27. Article

Ārpakalpojumu vadība 27.1. Tirgus dalībnieks var izmantot trešās personas ārpakalpojuma sniedzēja pakalpojumus. Tirgus dalībnieks veic visu izmantoto ārpakalpojumu uzskaiti. 27.2. Ārpakalpojuma saņemšana neatbrīvo tirgus dalībnieku no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. IS drošības līmenis, ja IS attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par tirgus dalībnieka noteikto. 27.3. Pirms lēmuma pieņemšanas par ārpakalpojumu iegādi tirgus dalībnieks izvērtē piegādātājus un, ņemot vērā prasības pakalpojuma kvalitātei un drošībai, tostarp pieejamībai, izvērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju. 27.4. Tirgus dalībnieks līgumā ar ārpakalpojumu sniedzēju ietver prasības ārpakalpojuma kontrolei, piemēram, skaidru pakalpojuma aprakstu, drošības prasības, konfidencialitātes saistības, tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojumu sniedzējam nekavējoties ziņot par incidentiem, tiesības pārtraukt līgumu. 27.5. Izmantojot ārpakalpojumus, t.sk. mākoņskaitļošanu, tirgus dalībniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par tirgus dalībnieka klientiem. Tirgus dalībnieka klasificētas IS drošā veidā ir fiziski vai loģiski jānošķir no ārpakalpojuma sniedzēja citu klientu IS. Sagatavo un regulāri aktualizē pakalpojuma pārtraukšanas plānu, paredzot datu, programmatūras un tehnisko resursu atpakaļnodošanu un klientu informācijas dzēšanu pie pakalpojuma sniedzēja. 27.6. Tirgus dalībnieks veic ārpakalpojumu kvalitātes uzraudzību un drošības kontroli, t.sk. saņem pārskatus par pakalpojuma kvalitāti un incidentiem. 27.7. Tirgus dalībniekam, sniedzot ārpakalpojumu trešajai pusei, izmantojot savas IS, tostarp autentifikācijas ārpakalpojumu, ir pienākums kontrolēt risinājuma ieviešanu trešās puses uzņēmumā. Tirgus dalībnieks informē sadarbības partnerus par riskiem, kas saistīti ar šādu pakalpojumu izmantošanu. Drošības prasību neizpildes gadījumā ir pienākums pārtraukt sadarbību. 28