Entender a integração e o monitoramento do subprocessador
Quando a Microsoft inicia um contrato de suporte com um subprocessador, fluxos de trabalho e processos específicos garantem que os subprocessadores atendam aos requisitos antes de iniciar o trabalho contratado. Os novos subprocessadores devem concluir uma série de verificações para validar se seus sistemas de informações atendem aos requisitos aplicáveis aos tipos de dados que eles processarão como parte do trabalho contratado. Como alternativa, o trabalho contratado atribuído a subprocessadores existentes que já atenderam aos requisitos permite que a Microsoft limite o número de subprocessadores que processam dados pessoais ou cliente.
Adicionando um novo subprocessador
Adicionar um novo subprocessador requer uma série de verificações rigorosas para garantir que o subprocessador atenda aos padrões da Microsoft antes de iniciar o trabalho contratado. Essas etapas de verificação incluem, mas não estão limitadas a:
- Uma marcar de verificação de negócios: uma revisão da empresa para determinar por que o uso desse fornecedor é necessário em vez de um fornecedor que já está aprovado. Depois que a aprovação da empresa for concedida, as verificações adicionais abaixo deverão ser executadas.
- Privacidade e conformidade marcar: valide se o subprocessador já foi divulgado pelo tempo apropriado e que todos os contratos e requisitos de certificação foram atendidos.
- Verificações anticorrupções: verifique se há sistemas globais de gerenciamento de relações e notícias para fornecedores que possam estar envolvidos em atividades de corrupção.
- Pontuação de risco de corrupção: essa é uma pontuação atribuída com base na verificação anticorrupções. A pontuação indica o nível de risco do fornecedor envolvido em atividades de corrupção.
- Uma verificação de não envolvimento: verificação interna da Microsoft contra fornecedores que foram considerados inadequados para uso.
- Triagem de sanções comerciais: uma revisão de sites de inspeção, registros governamentais e pesquisas de mídia para determinar se sanções comerciais se aplicam ao fornecedor.
Além disso, a aprovação da unidade de negócios é necessária como uma verificação final depois que todas as pontuações e verificações forem retornadas e contadas.
O registro do subprocessador começa com uma solicitação de email para um subprocessador em potencial com instruções para criar um perfil no MSCP (Portal de Conformidade do Fornecedor da Microsoft). Os subprocessadores usam o portal para escolher as atividades de processamento de dados para as quais desejam ser aprovados. Essas atividades de processamento de dados incluem:
- Processamento de dados pessoais e/ou dados confidenciais da Microsoft
- Processando dados na rede do fornecedor
- Função de processamento de dados (controlador, processador, co-controlador etc.)
- Processamento de cartão de pagamento
- Provisionamento de SaaS (Software como Serviço)
- Uso de subcontratados
- Designação de subprocessador
Depois que um subprocessador concluir seu perfil, ele receberá o conjunto completo ou um subconjunto de requisitos da DPR para serem concluídos dentro de 90 dias. Dependendo das aprovações selecionadas pelo subprocessador em seu perfil, o Independent Assurance pode ser necessário além de verificar a conformidade com os controles DPR atribuídos.
Em alguns casos, os requisitos podem ser atendidos por meio de alternativas de certificação aceitáveis, como ISO 27701 (privacidade) e ISO 27001 (segurança).
Depois que um subprocessador tiver passado por todas as verificações aplicáveis, o status do SSPA estará sujeito à revisão final. Os revisores verificam todas as verificações relevantes e decidem quais tipos de processamento de dados devem ser aprovados. Depois que o perfil for aprovado, os subprocessadores receberão as aprovações de processamento de dados necessárias.