Par rapport aux prestataires tiers de services TIC, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie prennent en compte les risques susceptibles d’apparaître au niveau des prestataires tiers de services TIC.
Particulièrement, les stratégies de sorties doivent prévoir :
- une éventuelle défaillance de la part du prestataire tiers ;
- une détérioration de la qualité des services TIC fournis ;
- toute perturbation de l’activité due à une fourniture inappropriée ou défaillante de services TIC ;
- tout risque significatif découlant du déploiement approprié et continu du service TIC concerné ;
- la résiliation d’accords contractuels conclus avec un prestataire tiers de services TIC dans l’une des circonstances énumérées ci-dessous.
Les accords contractuels relatifs à l’utilisation de services TIC doivent pouvoir être résiliés dans l’une des circonstances suivantes:
- le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables ;
- le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC ;
- le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la Les données doivent être disponibles, accessibles et restaurables. , L’authenticité des données est le principe qui garantit que les données proviennent de sources vérifiées et légitimes, confirmant ainsi leur origine et leur validité. , Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. et la La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel ;
- la FSMA ne peut plus surveiller efficacement l’entité financière en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées (prestataire faisant obstacle au contrôle ou établi dans un pays tiers non coopératif par exemple).