Программа обеспечения безопасности и конфиденциальности поставщиков (SSPA)
Важно!
Сведения, представленные в этой статье, от имени команды по обеспечению безопасности и конфиденциальности поставщиков (SSPA). Самая актуальная информация доступна здесь. Если между сведениями, представленными в этой статье, и страницей SSPA, страница SSPA будет заменять сведения, приведенные в этой статье.
Корпорация Майкрософт считает, что конфиденциальность является основным правом. В миссии, призванной предоставить каждому человеку и организации на планете больше возможностей, корпорация Майкрософт стремится заработать и сохранить доверие своих клиентов.
Надежная политика конфиденциальности и безопасности имеет решающее значение для этой миссии, важной для доверия, и в нескольких юрисдикциях, требуемых законом. Стандарты, зафиксированные в политиках конфиденциальности и безопасности корпорации Майкрософт, отражают наши ценности как компании и распространяются на поставщиков, обрабатывающих персональные и конфиденциальные данные от нашего имени.
Программа обеспечения безопасности и конфиденциальности поставщиков (SSPA) предоставляет базовые инструкции Майкрософт по обработке данных поставщикам в виде требований к защите данных поставщиков Майкрософт (DPR).
Примечание.
Поставщики, возможно, должны соответствовать дополнительным требованиям на уровне организации, которые определяются и сообщаются за пределами SSPA группой Майкрософт, ответственной за взаимодействие с поставщиком.
Общие сведения о программе SSPA
SSPA — это партнерство корпорации Майкрософт по закупкам, корпоративным внешним и юридическим вопросам и корпоративной безопасности, обеспечивающее соблюдение принципов конфиденциальности и безопасности поставщиками. Область действия SSPA охватывает всех поставщиков по всему миру, которые обрабатывают Персональные данные и (или) Конфиденциальные данные Майкрософт.
SSPA позволяет поставщику делать выбор профиля обработки данных, которые соответствуют поставщикам товаров и (или) услуг. Эти выборки активируют соответствующие требования для обеспечения гарантий соответствия требованиям.
Все зарегистрированные поставщики должны пройти ежегодную самостоятельную аттестацию соответствия требованиям НДР. Профиль обработки данных поставщика определяет, выдан ли полный КНДР или применяется ли подмножество требований. Поставщикам, обрабатывающим данные, которые корпорация Майкрософт считает более высоким риском, также могут потребоваться выполнить дополнительные требования, например обеспечить независимую проверку соответствия требованиям. Поставщикам, которые входят в опубликованный список субобработчиков Майкрософт, также будет предложено провести независимую проверку соответствия.
Область SSPA
Все поставщики по всему миру, обрабатывающие персональные или конфиденциальные данные Майкрософт в соответствии с контрактом с корпорацией Майкрософт, должны соблюдать программу SSPA. Раздел "Определения", где можно найти определения и примеры для каждой из этих категорий данных.
Профиль обработки данных
Поставщики Майкрософт контролируют свой профиль обработки данных SSPA, что позволяет поставщикам решать, какие обязательства они хотят иметь право на выполнение.
Бизнес-группы Майкрософт могут создавать взаимодействия с поставщиками только в том случае, если действия по обработке данных соответствуют утверждениям, полученным поставщиком.
Поставщики могут обновить свой профиль обработки данных в любое время в течение года, если нет открытых задач. При изменении выполняется соответствующее действие, которое должно быть завершено до защиты утверждений. Существующие завершенные утверждения применяются до тех пор, пока не будут выполнены новые требования.
Если недавно выполненные задачи не завершены в течение разрешенного 90-дневного периода времени, состояние SSPA обновляется на Красный (не соответствует), а учетная запись деактивируется в системах с оплатой счетов Майкрософт.
Требования к гарантии
Утверждения, выбранные в профиле обработки данных поставщика, помогают SSPA оценить уровень риска по обязательствам поставщика. Требования к соответствию SSPA различаются в зависимости от профиля обработки данных и соответствующих утверждений.
Существуют также сочетания, которые могут повысить или уменьшить требования к соответствию. Сочетания записываются в разделе Требования на основе утверждений профиля.
Если профиль поставщика включает программное обеспечение как услугу (SaaS), субподрядчики, размещение веб-сайтов или платежные карты, требуются дополнительные гарантии.
Самоастация в НДР
Все поставщики, зарегистрированные в SSPA, должны пройти самостоятельную аттестацию соответствия требованиям НДР в течение 90 дней с момента получения запроса. Этот запрос должен предоставляться ежегодно, но может быть более частым, если профиль обработки данных обновляется в середине года. При превышении 90-дневного периода учетные записи поставщика изменяются на состояние SSPA Red (не соответствует требованиям). Новые заказы на покупку в области не могут обрабатываться до тех пор, пока состояние SSPA не станет зеленым (соответствует требованиям).
Недавно зарегистрированные поставщики должны выполнить выданные требования, чтобы обеспечить состояние SSPA green (соответствует), прежде чем начнется взаимодействие.
Применимость
Поставщики, как ожидается, будут отвечать на все применимые требования DPR, выданные в соответствии с профилем обработки данных. Ожидается, что в рамках выданных требований некоторые из них могут не применяться к товарам или услугам, предоставляемым поставщиком корпорации Майкрософт. Их можно пометить как "не применяется" с подробным комментарием для проверяющих SSPA для проверки.
Заявки КНДР проверяются командой SSPA на предмет выбора "не применяется", "локальный правовой конфликт" или "договорный конфликт" в отношении выданных требований.
Требование независимой оценки
Если поставщик имеет роль обработки данных субобработчика, ей потребуется проводить независимую оценку ежегодно.
Раздел Требования, основанные на утверждении профиля, включает приемлемые альтернативы сертификации, если вы решили не использовать независимого оценщика для проверки соответствия требованиям КНДР (например, для поставщиков SaaS, поставщиков веб-сайтов, размещающих поставщиков или поставщиков с субподрядчиками). Iso 27701 (конфиденциальность) и ISO 27001 (безопасность) используются как обеспечивающие близкое сопоставление с КНДР.
Если поставщик является поставщиком услуг здравоохранения в США или охваченной организацией, корпорация Майкрософт принимает отчет HITRUST для покрытия конфиденциальности и безопасности.
SSPA может выполнить независимую оценку вручную, если обстоятельства, выходящие за рамки стандартных триггеров, требуют дополнительной должной осмотрительности. Примеры включают запрос от отдела конфиденциальности или безопасности; проверка исправления инцидента с данными; или требование для автоматического выполнения прав субъекта данных.
Требования к сертификации PCI DSS
Если поставщик обрабатывает сведения о платежных картах от имени корпорации Майкрософт, он должен предоставить доказательства соответствия стандарту PCI DSS .
В зависимости от объема обработанных транзакций поставщик должен иметь квалифицированный эксперт по оценке безопасности или заполнить форму анкеты для самостоятельной оценки.
Бренды платежных карт устанавливают пороговые значения для типа оценки, как правило:
Уровень 1. Предоставление сертификата PCI AOC стороннего оценчика
Уровень 2 или 3. Предоставьте Self-Assessment анкету PCI DSS (SAQ), подписанную сотрудником поставщика.
Требования к программному обеспечению как услуге
Поставщикам, которые соответствуют определению SaaS, включенного в профиль обработки данных, может потребоваться предоставить действительную сертификацию ISO 27001.
Использование субподрядчиков
Корпорация Майкрософт считает использование субподрядчиков фактором высокого риска. Поставщики, использующие субподрядчиков, которые обрабатывают Персональные и конфиденциальные данные Майкрософт, должны раскрывать эти субподрядчики. Кроме того, поставщик также должен раскрывать страны, в которых эти персональные данные будут обрабатываться каждым субподрядчиком.