Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes comportent, outre ceux visés au point 12 ci-dessus, au moins les éléments suivants :
- objectifs de performance du prestataire ;
- délais de préavis ;
- mise en œuvre et tests de plans d’urgence ;
- participation du prestataire à la réalisation de tests de penétration du client ;
- droit illimité du client à demander des documents et auditer ;
- précisions sur la portée et la fréquence des audits et inspections ;
- établissement d’une stratégie de sortie.
Le prestataire tiers de services TIC et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.
Des normes techniques de réglementation
Des normes techniques de réglementation précisent les éléments qu'une entité financière doit déterminer et évaluer lorsqu'elle sous-traite des services TIC soutenant des fonctions critiques ou importantes.