Partager via


Programme SSPA (Supplier Security and Privacy Assurance)

Importante

Les informations présentées dans cet article sont au nom de l’équipe SSPA (Supplier Security and Privacy Assurance). Les informations les plus récentes sont disponibles ici. En cas de conflit entre les informations présentées dans cet article et la page SSPA, la page SSPA remplace les informations contenues dans cet article.

Microsoft croit que la confidentialité est un droit fondamental. Dans le but de permettre à chaque individu et organisation sur la planète d’en faire plus, Microsoft s’efforce de gagner et de maintenir la confiance de ses clients.

De solides pratiques en matière de protection de la vie privée et de sécurité sont essentielles à cette mission, essentielles à la confiance et dans plusieurs juridictions requises par la loi. Les normes capturées dans les politiques de confidentialité et de sécurité de Microsoft reflètent nos valeurs en tant qu’entreprise et s’étendent aux fournisseurs qui traitent les données personnelles et confidentielles en notre nom.

Le programme SSPA (Supplier Security and Privacy Assurance) fournit les instructions de base de Microsoft sur le traitement des données aux fournisseurs sous la forme des exigences de protection des données des fournisseurs (DPR).

Remarque

Les fournisseurs peuvent être amenés à répondre à des exigences de niveau organisationnel supplémentaires qui sont décidées et communiquées en dehors de SSPA par le groupe Microsoft responsable de l’engagement avec le fournisseur.

Vue d’ensemble du programme SSPA

SSPA est un partenariat entre Microsoft Procurement, Corporate External and Legal Affairs et Corporate Security pour garantir que les principes de confidentialité et de sécurité sont suivis par les fournisseurs. L’étendue de SSPA couvre tous les fournisseurs à l’échelle mondiale qui traitent des données personnelles et/ou des données confidentielles Microsoft.

SSPA permet au fournisseur d’effectuer des sélections de profil de traitement des données qui s’alignent sur les produits et/ou services que les fournisseurs doivent effectuer. Ces sélections déclenchent des exigences correspondantes pour fournir des garanties de conformité.

Tous les fournisseurs inscrits doivent effectuer une auto-attestation annuelle de conformité aux DPR. Le profil de traitement des données d’un fournisseur détermine si la DPR complète est émise ou si un sous-ensemble d’exigences s’applique. Les fournisseurs qui traitent des données que Microsoft considère comme plus risquées peuvent également avoir besoin de répondre à des exigences supplémentaires, telles que la vérification indépendante de la conformité. Les fournisseurs figurant sur une liste de sous-traitants Microsoft publiée seront également invités à fournir une vérification indépendante de la conformité.

Étendue SSPA

Tous les fournisseurs du monde entier qui traitent des données personnelles ou confidentielles Microsoft dans le cadre de leur contrat avec Microsoft doivent se conformer au programme SSPA. La DPR contient une section appelée Définitions dans laquelle vous pouvez trouver des définitions et des exemples pour chacune de ces catégories de données.

Profil de traitement des données

Les fournisseurs Microsoft contrôlent leur profil de traitement des données SSPA, ce qui permet aux fournisseurs de décider des engagements qu’ils souhaitent pouvoir effectuer.

Les groupes d’entreprises Microsoft ne peuvent créer des engagements avec des fournisseurs que si l’activité de traitement des données correspond aux approbations obtenues par le fournisseur.

Les fournisseurs peuvent mettre à jour leur profil de traitement des données à tout moment de l’année s’il n’y a pas de tâches ouvertes. Lorsqu’une modification est apportée, l’activité correspondante est émise et doit être terminée avant que les approbations soient sécurisées. Les approbations existantes terminées s’appliquent jusqu’à ce que les exigences nouvellement émises soient remplies.

Si les tâches nouvellement exécutées ne sont pas terminées dans le délai de 90 jours autorisé, l’état SSPA est mis à jour en rouge (non conforme) et le compte est désactivé des systèmes Comptes fournisseurs Microsoft.

Exigences d’assurance

Les approbations sélectionnées dans le profil de traitement des données du fournisseur aident SSPA à évaluer le niveau de risque dans l’ensemble des engagements du fournisseur. Les exigences de conformité SSPA varient en fonction du profil de traitement des données et des approbations associées.

Il existe également des combinaisons qui peuvent élever ou réduire les exigences de conformité. Les combinaisons sont capturées dans la section Exigences basées sur les approbations de profil.

Si le profil du fournisseur comprend des logiciels en tant que service (SaaS), des sous-traitants, un hébergement de site web ou des cartes de paiement, des garanties supplémentaires sont requises.

Auto-attestation auprès de la DPR

Tous les fournisseurs inscrits à la SSPA doivent effectuer une auto-attestation de conformité à la DPR dans les 90 jours suivant la réception de la demande. Cette demande doit être fournie sur une base annuelle, mais peut être plus fréquente si le profil de traitement des données est mis à jour au milieu de l’année. Les comptes de fournisseurs passent à l’état SSPA Rouge (non conforme) si la période de 90 jours est dépassée. Les nouveaux bons de commande dans l’étendue ne peuvent pas être traité tant que l’état SSPA n’est pas vert (conforme).

Les fournisseurs nouvellement inscrits doivent remplir les exigences émises pour obtenir un statut SSPA vert (conforme) avant que les engagements puissent commencer.

Applicabilité

Les fournisseurs sont censés répondre à toutes les exigences de DPR applicables émises par le profil de traitement des données. Il est prévu que, dans le cadre des exigences émises, quelques-uns ne s’appliquent pas aux biens ou services que le fournisseur fournit à Microsoft. Ceux-ci peuvent être marqués comme « ne s’applique pas » avec un commentaire détaillé que les réviseurs SSPA doivent valider.

Les soumissions de DPR sont examinées par l’équipe SSPA pour toute sélection de « ne s’applique pas », de « conflit juridique local » ou de « conflit contractuel » par rapport aux exigences émises.

Exigence d’évaluation indépendante

Si le fournisseur a un rôle de traitement des données de sous-traitant, il doit faire une évaluation indépendante chaque année.

La section Exigences basées sur les approbations de profil inclut des alternatives de certification acceptables si vous choisissez de ne pas utiliser d’évaluateur indépendant pour vérifier la conformité à la DPR (le cas échéant, par exemple pour les fournisseurs SaaS, les fournisseurs hébergeant des sites web ou les fournisseurs avec des sous-traitants). Les normes ISO 27701 (confidentialité) et ISO 27001 (sécurité) sont utilisées pour fournir un mappage étroit à la DPR.

Si un fournisseur est un fournisseur de soins de santé aux États-Unis ou une entité couverte, Microsoft accepte un rapport HITRUST pour la protection de la confidentialité et de la sécurité.

SSPA peut exécuter une évaluation indépendante manuellement si des circonstances au-delà des déclencheurs standard justifient une diligence raisonnable supplémentaire. Il peut s’agir, par exemple, d’une demande de confidentialité ou de sécurité de la division ; validation de la correction des incidents de données ; ou l’exigence d’exécution automatisée des droits des personnes concernées.

Exigence de certification PCI DSS

Si un fournisseur gère les informations de carte de paiement pour le compte de Microsoft, il est tenu de fournir la preuve de l’adhésion à la norme PCI DSS (Payment Card Industry Data Security Standard).

Selon le volume de transactions traitées, un fournisseur devra soit faire certifier la conformité d’un évaluateur de sécurité qualifié, soit remplir un formulaire de questionnaire d’auto-évaluation.

Les marques de cartes de paiement définissent les seuils pour le type d’évaluation, généralement :

  • Niveau 1 : Fournir un certificat PCI AOC d’évaluateur tiers

  • Niveau 2 ou 3 : Fournir un questionnaire Self-Assessment PCI DSS (SAQ) signé par l’agent du fournisseur.

Configuration requise pour le logiciel en tant que service

Les fournisseurs qui répondent à la définition SaaS incluse dans le profil de traitement des données peuvent être tenus de fournir une certification ISO 27001 valide.

Utilisation des sous-traitants

Microsoft considère l’utilisation de sous-traitants comme un facteur de risque élevé. Les fournisseurs utilisant des sous-traitants qui traitent des données personnelles et ou confidentielles Microsoft doivent divulguer ces sous-traitants. En outre, le fournisseur doit également divulguer les pays dans lesquels ces données personnelles seront traitées par chaque sous-traitant.

Ressources