Обзор управления поставщиками
Как корпорация Майкрософт управляет рисками, связанными с поставщиками?
Корпорация Майкрософт сотрудничает со сторонними компаниями, чтобы помочь в удовлетворении потребностей наших клиентов. Эти сторонние компании называются поставщиками. Безопасность и конфиденциальность поставщиков в Корпорации Майкрософт регулируется нашей программой обеспечения безопасности и конфиденциальности поставщиков (SSPA), которая является корпоративным набором требований ко всем поставщикам, которые сотрудничают с корпорацией Майкрософт для предоставления наших веб-служб. Хотя программа SSPA обеспечивает комплексное управление и управление нашей базой поставщиков, отдельные подразделения могут поддерживать дополнительные требования к своим поставщикам.
Как программа майкрософт по обеспечению безопасности и конфиденциальности (SSPA) защищает данные клиентов?
SSPA — это партнерство корпорации Майкрософт по закупкам, корпоративным внешним и юридическим вопросам и корпоративной безопасности для обеспечения соблюдения поставщиками принципов конфиденциальности и безопасности Корпорации Майкрософт. Область действия SSPA охватывает всех поставщиков, обрабатывающих Персональные данные или Конфиденциальные данные Майкрософт. Регистрация программы SSPA включает соблюдение требований Майкрософт к защите данных (DPR). КНДР состоит из средств контроля безопасности и конфиденциальности, которые поставщики должны реализовать, прежде чем начать контрактную работу с корпорацией Майкрософт. Все зарегистрированные поставщики ежегодно самостоятельно заверяют соответствие требованиям ДП.
Требования DPR определяются шестью отдельными категориями обработки данных, для которых поставщик может быть утвержден в рамках регистрации в SSPA. Эти категории используются для определения риска, связанного со службами, предоставляемыми поставщиком корпорации Майкрософт. Профиль обработки данных поставщика определяет, какие элементы управления DPR считаются в области для обеспечения надлежащей защиты данных. Поставщики, обрабатывающие данные, которые считаются более высокими рисками, должны соответствовать всем требованиям КНДР, а также могут потребоваться обеспечить независимую проверку соответствия. Средства закупок Майкрософт проверяют состояние SSPA всех поставщиков, включая соответствие применимым частям НДР, прежде чем разрешать закупки этого поставщика.
Какие типы субобработчиков предоставляют службы для корпорации Майкрософт?
"Субобработчик" — это третья сторона, которой занимается корпорация Майкрософт, в обязанности которой входит обработка Персональных данных Майкрософт, для которых корпорация Майкрософт является обработчиком. Субобработчики Майкрософт делятся на три категории. Каждый из них должен продемонстрировать соответствие SSPA, прежде чем обрабатывать данные клиентов от имени Корпорации Майкрософт.
- Подпроцессоры технологий , которые используют технологии, которые легко интегрированы с веб-службами Майкрософт и частично поддерживают облачные функции Майкрософт. Если клиент развертывает одну из этих служб, субобработчики, определенные для этой службы, могут обрабатывать, хранить или иным образом обращаться к данным клиента или персональным данным, помогая предоставлять такую службу.
- Вспомогательные субобработчики, предоставляющие услуги для поддержки, эксплуатации и обслуживания веб-служб. В таких случаях идентифицированные субобработчики могут обрабатывать, хранить или иным образом обращаться к данным клиента и персональным данным (состоящим из псевдонимизованных персональных идентификаторов) при предоставлении своих вспомогательных услуг.
- Организации контрактного персонала предоставляют контрактных сотрудников, которые работают параллельно с сотрудниками Майкрософт на полный рабочий день для работы, доставки и обслуживания веб-служб Майкрософт. Во всех таких случаях данные клиента или персональные данные хранятся только в системах Майкрософт и подчиняются политикам и надзору Корпорации Майкрософт.
Кроме того, сущности инфраструктуры центра обработки данных Майкрософт предоставляют инфраструктуру центра обработки данных, в которой выполняются microsoft Online Services. Данные в центрах обработки данных шифруются, и ни один персонал в центрах обработки данных не может получить к ним доступ.
Для реализации контроля доступа в соответствии с требованиями Корпорации Майкрософт к защите данных (DPR) требуются сторонние технологии и вспомогательные сторонние организации. Эти требования соответствуют или превышают договорные обязательства, которые корпорация Майкрософт предоставляет своим клиентам в Условиях продукта. Поставщики, выполняющие работу сотрудников по контрактам, применяют те же средства контроля доступа, что и для полных рабочих мест сотрудников Майкрософт.
Как корпорация Майкрософт поддерживает поставщиков?
Сторонние поставщики должны подписать главное соглашение Майкрософт в рамках процесса адаптации. Это соглашение регулирует отношения между корпорацией Майкрософт и ее поставщиками и обеспечивает согласованное управление отношениями с поставщиками. В рамках адаптации поставщики регистрируются в SSPA и должны выполнить все применимые требования, прежде чем они смогут быть утверждены для любой категории обработки данных. Подразделения Корпорации Майкрософт могут создавать взаимодействия с поставщиками только в том случае, если действия по обработке данных для взаимодействия соответствуют категориям обработки данных, для которых поставщик был утвержден.
Как корпорация Майкрософт уведомляет клиентов об изменениях поставщикам, обрабатывающим их данные?
В дополнение к защите данных продуктов и служб Майкрософт (DPA) корпорация Майкрософт принимает на себя дополнительные обязательства в отношении периодов уведомления о добавлении любого субобработчика. Время уведомления зависит от типа данных, которые будет обрабатываться субобработчиком от имени корпорации Майкрософт. Как указано в DPA, корпорация Майкрософт обязуется предоставлять клиентам уведомление не менее чем за шесть месяцев до любого нового субобработчика, который будет обрабатывать данные клиента. Для любых других персональных данных корпорация Майкрософт предоставит уведомление не менее чем за 30 дней. Уведомление предоставляется обновлением списка подпроцессоров Microsoft Online Services.
Связанные внешние правила & сертификации
Веб-службы Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением поставщиками, см. в таблице ниже.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
|
ISO 27001 Заявление о применимости Сертификат |
A.15.1. Информационная безопасность в отношениях с поставщиками | 8 апреля 2024 г. |
|
ISO 27017 Заявление о применимости Сертификат |
A.15.1. Информационная безопасность в отношениях с поставщиками | 8 апреля 2024 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.8.1. Раскрытие информации о субподрядной обработке персональных данных | 8 апреля 2024 г. |
|
SOC 2; SOC 3 |
SOC2-25: управление рисками поставщиков C5-2. Обзор профиля риска поставщика |
Пятница, 20 мая 2024 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP (Office 365) | CA-3: системные соединения IA-4: управление идентификаторами PS-6: соглашения о доступе PS-7: безопасность сторонних сотрудников SA-4: процесс приобретения SA-9: службы внешней информационной системы SA-12: защита цепочки поставок |
31 июля 2023 г. |
|
ISO 27001/27017 Заявление о применимости Сертификация (27001) Сертификация (27017) |
A.15.1. Информационная безопасность в отношениях с поставщиками | Март 2024 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.8.1. Раскрытие информации о субподрядной обработке персональных данных | Март 2024 г. |
| SOC 2; | CA-53: сторонний мониторинг | 23 января 2024 г. |
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по