Visão geral do gerenciamento de fornecedores
Como a Microsoft gerencia o risco relacionado aos fornecedores?
A Microsoft faz parcerias com empresas terceirizadas para ajudar a atender às necessidades de nossos clientes. Essas empresas terceirizadas são conhecidas como fornecedores. A segurança e a privacidade do fornecedor na Microsoft são regidas por nosso programa SSPA (Segurança de Fornecedores e Garantia de Privacidade), um conjunto de requisitos em toda a empresa para todos os fornecedores que fazem parceria com a Microsoft para entregar nosso serviços online. Embora o programa SSPA forneça governança e gerenciamento abrangentes de nossa base de fornecedores, as unidades de negócios individuais podem manter requisitos adicionais para seus fornecedores.
Como o Programa SSPA (Segurança de Fornecedores e Garantia de Privacidade) da Microsoft protege os dados do cliente?
A SSPA é uma parceria entre a Microsoft Procurement, Os Assuntos Externos e Jurídicos Corporativos e a Segurança Corporativa para garantir que os fornecedores sigam os princípios de privacidade e segurança da Microsoft. O escopo do SSPA abrange todos os fornecedores que processam Dados Pessoais ou Dados Confidenciais da Microsoft. O registro do programa SSPA inclui a adesão aos Requisitos de Proteção de Dados (DPR) da Microsoft. O DPR consiste em controles de segurança e privacidade que os fornecedores devem implementar antes de iniciar o trabalho contratado com a Microsoft. Todos os fornecedores registrados atestam a conformidade com a DPR anualmente.
Os requisitos de DPR são escopo com base em seis categorias de processamento de dados distintas para as quais um fornecedor pode ser aprovado como parte de seu registro no SSPA. Essas categorias são usadas para identificar o risco associado aos serviços que um fornecedor fornece à Microsoft. O perfil de processamento de dados do fornecedor determina quais controles DPR são considerados no escopo para fornecer a proteção de dados apropriada. Os fornecedores que processam dados considerados de maior risco devem estar em conformidade com todos os requisitos de DPR e também podem precisar fornecer verificação independente de conformidade. As ferramentas de compra da Microsoft validam o SSPA status de todos os fornecedores, incluindo a conformidade com as partes aplicáveis da DPR, antes de permitir a aquisição desse fornecedor.
Quais tipos de subprocessadores fornecem serviços para a Microsoft?
Um "subprocessador" é um terceiro que a Microsoft engaja cujas funções incluem o processamento de Dados Pessoais da Microsoft para o qual a Microsoft é um processador. Os subprocessadores da Microsoft se enquadram em três categorias. Cada um deve demonstrar a conformidade com o SSPA antes de poder processar os dados do cliente em nome da Microsoft.
- Subprocessadores de tecnologia que alimentam tecnologias integradas perfeitamente ao Microsoft serviços online e, em parte, alimentam as funções de nuvem da Microsoft. Se um cliente implantar um desses serviços, os subprocessadores identificados para esse serviço poderão processar, armazenar ou acessar dados do cliente ou dados pessoais enquanto ajudam a fornecer esse serviço.
- Subprocessadores auxiliares que fornecem serviços para ajudar a dar suporte, operar e manter serviços online. Nesses casos, os subprocessadores identificados podem processar, armazenar ou acessar Dados do Cliente e Dados Pessoais (que consistem em identificadores pessoais pseudonymizados) ao fornecer seus serviços auxiliares.
- As Organizações de Funcionários de Contrato fornecem funcionários contratados que trabalham lado a lado com funcionários da Microsoft em tempo integral para operar, entregar e manter os Serviços Microsoft Online. Em todos esses casos, os Dados do Cliente ou Dados Pessoais residem apenas em sistemas Microsoft e estão sujeitos a políticas e supervisão da Microsoft.
Além disso, as entidades de infraestrutura de data center da Microsoft fornecem a infraestrutura do datacenter na qual os Serviços Online da Microsoft são executados. Os dados dentro dos datacenters são criptografados e nenhum pessoal dentro dos datacenters pode acessá-los.
A tecnologia e terceiros auxiliares são necessários para implementar controles de acesso em conformidade com os Requisitos de Proteção de Dados (DPR) da Microsoft. Esses requisitos atendem ou excedem os compromissos contratuais que a Microsoft faz aos seus clientes nos Termos do Produto. Os fornecedores que executam o trabalho da equipe de contrato estão sujeitos aos mesmos controles de acesso em vigor para funcionários em tempo integral da Microsoft.
Como a Microsoft integra fornecedores?
Fornecedores de terceiros são necessários para assinar um Contrato Mestre da Microsoft como parte do processo de integração. Esse contrato rege a relação entre a Microsoft e seus fornecedores e garante um gerenciamento consistente das relações de fornecedores. Como parte da integração, os fornecedores se registram no SSPA e devem concluir todos os requisitos aplicáveis antes de serem aprovados para quaisquer categorias de processamento de dados. As unidades de negócios da Microsoft só podem criar compromissos com fornecedores quando a atividade de processamento de dados para o engajamento corresponder às categorias de processamento de dados para as quais o fornecedor foi aprovado.
Como a Microsoft notifica os clientes de alterações para fornecedores que processam seus dados?
De acordo com o DPA (Microsoft Products and Services Data Protection Addendum), a Microsoft realiza compromissos adicionais em relação aos períodos de aviso para a adição de qualquer subprocessador. Observe que os períodos de tempo dependem do tipo de dados que o subprocessador processará em nome da Microsoft. Conforme indicado na DPA, a Microsoft se compromete a fornecer aviso prévio aos clientes com pelo menos seis meses de antecedência de qualquer novo subprocessador que processará os Dados do Cliente. Para quaisquer outros Dados Pessoais, a Microsoft fornecerá pelo menos 30 dias de aviso prévio. O aviso é fornecido pela atualização da Lista de Subprocessadores dos Serviços Online da Microsoft.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela abaixo para validação de controles relacionados ao gerenciamento de fornecedores.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução de Aplicabilidade Certificado |
A.15.1: Segurança de informações nas relações com fornecedores | 6 de novembro de 2023 |
| ISO 27017 Instrução de Aplicabilidade Certificado |
A.15.1: Segurança de informações nas relações com fornecedores | 6 de novembro de 2023 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.8.1: Divulgação do processamento de PII subcontratado | 6 de novembro de 2023 |
| SOC 2 SOC 3 |
SOC2-25: Gerenciamento de risco de fornecedor C5-2: Revisão do perfil de risco do fornecedor |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | CA-3: interconexões do sistema IA-4: gerenciamento de identificador PS-6: Contratos de acesso PS-7: segurança de pessoal de terceiros SA-4: Processo de aquisições SA-9: Serviços externos do sistema de informações SA-12: proteção da cadeia de suprimentos |
31 de julho de 2023 |
| ISO 27001/27002/27017 Instrução de Aplicabilidade Certificação (27001/27002) Certificação (27017) |
A.15.1: Segurança de informações nas relações com fornecedores | março de 2024 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.8.1: Divulgação do processamento de PII subcontratado | março de 2024 |
| SOC 2 | CA-53: monitoramento de terceiros | 23 de janeiro de 2024 |
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de