Programa SSPA (Supplier Security and Privacy Assurance)
Importante
As informações apresentadas neste artigo são em nome da equipa de Segurança e Privacidade do Fornecedor (SSPA). As informações mais atualizadas estão disponíveis aqui. Se existir um conflito entre as informações apresentadas neste artigo e a página do SSPA, a página SSPA substituirá as informações neste artigo.
A Microsoft acredita que a privacidade é um direito fundamental. Na missão de capacitar todas as pessoas e organizações do planeta para alcançarem mais, a Microsoft esforça-se por ganhar e manter a confiança dos seus clientes.
As práticas fortes de privacidade e segurança são fundamentais para esta missão, essenciais para confiar e em várias jurisdições exigidas por lei. As normas capturadas nas políticas de privacidade e segurança da Microsoft refletem os nossos valores como uma empresa e estendem-se a fornecedores que processam Dados Pessoais e Confidenciais em nosso nome.
O Programa de Segurança e Privacidade do Fornecedor (SSPA) fornece instruções de processamento de dados de linha de base da Microsoft aos fornecedores sob a forma de Requisitos de Proteção de Dados do Fornecedor Microsoft (DPR).
Observação
Os fornecedores podem ter de cumprir requisitos adicionais de nível organizacional que são decididos e comunicados fora do SSPA pelo grupo microsoft responsável pela interação com o fornecedor.
Descrição geral do programa SSPA
O SSPA é uma parceria entre o Microsoft Procurement, Corporate External and Legal Affairs e o Corporate Security para garantir que os princípios de privacidade e segurança são seguidos por fornecedores. O âmbito do SSPA abrange todos os fornecedores globalmente que processam Dados Pessoais e/ou Dados Confidenciais da Microsoft.
O SSPA permite ao fornecedor efetuar seleções de Perfis de Processamento de Dados que se alinham com os produtos e/ou serviços que os fornecedores são contratados para realizar. Estas seleções acionam requisitos correspondentes para fornecer garantias de conformidade.
Todos os fornecedores inscritos têm de concluir um atestado anual de conformidade da DPR. O Perfil de Processamento de Dados de um fornecedor determina se a DPR completa é emitida ou se se aplica um subconjunto de requisitos. Os fornecedores que processam dados que a Microsoft considera de maior risco também poderão ter de cumprir requisitos adicionais, tais como fornecer uma verificação independente da conformidade. Os fornecedores que estejam numa lista de subprocessadores da Microsoft publicada também serão convidados a fornecer uma verificação independente da conformidade.
Âmbito do SSPA
Todos os fornecedores a nível global que processam Dados Pessoais ou Confidenciais da Microsoft ao abrigo do contrato com a Microsoft têm de estar em conformidade com o programa SSPA. A DPR contém uma secção denominada Definições onde pode encontrar definições e exemplos para cada uma destas categorias de dados.
Perfil de Processamento de Dados
Os fornecedores da Microsoft têm controlo sobre o respetivo Perfil de Processamento de Dados SSPA, permitindo que os fornecedores decidam quais os compromissos que pretendem ser elegíveis para desempenhar.
Os grupos empresariais da Microsoft só podem criar compromissos com fornecedores em que a atividade de processamento de dados corresponda às aprovações obtidas pelo fornecedor.
Os fornecedores podem atualizar o respetivo Perfil de Processamento de Dados em qualquer altura durante o ano se não existirem tarefas abertas. Quando é efetuada uma alteração, a atividade correspondente é emitida e tem de ser concluída antes de as aprovações serem protegidas. As aprovações existentes e concluídas aplicam-se até que os requisitos recentemente emitidos sejam concluídos.
Se as tarefas recentemente executadas não forem concluídas dentro do intervalo de tempo de 90 dias permitido, o estado do SSPA é atualizado para Vermelho (não conforme) e a conta é desativada dos sistemas A pagar das Contas Microsoft.
Requisitos de garantia
As aprovações selecionadas no Perfil de Processamento de Dados do fornecedor ajudam o SSPA a avaliar o nível de risco nos compromissos do fornecedor. Os requisitos de conformidade do SSPA diferem com base no Perfil de Processamento de Dados e nas aprovações associadas.
Também existem combinações que podem elevar ou reduzir os requisitos de conformidade. As combinações são capturadas na secção Requisitos com base nas aprovações de perfis.
Se o perfil do fornecedor incluir Software como serviço (SaaS), subcontratantes, alojamento de sites ou cartões de pagamento, são necessárias garantias adicionais.
Auto-atestado para a DPR
Todos os fornecedores inscritos no SSPA têm de concluir um atestado autónomo de conformidade com a DPR no prazo de 90 dias após a receção do pedido. Este pedido tem de ser fornecido anualmente, mas poderá ser mais frequente se o Perfil de Processamento de Dados for atualizado a meio do ano. As contas de fornecedor mudam para um estado SSPA de Vermelho (não conforme) se o período de 90 dias for excedido. As novas encomendas de compra no âmbito não podem ser processadas até que o estado do SSPA se transforme em Verde (conforme).
Os fornecedores inscritos recentemente têm de preencher os requisitos emitidos para garantir um estado SSPA de Verde (conforme) antes de os compromissos poderem começar.
Aplicabilidade
Espera-se que os fornecedores respondam a todos os requisitos de DPR aplicáveis emitidos de acordo com o Perfil de Processamento de Dados. Espera-se que, dentro dos requisitos emitidos, alguns possam não se aplicar aos bens ou serviços que o fornecedor fornece à Microsoft. Estes podem ser marcados como "não se aplicam" com um comentário detalhado para os revisores do SSPA validarem.
As submissões da DPR são revistas pela equipa do SSPA relativamente a quaisquer seleções de "não se aplica", "conflito legal local" ou "conflito contratual" em relação aos requisitos emitidos.
Requisito de avaliação independente
Se o fornecedor tiver uma Função de Processamento de Dados do Subprocessador, terá de realizar anualmente uma avaliação independente.
A secção Requisitos baseados em aprovações de perfis inclui alternativas de certificação aceitáveis se optar por não utilizar um avaliador independente para verificar a conformidade com a DPR (quando aplicável, como para fornecedores saaS, fornecedores de alojamento de sites ou fornecedores com Subcontratantes). A ISO 27701 (privacidade) e a ISO 27001 (segurança) são consideradas como fornecendo mapeamento próximo para a DPR.
Se um fornecedor for um fornecedor de cuidados de saúde nos Estados Unidos ou uma entidade abrangida, a Microsoft aceita um relatório HITRUST para cobertura de privacidade e segurança.
O SSPA pode executar manualmente uma avaliação independente se circunstâncias além dos acionadores padrão justificarem diligências adicionais. Os exemplos incluem um pedido de privacidade ou segurança de divisão; validação da remediação de incidentes de dados; ou requisito para a execução automatizada de direitos do titular dos dados.
Requisito de certificação PCI DSS
Se um fornecedor processar informações de cartão de pagamento em nome da Microsoft, terá de fornecer provas de cumprimento da norma PCI DSS (Payment Card Industry Data Security Standard ).
Dependendo do volume de transações processadas, um fornecedor terá de ter um Avaliador de Segurança Qualificado a certificar a conformidade ou pode preencher um formulário de questionário de auto-avaliação.
Normalmente, as marcas de cartões de pagamento definem os limiares para o tipo de avaliação:
Nível 1: Fornecer um certificado PCI AOC de Terceiros
Nível 2 ou 3: Forneça um Questionário de Self-Assessment PCI DSS (SAQ) assinado pelo oficial do fornecedor.
Requisito de software como serviço
Os fornecedores que cumpriram a definição saaS incluída no Perfil de Processamento de Dados podem ser obrigados a fornecer uma certificação ISO 27001 válida.
Uso de subcontratados
A Microsoft considera a utilização de subcontratantes um fator de alto risco. Os fornecedores que utilizam subcontratantes que processam Dados Pessoais e ou Microsoft Confidential têm de divulgar esses subcontratantes. Além disso, o fornecedor também deve divulgar os países onde esses dados pessoais serão processados por cada subcontratante.