Informazioni sul monitoraggio e l’onboarding del sub-responsabile del trattamento
Quando Microsoft avvia un contratto di supporto con un subprocessore, flussi di lavoro e processi specifici assicurano che i subprocessori soddisfino i requisiti prima di iniziare il lavoro con contratto. I nuovi sub-responsabile devono completare una serie di verifiche per assicurare che i sistemi informativi soddisfino i requisiti applicabili ai tipi di dati che elaboreranno come parte del lavoro del contratto. In alternativa, il lavoro con contratto assegnato ai subprocessori esistenti che hanno già soddisfatto i requisiti consente a Microsoft di limitare il numero di subprocessori che elaborano i dati personali o dei clienti.
Aggiunta di un nuovo sub-responsabile del trattamento
L'aggiunta di un nuovo sub-responsabile richiede una serie di verifiche rigorose per garantire che il sub-responsabile soddisfi gli standard Microsoft prima di poter iniziare il lavoro con contratto. I passaggi di verifica includono ma non sono limitate ai seguenti componenti:
- Un controllo di verifica aziendale: una revisione da parte dell'azienda per determinare il motivo per cui è necessario l'uso di questo fornitore invece di un fornitore che è già approvato. Una volta concessa l'approvazione aziendale, è necessario eseguire le verifiche aggiuntive seguenti.
- Verifica della privacy e della conformità: verificare che il subprocessore sia già stato divulgato per la quantità di tempo appropriata e che siano stati soddisfatti tutti i contratti e i requisiti di certificazione.
- Controlli anti-danneggiamento: verificare i sistemi di gestione delle relazioni globali e le notizie per i fornitori che potrebbero essere coinvolti in attività di danneggiamento.
- Punteggio di rischio di danneggiamento: si tratta di un punteggio assegnato in base al controllo anti-danneggiamento. Il punteggio indica il livello di rischio del fornitore coinvolto in attività di danneggiamento.
- Un controllo di non coinvolgimento: controllo interno di Microsoft nei confronti di fornitori ritenuti inappropriati per l'uso.
- Screening delle violazioni commerciali: una revisione dei siti di controllo, dei record governativi e delle ricerche multimediali per determinare se le violazioni commerciali si applicano al fornitore.
Inoltre, l'approvazione della business unit è necessaria come controllo finale dopo che tutti i punteggi e i controlli sono stati restituiti e considerati.
La registrazione del sub-responsabile inizia con una richiesta di posta elettronica a un potenziale sub-responsabile con le istruzioni per creare un profilo nel portale MSCP (Microsoft Supplier Compliance Portal). I sub-responsabili del trattamento usano il portale per scegliere le attività di elaborazione dati per cui desiderano essere approvate. Queste attività di elaborazione dati includono:
- Trattamento di dati personali e/o dei dati riservati Microsoft
- Elaborazione di dati nella rete del fornitore
- Ruolo di elaborazione dati (titolare del trattamento, responsabile del trattamento, co-titolare del trattamento, ecc.)
- Elaborazione della carta di pagamento
- Software come servizio (SaaS)
- Elenco di subcontraenti
- Designazione del sottoprocessore
Dopo aver completato il profilo, un subprocessore riceverà il set completo o un sottoinsieme di requisiti dalla DPR da completare entro 90 giorni. A seconda delle approvazioni selezionate dal subprocessore nel proprio profilo, Può essere necessario Independent Assurance oltre a verificare la conformità con i controlli DPR assegnati.
In alcuni casi, i requisiti possono essere soddisfatti tramite alternative di certificazione accettabili, ad esempio ISO 27701 (privacy) e ISO 27001 (sicurezza).
Dopo che un sub-responsabile ha superato tutti i controlli applicabili, il relativo stato SSPA è soggetto a revisione finale. I revisori verificano tutti i controlli pertinenti e decidono quali tipi di elaborazione dati devono essere approvati. Dopo l'approvazione del profilo, i sub-responsabili del trattamento ricevono le approvazioni necessarie per l'elaborazione dei dati.