Знакомство с подключением и мониторингом дополнительного обработчика данных
Когда корпорация Майкрософт инициирует контракт на поддержку с субобработчиком, определенные рабочие процессы и процессы обеспечивают соответствие субобработчиков требованиям, прежде чем начинать работу по контракту. Новые дополнительные обработчики данных должны пройти ряд проверок, чтобы подтвердить соответствие их информационных систем требованиям, применимым к типам данных, которые они будут обрабатывать в рамках контрактной работы. Кроме того, контрактные работы, назначенные существующим субобработчикам, которые уже выполнили требования, позволяет корпорации Майкрософт ограничить число субобработчиков, обрабатывающих данные клиента или Персональные данные.
Добавление нового дополнительного обработчика данных
Для добавления нового дополнительного обработчика данных требуется ряд строгих проверок, чтобы обеспечить соответствие дополнительного обработчика данных стандартам Майкрософт, прежде чем он сможет начать контрактную работу. К этим действиям проверки в том числе относятся:
- Проверка бизнеса проверка. Проверка предприятия, чтобы определить, почему требуется использование этого поставщика, а не поставщика, который уже утвержден. После утверждения предприятием необходимо выполнить дополнительные проверки, указанные ниже.
- Конфиденциальность и соответствие требованиям проверка. Убедитесь, что субобработчик уже был раскрыт в течение соответствующего периода времени и что выполнены все контракты и требования к сертификации.
- Антикоррупционные проверки: проверка в системах управления глобальными связями и новостях на наличие поставщиков, которые могут быть вовлечены в коррупционные действия.
- Оценка риска коррупции: это оценка, назначаемая на основе антикоррупционной проверки. Оценка указывает уровень риска вовлечения поставщика в коррупционные действия.
- Проверка "не взаимодействовать": внутренняя проверка Майкрософт в отношении поставщиков, которые были признаны недопустимыми для использования.
- Проверка торговых санкций: обзор сайтов контроля, записей государственных организаций и поиск в СМИ, чтобы определить, применяются ли к поставщику торговые санкции.
Кроме того, требуется утверждение подразделения в качестве окончательной проверки после возврата и учета всех оценок.
Регистрация дополнительного обработчика данных начинается с запроса по электронной почте к потенциальному дополнительному обработчику данных с инструкциями по созданию профиля на портале соответствия требованиям поставщиков Майкрософт (MSCP). Дополнительные обработчики данных используют портал для выбора действий по обработке данных, для которых они хотят получить утверждение. Эти действия по обработке данных включают:
- Обработка персональных данных и/или конфиденциальных данных Майкрософт
- Обработка данных в сети поставщика
- Роль обработки данных (управляющий данными, обработчик данных, соуправляющий данными и т. д.)
- Обработка платежных карт
- Подготовка программного обеспечения как услуги (SaaS)
- Использование субподрядчиков
- Обозначение субобработчика
После того как субобработчик завершит свой профиль, ему будет предоставлен либо полный набор, либо подмножество требований от КНДР, чтобы завершить в течение 90 дней. В зависимости от утверждений, выбранных субобработчиком в своем профиле, в дополнение к проверке соответствия назначенным элементам управления DPR может потребоваться независимая проверка.
В некоторых случаях требования могут быть выполнены с помощью приемлемых альтернатив сертификации, таких как ISO 27701 (конфиденциальность) и ISO 27001 (безопасность).
После того как дополнительный обработчик данных пройдет все соответствующие проверки, его статус SSPA подлежит окончательной проверке. Проверяющие проверяют все соответствующие проверки и решают, какие типы обработки данных должны быть утверждены. После утверждения профиля дополнительные обработчики данных получают необходимые утверждения обработки данных.