Considerant 72

(72)

Outre ces dispositions contractuelles, et afin que les entités financières conservent la pleine maîtrise de toutes les évolutions survenant au niveau des tiers et susceptibles de nuire à leur sécurité des TIC, il convient que les contrats de fourniture de services TIC qui soutiennent des fonctions critiques ou importantes prévoient également les éléments suivants: des descriptions complètes des niveaux de service, ainsi que des objectifs de performance quantitatifs et qualitatifs précis, pour prendre sans retard injustifié des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints; les délais de préavis pertinents et les obligations de notification incombant au prestataire tiers de services TIC en cas d’évolutions susceptibles d’avoir une incidence significative sur la capacité de ce dernier à fournir efficacement leurs services TIC respectifs; l’obligation pour le prestataire tiers de services TIC de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui permettent une prestation de services sûre, et de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière.