrentes, além de quaisquer cobranças com base no volume de atividade ou em solicitações especiais. Os contratos também devem abordar a responsabilidade e o custo extra para a compra e a manutenção de hardware e software. Todas as condições em que a estrutura de custos pode ser alterada precisam ser detalhadas em detalhes, incluindo os limites para aumento de custos. Consulte também as seções "Métodos de preço" e "Agrupamento" neste folheto.

Consulte seu contrato de serviços financeiros do Google Cloud.

Auditoria

O Google se compromete a apoiar instituições com auditorias ou exames de nossos serviços. Como esse suporte não está incluído nas nossas taxas de serviço listadas publicamente, o Google pode cobrar uma taxa adicional em conexão com uma auditoria ou exame. O Google fornecerá mais detalhes sobre qualquer taxa antes da atividade quando o escopo dela for conhecido.

Condições de pagamento
43 Propriedade e licença. O contrato deve abordar a propriedade, os direitos e o uso permitido dos dados, equipamentos/hardware, documentação do sistema, software do sistema e dos aplicativos da instituição e outros direitos de propriedade intelectual. A propriedade dos dados da instituição precisa estar em conformidade com a instituição. Outros direitos de propriedade intelectual podem incluir o nome e o logotipo da instituição, sua marca registrada ou material protegido por direitos autorais, nomes de domínio, designs de sites da Web e outros produtos de trabalho desenvolvidos pelo provedor de serviços da instituição. Informações adicionais sobre o desenvolvimento de software personalizado para compatibilidade com serviços de terceiros podem ser encontradas no "Manual de desenvolvimento e aquisição" do manual de TI.

Dados

Você mantém todos os direitos de propriedade intelectual dos seus dados, as informações provenientes deles a partir dos nossos serviços e aplicativos. Consulte a linha 28 do compromisso do Google sobre o uso e a proteção dos seus dados.

Marcas registradas, logotipos etc.

O Google não usará as características da sua marca sem sua aprovação prévia.

Propriedade intelectual

Marketing e publicidade

44 Duration. As instituições precisam considerar o tipo de tecnologia e o estado atual do setor ao negociar a duração adequada do contrato e os períodos de renovação. Embora possam haver benefícios em contratos de tecnologia a longo prazo, algumas tecnologias podem estar sujeitas a alterações rápidas, e um contrato de curto prazo pode ser benéfico. Da mesma forma, as instituições precisam considerar o tempo necessário para notificar o provedor de serviços sobre a intenção da não renovação do contrato antes da expiração. As instituições devem considerar a coordenação das datas de validade dos contratos para serviços interrelacionados (por exemplo, site, telecomunicação, programação, suporte a rede) para que possam coincidir, quando for prático. Esse tipo de coordenação pode minimizar o risco de rescindir um contrato antecipadamente e gerar penalidades como resultado da rescisão necessária de outro contrato de serviço relacionado. Consulte seu contrato de serviços financeiros do Google Cloud. Vigência e Rescisão
45 Resolução de disputas. A instituição precisa incluir um provisionamento para um processo de resolução de disputas que tente resolver problemas de maneira rápida, bem como uma provisão para continuação de serviços durante o período de resolução da disputa. Consulte seu contrato de serviços financeiros do Google Cloud. Legislação Aplicável
46 Indenização. As disposições de Indenização precisam exigir que o provedor de serviços deva uma indenização financeira em relação à negligência do provedor de serviços. Um advogado precisa analisar essas disposições para garantir que a instituição não seja responsabilizada por ações decorrentes da negligência da empresa. Consulte seu contrato de serviços financeiros do Google Cloud. Indenização
47 Limitação de responsabilidade. Alguns contratos padrão do provedor de serviços podem conter cláusulas que limitam a quantidade de responsabilidade que pode ser incorrida pelo provedor de serviços. Se a instituição estiver pensando em tal contrato, o gerenciamento deve avaliar se a limitação de danos tem um relacionamento adequado com a quantidade de perda que a instituição financeira pode ter razoavelmente como resultado da falha do provedor de serviços{101. } para cumprir as obrigações dele. Consulte seu contrato de serviços financeiros do Google Cloud. Responsabilidade
48 Rescisão. A gestão deve avaliar a pontualidade e o custo das disposições de rescisão do contrato. A extensão e a flexibilidade dos direitos de rescisão podem variar dependendo do serviço. As instituições precisam incluir os direitos de rescisão para diversas condições, incluindo a mudança no controle (por exemplo, aquisições e fusões), conveniência, aumento substancial nos custos, falhas repetidas em atender aos níveis de serviço, falha ao fornecer serviços, falência, fechamento da empresa e insolvência. O contrato precisa estabelecer requisitos de notificação e prazo e fornecer o retorno oportuno dos dados e recursos da instituição em um formato legível por máquina após o encerramento. Quaisquer custos associados à assistência de conversão também precisam ser claramente declarados.

Rescisão

As instituições podem optar por rescindir nosso contrato por conveniência com aviso prévio, incluindo se o Google aumenta as taxas ou se é necessário obedecer à legislação.

Além disso, as instituições podem rescindir nosso contrato com aviso prévio por violação material relevante do Google após um período de cura, por alterações no controle ou na insolvência do Google.

Transferir

O Google reconhece que as instituições precisam de tempo suficiente para sair dos nossos serviços (inclusive para transferir serviços para outro provedor). Para ajudar as instituições a fazer isso, mediante solicitação, o Google continuará fornecendo os serviços por 12 meses além da expiração ou rescisão do contrato.

O Google permitirá que você acesse e exporte seus dados durante todo o nosso contrato e durante o período de transição pós-terminação. É possível exportar os dados dos Serviços em vários formatos padrão do setor. Exemplo:

  • O Google Kubernetes Engine é um ambiente gerenciado de produção que permite a portabilidade em diferentes nuvens, bem como em ambientes locais.
  • O Migrate para Anthos permite mover e converter cargas de trabalho diretamente em contêineres no Google Kubernetes Engine.
  • É possível exportar/importar toda uma imagem de VM na forma de um arquivo .tar. Veja mais informações sobre imagens e opções de armazenamento em nossa página de Documentação do Compute Engine.

Vigência e Rescisão

Vigência da transição

Exportação de dados ( Termos de processamento e segurança de dados)

49 Atribuição. A instituição precisa considerar as disposições contratuais que proíbem a atribuição do contrato a terceiros sem o consentimento da instituição. As disposições de atribuição também devem refletir os requisitos de notificação para alterações nos subcontratados.

Atribuição

Consulte seu contrato de serviços financeiros do Google Cloud.

Subcontratação

Consulte a linha 41 sobre subcontratação.

Atividade
50 Provedores de serviços baseados em estrangeiras. As instituições que entram em contratos com provedores de serviços estrangeiros precisam considerar vários problemas e disposições adicionais. Veja o Apêndice C incluído neste folheto.

A Google LLC é o provedor dos serviços para instituições com sede nos EUA. A Google LLC é organizada de acordo com as leis do Estado de Delaware, EUA.

Consulte seu Contrato de serviços financeiros do Google Cloud para mais informações sobre a legislação e a jurisdição aplicáveis que se aplicam ao nosso contrato.

Legislação Aplicável
51 Conformidade regulatória. As instituições financeiras precisam garantir que os contratos com provedores de serviços incluam um contrato de que o provedor e os serviços dele cumprirão as orientações e requisitos regulamentares aplicáveis. O fornecimento também deve indicar que o provedor de serviços concorda em fornecer informações precisas e acesso oportuno às agências reguladoras adequadas com base no tipo e no nível de serviço que fornece à instituição financeira.

Compliance

O Google obedecerá a todas as leis, regulamentações e diretrizes regulamentares vinculantes aplicáveis a ele no fornecimento dos Serviços.

Acesso por agências reguladoras

O Google concede acesso e direitos de informação às agências reguladoras e instituições da instituição.

Declarações e garantias

Informações sobre auditor, auditoria e acesso