對照表
外包科技服務 FFIEC 風險管理
Google Cloud Platform 對照表
本文件的宗旨是協助聯邦金融機構考試委員會 (「FFIEC」) 管轄的金融機構 (簡稱「機構」) 在採用 Google Cloud Platform (簡稱「「GCP」」) 和《Google Cloud 金融服務合約》的情況下將《外包技術服務手冊》(簡稱《FFIEC 外包手冊》) 納入考量。
我們會著重說明《FFIEC 外包手冊》的「盡職調查」和「合約問題」章節。我們會針對這些章節的內容提供相關註解,協助您瞭解如何使用 Google Cloud 服務和 《Google Cloud 金融服務合約》,以瞭解如何應對《FFIEC 外包手冊》的規定。
| # | 參考資料 | Google Cloud 註解 | 《Google Cloud 金融服務合約》參考資料 |
|---|---|---|---|
| 1. 盡職調查 | |||
| 2 | 金融機構應對服務供應商針對 RFP 的回應和服務供應商本身進行盡職調查。盡職調查應做為驗證和分析工具,以確保認服務供應商符合機構的需求。盡職調查應確認並評估服務供應商的下列相關資訊: | Google 瞭解您需要進行盡職調查,並在決定使用我們的服務前執行風險評估。為了協助您,我們在接下來各列中提供了您需要考量的各個領域的相關資訊。 | 無 |
| 3 |
|
如需 Google Cloud 公司史的相關資訊,請參閱 Alphabet 的投資人關係頁面。 | 無 |
| 4 |
|
公司主體 如需 Google Cloud 領導團隊的相關資訊,請參閱我們的媒體資源頁面。 背景調查 Google 會在法律許可的情況下對員工進行背景調查,為客戶和員工提供安全的環境。 |
無 |
| 5 |
|
您可以前往 Google Cloud 客戶頁面,查看我們可公開引用的客戶 (包括金融服務業) 的相關資訊。 | 無 |
| 6 |
|
如要查看 Google 的財務狀況和經稽核的財務報表,請前往 Alphabet 的投資人關係頁面。 | 無 |
| 7 |
|
策略
如需 Google Cloud 策略的相關資訊,請參閱 Alphabet 的投資人關係頁面。 信譽 Google Cloud 在第三方產業分析師提供的多份報告中都獲選為領導品牌。詳情請參閱我們的分析師報告頁面。 |
無 |
| 8 |
|
如需 Google Cloud 服務交付功能與成效的相關資訊,請參閱我們的選擇 Google Cloud 頁面。 此外,您也可以在我們的分析師報告頁面中,檢視產業分析師提供的報告。 | 無 |
| 9 |
|
如需 Google Cloud 的技術和系統架構相關資訊,請參閱選擇 Google Cloud 頁面。 |
無 |
| 10 |
|
Google 瞭解機構需要審查內部控管措施,以進行風險評估。為此,Google 每年至少會進行多次獨立的第三方稽核,以提供營運和內部控管機制的獨立驗證。在合約期間,Google 承諾會遵守下列重要國際標準: |
無 |
| 11 |
|
我們的Alphabet 的投資人關係報告上有提供年度報告,其中列出了待處理的法律訴訟。 | 無 |
| 12 |
|
請參考轉包合同第 41 列。 | 無 |
| 13 |
|
Google 會為幾項已知風險提供保險。 | 無 |
| 14 |
|
請參閱第 40 列的業務恢復和應變計畫。 | 無 |
| 15 | 其他重要元素,包括用於探查無形資產的資訊,例如第三方服務的服務理念、品質計畫以及管理風格。文化、價值和商業風格應符合金融機構的性質。 | 您可以前往 Alphabet 的投資者關係頁面檢視我們的使命、理念和文化相關資訊。此頁面亦提供有關我們的「行為準則」等機構政策相關資訊。 | 無 |
| 16 | 在評估外國服務供應商時,應評估上述項目及附錄 C〈外國第三方服務供應商〉中所討論的資訊之間的關聯性。 | 請參閱第 50 列。 | 無 |
| 17 | 金融機構可能會針對回應提案請求 (RFP) 的一或多家服務供應商進行盡職調查。盡職調查的深度和執行方式可能取決於多項因素,包括:外包關係的相關風險、機構對潛在服務供應商的熟悉度,以及供應商選擇程序的階段而異。機構發布提案請求 (RFP)、接收及評估回應並完成盡職調查後,就會與確定最符合需求的一或多家服務供應商進行合約協商。 | 此為客戶考量事項。 | 無 |
| 18. 合約問題 | |||
| 19 |
選定服務供應商後,管理階層應協商出符合其需求的合約。RFP 和服務供應商的回應都可以做為這個流程的參與內容。合約為具有法律效力的文件,內容定義服務關係的各個層面。所有服務關係中都應載明在書面合約中。這包括服務供應商為機構關聯企業的情況。與關聯企業簽約時,機構應確保服務供應商的服務費用和服務與非關聯企業一致。合約是外包程序中最重要的控管機制。鑒於合約的重要性,管理階層應:
|
《Google Cloud 金融服務合約》會定義服務關係的各個層面。 | 無 |
| 20. 應考量的合約要素包括: | |||
| 21 | 服務範圍。合約應清楚載明協議雙方的權利與責任,協商過程中應考量的事項包括: | 雙方的權利和責任義務均列載於《Google Cloud 金融服務合約》中。 | 無 |
| 22 |
|
活動 如需 GCP 服務的說明,請參閱服務摘要頁面。 整合 有數種方式可以整合我們的服務與您的系統。
|
定義 |
| 23 |
|
Google 會根據Google Cloud Platform 服務水準協議,提供服務摘要頁面所述的「服務」。 我們的技術支援服務指南網頁有提供支援服務的說明。 Google 提供說明文件,協助各機構及其員工瞭解如何使用我們的服務。如果機構想進行更多引導式訓練,也可參加 Google 提供的各種課程與認證。 |
服務 技術支援 |
| 24 |
|
|
|
| 25 |
|
Google 會持續更新服務,讓客戶能運用最新技術。我們的服務具有一對多的特性,因此會同時為所有客戶提供更新。 Google 不會進行會實質性降低「服務」的功能、效能、可用性或安全性的更新。 如果 Google 必須停止提供特定服務且不會提供替代方案,至少會提前 12 個月預先通知您。Google 在此期間會持續提供支援服務,及產品與安全性更新。 |
服務異動 |
| 26 |
|
新服務 Google 不斷推出新服務,以便為客戶提供最新功能。新服務推出後,就會顯示在「服務摘要」頁面中,每位客戶都能選擇是否要在現有的合約下使用這些服務。 合約重新協商 隨著服務和技術的變更,Google 可能會更新相關網址中的內容,調整適用於所有客戶的特定條款。所有更新內容一律須符合嚴格的標準。舉例來說,這些異動不得導致服務的整體安全性降低,或對現有權利造成重大負面影響。除了上述受到限制的更新外,任何合約修訂均須以書面形式進行,並經雙方簽字同意。 |
服務與條款更新 條款之變更;修訂條款 |
| 27 | 效能標準機構應定義最低效能標準,以及無法達到合約規定時的補救措施。例如,常見的服務水準指標包括系統運作時間百分比、完成批次處理的期限或處理錯誤的數量。可以參考服務等級的業界標準作為基準。機構應定期查看整體效能標準,以確保與其目標一致。另請參閱本手冊中的「服務水準協議」一節。 | 服務水準協議提供服務的可測量效能標準和補救措施,您可以在 Google Cloud Platform 服務水準協議頁面上取得。 | 服務 |
| 28 | 安全性和機密性。合約應載明服務供應商對機構資源 (例如資訊、硬體) 安全性和機密性應負的責任。協議內容應禁止服務供應商及其代理人使用或揭露機構的資訊,除非這個行為是為按照合約提供服務而必須進行,或是符合合約中提供服務的條件。此外,也必須防止未經授權使用資料的情況 (例如向機構競爭對手揭露資訊)。如果服務供應商收到與機構客戶相關的非公開個人資訊,則機構應確認服務供應商本身遵循隱私權法規的所有適用規定。機構應要求服務供應商完整揭露存在的安全漏洞,以免他人未經授權即入侵服務供應商系統,進而對機構或其客戶造成重大影響。服務供應商應根據雙方的協議,在發生入侵事件時向機構通報,並說明該事件對機構造成的影響,以及針對入侵行為採取的修正措施。 |
安全性
使用雲端服務時的安全性和隱私權包含兩個主要元素: Google 的基礎架構 Google 負責管理基礎架構的安全性,也就是支援「服務」的硬體、軟體、網路和設施的安全性。 由於 Google 服務具有一對多性質,因此能為所有客戶提供同樣強大的安全性。 Google 為客戶提供了安全性做法詳細資訊,讓客戶能瞭解其內容,並將其納入風險分析。 詳情請參閱:
您在雲端中的資料和應用程式 雲端的資料和應用程式安全性由您定義,這指的是使用「服務」時,選擇導入和執行的安全性措施。 (a) 預設安全性 雖然我們希望在您的資料上為您提供最多的選擇,但 Google 相當重視資料的安全性,我們會採取下列主動措施來協助您:
(b) 安全性產品 除了 Google 提供的其他工具和做法之外,您也可以選擇使用 Google 提供的工具增強及監控資料安全性。如需 Google 安全性產品相關資訊,請參閱 Cloud 安全性產品頁面。 (c) 安全性資源 Google 也會發布以下指南: 使用您的資訊 在存取或使用您的資料時,Google 致力於僅將其用於提供您訂購之「服務」,且不會將這些資料用於其他 Google 產品、服務或廣告。 隱私權與非公開個人資訊 Google 在提供「服務」時會遵守適用的隱私權法律及法規。 安全性漏洞 Google 會即時通知您資料事件,不會無故拖延。如要進一步瞭解 Google 的資料事件應變程序,請參閱我們的資料事件應變白皮書。 |
資料安全性;安全措施 (資料處理與安全性條款) 保護客戶資料。 資料處理;角色與法規遵循法規遵循 (資料處理與安全性條款) 資料事件 (資料處理與安全性條款) |
| 29. 控管管理層應考慮實施涉及以下控管措施的合約條款: | |||
| 30 |
|
Google 每年至少會進行數次獨立的第三方稽核,以驗證我們內部控管機制的成效。為了方便您瞭解內部控管機制在整個過程中扮演的角色,Google 承諾在合約期間,以下列標準國際標準進行認證 / 報告: |
認證與稽核報告 |
| 31 |
|
Google 遵守提供「服務」時的所有適用的法律和法規。 | 聲明及擔保 |
| 32 |
|
Google 會授予機構及其指派人存取權和資訊權。 | 客戶資訊、稽核與存取權 |
| 33 |
|
請參考第 32 列。 | |
| 34 |
|
服務 請參考第 25 列的說明以瞭解服務異動。 人員 客戶可以獨立操作服務,無需 Google 人員介入。 雖然 Google 人員會管理及維護支援「服務」的硬體、軟體、網路及設施,但鑑於服務的一對多性質,Google 人員並無專人向單一客戶提供服務。 位置 為了提供快速、可靠、健全和有彈性的服務,Google 可能會在 Google 或其複委託者負責維護的相關設施儲存及處理您的資料。
無論資料所在的國家 / 地區為何,Google 都會為您的資料提供相同的合約承諾與技術和機構措施。具體而言:
Google 提供資料儲存位置的選擇,包括將資料儲存在美國。選擇資料的儲存位置後,Google 便不會將資料儲存在您選擇的地區之外。 您也可以選擇使用 Google 提供的工具執行資料位置要求。詳情請參閱 白皮書:透過 Google Cloud 為歐洲客戶實現資料落地、作業透明及隱私保障。 |
資料移轉 (資料處理和安全性條款) 資料安全性;複委託者 (資料處理與安全性條款) 資料位置 (服務專屬條款) |
| 35 |
|
基於服務性質,Google 不會代表機構執行付款處理 (即手冊中所意指),或是代表機構提供授信。 | 無 |
| 36 |
|
Google 會為一些已知風險投保。 | 保險 |
| 37 | 稽核機構應包含合約中可以接受的稽核報告類型 (例如財務、內部控管和安全性審查)。合約中應載明稽核頻率、取得稽核的費用,以及機構及其主管機關適時取得稽核記結果的權利。合約也應載明取得缺失解決結果的文件與檢查服務供應商的處理設施和營運做法的權利。管理階層應基於風險評估階段考量是否可仰賴內部稽核,或者是否需要進行外部稽核和審查作業。 |
稽核報告 請參閱第 10 列,進一步瞭解 Google 提供的稽核報告。Google 承諾在合約期間會持續維護這些報告。這些報告至少會在每年接受獨立的第三方稽核。 您可以隨時查看 Google 目前的認證與稽核報告。
機構可以向主管機關提供這些資料。 檢查 Google 瞭解機構必須能夠有效稽核我們的服務。Google 授予機構及其獨立稽核人員稽核權利,包括檢查 Google 的處理設施和營運做法。機構最適合決定其機構組織適用的稽核頻率。我們的合約不會限制機構的稽核次數或預先定義範圍。 |
認證與稽核報告; 實現客戶法規遵循 |
| 38 | 針對存取公開網路的服務 (例如網際網路相關服務),管理階層應特別留意其安全性。機構應考慮納入要求由具有足夠專業知識的獨立單位進行定期控管審查的合約條款。審查內容可能包括滲透測試、入侵偵測、防火牆設定檢查以及其他獨立的控管審查。機構應接收這些持續稽核作業發現項目的詳細報告,以在不影響服務供應商安全性的前提下充分評估安全性。 | 無須經 Google 事前核准,您隨時可以執行「服務」的滲透測試。此外,Google 也會聘請合格且獨立的第三方來執行「服務」的滲透測試。如需更多資訊,請參閱這裡的說明。 | 客戶滲透測試 |
| 39 | 報告合約條款應包括機構應收到之報告的頻率和類型 (例如效能報告、控管稽核、財務報表、安全性以及業務恢復測試報告)。合約亦應概略說明取得自訂報表的準則和費用。 |
成效報表 您可以使用「服務」的功能定期監控 Google 服務 (包括 SLA) 的效能。 例如:
財務報表 Google 提供帳單工具,方便客戶取得「服務」使用情形及其相關費用的報告。詳情請參閱 Cloud Billing 說明文件和將 Cloud Billing 資料匯出至 BigQuery 頁面。 稽核與安全性報告 請參考第 10 列。 業務恢復測試報告 請參考第 40 列。 重大開發 對於會對 Google 根據服務水準協議執行「服務」的能力產生重大影響之開發,Google 會提供相關資訊給您。詳情請參閱我們的事件與 Google Cloud 資訊主頁。 |
持續的效能監控 重大開發 |
| 40 | 企業廢棄及應變計畫。合約應載明服務供應商對備份和記錄保護的責任,包括設備、程式和資料檔案,以及災難復原和應變方案的維護作業。合約應概述服務供應商應對計畫進行定期測試,並將結果提供給相關機構。機構在決定業務恢復測試需求時,應考慮不同服務供應商之間的相互依賴性。服務供應商應向機構提供應變計畫副本,以概述在業務中斷時的必要作業程序。合約應包括符合機構業務需求之業務恢復時程的具體規定。機構應確保合約中未包括任何讓服務供應商免於實施其應變計畫的條款。 |
Google 將針對我們的服務實施災難復原和業務應變計畫,並每年至少審查和測試一次,確保能與業界標準同步。機構可以審查我們的計畫和測試結果。 此外,請參閱我們的災難復原規劃指南,瞭解客戶如何在自己的災難復原和業務應變計畫中使用我們的「服務」。 |
業務持續性和災難復原 |
| 41 | 轉包商和多家服務供應商的關係。。部分服務供應商可能會與第三方簽約,以便為金融機構提供服務。機構應瞭解並核准所有轉包商。為落實問責制,金融機構應在合約中指定主要立約服務供應商。此外,合約中也應載明無論實際執行作業的實體為何,主要立約服務供應商須負責履行合約中列出的服務。機構也應考慮在合約中加入服務供應商重要轉包商的相關異動通知與核准規定。 |
Google 瞭解機構需考慮轉包的相關風險。我們也希望竭盡所能為所有客戶提供最可靠、完善、有彈性的全方位服務。在某些情況下,與其他可靠的機構合作可能會帶來明顯的好處,例如可提供全年無休的支援服務。 可靠性 Google 要求承包商和我們遵循同樣的高標準。具體而言,Google 會要求轉包商遵守我們與您簽訂的合約規範。Google 會對所有轉包義務的履行承擔責任。 資訊與異動 為使機構能監督所有的轉包業務,並提供機構使用服務的選擇,Google 會:
|
Google 承包商 |
| 42 | 費用。合約應完整說明基本服務費用的計算方式,包括任何開發、轉換和週期性服務的費用,以及任何有關活動量或特殊要求的費用。合約也應載明購買及維護硬體和軟體的責任與額外費用。此外,當中還必須詳細說明任何可能改變費用結構的條件,包括增加任何費用的限制。另請參閱本手冊中的「定價方法與套裝組合」一節。 |
請參閱您的《Google Cloud 金融服務合約》。 稽核 Google 致力支援機構對我們的服務進行稽核或檢查。由於此支援服務並未列在我們所列出的公開服務費用中,Google 可能會收取與稽核或檢查相關的額外費用。如果已知前述稽核或檢查活動的範圍,Google 會事先針對任何適用費用提供進一步的詳細資料。 |
付款條件 |
| 43 | 所有權和授權合約應載明針對機構的資料、設備/硬體、系統說明文件、系統和應用程式軟體及其他智慧財產權的所有權、權利和許可使用範圍。機構資料的所有權必須完全由機構持有。其他智慧財產權可能包括機構的名稱和標誌、其商標或版權內容、網域名稱、網站設計,以及服務供應商開發的其他產品。如需有關支援外包服務的自訂軟體開發的其他相關資訊,請參閱 IT 手冊的〈開發與取得書籍〉。 |
資料 您保留所有資料的智慧財產權,以及您使用 Google 服務與應用程式取得的資料。請參閱第 28 列,瞭解 Google 對於資料使用和保護的承諾。 商標、標誌等 Google 不會在未取得您的核准的情況下使用品牌特徵。 |
智慧財產權 行銷及公關宣傳。 |
| 44 | 持續時間機構在協商適當的合約效期及其續約期間時,應考量技術類型和產業現狀。雖然長期合約可能帶來一些好處,但對於某些可能需要快速變更的技術來說,短期合約可能會對其有所助益。同樣地,機構應考量在合約到期之前有充足的時間,以通知服務供應商機構無續約的意願。如可行,機構應考慮協調跨相關服務 (例如網站、電信、程式設計、網路支援) 的合約到期日,使其一致。這種調度管理可以儘可能降低提前終止合約,導致必須終止另一個相關服務合約而產生罰款的的風險。 | 請參閱您的《Google Cloud 金融服務合約》。 | 效期與終止 |
| 45 | 解決爭議該機構應考量納入針對爭議解決程序的條款,嘗試以有效的方式解決問題,同時加入在爭議解決期間繼續提供服務的條款。 | 請參閱您的 Google Cloud 金融服務合約。 | 準據法。 |
| 46 | 賠償。 賠償條款應要求服務供應商使金融機構免於因服務供應商的過失承擔責任。法律顧問應審查這些條款,以確保該機構不會因服務供應商的過失而必須承擔相關的賠償責任。 | 請參閱您的《Google Cloud 金融服務合約》。 | 賠償 |
| 47 | 責任限制。部分服務供應商標準合約可能包含限制服務供應商可能承擔的責任金額的條款。如果機構正在考慮簽訂此類合約,則管理階層應評估損害賠償限額與因服務供應商未履行其義務而可能導致金融機構合理遭受的損失金額是否符合比例原則。 | 請參閱您的《Google Cloud 金融服務合約》。 | 責任 |
| 48 | 終止。管理階層應評估合約終止條款的及時性和費用。終止權限的範圍和彈性可能會因服務而異。機構應該要考慮在各種情況下加入終止權利,包括控制權變更 (例如收購和合併)、便利性、成本大幅提高、屢次未能達到服務水準、無法提供關鍵服務、破產、公司停業和破產。合約應建立通知和期限要求,並在終止後以機器可解讀的格式立即傳回機構的資料和資源。任何與轉換協助相關的費用也必須清楚註明。 |
終止 為求方便,機構可以選擇提前通知終止合約,包括在 Google 收費增加或需配合法律規定的情況下。 此外,對於 Google 在補正期限過後的重大違約、控制權變更或 Google 破產,機構可以提前通知終止合約。 轉移 Google 瞭解機構需要有足夠的時間退出我們的服務 (包括將服務轉移至其他服務供應商)。為了協助機構達成這個目標,Google 會應要求在合約到期或終止後的 12 個月內繼續提供服務。 Google 可讓您在合約期間和終止後的轉換期間內存取及匯出資料。您可以使用多種業界標準格式從「服務」匯出資料。例如:
|
效期與終止 轉換期間 資料匯出 (資料處理和安全性條款) |
| 49 | 轉讓機構應考慮納入「禁止未經機構同意便將合約轉讓給第三方」的合約條款。轉讓規定也應包含在重大承包商有任何變更時需通知的要求。 |
轉讓 請參閱您的《Google Cloud 金融服務合約》。 轉包合同。 請參考轉包合同第 41 列。 |
轉讓 |
| 50 | 外國服務供應商。如果機構是與外國服務提供商簽訂合約,則應考慮許多的其他合約問題和規定。請參閱本手冊中的附錄 C。 |
Google LLC 是為美國機構提供服務的供應商。Google LLC是根據美國德拉瓦州法律所成立的組織。 如要進一步瞭解適用於我們合約的準據法和司法管轄區,請參閱您的《Google Cloud 金融服務合約》。 |
準據法。 |
| 51 | 監管法規遵循在與服務供應商簽訂的合約中,金融機構應確保其中包含以下協議:服務供應商及其服務會遵守適用的法規遵循指南與要求。該規定也應指出服務供應商同意應根據其向金融機構提供的服務類型和水準,提供正確的資訊,並及時存取適當的監管機構。 |
法規遵循 Google 在提供「服務」時會遵守所有適用的法律、法規和具有約束力的法規準則。 監管機構存取權 Google 會授予機構的監管機構及其指派人存取權和資訊權。 |
聲明及擔保。 主管機關資訊、稽核與存取權 |