Información general sobre administración de suministros
¿Cómo administra Microsoft los riesgos relacionados con los proveedores?
Microsoft se asocia con empresas de terceros para ayudar a satisfacer las necesidades de nuestros clientes. Estas empresas de terceros se conocen como proveedores. La seguridad y la privacidad de los proveedores en Microsoft se rigen por nuestro programa de seguridad y privacidad de proveedores (SSPA), un conjunto de requisitos para toda la empresa para que todos los proveedores que se asocian con Microsoft entreguen nuestros servicios en línea. Aunque el programa SSPA proporciona gobernanza y administración integrales de nuestra base de proveedores, las unidades de negocio individuales pueden mantener requisitos adicionales para sus proveedores.
¿Cómo protege el Programa de seguridad y privacidad de proveedores (SSPA) de Microsoft los datos de los clientes?
SSPA es una asociación entre Microsoft Procurement, Corporate External and Legal Affairs y Corporate Security para garantizar que los proveedores cumplen los principios de privacidad y seguridad de Microsoft. El ámbito de SSPA abarca a todos los proveedores que procesan datos personales o datos confidenciales de Microsoft. La inscripción del programa SSPA incluye el cumplimiento de los requisitos de protección de datos (DPR) de Microsoft. El DPR consta de controles de seguridad y privacidad que los proveedores deben implementar antes de comenzar el trabajo contratado con Microsoft. Todos los proveedores inscritos atestiguan el cumplimiento del DPR anualmente.
Los requisitos de DPR se limitan a seis categorías de procesamiento de datos distintas para las que un proveedor puede ser aprobado como parte de su inscripción en SSPA. Estas categorías se usan para identificar el riesgo asociado a los servicios que un proveedor proporciona a Microsoft. El perfil de procesamiento de datos del proveedor determina qué controles de DPR se consideran en el ámbito para proporcionar la protección de datos adecuada. Los proveedores que procesan datos que se consideran de mayor riesgo deben cumplir con todos los requisitos de DPR y también pueden necesitar proporcionar una comprobación independiente del cumplimiento. Las herramientas de compra de Microsoft validan el estado de SSPA de todos los proveedores, incluido el cumplimiento con las partes aplicables del DPR, antes de permitir la adquisición de ese proveedor.
¿Qué tipos de subprocesadores proporcionan servicios para Microsoft?
Un "subprocesador" es un tercero al que Se dedica Microsoft cuyas tareas incluyen el procesamiento de datos personales de Microsoft para los que Microsoft es un procesador. Los subprocesadores de Microsoft se dividen en tres categorías. Cada uno debe demostrar el cumplimiento con el SSPA para poder procesar los datos de los clientes en nombre de Microsoft.
- Subprocesadores de tecnología que potencian tecnologías que se integran sin problemas con Microsoft servicios en línea y, en parte, potencian las funciones en la nube de Microsoft. Si un cliente implementa uno de estos servicios, los subprocesadores identificados para ese servicio pueden procesar, almacenar o acceder a datos de cliente o datos personales mientras ayudan a proporcionar ese servicio.
- Subprocesadores auxiliares que proporcionan servicios para ayudar a admitir, operar y mantener servicios en línea. En tales casos, los subprocesadores identificados pueden procesar, almacenar o acceder a datos de cliente y datos personales (que constan de identificadores personales seudonimizados) al tiempo que proporcionan sus servicios auxiliares.
- Las organizaciones de personal de contrato proporcionan personal de contrato que trabaja en paralelo con los empleados a tiempo completo de Microsoft para operar, entregar y mantener Microsoft Online Services. En todos estos casos, los datos de cliente o los datos personales residen solo en sistemas de Microsoft y están sujetos a las directivas y supervisión de Microsoft.
Además, las entidades de infraestructura del centro de datos de Microsoft proporcionan la infraestructura del centro de datos en la que se ejecutan los Servicios en línea de Microsoft. Los datos dentro de los centros de datos se cifran y ningún personal de los centros de datos puede acceder a ellos.
Se requiere tecnología y terceros auxiliares para implementar controles de acceso en cumplimiento con los requisitos de protección de datos (DPR) de Microsoft. Estos requisitos cumplen o superan los compromisos contractuales que Microsoft realiza con sus clientes en los Términos del producto. Los proveedores que realizan el trabajo del personal contratado están sujetos a los mismos controles de acceso que los empleados a tiempo completo de Microsoft.
¿Cómo incorpora Microsoft proveedores?
Los proveedores de terceros deben firmar un Contrato Maestro de Microsoft como parte del proceso de incorporación. Este contrato rige la relación entre Microsoft y sus proveedores y garantiza una administración coherente de las relaciones con los proveedores. Como parte de la incorporación, los proveedores se inscriben en el SSPA y deben completar todos los requisitos aplicables antes de que puedan ser aprobados para cualquier categoría de procesamiento de datos. Las unidades de negocio de Microsoft solo pueden crear interacciones con proveedores cuando la actividad de procesamiento de datos de la interacción coincide con las categorías de procesamiento de datos para las que se ha aprobado el proveedor.
¿Cómo notifica Microsoft a los clientes los cambios en los proveedores que procesan sus datos?
Según el complemento de protección de datos de productos y servicios de Microsoft (DPA), Microsoft realiza compromisos adicionales con respecto a los períodos de aviso para la adición de cualquier subprocesador. Observe que los intervalos de tiempo dependen del tipo de datos que el subprocesador procesará en nombre de Microsoft. Como se indica en el DPA, Microsoft se compromete a proporcionar un aviso a los clientes al menos seis meses antes de cualquier nuevo subprocesador que procesará los datos del cliente. Para cualquier otro dato personal, Microsoft proporcionará al menos 30 días de aviso. La actualización de la lista de subprocesadores de Microsoft Online Services proporciona un aviso.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la administración de proveedores.
Azure y Dynamics 365
Auditorías externas | Section | Fecha del informe más reciente |
---|---|---|
ISO 27001 Declaración de aplicabilidad Certificado |
A.15.1: Seguridad de la información en las relaciones con los proveedores | 8 de abril de 2024 |
ISO 27017 Declaración de aplicabilidad Certificado |
A.15.1: Seguridad de la información en las relaciones con los proveedores | 8 de abril de 2024 |
ISO 27018 Declaración de aplicabilidad Certificado |
A.8.1: Divulgación del procesamiento de PII subcontratado | 8 de abril de 2024 |
SOC 2 SOC 3 |
SOC2-25: Administración de riesgos de proveedores C5-2: Revisión del perfil de riesgo del proveedor |
20 de mayo de 2024 |
Microsoft 365
Auditorías externas | Section | Fecha del informe más reciente |
---|---|---|
FedRAMP | CA-3: Interconexiones del sistema IA-4: Administración de identificadores PS-6: acuerdos de acceso PS-7: Seguridad del personal de terceros SA-4: proceso de adquisiciones SA-9: Servicios del sistema de información externo SA-12: Protección de la cadena de suministro |
21 de agosto de 2024 |
ISO 27001/27017 Declaración de aplicabilidad Certificación (27001) Certificación (27017) |
A.15.1: Seguridad de la información en las relaciones con los proveedores | Marzo de 2024 |
ISO 27018 Declaración de aplicabilidad Certificado |
A.8.1: Divulgación del procesamiento de PII subcontratado | Marzo de 2024 |
SOC 2 | CA-53: Supervisión de terceros | 23 de enero de 2024 |