Mapeamento

Gerenciamento de risco da FFIEC para serviços de tecnologia de terceirização

Mapeamento do Google Cloud Platform

Este documento foi criado para ajudar instituições financeiras ("instituições ") dentro do Conselho Federal de Exame das Instituições Financeiras ("FFIEC") para considerar o Folheto de serviços de tecnologia de terceirização (o "Folheto de terceirização FFIEC") no contexto do Google Cloud Platform ("GCP") e o contrato de serviços financeiros do Google Cloud.

O foco das seções " diligências e problemas de contrato" do Flex de FFIEC Para cada parágrafo dessas seções, fornecemos comentários para ajudar você a entender como lidar com o folheto de terceirização FFIEC usando os serviços do Google Cloud e o Contrato de serviços financeiros do Google Cloud.

#	Referência	Comentários do Google Cloud	Referência do contrato de serviços financeiros do Google Cloud
1. Investigação
2	Uma instituição financeira deve executar a diligência da resposta do provedor de serviços a uma RFP e ao próprio provedor de serviços. A diligência deve servir como uma ferramenta de verificação e análise, garantindo que o provedor de serviços atenda às necessidades da instituição. A investigação precisa confirmar e avaliar as seguintes informações relacionadas ao provedor de serviços:	O Google reconhece que você precisa conduzir a diligência e realizar uma avaliação de risco antes de decidir usar nossos serviços. Para ajudá-lo, fornecemos informações sobre cada uma das áreas que você precisa considerar nas linhas seguintes.	N/A
3	Existência e história corporativa;	As informações sobre o histórico corporativo do Google Cloud estão disponíveis na página Relações com o investimento da Alphabet.	N/A
4	Qualificações, histórico e reputação de diretores de empresas, incluindo investigações de histórico para contratação criminal, quando apropriado;	Diretores da empresa As informações sobre a equipe de liderança do Google Cloud estão disponíveis na nossa página Recursos de mídia. Investigações de histórico para contratação O Google realiza investigações de histórico para contratação nos nossos funcionários onde legalmente permitido fornecer um ambiente seguro para clientes e funcionários.	N/A
5	Outras empresas que usam serviços semelhantes do provedor que podem ser contatadas para referência;	Informações sobre nossos clientes para referência (incluindo no setor de serviços financeiros) estão disponíveis na nossa página Cliente do Google Cloud.	N/A
6	status financeiro, incluindo avaliações de demonstrativos financeiros auditados;	Você pode analisar o status financeiro do Google e os demonstrativos financeiros auditados na página Relações com investidores do Alphabet.	N/A
7	Estratégia e reputação	Estratégia As informações sobre as estratégias do Google Cloud estão disponíveis na página Relações com o investimento da Alphabet. Reputação O Google Cloud foi indicado como líder em vários relatórios de analistas do setor terceirizados. Você pode ler essas informações na nossa página Relatórios de analistas.	N/A
8	Capacidade, status e eficácia do serviço;	As informações sobre a capacidade e a eficiência do serviço de entrega do Google Cloud estão disponíveis na nossa página Como escolher o Google Cloud. Além disso, você pode consultar os relatórios de analistas de terceiros no setor na nossa página Relatórios de analistas.	N/A
9	Arquitetura de tecnologia e sistemas;	Informações sobre a arquitetura de tecnologia e sistemas do Google Cloud estão disponíveis na nossa página Como escolher o Google Cloud.	N/A
10	Ambiente de controles internos, histórico de segurança e cobertura de auditoria;	O Google reconhece que as instituições precisam revisar os controles internos como parte da avaliação de risco. Para ajudar, o Google passa por várias auditorias independentes de terceiros pelo menos uma vez ao ano para fornecer uma verificação independente de nossas operações e controles internos. O Google se compromete a obedecer aos seguintes padrões internacionais durante a vigência do nosso contrato com você: ISO/IEC 27001:2013 (Sistemas de gerenciamento de segurança da informação) ISO/IEC 27017:2015 (Segurança na nuvem) ISO/IEC 27018:2014 (Privacidade na nuvem) PCI DSS SOC 1 SOC 2 SOC 3	N/A
11	Conformidade legal e regulatória, incluindo quaisquer reclamações, litígios ou ações regulatórias;	Informações sobre materiais pendentes em processos legais estão disponíveis nos nossos relatórios anuais na página Relações com investidores da Alphabet.	N/A
12	Dependência e sucesso no processamento com provedores terceirizados;	Consulte a linha 41 sobre subcontratação.	N/A
13	Cobertura de seguro e	O Google manterá a cobertura do seguro contra vários riscos identificados.	N/A
14	Capacidade de atender aos requisitos de recuperação de desastres e continuidade dos negócios.	Consulte a linha 40 dos planos de continuidade e continuidade dos negócios.	N/A
15	Outros elementos importantes incluem sondagem para informações sobre intangíveis, como filosofias, iniciativas de qualidade e estilo de gerenciamento de terceiros. A cultura, os valores e os estilos de negócios devem se adequar aos da instituição financeira.	Veja informações sobre nossa missão, filosofia e cultura na página de Relações com investidores da Alphabet. Além disso, fornecemos informações sobre nossas políticas organizacionais, por exemplo, nosso código de conduta.	N/A
16	Quando um provedor de serviços externo é considerado, a avaliação deve avaliar o relacionamento com base nos itens acima, bem como as informações discutidas no Apêndice C, provedores de serviços terceirizados baseados em estrangeiros.	Consulte a linha 50.	N/A
17	As instituições financeiras podem realizar a diligência de informações em um ou mais provedores de serviços que respondem à RFP. A profundidade e a formalidade da diligência realizada pode variar de acordo com o risco do relacionamento terceirizado, a familiaridade da instituição com os provedores de serviços em potencial e o estágio do processo de seleção do provedor. Quando as instituições emitem solicitações de RFPs, recebem e avaliam as respostas e realizam a diligência, elas entram em negociações de contratos com um ou mais provedores de serviços que demonstraram que atendem melhor às necessidades.	Esta é uma consideração do cliente.	N/A
18. Problemas de contrato
19	Depois de selecionar um provedor de serviços, o gerenciamento precisa negociar um contrato que atenda aos requisitos exigidos. A RFP e a resposta do provedor de serviços podem ser usadas como entradas para esse processo. O contrato é o documento de vinculação legal que define todos os aspectos do relacionamento de serviços. Um contrato por escrito precisa estar presente em todos os relacionamentos de serviços. Isso inclui instâncias em que o provedor de serviços é afiliado à instituição. Ao contratar um afiliado, a instituição precisa garantir que os custos e a qualidade dos serviços fornecidos estejam em conformidade com os provedores de um não afiliado. O contrato é o único controle mais importante do processo de terceirização. Devido à importância do contrato, o gerenciamento precisa: Verificar a precisão da descrição da relação de terceirização no contrato; Certifique-se de que o contrato foi claramente escrito e contenha detalhes suficientes para definir os direitos e as responsabilidades de cada parte de forma abrangente; e Contrate aconselhamento jurídico no início do processo para preparar e analisar o contrato proposto.	O Contrato de serviços financeiros do Google Cloud define os aspectos do relacionamento de serviço.	N/A
20. Exemplos de elementos de contrato que devem ser considerados:
21	Escopo do Serviço. O contrato deve descrever claramente os direitos e as responsabilidades das partes sobre o contrato. As considerações devem incluir o seguinte:	As obrigações de direitos e responsabilidades das partes são estabelecidas no Contrato de Serviços Financeiros do Google Cloud.	N/A
22	Descrições das atividades necessárias, prazos da implementação e atribuição de responsabilidades. As provisões de implementação precisam considerar outros sistemas ou sistemas inter-relacionados a serem desenvolvidos por diferentes provedores de serviços (por exemplo, um sistema de internet banking sendo integrado a aplicativos ou personalização de sistemas principais existentes);	Atividades Os serviços do GCP estão descritos na nossa página de resumo de serviços. Integração Há várias maneiras de integrar nossos serviços aos seus sistemas. O Console do Cloud permite que você encontre e verifique a integridade de todos os seus recursos do Google Cloud em um só lugar, incluindo máquinas virtuais, configurações de rede e armazenamento de dados. As APIs do Cloud permitem que você acesse produtos do Google Cloud a partir do seu código e automatize os fluxos de trabalho usando a linguagem de programação que preferir.	Definições
23	Obrigações e serviços que devem ser realizados pelo provedor de serviços, incluindo suporte e manutenção de software, treinamento de funcionários ou atendimento ao cliente;	O Google fornecerá os serviços descritos na página Resumo dos serviços de acordo com os Contratos de nível de serviço do Google Cloud Platform. Os serviços de suporte estão descritos na nossa página de diretrizes de serviços de suporte técnico. O Google fornece uma documentação para explicar como as instituições e os funcionários podem usar nossos serviços. Se uma instituição quiser mais treinamentos guiados, o Google também fornece uma variedade de cursos e certificações.	Serviços Suporte técnico
24	Obrigações da instituição financeira;	Consulte seu contrato de serviços financeiros do Google Cloud.
25	os direitos das partes interessadas na modificação dos serviços existentes realizados sob o contrato; e	O Google atualiza continuamente os serviços para permitir que nossos clientes aproveitem a tecnologia mais atualizada. Devido à natureza de um para muitos de nosso serviço, as atualizações se aplicam a todos os clientes ao mesmo tempo. O Google não fará atualizações que reduzem significativamente a funcionalidade, o desempenho, a disponibilidade ou a segurança dos Serviços. Se o Google precisar descontinuar um serviço sem substituí-lo, você receberá uma notificação com pelo menos 12 meses de antecedência. O Google continuará oferecendo atualizações de suporte e de produtos durante esse período.	Alterações nos Serviços
26	Diretrizes para adicionar serviços novos ou diferentes e para renegociação de contrato.	Novos serviços O Google está sempre introduzindo novos serviços para oferecer aos clientes os recursos e as funcionalidades mais recentes. Os novos serviços são adicionados à página Resumo dos serviços quando estiverem disponíveis, e cada cliente pode escolher se quer ou não usá-los sob o contrato existente. Renegociação de contratos Como os serviços e a tecnologia mudam, o Google pode atualizar alguns termos em URLs que se aplicam a todos os nossos clientes. As atualizações precisam atender a critérios rigorosos. Por exemplo, eles não podem resultar em uma degradação material da segurança geral dos serviços, nem terão um impacto material negativo nos seus direitos existentes. Além dessas atualizações limitadas, qualquer alteração contratual deve ser feita por escrito e assinada por ambas as partes.	Atualizações nos Serviços e nos Termos. Alterações nos Termos; Aditivos
27	Padrões de desempenho. As instituições precisam incluir padrões de desempenho que definam requisitos mínimos e níveis de serviço para falhas no cumprimento dos padrões no contrato. Por exemplo, as métricas de nível de serviço comuns incluem porcentagem de tempo de atividade do sistema, prazos para a conclusão do processamento em lote ou número de erros de processamento. Os padrões do setor para níveis de serviço podem fornecer um ponto de referência. A instituição precisa revisar periodicamente os padrões gerais de desempenho para garantir consistência com os objetivos e metas. Consulte também a seção Contratos de nível de serviço neste folheto.	Os SLAs fornecem padrões de desempenho mensuráveis e soluções para os serviços e estão disponíveis na página Contratos de nível de serviço do Google Cloud Platform.	Serviços
28	Segurança e confidencialidade. O contrato deve abordar a responsabilidade do provedor de serviços por segurança e confidencialidade dos recursos da instituição (por exemplo, informações, hardware). O contrato deve proibir o provedor de serviços e seus agentes de usar ou divulgar as informações da instituição, exceto conforme necessário ou de maneira consistente com o fornecimento dos serviços contratados e a proteção contra o uso não autorizado (por exemplo, divulgação de informações sobre concorrentes. Se o provedor de serviços receber informações pessoais não públicas sobre os clientes, ele precisará verificar se está em conformidade com todos os requisitos aplicáveis dos regulamentos de privacidade. As instituições precisam exigir que o provedor de serviços divulgue completamente as violações na segurança, resultando em intrusões não autorizadas no provedor de serviços, que podem afetar significativamente a instituição ou os clientes. O provedor de serviços deve informar à instituição quando ocorrerem intrusões, o efeito na instituição e a ação corretiva para responder à invasão, com base nos contratos entre as duas partes.	Segurança A segurança e a privacidade das informações ao usar um serviço de nuvem consistem em dois elementos principais: Infraestrutura do Google O Google gerencia a segurança da nossa infraestrutura. Essa é a segurança de hardware, software, rede e instalações compatíveis com os Serviços. Devido à natureza de um para muitos do nosso serviço, o Google fornece a mesma segurança robusta para todos os nossos clientes. O Google fornece informações detalhadas aos clientes sobre nossas práticas de segurança para que eles possam entendê-las e incluí-las na sua própria análise de risco. Mais informações estão disponíveis em: Nossa página de segurança de infraestrutura Nosso whitepaper sobre segurança Nosso whitepaper sobre segurança nativo da nuvem Nossa página de visão geral do design de segurança da infraestrutura Nossa página de recursos de segurança Seus dados e aplicativos na nuvem Você define a segurança dos seus dados e aplicativos na nuvem. Isso se refere às medidas de segurança que você opta por implementar e operar ao usar os Serviços. (a) Segurança por padrão Queremos oferecer o maior número de opções possível quanto aos seus dados, mas a segurança deles é de extrema importância para o Google. Por isso, tomamos as seguintes medidas para ajudar você: Criptografia em repouso. Por padrão, o Google Cloud criptografa dados de clientes armazenados em repouso sem que você precise executar outra ação. Mais informações estão disponíveis em: https://cloud.google.com/security/encryption/default-encryption Criptografia em trânsito. O Google criptografa e autentica todos os dados em trânsito em uma ou mais camadas de rede quando transferidos para outros limites físicos não controlados pelo Google ou em nome dele. Saiba mais em https://cloud.google.com/security/encryption-in-transit. (b) Produtos de segurança Além das outras ferramentas e práticas disponíveis fora do Google, é possível usar as ferramentas fornecidas pelo Google para melhorar e monitorar a segurança dos seus dados. As informações sobre os produtos de segurança do Google estão disponíveis na nossa página Produtos de segurança do Cloud. (c) Recursos de segurança O Google também publica orientações sobre: Práticas recomendadas de segurança Casos de uso de segurança Uso das suas informações O Google se compromete a acessar ou usar apenas seus dados para fornecer os Serviços solicitados por você e não os usará para nenhum outro produto, serviço ou publicidade do Google. Privacidade e informações pessoais não públicas O Google cumprirá as leis e regulamentações de privacidade aplicáveis a ele no fornecimento dos Serviços. Violações de segurança O Google notificará você sobre incidentes de dados imediatamente e sem atrasos. Mais informações sobre o processo de resposta a incidentes de dados do Google estão disponíveis no nosso whitepaper sobre resposta a incidentes de dados.	Segurança dos dados Medidas de segurança ( Termos de Segurança e Processamento de Dados) Proteção dos Dados do Cliente Processamento de Dados; Papéis e conformidade regulatória ( Termos de processamento e segurança de dados) Incidentes de dados ( Termos de segurança e processamento de dados)
29. Controles. A administração precisa implementar disposições contratuais que atendam aos seguintes controles:
30	Controles internos do provedor de serviços;	O Google passa por várias auditorias terceirizadas terceirizadas pelo menos uma vez por ano para fornecer uma verificação independente da eficiência de nossos controles internos. Para garantir a visibilidade da eficiência dos nossos controles internos em todo o nosso relacionamento, o Google se compromete a manter certificações / relatórios para os seguintes padrões internacionais durante a vigência do nosso contrato com você: ISO/IEC 27001:2013 (Sistemas de gerenciamento de segurança da informação) ISO/IEC 27017:2015 (Segurança na nuvem) ISO/IEC 27018:2014 (Privacidade na nuvem) PCI DSS SOC 1 SOC 2 SOC 3	Certificações e relatórios de auditoria
31	Conformidade com os requisitos regulamentares aplicáveis;	O Google obedecerá a todas as leis e regulamentações aplicáveis no fornecimento dos Serviços.	Declarações e Garantias
32	Gravar requisitos de manutenção para o provedor de serviços;	O Google concede acesso e direitos de informação às instituições e aos indicados.	Informações do cliente, auditoria e acesso
33	Acesso aos registros da instituição;	Consulte a linha 32
34	Requisitos de notificação e direitos de aprovação para quaisquer alterações importantes em serviços, sistemas, controles, equipe-projeto e locais de serviços.	Serviços Consulte a linha 25 sobre alterações nos serviços. Equipe Os clientes podem operar os serviços de maneira independente, sem ação da equipe do Google. A equipe do Google gerencia e mantém o hardware, o software, a rede e as instalações compatíveis com os Serviços, dada a natureza de um para muitos dos serviços, mas não há pessoal do Google dedicado a entregar os serviços a uma pessoa. Locais Para oferecer a você um serviço rápido, confiável, robusto e robusto, o Google pode armazenar e processar seus dados nos locais em que o Google ou seus subprocessadores mantêm instalações. Saiba mais sobre o local das instalações do Google e onde os serviços individuais do GCP podem ser implantados. Saiba mais sobre a localização das instalações de subprocessadores do Google. O Google fornece os mesmos compromissos contratuais e as medidas técnicas e organizacionais dos seus dados, independentemente do país / região em que eles estão localizados. Mais especificamente: As mesmas medidas de segurança avançadas se aplicam a todas as instalações do Google, independentemente do país/região. O Google assume os mesmos compromissos sobre todos os subprocessadores, independentemente do país / região. O Google oferece opções para armazenar seus dados, incluindo a opção de armazená-los nos Estados Unidos. Quando você escolhe onde armazenar os dados, o Google não os armazena fora das regiões escolhidas. Também é possível usar as ferramentas fornecidas pelo Google para aplicar requisitos de localização de dados. Para mais informações, consulte nosso artigo sobre residência de dados, transparência operacional e privacidade no Google Cloud Whitepaper .	Transferências de dados ( Termos de processamento e segurança de dados) Segurança dos dados Subprocessadores ( Termos de Segurança e Processamento de Dados) Local dos dados (Termos específicos do serviço)
35	Definir e monitorar parâmetros de funções financeiras, incluindo processamento de pagamentos ou extensões de crédito, em nome da instituição; e	Dada a natureza dos serviços, o Google não realiza o processamento de pagamentos (no sentido previsto no Booklet) ou extensões de crédito em nome da instituição.	N/A
36	Cobertura de seguro mantida pelo provedor de serviços.	O Google manterá a cobertura do seguro contra vários riscos identificados.	Seguros
37	Auditoria. Ela precisa incluir no contrato os tipos de relatórios de auditoria que tem direito a receber (por exemplo, análises financeiras, de controle interno e de segurança). O contrato deve especificar a frequência de auditoria, as cobranças pela obtenção das auditorias, os direitos da instituição e das agências reguladoras para receber os resultados das auditorias em tempo hábil. O contrato também pode especificar direitos para obter a documentação da resolução de quaisquer instalações e para inspecionar as instalações de processamento e as práticas operacionais do provedor de serviços. O gerenciamento deve considerar, com base na fase de avaliação de risco, se pode confiar em auditorias internas ou se há necessidade de auditorias e avaliações externas.	Relatórios de auditoria Consulte a linha 10 para mais informações sobre os relatórios de auditoria fornecidos pelo Google. O Google se compromete a manter esses relatórios durante a vigência do nosso contrato com você. Os relatórios são produzidos no mínimo uma vez anualmente após uma auditoria feita por terceiros independentes. Consulte as certificações e relatórios de auditoria atuais do Google a qualquer momento. As certificações ISO do Google estão disponíveis neste link. Os relatórios de SOC e o Atestado de conformidade (AOC, na sigla em inglês) do Google estão disponíveis por meio do representante da sua conta do Google Cloud. As instituições podem fornecer esses materiais às agências reguladoras. Inspeção O Google reconhece que as instituições precisam conseguir auditar nossos serviços com eficácia. O Google concede direitos de auditoria a instituições e seus auditores independentes, incluindo a inspeção das instalações de processamento e das práticas operacionais do Google. A instituição é a melhor forma de decidir qual é a frequência de auditoria ideal para a organização. Nosso contrato não limita as instituições a um número fixo de auditorias.	Certificações e relatórios de auditoria Ativação da conformidade do cliente
38	Para serviços que envolvem acesso a redes abertas, como serviços relacionados à Internet, o gerenciamento deve prestar atenção especial à segurança. A instituição precisa considerar a inclusão de termos de contrato que exijam análises periódicas de controle realizadas por uma parte independente com experiência suficiente. Essas revisões podem incluir teste de invasão, detecção de invasão, avaliações de configuração de firewall e outras análises de controle independentes. A instituição precisa receber relatórios suficientes sobre as descobertas dessas auditorias contínuas para avaliar a segurança adequadamente sem comprometer a segurança do provedor de serviços.	Você pode realizar testes de penetração dos Serviços a qualquer momento sem a aprovação prévia do Google. Além disso, o Google envolve um terceiro qualificado e independente para realizar testes de penetração dos Serviços. Veja mais informações neste link.	Teste de penetração do cliente
39	Relatórios. Os termos contratuais devem incluir a frequência e o tipo de relatório que a instituição receberá (por exemplo, relatórios de desempenho, auditorias de controle, demonstrativos financeiros, segurança e relatórios de teste de retomada comercial). Além disso, eles precisam descrever as diretrizes e taxas para geração de relatórios personalizados.	Relatórios de desempenho Você pode monitorar o desempenho dos Serviços do Google (incluindo os SLAs) regularmente usando a funcionalidade dos Serviços. Exemplo: O Painel de status fornece informações de status sobre os Serviços. O Google Cloud Operations é uma solução hospedada de monitoramento, geração de registros e diagnóstico que ajuda você a conseguir insights sobre seus aplicativos executados no GCP. A transparência no acesso é um recurso que permite analisar os registros das ações realizadas pela equipe do Google em relação aos seus dados. As entradas de registro incluem: o recurso afetado, a hora da ação, o motivo da ação (por exemplo, o número do caso associado à solicitação de suporte); dados sobre quem está atuando nos dados (por exemplo, o local da equipe do Google) Relatórios financeiros O Google oferece ferramentas de faturamento que podem ser usadas pelos clientes para conseguir relatórios sobre o uso dos Serviços e custos associados. Mais informações estão disponíveis na página de documentação do Cloud Billing e na página Exportar dados do Faturamento do Cloud para o BigQuery. Relatórios de auditoria e segurança Consulte a linha 10. Relatórios de testes de retomada de negócios Consulte a linha 40. Desenvolvimentos significativos O Google fará informações sobre desenvolvimentos que afetam materialmente a capacidade do Google de realizar os Serviços de acordo com os SLAs disponíveis. Para mais informações, acesse o painel Incidentes e o painel do Google Cloud.	Monitoramento de desempenho contínuo Desenvolvimentos significativos
40	Planos de recuperação e recuperação comercial. O contrato precisa abordar a responsabilidade do provedor de serviços de proteção e backup, incluindo equipamentos, arquivos de programas e dados, e manutenção de planos de continuidade e recuperação de desastres. Os contratos precisam descrever a responsabilidade do provedor de serviços para testar os planos regularmente e fornecer os resultados à instituição. A instituição precisa considerar interdependências entre os provedores de serviços ao determinar os requisitos de teste de retomada comercial. O provedor de serviços fornece à instituição uma cópia do plano de contingência que descreve os procedimentos operacionais necessários no caso de interrupção dos negócios. Os contratos precisam incluir disposições específicas para prazos de recuperação de negócios que atendam aos requisitos de negócios da instituição. A instituição precisa garantir que o contrato não contenha disposições que possam exclusificar o provedor de serviços de implementar seus planos de contingência.	O Google implementará um plano de continuidade dos negócios e recuperação de desastres para nossos serviços, revisará e testará pelo menos uma vez e se manterá atualizado com os padrões do setor. As instituições podem avaliar nosso plano e testar os resultados. Além disso, as informações sobre como os clientes podem usar nossos serviços nos próprios planos de recuperação de desastres e recuperação de desastres estão disponíveis no nosso Guia de planejamento de recuperação de desastres.	Continuidade comercial e recuperação de desastres
41	Relações de subcontratação e vários provedores de serviços. Alguns provedores de serviços podem contratar terceiros para prestar serviços à instituição financeira. As instituições precisam estar cientes e aprovar todos os subcontratados. Para fornecer responsabilidade, a instituição financeira precisa designar o fornecedor de serviços principal principal no contrato. O contrato também deve especificar que o provedor de serviços principal principal é responsável pelos serviços descritos no contrato, independentemente de qual entidade realmente realiza as operações. A instituição também precisa incluir os requisitos de notificação e aprovação relacionados às alterações nos subcontratados significativos do provedor de serviços.	O Google reconhece que as instituições precisam considerar os riscos associados à subcontratação. Queremos oferecer a você o serviço mais confiável, robusto e resiliente possível. Em alguns casos, pode haver benefícios claros para trabalhar com outras organizações confiáveis, por exemplo, oferecer suporte 24 horas por dia, 7 dias por semana. Responsabilidade O Google exige que nossos subcontratados atendam aos mesmos padrões elevados. Em particular, o Google exige que nossos subcontratados obedeçam ao contrato. O Google permanecerá responsável pelo desempenho de todas as obrigações subcontratadas. Informações e alterações Para permitir que as instituições retenham a supervisão de qualquer subcontratação e forneçam opções sobre os serviços usados pelas instituições, o Google: forneça informações sobre nossos subcontratados (incluindo a função e o local); fornecer avisos com antecedência de alterações aos nossos subcontratados; e dará às instituições a possibilidade de rescindir se tiverem dúvidas quanto a um novo subcontratado.	Subcontratados do Google
42	Custo. O contrato deve descrever completamente o cálculo de taxas dos serviços básicos, incluindo qualquer desenvolvimento, conversão e serviços recorrentes, além de quaisquer cobranças com base no volume de atividade ou em solicitações especiais. Os contratos também devem abordar a responsabilidade e o custo extra para a compra e a manutenção de hardware e software. Todas as condições em que a estrutura de custos pode ser alterada precisam ser detalhadas em detalhes, incluindo os limites para aumento de custos. Consulte também as seções "Métodos de preço" e "Agrupamento" neste folheto.	Consulte seu contrato de serviços financeiros do Google Cloud. Auditoria O Google se compromete a apoiar instituições com auditorias ou exames de nossos serviços. Como esse suporte não está incluído nas nossas taxas de serviço listadas publicamente, o Google pode cobrar uma taxa adicional em conexão com uma auditoria ou exame. O Google fornecerá mais detalhes sobre qualquer taxa antes da atividade quando o escopo dela for conhecido.	Condições de pagamento
43	Propriedade e licença. O contrato deve abordar a propriedade, os direitos e o uso permitido dos dados, equipamentos/hardware, documentação do sistema, software do sistema e dos aplicativos da instituição e outros direitos de propriedade intelectual. A propriedade dos dados da instituição precisa estar em conformidade com a instituição. Outros direitos de propriedade intelectual podem incluir o nome e o logotipo da instituição, sua marca registrada ou material protegido por direitos autorais, nomes de domínio, designs de sites da Web e outros produtos de trabalho desenvolvidos pelo provedor de serviços da instituição. Informações adicionais sobre o desenvolvimento de software personalizado para compatibilidade com serviços de terceiros podem ser encontradas no "Manual de desenvolvimento e aquisição" do manual de TI.	Dados Você mantém todos os direitos de propriedade intelectual dos seus dados, as informações provenientes deles a partir dos nossos serviços e aplicativos. Consulte a linha 28 do compromisso do Google sobre o uso e a proteção dos seus dados. Marcas registradas, logotipos etc. O Google não usará as características da sua marca sem sua aprovação prévia.	Propriedade intelectual Marketing e publicidade
44	Duration. As instituições precisam considerar o tipo de tecnologia e o estado atual do setor ao negociar a duração adequada do contrato e os períodos de renovação. Embora possam haver benefícios em contratos de tecnologia a longo prazo, algumas tecnologias podem estar sujeitas a alterações rápidas, e um contrato de curto prazo pode ser benéfico. Da mesma forma, as instituições precisam considerar o tempo necessário para notificar o provedor de serviços sobre a intenção da não renovação do contrato antes da expiração. As instituições devem considerar a coordenação das datas de validade dos contratos para serviços interrelacionados (por exemplo, site, telecomunicação, programação, suporte a rede) para que possam coincidir, quando for prático. Esse tipo de coordenação pode minimizar o risco de rescindir um contrato antecipadamente e gerar penalidades como resultado da rescisão necessária de outro contrato de serviço relacionado.	Consulte seu contrato de serviços financeiros do Google Cloud.	Vigência e Rescisão
45	Resolução de disputas. A instituição precisa incluir um provisionamento para um processo de resolução de disputas que tente resolver problemas de maneira rápida, bem como uma provisão para continuação de serviços durante o período de resolução da disputa.	Consulte seu contrato de serviços financeiros do Google Cloud.	Legislação Aplicável
46	Indenização. As disposições de Indenização precisam exigir que o provedor de serviços deva uma indenização financeira em relação à negligência do provedor de serviços. Um advogado precisa analisar essas disposições para garantir que a instituição não seja responsabilizada por ações decorrentes da negligência da empresa.	Consulte seu contrato de serviços financeiros do Google Cloud.	Indenização
47	Limitação de responsabilidade. Alguns contratos padrão do provedor de serviços podem conter cláusulas que limitam a quantidade de responsabilidade que pode ser incorrida pelo provedor de serviços. Se a instituição estiver pensando em tal contrato, o gerenciamento deve avaliar se a limitação de danos tem um relacionamento adequado com a quantidade de perda que a instituição financeira pode ter razoavelmente como resultado da falha do provedor de serviços{101. } para cumprir as obrigações dele.	Consulte seu contrato de serviços financeiros do Google Cloud.	Responsabilidade
48	Rescisão. A gestão deve avaliar a pontualidade e o custo das disposições de rescisão do contrato. A extensão e a flexibilidade dos direitos de rescisão podem variar dependendo do serviço. As instituições precisam incluir os direitos de rescisão para diversas condições, incluindo a mudança no controle (por exemplo, aquisições e fusões), conveniência, aumento substancial nos custos, falhas repetidas em atender aos níveis de serviço, falha ao fornecer serviços, falência, fechamento da empresa e insolvência. O contrato precisa estabelecer requisitos de notificação e prazo e fornecer o retorno oportuno dos dados e recursos da instituição em um formato legível por máquina após o encerramento. Quaisquer custos associados à assistência de conversão também precisam ser claramente declarados.	Rescisão As instituições podem optar por rescindir nosso contrato por conveniência com aviso prévio, incluindo se o Google aumenta as taxas ou se é necessário obedecer à legislação. Além disso, as instituições podem rescindir nosso contrato com aviso prévio por violação material relevante do Google após um período de cura, por alterações no controle ou na insolvência do Google. Transferir O Google reconhece que as instituições precisam de tempo suficiente para sair dos nossos serviços (inclusive para transferir serviços para outro provedor). Para ajudar as instituições a fazer isso, mediante solicitação, o Google continuará fornecendo os serviços por 12 meses além da expiração ou rescisão do contrato. O Google permitirá que você acesse e exporte seus dados durante todo o nosso contrato e durante o período de transição pós-terminação. É possível exportar os dados dos Serviços em vários formatos padrão do setor. Exemplo: O Google Kubernetes Engine é um ambiente gerenciado de produção que permite a portabilidade entre diferentes nuvens, bem como em ambientes locais. O Migrate to Containers permite mover e converter cargas de trabalho diretamente para contêineres no Google Kubernetes Engine. É possível exportar/importar toda uma imagem de VM na forma de um arquivo .tar. Veja mais informações sobre imagens e opções de armazenamento em nossa página de Documentação do Compute Engine.	Vigência e Rescisão Vigência da transição Exportação de dados ( Termos de processamento e segurança de dados)
49	Atribuição. A instituição precisa considerar as disposições contratuais que proíbem a atribuição do contrato a terceiros sem o consentimento da instituição. As disposições de atribuição também devem refletir os requisitos de notificação para alterações nos subcontratados.	Atribuição Consulte seu contrato de serviços financeiros do Google Cloud. Subcontratação Consulte a linha 41 sobre subcontratação.	Atividade
50	Provedores de serviços baseados em estrangeiras. As instituições que entram em contratos com provedores de serviços estrangeiros precisam considerar vários problemas e disposições adicionais. Veja o Apêndice C incluído neste folheto.	A Google LLC é o provedor dos serviços para instituições com sede nos EUA. A Google LLC é organizada de acordo com as leis do Estado de Delaware, EUA. Consulte seu Contrato de serviços financeiros do Google Cloud para mais informações sobre a legislação e a jurisdição aplicáveis que se aplicam ao nosso contrato.	Legislação Aplicável
51	Conformidade regulatória. As instituições financeiras precisam garantir que os contratos com provedores de serviços incluam um contrato de que o provedor e os serviços dele cumprirão as orientações e requisitos regulamentares aplicáveis. O fornecimento também deve indicar que o provedor de serviços concorda em fornecer informações precisas e acesso oportuno às agências reguladoras adequadas com base no tipo e no nível de serviço que fornece à instituição financeira.	Compliance O Google obedecerá a todas as leis, regulamentações e diretrizes regulamentares vinculantes aplicáveis a ele no fornecimento dos Serviços. Acesso por agências reguladoras O Google concede acesso e direitos de informação às agências reguladoras e instituições da instituição.	Declarações e garantias Informações sobre auditor, auditoria e acesso