Informazioni sui requisiti per il sub-responsabile del trattamento in Microsoft
Microsoft elabora molti tipi di dati nell'ambito della fornitura di servizi cloud ai clienti. I dati elaborati vengono classificati per garantire che vengano gestiti con protezioni appropriate per la sicurezza e la privacy. Le categorie di dati elaborati da Microsoft sono definite nel componente aggiuntivo per la protezione dei dati (DPA) di Prodotti e servizi Microsoft.
Quando Microsoft utilizza un fornitore per fornire un aspetto dei servizi online che potrebbe richiedere al fornitore di elaborare tali dati, il fornitore viene identificato come un "subprocessore" (in conformità con la terminologia GDPR). Tutti i subprocessori che elaborano "Dati personali" e "Dati riservati Microsoft" devono rispettare il programma Microsoft Supplier Security and Privacy Assurance (SSPA) prima di poter elaborare i dati per conto di Microsoft.
Tipi di dati condivisi con Microsoft
I dati personali sono definiti come qualsiasi informazione relativa a una persona fisica identificata o identificabile, nota anche come interessato. I dati personali possono essere suddivisi in quattro categorie di dati distinte e distinte:
- I dati dei clienti sono tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software fornito a Microsoft da o per conto del cliente tramite l'uso del servizio online, esclusi i dati dei servizi professionali Microsoft.
- I dati generati dal servizio includono tutti i dati "generati" o "derivati" da Microsoft tramite il funzionamento di un servizio online. Microsoft aggrega questi dati dai nostri servizi online e li usa per garantire che le prestazioni, la sicurezza, il ridimensionamento e altri servizi che influiscono sull'esperienza del cliente funzionino ai livelli richiesti dal cliente.
- I dati di diagnostica includono tutti i dati "raccolti" o "ottenuti" dalle applicazioni installate localmente per l'uso in connessione al servizio online aziendale Microsoft. Viene usato per aiutare Microsoft a garantire che il software client sia sicuro e funzioni correttamente.
- I dati dei servizi professionali sono tutti i dati, inclusi testo, audio, video, file di immagine o software, forniti a Microsoft, da o per conto di un cliente (o che il cliente autorizza Microsoft a ottenere da un prodotto) o altrimenti ottenuti o elaborati da o per conto di Microsoft tramite un impegno con Microsoft per ottenere i Servizi professionali. I dati dei servizi professionali includono i dati di supporto forniti a Microsoft durante il supporto tecnico per un servizio online.
- I dati riservati Microsoft si riferiscono a qualsiasi informazione che, se compromessa tramite mezzi di riservatezza o integrità, può comportare una reputazione significativa o una perdita finanziaria per Microsoft. Ciò può includere informazioni sullo sviluppo, il test o la produzione di prodotti Microsoft, chiavi di licenza e materiali di marketing non definitive.
| Tipi di dati | Definizione |
|---|---|
| Dati del cliente | Fornito dal cliente |
| Dati di diagnostica | Raccolti o ottenuti da software installato dal cliente |
| Dati generati dal servizio | Generato o derivato da Microsoft |
| Dati di servizi professionali Dati di supporto |
Fornito dal cliente in relazione ai servizi professionali Un sottoinsieme di dati dei servizi professionali forniti dal cliente in relazione al supporto tecnico |
| Dati personali | Qualsiasi tipo di dati definito sopra che si riferisce a una persona fisica identificata o identificabile |
Programma sulla Garanzia di Sicurezza e Privacy dei Fornitori Microsoft (SSPA)
Il programma sulla Garanzia di Sicurezza e Privacy dei Fornitori Microsoft (SSPA) è un programma aziendale progettato per standardizzare e rafforzare le procedure di gestione dei dati impostando i requisiti di privacy e sicurezza per i fornitori Microsoft. Il programma SSPA richiede ai fornitori di dimostrare la conformità ai rigidi criteri di privacy e sicurezza di Microsoft, agli obblighi legali e alle aspettative dei clienti. Per proteggere i dati affidati ai fornitori, Microsoft richiede che tutti i subprocessori che elaborano i dati personali o i dati riservati Microsoft siano conformi al programma SSPA.To protect the data entrusted to our suppliers, Microsoft requires all subprocessors who process Personal Data or Microsoft Confidential Data to conform with the SSPA program.
Il programma SSPA include una serie di controlli di sicurezza e privacy che devono essere implementati dai sub-responsabili prima di elaborare i dati per conto di Microsoft. Questi controlli vengono definiti in Data Protection Requirements (DPR). Tutti i sub-responsabili registrati nel programma SSPA devono verificare e attestare la rispettiva conformità ai controlli DPR applicabili prima di iniziare il lavoro commissionato. Inoltre, i sub-responsabili devono completare ogni anno un'auto certificazione di conformità ai DPR. A seconda del livello di rischio associato ai dati elaborati e ai servizi forniti dal subprocessore, potrebbero essere necessari requisiti aggiuntivi. Questi requisiti aggiuntivi verranno illustrati più avanti in questo modulo.
La conformità del sub-responsabile ai requisiti del programma SSPA viene monitorata negli strumenti di acquisto Microsoft. Gli strumenti di acquisto non consentono agli impegni con i sub-responsabili di procedere fino al completamento di tutti i requisiti. In caso di mancato mantenimento della conformità ai requisiti SSPA, al sub-responsabile viene impedito l'accesso o l'elaborazione dei dati per conto di Microsoft.