Esplora i requisiti dei controlli di accesso del sub-responsabile del trattamento
Se un subprocessore ha il "potenziale di accesso" ai dati personali o ai dati riservati Microsoft, significa che può elaborare tali dati ogni volta che vuole? Microsoft consente ai subprocessori di elaborare i dati, solo per fornire i servizi che Microsoft ha conservato per fornire e non è consentito l'uso dei dati per qualsiasi altro scopo. I dati personali elaborati dai subprocessori sono spesso pseudonimizzati o de-identificati, consentendo ai subprocessori di svolgere le proprie responsabilità lavorative senza accedere agli attributi identificabili. Microsoft richiede a ogni tipo di subprocessore di usare i controlli di accesso appropriati per proteggere i dati elaborati.
Tipi di sub-responsabili del trattamento
Microsoft ha designato tre categorie di subprocessori:
- Tecnologia: Subprocessori di terze parti che alimentano tecnologie perfettamente integrate con Microsoft Online Services e in parte alimentano le funzioni cloud Microsoft. Se si distribuisce uno di questi servizi, i subprocessori identificati per tale servizio possono elaborare, archiviare o accedere in altro modo ai dati dei clienti o ai dati personali, contribuendo al tempo stesso a fornire tale servizio.
- Accessori: Subprocessori di terze parti che forniscono servizi di accompagnamento che consentono di supportare, gestire e gestire i Servizi online. In questi casi, i sub-responsabili identificati possono elaborare, archiviare o accedere in altro modo a dati personali o dati limitati dei clienti fornendo, al tempo stesso, servizi ausiliari.
- Personale contrattuale: Organizzazioni che forniscono al personale contrattuale che lavorano fianco a fianco con i dipendenti Microsoft a tempo pieno per supportare, gestire e gestire Microsoft Online Services. In tutti questi casi, i dati dei clienti o i dati personali risiedono solo nelle strutture Microsoft, nei sistemi Microsoft e sono soggetti a criteri e supervisione Microsoft.
Inoltre, le entità del data center Microsoft forniscono l'infrastruttura del data center in cui vengono eseguiti i Servizi online Microsoft. I dati all'interno dei data center vengono crittografati e nessun personale all'interno dei data center può accederle.
Controlli di accesso dei sub-responsabili del trattamento
Ogni tipo di sub-responsabile del trattamento presso Microsoft applica controlli di accesso appropriati per proteggere i dati personali e dei clienti. Tutti i sub-responsabili del trattamento sono tenuti a mantenere la sicurezza e la riservatezza dei dati personali e dei clienti e sono obbligati contrattualmente a soddisfare rigorosi requisiti di privacy e sicurezza. Questi requisiti sono equivalenti o superiori agli impegni contrattuali assunti da Microsoft nei confronti dei clienti nell'addendum per la protezione dei dati dei prodotti e dei servizi Microsoft.
Il personale contrattuale è soggetto agli stessi controlli di accesso per i dipendenti Microsoft a tempo pieno, tra cui l'autenticazione a più fattori (MFA), zero standing access (ZSA) e ji-in-time (JIT) con just-enough-access (JEA). Inoltre, i sub-responsabili che lavorano in strutture o usano apparecchiature controllate da Microsoft sono obbligati contrattualmente a rispettare i nostri standard sulla privacy e a seguire una formazione regolare sulla privacy.
La tecnologia e i subprocessori ausiliari sono responsabili dell'implementazione dei controlli di accesso in conformità ai requisiti di protezione dei dati (DPR) Microsoft. Questi requisiti soddisfano o superano gli impegni contrattuali assunti da Microsoft nei confronti dei clienti nelle Condizioni per il prodotto. Questi subprocessori potrebbero avere il potenziale per accedere a determinati dati limitati, ad esempio dati personali o cliente, per fornire funzioni a supporto dei Servizi online Microsoft. I contratti del subprocessore vietano in modo specifico l'uso dei dati personali per qualsiasi altro scopo. Inoltre, i controlli applicabili della DPR consentono di proteggere i dati personali e dei clienti dall'accesso o dall'uso non autorizzato. In molti casi, le attività eseguite dai subprocessori possono essere eseguite con dati pseudonimi o anonimi.
I sub-responsabili sono inoltre tenuti a soddisfare i requisiti di privacy e sicurezza, inclusi quelli correlati all'implementazione di misure tecniche e organizzative appropriate per proteggere i dati personali.