Descripción de la incorporación y supervisión de subprocesadores
Cuando Microsoft inicia un contrato de soporte técnico con un subprocesador, flujos de trabajo y procesos específicos garantizan que los subprocesadores cumplan los requisitos antes de comenzar el trabajo contratado. Los nuevos subencargados deben completar una serie de comprobaciones para validar que sus sistemas de información cumplan los requisitos aplicables a los tipos de datos que procesarán como parte de su trabajo. Como alternativa, el trabajo contratado asignado a los subprocesadores existentes que ya cumplen los requisitos permite a Microsoft limitar el número de subprocesadores que procesan datos personales o de cliente.
Agregar un nuevo subencargado
Agregar un nuevo subencargado requiere una serie de comprobaciones rigurosas para garantizar que este cumpla los estándares de Microsoft antes de que pueda comenzar su trabajo. Estos pasos de comprobación incluyen, entre otros:
- Una comprobación de verificación empresarial: una revisión por parte de la empresa para determinar por qué se necesita el uso de este proveedor en lugar de un proveedor que ya está aprobado. Una vez que se ha concedido la aprobación empresarial, se deben realizar las siguientes comprobaciones adicionales.
- Comprobación de privacidad y cumplimiento: valide que el subprocesador ya se ha divulgado durante el tiempo adecuado y que se han cumplido todos los contratos y requisitos de certificación.
- Comprobaciones anticorrupción: compruebe los sistemas de administración de relaciones globales y las noticias de los proveedores que puedan estar implicados en actividades de corrupción.
- Puntuación de riesgo de corrupción: se trata de una puntuación que se asigna en función de la comprobación anticorrupción. La puntuación indica el nivel de riesgo del proveedor implicado en actividades de corrupción.
- Comprobación para evitar la participación: comprobación interna de Microsoft contra proveedores que hayan sido considerado inadecuados para su uso.
- Filtrado de las sanciones comerciales: una revisión de los sitios de inspección, registros gubernamentales y búsquedas de medios para determinar si se aplican las sanciones comerciales al proveedor.
Además, se requiere la aprobación de la unidad de negocios como comprobación final una vez devueltas y contabilizadas todas las puntuaciones y comprobaciones.
La inscripción del subencargado comienza con una solicitud de correo electrónico a otro posible subencargado con instrucciones para crear un perfil en el Portal de cumplimiento de proveedores de Microsoft (MSCP). Los subencargados usan el portal para elegir las actividades de procesamiento de datos para las que desean aprobación. Estas actividades de procesamiento de datos incluyen:
- Procesamiento de datos personales o datos confidenciales de Microsoft
- Procesamiento de datos en la red del proveedor
- Rol de procesamiento de datos (responsable, encargado, cοrresponsable, etc.)
- Procesamiento de las tarjetas de pago
- Aprovisionamiento de software como servicio (SaaS)
- Uso de subcontratistas
- Designación de subprocesador
Una vez que un subprocesador haya completado su perfil, se les proporcionará el conjunto completo o un subconjunto de requisitos del DPR para completarlo en un plazo de 90 días. Dependiendo de las aprobaciones seleccionadas por el subprocesador en su perfil, Independent Assurance puede ser necesario además de comprobar el cumplimiento con los controles DPR asignados.
En algunos casos, los requisitos se pueden cumplir a través de alternativas de certificación aceptables, como ISO 27701 (privacidad) e ISO 27001 (seguridad).
Una vez que un subencargado ha superado todas las comprobaciones aplicables, su estado de SSPA está sujeto a la revisión final. Los revisores realizan todas las comprobaciones pertinentes y deciden qué tipos de procesamiento de datos deben aprobarse. Una vez aprobado el perfil, los subencargados reciben las aprobaciones de procesamiento de datos necesarias.