Entender a integração e o monitoramento do subprocessador
Quando a Microsoft inicia um contrato de suporte com um subprocessador, fluxos de trabalho e processos específicos garantem que os subprocessadores cumprem os requisitos antes de iniciarem o trabalho contratado. Os novos subprocessadores devem concluir uma série de verificações para validar se seus sistemas de informações atendem aos requisitos aplicáveis aos tipos de dados que eles processarão como parte do trabalho contratado. Em alternativa, o trabalho contratado atribuído a subprocessadores existentes que já cumpriram os requisitos permite à Microsoft limitar o número de subprocessadores que processam Dados Pessoais ou do Cliente.
Adicionando um novo subprocessador
Adicionar um novo subprocessador requer uma série de verificações rigorosas para garantir que o subprocessador atenda aos padrões da Microsoft antes de iniciar o trabalho contratado. Essas etapas de verificação incluem, mas não estão limitadas a:
- Uma verificação comercial: uma revisão por parte da empresa para determinar por que motivo é necessária a utilização deste fornecedor em vez de um fornecedor que já esteja aprovado. Depois que a aprovação da empresa for concedida, as verificações adicionais abaixo deverão ser executadas.
- Verificação de privacidade e conformidade: confirme que o subprocessador já foi divulgado durante o período de tempo adequado e que todos os contratos e requisitos de certificação foram cumpridos.
- Verificações anticorrupções: verifique se há sistemas globais de gerenciamento de relações e notícias para fornecedores que possam estar envolvidos em atividades de corrupção.
- Pontuação de risco de corrupção: essa é uma pontuação atribuída com base na verificação anticorrupções. A pontuação indica o nível de risco do fornecedor envolvido em atividades de corrupção.
- Uma verificação de não envolvimento: verificação interna da Microsoft contra fornecedores que foram considerados inadequados para uso.
- Triagem de sanções comerciais: uma revisão de sites de inspeção, registros governamentais e pesquisas de mídia para determinar se sanções comerciais se aplicam ao fornecedor.
Além disso, a aprovação da unidade de negócios é necessária como uma verificação final depois que todas as pontuações e verificações forem retornadas e contadas.
O registro do subprocessador começa com uma solicitação de email para um subprocessador em potencial com instruções para criar um perfil no MSCP (Portal de Conformidade do Fornecedor da Microsoft). Os subprocessadores usam o portal para escolher as atividades de processamento de dados para as quais desejam ser aprovados. Essas atividades de processamento de dados incluem:
- Processamento de dados pessoais e/ou dados confidenciais da Microsoft
- Processando dados na rede do fornecedor
- Função de processamento de dados (controlador, processador, co-controlador etc.)
- Processamento de cartão de pagamento
- Provisionamento de SaaS (Software como Serviço)
- Uso de subcontratados
- Designação do subprocessador
Assim que um subprocessador tiver concluído o respetivo perfil, ser-lhe-á atribuído o conjunto completo ou um subconjunto de requisitos da DPR para serem concluídos no prazo de 90 dias. Dependendo das aprovações selecionadas pelo subprocessador no respetivo perfil, a Garantia Independente pode ser necessária para além de verificar a conformidade com os controlos da DPR atribuídos.
Em alguns casos, os requisitos podem ser cumpridos através de alternativas de certificação aceitáveis, como ISO 27701 (privacidade) e ISO 27001 (segurança).
Depois que um subprocessador tiver passado por todas as verificações aplicáveis, o status do SSPA estará sujeito à revisão final. Os revisores verificam todas as verificações relevantes e decidem quais tipos de processamento de dados devem ser aprovados. Depois que o perfil for aprovado, os subprocessadores receberão as aprovações de processamento de dados necessárias.