Programma SSPA (Supplier Security and Privacy Assurance)
Importante
Le informazioni presentate in questo articolo sono per conto del team SSPA (Supplier Security and Privacy Assurance). Le informazioni più aggiornate sono disponibili qui. Se si verifica un conflitto tra le informazioni presentate in questo articolo e la pagina SSPA, la pagina SSPA sostituirà le informazioni contenute in questo articolo.
Microsoft ritiene che la privacy sia un diritto fondamentale. Nella missione di consentire a ogni individuo e organizzazione del pianeta di ottenere di più, Microsoft si impegna a guadagnare e mantenere la fiducia dei propri clienti.
Le solide procedure di privacy e sicurezza sono fondamentali per questa missione, essenziali per la fiducia e in diverse giurisdizioni richieste dalla legge. Gli standard acquisiti nelle politiche di privacy e sicurezza di Microsoft riflettono i nostri valori come azienda e si estendono ai fornitori che elaborano i dati personali e riservati per nostro conto.
Il programma SSPA (Supplier Security and Privacy Assurance) fornisce ai fornitori le istruzioni per il trattamento dei dati di base di Microsoft sotto forma di Requisiti di protezione dei dati dei fornitori Microsoft.
Nota
I fornitori potrebbero dover soddisfare requisiti aggiuntivi a livello aziendale che vengono stabiliti e comunicati al di fuori di SSPA dal gruppo Microsoft responsabile dell'impegno con il fornitore.
Panoramica del programma SSPA
SSPA è una partnership tra Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security per garantire che i principi di privacy e sicurezza siano seguiti dai fornitori. L'ambito di SSPA copre tutti i fornitori a livello globale che elaborano i dati personali e/o i dati riservati Microsoft.
SSPA consente al fornitore di effettuare selezioni del profilo di elaborazione dati in linea con i prodotti e/o i fornitori di servizi che devono eseguire. Queste selezioni attivano i requisiti corrispondenti per fornire garanzie di conformità.
Tutti i fornitori registrati devono completare un'attestazione annuale della conformità alla DPR. Il profilo di elaborazione dati di un fornitore determina se viene rilasciata la DPR completa o se si applica un subset di requisiti. I fornitori che elaborano dati che Microsoft considera più rischioso potrebbero anche dover soddisfare requisiti aggiuntivi, ad esempio fornire una verifica indipendente della conformità. Ai fornitori che fanno parte di un elenco di subprocessori Microsoft pubblicato verrà anche chiesto di fornire una verifica indipendente della conformità.
Importante
Le attività di conformità determinano uno stato SSPA verde (conforme) o rosso (non conforme). Gli strumenti di acquisto Microsoft convalidano che lo stato di SSPA sia verde (per ogni fornitore nell'ambito di SSPA) prima di consentire a un impegno di andare avanti.
Ambito SSPA
Per determinare se il fornitore elabora i dati personali e/o i dati riservati Microsoft, vedere l'elenco degli esempi nelle tabelle seguenti. Si tratta di esempi e non di un elenco completo.
Dati personali per tipo di dati
Gli esempi includono, a titolo esemplificativo:
| Tipo di dati | Esempi |
|---|---|
| Dati sensibili |
|
| Dati del contenuto del cliente |
|
| Dati acquisiti e generati |
|
| Dati dell'account |
|
| Informazioni pseudonimizzate dell'utente finale (EUPI) Identificatori creati da Microsoft per identificare gli utenti di prodotti e servizi Microsoft |
|
| Dati dei clienti online |
|
Dati riservati Microsoft per classe di dati
Gli esempi includono, a titolo esemplificativo:
| Classe di dati | Esempi |
|---|---|
| Highly Confidential (Riservatezza elevata) |
|
| Riservato |
|
Profilo di elaborazione dati
I fornitori Microsoft hanno il controllo sul proprio profilo di elaborazione dati SSPA, consentendo ai fornitori di decidere quali impegni vogliono essere idonei a eseguire.
I gruppi aziendali Microsoft sono in grado di creare accordi solo con i fornitori in cui l'attività di elaborazione dati corrisponde alle approvazioni ottenute dal fornitore.
I fornitori sono in grado di aggiornare il proprio profilo di elaborazione dati in qualsiasi momento durante l'anno se non sono presenti attività aperte. Quando viene apportata una modifica, viene eseguita l'attività corrispondente e deve essere completata prima che le approvazioni vengano protette. Le approvazioni esistenti e completate si applicano fino al completamento dei nuovi requisiti rilasciati.
Se le attività appena eseguite non vengono completate entro l'intervallo di tempo di 90 giorni consentito, lo stato SSPA viene aggiornato a Rosso (non conforme) e l'account viene disattivato dai sistemi di contabilità fornitori Microsoft.
Considerazioni sull'ambito di elaborazione dati
Riservate: Se il fornitore elabora solo i dati riservati Microsoft, il profilo visualizzerà un contrassegno Riservato. Il fornitore non sarà in grado di elaborare alcun dato personale.
Personale, Riservato: se il fornitore elabora i dati personali, il suo profilo indicherà il contrassegno Personale, Riservato.
Percorso di elaborazione presso Microsoft o cliente: Se il fornitore elabora i dati solo all'interno dei sistemi Microsoft, usando le credenziali Microsoft e sono soggetti alle politiche di sicurezza e privacy di Microsoft, questa opzione verrà selezionata nel profilo del fornitore.
Presso Il fornitore: Se la condizione "At Microsoft or Customer" (come descritto in precedenza) non si applica, questa è l'opzione che verrà riflessa nel profilo del fornitore.
Considerazioni sui ruoli di elaborazione dati
Controller: (copre i controller indipendenti e congiunti) Se il fornitore è sia un controller che un responsabile del trattamento (per diversi impegni), il fornitore selezionerà "Processore".
Processore Quando il fornitore elabora i dati per conto di Microsoft.
Subprocessore: Un subprocessore è una terza parte che Microsoft si impegna a eseguire, dove le loro prestazioni includono l'elaborazione dei dati personali Microsoft per cui Microsoft è un responsabile del trattamento. I fornitori non possono auto-identificarsi come subprocessore in Microsoft perché richiede la pre-approvazione da parte dei team interni per la privacy. I fornitori possono essere un subprocessore solo quando Microsoft è il responsabile del trattamento dei dati e il fornitore elabora i tipi di dati personali aziendali idonei. I subprocessori avranno requisiti aggiuntivi di contratto e conformità, tra cui un componente aggiuntivo per la protezione dei dati e una valutazione indipendente e requisiti di certificazione aggiuntivi.
Elaborazione carta di pagamento: Se una parte dei dati elaborati da un fornitore include dati per supportare l'elaborazione della carta di credito o di altra carta di pagamento per conto di Microsoft. Questa approvazione consente a un fornitore di impegnarsi nell'elaborazione delle carte di pagamento.
Software: Microsoft Procurement indirizza gli acquirenti attraverso un processo di assunzione per tutti gli acquisti di software, inclusi vari controlli tra cui la valutazione SSPA per decidere se il fornitore che fornisce il software è nell'ambito della gestione SSPA. Se è necessario SSPA, i fornitori potrebbero anche dover identificare che si applica la scelta del profilo "Software as a Service" (SaaS). Per i fornitori registrati SSPA, questa operazione può essere eseguita quando si completa il profilo di elaborazione dati nel portale di conformità dei fornitori Microsoft. Ai fini della conformità SSPA, visualizzare SaaS su larga scala per includere anche la piattaforma distribuita come servizio (PaaS) e l'infrastruttura distribuita come servizio (IaaS).
Software as a Service (SaaS): SaaS consente agli utenti di connettersi e usare applicazioni basate sul cloud tramite Internet. Microsoft definisce SaaS come software basato sul codice comune usato in un modello uno-a-molti a pagamento o come sottoscrizione basata sulle metriche di utilizzo. Il provider di servizi cloud sviluppa e gestisce software basato sul cloud, fornisce aggiornamenti software automatici e rende il software disponibile per i clienti tramite Internet con pagamento in base al consumo. Questo metodo di distribuzione e licenza del software consente di accedere al software online tramite una sottoscrizione anziché acquistare e installare in ogni singolo computer.
Nota
La maggior parte dei fornitori SaaS dovrà aggiungere l'approvazione del terzista nel portale microsoft per la conformità dei fornitori se i dati personali o i dati riservati Microsoft sono ospitati in una piattaforma di terze parti.
- Utilizzo di subappaltatori: Questo contrassegno è obbligatorio se il fornitore utilizza i subappaltatori per eseguire una parte del lavoro contratto. Sono inclusi anche i freelance.
Requisiti di garanzia
Le approvazioni selezionate nel profilo di elaborazione dati del fornitore consentono a SSPA di valutare il livello di rischio nell'ambito degli impegni del fornitore. I requisiti di conformità SSPA differiscono in base al profilo di elaborazione dati e alle approvazioni associate.
Esistono anche combinazioni che possono elevare o ridurre i requisiti di conformità. Le combinazioni vengono acquisite nella sezione Requisiti in base alle approvazioni del profilo.
Se il profilo del fornitore include Software as a Service (SaaS), subappaltatori, hosting di siti Web o carte di pagamento, sono necessarie ulteriori garanzie.
Attestazione automatica alla DPR
Tutti i fornitori iscritti a SSPA devono completare un'attestazione di conformità alla DPR entro 90 giorni dalla ricezione della richiesta. Questa richiesta deve essere fornita su base annuale, ma può essere più frequente se il profilo di elaborazione dati viene aggiornato a metà anno. Se il periodo di 90 giorni viene superato, gli account dei fornitori cambieranno con lo stato SSPA Rosso (non conforme). I nuovi ordini di acquisto nell'ambito non possono essere elaborati finché lo stato SSPA non diventa verde (conforme).
I fornitori appena registrati devono completare i requisiti emessi per garantire uno stato SSPA verde (conforme) prima che gli impegni possano iniziare.
Applicabilità
I fornitori devono rispondere a tutti i requisiti di DPR applicabili emessi in base al profilo di elaborazione dati. Si prevede che, entro i requisiti emessi, alcuni potrebbero non essere applicabili ai beni o ai servizi forniti dal fornitore a Microsoft. Questi possono essere contrassegnati come "non applicabili" con un commento dettagliato per i revisori SSPA da convalidare.
Gli invii di DPR vengono esaminati dal team SSPA per eventuali selezioni di "non si applica", "conflitto legale locale" o "conflitto contrattuale" rispetto ai requisiti rilasciati.
Requisito di valutazione indipendente
Vedere la sezione Requisiti per approvazioni per visualizzare le approvazioni di elaborazione dati che attivano questo requisito.
I fornitori hanno la possibilità di modificare le approvazioni aggiornando il profilo di elaborazione dati. Tuttavia, se il fornitore ha un ruolo di elaborazione dati di "subprocessore", il fornitore non può modificare questa approvazione e dovrà avere una valutazione indipendente condotta ogni anno.
La sezione Requisiti basati sulle approvazioni del profilo include alternative di certificazione accettabili se si sceglie di non usare un valutatore indipendente per verificare la conformità alla DPR (se applicabile, ad esempio per i fornitori SaaS, i fornitori di siti Web o i fornitori con subappaltatori). Iso 27701 (privacy) e ISO 27001 (sicurezza) sono considerati come un mapping ravvicinato alla DPR.
Se un fornitore è un provider di servizi sanitari nell'entità Stati Uniti o coperta, Microsoft accetterà un report HITRUST per la copertura della privacy e della sicurezza.
SSPA può eseguire manualmente una valutazione indipendente se le circostanze oltre i trigger standard richiedono un'ulteriore due diligence. Gli esempi includono una richiesta di privacy o sicurezza della divisione; convalida della correzione degli eventi imprevisti dei dati; o requisito per l'esecuzione automatica dei diritti dell'interessato.
Requisito di certificazione PCI DSS
Il Payment Card Industry Data Security Standard (PCI DSS) è un framework per lo sviluppo di una solida sicurezza dei dati delle carte di pagamento che include la prevenzione, il rilevamento e la reazione appropriata agli eventi imprevisti di sicurezza. Il framework è stato sviluppato dal PCI Security Standards Council, un'organizzazione del settore autoregolamentazione. Lo scopo dei requisiti PCI DSS è identificare la tecnologia ed elaborare le vulnerabilità che comportano rischi per la sicurezza dei dati dei titolari di carte elaborati.
Microsoft è tenuta a rispettare questi standard. Se un fornitore gestisce le informazioni sulla carta di pagamento per conto di Microsoft, è necessaria la prova del rispetto di questi standard.
A seconda del volume di transazioni elaborate, un fornitore dovrà disporre di un certificato di conformità qualificato per il valutatore di sicurezza o può completare un modulo di questionario di autovalutazione.
I marchi delle carte di pagamento impostano le soglie per il tipo di valutazione, in genere:
Livello 1: Fornire un certificato PCI AOC di terze parti
Livello 2 o 3: fornire un questionario Self-Assessment PCI DSS firmato dal responsabile del fornitore.
Requisito software come servizio
I fornitori che hanno soddisfatto la definizione SaaS inclusa nel profilo di elaborazione dati potrebbero essere tenuti a fornire una certificazione ISO 27001 valida.
Elenco di subcontraenti
Microsoft considera l'uso dei subappaltatori un fattore ad alto rischio. I fornitori che utilizzano subappaltatori che eserciranno dati personali e dati riservati Microsoft devono divulgare tali subappaltatori. Inoltre, il fornitore dovrebbe anche divulgare i paesi in cui tali dati personali saranno trattati da ogni terzista.
Requisiti in base alle approvazioni del profilo
| # | Profilo | Requisiti di garanzia | Opzioni di garanzia indipendente |
|---|---|---|---|
| 1 | Ambito: Personale, Riservato Percorso di elaborazione: Presso Microsoft o Customer Processing Ruolo: Processore o controller Classe di dati: Riservato o altamente riservato Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR | |
| 2 | Ambito: Riservate Percorso di elaborazione: Presso Supplier Ruolo: N/D Classe di dati: Riservate Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR | |
| 3 | Ambito: Elaborazione riservata Percorso di elaborazione: Presso Supplier Ruolo: Processore Classe di dati: Estremamente riservato Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR e garanzia indipendente della conformità | Opzioni di Independent Assurance: 1. Completare una valutazione indipendente rispetto alla DPR 2. Inviare ISO 27001 |
| 4 | Ambito: Personale, Riservato Percorso di elaborazione: Presso Supplier Processing Ruolo: Processore Classe di dati: Estremamente riservato Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR e garanzia indipendente della conformità | Opzioni di Independent Assurance: 1. Completare una valutazione indipendente rispetto alla DPR 2. Valutazione indipendente rispetto alle sezioni A-I della DPR e ISO 27001 3. Inviare ISO 27701 e ISO 27001 |
| 5 | Ambito: Personale, Riservato Percorso di elaborazione: Presso Supplier Ruolo: Processore Classe di dati: Riservate Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR | |
| 6 | Ambito: Personale, Riservato Percorso di elaborazione: Presso Supplier Ruolo: Controller Classe di dati: Riservato o altamente riservato Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR | |
| 7 | Ambito: Personale, Riservato Percorso di elaborazione: Qualsiasi Ruolo: Subprocessore (questo ruolo è determinato da Microsoft: il profilo leggerà "Approvazione del subprocessore: Sì") Classe di dati: Riservato o altamente riservato Carte di pagamento: Non applicabile Saas: Non applicabile Utilizzo di subappaltatori: Non applicabile Hosting di siti Web: Non applicabile |
Attestazione automatica della conformità alla DPR e garanzia indipendente della conformità | Opzioni di Independent Assurance: 1. Completare una valutazione indipendente rispetto alla DPR 2. Valutazione indipendente rispetto alle sezioni A-I della DPR e ISO 27001 3. Inviare ISO 27701 e ISO 27001 |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per