Programa de seguridad y privacidad de proveedores (SSPA)
Importante
La información presentada en este artículo es en nombre del equipo de Seguridad y Privacidad del Proveedor (SSPA). La información más actualizada está disponible aquí. Si hay un conflicto entre la información presentada en este artículo y la página SSPA, la página SSPA reemplazará a la información de este artículo.
Microsoft cree que la privacidad es un derecho fundamental. En la misión de capacitar a todas las personas y organizaciones del planeta para lograr más, Microsoft se esfuerza por ganar y mantener la confianza de sus clientes.
Las prácticas sólidas de privacidad y seguridad son fundamentales para esta misión, esenciales para la confianza y en varias jurisdicciones requeridas por la ley. Los estándares capturados en las directivas de privacidad y seguridad de Microsoft reflejan nuestros valores como empresa y se extienden a los proveedores que procesan datos personales y confidenciales en nuestro nombre.
El Programa de seguridad y privacidad de proveedores (SSPA) proporciona instrucciones de procesamiento de datos de línea base de Microsoft a los proveedores en forma de requisitos de protección de datos de proveedores (DPR) de Microsoft.
Nota:
Es posible que los proveedores tengan que cumplir requisitos adicionales de nivel organizativo que el grupo de Microsoft responsable de la interacción con el proveedor decida y comunique fuera de SSPA.
Introducción al programa SSPA
SSPA es una asociación entre Microsoft Procurement, Corporate External and Legal Affairs y Corporate Security para garantizar que los principios de privacidad y seguridad van seguidos de proveedores. El ámbito de SSPA abarca a todos los proveedores globalmente que procesan datos personales o datos confidenciales de Microsoft.
SSPA permite al proveedor realizar selecciones de perfil de procesamiento de datos que se alineen con los productos o proveedores de servicios que se contratan para realizar. Estas selecciones desencadenan los requisitos correspondientes para proporcionar garantías de cumplimiento.
Todos los proveedores inscritos deben completar una autoatestación anual del cumplimiento de DPR. El perfil de procesamiento de datos de un proveedor determina si se emite el DPR completo o si se aplica un subconjunto de requisitos. Los proveedores que procesan datos que Microsoft considera de mayor riesgo también pueden necesitar cumplir requisitos adicionales, como proporcionar una comprobación independiente del cumplimiento. También se pedirá a los proveedores que se encuentren en una lista de subprocesadores de Microsoft publicada que proporcionen una comprobación independiente del cumplimiento.
Ámbito de SSPA
Todos los proveedores globalmente que procesan datos personales o confidenciales de Microsoft en virtud de su contrato con Microsoft deben cumplir con el programa SSPA. El DPR contiene una sección denominada Definiciones donde puede encontrar definiciones y ejemplos para cada una de estas categorías de datos.
Perfil de procesamiento de datos
Los proveedores de Microsoft tienen control sobre su perfil de procesamiento de datos SSPA, lo que permite a los proveedores decidir qué compromisos quieren ser aptos para realizar.
Los grupos empresariales de Microsoft solo pueden crear interacciones con proveedores en los que la actividad de procesamiento de datos coincida con las aprobaciones que el proveedor ha obtenido.
Los proveedores pueden actualizar su perfil de procesamiento de datos en cualquier momento del año si no hay tareas abiertas. Cuando se realiza un cambio, se emite la actividad correspondiente y se debe completar antes de que se protejan las aprobaciones. Las aprobaciones existentes y completadas se aplican hasta que se completen los requisitos recién emitidos.
Si las tareas recién ejecutadas no se completan dentro del período de tiempo de 90 días permitido, el estado de SSPA se actualiza a Rojo (no compatible) y la cuenta se desactiva de los sistemas de cuentas por pagar de Microsoft.
Requisitos de garantía
Las aprobaciones seleccionadas en el perfil de procesamiento de datos del proveedor ayudan a SSPA a evaluar el nivel de riesgo en las contrataciones del proveedor. Los requisitos de cumplimiento de SSPA difieren en función del perfil de procesamiento de datos y las aprobaciones asociadas.
También hay combinaciones que pueden elevar o reducir los requisitos de cumplimiento. Las combinaciones se capturan en la sección Requisitos basados en aprobaciones de perfil.
Si el perfil del proveedor incluye software como servicio (SaaS), subcontratistas, hospedaje de sitios web o tarjetas de pago, se requieren garantías adicionales.
Autoatestación al DPR
Todos los proveedores inscritos en SSPA deben completar una autoatestación de cumplimiento con el DPR dentro de los 90 días posteriores a la recepción de la solicitud. Esta solicitud debe proporcionarse anualmente, pero puede ser más frecuente si el perfil de procesamiento de datos se actualiza a mediados de año. Las cuentas de proveedor cambian a un estado SSPA de Red (no conforme) si se supera el período de 90 días. Los nuevos pedidos de compra en el ámbito no se pueden procesar hasta que el estado de SSPA cambie a Verde (compatible).
Los proveedores recién inscritos deben completar los requisitos emitidos para proteger un estado SSPA de verde (compatible) antes de que puedan comenzar las contrataciones.
Aplicabilidad
Se espera que los proveedores respondan a todos los requisitos de DPR aplicables emitidos según el perfil de procesamiento de datos. Se espera que, dentro de los requisitos emitidos, algunos no se apliquen a los productos o servicios que el proveedor proporciona a Microsoft. Se pueden marcar como "no se aplica" con un comentario detallado para que los revisores de SSPA lo validen.
El equipo de SSPA revisa los envíos de DPR para cualquier selección de "no se aplica", "conflicto legal local" o "conflicto contractual" con respecto a los requisitos emitidos.
Requisito de evaluación independiente
Si el proveedor tiene un rol de procesamiento de datos de subprocesador, se le pedirá que realice una evaluación independiente anualmente.
La sección Requisitos basados en aprobaciones de perfil incluye alternativas de certificación aceptables si decide no usar un evaluador independiente para comprobar el cumplimiento con el DPR (cuando corresponda, por ejemplo, para proveedores SaaS, proveedores de hospedaje de sitios web o proveedores con subcontratistas). La norma ISO 27701 (privacidad) y la ISO 27001 (seguridad) se basan en proporcionar una asignación cercana a la DPR.
Si un proveedor es un proveedor de atención sanitaria en Estados Unidos o una entidad cubierta, Microsoft acepta un informe HITRUST para la cobertura de privacidad y seguridad.
SSPA puede ejecutar una evaluación independiente manualmente si las circunstancias más allá de los desencadenadores estándar garantizan una diligencia debida adicional. Entre los ejemplos se incluye una solicitud de privacidad o seguridad de la división; validación de la corrección de incidentes de datos; o requisito para la ejecución automatizada de derechos del interesado.
Requisito de certificación de PCI DSS
Si un proveedor controla la información de la tarjeta de pago en nombre de Microsoft, se le pedirá que proporcione pruebas de cumplimiento con el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS).
Dependiendo del volumen de transacciones procesadas, un proveedor tendrá que tener un evaluador de seguridad calificado para certificar el cumplimiento o puede completar un formulario de cuestionario de autoevaluación.
Las marcas de tarjeta de pago establecen los umbrales para el tipo de evaluación, normalmente:
Nivel 1: Proporcionar un certificado PCI AOC de evaluador de terceros
Nivel 2 o 3: Proporcionar un cuestionario pci DSS Self-Assessment (SAQ) firmado por el oficial del proveedor.
Requisito de software como servicio
Los proveedores que cumplieron la definición de SaaS incluida en el perfil de procesamiento de datos pueden ser necesarios para proporcionar una certificación ISO 27001 válida.
Uso de subcontratistas
Microsoft considera que el uso de subcontratistas es un factor de alto riesgo. Los proveedores que usan subcontratistas que procesan datos personales o confidenciales de Microsoft deben revelar esos subcontratistas. Además, el proveedor también debe revelar los países en los que cada subcontratista procesará esos datos personales.