供應商安全性與隱私權保證 (SSPA) 計劃
重要事項
本文中提供的資訊是代表供貨商安全性與隱私權保證 (SSPA) 小組。 此 處提供最新的資訊。 如果本文中呈現的資訊與 SSPA 頁面之間發生衝突,則 SSPA 頁面會取代本文中的資訊。
Microsoft認為隱私權是基本權利。 在讓地球上的每一個人和組織都能達成更多目標的任務中,Microsoft致力於贏得並維護客戶的信任。
強式隱私權和安全性做法對於此任務、信任至關重要,以及法律要求的數個管轄區中都很重要。 Microsoft隱私權和安全策略中所擷取的標準,會反映我們身為公司的價值,並延伸至代表我們處理個人和機密數據的供應商。
供應商安全性與隱私權保證 (SSPA) 計劃會以 Microsoft 供應商數據保護需求 (DPR) 的形式,將Microsoft的基準數據處理指示傳遞給供應商。
注意事項
供應商可能必須符合負責與供應商合作之Microsoft群組在 SSPA 外部決定和溝通的其他組織層級需求。
SSPA 計劃概觀
SSPA 是Microsoft採購、公司外部和法律事務與公司安全性之間的合作關係,以確保隱私權和安全性原則會由供貨商遵循。 SSPA 的範圍涵蓋全域處理個人資料和/或Microsoft機密數據的所有供應商。
SSPA 可讓供應商選取符合商品和/或服務供應商要執行的數據處理配置檔。 這些選取專案會觸發對應的需求,以提供合規性保證。
所有已註冊的供應商都必須完成 DPR 合規性的年度自我證明。 供應商的數據處理配置檔會判斷是否發出完整的 DPR,或是否套用需求子集。 處理Microsoft考慮較高風險之數據的供應商也可能需要符合其他需求,例如提供獨立的合規性驗證。 發佈Microsoft轉包處理者清單上的供應商也會被要求提供合規性的獨立驗證。
SSPA 範圍
根據與 Microsoft 合約處理個人或Microsoft機密數據的所有全球供應商都必須遵守 SSPA 計劃。 DPR 包含稱為定義的區段,您可以在其中找到每個資料類別的定義和範例。
數據處理配置檔
Microsoft供應商可以控制其 SSPA 數據處理配置檔,讓供應商決定他們想要執行哪些預定。
Microsoft業務群組只能與供應商建立業務開發,其中的數據處理活動符合供應商已取得的核准。
如果沒有開啟的工作,供應商就能夠在一年中的任何時間更新其數據處理配置檔。 進行變更時,會發出對應的活動,而且必須先完成,才能保護核准。 現有的已完成核准會套用到新發出的需求完成為止。
如果新執行的工作未在允許的 90 天時間範圍內完成,則 SSPA 狀態會更新為紅色 (不符合規範的) ,而且帳戶會從Microsoft帳戶可付費系統停用。
保證需求
供應商數據處理配置檔中選取的核准可協助 SSPA 評估供應商參與的風險層級。 SSPA 合規性需求會根據數據處理配置檔和相關聯的核准而有所不同。
另外還有一些組合可能會提高或降低合規性需求。 組合會擷取在 [根據配置檔核准的需求] 區段中。
如果供應商的配置檔包含軟體即服務 (SaaS) 、轉包商、網站主機或付款卡,則需要額外的保證。
DPR 的自我證明
在 SSPA 中註冊的所有供應商都必須在收到要求的 90 天內完成與 DPR 的合規性自我證明。 此要求必須每年提供一次,但如果在年中更新數據處理配置檔,可能會更頻繁。 如果超過 90 天的期間,供應商帳戶會變更為紅色 (不符合規範的 SSPA 狀態) 。 在 SSPA 狀態變成綠色 (符合規範的) 之前,無法處理新的範圍內採購單。
新註冊的供應商必須先完成核發的需求,才能確保符合綠色 (標準) 的 SSPA 狀態,才能開始參與。
適用性
供應商必須回應每個數據處理配置檔發出的所有適用 DPR 需求。 預期在發出的需求中,有些可能不適用於供應商提供給Microsoft的商品或服務。 這些可以標示為「不適用」,並提供詳細批註供 SSPA 檢閱者驗證。
SSPA 小組會針對「不適用」、「本機法律衝突」或「合約衝突」等任何選項,檢閱 DPR 提交,以符合核發的需求。
獨立評定需求
如果供應商具有 「轉包處理者」的數據處理角色,則必須每年進行獨立評定。
如果您選擇不使用獨立評估者來確認是否符合適用的 DPR (,例如 SaaS 供應商、具有轉包商) 的網站主控供應商或供貨商,則 [以設定檔核准為基礎的需求] 區段包含可接受的認證替代方案。 ISO 27701 (隱私權) 和 ISO 27001 (安全性) 是依賴來提供與 DPR 的緊密對應。
如果供應商是美國的醫療保健提供者或涵蓋的實體,Microsoft接受適用於隱私權和安全性涵蓋範圍的 HITRUST 報告。
如果超出標準觸發程式的情況需要額外的盡責調查,SSPA 可能會手動執行獨立評估。 範例包括來自除法隱私權或安全性的要求;驗證數據事件補救;或自動化數據主體許可權執行的需求。
PCI DSS 認證需求
如果供應商代表Microsoft處理付款卡資訊,則必須提供遵守 支付卡產業數據安全標準 (PCI DSS) 標準的證明。
視已處理的交易量而定,供應商必須具備合格安全性評估者認證合規性,或是可以完成自我評估問卷窗體。
付款卡品牌會設定評量類型的閾值,通常是:
層級 1:提供第三方評定者 PCI AOC 憑證
層級 2 或 3:提供供應商主管簽署的 PCI DSS Self-Assessment 問卷 (SAQ) 。
軟體即服務需求
符合數據處理配置檔所包含之 SaaS 定義的供應商可能需要提供有效的 ISO 27001 認證。
使用轉包商
Microsoft將使用轉包商視為高風險因素。 使用處理個人和或Microsoft機密數據之轉包商的供應商必須揭露這些轉包商。 此外,供應商也應該揭露每個轉包商將處理個人資料的國家/地區。