Comprendre l’intégration et la surveillance des sous-processus
Lorsque Microsoft lance un contrat de support avec un sous-traitant, des flux de travail et des processus spécifiques garantissent que les sous-traitants répondent aux exigences avant de commencer le travail sous-traité. Les nouveaux sous-traitants doivent effectuer une série de vérifications pour s’assurer que leurs systèmes d’information répondent à la configuration requise pour les types de données traités dans le cadre du travail contracté. En guise d’alternative, le travail sous-traitant attribué à des sous-traitants existants qui ont déjà satisfait aux exigences permet à Microsoft de limiter le nombre de sous-traitants qui traitent les données clientes ou personnelles.
Ajouter un nouveau sous-traitant
L’ajout d’un nouveau sous-traitants nécessite une série de vérifications rigoureuses pour s’assurer que le sous-traitants respecte les normes Microsoft avant qu’il ne puisse commencer le travail. Ces étapes de vérification sont notamment les suivantes :
- Vérification de l’entreprise : examen par l’entreprise pour déterminer pourquoi l’utilisation de ce fournisseur est nécessaire au lieu d’un fournisseur déjà approuvé. Une fois l’approbation de l’entreprise accordée, les vérifications supplémentaires ci-dessous doivent être effectuées.
- Vérification de la confidentialité et de la conformité : vérifiez que le sous-traitant a déjà été divulgué pendant la durée appropriée et que tous les contrats et exigences de certification ont été respectés.
- Contrôles anticorruption : recherchez des informations sur les systèmes de gestion de la relation mondiale et les actualités pour les fournisseurs susceptibles d’exercer des activités de corruption.
- Score de risque de corruption : il s’agit d’un résultat affecté sur la base du contrôle anticorruption. Le score indique le niveau de risque que le fournisseur soit impliqué dans des activités de corruption.
- Un contrôle de non-engagement : vérification interne de Microsoft contre les fournisseurs dont l'utilisation a été jugée inappropriée.
- Contrôle des sanctions commerciales : révision de sites de surveillance, de dossiers du secteur public et de recherches dans les médias pour déterminer si des sanctions commerciales s’appliquent au fournisseur.
De plus, l’approbation des unités professionnelles est requise sous la forme d’une contrôle finale une fois que tous les résultats et contrôles ont été renvoyés et comptabilisés.
L’inscription du sous-traitant commence par une demande de message électronique adressée à un sous-traitant, avec des instructions pour créer un profil dans le Portail de conformité des fournisseurs Microsoft (MSCP). Les sous-traites utilisent le portail pour choisir les activités de traitement des données pour lesquelles ils souhaitent être approuvés. Ces activités de traitement des données incluent :
- Traitement de données personnelles et / ou de données confidentielles Microsoft
- Traitement des données sur le réseau du fournisseur
- Rôle de traitement des données (contrôleur, processeur, co-contrôleur, etc.)
- Traitement des cartes de paiement
- Fourniture Software as a Service (SaaS - Logiciel en tant que service)
- Utilisation des sous-traitants
- Désignation de sous-processeur
Une fois qu’un sous-traitant a terminé son profil, il reçoit l’ensemble complet ou un sous-ensemble des exigences de la DPR à remplir dans les 90 jours. En fonction des approbations sélectionnées par le sous-traitant dans son profil, l’assurance indépendante peut être nécessaire en plus de vérifier la conformité aux contrôles DPR attribués.
Dans certains cas, les exigences peuvent être satisfaites par le biais d’alternatives de certification acceptables telles que ISO 27701 (confidentialité) et ISO 27001 (sécurité).
Une fois qu'un sous-traitant a passé tous les contrôles applicables, son statut au titre de la SSPA est soumis à une révision finale. Les réviseurs vérifient tous les contrôles pertinents et décident quels types de traitement de données doivent être approuvés. Une fois le profil approuvé, les sous-traitants reçoivent les approbations de traitement des données requises.