Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Если между сведениями, приведенными в этой статье, и страницей SSPA, приоритет имеет страница SSPA. Самые актуальные сведения см. здесь.
Корпорация Майкрософт считает, что конфиденциальность является основным правом. В миссии, призванной предоставить каждому человеку и организации на планете больше возможностей, корпорация Майкрософт стремится заработать и сохранить доверие своих клиентов.
Надежная политика конфиденциальности и безопасности имеет решающее значение для этой миссии, важной для доверия, и в нескольких юрисдикциях, требуемых законом. Стандарты, зафиксированные в политиках конфиденциальности и безопасности корпорации Майкрософт, отражают наши ценности как компании и распространяются на поставщиков, обрабатывающих персональные и конфиденциальные данные от нашего имени.
Программа обеспечения безопасности и конфиденциальности поставщиков (SSPA) предоставляет базовые инструкции Майкрософт по обработке данных поставщикам в виде требований к защите данных поставщиков Майкрософт (DPR).
Примечание.
Поставщикам может потребоваться выполнить дополнительные требования на уровне организации, которые корпорация Майкрософт отвечает за взаимодействие с поставщиком, которые принимают решение и общаться за пределами SSPA.
Общие сведения о программе SSPA
SSPA — это партнерство корпорации Майкрософт по закупкам, корпоративным внешним и юридическим вопросам и корпоративной безопасности, обеспечивающее соблюдение принципов конфиденциальности и безопасности поставщиками. Область SSPA распространяется на всех поставщиков по всему миру, обрабатывающих Персональные данные и (или) Конфиденциальные данные Майкрософт.
SSPA позволяет поставщику делать выбор профиля обработки данных, которые соответствуют поставщикам товаров и (или) услуг. Эти выборки активируют соответствующие требования для обеспечения гарантий соответствия требованиям.
Все зарегистрированные поставщики должны пройти ежегодную самостоятельную аттестацию соответствия требованиям НДР. Профиль обработки данных поставщика определяет, выдан ли полный КНДР или применяется ли подмножество требований. Поставщикам, обрабатывающим данные, которые корпорация Майкрософт считает более высоким уровнем риска, также могут потребоваться выполнить дополнительные требования, например обеспечить независимую проверку соответствия требованиям. Поставщики, которые находятся в опубликованном списке субобработчиков Майкрософт, также должны обеспечить независимую проверку соответствия требованиям.
SSPA область
Все поставщики по всему миру, обрабатывающие персональные или конфиденциальные данные Майкрософт в соответствии с контрактом с корпорацией Майкрософт, должны соблюдать программу SSPA. Раздел "Определения", где можно найти определения и примеры для каждой из этих категорий данных.
Профиль обработки данных
Поставщики Майкрософт контролируют свой профиль обработки данных SSPA. Они решают, какие задания они хотят иметь право выполнять.
Бизнес-группы Майкрософт могут создавать взаимодействия с поставщиками только в том случае, если действие обработки данных соответствует утверждениям, полученным поставщиком.
Поставщики могут обновить свой профиль обработки данных в любое время в течение года, если нет открытых задач. При изменении выполняется соответствующее действие, которое должно быть завершено до защиты утверждений. Существующие завершенные утверждения применяются до тех пор, пока не будут выполнены новые требования.
Если недавно выполненные задачи не завершены в течение разрешенного 90-дневного периода времени, состояние SSPA обновится на Red (не соответствует), и учетная запись деактивируется в системах с оплатой счетов Майкрософт.
Требования к гарантии
Утверждения, выбранные в профиле обработки данных поставщика, помогают SSPA оценить уровень риска по обязательствам поставщика. Требования к соответствию SSPA различаются в зависимости от профиля обработки данных и соответствующих утверждений.
Некоторые сочетания утверждений повышают или снижают требования к соответствию. Сочетания записываются в разделе Требования на основе утверждений профиля.
Если профиль поставщика включает программное обеспечение как услугу (SaaS), субподрядчики, размещение веб-сайтов или платежные карты, требуются дополнительные гарантии.
Самоастация в НДР
Все поставщики, зарегистрированные в SSPA, должны пройти самостоятельную аттестацию соответствия требованиям НДР в течение 90 дней с момента получения запроса. Этот запрос должен предоставляться ежегодно, но может быть более частым, если профиль обработки данных обновляется в середине года. При превышении 90-дневного периода учетные записи поставщика изменяются на состояние SSPA Red (не соответствует требованиям). Новые область заказы на покупку не могут обрабатываться до тех пор, пока состояние SSPA не станет зеленым (соответствует требованиям).
Недавно зарегистрированные поставщики должны выполнить выданные требования, чтобы обеспечить состояние SSPA green (соответствует), прежде чем начнется взаимодействие.
Применимость
Поставщики, как ожидается, будут отвечать на все применимые требования DPR, выданные в соответствии с профилем обработки данных. Некоторые выданные требования могут не применяться к товарам или услугам, предоставляемым поставщиком корпорации Майкрософт. Поставщики могут пометить эти требования как "не применяется" с подробным комментарием для проверяющих SSPA для проверки.
Команда SSPA рассматривает заявки НДР на любые выборы "не применяется", "локальный правовой конфликт" или "договорный конфликт" в отношении выданных требований.
Требование независимой оценки
Если поставщик имеет роль субобработчика обработки данных, он должен ежегодно проводить независимую оценку.
В разделе Требования, основанные на утверждении профиля , содержатся приемлемые альтернативы сертификации, если вы решили не использовать независимого оценщика для проверки соответствия ТРЕБОВАНИЯМ (если применимо, например для поставщиков SaaS, поставщиков размещения веб-сайтов или поставщиков с субподрядчиками). ISO 27701 (конфиденциальность) и ISO 27001 (безопасность) обеспечивают близкое сопоставление с КНДР.
Если поставщик является поставщиком медицинских услуг в США или охваченной организацией, корпорация Майкрософт принимает отчет HITRUST для покрытия конфиденциальности и безопасности.
SSPA может выполнить независимую оценку вручную, если обстоятельства, выходящие за рамки стандартных триггеров, требуют дополнительной должной осмотрительности. Примеры включают запрос от отдела конфиденциальности или безопасности, проверку исправления инцидента с данными или требование для автоматического выполнения прав субъекта данных.
Требования к сертификации PCI DSS
Если поставщик обрабатывает платежные карта сведения от имени Корпорации Майкрософт, он должен предоставить подтверждение соблюдения Standard безопасности данных индустрии платежных карт (PCI DSS).
В зависимости от объема обработанных транзакций поставщику требуется квалифицированный специалист по оценке безопасности для сертификации соответствия требованиям, или он может заполнить анкету для самостоятельной оценки.
Платежные карта бренды устанавливают пороговые значения для типа оценки, как правило:
Уровень 1. Предоставление сертификата PCI AOC стороннего оценчика
Уровень 2 или 3. Предоставьте Self-Assessment анкету PCI DSS (SAQ), подписанную сотрудником поставщика.
Требования к программному обеспечению как услуге
Поставщикам, которые соответствуют определению SaaS, включенного в профиль обработки данных, может потребоваться предоставить действительную сертификацию ISO 27001.
Использование субподрядчиков
Корпорация Майкрософт считает использование субподрядчиков фактором высокого риска. Поставщики, которые используют субподрядчиков для обработки персональных данных и конфиденциальных данных Майкрософт, должны раскрывать эти субподрядчики. Кроме того, поставщик должен раскрывать страны или регионы, в которых каждый субподрядчик обрабатывает персональные данные.