SSPA-Programm (Supplier Security and Privacy Assurance)
Wichtig
Die in diesem Artikel vorgestellten Informationen sind im Auftrag des SSPA-Teams (Supplier Security and Privacy Assurance) enthalten. Die aktuellsten Informationen finden Sie hier. Wenn es einen Konflikt zwischen den in diesem Artikel dargestellten Informationen und der SSPA-Seite gibt, ersetzt die SSPA-Seite die Informationen in diesem Artikel.
Microsoft ist der Ansicht, dass Datenschutz ein Grundrecht ist. In der Mission, jeden Einzelnen und jede Organisation auf der Welt zu befähigen, mehr zu erreichen, ist Microsoft bestrebt, das Vertrauen ihrer Kunden zu verdienen und aufrechtzuerhalten.
Starke Datenschutz- und Sicherheitspraktiken sind für diese Mission von entscheidender Bedeutung, wichtig für das Vertrauen und in mehreren gesetzlich vorgeschriebenen Rechtsordnungen. Die in den Datenschutz- und Sicherheitsrichtlinien von Microsoft erfassten Standards spiegeln unsere Werte als Unternehmen wider und erstrecken sich auf Lieferanten, die personenbezogene und vertrauliche Daten in unserem Auftrag verarbeiten.
Das Supplier Security and Privacy Assurance (SSPA)-Programm liefert die grundlegenden Datenverarbeitungsanweisungen von Microsoft an Lieferanten in Form der Datenschutzanforderungen für Microsoft-Lieferanten.
Hinweis
Lieferanten müssen möglicherweise zusätzliche Anforderungen auf Organisationsebene erfüllen, die außerhalb von SSPA von der Microsoft-Gruppe festgelegt und kommuniziert werden, die für das Engagement mit dem Lieferanten verantwortlich ist.
Übersicht über das SSPA-Programm
SSPA ist eine Partnerschaft zwischen Microsoft Procurement, Corporate External and Legal Affairs und Corporate Security, um sicherzustellen, dass die Datenschutz- und Sicherheitsprinzipien von Lieferanten befolgt werden. Der Anwendungsbereich von SSPA umfasst alle Lieferanten weltweit, die personenbezogene Daten und/oder vertrauliche Microsoft-Daten verarbeiten.
SSPA ermöglicht es dem Lieferanten, Datenverarbeitungsprofil-Auswahlen zu treffen, die den Waren- und/oder Dienstleistungslieferanten entsprechen, die vertraglich vereinbart wurden. Diese Auswahl löst entsprechende Anforderungen aus, um Compliance-Zusicherungen bereitzustellen.
Alle registrierten Lieferanten müssen einen jährlichen Selbstnachweis der DPR-Compliance abschließen. Das Datenverarbeitungsprofil eines Lieferanten bestimmt, ob die vollständige DPR ausgestellt wird oder ob eine Teilmenge der Anforderungen zutrifft. Lieferanten, die Daten verarbeiten, die Microsoft für ein höheres Risiko hält, müssen möglicherweise auch zusätzliche Anforderungen erfüllen, z. B. eine unabhängige Überprüfung der Compliance. Lieferanten, die sich in einer veröffentlichten Microsoft-Unterauftragsverarbeiterliste befinden, werden ebenfalls aufgefordert, eine unabhängige Überprüfung der Compliance bereitzustellen.
Wichtig
Complianceaktivitäten bestimmen den SSPA-Status Grün (konform) oder Rot (nicht konform). Microsoft-Einkaufstools überprüfen, ob der SSPA-Status grün ist (für jeden Lieferanten im Bereich für SSPA), bevor ein Engagement vorwärts ausgeführt werden kann.
SSPA-Bereich
Informationen dazu, ob der Lieferant personenbezogene Daten und/oder vertrauliche Microsoft-Daten verarbeitet, finden Sie in der Liste der Beispiele in den folgenden Tabellen. Dies sind Beispiele und keine vollständige Liste.
Personenbezogene Daten nach Datentyp
Beispiele sind unter anderem:
| Datentyp | Beispiele |
|---|---|
| Vertrauliche Daten |
|
| Kundeninhaltsdaten |
|
| Erfasste und generierte Daten |
|
| Kontodaten |
|
| Pseudonymisierte Informationen für Endbenutzer (EUPI) Von Microsoft erstellte Bezeichner zur Identifizierung von Benutzern von Microsoft-Produkten und -Diensten |
|
| Online-Kundendaten |
|
Vertrauliche Microsoft-Daten nach Datenklasse
Beispiele sind unter anderem:
| Data-Klasse | Beispiele |
|---|---|
| Streng vertraulich |
|
| Vertraulich |
|
Datenverarbeitungsprofil
Microsoft-Lieferanten haben die Kontrolle über ihr SSPA-Datenverarbeitungsprofil, sodass Lieferanten entscheiden können, welche Einsätze sie ausführen möchten.
Microsoft-Geschäftsgruppen sind nur in der Lage, Engagements mit Lieferanten zu erstellen, bei denen die Datenverarbeitungsaktivität den Vom Lieferanten erhaltenen Genehmigungen entspricht.
Lieferanten können ihr Datenverarbeitungsprofil jederzeit während des Jahres aktualisieren, wenn keine offenen Aufgaben vorhanden sind. Wenn eine Änderung vorgenommen wird, wird die entsprechende Aktivität ausgestellt und muss abgeschlossen werden, bevor die Genehmigungen gesichert sind. Die vorhandenen, abgeschlossenen Genehmigungen gelten, bis neu ausgestellte Anforderungen erfüllt sind.
Wenn die neu ausgeführten Aufgaben nicht innerhalb des zulässigen Zeitrahmens von 90 Tagen abgeschlossen werden, wird der SSPA-Status auf Rot aktualisiert (nicht konform), und das Konto wird von Microsoft-Kreditorensystemen deaktiviert.
Überlegungen zum Datenverarbeitungsbereich
Vertraulich: Wenn der Lieferant nur vertrauliche Microsoft-Daten verarbeitet, wird in ihrem Profil ein "Vertraulich"-Kennzeichen angezeigt. Der Lieferant kann keine personenbezogenen Daten verarbeiten.
Persönlich, Vertraulich: Wenn der Lieferant personenbezogene Daten verarbeitet, gibt sein Profil das Kennzeichen "Persönlich", "Vertraulich" an.
Verarbeitungsstandort bei Microsoft oder Kunden: Wenn der Lieferant Daten nur innerhalb von Microsoft-Systemen unter Verwendung von Microsoft-Anmeldeinformationen verarbeitet und den Sicherheits- und Datenschutzrichtlinien von Microsoft unterliegt, wird diese Option im Profil des Lieferanten ausgewählt.
Bei Supplier: Wenn die Bedingung "Bei Microsoft oder Kunde" (wie zuvor beschrieben) nicht zutrifft, ist dies die Option, die im Profil des Lieferanten widergespiegelt wird.
Überlegungen zur Datenverarbeitungsrolle
Controller: (umfasst unabhängige und gemeinsame Controller) Wenn der Lieferant sowohl ein Controller als auch ein Auftragsverarbeiter (für unterschiedliche Einsätze) ist, wählt der Lieferant "Prozessor" aus.
Prozessor Wenn der Lieferant Daten im Auftrag von Microsoft verarbeitet.
Unterauftragsverarbeiter: Ein Unterauftragsverarbeiter ist ein Drittanbieter, der von Microsoft ausgeführt wird, wobei seine Leistung die Verarbeitung personenbezogener Daten von Microsoft umfasst, für die Microsoft ein Auftragsverarbeiter ist. Lieferanten können sich nicht selbst als Unterauftragsverarbeiter bei Microsoft identifizieren, da dies eine Vorabgenehmigung durch interne Datenschutzteams erfordert. Lieferanten können nur unterauftragsverarbeiter sein, wenn Microsoft der Datenverarbeiter ist und der Lieferant berechtigte persönliche Enterprise-Datentypen verarbeitet. Unterauftragsverarbeiter verfügen über zusätzliche Vertrags- und Complianceanforderungen, einschließlich eines Nachtrags zum Datenschutz und einer unabhängigen Bewertung sowie zusätzlicher Zertifizierungsanforderungen.
Zahlungskartenverarbeitung: Wenn ein Teil der von einem Lieferanten verarbeiteten Daten Daten zur Unterstützung der Kreditkarten- oder anderen Zahlungskartenverarbeitung im Auftrag von Microsoft enthält. Diese Genehmigung ermöglicht es einem Lieferanten, sich an der Verarbeitung von Zahlungskarten zu beteiligen.
Software: Microsoft Procurement leitet Käufer durch einen Aufnahmeprozess für alle Softwarekäufe. Dies umfasst verschiedene Prüfungen, einschließlich SSPA-Triage, um zu entscheiden, ob der Lieferant, der die Software bereitstellt, für die SSPA-Verwaltung in den Anwendungsbereich fällt. Wenn SSPA erforderlich ist, müssen Lieferanten möglicherweise auch identifizieren, dass die SaaS-Profilauswahl (Software as a Service) gilt. Für SSPA-registrierte Lieferanten kann dies beim Ausfüllen des Datenverarbeitungsprofils im Microsoft Supplier Compliance Portal erfolgen. Für SSPA-Compliancezwecke können Sie SaaS allgemein anzeigen, um auch "Platform as a Service" (PaaS) und "Infrastructure as a Service" (IaaS) einzuschließen.
Software as a Service (SaaS): Mit SaaS können Benutzer über das Internet eine Verbindung mit cloudbasierten Anwendungen herstellen und diese verwenden. Microsoft definiert SaaS als Software, die auf allgemeinem Code basiert, der in einem 1:n-Modell auf Pay-for-Use-Basis oder als Abonnement basierend auf Verwendungsmetriken verwendet wird. Der Clouddienstanbieter entwickelt und verwaltet cloudbasierte Software, stellt automatische Softwareupdates bereit und stellt seinen Kunden Software über das Internet auf 1:n-Basis zur Verfügung. Diese Methode der Softwarebereitstellung und -lizenzierung ermöglicht es, online über ein Abonnement auf Software zuzugreifen, anstatt auf jedem einzelnen Computer gekauft und installiert zu werden.
Hinweis
Die meisten SaaS-Lieferanten müssen die Genehmigung des Subunternehmers im Microsoft Supplier Compliance Portal hinzufügen, wenn die personenbezogenen Daten oder vertraulichen Microsoft-Daten auf einer Drittanbieterplattform gehostet werden.
- Verwendung von Subunternehmern: Diese Kennzeichnung ist erforderlich, wenn der Lieferant Subunternehmer verwendet, um einen Teil der vertraglich vereinbarten Arbeit auszuführen. Dazu gehören auch Freiberufler.
Zuverlässigkeitsanforderungen
Die im Datenverarbeitungsprofil des Lieferanten ausgewählten Genehmigungen unterstützen SSPA bei der Bewertung des Risikoniveaus für das Engagement(n) des Lieferanten. Die SSPA-Complianceanforderungen unterscheiden sich basierend auf dem Datenverarbeitungsprofil und den zugehörigen Genehmigungen.
Es gibt auch Kombinationen, die Complianceanforderungen erhöhen oder verringern können. Die Kombinationen werden im Abschnitt "Anforderungen" basierend auf den Profilgenehmigungen erfasst.
Wenn das Profil des Lieferanten Software as a Service (SaaS), Subunternehmer, Websitehosting oder Zahlungskarten enthält, sind zusätzliche Zusicherungen erforderlich.
Selbstnachweis beim DPR
Alle bei SSPA registrierten Lieferanten müssen dem DPR innerhalb von 90 Tagen nach Erhalt der Anfrage einen Selbstnachweis der Einhaltung nachweisen. Diese Anforderung muss jährlich bereitgestellt werden, kann aber häufiger auftreten, wenn das Datenverarbeitungsprofil Mitte des Jahres aktualisiert wird. Lieferantenkonten werden in den SSPA-Status Rot (nicht konform) geändert, wenn der Zeitraum von 90 Tagen überschritten wird. Neue In-Scope-Bestellungen können erst verarbeitet werden, wenn der SSPA-Status grün (konform) wird.
Neu registrierte Lieferanten müssen die ausgestellten Anforderungen erfüllen, um den SSPA-Status grün (konform) zu sichern, bevor die Einsätze beginnen können.
Anwendbarkeit
Von Lieferanten wird erwartet, dass sie auf alle anwendbaren DPR-Anforderungen reagieren, die gemäß dem Datenverarbeitungsprofil ausgegeben werden. Es wird erwartet, dass im Rahmen der erteilten Anforderungen einige nicht für die Waren oder Dienstleistungen gelten, die der Lieferant Microsoft bereitstellt. Diese können mit einem detaillierten Kommentar für SSPA-Prüfer als "nicht zutreffend" gekennzeichnet werden.
DpR-Einreichungen werden vom SSPA-Team auf die Auswahl von "gilt nicht", "lokaler Rechtskonflikt" oder "Vertragskonflikt" gegen die erteilten Anforderungen überprüft.
Unabhängige Bewertungsanforderung
Bitte lesen Sie den Abschnitt "Anforderungen nach Genehmigungen", um die Genehmigungen für die Datenverarbeitung anzuzeigen, die diese Anforderung auslösen.
Lieferanten haben die Möglichkeit, Genehmigungen zu ändern, indem sie ihr Datenverarbeitungsprofil aktualisieren. Wenn der Lieferant jedoch über eine Datenverarbeitungsrolle des "Unterauftragsverarbeiters" verfügt, kann der Lieferant diese Genehmigung nicht ändern und muss jährlich eine unabhängige Bewertung durchführen lassen.
Der Abschnitt "Anforderungen basierend auf Profilgenehmigungen" enthält akzeptable Zertifizierungsalternativen, wenn Sie sich entscheiden, keinen unabhängigen Prüfer zu verwenden, um die Einhaltung der DPR zu überprüfen (falls zutreffend, z. B. für SaaS-Lieferanten, Websitehostinganbieter oder Lieferanten mit Subunternehmern). Die ISO 27701 (Datenschutz) und ISO 27001 (Sicherheit) werden als enge Zuordnung zum DPR verwendet.
Wenn ein Lieferant ein Gesundheitsdienstleister in der USA oder erfassten Entität ist, akzeptiert Microsoft einen HITRUST-Bericht zur Datenschutz- und Sicherheitsabdeckung.
SSPA kann eine unabhängige Bewertung manuell durchführen, wenn Umstände, die über Standardauslöser hinausgehen, eine zusätzliche Due Diligence rechtfertigen. Beispiele hierfür sind eine Anforderung des Datenschutzes oder der Sicherheit der Abteilung; Überprüfung der Behebung von Datenvorfällen; oder Anforderung für die automatisierte Ausführung von Rechten betroffener Personen.
PCI DSS-Zertifizierungsanforderung
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Framework für die Entwicklung robuster Sicherheit für Zahlungskartendaten, die Prävention, Erkennung und angemessene Reaktion auf Sicherheitsvorfälle umfasst. Das Framework wurde vom PCI Security Standards Council, einer Selbstregulierungs-Industrieorganisation, entwickelt. Der Zweck der PCI DSS-Anforderungen besteht darin, Technologie- und Prozessschwachstellen zu identifizieren, die Risiken für die Sicherheit der verarbeiteten Karteninhaberdaten darstellen.
Microsoft muss diese Standards einhalten. Wenn ein Lieferant Zahlungskarteninformationen im Auftrag von Microsoft verarbeitet, benötigen wir Nachweise für die Einhaltung dieser Standards.
Je nach Umfang der verarbeiteten Transaktionen muss ein Lieferant entweder über einen qualifizierten Sicherheitsbewertungsbewerter verfügen, der die Compliance zertifiziert, oder er kann ein Formular für einen Selbsteinschätzungsfragebogen ausfüllen.
Zahlungskartenmarken legen die Schwellenwerte für den Bewertungstyp fest, in der Regel:
Stufe 1: Bereitstellen eines PCI AOC-Zertifikats eines Drittanbieters
Ebene 2 oder 3: Stellen Sie einen PCI DSS-Self-Assessment Fragebogen (SAQ) bereit, der vom Lieferantenbeauftragten signiert wurde.
Software-as-a-Service-Anforderung
Lieferanten, die die SaaS-Definition erfüllen, die im Datenverarbeitungsprofil enthalten ist, müssen möglicherweise eine gültige ISO 27001-Zertifizierung bereitstellen.
Verwendung von Unterauftragsverarbeitern
Microsoft hält die Verwendung von Subunternehmern für einen Risikofaktor mit hohem Risiko. Lieferanten, die Subunternehmer verwenden, die personenbezogene und vertrauliche Daten von Microsoft verarbeiten, müssen diese Subunternehmer offenlegen. Darüber hinaus sollte der Lieferant auch die Länder offenlegen, in denen diese personenbezogenen Daten von jedem Subunternehmer verarbeitet werden.
Anforderungen basierend auf Profilgenehmigungen
| # | Profil | Zuverlässigkeitsanforderungen | Unabhängige Zusicherungsoptionen |
|---|---|---|---|
| 1 | Umfang: Persönlich, Vertraulich Verarbeitungsspeicherort: Bei Microsoft oder bei der Kundenverarbeitung Rolle: Prozessor oder Controller Datenklasse: Vertraulich oder streng vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR | |
| 2 | Umfang: Vertraulich Verarbeitungsspeicherort: Bei Supplier Rolle: N/V Datenklasse: Vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR | |
| 3 | Umfang: Vertrauliche Verarbeitung Verarbeitungsspeicherort: Bei Supplier Rolle: Prozessor Datenklasse: Streng vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR und unabhängige Konformitätsgewisserung | Optionen für unabhängige Zusicherungen: 1. Durchführen einer unabhängigen Bewertung gegenüber dem DPR 2. Iso 27001 einreichen |
| 4 | Umfang: Persönlich, Vertraulich Verarbeitungsspeicherort: Bei Lieferantenverarbeitung Rolle: Prozessor Datenklasse: Streng vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR und unabhängige Konformitätsgewisserung | Optionen für unabhängige Zusicherungen: 1. Durchführen einer unabhängigen Bewertung gegenüber dem DPR 2. Unabhängige Bewertung der Abschnitte A-I der DPR und ISO 27001 3. Einreichen von ISO 27701 und ISO 27001 |
| 5 | Umfang: Persönlich, Vertraulich Verarbeitungsspeicherort: Bei Supplier Rolle: Prozessor Datenklasse: Vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR | |
| 6 | Umfang: Persönlich, Vertraulich Verarbeitungsspeicherort: Bei Supplier Rolle: Controller Datenklasse: Vertraulich oder streng vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR | |
| 7 | Umfang: Persönlich, Vertraulich Verarbeitungsspeicherort: Jegliche Rolle: Unterauftragsverarbeiter (Diese Rolle wird von Microsoft bestimmt – Profil liest "Unterauftragsverarbeitergenehmigung: Ja") Datenklasse: Vertraulich oder streng vertraulich Zahlungskarten: Nicht zutreffend Saas: Nicht zutreffend Verwendung von Subunternehmern: Nicht zutreffend Websitehosting: Nicht zutreffend |
Selbstnachweis der Einhaltung des DPR und unabhängige Konformitätsgewisserung | Optionen für unabhängige Zusicherungen: 1. Durchführen einer unabhängigen Bewertung gegenüber dem DPR 2. Unabhängige Bewertung der Abschnitte A-I der DPR und ISO 27001 3. Einreichen von ISO 27701 und ISO 27001 |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für