Programme SSPA (Supplier Security and Privacy Assurance)
Importante
Les informations présentées dans cet article sont au nom de l’équipe SSPA (Supplier Security and Privacy Assurance). Les informations les plus récentes sont disponibles ici. En cas de conflit entre les informations présentées dans cet article et la page SSPA, la page SSPA remplace les informations contenues dans cet article.
Microsoft estime que la confidentialité est un droit fondamental. Dans le but de permettre à chaque individu et organisation de la planète d’obtenir plus, Microsoft s’efforce de gagner et de maintenir la confiance de ses clients.
De solides pratiques en matière de protection de la vie privée et de sécurité sont essentielles à cette mission, essentielles à la confiance, et dans plusieurs juridictions requises par la loi. Les normes capturées dans les stratégies de confidentialité et de sécurité de Microsoft reflètent nos valeurs en tant qu’entreprise et s’étendent aux fournisseurs qui traitent les données personnelles et confidentielles en notre nom.
Le programme SSPA (Supplier Security and Privacy Assurance) fournit les instructions de traitement des données de référence de Microsoft aux fournisseurs sous la forme de la DPR (Microsoft Supplier Data Protection Requirements).
Remarque
Les fournisseurs peuvent être amenés à répondre à d’autres exigences de niveau organisationnel qui sont décidées et communiquées en dehors de la SSPA par le groupe Microsoft responsable de l’engagement avec le fournisseur.
Vue d’ensemble du programme SSPA
SSPA est un partenariat entre l’approvisionnement Microsoft, les affaires externes et juridiques de l’entreprise et la sécurité de l’entreprise pour garantir que les principes de confidentialité et de sécurité sont suivis par les fournisseurs. L’étendue de SSPA couvre tous les fournisseurs à l’échelle mondiale qui traitent les données personnelles et/ou les données confidentielles Microsoft.
SSPA permet au fournisseur d’effectuer des sélections de profils de traitement des données qui s’alignent sur les fournisseurs de biens et/ou de services qui sont contractés. Ces sélections déclenchent les exigences correspondantes pour fournir des garanties de conformité.
Tous les fournisseurs inscrits doivent effectuer une auto-attestation annuelle de conformité DPR. Le profil de traitement des données d’un fournisseur détermine si la DPR complète est émise ou si un sous-ensemble d’exigences s’applique. Les fournisseurs qui traitent des données que Microsoft considère comme présentant un risque plus élevé peuvent également avoir besoin de répondre à des exigences supplémentaires, telles que la vérification indépendante de la conformité. Les fournisseurs figurant sur une liste de sous-traitants Microsoft publiée sont également invités à fournir une vérification indépendante de la conformité.
Importante
Les activités de conformité déterminent un état SSPA vert (conforme) ou rouge (non conforme). Les outils d’achat Microsoft valident que l’état SSPA est Vert (pour chaque fournisseur dans l’étendue de SSPA) avant de permettre à un engagement d’aller de l’avant.
Étendue SSPA
Pour déterminer si le fournisseur traite les données personnelles et/ou les données confidentielles Microsoft, consultez la liste des exemples dans les tableaux suivants. Il s’agit d’exemples et non d’une liste exhaustive.
Données personnelles par type de données
Voici quelques exemples qui ne se limitent pas aux éléments suivants :
| Type de données | Exemples |
|---|---|
| Données sensibles |
|
| Données de contenu client |
|
| Données capturées et générées |
|
| Données de compte |
|
| Informations pseudonymes de l’utilisateur final (EUPI) Identificateurs créés par Microsoft pour identifier les utilisateurs des produits et services Microsoft |
|
| Données client en ligne |
|
Données confidentielles Microsoft par classe de données
Voici quelques exemples qui ne se limitent pas aux éléments suivants :
| Classe de données | Exemples |
|---|---|
| Hautement confidentiel |
|
| Confidentiel |
|
Profil de traitement des données
Les fournisseurs Microsoft contrôlent leur profil de traitement des données SSPA, ce qui permet aux fournisseurs de déterminer les engagements qu’ils souhaitent être éligibles pour effectuer.
Les groupes d’entreprises Microsoft peuvent uniquement créer des engagements avec les fournisseurs où l’activité de traitement des données correspond aux approbations obtenues par le fournisseur.
Les fournisseurs peuvent mettre à jour leur profil de traitement des données à tout moment de l’année s’il n’existe aucune tâche ouverte. Lorsqu’une modification est effectuée, l’activité correspondante est émise et doit être effectuée avant que les approbations soient sécurisées. Les approbations existantes terminées s’appliquent jusqu’à ce que les exigences nouvellement émises soient remplies.
Si les tâches qui viennent d’être exécutées ne sont pas terminées dans le délai de 90 jours autorisé, l’état SSPA est mis à jour en rouge (non conforme) et le compte est désactivé à partir des systèmes De comptes Microsoft Payable.
Considérations relatives à l’étendue du traitement des données
Confidentiel: Si le fournisseur traite uniquement les données confidentielles Microsoft, son profil affiche un indicateur Confidentiel. Le fournisseur ne sera pas en mesure de traiter des données personnelles.
Personnel, confidentiel : si le fournisseur traite des données personnelles, son profil indique l’indicateur Personnel et Confidentiel.
Emplacement de traitement chez Microsoft ou client : Si le fournisseur traite uniquement les données dans les systèmes Microsoft, à l’aide des informations d’identification Microsoft et est soumis à des stratégies de sécurité et de confidentialité Microsoft, cette option est sélectionnée sur le profil du fournisseur.
Chez Fournisseur : Si la condition « Chez Microsoft ou client » (comme décrit précédemment) ne s’applique pas, il s’agit de l’option qui sera reflétée dans le profil du fournisseur.
Considérations relatives au rôle de traitement des données
Contrôleur : (couvre les contrôleurs indépendants et conjoints) Si le fournisseur est à la fois un contrôleur et un processeur (pour différents engagements), le fournisseur sélectionne « Processeur ».
Processeur Lorsque le fournisseur traite des données pour le compte de Microsoft.
Sous-traitant : Un sous-traitant est un tiers que Microsoft s’engage à effectuer, où ses performances incluent le traitement des données personnelles Microsoft pour lesquelles Microsoft est un processeur. Les fournisseurs ne peuvent pas s’identifier eux-mêmes en tant que sous-traitants chez Microsoft, car ils doivent être préalablement approuvés par les équipes internes de confidentialité. Les fournisseurs ne peuvent être qu’un sous-traitant lorsque Microsoft est le processeur de données et que le fournisseur traite les types de données personnels d’entreprise éligibles. Les sous-traitants auront des exigences supplémentaires en matière de contrat et de conformité, notamment un addendum de protection des données et une évaluation indépendante, ainsi que des exigences de certification supplémentaires.
Traitement des cartes de paiement : Si une partie des données traitées par un fournisseur inclut des données pour prendre en charge la carte de crédit ou tout autre traitement de carte de paiement pour le compte de Microsoft. Cette approbation permet à un fournisseur de s’engager dans des engagements de traitement de carte de paiement.
Logiciel: Microsoft Procurement dirige les acheteurs par le biais d’un processus d’admission pour tous les achats de logiciels, ce qui inclut diverses vérifications, y compris le triage SSPA pour décider si le fournisseur fournissant le logiciel est dans l’étendue de la gestion SSPA. Si la SSPA est requise, les fournisseurs peuvent également avoir besoin d’identifier que le choix de profil SaaS (Software as a Service) s’applique. Pour les fournisseurs inscrits à la SSPA, cela peut être fait lors de l’exécution du profil de traitement des données dans le portail de conformité des fournisseurs Microsoft. À des fins de conformité SSPA, consultez SaaS de manière générale pour inclure également paaS (Platform as a Service) et IaaS (Infrastructure as a Service).
Software as a Service (SaaS) : SaaS permet aux utilisateurs de se connecter à des applications cloud et d’utiliser celle-ci via Internet. Microsoft définit SaaS en tant que logiciel basé sur le code commun utilisé dans un modèle un-à-plusieurs sur une base de paiement à l’utilisation ou comme un abonnement basé sur des métriques d’utilisation. Le fournisseur de services cloud développe et gère des logiciels basés sur le cloud, fournit des mises à jour logicielles automatiques et met les logiciels à la disposition de ses clients via Internet sur une base de paiement à l’utilisation un-à-plusieurs. Cette méthode de distribution et de gestion des licences logicielles permet d’accéder aux logiciels en ligne via un abonnement plutôt que d’être achetés et installés sur chaque ordinateur individuel.
Remarque
La plupart des fournisseurs SaaS devront ajouter l’approbation du sous-traitant dans le portail de conformité des fournisseurs Microsoft si les données personnelles ou les données confidentielles Microsoft sont hébergées sur une plateforme tierce.
- Utilisation de sous-traitants : Cet indicateur est requis si le fournisseur utilise des sous-traitants pour effectuer une partie du travail sous contrat. Cela inclut également les pigistes.
Exigences en matière d’assurance
Les approbations sélectionnées dans le profil de traitement des données du fournisseur aident le SSPA à évaluer le niveau de risque entre les engagements du fournisseur. Les exigences de conformité SSPA diffèrent en fonction du profil de traitement des données et des approbations associées.
Il existe également des combinaisons qui peuvent élever ou réduire les exigences de conformité. Les combinaisons sont capturées dans la section Exigences en fonction des approbations de profil.
Si le profil du fournisseur inclut la SaaS (Software as a Service), les sous-traitants, l’hébergement de sites web ou les cartes de paiement, des garanties supplémentaires sont requises.
Auto-attestation de la DPR
Tous les fournisseurs inscrits à SSPA doivent effectuer une auto-attestation de conformité à la DPR dans les 90 jours suivant la réception de la demande. Cette demande doit être fournie sur une base annuelle, mais peut être plus fréquente si le profil de traitement des données est mis à jour au milieu de l’année. Les comptes fournisseurs passeront à l’état SSPA Rouge (non conforme) si la période de 90 jours est dépassée. Les nouvelles commandes d’achat dans l’étendue ne peuvent pas être traitées tant que l’état SSPA n’est pas converti en vert (conforme).
Les fournisseurs nouvellement inscrits doivent remplir les exigences émises pour garantir un statut SSPA Vert (conforme) avant que les engagements puissent commencer.
Applicabilité
Les fournisseurs sont censés répondre à toutes les exigences de DPR applicables émises selon le profil de traitement des données. Il est prévu que, dans le cadre des exigences émises, quelques-uns ne s’appliquent pas aux biens ou services que le fournisseur fournit à Microsoft. Ceux-ci peuvent être marqués comme « ne s’applique pas » avec un commentaire détaillé pour les réviseurs SSPA à valider.
Les soumissions DPR sont examinées par l’équipe de la SSPA pour toute sélection de « ne s’applique pas », de « conflit juridique local » ou de « conflit contractuel » par rapport aux exigences émises.
Condition requise pour l’évaluation indépendante
Consultez la section Exigences par approbations pour voir les approbations de traitement des données qui déclenchent cette exigence.
Les fournisseurs ont la possibilité de modifier les approbations en mettant à jour leur profil de traitement des données. Toutefois, si le fournisseur a un rôle de traitement des données « Sous-traitant », le fournisseur ne peut pas modifier cette approbation et devra faire l’objet d’une évaluation indépendante chaque année.
La section Exigences basées sur les approbations de profil inclut des alternatives de certification acceptables si vous choisissez de ne pas utiliser un évaluateur indépendant pour vérifier la conformité à la DPR (le cas échéant, par exemple pour les fournisseurs SaaS, les fournisseurs d’hébergement de sites web ou les fournisseurs de sous-traitants). Les normes ISO 27701 (confidentialité) et ISO 27001 (sécurité) sont utilisées pour fournir un mappage proche de la DPR.
Si un fournisseur est un fournisseur de soins de santé dans l’entité États-Unis ou couverte, Microsoft accepte un rapport HITRUST pour la protection de la confidentialité et de la sécurité.
SSPA peut exécuter une évaluation indépendante manuellement si des circonstances au-delà des déclencheurs standard justifient une diligence raisonnable supplémentaire. Les exemples incluent une demande de confidentialité ou de sécurité de la division ; validation de la correction des incidents de données ; ou une exigence pour l’exécution automatisée des droits de la personne concernée.
Condition de certification PCI DSS
La norme PCI DSS (Payment Card Industry Data Security Standard) est un cadre de développement d’une sécurité robuste des données de carte de paiement qui inclut la prévention, la détection et la réaction appropriée aux incidents de sécurité. Le cadre a été élaboré par le Conseil des normes de sécurité de l’ICF, une organisation du secteur de l’autorégulation. L’objectif des exigences PCI DSS est d’identifier les vulnérabilités technologiques et de traitement qui posent des risques pour la sécurité des données de titulaire de carte traitées.
Microsoft est tenu de se conformer à ces normes. Si un fournisseur gère les informations de carte de paiement au nom de Microsoft, nous avons besoin de preuves d’adhésion à ces normes.
Selon le volume de transactions traitées, un fournisseur doit avoir un évaluateur de sécurité qualifié certifiant la conformité ou peut remplir un formulaire de questionnaire d’auto-évaluation.
Les marques de carte de paiement définissent les seuils pour le type d’évaluation, en général :
Niveau 1 : Fournir un certificat AOC PCI d’évaluateur tiers
Niveau 2 ou 3 : Fournir un questionnaire PCI DSS Self-Assessment (SAQ) signé par l’agent du fournisseur.
Exigences en matière de logiciels en tant que service
Les fournisseurs qui satisfont à la définition SaaS incluse dans le profil de traitement des données peuvent être tenus de fournir une certification ISO 27001 valide.
Utilisation des sous-traitants
Microsoft considère l’utilisation de sous-traitants comme un facteur à haut risque. Les fournisseurs utilisant des sous-traitants qui traiteront les données confidentielles personnelles et microsoft doivent divulguer ces sous-traitants. En outre, le fournisseur doit également divulguer les pays où ces données personnelles seront traitées par chaque sous-traitant.
Exigences basées sur les approbations de profil
| # | Profil | Exigences en matière d’assurance | Options d’assurance indépendante |
|---|---|---|---|
| 1 | Portée: Personnel, confidentiel Emplacement de traitement : Chez Microsoft ou customer processing Rôle: Processeur ou contrôleur Classe de données : Confidentiel ou hautement confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR | |
| 2 | Portée: Confidentiel Emplacement de traitement : Chez Supplier Rôle: N/A Classe de données : Confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR | |
| 3 | Portée: Traitement confidentiel Emplacement de traitement : Chez Supplier Rôle: Processeur Classe de données : Hautement confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR et assurance indépendante de conformité | Options d’assurance indépendante : 1. Effectuer une évaluation indépendante par rapport à la DPR 2. Envoyer la norme ISO 27001 |
| 4 | Portée: Personnel, confidentiel Emplacement de traitement : Au traitement des fournisseurs Rôle: Processeur Classe de données : Hautement confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR et assurance indépendante de conformité | Options d’assurance indépendante : 1. Effectuer une évaluation indépendante par rapport à la DPR 2. Évaluation indépendante par rapport aux sections A-I de la DPR et ISO 27001 3. Soumettre iso 27701 et ISO 27001 |
| 5 | Portée: Personnel, confidentiel Emplacement de traitement : Chez Supplier Rôle: Processeur Classe de données : Confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR | |
| 6 | Portée: Personnel, confidentiel Emplacement de traitement : Chez Supplier Rôle: Contrôleur Classe de données : Confidentiel ou hautement confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR | |
| 7 | Portée: Personnel, confidentiel Emplacement de traitement : Tout Rôle: Sous-traitant (ce rôle est déterminé par Microsoft : le profil lit « Approbation du sous-traitant : Oui ») Classe de données : Confidentiel ou hautement confidentiel Cartes de paiement : Non applicable Saas: Non applicable Utilisation de sous-traitants : Non applicable Hébergement de sites web : Non applicable |
Auto-attestation de conformité à la DPR et assurance indépendante de conformité | Options d’assurance indépendante : 1. Effectuer une évaluation indépendante par rapport à la DPR 2. Évaluation indépendante par rapport aux sections A-I de la DPR et ISO 27001 3. Soumettre iso 27701 et ISO 27001 |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour