了解轉包處理者上線和監視
當 Microsoft 向轉包處理者起始支持合約時,特定工作流程和程式會先確保轉包處理者符合需求,再開始進行合約工作。 新的轉包處理者必須完成一系列的驗證,以確認他們的資訊系統符合其承包工作中待處理資料類型的適用需求。 或者,指派給已符合需求之現有轉包處理者的合約工作,可讓 Microsoft 限制處理客戶或個人資料的轉包處理者數目。
加入新的轉包處理者
加入新的轉包處理者需要一系列的嚴格驗證,必須先確保轉包處理者符合 Microsoft 標準,才能開始進行承包工作。 這些驗證步驟包括但不限於:
- 商務驗證檢查:由企業進行檢閱,以判斷為何需要使用此供應商,而不是已核准的供應商。 獲得企業核准之後,還有下列其他驗證必須執行。
- 隱私權與合規性檢查:驗證轉包處理者已在適當的時間內公開,且已符合所有合約和認證需求。
- 防貪腐檢查:針對可能涉及貪腐行為的供應商,查看全球關係管理系統和相關新聞。
- 貪腐風險分數:這是根據防貪腐檢查所指派的分數。 該分數會指出供應商涉及貪腐行為的風險層級。
- 不適用檢查:針對被認定為不適用的供應商進行 Microsoft 內部檢查。
- 貿易制裁檢測:查看觀察網站、政府記錄和媒體搜尋結果,以判斷供應商是否有貿易制裁。
此外,當所有分數和檢查都已傳回並列入考量之後,還需要業務單位核准來作為最終檢查。
轉包處理者註冊的最初動作是提供潛在轉包處理者的電子郵件要求,其中包含在 Microsoft 供應商合規性入口網站 (MSCP) 中建立設定檔的指示。 轉包處理者會使用入口網站來選擇想要要求核准的資料處理活動。 這些資料處理活動包括:
- 處理個人資料和/或 Microsoft 機密資料
- 處理供應商網路上的資料
- 資料處理角色 (控制者、處理者、共同控制者等)
- 支付卡處理
- 軟體即服務 (SaaS) 的佈建
- 使用轉包商
- 轉包處理器指定
一旦轉包處理者完成其配置檔之後,系統會在90天內為其提供完整設定或 DPR 中要完成的需求子集。 根據轉包處理者在其配置檔中選取的核准,除了確認是否符合指派的 DPR 控制項之外,也可能需要獨立保證。
在某些情況下,可以透過可接受的認證替代方案來滿足需求,例如 ISO 27701 (隱私權) 和 ISO 27001 (安全性) 。
當轉包處理者通過所有適用的檢查後,其 SSPA 狀態將受限於最終審查。 審查者會驗證所有相關檢查,並決定應核准哪些類型的資料處理。 設定檔獲得核准之後,轉包處理者就會收到必要的資料處理核准。