Onboarding und Überwachung von Unterauftragsverarbeitern verstehen

  • 6 Minuten

Wenn Microsoft einen Supportvertrag mit einem Unterauftragsverarbeiter initiiert, stellen bestimmte Workflows und Prozesse sicher, dass Unterauftragsverarbeiter die Anforderungen erfüllen, bevor sie mit der Vertragsarbeit beginnen. Neue Unterauftragsverarbeiter müssen eine Reihe von Überprüfungen durchlaufen, um sicherzustellen, dass ihre Informationssysteme die Anforderungen erfüllen, die für die Datentypen gelten, die sie als Teil der vertraglich vereinbarten Arbeiten verarbeiten werden. Alternativ können Vertragsarbeiten, die vorhandenen Unterauftragsverarbeitern zugewiesen sind, die die Anforderungen bereits erfüllt haben, die Anzahl von Unterauftragsverarbeitern begrenzen, die Kunden- oder personenbezogene Daten verarbeiten.

Hinzufügen eines neuen Unterauftragsverarbeiters

Zum Hinzufügen eines neuen Unterauftragsverarbeiters ist eine Reihe strenger Überprüfungen erforderlich, um sicherzustellen, dass der Unterauftragsverarbeiter die Standards von Microsoft erfüllt, bevor er mit der vertraglich vereinbarten Arbeit beginnen kann. Zu diesen Überprüfungsschritten gehören die folgenden, sind aber nicht auf diese beschränkt:

  • Eine Geschäftliche Überprüfung: Eine Überprüfung durch das Unternehmen, um festzustellen, warum die Verwendung dieses Lieferanten anstelle eines bereits genehmigten Lieferanten erforderlich ist. Nachdem die Genehmigung des Unternehmens erteilt wurde, müssen die folgenden zusätzlichen Überprüfungen ausgeführt werden.
  • Datenschutz- und Complianceprüfung: Überprüfen Sie, ob der Unterauftragsverarbeiter bereits für den angemessenen Zeitraum offengelegt wurde und dass alle Verträge und Zertifizierungsanforderungen erfüllt wurden.
  • Antikorruptionsprüfungen: Überprüfungen gegen globale Systeme für die Verwaltung von Beziehungen und Nachrichten für Lieferanten, die möglicherweise an Korruptionsaktivitäten beteiligt sind.
  • Korruptionsrisikobewertung: Dies ist eine Bewertung, die auf Grundlage der Antikorruptionsprüfung zugewiesen wird. Die Bewertung gibt die Höhe des Risikos für die Beteiligung des Lieferanten an Korruptionsaktivitäten an.
  • Eine „Nicht engagieren“-Prüfung: Eine interne Microsoft-Überprüfung gegen eine Liste von Lieferanten, die für die Verwendung als unangemessen eingestuft wurden.
  • Handelssanktionen-Screening: Eine Überprüfung von Beobachtungssites und Behördeneinträgen sowie Suche in Medien, um festzustellen, ob der Lieferant Handelssanktionen unterliegt.

Darüber hinaus ist die Genehmigung durch den Geschäftsbereich als abschließende Überprüfung erforderlich, nachdem alle Bewertungen und Prüfungen zurückgegeben und berücksichtigt wurden.

ein Workflow, der den SSPA-Registrierungsprozess in der nachstehenden Erzählung beschreibt.

Die Registrierung eines Unterauftragsverarbeiters beginnt mit einer Anforderung per E-Mail an einen potenziellen Unterauftragsverarbeiter mit Anweisungen zum Erstellen eines Profils im Microsoft Supplier Compliance Portal (MSCP). Unterauftragsverarbeiter verwenden das Portal, um die Datenverarbeitungsaktivitäten auszuwählen, für die sie zugelassen werden möchten. Diese Datenverarbeitungsaktivitäten umfassen:

  • Verarbeitung personenbezogener Daten und/oder von vertraulichen Microsoft-Daten
  • Verarbeiten von Daten im Lieferantennetzwerk
  • Datenverarbeitungsrolle (Verantwortlicher, Auftragsverarbeiter, Gemeinsam Verantwortlicher usw.)
  • Zahlungskartenverarbeitung
  • Bereitstellung von Software as a Service (SaaS)
  • Verwendung von Unterauftragsverarbeitern
  • Unterauftragsverarbeiterbezeichnung

Nachdem ein Unterauftragsverarbeiter sein Profil abgeschlossen hat, erhält er entweder den vollständigen Satz oder eine Teilmenge der Anforderungen des DPR, um innerhalb von 90 Tagen abzuschließen. Abhängig von den vom Unterauftragsverarbeiter in ihrem Profil ausgewählten Genehmigungen kann independent Assurance zusätzlich zur Überprüfung der Einhaltung der zugewiesenen DPR-Kontrollen erforderlich sein.

In einigen Fällen können Anforderungen durch akzeptable Zertifizierungsalternativen wie ISO 27701 (Datenschutz) und ISO 27001 (Sicherheit) erfüllt werden.

Sobald ein Unterauftragsverarbeiter alle anwendbaren Prüfungen bestanden hat, wird sein SSPA-Status einer abschließenden Überprüfung unterzogen. Prüfer verifizieren alle relevanten Prüfungen und entscheiden, welche Typen von Datenverarbeitung genehmigt werden sollen. Nachdem das Profil genehmigt wurde, erhalten Unterauftragsverarbeiter die erforderlichen Genehmigungen für die Datenverarbeitung.

Weitere Informationen