공급자 관리 개요
Microsoft는 공급자와 관련된 위험을 어떻게 관리하나요?
Microsoft는 고객의 요구를 충족하는 데 도움이 되는 타사 회사와 협력합니다. 이러한 타사 회사를 공급업체라고 합니다. Microsoft의 공급업체 보안 및 개인 정보 보호는 Microsoft와 협력하여 온라인 서비스 제공하는 모든 공급업체에 대한 엔터프라이즈 차원의 요구 사항 집합인 SSPA(Supplier Security and Privacy Assurance) 프로그램의 적용을 받습니다. SSPA 프로그램은 공급업체 기반의 포괄적인 거버넌스 및 관리를 제공하지만 개별 사업부는 공급업체에 대한 추가 요구 사항을 유지할 수 있습니다.
Microsoft의 SSPA(Supplier Security and Privacy Assurance) 프로그램은 고객 데이터를 어떻게 보호하나요?
SSPA는 공급업체가 Microsoft의 개인 정보 보호 및 보안 원칙을 준수할 수 있도록 Microsoft 조달, 기업 외부 및 법률 업무 및 기업 보안 간의 파트너십입니다. SSPA의 scope 개인 데이터 또는 Microsoft 기밀 데이터를 처리하는 모든 공급자를 다룹니다. SSPA 프로그램 등록에는 Microsoft의 DPR(데이터 보호 요구 사항) 준수가 포함됩니다. DPR은 Microsoft와의 계약을 시작하기 전에 공급자가 구현해야 하는 보안 및 개인 정보 보호 제어로 구성됩니다. 등록된 모든 공급업체는 매년 DPR 준수를 자체 증명합니다.
DPR 요구 사항은 공급자가 SSPA 등록의 일부로 승인할 수 있는 6가지 데이터 처리 범주를 기반으로 범위가 지정됩니다. 이러한 범주는 공급자가 Microsoft에 제공하는 서비스와 관련된 위험을 식별하는 데 사용됩니다. 공급자의 데이터 처리 프로필은 적절한 데이터 보호를 제공하기 위해 scope 것으로 간주되는 DPR 컨트롤을 결정합니다. 더 높은 위험으로 간주되는 데이터를 처리하는 공급자는 모든 DPR 요구 사항을 준수해야 하며 규정 준수에 대한 독립적인 확인을 제공해야 할 수도 있습니다. Microsoft 구매 도구는 해당 공급업체의 조달을 허용하기 전에 DPR의 적용 가능한 부분 준수를 포함하여 모든 공급업체의 SSPA 상태 유효성을 검사합니다.
Microsoft에 서비스를 제공하는 하위 프로세서 유형은 무엇인가요?
'하위 프로세서'는 Microsoft가 프로세서인 Microsoft 개인 데이터 처리를 포함하는 Microsoft가 담당하는 제3자입니다. Microsoft의 하위 프로세서는 세 가지 범주로 분류됩니다. 각각은 Microsoft를 대신하여 고객 데이터를 처리하기 전에 SSPA 준수를 입증해야 합니다.
- Microsoft 온라인 서비스 원활하게 통합되고 부분적으로 Microsoft 클라우드 기능을 구동하는 기술을 구동하는 기술 하위 프로세서입니다. 고객이 이러한 서비스 중 하나를 배포하는 경우 해당 서비스에 대해 식별된 하위 프로세서는 해당 서비스를 제공하는 데 도움을 주면서 고객 데이터 또는 개인 데이터를 처리, 저장 또는 액세스할 수 있습니다.
- 온라인 서비스 지원, 운영 및 유지 관리하는 데 도움이 되는 서비스를 제공하는 보조 하위 프로세서입니다. 이러한 경우 식별된 하위 프로세서는 보조 서비스를 제공하는 동안 고객 데이터 및 개인 데이터(가명 개인 식별자로 구성됨)를 처리, 저장 또는 액세스할 수 있습니다.
- 계약 직원 조직은 Microsoft 온라인 서비스를 운영, 제공 및 유지 관리하기 위해 Microsoft 정규직 직원과 함께 일하는 계약 직원을 제공합니다. 이러한 모든 경우에 고객 데이터 또는 개인 데이터는 Microsoft 시스템에만 상주하며 Microsoft 정책 및 감독을 받습니다.
또한 Microsoft 데이터 센터 인프라 엔터티는 Microsoft Online Services가 실행되는 데이터 센터 인프라를 제공합니다. 데이터 센터 내의 데이터는 암호화되며 데이터 센터 내의 어떤 직원도 액세스할 수 없습니다.
기술 및 보조 타사에서는 Microsoft의 DPR(데이터 보호 요구 사항)을 준수하여 액세스 제어를 구현해야 합니다. 이러한 요구 사항은 Microsoft가 제품 약관에서 고객에게 하는 계약 약정을 충족하거나 초과합니다. 계약 직원 업무를 수행하는 공급업체는 Microsoft 정규직 직원에게 동일한 액세스 제어가 적용됩니다.
Microsoft는 공급업체를 어떻게 온보딩하나요?
타사 공급업체는 온보딩 프로세스의 일부로 Microsoft 마스터 계약에 서명해야 합니다. 이 계약은 Microsoft와 해당 공급업체 간의 관계를 제어하고 공급업체 관계의 일관된 관리를 보장합니다. 온보딩의 일환으로 공급자는 SSPA에 등록하고 모든 데이터 처리 범주에 대해 승인되기 전에 적용 가능한 모든 요구 사항을 완료해야 합니다. Microsoft 사업부는 참여에 대한 데이터 처리 활동이 공급자가 승인된 데이터 처리 범주와 일치하는 경우에만 공급자와 계약을 만들 수 있습니다.
Microsoft는 데이터를 처리하는 공급자에 대한 변경 내용을 고객에게 어떻게 알릴 수 있나요?
Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에 따라 Microsoft는 모든 하위 프로세서 추가에 대한 통지 기간에 대해 추가 약정을 합니다. 시간 프레임은 하위 프로세서가 Microsoft를 대신하여 처리할 데이터 형식에 따라 달라집니다. DPA에 명시된 대로 Microsoft는 고객 데이터를 처리할 새 하위 프로세서에 앞서 최소 6개월 전에 고객에게 알림을 제공할 것을 약속합니다. 다른 개인 데이터의 경우 Microsoft는 최소 30일의 공지를 제공합니다. Microsoft Online Services 하위 프로세서 목록의 업데이트에 의해 알림이 제공됩니다.
관련 외부 규정 & 인증
Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 공급자 관리와 관련된 컨트롤의 유효성 검사는 아래 표를 참조하세요.
Azure 및 Dynamics 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| ISO 27001/27002 적용 가능성 설명 인증서 |
A.15.1: 공급자 관계의 정보 보안 | 2023년 11월 6일 |
| ISO 27017 적용 가능성 설명 인증서 |
A.15.1: 공급자 관계의 정보 보안 | 2023년 11월 6일 |
| ISO 27018 적용 가능성 설명 인증서 |
A.8.1: 하청 PII 처리 공개 | 2023년 11월 6일 |
| SOC 2 SOC 3 |
SOC2-25: 공급자 위험 관리 C5-2: 공급자 위험 프로필 검토 |
2023년 11월 17일 |
Microsoft 365
| 외부 감사 | 섹션 | 최신 보고서 날짜 |
|---|---|---|
| FedRAMP(Office 365) | CA-3: 시스템 상호 연결 IA-4: 식별자 관리 PS-6: 액세스 계약 PS-7: 타사 직원 보안 SA-4: 인수 프로세스 SA-9: 외부 정보 시스템 서비스 SA-12: 공급망 보호 |
2023년 7월 31일 |
| ISO 27001/27002/27017 적용 가능성 설명 인증(27001/27002) 인증(27017) |
A.15.1: 공급자 관계의 정보 보안 | 2024년 3월 |
| ISO 27018 적용 가능성 설명 인증서 |
A.8.1: 하청 PII 처리 공개 | 2024년 3월 |
| SOC 2 | CA-53: 타사 모니터링 | 2024년 1월 23일 |
리소스
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기