供应商安全和隐私保障 (SSPA) 计划
重要
本文中提供的信息代表供应商安全和隐私保障 (SSPA) 团队。 此处提供了最新信息。 如果本文中提供的信息与 SSPA 页之间存在冲突,则 SSPA 页面将取代本文中的信息。
Microsoft认为隐私是一项基本权利。 为了使地球上的每一个人和组织都能取得更多成就,Microsoft努力赢得和维护客户的信任。
强大的隐私和安全做法对于这一使命至关重要,对于信任至关重要,在法律要求的多个司法管辖区。 Microsoft隐私和安全策略中捕获的标准反映了我们作为一家公司的价值观,并扩展到代表我们处理个人和机密数据的供应商。
供应商安全和隐私保障 (SSPA) 计划以MICROSOFT供应商数据保护要求 (DPR) 的形式向供应商提供Microsoft基线数据处理指令。
注意
供应商可能必须满足由负责与供应商接触的Microsoft组在 SSPA 外部决定和传达的其他组织级别要求。
SSPA 计划概述
SSPA 是Microsoft采购、公司外部和法律事务以及公司安全之间的合作关系,以确保供应商遵循隐私和安全原则。 SSPA 的范围涵盖全球处理个人数据和/或Microsoft机密数据的所有供应商。
SSPA 使供应商能够进行数据处理配置文件选择,使其与供应商签订合同执行的商品和/或服务保持一致。 这些选择会触发相应的要求以提供合规性保证。
所有已注册的供应商必须完成每年的 DPR 合规性自我证明。 供应商的数据处理配置文件确定是颁发完整的 DPR,还是适用一部分要求。 处理Microsoft认为较高风险的数据的供应商可能还需要满足其他要求,例如提供独立的合规性验证。 发布Microsoft子处理器列表中的供应商也将被要求提供独立的合规性验证。
SSPA 范围
根据与Microsoft的合同处理个人或Microsoft机密数据的全球所有供应商必须遵守 SSPA 计划。 DPR 包含一个名为“定义”的部分,可在其中查找每个数据类别的定义和示例。
数据处理配置文件
Microsoft供应商可以控制其 SSPA 数据处理配置文件,使供应商能够决定他们希望有资格执行哪些活动。
Microsoft业务组只能与数据处理活动与供应商获得的批准相匹配的供应商进行互动。
如果没有未完成的任务,供应商可以在一年中随时更新其数据处理配置文件。 进行更改时,会发出相应的活动,并且必须在获得批准之前完成。 在完成新发布的要求之前,现有的已完成审批将适用。
如果新执行的任务未在允许的 90 天时限内完成,SSPA 状态将更新为红色 (不符合) ,并且帐户将从Microsoft应付帐款系统中停用。
保证要求
在供应商的数据处理配置文件中选择的审批有助于 SSPA 评估供应商参与活动的风险级别。 SSPA 合规性要求因数据处理配置文件和相关审批而异。
还有一些组合可能会提升或降低合规性要求。 组合在“基于配置文件审批的要求”部分中捕获。
如果供应商的个人资料包括软件即服务 (SaaS) 、分包商、网站托管或支付卡,则需要额外的保证。
向朝鲜提供自我证明
在 SSPA 中注册的所有供应商必须在收到请求后的 90 天内完成符合朝鲜的自证明。 此请求必须每年提供一次,但如果数据处理配置文件在年中更新,可能会更频繁。 如果超过 90 天期限,供应商帐户将更改为红色 (不符合) 的 SSPA 状态。 在 SSPA 状态变为符合绿色 () 之前,新的范围内采购订单无法处理。
新注册的供应商必须完成发布的要求,以确保符合绿色 () 的 SSPA 状态,然后才能开始预订。
适用性
供应商应响应根据数据处理配置文件发布的所有适用的 DPR 要求。 预计在所发布的要求中,有一些可能不适用于供应商为Microsoft提供的商品或服务。 这些内容可以标记为“不适用”,并有详细注释供 SSPA 审阅者验证。
朝鲜提交内容由 SSPA 团队审查,以针对发布的要求选择任何“不适用”、“本地法律冲突”或“合同冲突”。
独立评估要求
如果供应商具有 子处理者的数据处理角色,则需要他们每年进行一次独立评估。
如果你选择不使用独立评估员来验证遵守 DPR ((如果适用),则基于配置文件审批的要求部分包括可接受的认证替代方案,例如 SaaS 供应商、网站托管供应商或分包商) 供应商。 ISO 27701 (隐私) 和 ISO 27001 (安全) 作为提供与朝鲜的密切映射。
如果供应商是美国的医疗保健提供商或涵盖实体,Microsoft接受 HITRUST 报告,了解隐私和安全范围。
如果超出标准触发器的情况需要额外的尽职调查,SSPA 可以手动执行独立评估。 示例包括来自部门隐私或安全性的请求;数据事件修正的验证;或自动执行数据主体权限的要求。
PCI DSS 认证要求
如果供应商代表Microsoft处理支付卡信息,则需要提供遵守 支付卡行业数据安全标准 (PCI DSS) 标准的证据。
根据处理的交易量,供应商要么需要有合格的安全评估员认证合规性,要么可以完成自我评估问卷表。
支付卡品牌为评估类型设置阈值,通常:
级别 1:提供第三方评估员 PCI AOC 证书
级别 2 或 3:提供由供应商官员签署的 PCI DSS Self-Assessment 问卷 (SAQ) 。
软件即服务要求
满足数据处理配置文件中包含的 SaaS 定义的供应商可能需要提供有效的 ISO 27001 认证。
使用分包商
Microsoft认为使用分包商是一个高风险因素。 使用处理个人或Microsoft机密数据的分包商的供应商必须披露这些分包商。 此外,供应商还应披露每个分包商将处理个人数据的国家/地区。