Visão geral do gerenciamento de fornecedores
Como é que a Microsoft gere riscos relacionados com fornecedores?
A Microsoft é parceira de empresas de terceiros para ajudar a satisfazer as necessidades dos nossos clientes. Estas empresas de terceiros são referidas como fornecedores. A segurança e privacidade dos fornecedores na Microsoft são regidas pelo nosso programa de Segurança e Privacidade dos Fornecedores (SSPA), um conjunto de requisitos para todos os fornecedores que fazem parceria com a Microsoft para fornecer os nossos serviços online. Embora o programa SSPA proporcione uma governação e gestão abrangentes da nossa base de fornecedores, as unidades empresariais individuais podem manter requisitos adicionais para os seus fornecedores.
Como é que o Programa de Segurança e Segurança de Privacidade (SSPA) do Fornecedor da Microsoft protege os dados dos clientes?
O SSPA é uma parceria entre o Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security para garantir que os fornecedores cumprem os princípios de privacidade e segurança da Microsoft. O âmbito do SSPA abrange todos os fornecedores que processam Dados Pessoais ou Dados Confidenciais da Microsoft. A inscrição do programa SSPA inclui a adesão aos Requisitos de Proteção de Dados (DPR) da Microsoft. A DPR consiste em controlos de segurança e privacidade que os fornecedores têm de implementar antes de iniciarem o trabalho contratado com a Microsoft. Todos os fornecedores inscritos atestam automaticamente a conformidade com a DPR anualmente.
Os requisitos de DPR são definidos com base em seis categorias distintas de processamento de dados para as quais um fornecedor pode ser aprovado como parte da inscrição no SSPA. Estas categorias são utilizadas para identificar o risco associado aos serviços que um fornecedor fornece à Microsoft. O perfil de processamento de dados do fornecedor determina quais os controlos de DPR que são considerados no âmbito para fornecer a proteção de dados adequada. Os fornecedores que processam dados considerados um risco mais elevado têm de cumprir todos os requisitos da DPR e também podem ter de fornecer uma verificação independente da conformidade. As ferramentas de compra da Microsoft validam o estado SSPA de todos os fornecedores, incluindo a conformidade com as partes aplicáveis da DPR, antes de permitir o aprovisionamento desse fornecedor.
Que tipos de subprocessadores fornecem serviços para a Microsoft?
Um "subprocessador" é um terceiro que a Microsoft dedica cujas funções incluem o processamento de Dados Pessoais da Microsoft para os quais a Microsoft é um processador. Os subprocessadores da Microsoft enquadram-se em três categorias. Cada um tem de demonstrar a conformidade com o SSPA antes de poder processar os dados dos clientes em nome da Microsoft.
- Subprocessadores tecnológicos que alimentam tecnologias totalmente integradas nos serviços online da Microsoft e, em parte, alimentam as funções da Microsoft Cloud. Se um cliente implementar um destes serviços, os subprocessadores identificados para esse serviço poderão processar, armazenar ou aceder a Dados do Cliente ou Dados Pessoais enquanto ajudam a fornecer esse serviço.
- Subprocessadores auxiliares que fornecem serviços para ajudar a suportar, operar e manter serviços online. Nesses casos, os subprocessadores identificados podem processar, armazenar ou aceder a Dados de Cliente e Dados Pessoais (compostos por identificadores pessoais pseudonimizados) ao fornecer os seus serviços auxiliares.
- As Organizações contratantes fornecem pessoal contratado que trabalha lado a lado com funcionários a tempo inteiro da Microsoft para operar, entregar e manter os Serviços Online da Microsoft. Em todos estes casos, os Dados do Cliente ou os Dados Pessoais residem apenas em sistemas Microsoft e estão sujeitos a políticas e supervisão da Microsoft.
Além disso, as entidades de infraestrutura do datacenter da Microsoft fornecem a infraestrutura do datacenter na qual os Serviços Online da Microsoft são executados. Os dados nos datacenters são encriptados e nenhum pessoal dentro dos datacenters pode aceder aos mesmos.
São necessários terceiros tecnológicos e auxiliares para implementar controlos de acesso em conformidade com os Requisitos de Proteção de Dados (DPR) da Microsoft. Estes requisitos cumprem ou excedem os compromissos contratuais assumidos pela Microsoft aos seus clientes nos Termos do Produto. Os fornecedores que efetuam o trabalho de pessoal contratado estão sujeitos aos mesmos controlos de acesso em vigor para os colaboradores a tempo inteiro da Microsoft.
Como é que a Microsoft integra fornecedores?
Os fornecedores terceiros têm de assinar um Contrato Principal da Microsoft como parte do processo de integração. Este contrato rege a relação entre a Microsoft e os respetivos fornecedores e garante uma gestão consistente das relações entre fornecedores. Como parte da integração, os fornecedores inscrevem-se no SSPA e têm de preencher todos os requisitos aplicáveis antes de poderem ser aprovados para quaisquer categorias de processamento de dados. As unidades empresariais da Microsoft só podem criar compromissos com fornecedores quando a atividade de processamento de dados para a cativação corresponde às categorias de processamento de dados para as quais o fornecedor foi aprovado.
Como é que a Microsoft notifica os clientes de alterações a fornecedores que processam os respetivos dados?
De acordo com a Adenda de Proteção de Dados (DPA) dos Produtos e Serviços microsoft, a Microsoft assumiu compromissos adicionais relativamente a períodos de aviso para a adição de qualquer subprocessador. Os intervalos de tempo de aviso dependem do tipo de dados que o subprocessador irá processar em nome da Microsoft. Conforme indicado no DPA, a Microsoft compromete-se a fornecer aviso aos clientes com, pelo menos, seis meses de antecedência sobre qualquer novo subprocessador que irá processar os Dados do Cliente. Para quaisquer outros Dados Pessoais, a Microsoft fornecerá, pelo menos, 30 dias de aviso prévio. O aviso é fornecido pela atualização da Lista de Subprocessadores do Microsoft Online Services.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela abaixo para obter a validação de controlos relacionados com a gestão de fornecedores.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001 Declaração de Aplicabilidade Certificado |
A.15.1: Segurança de informações nas relações com fornecedores | 8 de abril de 2024 |
| ISO 27017 Declaração de Aplicabilidade Certificado |
A.15.1: Segurança de informações nas relações com fornecedores | 8 de abril de 2024 |
| ISO 27018 Declaração de Aplicabilidade Certificado |
A.8.1: Divulgação do processamento de PII subcontratado | 8 de abril de 2024 |
| SOC 2 SOC 3 |
SOC2-25: Gestão de riscos do fornecedor C5-2: Revisão do perfil de risco do fornecedor |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | CA-3: Interligações do sistema IA-4: Gestão de identificador PS-6: Contratos de acesso PS-7: Segurança de pessoal de terceiros SA-4: processo de aquisições SA-9: Serviços do sistema de informações externas SA-12: Proteção contra cadeias de fornecimento |
31 de julho de 2023 |
| ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.15.1: Segurança de informações nas relações com fornecedores | Março de 2024 |
| ISO 27018 Declaração de Aplicabilidade Certificado |
A.8.1: Divulgação do processamento de PII subcontratado | Março de 2024 |
| SOC 2 | CA-53: Monitorização de terceiros | 23 de janeiro de 2024 |
Recursos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários