Persyaratan Perlindungan Data Pemasok Microsoft

Supplier Security and Privacy Assurance (SSPA)

Persyaratan Perlindungan Data Pemasok Microsoft Penerapan Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft.  Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan.  Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku. “Tanpa membatasi kewajibannya yang lain, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, yang mengikat aturan perusahaan, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh Microsoft., termasuk, tetapi tidak terbatas pada, UE-A.S. Kerangka kerja Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi." "Informasi Sensitif Microsoft" adalah segala jenis informasi yang, jika membahayakan kerahasiaan atau sarana integritas, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft. “Informasi Pribadi” berarti setiap informasi yang diberikan Microsoft atau dikumpulkan Pemasok terkait dengan Perjanjian ini yang tercakup dalam undangundang tentang perlindungan data atau privasi di yurisdiksi yang berlaku: (i) Informasi yang terkait dengan, mengidentifikasi, atau menempatkan seseorang yang dengannya informasi tersebut terkait; atau (ii) Yang darinya identifikasi atau informasi kontak seseorang berasal.

Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (GAPP) terbagi menjadi 10 bagian yang menyertakan kriteria terukur yang terkait dengan perlindungan dan manajemen informasi personal. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft.

Versi 3

Halaman | 1


#

Persyaratan Perlindungan Data Pemasok Microsoft

Kriteria Penilaian yang Disarankan

Response:

Bagian GAPP A: Manajemen Sebelum pemasok mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal atau Sensitif Microsoft, pemasok harus: 1

2

Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian sahih Microsoft yang berisi bahasa perlindungan privasi dan keamanan data.

Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sahih.

Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan.

Pemasok harus mengidentifikasi orang atau kelompok yang ditunjuk dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data.

Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas. 3

Menetapkan, mempertahankan, dan melakukan pelatihan privasi karyawan tahunan. Microsoft menyediakan materi di: http://www.microsoft.com/about/companyinformation/procureme nt/toolkit/en/us/privacymaterials.aspx

Pemasok mengedukasi karyawan pada awalnya dan secara berkala tentang prinsip privasi dan keamanan dasar (Pemberitahuan, Pilihan dan Persetujuan, Pengumpulan, Penggunaan & Penyimpanan, Akses, Transfer & Pengungkapan Terusan, Keamanan, Kualitas, Pengawasan & Penegakan).

Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan, dll.

Versi 3

Halaman | 2

Supplier Security and Privacy Assurance (SSPA) 4

Mengomunikasikan informasi yang relevan secara berkala tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada personel dan subkontraktor yang melakukan layanan untuk Microsoft.

Versi 3

Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll.

Halaman | 3


#



Response:

Bagian GAPP B: Pemberitahuan 5

Pemasok harus membuat pemberitahuan privasi yang kentara, yang tersedia untuk individu saat mengumpulkan Informasi Personal Microsoft dari mereka guna membantu memutuskan apakah harus mengirimkan informasi personal mereka kepada pemasok.

Pemberitahuan privasi harus mendeskripsikan tujuan informasi personal dikumpulkan dan keadaan yang membuat informasi ini akan atau dapat diungkapkan. Pemberitahuan privasi harus tersedia, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data.

Pemberitahuan privasi harus dibuat secara tertulis sehingga individu tersebut dapat memahami tujuan penggunaan data. 6

Situs web host pemasok untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi [email protected] untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok.

Versi 3

Berikan bukti telah ditandatanganinya Privasi Microsoft.

Halaman | 4


8

Pemasok yang melakukan kampanye pemasaran untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi [email protected] untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok.

Berikan bukti telah ditandatanganinya Privasi Microsoft.

Saat mengumpulkan Informasi Personal Microsoft melalui panggilan suara langsung, pemasuk harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan pelanggan.

Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan individu saat informasi personal dikumpulkan melalui telepon

Versi 3

Halaman | 5


#



Response:

Bagian GAPP C: Pilihan dan Persetujuan 9

10

Pemasok harus memperoleh dan mendokumentasikan persetujuan individu sebelum mengumpulkan informasi personal individu tersebut.

Pemasok menjelaskan proses kepada individu untuk menyetujui atau menolak memberikan informasi personal dan konsekuensi dari kedua tindakan tersebut.

Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut.

Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal.

Pemasok mengonfirmasi preferensi kontak secara tertulis atau secara elektronik.

Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. Pemasok memberi tahu individu tentang penggunaan baru informasi personal yang diajukan. 11

Mendokumentasikan dan mengelola perubahan atas preferensi kontak individu dengan tepat waktu.

12

Memperoleh dan mendokumentasikan persetujuan individu untuk setiap penggunaan baru dari informasi personal individu tersebut.

Pemasok memastikan bahwa jika persetujuan tidak diberikan, informasi tidak dapat digunakan.

Versi 3

Halaman | 6


#



Response:

Bagian GAPP D: Pengumpulan 13

14

15

16

Pemasok harus mengawasi pengumpulan Informasi Personal Microsoft untuk memastikan bahwa satu-satunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft.

Terdapat sistem dan prosedur untuk menentukan informasi personal yang penting. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan proses.

Jika pemasok mengadakan informasi personal dari pihak ketiga atas nama Microsoft, maka pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft dan persyaratan DPR.

Pemasok melakukan uji tuntas mengenai kebijakan dan praktik perlindungan data pihak ketiga.

Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif melalui pemasangan atau penggunaan perangkat lunak yang dapat dijalankan di komputer individu, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer individu untuk mengumpulkan informasi personal.

Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif seperti ras, asal etnis, pandangan politik, keanggotaan serikat dagang, kesehatan fisik atau mental, atau kehidupan seksual, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum mengumpulkan informasi personal sensitif.

Versi 3

Halaman | 7


#



Response:

Bagian GAPP E: Penyimpanan 17

18

19

20

Memastikan bahwa Informasi Personal dan Sensitif Microsoft hanya digunakan untuk memberikan layanan yang diadakan oleh Microsoft.

Sistem dan prosedur disesuaikan untuk mengawasi penggunaan Informasi Personal dan Sensitif. Pemasok mengawasi sistem dan proses untuk memastikan keefektifannya.

Memastikan bahwa Informasi Personal dan Sensitif Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Personal Microsoft diperlukan oleh hukum.

Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian.

Mendokumentasikan penyimpanan atau pembuangan Informasi Personal dan Sensitif Microsoft. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok.

Pemasok menyimpan data pelepasan Informasi Personal dan Sensitif Microsoft (misalnya dikembalikan ke Microsoft atau dihancurkan).

Memastikan bahwa, atas kebijakan Microsoft, Informasi Personal atau Sensitif Microsoft yang dimiliki oleh pemasok atau berada di bawah kendalinya dikembalikan kepada Microsoft atau dihancurkan setelah layanan diterima atau atas permintaan Microsoft.

Versi 3

Halaman | 8


#



Response:

Bagian GAPP F: Akses Jika individu meminta akses ke Informasi Personal Microsoft mereka, pemasok harus: 21

22

Mengomunikasikan langkah-langkah yang harus diambil oleh individu tersebut untuk mendapatkan akses ke Informasi Personal Microsoft mereka.

Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses informasi personal, serta metode yang tersedia untuk memperbarui informasi.

Mengesahkan identitas individu yang meminta akses ke Informasi Personal Microsoft mereka.

Pemasok tidak menggunakan pengindentifikasi yang dikeluarkan oleh pemerintah untuk pengesahan.

23

Menahan diri dari menggunakan pengidentifikasi yang dikeluarkan oleh pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan, kecuali tidak ada pilihan lain yang tersedia.

Karyawan pemasok dilatih untuk mengesahkan identitas individu yang meminta akses ke informasi personal mereka atau membuat perubahan ke informasi personal.

Setelah individu disahkan, pemasok harus: 24

Menentukan apakah dia memegang atau mengendalikan Informasi Personal Microsoft tentang individu tersebut.

Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah informasi personal disimpan.

Versi 3

Halaman | 9


26

27

Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal Microsoft yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan.

Pemasok menjawab permintaan dengan tepat waktu.

Mencatat tanggal dan waktu permintaan untuk akses dan tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut.

Pemasok mempertahankan data permintaan akses dan mendokumentasikan perubahan yang dibuat ke informasi personal.

Memberikan catatan permintaan akses kepada Microsoft atas permintaan.

Penolakan akses harus didokumentasikan secara tertulis dan harus menjelaskan mengapa akses ditolak.

Setelah individu disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Personal Microsoft yang diminta, pemasok harus: 28

29

Versi 3

Memberikan Informasi Personal Microsoft kepada individu dalam format tercetak, elektronik, atau lisan yang tepat

Jika permintaan akses mereka ditolak, berikan penjelasan kepada individu secara tertulis yang konsisten dengan instruksi relevan yang sebelumnya diberikan oleh Microsoft.

Pemasok memberikan informasi personal kepada individu dalam format yang dapat dimengerti dan dalam bentuk yang mudah digunakan oleh individu dan pemasok.

Halaman | 10


31

Versi 3

Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Personal Microsoft yang dirilis kepada individu tidak dapat digunakan untuk mengidentifikasi orang lain.

Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat mengindentifikasi dari informasi yang dikeluarkan (mis., tidak dapat memfotokopi seluruh halaman data saat meminta informasi personal untuk individu hanya tampak pada satu jalur).

Jika seorang individu dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Personal Microsoft, pemasok harus menyampaikan masalah tersebut ke Microsoft dan bekerja sama dengan Microsoft sebagaimana diperlukan untuk menyelesaikan masalah.

Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft.

Halaman | 11


#



Responses:

Bagian GAPP G: Pengungkapan kepada Pihak Ketiga Jika pemasok berniat untuk menggunakan subkontraktor untuk membantu mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal dan Sensitif Microsoft, pemasok harus: 32

33

34

35

Versi 3

Menggunakan subkontraktor yang merupakan partisipan dengan reputasi baik di Program Pemasok Microsoft atau memperoleh persetujuan tertulis dari Microsoft sebelum layanan diberikan oleh subkontraktor.

Pemasok memvalidasi bahwa subkontraktor merupakan partisipan dalam Microsoft Preferred Supplier Program (MSP).

Mendokumentasikan sifat dan cakupan Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor.

Pemasok mempertahankan dokumentasi mengenai Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor.

Pastikan subkontraktor menggunakan Informasi Personal Microsoft sesuai dengan preferensi kontak individu.

Sistem dan proses disesuaikan untuk memastikan subkontraktor menggunakan Informasi Personal Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak individu.

Membatasi penggunaan Informasi Personal Microsoft oleh subkontraktor untuk tujuan tersebut yang penting demi memenuhi kontrak pemasok dengan Microsoft.

Pemasok memperoleh izin tertulis untuk penggunaan pemasok non-MSP.

Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan.

Halaman | 12


37

38

39

Segera memberi tahu Microsoft atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. Meninjau keluhan untuk indikasi dari penggunaan yang tidak sah atau pengungkapan Informasi Personal Microsoft.

Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor.

Segera memberi tahu Microsoft setelah mengetahui bahwa subkontraktor telah menggunakan atau mengungkapkan Informasi Personal dan Sensitif Microsoft untuk tujuan selain dari memberikan layanan terkait dengan Microsoft kepada Microsoft atau pemasoknya.

Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah.

Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh penggunaan yang tidak sah dari subkontraktor atau pengungkapan Informasi Personal dan Sensitif Microsoft.

Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan saat subkontraktor telah menggunakan Informasi Personal dan Sensitif Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Personal atau Sensitif.

Sebelum menerima informasi personal apa pun dari pihak ketiga, pemasok harus: 40

Memverifikasi bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR.

Proses disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga.

Versi 3

Halaman | 13


42

Versi 3

Mengonfirmasi bahwa hanya informasi personal yang dikumpulkan dari pihak ketiga diperlukan untuk melakukan layanan yang diadakan oleh Microsoft.

Proses disesuaikan untuk membatasi transfer Informasi Personal Microsoft dari pihak ketiga hanya untuk yang diperlukan untuk melakukan layanan yang dikontrak.

Pemasok harus memiliki izin tertulis terlebih dahulu dari Microsoft sebelum memberikan Informasi Personal Microsoft kepada pihak ketiga.

Pemasok dapat memberikan salinan izin tertulis.

Halaman | 14


#



Response:

Bagian GAPP H: Kualitas 43

Pemasok harus memastikan bahwa semua Informasi Personal Microsoft akurat, lengkap, dan relevan untuk tujuan pengumpulan dan penggunaan yang disebutkan.

Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses disesuaikan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan.

Jumlah minimum informasi personal yang diperlukan untuk memenuhi tujuan yang disebutkan harus dikumpulkan.

Versi 3

Halaman | 15

Supplier Security and Privacy Assurance (SSPA) #



Response:

Bagian GAPP I: Pemantauan dan Penegakan Pemasok harus: 44

Melakukan peninjauan kepatuhan tahunan untuk memastikan kepatuhannya dengan Persyaratan Perlindungan Data.

Pemasok harus membuktikan bahwa tinjauan kepatuhan tahunan telah dilakukan.

45

46

47

Dalam 72 jam, beri tahu Microsoft setelah mengetahui adanya pelanggaran terhadap privasi atau kerentanan keamanan yang diketahui terkait dengan penanganan Informasi Personal atau Sensitif Microsoft oleh pemasok.

Pemasok harus membuktikan bahwa Microsoft telah diberi tahu tentang pelanggaran privasi atau kerentanan keamanan yang diduga atau diketahui.

Jangan keluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan insiden aktual, yang melibatkan Informasi Personal atau Sensitif Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali disebutkan oleh hukum atau persyaratan peraturan.

Segera mengurangi kerentanan dan pelanggaran yang diduga atau diketahui.

Kerentanan dan pelanggaran diatasi secara tepat waktu.

48

Versi 3

Menerapkan rencana pemulihan dan mengawasi resolusi dari pelanggaran dan kerentanan terkait dengan Informasi Personal Microsoft untuk memastikan bahwa tindakan korektif yang tepat diambil dengan tepat waktu.

Rencana pemulihan tersedia jika diterapkan.

Halaman | 16


Pemasok harus: 49

Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft.

Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft.

50

Memberi tahu Microsoft tentang tiap keluhan terkait dengan Informasi Personal Microsoft.

Data keluhan yang membuktikan jawaban tepat waktu.

51

Versi 3

Mencatat dan menjawab semua keluhan perlindungan data terkait dengan Informasi Personal Microsoft secara tepat waktu kecuali ada instruksi spesifik yang diberikan oleh Microsoft. Sesuai permintaan, memberikan dokumentasi tentang keluhan yang sudah diatasi dan belum diatasi kepada Microsoft.

Dokumentasi keluhan terbuka/tertutup.

Halaman | 17


#



Response:

Bagian GAPP J: Keamanan PROGRAM KEAMANAN INFORMASI Pemasok harus menetapkan, mengimplementasikan, dan mempertahankan program keamanan informasi yang menyertakan kebijakan dan prosedur untuk melindungi Informasi Personal dan Sensitif Microsoft. Program keamanan pemasok harus mengatasi masalah berikut yang terkait dengan perlindungan Informasi Personal & Sensitif Microsoft 52

53

54

Versi 3

Melakukan penilaian risiko tahunan dan lebih sering.

Melakukan pemindaian kerentanan jaringan internal dan eksternal setidaknya setiap kuartal dan setelah perubahan yang signifikan di jaringan (mis., pemasangan komponen sistem baru, perubahan pada topologi jaringan, modifikasi aturan firewall, pemutakhiran produk). Pencegahan akses yang tidak sah melalui penggunaan kendali akses fisik dan logis yang efektif, termasuk membatasi akses fisik ke sistem informasi elektronik selagi memastikan bahwa akses yang tidak sah diizinkan.

Program keamanan yang diterapkan pemasok harus mencakup (52) – (69), sebagaimana dicantumkan, kiri. Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPPA, GLBA) atau persyaratan kontraktual.

Penilaian risiko pemasok harus menyertakan ancaman yang muncul, dampak bisnis yang mungkin terjadi, dan kemungkinan terjadinya. Pemasok harus memodifikasi keamanan proses, prosedur, dan panduan terkait dengan sesuai.

Halaman | 18


56

Prosedur untuk menambahkan pengguna baru, memodifikasi level akses pengguna yang ada, dan menghapus pengguna yang sudah tidak memerlukan akses lagi (memberlakukan prinsip yang paling istimewa).

Penetapan tanggung jawab dan akuntabilitas demi keamanan.

57

Penetapan tanggung jawab dan akuntabilitas untuk perubahan dan pemeliharaan sistem.

58

Penerapan pemutakhiran dan patch perangkat lunak sistem dalam kerangka waktu yang wajar berdasarkan risiko.

59

Versi 3

Pemasangan perangkat lunak perlindungan anti-virus dan antimalware untuk semua peralatan yang terhubung ke jaringan, tetapi tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya. Definisi anti-virus dan anti-malware harus diperbarui setiap hari atau lebih sering kecuali diarahkan sebaliknya oleh Microsoft atau pemasok anti-virus/anti-malware.

Halaman | 19


Pengujian, pengevaluasian, dan pengesahan komponen sistem sebelum diterapkan.

61

62

Pemasok yang mengembangkan perangkat lunak sebagai bagian dari bisnis mereka harus mematuhi Security Development Lifecycle (SDL) Microsoft. Informasi lebih lanjut tersedia di http://www.microsoft.com/sdl.

Resolusi dari keluhan dan permintaan terkait dengan masalah keamanan.

63

Mengatasi kesalahan dan penghapusan, pelanggaran keamanan, dan insiden lain.

64

65

Prosedur untuk mendeteksi serangan yang sebenarnya dan percobaan serangan ke sistem dan untuk menguji prosedur keamanan secara proaktif (misalnya, pengujian penetrasi).

Alokasi pelatihan dan sumber daya lain untuk mendukung kebijakan keamanan.

Versi 3

Halaman | 20


Ketetapan untuk mengatasi pengecualian dan situasi yang tidak ditangani secara spesifik dalam sistem.

67

Rencana pemulihan bencana dan pengujian terkait.

68

69

70

Ketetapan untuk identifikasi dari, dan konsistensi dengan, komitmen yang ditetapkan, perjanjian tingkat layanan, dan kontrak lain.

Persyaratan bahwa pengguna, manajemen, dan pihak ketiga mengonfirmasi (lebih awal dan setiap tahun) pemahaman mereka dan perjanjian untuk memenuhi kebijakan privasi dan prosedur yang berlaku terkait dengan keamanan informasi personal.

PENGESAHAN Pemasok harus mengesahkan identitas individu sebelum memberikan akses ke informasi Personal atau Sensitif Microsoft kepada individu tersebut.

Proses pengesahan yang digunakan oleh pemasok memerlukan penggunaan ID dan kata sandi yang unik untuk akses secara daring ke informasi personal individu.

Untuk pengesahan secara daring, pemasok harus:

Versi 3

Halaman | 21


Menggunakan Akun Microsoft, jika mungkin.

72

Meminta individu tersebut untuk menggunakan ID dan kata sandi yang unik (atau yang setara).

Untuk pengesahan telepon, pemasok harus: 73

74

Meminta pengguna untuk memvalidasi informasi kontak mereka dan, jika mungkin, memberikan minimal satu informasi unik (mis., kode UPC, nama kontes).

Proses pengesahan telepon harus menyertakan validasi oleh individu dari informasi kontak ditambah potongan informasi unik yang mungkin hanya diketahui oleh individu tersebut.

AKSES KE INFORMASI PERSONAL MICROSOFT OLEH PERSONEL PEMASOK

Sistem dan prosedur harus disesuaikan untuk menetapkan akses untuk karyawan pemasok berdasarkan kebutuhan bisnis yang sah demi akses ke informasi personal.

Pemasok harus membatasi akses ke Informasi Personal Microsoft kepada personel pemasok dengan kebutuhan bisnis untuk akses tersebut. 75

Versi 3

Pemasok harus menonaktifkan jaringan dan semua akun dukungan lainnya untuk siapa pun yang sudah tidak lagi mengerjakan program Microsoft dalam 24 jam dari saat pengguna meninggalkan program dan dalam 2 jam untuk pemberhentian non-sukarela.

Sistem dan prosedur ini harus menangani akses internal/eksternal, media, kertas, platform teknologi, dan media pencadangan.

Halaman | 22

Supplier Security and Privacy Assurance (SSPA) PENGHANCURAN INFORMASI PERSONAL MICROSOFT Jika penghancuran Informasi Personal Microsoft diperlukan, pemasok harus: 76

77

Membakar, menghancurleburkan, atau mencabik aset fisik yang berisi Informasi Personal Microsoft agar informasi tersebut tidak dapat dibaca atau direkonstruksi.

Pemasok harus membuktikan bahwa aset fisik telah cukup hancur sehingga data tersebut tidak dapat dibaca atau direkonstruksi.

Menghancurkan atau menghapus aset berisi Informasi Personal Microsoft agar informasi tidak dapat dibaca atau direkonstruksi.

PERLINDUNGAN A SET DIGITAL Sistem dan prosedur harus disesuaikan untuk melindungi informasi personal yang ditransmit melalui Internet atau jaringan publik lain. Pemasok harus: 78

79

Mempekerjakan penerapan enkripsi standar industri dari SSL, TLS, atau IPsec untuk Informasi Microsoft dalam transit dan untuk pengesahan pengirim/penerima.

Mempekerjakan Bitlocker atau industri setara yang diakui sebagai alternatif pada laptop tempat Informasi Microsoft disimpan.

Beberapa skema peraturan (mis., HIPPA, GLBA, PCI) memiliki persyaratan spesifik untuk transmisi data. Sertifikat SSL dipelihara dengan baik sehingga sertifikat SSL baru yang sahih dapat dipasang sebelum yang lama kedaluwarsa.

Versi 3

Halaman | 23


81

Menggunakan algoritma simetris dan asimetris yang secara kriptografis kuat yang memenuhi standar industri saat ini saat menyimpan jenis Informasi Personal Microsoft tercantum di bawah. Persyaratan ini meluas ke perangkat portabel termasuk tetapi tidak terbatas pada drive USB, telepon genggam, perangkat atau media pencadangan, dll. a. nomor identifikasi pemerintah (mis. nomor jaminan sosial atau surat izin mengemudi); b. nomor rekening (mis. nomor kartu kredit dan rekening bank); c. profil medis (mis. nomor rekam medis atau pengidentifikasi biometrik).

Sistem dan prosedur harus disesuaikan untuk mengenkripsi nomor identifikasi pemerintah, nomor rekening, dan informasi medis dalam penyimpanan.

Hanya menerima Informasi Microsoft yang dikirimkan melalui transit terenkripsi.

Pemasok harus menolak pengiriman informasi personal apa pun yang ditransmit melalui sarana yang tidak dienkripsi.

82

Investigasi pelanggaran dan usaha untuk mendapatkan akses tidak sah ke sistem yang berisi Informasi Personal atau Sensitif Microsoft.

Sistem dan proses disesuaikan untuk menyelidiki pelanggaran atau usaha pengaksesan yang tidak sah.

83

Segera mengomunikasikan hasil investigasi kepada manajemen pemasok senior dan Microsoft.

Sistem dan proses disesuaikan untuk mengomunikasikan hasil investigasi kepada Microsoft.

84

Memenuhi standar penanganan kartu kredit yang berlaku untuk kartu yang diterima.

Versi 3

Halaman | 24

Supplier Security and Privacy Assurance (SSPA) PERLINDUNGAN A SET FISIK Pemasok harus: 85

86

87

Simpan Informasi Personal dan Sensitif Microsoft dalam lingkungan yang dikendalikan oleh akses.

Bawa Informasi Personal dan Sensitif Microsoft dengan aman.

PEMULIHAN BENCANA Pemasok harus memastikan bahwa proses perencanaan pencadangan dan pemulihan bencana melindungi Informasi Personal dan Sensitif Microsoft dari penggunaan, akses, pengungkapan, pengubahan dan penghancuran yang tidak sah.

PENGUJIAN DAN AUDIT Pemasok harus: 88

89

Versi 3

Menguji secara reguler keefektifan pengaman utama yang melindungi Informasi Personal Microsoft.

Melakukan audit independen pengendalian keamanan secara berkala.

Sistem dan proses disesuaikan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan dari informasi personal.

Sistem dan proses harus disesuaikan untuk melindungi aset fisik yang berisi informasi personal selama dibawa dengan cukup.

Sistem dan proses harus disesuaikan untuk melindungi Informasi Personal dan Sensitif Microsoft dari penghancuran, pengubahan, pengungkapan, atau penggunaan atau akses yang tidak sah jika terjadi bencana.

Frekuensi pengujian yang diperlukan bervariasi bergantung pada ukuran dan kerumitan operasi pemasok. Dokumentasi pengujian dan hasil uji diperlukan begitu pula dengan modifikasi sistem, kebijakan, dan prosedur saat hasil pengujian mengidentifikasi kelemahan.

Jika diperlukan per ketentuan kontraktual MS, audit keamanan harus dilakukan sesuai dengan ketentuan kontrak.

Halaman | 25


Membuat hasil audit ini tersedia untuk Microsoft berdasarkan permintaan.

91

92

Mendokumentasikan dan menguji rencana pemulihan bencana dan darurat minimal setiap tahun untuk memastikan kelangsungannya.

Pemasok harus memiliki dokumentasi kebijakan pencadangan, yang menentukan frekuensi pencadangan. Cadangan harus disimpan dengan aman. Cadangan harus diuji secara berkala melalui restorasi aktual untuk memastikan kegunaan mereka.

Melakukan pengujian ancaman dan kerentanan secara berkala, termasuk peninjauan penetrasi keamanan.

93

Versi 3

Membuat anonim semua Informasi Personal Microsoft yang digunakan dalam lingkungan pengembangan atau pengujian.

Informasi Personal Microsoft tidak boleh digunakan dalam lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dengan cukup dibuat anonim untuk mencegah pengidentifikasian individu atau penyalahgunaan informasi personal.

Halaman | 26

Persyaratan Perlindungan Data Pemasok Microsoft

Recommend Documents