Mappatura

Gestione dei rischi FFIEC per l'outsourcing dei servizi tecnologici

Mappatura per Google Cloud Platform

Questo documento è stato progettato per aiutare le istituzioni finanziarie ("istituzioni") all'interno del mandato del Federal Financial Institutions Examination Council (“FFIEC”) a considerare il Manuale sull'outsourcing dei servizi tecnologici (il "Manuale FFIEC sull'outsourcing") nel contesto di Google Cloud Platform ("GCP") e del contratto dei servizi finanziari di Google Cloud.

Analizzeremo le sezioni relative alla due diligence e ai problemi contrattuali del Manuale FFIEC sull'outsourcing . Per ogni paragrafo di queste sezioni, forniremo dei commenti che ti aiuteranno a capire in che modo soddisfare i requisiti del Manuale FFIEC sull'outsourcing tramite i servizi Google Cloud e il contratto dei servizi finanziari di Google Cloud.

# Riferimento Commento di Google Cloud Riferimento al contratto per i servizi finanziari di Google Cloud
1. Due Diligence
2 Un'istituzione finanziaria deve eseguire un controllo di due diligence sul fornitore di servizi e sulla sua risposta a una richiesta di proposta. La due diligence dovrebbe servire come strumento di verifica e analisi, garantendo che il fornitore di servizi soddisfi le esigenze dell'istituzione. La due diligence dovrebbe confermare e valutare le seguenti informazioni relative al fornitore di servizi: Google riconosce la tua necessità di effettuare un'adeguata due diligence ed eseguire una valutazione dei rischi prima di decidere di utilizzare i nostri servizi. Per aiutarti, abbiamo fornito nelle righe successive delle informazioni per ogni area che devi considerare. N/D
3
  • Esistenza e cronologia aziendale;
 Le informazioni sulla cronologia aziendale di Google Cloud sono disponibili alla pagina Investor Relations di Alphabet. N/D
4
  • Qualifiche, background e reputazione dei dirigenti dell'azienda, inclusi i controlli dei precedenti penali, ove appropriato;

Dirigenti dell'azienda

Le informazioni sul team dirigenziale di Google Cloud sono disponibili alla nostra pagina Risorse multimediali .

Controllo dei precedenti

Google esegue dei controlli dei precedenti dei propri dipendenti, laddove legalmente consentito per offrire un ambiente sicuro ai propri clienti e impiegati.

N/D
5
  • Altre società che utilizzano servizi del fornitore simili, che possano essere contattati come referenza;
Informazioni sui nostri clienti utilizzabili come referenza (anche nel settore dei servizi finanziari) sono disponibili alla nostra pagina Clienti Google Cloud. N/D
6
  • Stato finanziario, incluse le verifiche dei bilanci d'esercizio sottoposte a controllo;
Puoi esaminare lo stato finanziario di Google e i bilanci d'esercizio sottoposti a controllo nella pagina Investor Relations di Alphabet. N/D
7
  • Strategia e reputazione;
Strategia

Le informazioni sulle strategie di Google Cloud sono disponibili alla pagina Investor Relations di Alphabet.

Reputazione

Google Cloud ha ricevuto il titolo di Leader in diversi rapporti di analisti del settore di terze parti. Puoi leggerli nella nostra pagina Rapporti degli analisti.

N/D
8
  • Funzionalità, stato ed efficacia della fornitura del servizio;
Le informazioni sulla capacità e sull'efficacia della fornitura di servizi di Google Cloud sono disponibili nella nostra pagina Scegliere Google Cloud. Inoltre, puoi esaminare i rapporti di analisti del settore di terze parti nella nostra pagina Rapporti degli analisti. N/D
9
  • Tecnologia e architettura dei sistemi;

Le informazioni sulla tecnologia e l'architettura dei sistemi di Google Cloud sono disponibili nella nostra pagina Scegliere Google Cloud.

N/D
10
  • Ambiente di controllo interno, cronologia della sicurezza e copertura di audit;

Google riconosce che le istituzioni devono esaminare i nostri controlli interni nell'ambito della valutazione dei rischi. Per aiutare, Google si sottopone a diversi controlli indipendenti di terze parti almeno una volta all'anno per fornire una verifica indipendente delle nostre operazioni e dei controlli interni. Google si impegna a rispettare i seguenti standard internazionali fondamentali durante il periodo di validità del contratto:

N/D
11
  • Conformità legale e normativa, inclusi reclami, contenziosi o azioni normative;
Le informazioni sui procedimenti legali in attesa sono disponibili nei nostri rapporti annuali alla pagina Investor Relations di Alphabet. N/D
12
  • Fare affidamento e relazionarsi con successo a fornitori di servizi di terze parti;
 Consulta la riga 41 relativa al subcontratto. N/D
13
  • Copertura assicurativa; e
 Google manterrà la copertura assicurativa relativa a una serie di rischi identificati. N/D
14
  • Capacità di soddisfare i requisiti per il ripristino di emergenza e la continuità aziendale.
 Consulta la riga 40 relativa alla ripresa dell'attività e ai piani di emergenza. N/D
15 Altri elementi importanti includono la ricerca di informazioni sugli oggetti intangibili, come le filosofie di servizio di terze parti, le iniziative per la qualità e lo stile di gestione. La cultura, i valori e gli stili aziendali devono adattarsi a quelli dell'istituzione finanziaria. Puoi esaminare le informazioni sulla nostra missione, la nostra filosofia e la nostra cultura alla pagina Investor Relations di Alphabet. Fornisce inoltre informazioni sui nostri criteri organizzativi, ad esempio il codice di condotta. N/D
16 Quando viene preso in considerazione un fornitore di servizi con sede all'estero, la valutazione dovrebbe includere anche la relazione alla luce degli elementi sopra indicati e le informazioni discusse nell'Appendice C, Fornitori di servizi di terze parti con sede all'estero. Consulta la riga 50. N/D
17 Le istituzioni finanziarie potrebbero eseguire la due diligence su uno o più fornitori di servizi che rispondono alla richiesta di proposta. La profondità e la formalità della due diligence eseguita possono variare in base al rischio della relazione in outsourcing, alla familiarità dell'istituzione con i potenziali fornitori di servizi e alla fase del processo di selezione del fornitore. Dopo aver emesso le richieste di proposta, ricevuto e valutato le risposte ed eseguito la due diligence, le istituzioni avviano negoziazioni di contratto con uno o più dei fornitori di servizi che ritengono possano rispondere meglio alle loro esigenze. Questo è a discrezione del cliente. N/D
18. Problemi di contratto
19

Dopo aver selezionato un fornitore di servizi, l'amministrazione deve negoziare un contratto che soddisfi i suoi requisiti. La RFP e la risposta del fornitore di servizi possono essere utilizzate come input per questo processo. Il contratto è il documento legalmente vincolante che definisce tutti gli aspetti del rapporto di fornitura. In tutte le relazioni di fornitura dovrebbe essere presente un contratto scritto. Questo include i casi in cui il fornitore di servizi è affiliato all'istituzione. Durante la stipulazione di un contratto con un affiliato, l'istituzione deve garantire che i costi e la qualità dei servizi forniti siano paragonabili a quelli di un fornitore non affiliato. Il contratto è la singola forma di controllo più importante del processo di outsourcing. Data l'importanza del contratto, l'amministrazione dovrebbe:

  • Verificare l'accuratezza della descrizione della relazione di outsourcing nel contratto;
  • Assicurarsi che il contratto sia scritto in modo chiaro e contenga dettagli sufficienti per definire nel dettaglio i diritti e le responsabilità di ciascuna parte; e
  • Richiedere l'assistenza di un consulente legale nelle prime fasi del processo per preparare e rivedere il contratto proposto.
Il contratto per i servizi finanziari di Google Cloud definisce gli aspetti della relazione .di fornitura. N/D
20. Tra gli esempi di elementi contrattuali da considerare ci sono:
21 Ambito del servizio. Il contratto deve descrivere chiaramente i diritti e le responsabilità delle parti contrattuali. Le considerazioni dovrebbero includere: Le obbligazioni relative a diritti e responsabilità delle parti sono stabilite nel contratto per i servizi finanziari di Google Cloud. N/D
22
  • Descrizioni delle attività richieste, tempistiche per la loro implementazione e assegnazione delle responsabilità. Le disposizioni di implementazione devono tenere in considerazione altri sistemi esistenti o sistemi correlati tra loro che devono essere sviluppati da altri fornitori di servizi (ad esempio, un sistema di Internet banking integrato con le applicazioni principali esistenti o la personalizzazione dei sistemi);

Attività

I servizi GCP sono descritti nella pagina di Riepilogo dei servizi.

Integrazione

Esistono diversi modi per integrare i nostri servizi con i tuoi sistemi.

  • Cloud Console ti consente di trovare e verificare l'integrità di tutte le tue risorse Google Cloud in un unico punto, incluse macchine virtuali, impostazioni di rete e archiviazione dei dati.
  • Le API Cloud ti consentono di accedere ai prodotti Google Cloud dal tuo codice e automatizzare i flussi di lavoro utilizzando il tuo linguaggio di programmazione preferito.
Definizioni
23
  • Obblighi e servizi a carico del fornitore, inclusi assistenza e manutenzione software, formazione di dipendenti o assistenza clienti;

Google fornirà i Servizi descritti nella nostra pagina Riepilogo dei servizi in conformità all' accordo sul livello del servizio di Google Cloud Platform.

I servizi di assistenza sono descritti nella pagina Linee guida per i servizi di assistenza tecnica.

Google mette a disposizione la documentazione per spiegare in che modo le istituzioni e i loro dipendenti possono utilizzare i nostri servizi. Se un'istituzione vuole una formazione più strutturata, Google offre anche una serie di corsi e certificazioni.

Servizi

Assistenza tecnica

24
  • Obblighi dell'istituzione finanziaria;
  • Consulta il tuo contratto dei servizi finanziari di Google Cloud.
25
  • I diritti delle parti contrattuali nel modificare i servizi esistenti forniti ai sensi del contratto; e

Google aggiorna continuamente i servizi per consentire ai clienti di sfruttare al meglio la tecnologia più aggiornata. Data la natura one-to-many del nostro servizio, gli aggiornamenti vengono applicati a tutti i clienti contemporaneamente.

Google non eseguirà aggiornamenti che riducono sostanzialmente la funzionalità, le prestazioni, la disponibilità o la sicurezza dei Servizi.

Se Google dovesse interrompere un servizio senza sostituirlo, l'utente riceverà un preavviso di almeno 12 mesi. Durante questo periodo, Google continuerà a fornire assistenza e aggiornamenti relativi alla sicurezza e ai prodotti.

Modifica ai servizi
26
  • Linee guida per l'aggiunta di servizi nuovi o diversi e per la rinegoziazione del contratto.

Nuovi servizi

Google introduce costantemente nuovi servizi per offrire ai clienti le caratteristiche e funzionalità più recenti. Una volta disponibili, i nuovi servizi vengono aggiunti alla pagina di Riepilogo dei servizi e ciascun cliente può scegliere se utilizzarli o meno in base al contratto esistente.

Rinegoziazione del contratto

Man mano che i servizi e la tecnologia cambiano, Google potrebbe aggiornare alcuni termini agli URL applicabili a tutti i clienti. Gli eventuali aggiornamenti devono soddisfare criteri rigorosi. Ad esempio, non devono comportare un deterioramento significativo della sicurezza generale dei servizi o avere un impatto sostanzialmente negativo sui tuoi diritti esistenti. Oltre a questi aggiornamenti limitati, qualsiasi modifica del contratto deve essere apportata per iscritto e firmata da entrambe le parti.

Aggiornamenti ai Servizi e Termini di servizio

Modifiche ai Termini di servizio; Emendamenti

27 Standard di rendimento. Le istituzioni dovrebbero includere gli standard di rendimento che definiscono i requisiti di livello di servizio minimi e i rimedi per il mancato adempimento degli standard menzionati nel contratto. Ad esempio, alcune metriche di livello di servizio comuni includono la percentuale di uptime del sistema, le scadenze per il completamento dell'elaborazione batch o il numero di errori di elaborazione. Gli standard di settore per i livelli di servizio possono offrire un punto di riferimento. L'istituzione deve esaminare periodicamente gli standard di rendimento complessivi per garantire la coerenza con gli obiettivi. Consulta anche la sezione Accordi sul livello del servizio in questo manuale. Gli SLA forniscono standard e rimedi di rendimento misurabili per i servizi e sono disponibili nella nostra pagina Accordi sul livello del servizio di Google Cloud Platform. Servizi
28 Sicurezza e riservatezza. Il contratto deve menzionare la responsabilità del fornitore di servizi in materia di sicurezza e riservatezza delle risorse dell'istituzione (ad esempio informazioni, hardware). Il contratto deve vietare al fornitore di servizi e ai suoi agenti di utilizzare o divulgare le informazioni dell'istituzione, tranne ove necessario o coerente con la fornitura dei servizi contrattuali e per proteggersi dall'utilizzo non autorizzato (ad esempio, la divulgazione di informazioni ai concorrenti dell'istituzione). Se il fornitore di servizi riceve informazioni personali non pubbliche relative ai clienti dell'istituzione, quest'ultima deve verificare che il fornitore di servizi rispetti tutti i requisiti applicabili delle norme sulla privacy. Le istituzioni devono richiedere al fornitore di servizi di comunicare tutte le violazioni della sicurezza che risultino in intrusioni non autorizzate che potrebbero avere un impatto significativo sull'istituzione o sui suoi clienti. Il fornitore di servizi deve segnalare all'istituzione il verificarsi di intrusioni, il loro effetto sull'istituzione, e l'azione correttiva intrapresa per rispondere all'intrusione, a seconda degli accordi tra le parti. Sicurezza

La sicurezza e la privacy delle informazioni durante l'uso di un servizio cloud consistono in due elementi fondamentali:

L'infrastruttura di Google

Google gestisce la sicurezza della nostra infrastruttura. Questa è la sicurezza di hardware, software, reti e strutture che supportano i Servizi.

Data la natura one-to-many del nostro servizio, Google offre la stessa sicurezza solida a tutti i clienti.

Google fornisce ai clienti informazioni dettagliate sulle pratiche di sicurezza in modo che possano comprenderle e tenerle in considerazione nell'ambito della propria analisi dei rischi.

Ulteriori informazioni sono disponibili su:

I tuoi dati e le tue applicazioni nel cloud

Sei tu a definire la sicurezza dei tuoi dati e delle tue applicazioni nel cloud. Questo si riferisce alle misure di sicurezza che scegli di implementare e utilizzare quando usi i Servizi.

(a) Sicurezza per impostazione predefinita

Vogliamo offrirti la più ampia scelta possibile quando si tratta dei tuoi dati, ma la loro sicurezza è di primaria importanza per Google, che adotta le seguenti misure proattive per aiutarti:

  • Crittografia dei dati inattivi. Google cripta i dati archiviati non attivi dei clienti per impostazione predefinita, senza la necessità di ulteriori azioni. Ulteriori informazioni sono disponibili all'indirizzo: https://cloud.google.com/security/encryption/default-encryption.
  • Crittografia dei dati in transito. Google crittografa e autentica tutti i dati in transito su uno o più livelli di rete quando i dati si spostano all'esterno dei confini fisici non controllati da Google o per conto di Google. Ulteriori informazioni sono disponibili all'indirizzo: https://cloud.google.com/security/encryption-in-transit.

(b) Prodotti per la sicurezza

Oltre agli altri strumenti e alle pratiche a tua disposizione esterni a Google, puoi scegliere di utilizzare gli strumenti forniti da Google per migliorare e monitorare la sicurezza dei tuoi dati. Le informazioni sui prodotti di Google per la sicurezza sono disponibili nella nostra pagina Prodotti per la sicurezza Cloud.

(c) Risorse per la sicurezza.

Google pubblica inoltre linee guida su:

Utilizzo delle tue informazioni

Google si impegna ad accedere o utilizzare i tuoi dati solo per fornire i Servizi da te richiesti e non li utilizzerà per altri prodotti, servizi o pubblicità di Google.

Privacy e informazioni personali non pubbliche

Google rispetterà le leggi e i regolamenti vigenti sulla privacy per la fornitura dei Servizi.

Violazioni della sicurezza

Google ti comunicherà tempestivamente e senza ritardi ingiustificati eventuali incidenti relativi ai dati. Ulteriori informazioni sul processo di risposta agli incidenti relativi ai dati di Google sono disponibili nel nostro white paper sulla risposta agli incidenti relativi ai dati.

Sicurezza dei dati; misure di sicurezza (Termini per il trattamento e la sicurezza dei dati)

Protezione dei dati del cliente

Trattamento dei dati, ruoli e conformità normativa ( Termini per il trattamento e la sicurezza dei dati)

Incidenti relativi ai dati (Termini per il trattamento e la sicurezza dei dati)

29. Controlli. L'amministrazione deve considerare l'implementazione di disposizioni contrattuali riguardanti i seguenti controlli:
30
  • Controlli interni del fornitore di servizi;

Google si sottopone a diversi controlli indipendenti di terze parti almeno una volta all'anno per fornire una verifica indipendente dell'efficacia dei propri controlli interni. Per garantire la visibilità dell'efficacia dei nostri controlli interni per tutto il corso della nostra relazione, Google si impegna a mantenere certificazioni/rapporti per i seguenti standard internazionali fondamentali durante il periodo di validità del contratto:

Certificazioni e rapporti di controllo
31
  • Conformità con i requisiti normativi vigenti;
 Google rispetterà tutte le leggi e i regolamenti vigenti per la fornitura dei Servizi. Dichiarazioni e garanzie
32
  • Registrazione dei requisiti di manutenzione per il fornitore di servizi;
 Google concede l'accesso e i diritti di informazione alle istituzioni e ai loro delegati. Informazioni, audit e accesso del cliente
33
  • Accesso ai record da parte dell'istituzione:
 Consulta la riga 32.
34
  • Requisiti di notifica e diritti di approvazione per qualsiasi modifica sostanziale a servizi, sistemi, controlli, personale importante del progetto e località di servizio;

Servizi

Consulta la riga 25 relativa alle modifiche ai servizi.

Personale

I clienti possono gestire i servizi in modo indipendente senza l'intervento del personale di Google. Benché il personale di Google gestisca e mantenga l'hardware, il software, le reti e le strutture che supportano i Servizi, data la natura one-to-many degli stessi, non c'è personale Google preposto alla fornitura dei servizi a un singolo individuo.

Località

Per fornirti un servizio veloce, affidabile, solido e resiliente, Google potrebbe archiviare ed elaborare i tuoi dati ovunque Google o i suoi sub-responsabili abbiano una sede.

Google offre gli stessi impegni contrattuali e le stesse misure tecniche e organizzative per i tuoi dati, indipendentemente dal paese o dall'area geografica in cui si trovano. In particolare:

  • Le stesse misure di sicurezza solide si applicano a tutte le strutture di Google, indipendentemente dal paese o dall'area geografica.
  • Google assume lo stesso impegno relativamente a tutti i suoi sub-responsabili, indipendentemente dal paese o dall'area geografica.

Google offre diverse opzioni di località per l'archiviazione dei tuoi dati, inclusa la possibilità di archiviazione negli Stati Uniti. Una volta che avrai scelto dove archiviare i tuoi dati, Google non li archivierà al di fuori delle aree geografiche selezionate.

Puoi anche scegliere di utilizzare gli strumenti forniti da Google per far applicare i requisiti relativi alla località dei dati. Per ulteriori informazioni, consulta il nostro white paper Residenza dei dati, trasparenza operativa e privacy su Google Cloud.

Trasferimenti di dati (Termini per il trattamento e la sicurezza dei dati)

Sicurezza dei dati, sub-responsabili (Termini per il trattamento e la sicurezza dei dati)

Località dei dati (Termini di servizio specifici)

35
  • Impostare e monitorare parametri per funzioni finanziarie, incluse l'elaborazione dei pagamenti o le estensioni di credito per conto dell'istituzione, e
Data la natura dei servizi, Google non esegue l'elaborazione di pagamenti (come descritti nel manuale) o estensioni di credito per conto dell'istituzione. N/D
36
  • Copertura assicurativa gestita dal fornitore di servizi.
Google manterrà la copertura assicurativa relativa a una serie di rischi identificati. Assicurazioni
37 Controllo. L'istituzione deve includere nel contratto i tipi di rapporti di controllo che è autorizzata a ricevere (ad esempio, controlli finanziari, interni e analisi della sicurezza). Il contratto deve specificare la frequenza di controllo, gli eventuali costi per l'ottenimento dei controlli e i diritti dell'istituzione e dei suoi enti di regolamentazione di ottenere i risultati dei controlli in modo tempestivo. Il contratto potrebbe anche specificare i diritti a ottenere la documentazione della risoluzione di eventuali carenze e a esaminare le strutture di elaborazione e le pratiche operative del fornitore di servizi. L'amministrazione deve valutare, in base alla fase di valutazione del rischio, se può affidarsi a controlli interni o se sono necessari revisioni e controlli esterni.

Rapporti di controllo

Per ulteriori informazioni sui rapporti di controllo forniti da Google, consulta la riga 10. Google si impegna a mantenere questi rapporti per tutta la durata del contratto stipulato con l'utente. I rapporti vengono generati almeno una volta all'anno dopo il controllo di una terza parte indipendente.

Puoi esaminare le certificazioni e i rapporti di controllo attuali di Google in qualsiasi momento.

  • Le certificazioni ISO di Google sono disponibili qui.
  • I rapporti SOC e lacertificazione di conformità (AOC) PCI di Google sono disponibili tramite il rappresentante del tuo account Google Cloud.

Le istituzioni possono fornire questi materiali ai propri enti di regolamentazione.

Ispezione

Google riconosce che le istituzioni devono essere in grado di controllare i nostri servizi in modo efficace. Google concede diritti di controllo alle istituzioni e ai loro revisori indipendenti, inclusa l'ispezione delle strutture di elaborazione e delle pratiche operative di Google. L'istituzione è l'ente più adatto a stabilire la frequenza di controllo più consona alla loro organizzazione. Il nostro contratto non prevede un numero fisso di controlli per le istituzioni.

Certificazioni e rapporti di controllo:

Abilitazione della conformità del cliente

38 Per i servizi che prevedono l'accesso a reti aperte, come quelli relativi a internet, l'amministrazione dovrebbe prestare particolare attenzione alla sicurezza. L'istituzione dovrebbe considerare l'inclusione di termini contrattuali che richiedano verifiche di controllo periodiche eseguite da una parte indipendente con sufficiente esperienza. Queste verifiche possono includere test di penetrazione, rilevamento delle intrusioni, revisioni della configurazione del firewall e altre verifiche di controllo indipendenti. L'istituzione dovrebbe ricevere rapporti sufficientemente dettagliati sui risultati di questi controlli continui per valutare la sicurezza in modo adeguato senza compromettere la sicurezza del fornitore di servizi. Puoi eseguire test di penetrazione dei Servizi in qualsiasi momento senza la previa approvazione di Google. Inoltre, Google impiega una terza parte qualificata e indipendente per condurre test di penetrazione dei Servizi. Ulteriori informazioni sono disponibili qui. Test di penetrazione da parte del cliente
39 Rapporti. I termini contrattuali devono includere la frequenza e il tipo di rapporti che l'istituzione riceverà (ad esempio, rapporti sul rendimento, audit di controllo, rendiconti finanziari, sicurezza e rapporti di test di ripresa dell'attività). I contratti dovrebbero anche illustrare le linee guida e le tariffe per l'ottenimento di rapporti personalizzati.

Rapporti sul rendimento

Puoi monitorare regolarmente le prestazioni dei Servizi di Google (inclusi gli SLA) utilizzando la funzionalità dei Servizi.

Ad esempio:

  • La dashboard dello stato fornisce informazioni sullo stato dei Servizi.
  • Le operazioni di Google Cloud sono una soluzione ospitata di monitoraggio, logging e diagnostica che permette di ottenere insight sulle tue applicazioni eseguite su GCP.
  • Access Transparency è una funzionalità che consente di esaminare i log delle azioni relative ai tuoi dati intraprese dal personale Google. Le voci di log includono: la risorsa interessata, l'ora dell'azione, il motivo dell'azione (ad esempio il numero del caso associato alla richiesta di assistenza); e informazioni relative a chi sta lavorando sui dati (ad esempio la posizione del personale Google)

Rapporti finanziari

Google offre strumenti di fatturazione che i clienti possono utilizzare per ottenere rapporti sul loro utilizzo dei Servizi e sui costi associati. Ulteriori informazioni sono disponibili nella pagina della documentazione di Fatturazione Cloud e nella pagina Esportare i dati di fatturazione Cloud in BigQuery.

Rapporti di controllo e sicurezza

Consulta la riga 10.

Rapporti di verifica della ripresa dell'attività

Consulta la riga 40.

Sviluppi significativi

Google metterà a disposizione informazioni sugli sviluppi che incidono in modo significativo sulla capacità di Google di fornire i Servizi in conformità agli SLA disponibili. Ulteriori informazioni sono disponibili nella sezione Incidenti e nella dashboard di Google Cloud.

Monitoraggio costante delle prestazioni

Sviluppi significativi

40 Ripresa dell'attività e piani di contingenza. Il contratto dovrebbe prevedere la responsabilità del fornitore di servizi in materia di protezione di backup e record, inclusi apparecchiature, file di programma e di dati, nonché la gestione del ripristino di emergenza e piani di emergenza. I contratti devono indicare la responsabilità del fornitore di servizi di testare regolarmente i piani e fornire i risultati all'istituzione. L'istituzione deve considerare le interdipendenze tra i fornitori di servizi per determinare i requisiti dei test di ripresa dell'attività. Il fornitore di servizi dovrebbe fornire all'istituzione una copia del piano di emergenza che delinea le procedure operative richieste in caso di interruzioni dell'attività. I contratti devono includere disposizioni specifiche relative a periodi di tempo per il recupero dell'attività che soddisfino i requisiti aziendali dell'istituzione. L'istituzione deve garantire che il contratto non contenga alcuna clausola che giustifichi il fornitore di servizi per la mancata implementazione dei suoi piani di emergenza.

Google implementerà un piano di ripristino di emergenza e di contingenza dell'azienda per i propri servizi, li esaminerà e testerà almeno una volta all'anno e garantirà che rimangano aggiornati rispetto agli standard di settore. Le istituzioni possono esaminare il nostro piano e i risultati dei test.

Informazioni su come i clienti possono utilizzare i nostri Servizi nei propri piani di ripristino di emergenza e di contingenza dell'azienda sono inoltre disponibili nella nostra Guida alla pianificazione del ripristino di emergenza.

Continuità aziendale e ripristino di emergenza
41 Cessione mediante subcontratto e relazioni con Fornitori di servizi multipli. Alcuni fornitori di servizi potrebbero stipulare un contratto con terze parti per la fornitura dei servizi all'istituzione finanziaria. Le istituzioni devono essere a conoscenza di e approvare tutti i subappaltatori. Per garantire la responsabilizzazione, l'istituzione finanziaria deve indicare il fornitore di servizi principale nel contratto. Il contratto dovrebbe anche specificare che il fornitore di servizi principale è responsabile dei servizi descritti nel contratto, indipendentemente dall'entità che esegue effettivamente le operazioni. L'istituzione dovrebbe tenere in considerazione anche l'inclusione di requisiti di notifica e approvazione relativi a cambi ai subappaltatori principali del fornitore di servizi.

Google riconosce che le istituzioni devono tenere in considerazione i rischi associati al cessione in subcontratto. Vogliamo offrire a te e a tutti i nostri clienti il servizio più affidabile, solido e resiliente possibile. In alcuni casi, lavorare con altre organizzazioni affidabili potrebbe comportare evidenti vantaggi, ad esempio l'assistenza 24 ore su 24, 7 giorni su 7.

Responsabilità

Google richiede ai propri subappaltatori di soddisfare i nostri stessi standard elevati. In particolare, Google richiede ai subappaltatori di rispettare il contratto stipulato con te. Google rimarrà responsabile dell'adempimento di tutti gli obblighi ceduti in subcontratto.

Informazioni e modifiche

Per consentire alle istituzioni di mantenere la supervisione di tutti i subappaltatori e offrire opzioni relative all'utilizzo dei servizi, Google si impegna a:

  • fornire informazioni sui propri subappaltatori (inclusa la loro funzione e la loro posizione);
  • informare in anticipo riguardo a cambiamenti relativi ai subappaltatori; e
  • dare agli istituti la possibilità di recedere dal contratto in caso di dubbi su un nuovo subcontraente.
Subappaltatori Google
42 Costo. Il contratto dovrebbe descrivere in modo completo il calcolo delle tariffe per i servizi di base, tra cui servizi di sviluppo, conversione e ricorrenti, nonché tutti gli addebiti basati sul volume di attività o per le richieste speciali. I contratti devono anche prevedere la responsabilità e i costi aggiuntivi per l'acquisto e la gestione di hardware e software. Le eventuali condizioni in base alle quali potrebbe essere modificata la struttura dei costi devono essere delineate nel dettaglio, inclusi i limiti a eventuali aumenti dei costi. Vedi anche le sezioni Metodi di determinazione del prezzo e Bundle in questo manuale.

Consulta il tuo contratto dei servizi finanziari di Google Cloud.

Controllo

Google si impegna a supportare le istituzioni con controlli o esami dei nostri servizi. Dal momento che questo tipo di assistenza non è incluso nelle nostre normali tariffe di servizio elencate apertamente, Google potrebbe addebitare una commissione aggiuntiva in relazione a un controllo o un esame. Google fornirà ulteriori dettagli su eventuali commissioni prima dell'attività, non appena l'ambito della stessa venga reso noto.

Termini di pagamento
43 Proprietà e licenza. Il contratto deve delineare la proprietà, i diritti e l'utilizzo consentito dei dati, dell'attrezzatura/hardware, della documentazione del sistema, del software del sistema e delle applicazioni dell'istituzione, e altri diritti di proprietà intellettuale. La proprietà dei dati dell'istituzione deve rimanere chiaramente dell'istituzione stessa. Altri diritti di proprietà intellettuale possono includere il nome e il logo dell'istituzione, il marchio o il materiale protetto da copyright, i nomi di dominio, la progettazione di siti web e altri prodotti di lavoro sviluppati dal fornitore di servizi per l'istituzione. Per ulteriori informazioni sullo sviluppo di software personalizzato per supportare i servizi in outsourcing, consulta il "Manuale di sviluppo e acquisizione" della Guida IT.

Dati

Manterrai tutti i diritti di proprietà intellettuale dei tuoi dati, i dati che derivano dai tuoi utilizzando i nostri servizi, e le tue applicazioni. Consulta la riga 28 per informazioni sull'impegno di Google in merito all'utilizzo e alla protezione dei tuoi dati.

Marchi, loghi, ecc

Google non utilizzerà gli elementi distintivi del tuo brand senza la tua previa approvazione.

Proprietà intellettuale

Marketing e pubblicità

44 Durata. Le istituzioni devono considerare il tipo di tecnologia e lo stato attuale del settore quando negoziano la durata appropriata del contratto e i relativi periodi di rinnovo. Nonostante i vantaggi offerti dai contratti tecnologici a lungo termine, alcune tecnologie potrebbero essere soggette a modifiche rapide e un contratto a breve termine potrebbe rivelarsi vantaggioso. Allo stesso modo, le istituzioni devono tenere in considerazione il periodo di tempo necessario per informare il fornitore di servizi della propria volontà di non rinnovare il contratto prima della scadenza. Le istituzioni dovrebbero considerare la possibilità di coordinare le date di scadenza dei contratti per servizi correlati (ad esempio, sito web, telecomunicazioni, programmazione, assistenza di rete) in modo che corrispondano, ove possibile. Tale coordinamento può ridurre al minimo il rischio di recesso anticipato di un contratto e l'applicazione di sanzioni in seguito alla risoluzione necessaria di un altro contratto di servizio correlato. Consulta il tuo contratto dei servizi finanziari di Google Cloud. Durata e risoluzione
45 Risoluzione delle controversie. L'istituto dovrebbe prendere in considerazione l'inclusione di una disposizione relativa a una procedura di risoluzione delle controversie che tenti di risolvere i problemi in modo soddisfacente e di una disposizione di prosecuzione dei servizi durante il periodo di risoluzione delle controversie. Consulta il tuo contratto dei servizi finanziari di Google Cloud. Legislazione vigente
46 Indennizzo. Le disposizioni in materia di indennizzo devono richiedere al fornitore di servizi di non ritenere l'istituzione finanziaria responsabile della negligenza del fornitore di servizi. Il consulente legale deve esaminare queste disposizioni al fine di assicurarsi che l'istituzione non venga ritenuta responsabile di rivendicazioni derivanti dalla negligenza del fornitore di servizi. Consulta il tuo contratto dei servizi finanziari di Google Cloud. Indennizzo
47 Limitazione di responsabilità. Alcuni contratti standard del fornitore di servizi potrebbero contenere clausole che limitano la responsabilità che può essere sostenuta dal fornitore di servizi. Se l'istituzione sta prendendo in considerazione un tale contratto, l'amministrazione dovrebbe valutare se la limitazione dei danni ha un rapporto adeguato alla quantità di perdite che l'istituzione finanziaria potrebbe ragionevolmente riscontrare a causa del mancato adempimento da parte del fornitore delle sue obbligazioni. Consulta il tuo contratto dei servizi finanziari di Google Cloud. Responsabilità
48 Risoluzione. L'amministrazione deve valutare la tempestività e le spese delle disposizioni di risoluzione del contratto. L'entità e la flessibilità dei diritti di risoluzione possono variare a seconda del servizio. Le istituzioni dovrebbero prendere in considerazione l'inclusione dei diritti di risoluzione per una serie di condizioni, tra cui cambi a livello di controllo (ad esempio acquisizioni e fusioni), convenienza, aumento sostanziale dei costi, reiterata inadempienza dei livelli di servizio, mancata fornitura di servizi critici, fallimento, chiusura dell'azienda e insolvenza. Il contratto dovrebbe stabilire i requisiti per le notifiche e gli intervalli di tempo e fornire una restituzione tempestiva dei dati e delle risorse dell'istituto in un formato leggibile dalle macchine al momento della risoluzione. Eventuali costi associati all'assistenza con la conversione devono essere dichiarati chiaramente.

Risoluzione

Le istituzioni possono decidere di rescindere il contratto con noi per comodità con preavviso, incluso il caso in cui Google aumenti le tariffe o qualora sia necessario per rispettare la legge.

Inoltre, le istituzioni possono rescindere il contratto con noi con preavviso in caso di violazione significativa di Google dopo un periodo di cura, per un cambio del controllo o per insolvenza di Google.

Transfer

Google riconosce che le istituzioni hanno bisogno di un tempo sufficiente per uscire dai nostri servizi, (incluso il trasferimento dei servizi a un altro fornitore). Per aiutare le istituzioni a raggiungere questo obiettivo, su richiesta, Google continuerà a fornire i servizi per 12 mesi oltre il termine della scadenza o della risoluzione del contratto.

Google ti consente di accedere ai tuoi dati e di esportarli per tutta la durata del contratto e durante il periodo di transizione successivo alla risoluzione. Potrai esportare i dati dai Servizi in una serie di formati standard del settore. Ad esempio:

  • Google Kubernetes Engine è un ambiente gestito, pronto per la produzione che garantisce portabilità tra diversi cloud e ambienti on-premise.
  • Migrate to Containers ti consente di spostare e convertire i carichi di lavoro direttamente nei container di Google Kubernetes Engine.
  • Puoi esportare/importare un'intera immagine VM sotto forma di archivio .tar. Per ulteriori informazioni su immagini e opzioni di archiviazione, consulta la nostra paginaDocumentazione di Compute Engine.

Durata e risoluzione

Durata della transizione

Esportazione dei dati (Termini per il trattamento e la sicurezza dei dati)

49 Trasferimento. L'istituzione dovrebbe considerare disposizioni contrattuali che vietino il trasferimento del contratto a terze parti senza il consenso dell'istituzione. Le disposizioni in materia di trasferimento dovrebbero riflettere inoltre i requisiti di notifica per qualsiasi modifica relativa ai subappaltatori rilevanti.

Compito

Consulta il tuo contratto dei servizi finanziari di Google Cloud.

Cessione mediante subcontratto

Consulta la riga 41 relativa al subcontratto.

Compito
50 Fornitori di servizi con sede all'estero. Le istituzioni che stipulano contratti con fornitori di servizi con sede all'estero devono tenere in considerazione una serie di problemi e disposizioni contrattuali supplementari. Consulta l'Appendice C inclusa in questo manuale.

Google LLC è il fornitore di servizi per istituzioni con sede negli Stati Uniti. Google LLC è organizzata ai sensi delle leggi dello Stato del Delaware, Stati Uniti.

Consulta il tuo contratto dei servizi finanziari di Google Cloud per avere ulteriori informazioni in merito alla legislazione vigente e alla giurisdizione applicabile al nostro contratto.

Legislazione vigente
51 Conformità normativa. Le istituzioni finanziarie dovrebbero assicurarsi che i contratti con i fornitori di servizi includano un accordo secondo cui il fornitore e i suoi servizi siano conformi alle normative e ai requisiti normativi applicabili. La disposizione dovrebbe anche indicare che il fornitore di servizi accetta di fornire informazioni precise e accesso tempestivo agli enti di regolamentazione appropriati in base al tipo e al livello di servizio che fornisce all'istituzione finanziaria.

Conformità

Google rispetterà tutte le leggi, i regolamenti e le normative vincolanti vigenti per la fornitura dei Servizi.

Accesso da parte degli enti di regolamentazione

Google concede l'accesso e i diritti di informazione agli enti di regolamentazione delle istituzioni e ai loro delegati.

Dichiarazioni e garanzie

Informazioni, controllo e accesso degli enti di controllo