供应商管理概述
Microsoft如何管理与供应商相关的风险?
Microsoft与第三方公司的合作伙伴,以帮助满足客户的需求。 这些第三方公司称为供应商。 Microsoft的供应商安全和隐私受供应商安全和隐私保障 (SSPA) 计划的约束,该计划是一组企业范围的要求,适用于与Microsoft合作交付联机服务的所有供应商。 虽然 SSPA 计划为我们的供应商基础提供全面的治理和管理,但各个业务部门可能会对其供应商保持额外的要求。
Microsoft的供应商安全和隐私保障 (SSPA) 计划如何保护客户数据?
SSPA 是Microsoft采购、公司外部和法律事务以及公司安全之间的合作关系,旨在确保供应商遵守Microsoft的隐私和安全原则。 SSPA 的范围涵盖处理个人数据或Microsoft机密数据的所有供应商。 SSPA 计划注册包括遵守Microsoft的数据保护要求 (DPR) 。 DPR 包括供应商在开始与Microsoft签订合同之前必须实施的安全和隐私控制措施。 所有注册的供应商每年都会自我证明符合 DPR。
DPR 要求的范围基于供应商在 SSPA 中注册过程中可以批准的六个不同的数据处理类别。 这些类别用于识别与供应商为Microsoft提供的服务相关的风险。 供应商的数据处理配置文件确定哪些 DPR 控制措施被视为在范围内,以提供适当的数据保护。 处理被视为较高风险的数据的供应商必须符合所有 DPR 要求,并且可能还需要提供独立的合规性验证。 在允许采购该供应商之前,Microsoft采购工具会验证所有供应商的 SSPA 状态,包括与朝鲜适用部分的合规性。
哪些类型的子处理器为Microsoft提供服务?
“子处理者”是Microsoft参与的第三方,其职责包括处理Microsoft个人数据,Microsoft是处理者。 Microsoft的子处理器分为三类。 每个公司都必须证明符合 SSPA,然后才能代表Microsoft处理客户数据。
- 技术子处理器为与Microsoft 联机服务无缝集成的技术提供支持,部分支持Microsoft云功能。 如果客户部署了其中一项服务,则为该服务标识的子处理者可能会处理、存储或以其他方式访问客户数据或个人数据,同时帮助提供服务。
- 辅助子处理器,提供服务以帮助支持、操作和维护联机服务。 在这种情况下,标识的子处理者可能会在提供其辅助服务时处理、存储或以其他方式访问客户数据和个人数据 (包括假名个人标识符) 。
- 合同员工组织 为与Microsoft全职员工并肩工作的合同员工提供运营、交付和维护Microsoft联机服务。 在所有此类情况下,客户数据或个人数据仅驻留在Microsoft系统上,并受Microsoft策略和监督的约束。
此外, Microsoft数据中心基础结构实体 提供运行 Microsoft Online Services 的数据中心基础结构。 数据中心内的数据已加密,数据中心内没有任何人员可以访问这些数据。
技术和辅助第三方需要按照Microsoft的数据保护要求 (DPR) 实施访问控制。 这些要求满足或超过Microsoft在 产品条款中对其客户做出的合同承诺。 执行合同员工工作的供应商受到Microsoft全职员工的相同访问控制。
Microsoft如何加入供应商?
作为载入过程的一部分,第三方供应商必须签署Microsoft主协议。 本协议管理Microsoft与其供应商之间的关系,并确保供应商关系的一致性管理。 作为加入的一部分,供应商在 SSPA 中注册,并且必须完成所有适用的要求,然后才能获得任何数据处理类别的批准。 Microsoft业务部门只有在参与的数据处理活动与供应商已批准的数据处理类别匹配时,才能与供应商建立预订。
Microsoft如何通知客户处理其数据的供应商发生更改?
根据Microsoft产品和服务数据保护附录 (DPA) ,Microsoft就添加任何子处理器的通知期限做出其他承诺。 请注意,时间范围取决于子处理器将代表Microsoft处理的数据类型。 如 DPA 中所述,Microsoft承诺在处理客户数据的任何新子处理者之前至少六个月向客户发出通知。 对于任何其他个人数据,Microsoft将至少提供 30 天的通知。 Microsoft Online Services 子处理器列表的更新提供了通知。
相关的外部法规 & 认证
定期审核Microsoft联机服务是否符合外部法规和认证。 有关与供应商管理相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
|
ISO 27001 适用性声明 证书 |
A.15.1:供应商关系中的信息安全 | 2024 年 4 月 8 日 |
|
ISO 27017 适用性声明 证书 |
A.15.1:供应商关系中的信息安全 | 2024 年 4 月 8 日 |
|
ISO 27018 适用性声明 证书 |
A.8.1:披露分包 PII 处理 | 2024 年 4 月 8 日 |
|
SOC 2 SOC 3 |
SOC2-25:供应商风险管理 C5-2:供应商风险状况审查 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP | CA-3:系统互连 IA-4:标识符管理 PS-6:访问协议 PS-7:第三方人员安全 SA-4:购置过程 SA-9:外部信息系统服务 SA-12:供应链保护 |
2024 年 8 月 21 日 |
|
ISO 27001/27017 适用性声明 认证 (27001) 认证 (27017) |
A.15.1:供应商关系中的信息安全 | 2024 年 3 月 |
|
ISO 27018 适用性声明 证书 |
A.8.1:披露分包 PII 处理 | 2024 年 3 月 |
| SOC 2 | CA-53:第三方监视 | 2024 年 1 月 23 日 |