Entender requisitos adicionais de subprocessador para as unidades de negócios da Microsoft
Embora o programa SSPA da Microsoft forneça um programa abrangente para a governança e o gerenciamento de nossa base de fornecedores, as unidades de negócios individuais podem manter requisitos adicionais para seus fornecedores. Por exemplo, o Microsoft 365 se compromete a fornecer aviso aos clientes quando novos subprocessadores são aprovados e impõe verificações adicionais ao contratar novos fornecedores. Requisitos adicionais de unidade de negócios são projetados para complementar os requisitos do SSPA e alinhar-se aos requisitos regulatórios e às obrigações contratuais.
Requisito de aviso
De acordo com o DPA (Products and Services Data Protection Addendum), a Microsoft realiza compromissos adicionais em relação aos períodos de aviso para a adição de qualquer subprocessador. Observe que os períodos de tempo dependem do tipo de dados que o subprocessador processará em nome da Microsoft.
Para resumir o que é declarado na DPA, a Microsoft se compromete a fornecer aviso prévio aos nossos clientes com pelo menos seis meses de antecedência de qualquer novo subprocessador que processará os Dados do Cliente. Para quaisquer outros Dados Pessoais, a Microsoft fornecerá pelo menos 30 – dias de aviso prévio.
Verificações de compras adicionais para novos fornecedores
Devido aos nossos compromissos de limitar o número de subprocessadores com acesso a dados pessoais e de clientes e fornecer aviso aos clientes acima e além dos requisitos do SSPA, introduzimos verificações adicionais de fornecedores ao comprar fornecedores que precisam de acesso aos Dados Pessoais da Empresa. Até que um subprocessador tenha sido aprovado, um fornecedor não terá acesso aos Dados Pessoais ou ao Cliente. Estes incluem requisitos como:
- Requisitos adicionais de contratação
- Requisitos adicionais de auditoria
- Aviso apropriado para nossos clientes