了解子处理器载入和监视
当 Microsoft 与子处理者启动支持合同时,特定的工作流和流程可确保子处理者在开始合同工作之前满足要求。 新的次级处理者必须完成一系列验证,以验证其信息系统是否满足他们将在合同工作中处理的数据类型适用的要求。 或者,分配给已满足要求的现有子处理者的合同工时允许 Microsoft 限制处理客户或个人数据的子处理者的数量。
添加新的次级处理者
添加新的次级处理者需要进行一系列严格的验证,以确保次级处理者符合 Microsoft 标准,然后才能开始合同工作。 这些验证步骤包括但不限于:
- 业务验证检查:业务评审,以确定为何需要使用此供应商,而不是已批准的供应商。 获得企业批准后,必须执行以下附加验证。
- 隐私和合规性检查:验证子处理器是否已在适当时间内披露,以及是否满足所有合同和认证要求。
- 反腐败检查:根据全球关系管理系统和可能参与腐败活动的供应商的新闻进行检查。
- 腐败风险评分:这是根据反腐败检查分配的分数。 该分数指示供应商参与腐败活动的风险级别。
- “不参与”检查:Microsoft 对被认为不适合使用的供应商进行内部检查。
- 贸易制裁筛选:审查观察网站、政府记录和媒体搜索,以确定贸易制裁是否适用于供应商。
此外,在返回并计入所有分数和检查后,需要业务部门审批作为最终检查。
次级处理者注册从向潜在次级处理者发送电子邮件请求开始,其中包含在 Microsoft 供应商合规门户 (MSCP) 中创建配置文件的说明。 次级处理者使用门户来选择他们希望获得批准的数据处理活动。 这些数据处理活动包括:
- 处理个人数据和/或 Microsoft 机密数据
- 处理供应商网络上的数据
- 数据处理角色(控制者、处理者、共同控制者等)
- 支付卡处理
- 提供软件即服务 (SaaS)
- 使用分包商
- 子处理器指定
子处理器完成其配置文件后,将向其提供来自 DPR 的完整集或一部分要求,以便在 90 天内完成。 根据子处理者在其配置文件中选择的批准,除了验证是否遵守分配的 DPR 控制之外,还可能需要独立保证。
在某些情况下,可以通过可接受的认证替代方案(如 ISO 27701 (隐私) 和 ISO 27001 (安全) )来满足要求。
次级处理者通过所有适用的检查后,其 SSPA 状态将接受最终审查。 审阅者将验证所有相关检查并决定应批准哪些类型的数据处理。 个人资料获得批准后,次级处理者会收到必要的数据处理批准。