Programm für Lieferantensicherheit und Datenschutz (SSPA)
Wichtig
Die in diesem Artikel vorgestellten Informationen sind im Namen des Lieferantensicherheits- und Datenschutzsicherungsteams (Supplier Security and Privacy Assurance, SSPA). Die aktuellsten Informationen finden Sie hier. Wenn ein Konflikt zwischen den informationen in diesem Artikel und der SSPA-Seite besteht, ersetzt die SSPA-Seite die Informationen in diesem Artikel.
Microsoft ist der Ansicht, dass Datenschutz ein Grundrecht ist. Microsoft ist bestrebt, das Vertrauen seiner Kunden zu gewinnen und zu erhalten, um jedem Einzelnen und jeder Organisation auf dem Planeten mehr zu ermöglichen.
Strenge Datenschutz- und Sicherheitspraktiken sind für diese Mission von entscheidender Bedeutung, für das Vertrauen unerlässlich und in mehreren gesetzlich vorgeschriebenen Ländern. Die in den Datenschutz- und Sicherheitsrichtlinien von Microsoft erfassten Standards spiegeln unsere Werte als Unternehmen wider und erstrecken sich auf Lieferanten, die personenbezogene und vertrauliche Daten in unserem Auftrag verarbeiten.
Das Supplier Security and Privacy Assurance (SSPA)-Programm stellt Lieferanten die grundlegenden Datenverarbeitungsanweisungen von Microsoft in Form der Microsoft Supplier Data Protection Requirements (DPR) bereit.
Hinweis
Lieferanten müssen möglicherweise zusätzliche Anforderungen auf Organisationsebene erfüllen, die außerhalb des SSPA von der Microsoft-Gruppe, die für die Zusammenarbeit mit dem Lieferanten verantwortlich ist, entschieden und kommuniziert werden.
Übersicht über das SSPA-Programm
SSPA ist eine Partnerschaft zwischen Microsoft Procurement, Corporate External and Legal Affairs und Corporate Security, um sicherzustellen, dass die Datenschutz- und Sicherheitsprinzipien von Lieferanten eingehalten werden. Der Umfang des SSPA umfasst alle Lieferanten weltweit, die personenbezogene Daten und/oder vertrauliche Microsoft-Daten verarbeiten.
SSPA ermöglicht es dem Lieferanten, Datenverarbeitungsprofilauswahlen zu treffen, die sich an den Waren- und/oder Dienstleistungsanbietern orientieren, die mit der Durchführung beauftragt werden. Diese Auswahl löst entsprechende Anforderungen aus, um Konformitätsgarantien bereitzustellen.
Alle registrierten Lieferanten müssen einen jährlichen Selbstnachweis der DPR-Compliance abschließen. Das Datenverarbeitungsprofil eines Lieferanten bestimmt, ob der vollständige DPR ausgestellt wird oder ob eine Teilmenge der Anforderungen zutrifft. Lieferanten, die Daten verarbeiten, die Microsoft für ein höheres Risiko hält, müssen möglicherweise auch zusätzliche Anforderungen erfüllen, z. B. eine unabhängige Überprüfung der Konformität. Lieferanten, die sich auf einer veröffentlichten Microsoft-Unterauftragsverarbeiterliste befinden, werden ebenfalls aufgefordert, eine unabhängige Überprüfung der Konformität durchzuführen.
SSPA-Bereich
Alle Lieferanten weltweit, die personenbezogene oder vertrauliche Microsoft-Daten im Rahmen ihres Vertrags mit Microsoft verarbeiten, müssen das SSPA-Programm einhalten. Die DPR enthält einen Abschnitt namens Definitionen, in dem Sie Definitionen und Beispiele für jede dieser Datenkategorien finden können.
Datenverarbeitungsprofil
Microsoft-Lieferanten haben die Kontrolle über ihr SSPA-Datenverarbeitungsprofil, sodass Lieferanten entscheiden können, welche Einsätze sie ausführen möchten.
Microsoft-Geschäftsgruppen sind nur in der Lage, Engagements mit Lieferanten zu erstellen, bei denen die Datenverarbeitungsaktivität mit den Genehmigungen übereinstimmt, die der Lieferant erhalten hat.
Lieferanten können ihr Datenverarbeitungsprofil jederzeit im Laufe des Jahres aktualisieren, wenn keine offenen Aufgaben vorhanden sind. Wenn eine Änderung vorgenommen wird, wird die entsprechende Aktivität ausgegeben und muss abgeschlossen werden, bevor die Genehmigungen gesichert werden. Die bestehenden, abgeschlossenen Genehmigungen gelten, bis die neu ausgestellten Anforderungen erfüllt sind.
Wenn die neu ausgeführten Aufgaben nicht innerhalb des zulässigen 90-Tage-Zeitrahmens abgeschlossen werden, wird der SSPA-Status in Rot (nicht konform) aktualisiert, und das Konto wird aus den Microsoft-Kreditorenkontensystemen deaktiviert.
Zuverlässigkeitsanforderungen
Die im Datenverarbeitungsprofil des Lieferanten ausgewählten Genehmigungen unterstützen den SSPA bei der Bewertung der Risikostufe für die Gesamten Einsätze des Lieferanten. Die SSPA-Complianceanforderungen unterscheiden sich je nach Datenverarbeitungsprofil und zugehörigen Genehmigungen.
Es gibt auch Kombinationen, die die Complianceanforderungen erhöhen oder reduzieren können. Die Kombinationen werden im Abschnitt Anforderungen basierend auf Profilgenehmigungen erfasst.
Wenn das Profil des Lieferanten Software-as-a-Service (SaaS), Subunternehmer, Websitehosting oder Zahlungskarten enthält, sind zusätzliche Zusicherungen erforderlich.
Selbstnachweis gegenüber dem DPR
Alle lieferanten, die beim SSPA registriert sind, müssen innerhalb von 90 Tagen nach Erhalt der Anfrage einen Selbstnachweis über die Einhaltung des DPR abschließen. Diese Anforderung muss jährlich gestellt werden, kann aber häufiger auftreten, wenn das Datenverarbeitungsprofil mitte des Jahres aktualisiert wird. Lieferantenkonten ändern sich in den SSPA-Status Rot (nicht konform), wenn der 90-Tage-Zeitraum überschritten wird. Neue Bestellungen im Bereich können erst verarbeitet werden, wenn der SSPA-Status grün (konform) lautet.
Neu registrierte Lieferanten müssen die ausgestellten Anforderungen erfüllen, um den SSPA-Status Grün (konform) zu sichern, bevor die Einsätze beginnen können.
Anwendbarkeit
Von Lieferanten wird erwartet, dass sie auf alle anwendbaren DPR-Anforderungen reagieren, die gemäß dem Datenverarbeitungsprofil ausgegeben werden. Es wird erwartet, dass innerhalb der ausgestellten Anforderungen einige wenige nicht für die Waren oder Dienstleistungen gelten, die der Lieferant für Microsoft bereitstellt. Diese können als "gilt nicht" mit einem ausführlichen Kommentar gekennzeichnet werden, den die SSPA-Prüfer überprüfen müssen.
DpR-Einreichungen werden vom SSPA-Team auf Auswahl von "gilt nicht", "lokaler Rechtlicher Konflikt" oder "Vertraglicher Konflikt" für ausgestellte Anforderungen überprüft.
Unabhängige Bewertungsanforderung
Wenn der Lieferant über eine Datenverarbeitungsrolle als Unterauftragsverarbeiter verfügt, muss er jährlich eine unabhängige Bewertung durchführen lassen.
Der Abschnitt Anforderungen, die auf Profilgenehmigungen basieren, enthält akzeptable Zertifizierungsalternativen, wenn Sie sich dafür entscheiden, keinen unabhängigen Bewerter zu verwenden, um die Einhaltung der DPR zu überprüfen (falls zutreffend, z. B. für SaaS-Lieferanten, Websitehostinganbieter oder Lieferanten mit Unterauftragnehmern). Iso 27701 (Datenschutz) und ISO 27001 (Sicherheit) werden als eine enge Zuordnung zum DPR verwendet.
Wenn ein Lieferant ein Gesundheitsdienstleister in den USA oder eine abgedeckte Entität ist, akzeptiert Microsoft einen HITRUST-Bericht für Datenschutz und Sicherheit.
Das SSPA kann eine unabhängige Bewertung manuell durchführen, wenn Umstände, die über Standardauslöser hinausgehen, eine zusätzliche Sorgfaltspflicht erfordern. Beispiele hierfür sind eine Anforderung der Abteilung Datenschutz oder Sicherheit. Validierung der Behebung von Datenvorfällen; oder die Anforderung einer automatisierten Ausführung von Rechten betroffener Personen.
PCI-DSS-Zertifizierungsanforderung
Wenn ein Anbieter Zahlungskarteninformationen im Auftrag von Microsoft verarbeitet, muss er nachweisen, dass der PCI-DSS-Standard (Payment Card Industry Data Security Standard) eingehalten wird.
Je nach Umfang der verarbeiteten Transaktionen muss ein Lieferant entweder über einen qualifizierten Sicherheitsbewerter verfügen, der die Konformität zertifiziert oder ein Formular für den Fragebogen zur Selbstbewertung ausfüllen kann.
Zahlungskartenmarken legen die Schwellenwerte für den Bewertungstyp fest, in der Regel:
Ebene 1: Bereitstellen eines PCI-AOC-Zertifikats eines Drittanbieters
Stufe 2 oder 3: Stellen Sie einen PCI-DSS-Self-Assessment Fragebogen (SAQ) bereit, der vom Mitarbeiter des Lieferanten unterzeichnet wurde.
Software-as-a-Service-Anforderung
Lieferanten, die die saaS-Definition erfüllen, die im Datenverarbeitungsprofil enthalten ist, müssen möglicherweise eine gültige ISO 27001-Zertifizierung bereitstellen.
Verwendung von Unterauftragsverarbeitern
Microsoft betrachtet den Einsatz von Subunternehmern als risikoreichen Faktor. Lieferanten, die Subunternehmer verwenden, die personenbezogene Daten und oder vertrauliche Microsoft-Daten verarbeiten, müssen diese Subunternehmer offenlegen. Darüber hinaus sollte der Lieferant auch die Länder offenlegen, in denen diese personenbezogenen Daten von jedem Subunternehmer verarbeitet werden.