하위 프로세서 온보딩 및 모니터링 이해
Microsoft가 하위 프로세서와 지원 계약을 시작하면 특정 워크플로 및 프로세스는 계약된 작업을 시작하기 전에 하위 프로세서가 요구 사항을 충족하도록 합니다. 새로운 하위 프로세서는 정보 시스템이 계약 작업의 일부로 처리할 데이터 형식에 적용되는 요구 사항을 충족하는지 확인하기 위해 일련의 검증을 완료해야 합니다. 또는 이미 요구 사항을 충족한 기존 하위 프로세서에 할당된 계약된 작업을 통해 Microsoft는 고객 또는 개인 데이터를 처리하는 하위 프로세서의 수를 제한할 수 있습니다.
새 하위 프로세서 추가
새 하위 프로세서를 추가하려면 계약 작업을 시작하기 전에 하위 프로세서가 Microsoft 표준을 충족하는지 확인하기 위해 일련의 엄격한 검증이 필요합니다. 이러한 확인 단계에는 다음이 포함되지만 이에 국한되지는 않습니다.
- 비즈니스 확인 확인: 이미 승인된 공급자 대신 이 공급자의 사용이 필요한 이유를 확인하기 위한 비즈니스 검토입니다. 비즈니스 승인이 나면 아래의 추가 검증을 수행해야 합니다.
- 개인 정보 보호 및 규정 준수 검사: 하위 프로세서가 적절한 시간 동안 이미 공개되었으며 모든 계약 및 인증 요구 사항이 충족되었는지 확인합니다.
- 반부패 점검: 부패 활동에 연루될 수 있는 공급업체에 대한 글로벌 관계 관리 시스템 및 뉴스를 확인합니다.
- 부패리스크 점수: 반부패 점검에 따라 부여되는 점수입니다. 점수는 부패 활동과 관련된 공급업체의 위험 수준을 나타냅니다.
- 참여 금지 확인: Microsoft 내부에서 사용하기에 부적절하다고 판단되는 공급업체에 대해 확인합니다.
- 무역 제재 심사: 무역 제재가 공급업체에 적용되는지 여부를 결정하기 위해 감시 사이트, 정부 기록 및 미디어 검색을 검토합니다.
또한 모든 점수와 점검 내역이 반환되고 계산된 후 최종 확인으로 비즈니스 단위의 승인이 필요합니다.
하위 프로세서 등록은 MSCP(Microsoft 공급업체 규정 준수 포털)에 프로필을 작성하라는 지침이 포함된 예상 하위 프로세서에 대한 전자 메일 요청으로 시작됩니다. 하위 프로세서는 포털을 사용하여 승인을 원하는 데이터 처리 활동을 선택합니다. 이러한 데이터 처리 활동에는 다음이 포함됩니다.
- 개인 데이터 및/또는 Microsoft 기밀 데이터 처리
- 공급업체 네트워크에서 데이터 처리
- 데이터 처리 역할(컨트롤러, 프로세서, 공동 컨트롤러 등)
- 결제 카드 처리
- SaaS(Software as a Service) 제공
- 하도급업체 이용
- 하위 프로세서 지정
하위 프로세서가 프로필을 완료하면 90일 이내에 완료할 DPR의 전체 집합 또는 요구 사항의 하위 집합이 제공됩니다. 프로필에서 하위 프로세서가 선택한 승인에 따라 할당된 DPR 컨트롤 준수를 확인하는 것 외에도 Independent Assurance가 필요할 수 있습니다.
경우에 따라 ISO 27701(개인 정보) 및 ISO 27001(보안)과 같은 허용 가능한 인증 대안을 통해 요구 사항을 충족할 수 있습니다.
하위 프로세서가 모든 해당 검사를 통과하면 SSPA 상태가 최종 검토 대상이 됩니다. 검토자는 모든 관련 검사를 확인하고 승인해야 하는 데이터 처리 형식을 결정합니다. 프로필이 승인된 후 하위 프로세서는 필요한 데이터 처리 승인을 받습니다.