对应情况

FFIEC 外包技术服务风险管理

Google Cloud Platform 对应情况

本文旨在帮助美国联邦金融机构检查委员会(“FFIEC”)指定的金融机构(“机构”)以 Google Cloud Platform(“GCP”)和 Google Cloud Financial Services 合约为背景考虑外包技术服务手册(以下简称“FFIEC 外包服务手册”)。

我们主要关注《FFIEC 外包服务手册》的“尽职调查和合约问题”部分。对于这些部分的每个段落,我们提供评论以帮助您了解如何使用 Google Cloud 服务和 Google Cloud Financial Services 合约来解决 FFIEC 外包手册。

# 参考 Google Cloud 评论 Google Cloud Financial Services 合约参考
1.尽职调查
2 金融机构应该对服务提供商对 RFP 的响应以及服务提供商本身进行尽职调查。尽职调查应用作验证和分析工具,以确保服务提供商满足机构的需求。尽职调查应确认并评估有关服务提供商的以下信息: Google 认为您需要进行尽职调查并进行风险评估,然后再决定使用我们的服务。为方便起见,我们在接下来的行中提供了您需要考虑的每个领域的信息。 不适用
3
  • 存在时间与企业历史;
如需有关 Google Cloud 企业历史记录的信息,请访问 Alphabet 投资者关系页面。 不适用
4
  • 公司负责人的资格、背景和声誉,包括适当的犯罪背景调查;

公司负责人

如需有关 Google Cloud 领导团队的信息,请参阅我们的媒体资源页面。

背景调查

Google 在法律允许的范围内对我们的员工进行背景调查,以为我们的客户和员工提供安全的环境。

不适用
5
  • 可能会联系其他使用提供商提供的类似服务的公司,以供参考;
有关我们可参考客户(包括金融服务行业)的信息,请参阅 Google Cloud 客户页面。 不适用
6
  • 财务状况,包括审核经审计的财务报表;
您可以在 Alphabet 的“投资者关系”页面上查看 Google 的财务状况和已审计的财务报表。 不适用
7
  • 策略和声誉;
策略

Alphabet 投资者关系页面提供了有关 Google Cloud 策略的信息。

声誉

第三方行业分析师在几份报告中都将 Google Cloud 评为领导者。您可以在我们的分析师报告页面上阅读这些内容。

不适用
8
  • 服务交付能力、状态和有效性;
如需了解 Google Cloud 服务交付能力和有效性,请参阅我们的选择 Google Cloud 页面。此外,您可以在我们的分析师报告页面上查看第三方行业分析师的报告。 不适用
9
  • 技术和系统架构;

如需了解 Google Cloud 的技术和系统架构,请参阅择 Google Cloud 页面。

不适用
10
  • 内部控制环境、安全历史记录和审计范围;

Google 意识到,机构需要在风险评估中审查我们的内部控制。为了提供帮助,Google 至少每年进行几次独立的第三方审核,以对我们的运营和内部控制进行独立验证。Google 承诺在与您的合约期限内遵守以下主要国际标准:

不适用
11
  • 遵守法律和法规,包括任何投诉、诉讼或法规行为;
有关重大未决法律诉讼的信息,可在 Alphabet 的投资者关系页面上的年度报告中找到。 不适用
12
  • 依赖第三方服务提供商并且合作成功;
请参阅第 41 行,了解分包信息。 不适用
13
  • 承保责任范围;和
Google 将为许多已确定的风险提供保险。 不适用
14
  • 满足灾难恢复和业务连续性要求的能力。
如需了解业务恢复和应急计划,请参阅第 40 行。 不适用
15 其他重要元素还包括探查无形资产信息,例如第三方的服务理念、质量举措和管理风格。文化、价值观和业务风格应适合金融机构的文化、价值观和业务风格。 您可以在 Alphabet 的投资者关系页面上查看有关我们的使命、理念和文化的信息。它还提供有关我们的组织政策的信息,例如《行为准则》。 不适用
16 当考虑外国服务提供商时,评估应根据以上各项以及附录 C“外国第三方服务提供商”中讨论的信息,评估这种关系。 请参阅第 50 行。 不适用
17 金融机构可以对响应 RFP 的一个或多个服务提供商进行尽职调查。尽职调查的深度和形式可能会根据外包关系的风险、机构对预期服务提供商的熟悉程度以及提供商选择过程的阶段而有所不同。机构发布 RFP、接收和评估响应并进行尽职调查后,他们便与他们确定最能满足其需求的一个或多个服务提供商进行合约谈判。 这是客户考虑的因素。 不适用
18. 合约问题
19

选择服务提供商后,管理层应协商能够满足其要求的合约。RFP 和服务提供商的响应可用作此进程的输入。合约是定义服务关系各个方面的法律绑定文档。所有服务关系中都必须存在书面合约。其中包括服务提供商与机构有关联的实例。与联属营销企业签约时,相关机构应确保所提供的服务的费用和质量与非附属提供商的品质一致。合约是外包过程最重要的一个控制措施。鉴于合约的重要性,管理应:

  • 验证合约中外包关系的描述的准确性;
  • 确保合约写得清楚,并包含足够的细节,以全面定义各方的权利和责任;以及
  • 在此过程中尽早聘请法律顾问,以帮助准备和审查拟议的合约。
Google Cloud Financial Services 合约定义了服务关系的各个方面。 不适用
20. 应考虑的合约要素示例包括:
21 服务范围。合约应明确说明合约各方的权利和责任。注意事项包括: 双方的权利和责任义务已在 Google Cloud Financial Services 合约中规定。 不适用
22
  • 说明所需的活动、实施时间表和职责分配。实现规定应考虑到其他现有系统或由不同服务提供商开发的相互关联的系统(例如,将互联网银行系统与现有核心应用程序集成或系统定制);

活动

如需了解 GCP 服务,请参阅服务摘要页面。

集成

您可以通过多种方式将我们的服务与您的系统集成。

  • 借助 Cloud 控制台,您可以在一个位置找到并检查所有 Google Cloud 资源的运行状况,包括虚拟机、网络设置和数据存储。
  • Cloud API 允许您从代码访问 Google Cloud 产品,并使用首选编程语言自动执行您的工作流。
定义
23
  • 服务提供商的义务和服务,包括软件支持和维护、员工培训或客户服务;

Google 将根据 Google Cloud Platform 服务等级协议提供在我们的服务摘要页面上描述的服务。

如需了解支持服务,请参阅我们的技术支持服务准则页面。

Google 提供了相关文档,说明机构及其员工可以如何使用 Google 服务。如果机构希望获得更多指导性培训,Google 还提供了各种课程和认证

服务

技术支持

24
  • 金融机构的义务;
  • 请参阅您的 Google Cloud Financial Services 合约。
25
  • 缔约双方对根据合约履行的现有服务进行修改的权利;以及

Google 会不断更新服务,以使我们的客户能够利用最新技术。鉴于我们服务的一对多性质,更新同时适用于所有客户。

Google 不会进行会实质性降低服务功能、效果、可用性或安全性的更新。

如果 Google 需要在不更换服务的情况下终止其服务,您将至少提前 12 个月收到通知。在此期间,Google 将继续提供支持和产品更新。

服务变更
26
  • 关于添加新的或不同的服务以及合约重新协商的准则。

新的服务

Google 不断推出新服务,以向我们的客户提供最新的功能。新服务可用时,会添加到服务摘要页面,并且每个客户都可以选择是否根据现有合约使用它们。

合约重新协商

随着服务和技术的变化,Google 可能会更新适用于我们所有客户的网址中的某些条款。所有更新都必须满足严格的条件。例如,它们不得导致服务整体安全性的实质下降或对您现有权利的重大不利影响。除了这些有限的更新之外,任何合约更改都必须以书面形式进行并由双方签署。

服务和条款更新

条款的变更;修订

27 效果标准。机构应包括效果标准,该标准定义了最低服务等级要求以及针对不符合合约标准的补救措施。例如,常见的服务级别指标包括系统正常运行时间百分比、完成批处理的最后期限或处理错误的数量。服务等级的行业标准可能会提供参考点。相应机构应该定期查看整体效果标准,以确保与其宗旨和目标保持一致。另请参阅本手册中的“服务等级协议”部分。 服务等级协议 (SLA) 针对这些服务提供了可衡量的效果标准和补救措施,可在我们的 Google Cloud Platform 服务等级协议页面上找到。 服务
28 安全性和机密性。合同应规定服务提供商对机构资源(例如信息和硬件)的安全性和机密性的责任。协议应禁止服务提供商及其代理使用或披露机构的信息(除非这是提供合同服务所必需的或者符合提供合同服务的要求),并应防止未经授权的使用(例如,向机构竞争对手披露信息)。如果服务提供商收到有关机构客户的非公开个人信息,机构应确认服务提供商是否符合隐私权法规的所有适用要求。机构应要求服务提供商完整披露安全事故,此类事故导致对服务提供商的未经授权入侵,可能对机构或其客户产生重大影响。服务提供商应根据双方之间的协议,在发生入侵时向机构报告入侵对机构的影响以及针对入侵的纠正措施。 安全性

使用云服务时信息的安全性和隐私性包含两个关键要素:

Google 的基础架构

Google 管理我们的基础架构的安全性。这是指支持服务的硬件、软件、网络和设施的安全性。

鉴于我们的服务具有一对多特性,Google 为所有客户提供了同样强大的安全性。

Google 向客户提供有关我们安全实践的详细信息,以便客户可以理解它们并将其视为自身风险分析的一部分。

如需了解详情,请访问:

您在云端的数据和应用

您定义您的数据和应用在云端的安全性。这是指您在使用服务时选择实施和操作的安全措施。

(a) 默认情况下的安全性

尽管我们希望为您提供有关数据的尽可能多的选择,但是您的数据安全性对于 Google 至关重要,我们会采取以下积极措施为您提供帮助:

(b) 安全产品

除了 Google 外部方提供给您的其他工具和做法外,您还可以选择使用 Google 提供的工具来增强和监控数据的安全性。如需了解有关 Google 安全产品的信息,请参阅我们的 Cloud 安全产品页面。

(c) 安全资源

Google 还发布了有关以下方面的指南:

您的信息的用途

Google 承诺仅访问或使用您的数据来提供您订购的服务,而不会将其用于任何其他 Google 产品、服务或广告。

隐私权和非公开个人信息

Google 在提供服务时会遵守适用的隐私权法律法规。

安全事故

如果数据突发事件发生延迟,Google 会及时通知您。如需详细了解 Google 的数据突发事件响应流程,请参阅我们的数据突发事件响应白皮书

数据安全;安全措施(数据处理和安全条款

客户数据保护

数据处理;角色和监管合规性(数据处理和安全条款

数据突发事件(数据处理和安全条款

29. 控制措施。管理层应该考虑实施能够满足以下控制措施的合约条款:
30
  • 服务提供商内部控制措施;

Google 至少每年进行几次独立的第三方审核,以对我们内部控制的有效性进行独立验证。为了让您了解我们在整个合作关系中内部控制的有效性,Google承诺在与您的合约期限内维护以下主要国际标准的认证/报告:

认证和审核报告
31
  • 遵守适用的监管要求;
Google 在提供服务的过程中遵守所有适用的法律和法规。 声明和保证
32
  • 记录服务提供商的维护要求;
Google 会向机构及其指定方授予访问权限和信息权限。 客户信息、审核和访问权限
33
  • 机构访问记录;
请参阅第 32 行
34
  • 对服务、系统、控制、关键项目人员和服务位置的任何重大更改的通知要求和批准权;

服务

如需了解服务的变更,请参阅第 25 行。

人员

客户可以独立操作服务,而无需 Google 人员采取任何行动。尽管 Google 人员管理和维护支持服务的硬件、软件、网络和设施,但是鉴于服务的一对多性质,没有 Google 人员致力于向单个客户提供服务。

位置

为了向您提供快速、可靠、可靠的服务,Google 可能会在 Google 或其转包商维护设施中存储和处理您的数据。

Google 会为您的数据提供相同的合约承诺以及技术和组织措施,无论其位于哪个国家/地区。特别是:

  • 所有 Google 设施均采用相同的安全措施,无论国家/地区为何。
  • Google 对其所有分包商进行相同的承诺,无论国家/地区为何。

Google 为您提供了数据存储位置的选择,包括在美国存储数据。选择存储数据的位置后,Google 不会将其存储在您选择的区域之外。

您也可以选择使用 Google 提供的工具来强制执行数据位置要求。如需了解详情,请参阅《Google Cloud 数据驻留、运营透明度和隐私权》白皮书

数据转移(数据处理和安全条款

数据安全;分包商(数据处理和安全条款

数据位置(服务专用条款

35
  • 设置和监控财务功能的参数,包括代表机构进行的付款处理或信贷扩展;以及
鉴于服务的性质,Google 不会代表该机构执行付款处理(在本手册中意指某种意义上)或信贷扩展。 不适用
36
  • 服务提供商维护的保险。
Google 将为许多已确定的风险提供保险。 保险
37 审核。相应机构应在合约中包括有权获得的审核报告的类型(例如财务、内部控制和安全审核)。合约应指定审核频率、获得审计的所有费用,以及机构及其监管机构的权利,以便及时获得审核结果。合约还可以规定获得解决任何缺陷的文档以及检查服务提供商的处理设施和操作实践的权利。管理层应基于风险评估阶段考虑是否可以依靠内部审核,或者是否需要进行外部审核和审查。

审核报告

如需详细了解 Google 提供的审核报告,请参阅第 10 行。Google 承诺在我们与您签订的整个合约期内保留这些报告。在由独立第三方进行审核之后,报告至少每年生成一次。

您可以随时查看 Google 当前的认证和审核报告

  • 您可以在此处找到 Google 的 ISO 认证
  • 您可以通过 Google Cloud 客户代表获取 Google 的 SOC 报告PCI 合规性证明 (AOC)

机构可能会向他们的监管机构提供这些资料。

检查

Google 认识到机构必须能够有效地审核我们的服务。Google 授予机构及其独立审计师审计权,包括检查 Google 的处理设施和操作规范。该机构最适合决定哪种审核频率适合其组织。我们的合约不会将机构限制为固定的审核数量。

认证和审核报告;

实现客户合规性

38 对于涉及访问开放网络的服务(例如与互联网相关的服务),管理层应特别注意安全性。机构应考虑包括要求由具有足够专业知识的独立方进行定期控制审查的合约条款。这些审核可能包括渗透测试、入侵检测、防火墙配置审核以及其他独立的控制措施审核。该机构应收到有关这些正在进行的审核结果的足够详细的报告,以在不影响服务提供商安全性的前提下充分评估安全性。 未经 Google 事先批准,您可以随时对服务进行渗透测试。此外,Google 会聘请合格且独立的第三方来进行服务的渗透测试。如需了解详情,请点击此处 客户渗透测试
39 报告。合约条款应包括机构将收到的报告的频率和类型(例如效果报表、控制审核、财务报表、安全性和业务恢复测试报告)。此外,合约还应概述获取自定义报告的准则和费用。

效果报表

您可以通过使用服务的功能定期监控 Google 服务(包括 SLA)的效果。

例如:

  • 状态信息中心提供有关服务的状态信息。
  • Google Cloud 操作是一款集成式监控、日志记录和诊断托管解决方案,可帮助您深入了解在 GCP 上运行的应用。
  • Access Transparency 功能可让您查看 Google 员工对您的数据所执行的操作的日志。日志条目包括:受影响的资源、采取操作的时间、采取操作的原因(例如,与支持请求关联的案例编号);以及有关谁在处理数据的数据(例如 Google 人员的位置)

财务报告

Google 提供了结算工具,供用户用来获取关于服务使用情况和相关费用的报告。如需了解详情,请参阅我们的 Cloud Billing 文档页面和将 Cloud Billing 数据导出到 BigQuery 页面。

审核和安全报告

请参阅第 10 行。

业务恢复测试报告

请参阅第 40 行。

重大发展

Google 将向您提供有关对 Google 根据服务等级协议 (SLA) 履行服务的能力产生重大影响的发展情况的信息。如需了解详情,请访问我们的突发事件和 Google Cloud 信息中心

持续性能监控

重大发展

40 业务恢复和应急计划。合同应说明服务提供商负责备份和记录保护(包括设备、程序和数据文件)以及灾难恢复和应急计划维护的责任。合同应概述服务提供商定期检查计划并将结果提供给机构的责任。在确定业务恢复测试要求时,机构应该考虑服务提供商之间的相互依赖关系。服务提供商应向机构提供一份应急计划副本,其中概述了业务中断时所需的操作程序。合约应包括满足机构业务要求的业务恢复时间表的具体规定。机构应确保合约中不包含任何条款,以免服务提供商执行其应急计划。

Google 将为我们的服务实施灾难恢复和业务应急计划,至少每年对其进行审查和测试,并确保其与行业标准保持一致。机构可以查看我们的计划和测试结果。

此外,如需了解客户如何使用我们的服务来协助他们进行灾难恢复和业务应急规划,请参阅我们的灾难恢复规划指南

业务连续性和灾难恢复
41 分包和多服务提供商关系。有些服务提供商可能会出于向金融机构提供服务的第三方来签订合约。机构应该了解并批准所有分包商。为了提供责任,金融机构应在合约中指定主要的签约服务提供商。合约还应指定主要订约服务提供商对合约中概述的服务负责,而不管哪个实体实际进行了操作。该机构还应考虑包括有关服务提供商重要分包商变更的通知和批准要求。

Google 认识到,机构需要考虑与转包相关的风险。我们还希望为您和我们的所有客户提供我们所能提供的最可靠、最强大和最具弹性的服务。在某些情况下,与其他可信组织合作可能带来显而易见的好处,比如提供全天候支持。

诚信负责

Google 要求我们的分包商达到与我们相同的高标准。具体来说,Google 会要求我们的分包商遵守我们的合约。Google 将对所有分包义务的履行承担责任。

信息和变更

为了使机构能够保留对任何分包合约的监督,并提供机构使用服务的选择,Google 将:

  • 提供有关我们分包商的信息(包括其职能和位置);
  • 将变更提前通知给我们的分包商;以及
  • 使机构能够在担忧新的转包商时终止合约。
Google 转包商
42 费用。合约应充分说明基本服务费用的计算,包括任何开发,转换和定期服务,以及基于活动量或特殊要求的任何费用。合约还应说明购买和维护硬件和软件的责任和额外费用。应详细讨论可能改变成本结构的任何条件,包括对任何成本增加的限制。另请参阅本手册中的“定价方法和捆绑销售”部分。

请参阅您的 Google Cloud Financial Services 合约。

审核

Google 致力于支持机构对我们的服务进行审核或检查。由于此支持未包含在我们通常公开列出的服务费用中,因此 Google 可能会收取与审核或检查有关的额外费用。如果活动范围已知,Google 会在活动前提供任何费用的更多详细信息。

付款期限
43 所有权和许可。合同应阐明对机构数据、设备/硬件、系统文档、系统和应用软件以及其他知识产权的所有权、权利和允许的用途。机构数据的所有权必须明确属于机构。其他知识产权可能包括机构的名称和徽标、商标或受版权保护的资料、域名、网站设计,以及服务提供商为机构开发的其他工作产品。如需有关开发支持外包软件的自定义软件的更多信息,请参阅 IT 手册的“开发与采购手册”。

数据

您保有您的数据、您使用我们的服务以及您的应用从您的数据获取的数据的所有知识产权。请参阅第 28 行,了解 Google 关于数据使用和保护的承诺。

商标、徽标等

未经您的批准,Google 不会使用品牌特征。

知识产权

营销和宣传

44 时长。机构在协商适当的合约期限和续签期限时应考虑技术类型和行业现状。虽然长期技术合约可能会带来好处,但某些技术可能会发生快速变化,而短期合约可能会证明是有益的。同样,机构还应考虑将服务提供商的意图告知 Google 不要在合理期限之前续订合约。机构应考虑协调相互关联的服务(例如网站、电信、编程、网络支持)合约的到期日期,以便在可行的情况下使它们一致。这种协调可以最大程度地降低提前终止合约的风险以及由于必须终止另一个相关服务合约而导致的罚款。 请参阅您的 Google Cloud Financial Services 合约。 有效期和终止
45 异议解决情况。该机构应考虑制定一项争议解决程序条款以尝试迅速解决问题,以及一项在争议解决期间继续提供服务的规定。 请参阅您的 Google Cloud Financial Services 合约。 适用法律
46 赔偿。 赔偿条款应要求服务提供商使金融机构免于遭受服务提供商的过失造成的损失。法律顾问应查看这些规定,以确保机构不需要为服务提供商的过失导致的索赔负责。 请参阅您的 Google Cloud Financial Services 合约。 赔偿
47 责任限制。某些服务提供商标准合约可能包含限制服务提供商可能承担的责任金额的条款。如果该机构正在考虑签订此类合约,则管理层应评估损害赔偿限额是否与由于服务提供商未履行其义务而可能导致金融机构合理遭受的损失金额具有适当的关系。 请参阅您的 Google Cloud Financial Services 合约。 法律责任
48 终止。管理层应评估合约终止条款的及时性和费用。终止权利的程度和灵活性可能因服务而异。机构应考虑在各种情况下包括终止权,包括控制权的变更(例如,收购和合并)、便利性、成本的大幅增加、一再未能满足服务水平、无法提供关键服务、破产、公司倒闭和破产事宜。合约应规定通知和时间表要求,并规定终止时应以机器可读格式及时返回机构的数据和资源。与转换协助相关的任何费用也应明确说明。

终止

为了方便起见,机构可以选择提前终止通知以终止我们的合约,包括 Google 是否增加费用或必要时是否遵守法律。

此外,对于 Google 在纠正期过后的重大违约、控制权变更或 Google 破产,机构可以提前终止合约。

转移

Google 认识到机构需要足够的时间退出我们的服务(包括将服务转移给其他服务提供商)。为了帮助机构实现这一目标,Google 应要求将在合约期满或终止后的 12 个月内继续提供服务。

Google 将允许您在合同有效期内以及合同终止后的过渡期内访问和导出您的数据。您可以采用多种行业标准格式从服务中导出数据。例如:

  • Google Kubernetes Engine 是一个可立即投产的代管式环境,可让您在不同云环境和本地环境中移植。
  • 借助 Migrate to Containers,您可以将工作负载直接迁移至 Google Kubernetes Engine 中并将它们转换为容器。
  • 您可以使用 .tar 归档文件的形式导出/导入整个虚拟机映像。如需详细了解映像和存储选项,请参阅我们的 Compute Engine 文档页面。

有效期和终止

过渡期限

数据导出(数据处理和安全条款

49 转让。机构应考虑禁止在未经机构同意的情况下将合约转让给第三方的合约条款。在对子分包的任何更改时,装让方案还应反映通知要求。

转让

请参阅您的 Google Cloud Financial Services 合约。

转包

请参阅第 41 行,了解分包信息。

转让
50 外部的服务提供商。与外国服务提供商签订合约的机构应考虑一些其他合约问题和规定。请参阅此手册中包含的附录 C。

Google LLC 是为美国机构提供服务的提供商。Google LLC 是根据美国特拉华州的法律组织的。

如需详细了解适用于我们合约的管辖法律和管辖区,请参阅您的 Google Cloud Financial Services 合约。

适用法律
51 法规遵从。金融机构应确保与服务提供商的合约中包含一项协议,以确保服务提供商及其服务应遵守适用的监管指南和要求。该规定还应表明服务提供商同意根据其向金融机构提供的服务类型和水平,提供准确的信息并及时访问适当的监管机构。

法规遵从

Google 在提供服务时将遵守适用的所有法律、法规和具有约束力的法规指南。

监管机构访问

Google 授予机构监管机构及其任命者访问和信息的权利。

声明和保证

监管机构信息、审计和访问