Información general sobre administración de suministros
¿Cómo administra Microsoft los riesgos relacionados con los proveedores?
Microsoft se asocia con compañías de terceros para ayudar a satisfacer las necesidades de nuestros clientes. Estas compañías de terceros se denominan proveedores o subprocesadores. La seguridad y privacidad de los proveedores en Microsoft se rige por nuestro programa De seguridad y privacidad de proveedores (SSPA),un conjunto de requisitos de toda la empresa para que todos los proveedores asociados con Microsoft entreguen nuestros servicios en línea. Aunque el programa SSPA proporciona un gobierno y una administración integrales de nuestra base de proveedores, las unidades de negocio individuales pueden mantener requisitos adicionales para sus proveedores.
¿Cómo protege el Programa de seguridad y privacidad de proveedores (SSPA) de Microsoft los datos de los clientes?
SSPA es una asociación entre Microsoft Procurement, Corporate External and Legal Affairs y Corporate Security para garantizar que los proveedores cumplan los principios de privacidad y seguridad de Microsoft. El ámbito de SSPA abarca todos los proveedores que procesan datos personales o datos confidenciales de Microsoft. La inscripción del programa SSPA incluye el cumplimiento de los requisitos de protección de datos (DPR) de Microsoft. La DPR consta de controles de seguridad y privacidad que los proveedores deben implementar antes de comenzar el trabajo contratado con Microsoft. Todos los proveedores inscritos autoatestan el cumplimiento de la RPD anualmente.
Los requisitos de DPR se basan en seis categorías distintas de procesamiento de datos para las que un proveedor puede aprobarse como parte de su inscripción en SSPA. Estas categorías se usan para identificar el riesgo asociado con los servicios que un proveedor proporciona a Microsoft. El perfil de procesamiento de datos del proveedor determina qué controles DPR se consideran en el ámbito para proporcionar la protección de datos adecuada. Los proveedores que procesan datos que se consideran de mayor riesgo deben cumplir con todos los requisitos de DPR y también deben proporcionar una comprobación independiente del cumplimiento. Las herramientas de compra de Microsoft validan el estado de SSPA de todos los proveedores, incluido el cumplimiento de las partes aplicables de la RPD, antes de permitir la adquisición de ese proveedor.
¿Qué tipos de subprocesadores proporcionan servicios para Microsoft?
Un "subprocesador" es un tercero al que Microsoft participa, cuyas funciones incluyen el procesamiento de datos personales de Microsoft para los que Microsoft es un procesador. Los subprocesadores de Microsoft se divide en tres categorías distintas. Cada uno debe demostrar el cumplimiento con el SSPA antes de poder procesar los datos de los clientes en nombre de Microsoft.
Los subencargados de tecnología proporcionan tecnologías que se usan para ofrecer servicios en línea específicos de Microsoft. Si un cliente implementa uno de estos servicios, los subprocesadores identificados para ese servicio pueden procesar, almacenar o tener acceso a datos personales o datos personales de los clientes mientras ayudan a proporcionar ese servicio.
Los subprocesadores auxiliares proporcionan servicios que admiten, operan y mantienen los servicios en línea. Si un cliente implementa uno de estos servicios, los subprocesadores identificados pueden procesar, almacenar o tener acceso a datos personales o datos personales limitados mientras proporcionan sus servicios auxiliares.
Los subprocesadores de aumento de personal tienen dos formas diferentes: en ambos escenarios, los datos personales residen solo en instalaciones de Microsoft, en sistemas Microsoft y están sujetos a directivas y supervisión de Microsoft.
- La primera forma de aumento del personal proporciona personal que respalda, opera y mantiene los servicios de Microsoft en línea. En el cumplimiento de sus responsabilidades, estos subencargados pueden estar expuestos a datos de clientes o datos personales. Por ejemplo, un subencargado puede realizar la solución de problemas remota en un servidor de Microsoft y, al hacerlo, puede exponerse a fragmentos de datos del cliente en un registro de volcado de memoria del servidor.
- La segunda forma de aumento de personal implica subprocesadores que trabajan en paralelo con los empleados a tiempo completo de Microsoft para admitir, operar y mantener los servicios en línea de Microsoft. Estos subencargados pueden exponerse a datos con seudónimo como parte de su trabajo junto con los empleados a tiempo completo de Microsoft.
La tecnología y los subprocesadores auxiliares son necesarios para implementar controles de acceso de acuerdo con los requisitos de protección de datos (DPR) de Microsoft. Estos requisitos cumplen o superan los compromisos contractuales que Microsoft realiza con sus clientes en los Términos de servicio en línea (OST). Los proveedores que realizan trabajos de aumento de personal están sujetos a los mismos controles de acceso para los empleados a tiempo completo de Microsoft.
¿Cómo incorpora Microsoft proveedores?
Los proveedores de terceros deben firmar un contrato maestro de Microsoft como parte del proceso de incorporación. Este contrato rige la relación entre Microsoft y sus proveedores y garantiza una administración coherente de las relaciones de los proveedores. Como parte de la incorporación, los proveedores se inscriben en el SSPA y deben completar todos los requisitos aplicables antes de poder aprobarse para cualquier categoría de procesamiento de datos. Las unidades de negocio de Microsoft solo pueden crear interacciones con los proveedores cuando la actividad de procesamiento de datos de la interacción coincide con las categorías de procesamiento de datos para las que el proveedor ha sido aprobado.
¿Cómo notifica Microsoft a los clientes los cambios en los proveedores que procesan sus datos?
Según el Addendum de Protección de datos del servicio en línea de Microsoft (DPA), Microsoft realiza compromisos adicionales con respecto a los períodos de aviso para la adición de cualquier subprocesador. Observe que los plazos dependen del tipo de datos que el subprocesador procesará en nombre de Microsoft. Como se indica en el DPA, Microsoft se compromete a proporcionar aviso a los clientes al menos seis meses antes de cualquier nuevo subprocesador que procesará los datos del cliente. Para cualquier otro dato personal, Microsoft proporcionará al menos 30 días de aviso. La actualización de la lista de subprocesadores Microsoft Online Services aviso.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la administración de proveedores.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.15.1: Seguridad de la información en las relaciones con proveedores | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.15.1: Seguridad de la información en las relaciones con proveedores | 2 de diciembre de 2020 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.8.1: Divulgación del procesamiento de PII subcontratado | 2 de diciembre de 2020 |
| SOC 2 SOC 3 |
SOC2-25: Administración de riesgos de proveedores C5-2: Revisión del perfil de riesgo del proveedor |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | CA-3: Interconexiones del sistema IA-4: Administración de identificadores PS-6: Acuerdos de acceso PS-7: Seguridad del personal de terceros SA-4: Proceso de adquisiciones SA-9: Servicios del sistema de información externa SA-12: Protección de la cadena de suministro |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.15.1: Seguridad de la información en las relaciones con proveedores | 20 de abril de 2021 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.8.1: Divulgación del procesamiento de PII subcontratado | 24 de diciembre de 2020 |
| SOC 2 | CA-53: Supervisión de terceros | 24 de diciembre de 2020 |