Comprendre le déclassement des sous-traitants
Le cycle de vie de l’engagement des sous-traitants de Microsoft comprend des dispositions pour la désintégération du sous-traitant afin de protéger les données clientes et personnelles contre toute divulgation, modification ou perte non autorisée. À la date d’expiration ou de résiliation des services dans l’étendue du sous-traitant, ou à la demande de Microsoft, le sous-traitant doit renvoyer toutes les informations client (y compris les copies) à Microsoft ou les détruire de façon définitive et sûre. Microsoft sélectionne l’option appropriée selon la nature des données. Sur demande, toutes les données doivent être renvoyées à Microsoft dans un délai de sept jours.
Configuration requise pour la destruction de données
Si les informations client doivent être détruites, Microsoft exige que les sous-traitants respectent les instructions suivantes pour s’assurer que les données sont détruites de façon sécurisée afin d’éviter toute divulgation non autorisée des informations clients pendant ou après la suppression des informations. Tous les éléments multimédias numériques doivent être supprimés par incinération ou broyage suivant des normes acceptables de destruction des ressources informatiques (ITAD) pour détruire efficacement des médias de telle sorte que les données ne puissent pas être extraites ou répliquées. Les normes de certification et de conformité en matière de destruction sécurisée incluent NAID, OHSAS 18001:2007, e-Stewards Electronics Recycler, TAPA FSR-Class A, ISO 14001:2004, ISO 9001:2008, ISO 27001:2013, NIST et DOD.
Pour le matériel imprimé contenant des informations sur les clients :
- Toutes les documents doivent être traités comme étant hautement confidentiels.
- Toutes les matières doivent être stockées dans des conteneurs de destruction sécurisés ou des salles sécurisées avant la destruction.
- La destruction doit être observée et documentée par un membre sur site de l’équipe de sécurité du fournisseur.
- La destruction doit utiliser du matériel de broyage certifié étant conforme à la norme de la National Security Agency (NSA). Dans le cadre de cette norme, les broyeurs doivent être capables de détruire à un degré suffisant pour la protection contre l’espionnage industriel et le recyclage des matériaux broyés.