Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1773_EN.9. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 8 – Clauses contractuelles ⬅️ | ➡️ Article 10 – Sortie et résiliation d’accords contractuels
Article 9 - Suivi des accords contractuels
1.
La politique exige que les accords contractuels précisent les mesures et les indicateurs clés qui doivent permettre de suivre en permanence les performances des prestataires tiers de services TIC, notamment les mesures de contrôle du respect des exigences relatives à la confidentialité, la disponibilité, l’intégrité et l’authenticité des données et des informations, ainsi que le respect, par ces prestataires, des politiques et procédures de l’entité financière en la matière. La politique précise aussi les mesures qui s’appliquent en cas de manquement à des accords sur le niveau de service, y compris, le cas échéant, les pénalités contractuelles applicables.
2.
La politique précise comment l’entité financière doit évaluer si les prestataires tiers de services TIC auxquels il est fait appel pour des services TIC soutenant des fonctions critiques ou importantes respectent des normes de performance et de qualité appropriées correspondant à l’accord contractuel et à ses propres politiques. La politique garantit en particulier:
a)
que les prestataires tiers de services TIC fourniront à l’entité financière des rapports appropriés sur leurs activités et services, notamment des rapports périodiques, des rapports d’incidents, des rapports sur les services fournis, des rapports sur la sécurité des TIC et des rapports sur les mesures et tests de continuité des activités;
b)
que les performances des prestataires tiers de services TIC seront évaluées à l’aide d’indicateurs de performance clés, d’indicateurs de contrôle clés, d’audits, d’auto-certifications et d’examens indépendants conformes au cadre de gestion des risques liés aux TIC de l’entité financière;
c)
que les prestataires tiers de services TIC communiqueront à l’entité financière toute autre information pertinente;
d)
que les incidents liés aux TIC et les incidents opérationnels ou liés à la sécurité des paiements seront notifiés à l’entité financière lorsque cela est approprié;
e)
qu’un examen indépendant et des audits indépendants seront effectués pour vérifier le respect des exigences et politiques légales et réglementaires.
3.
La politique précise que l’évaluation visée au paragraphe 2 doit être documentée et ses résultats utilisés pour actualiser l’évaluation des risques de l’entité financière prévue par l’article 6.
4.
La politique définit les mesures appropriées que l’entité financière doit prendre si elle constate, chez des prestataires tiers de services TIC, des lacunes, notamment des incidents liés aux TIC et des incidents opérationnels ou liés à la sécurité des paiements, dans la prestation de services TIC soutenant des fonctions critiques ou importantes ou dans le respect d’accords contractuels ou d’exigences légales. Elle précise aussi comment il convient de suivre la mise en œuvre de ces mesures afin qu’elles soient effectivement respectées dans un délai déterminé, tenant compte de l’importance des lacunes constatées.