Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как корпорация Майкрософт управляет рисками, связанными с поставщиками?
Корпорация Майкрософт сотрудничает со сторонними компаниями, чтобы помочь в удовлетворении потребностей наших клиентов. Мы называем эти сторонние компании поставщиками. Наша программа обеспечения безопасности и конфиденциальности поставщиков (SSPA) управляет безопасностью и конфиденциальностью поставщиков в корпорации Майкрософт. Этот корпоративный набор требований применяется ко всем поставщикам, которые сотрудничают с корпорацией Майкрософт для доставки наших веб-службы. Хотя программа SSPA обеспечивает комплексное управление и управление нашей базой поставщиков, отдельные подразделения могут поддерживать дополнительные требования к своим поставщикам.
Как программа майкрософт по обеспечению безопасности и конфиденциальности (SSPA) защищает данные клиентов?
SSPA — это партнерство между корпорацией Майкрософт закупок, корпоративными внешними и юридическими вопросами и корпоративной безопасностью. Это партнерство гарантирует, что поставщики соблюдают принципы конфиденциальности и безопасности корпорации Майкрософт. Область SSPA распространяется на всех поставщиков, обрабатывающих Персональные данные или Конфиденциальные данные Майкрософт. Регистрация программы SSPA включает соблюдение требований Майкрософт к защите данных (DPR). КНДР состоит из средств контроля безопасности и конфиденциальности, которые поставщики должны реализовать, прежде чем начать контрактную работу с корпорацией Майкрософт. Все зарегистрированные поставщики ежегодно самостоятельно заверяют соответствие требованиям ДП.
Требования DPR определяются шестью отдельными категориями обработки данных, для которых поставщик может быть утвержден в рамках регистрации в SSPA. Эти категории определяют риск, связанный со службами, предоставляемыми поставщиком корпорации Майкрософт. Профиль обработки данных поставщика определяет, какие элементы управления DPR считаются область для обеспечения надлежащей защиты данных. Поставщики, обрабатывающие данные, которые считаются более высокими рисками, должны соответствовать всем требованиям КНДР, а также должны обеспечить независимую проверку соответствия. Средства приобретения Майкрософт проверяют состояние SSPA всех поставщиков, включая соответствие применимым частям ДПВ, прежде чем разрешать закупки этого поставщика.
Какие типы субобработчиков предоставляют службы для корпорации Майкрософт?
"Субобработчик" — это третья сторона, которой занимается корпорация Майкрософт, в обязанности которой входит обработка Персональных данных Майкрософт, для которых корпорация Майкрософт является обработчиком. Субобработчики Майкрософт делятся на три категории. Каждый из них должен продемонстрировать соответствие SSPA, прежде чем обрабатывать данные клиентов от имени Корпорации Майкрософт.
- Технологические субпроцессоры, которые используют технологии, которые легко интегрированы с Microsoft веб-службы и частично поддерживают облачные функции Майкрософт. Если клиент развертывает одну из этих служб, субобработчики, определенные для этой службы, могут обрабатывать, хранить или иным образом получать доступ к данным клиента или персональным данным, помогая предоставлять эти услуги.
- Вспомогательные субобработчики, предоставляющие услуги для поддержки, эксплуатации и обслуживания веб-службы. В таких случаях идентифицированные субобработчики могут обрабатывать, хранить или иным образом получать доступ к данным клиента и персональным данным (состоящим из псевдонимизованных персональных идентификаторов) при предоставлении своих вспомогательных услуг.
- Организации контрактного персонала предоставляют контрактных сотрудников, которые работают параллельно с сотрудниками Майкрософт на полный рабочий день для работы, доставки и обслуживания веб-служб Майкрософт. Во всех таких случаях данные клиента или персональные данные хранятся только в системах Майкрософт и подчиняются политикам и надзору Корпорации Майкрософт.
Кроме того, сущности инфраструктуры центра обработки данных Майкрософт предоставляют инфраструктуру центра обработки данных, в которой выполняются microsoft Online Services. Данные в центрах обработки данных шифруются, и ни один персонал в центрах обработки данных не может получить к ним доступ.
Для реализации контроля доступа в соответствии с требованиями Корпорации Майкрософт к защите данных (DPR) требуются сторонние технологии и вспомогательные сторонние организации. Эти требования соответствуют или превышают договорные обязательства, которые корпорация Майкрософт предоставляет своим клиентам в Условиях продукта. Поставщики, выполняющие работу сотрудников по контрактам, применяют те же средства контроля доступа, что и для полных рабочих мест сотрудников Майкрософт.
Как корпорация Майкрософт поддерживает поставщиков?
Сторонние поставщики должны подписать главное соглашение Майкрософт в рамках процесса адаптации. Это соглашение регулирует отношения между корпорацией Майкрософт и ее поставщиками и обеспечивает согласованное управление отношениями с поставщиками. В рамках адаптации поставщики регистрируются в SSPA и должны выполнить все применимые требования, прежде чем они смогут быть утверждены для любой категории обработки данных. Подразделения Майкрософт могут создавать взаимодействия с поставщиками только в том случае, если действия по обработке данных для этого взаимодействия соответствуют категориям обработки данных, для которых поставщик был утвержден.
Как корпорация Майкрософт уведомляет клиентов об изменениях поставщикам, обрабатывающим их данные?
В дополнение к защите данных продуктов и служб Майкрософт (DPA) корпорация Майкрософт принимает на себя дополнительные обязательства в отношении периодов уведомления о добавлении любого субобработчика. Обратите внимание, что интервалы времени зависят от типа данных, которые обрабатывает субобработчик от имени корпорации Майкрософт. Как указано в DPA, корпорация Майкрософт обязуется уведомлять клиентов не менее чем за шесть месяцев до любого нового субобработчика, обрабатывающего данные клиента. Для любых других персональных данных корпорация Майкрософт предоставляет уведомление не менее чем за 30 дней. Корпорация Майкрософт предоставляет уведомление путем обновления списка подпроцессоров Microsoft Online Services.
Связанные внешние правила и сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением поставщиками, см. в следующих таблицах.
Azure и Dynamics 365
| Внешний аудит | Раздел | Дата последнего отчета |
|---|---|---|
|
ISO 27001 Заявление о применимости Сертификат |
A.15.1. Информационная безопасность в отношениях с поставщиками | 25 ноября 2025 г. |
|
ISO 27017 Заявление о применимости Сертификат |
A.15.1. Информационная безопасность в отношениях с поставщиками | 25 ноября 2025 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.8.1. Раскрытие информации о субподрядной обработке персональных данных | 25 ноября 2025 г. |
|
SOC 2; SOC 3 |
SOC2-25: управление рисками поставщиков C5-2. Обзор профиля риска поставщика |
7 ноября 2025 г. |
Microsoft 365
| Внешний аудит | Раздел | Дата последнего отчета |
|---|---|---|
| FedRAMP | CA-3: системные соединения IA-4: управление идентификаторами PS-6: соглашения о доступе PS-7: безопасность сторонних сотрудников SA-4: процесс приобретения SA-9: службы внешней информационной системы SA-12: защита цепочки поставок |
21 августа 2024 г. |
|
ISO 27001/27017 Заявление о применимости Сертификация (27001) Сертификация (27017) |
A.15.1. Информационная безопасность в отношениях с поставщиками | Март 2025 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.8.1. Раскрытие информации о субподрядной обработке персональных данных | Март 2025 г. |
| SOC 2; | CA-53: сторонний мониторинг | 26 февраля 2025 г. |