供應商管理概觀
Microsoft如何管理與供應商相關的風險?
Microsoft第三方公司的合作夥伴,協助滿足客戶的需求。 這些第三方公司稱為供貨商。 Microsoft的供應商安全性和隱私權是由我們的供應商 安全性與隱私權保證 (SSPA) 計劃所控管,這是一組企業性需求,適用於與Microsoft合作提供在線服務的所有供應商。 雖然 SSPA 計劃提供我們供應商基底的全面治理和管理,但個別業務單位可能會維護其供應商的其他需求。
Microsoft的供應商安全性和隱私權保證 (SSPA) 計劃如何保護客戶數據?
SSPA 是Microsoft採購、公司外部和法律事務與公司安全性之間的合作關係,以確保供應商遵守Microsoft的隱私權和安全策略。 SSPA 的範圍涵蓋所有處理個人資料或Microsoft機密數據的供應商。 SSPA 計劃註冊包括遵循Microsoft的數據保護需求 (DPR) 。 DPR 包含供應商必須實作的安全性和隱私權控制,才能開始與Microsoft共同作業。 所有已註冊的供應商都會每年自我證明是否符合 DPR。
DPR 需求的範圍是以供應商在 SSPA 中註冊時可核准的六個不同數據處理類別為基礎。 這些類別可用來識別與供應商提供給Microsoft之服務相關聯的風險。 供應商的數據處理配置檔會決定哪些 DPR 控制項被視為在範圍內,以提供適當的數據保護。 處理被視為較高風險之數據的供應商必須符合所有 DPR 需求,也可能需要提供獨立的合規性驗證。 Microsoft購買工具會在允許採購該供應商之前,先驗證所有供應商的 SSPA 狀態,包括符合 DPR 適用部分的合規性。
哪些類型的轉包處理者為Microsoft提供服務?
「轉包處理者」是第三方,Microsoft參與其職責包括處理Microsoft Microsoft為處理者的個人資料。 Microsoft的轉包處理器分成三個類別。 每個都必須先示範 SSPA 的合規性,才能代表Microsoft處理客戶數據。
- 技術 轉包處理者,可提供與Microsoft在線服務緊密整合的技術,並部分支援Microsoft雲端功能。 如果客戶部署其中一項服務,則為該服務識別的轉包處理者可能會處理、儲存或存取客戶數據或個人資料,同時協助提供該服務。
- 提供 服務以協助支援、操作及維護在線服務的輔助轉包處理器。 在這種情況下,識別的轉包處理者可能會處理、儲存或以其他方式存取客戶數據和個人資料 (包括提供其輔助服務時) 化的化名個人標識符。
- 合約員工組織 提供與Microsoft全職員工並行工作的合約員工,以操作、交付及維護在線服務Microsoft。 在這類情況下,客戶數據或個人資料僅位於Microsoft系統上,且受限於Microsoft原則和監督。
此外, Microsoft數據中心基礎結構實體 會提供Microsoft Online Services 執行所在的數據中心基礎結構。 數據中心內的數據會加密,而且數據中心內的人員無法存取它。
需要技術和輔助第三方,才能根據Microsoft的數據保護需求 (DPR) 來實作訪問控制。 這些需求符合或超過Microsoft產品 條款中對客戶所做的合約承諾。 執行合約員工工作的供應商受限於Microsoft全職員工的相同訪問控制。
Microsoft供應商如何上線?
第三方供應商必須簽署Microsoft主合約,作為上架程式的一部分。 此合約會控管Microsoft與其供應商之間的關聯性,並確保一致的供應商關係管理。 在上架過程中,供應商會註冊 SSPA,而且必須先完成所有適用的需求,才能核准任何數據處理類別。 Microsoft業務單位只有在參與專案的數據處理活動符合已核准供應商的數據處理類別時,才能夠與供應商建立約定。
如何Microsoft通知客戶對處理其數據的供應商所做的變更?
根據 Microsoft 產品和服務數據保護增補 (DPA) ,Microsoft針對新增任何轉包處理者的通知期間做出額外的承諾。 請注意,時間範圍取決於轉包處理者將代表Microsoft處理的數據類型。 如 DPA 中所述,Microsoft承諾在任何將處理客戶數據的新轉包處理者之前至少六個月通知客戶。 針對任何其他個人資料,Microsoft至少會提供 30 天的通知。 請注意,Microsoft Online Services 轉包處理者清單的更新會提供。
相關外部法規 & 認證
Microsoft的在線服務會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與供應商管理相關的控制件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
|
ISO 27001 適用性聲明 認證 |
A.15.1:供應商關聯性中的資訊安全性 | 2024年4月8日 |
|
ISO 27017 適用性聲明 認證 |
A.15.1:供應商關聯性中的資訊安全性 | 2024年4月8日 |
|
ISO 27018 適用性聲明 認證 |
A.8.1:揭露轉包的 PII 處理 | 2024年4月8日 |
|
SOC 2 SOC 3 |
SOC2-25:供應商風險管理 C5-2:供應商風險配置文件檢閱 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-3:系統互連 IA-4:標識符管理 PS-6:存取合約 PS-7:第三方人員安全性 SA-4:取得程式 SA-9:外部資訊系統服務 SA-12:供應鏈保護 |
2023年7月31日 |
|
ISO 27001/27017 適用性聲明 認證 (27001) 認證 (27017) |
A.15.1:供應商關聯性中的資訊安全性 | 2024 年 3 月 |
|
ISO 27018 適用性聲明 認證 |
A.8.1:揭露轉包的 PII 處理 | 2024 年 3 月 |
| SOC 2 | CA-53:第三方監視 | 2024年1月23日 |