Programma SSPA (Supplier Security and Privacy Assurance)
Importante
Le informazioni presentate in questo articolo sono per conto del team SSPA (Supplier Security and Privacy Assurance). Le informazioni più aggiornate sono disponibili qui. Se si verifica un conflitto tra le informazioni presentate in questo articolo e la pagina SSPA, la pagina SSPA sostituirà le informazioni contenute in questo articolo.
Microsoft ritiene che la privacy sia un diritto fondamentale. Nella missione di consentire a ogni individuo e organizzazione del pianeta di ottenere di più, Microsoft si impegna a guadagnare e mantenere la fiducia dei propri clienti.
Le solide procedure di privacy e sicurezza sono fondamentali per questa missione, essenziali per la fiducia e in diverse giurisdizioni richieste dalla legge. Gli standard acquisiti nelle politiche di privacy e sicurezza di Microsoft riflettono i nostri valori come azienda e si estendono ai fornitori che elaborano i dati personali e riservati per nostro conto.
Il programma SSPA (Supplier Security and Privacy Assurance) fornisce ai fornitori le istruzioni per il trattamento dei dati di base di Microsoft sotto forma di Requisiti di protezione dei dati dei fornitori Microsoft.
Nota
I fornitori potrebbero dover soddisfare requisiti aggiuntivi a livello aziendale che vengono stabiliti e comunicati al di fuori di SSPA dal gruppo Microsoft responsabile dell'impegno con il fornitore.
Panoramica del programma SSPA
SSPA è una partnership tra Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security per garantire che i principi di privacy e sicurezza siano seguiti dai fornitori. L'ambito di SSPA copre tutti i fornitori a livello globale che elaborano i dati personali e/o i dati riservati Microsoft.
SSPA consente al fornitore di effettuare selezioni del profilo di elaborazione dati in linea con i prodotti e/o i servizi che i fornitori sono autorizzati a eseguire. Queste selezioni attivano i requisiti corrispondenti per fornire garanzie di conformità.
Tutti i fornitori registrati devono completare un'attestazione annuale della conformità alla DPR. Il profilo di elaborazione dati di un fornitore determina se viene rilasciata la DPR completa o se si applica un subset di requisiti. I fornitori che elaborano dati che Microsoft considera più rischioso potrebbero anche dover soddisfare requisiti aggiuntivi, ad esempio fornire una verifica indipendente della conformità. Ai fornitori che fanno parte di un elenco di subprocessori Microsoft pubblicato verrà anche chiesto di fornire una verifica indipendente della conformità.
Ambito SSPA
Tutti i fornitori a livello globale che elaborano dati personali o microsoft riservati in base al contratto con Microsoft devono essere conformi al programma SSPA. La DPR contiene una sezione denominata Definizioni in cui è possibile trovare definizioni ed esempi per ognuna di queste categorie di dati.
Profilo di elaborazione dati
I fornitori Microsoft hanno il controllo sul proprio profilo di elaborazione dati SSPA, consentendo ai fornitori di decidere quali impegni vogliono essere idonei a eseguire.
I gruppi aziendali Microsoft sono in grado di creare accordi solo con i fornitori in cui l'attività di elaborazione dati corrisponde alle approvazioni ottenute dal fornitore.
I fornitori sono in grado di aggiornare il proprio profilo di elaborazione dati in qualsiasi momento dell'anno se non sono presenti attività aperte. Quando viene apportata una modifica, viene eseguita l'attività corrispondente e deve essere completata prima che le approvazioni vengano protette. Le approvazioni esistenti e completate si applicano fino al completamento dei requisiti appena rilasciati.
Se le attività appena eseguite non vengono completate entro l'intervallo di tempo di 90 giorni consentito, lo stato SSPA viene aggiornato in Rosso (non conforme) e l'account viene disattivato dai sistemi di contabilità fornitori Microsoft.
Requisiti di garanzia
Le approvazioni selezionate nel profilo di elaborazione dati del fornitore aiutano SSPA a valutare il livello di rischio tra gli impegni del fornitore. I requisiti di conformità SSPA differiscono in base al profilo di elaborazione dati e alle approvazioni associate.
Esistono anche combinazioni che possono elevare o ridurre i requisiti di conformità. Le combinazioni vengono acquisite nella sezione Requisiti in base alle approvazioni del profilo.
Se il profilo del fornitore include Software as a Service (SaaS), subappaltatori, hosting di siti Web o carte di pagamento, sono necessarie ulteriori garanzie.
Attestazione automatica alla DPR
Tutti i fornitori iscritti a SSPA devono completare un'attestazione di conformità alla DPR entro 90 giorni dalla ricezione della richiesta. Questa richiesta deve essere fornita su base annuale, ma può essere più frequente se il profilo di elaborazione dati viene aggiornato a metà anno. Se il periodo di 90 giorni viene superato, gli account dei fornitori vengono modificati in uno stato SSPA rosso (non conforme). I nuovi ordini di acquisto nell'ambito non possono essere elaborati finché lo stato SSPA non diventa Verde (conforme).
I fornitori appena registrati devono completare i requisiti emessi per garantire uno stato SSPA verde (conforme) prima che gli impegni possano iniziare.
Applicabilità
I fornitori devono rispondere a tutti i requisiti di DPR applicabili emessi in base al profilo di elaborazione dati. Si prevede che, entro i requisiti emessi, alcuni potrebbero non essere applicabili ai beni o ai servizi forniti dal fornitore a Microsoft. Questi possono essere contrassegnati come "non applicabili" con un commento dettagliato per i revisori SSPA da convalidare.
Gli invii di DPR vengono esaminati dal team SSPA per eventuali selezioni di "non si applica", "conflitto legale locale" o "conflitto contrattuale" rispetto ai requisiti rilasciati.
Requisito di valutazione indipendente
Se il fornitore ha un ruolo di elaborazione dati del subprocessore, sarà necessario che venga condotta una valutazione indipendente ogni anno.
La sezione Requisiti basati sulle approvazioni del profilo include alternative di certificazione accettabili se si sceglie di non usare un valutatore indipendente per verificare la conformità alla DPR (se applicabile, ad esempio per i fornitori SaaS, i fornitori di siti Web o i fornitori con subappaltatori). Iso 27701 (privacy) e ISO 27001 (sicurezza) sono considerati come un mapping ravvicinato alla DPR.
Se un fornitore è un provider di servizi sanitari negli Stati Uniti o nell'entità coperta, Microsoft accetta un report HITRUST per la copertura della privacy e della sicurezza.
SSPA può eseguire manualmente una valutazione indipendente se le circostanze oltre i trigger standard richiedono un'ulteriore due diligence. Gli esempi includono una richiesta di privacy o sicurezza della divisione; convalida della correzione degli eventi imprevisti dei dati; o requisito per l'esecuzione automatica dei diritti dell'interessato.
Requisito di certificazione PCI DSS
Se un fornitore gestisce le informazioni sulla carta di pagamento per conto di Microsoft, è tenuto a fornire prove di conformità allo standard PCI DSS (Payment Card Industry Data Security Standard).
A seconda del volume di transazioni elaborate, un fornitore dovrà disporre di un certificato di conformità qualificato per il valutatore di sicurezza o può completare un modulo di questionario di autovalutazione.
I marchi delle carte di pagamento impostano le soglie per il tipo di valutazione, in genere:
Livello 1: Fornire un certificato PCI AOC di terze parti
Livello 2 o 3: fornire un questionario Self-Assessment PCI DSS firmato dal responsabile del fornitore.
Requisito software come servizio
I fornitori che hanno soddisfatto la definizione SaaS inclusa nel profilo di elaborazione dati potrebbero essere tenuti a fornire una certificazione ISO 27001 valida.
Elenco di subcontraenti
Microsoft considera l'uso dei subappaltatori un fattore ad alto rischio. I fornitori che utilizzano subappaltatori che elaborano dati personali e dati riservati Microsoft devono divulgare tali subappaltatori. Inoltre, il fornitore dovrebbe anche divulgare i paesi in cui tali dati personali saranno trattati da ogni terzista.