Знакомство с требованиями к дополнительному обработчику данных Майкрософт

  • 5 мин

Корпорация Майкрософт обрабатывает множество типов данных в рамках предоставления облачных служб своим клиентам. Мы классифицируем обрабатываемые данные, чтобы обеспечить их обработку с помощью соответствующих мер безопасности и конфиденциальности. Категории данных, обрабатываемых корпорацией Майкрософт, определяются в надстройке по защите данных продуктов и служб Майкрософт (DPA).

Когда корпорация Майкрософт использует поставщика для доставки аспектов наших веб-служб, которые могут потребовать от поставщика обработки таких данных, поставщик определяется как "субобработчик" (в соответствии с терминологией GDPR). Все субобработчики, обрабатывающие "Персональные данные" и "Конфиденциальные данные Майкрософт", должны соблюдать программу Microsoft Supplier Security and Privacy Assurance (SSPA), прежде чем им будет разрешено обрабатывать данные от имени Корпорации Майкрософт.

Типы данных, передаваемых корпорации Майкрософт

Персональные данные определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, также известному как субъект данных. Персональные данные могут быть разделены на четыре отдельные категории данных:

  • Данные клиента — это все данные, включая все текстовые, звуковые, видеофайлы или файлы изображений, а также программное обеспечение, предоставляемое корпорации Майкрософт клиентом или от его имени в рамках использования веб-службы, за исключением данных профессиональных служб Майкрософт.
  • Данные, создаваемые службами включают все данные "создаваемые" или "получаемые" корпорацией Майкрософт в ходе работы веб-службы. Корпорация Майкрософт собирает эти данные из своих веб-служб и использует их для обеспечения требуемого клиентами уровня производительности, безопасности, масштабирования и работы других служб, влияющих на взаимодействие с клиентами.
  • Диагностические данные включают все данные, "собранные" или "полученные" из приложений, установленных локально для использования в связи с корпоративной веб-службой Майкрософт. Они используются для обеспечения корпорацией Майкрософт безопасности и правильной работы клиентского программного обеспечения.
  • Данные профессиональных служб — это все данные, включая все текстовые, звуковые, видеофайлы, файлы изображений или программное обеспечение, которые предоставляются корпорации Майкрософт, клиентом или от имени клиента (или которые Клиент разрешает корпорации Майкрософт получать из Продукта) или иным образом получены или обработаны корпорацией Майкрософт или от ее имени в рамках взаимодействия с корпорацией Майкрософт для получения профессиональных услуг. Данные Профессиональных услуг включают данные поддержки, которые предоставляются корпорации Майкрософт во время технической поддержки для веб-службы.
  • Конфиденциальные данные Майкрософт относятся к любой информации, которая в случае нарушения конфиденциальности или целостности может привести к значительной репутации или финансовой потере корпорации Майкрософт. Сюда могут входить сведения о разработке, тестировании или производстве продуктов Майкрософт, лицензионных ключей и маркетинговых материалов для предварительной версии.
Типы данных Определение
Данные клиента Предоставлено клиентом
Диагностические данные Собранные или полученные из программного обеспечения, установленного Клиентом
Данные, созданные службой Создано или наследуется корпорацией Майкрософт
Данные Профессиональных услуг

Данные поддержки		 Предоставляется клиентом в связи с профессиональными услугами

Подмножество данных о профессиональных услугах, предоставляемых Клиентом в связи с технической поддержкой
Персональные данные Любой из указанных выше типов данных, относящихся к идентифицированному или идентифицируемому физическому лицу

Программа обеспечения безопасности и конфиденциальности для поставщиков Майкрософт (SSPA)

Программа обеспечения безопасности и конфиденциальности для поставщиков Майкрософт (SSPA) — это корпоративная программа, предназначенная для стандартизации и повышения надежности методов обработки данных путем настройки требований к конфиденциальности и безопасности для поставщиков Майкрософт. Программа SSPA требует от поставщиков продемонстрировать соответствие строгим политикам конфиденциальности и безопасности Майкрософт, юридическим обязательствам и ожиданиям клиентов. Для защиты данных, доверенных нашим поставщикам, корпорация Майкрософт требует, чтобы все субобработчики, обрабатывающие персональные данные или конфиденциальные данные Майкрософт, соблюдали программу SSPA.

Программа SSPA включает набор средств контроля безопасности и конфиденциальности, которые должны быть реализованы дополнительными обработчиками данных перед обработкой данных от имени корпорации Майкрософт. Мы определяем эти элементы управления в требованиях к защите данных (DPR). Перед началом работ по контракту все дополнительные обработчики данных, зарегистрированные в программе SSPA, должны проверить и подтвердить свое соответствие применимым средствам контроля DPR. Кроме того, дополнительные обработчики данных должны ежегодно проходить самостоятельную аттестацию соответствия требованиям DPR. В зависимости от уровня риска, связанного с обрабатываемыми данными и службами, предоставляемыми субобработчиком, могут потребоваться дополнительные требования. Мы рассмотрим эти дополнительные требования далее в этом модуле.

Соответствие дополнительного обработчика данных требованиям программы SSPA отслеживается в средствах покупки Майкрософт. Средства покупки не позволяют продолжать взаимодействие с дополнительными обработчиками данных до тех пор, пока не будут выполнены все требования. Несоответствие требованиям SSPA приведет к тому, что дополнительному обработчику данных будет запрещено получать доступ или обрабатывать данные от имени корпорации Майкрософт.

Подробнее