Supplier Security and Privacy Assurance (SSPA)
Persyaratan Perlindungan Data Pemasok Microsoft Penerapan Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku. “Tanpa membatasi kewajibannya yang lain, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, yang mengikat aturan perusahaan, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh Microsoft., termasuk, tetapi tidak terbatas pada, UE-A.S. Kerangka kerja Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi." "Informasi Sensitif Microsoft" adalah segala jenis informasi yang, jika membahayakan kerahasiaan atau sarana integritas, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft. “Informasi Pribadi” berarti setiap informasi yang diberikan Microsoft atau dikumpulkan Pemasok terkait dengan Perjanjian ini yang tercakup dalam undangundang tentang perlindungan data atau privasi di yurisdiksi yang berlaku: (i) Informasi yang terkait dengan, mengidentifikasi, atau menempatkan seseorang yang dengannya informasi tersebut terkait; atau (ii) Yang darinya identifikasi atau informasi kontak seseorang berasal.
Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (GAPP) terbagi menjadi 10 bagian yang menyertakan kriteria terukur yang terkait dengan perlindungan dan manajemen informasi personal. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft.
Versi 3
Halaman | 1
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP A: Manajemen Sebelum pemasok mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal atau Sensitif Microsoft, pemasok harus: 1
2
Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian sahih Microsoft yang berisi bahasa perlindungan privasi dan keamanan data.
Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sahih.
Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan.
Pemasok harus mengidentifikasi orang atau kelompok yang ditunjuk dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data.
Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas. 3
Menetapkan, mempertahankan, dan melakukan pelatihan privasi karyawan tahunan. Microsoft menyediakan materi di: http://www.microsoft.com/about/companyinformation/procureme nt/toolkit/en/us/privacymaterials.aspx
Pemasok mengedukasi karyawan pada awalnya dan secara berkala tentang prinsip privasi dan keamanan dasar (Pemberitahuan, Pilihan dan Persetujuan, Pengumpulan, Penggunaan & Penyimpanan, Akses, Transfer & Pengungkapan Terusan, Keamanan, Kualitas, Pengawasan & Penegakan).
Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan, dll.
Versi 3
Halaman | 2
Supplier Security and Privacy Assurance (SSPA) 4
Mengomunikasikan informasi yang relevan secara berkala tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada personel dan subkontraktor yang melakukan layanan untuk Microsoft.
Versi 3
Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll.
Halaman | 3
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP B: Pemberitahuan 5
Pemasok harus membuat pemberitahuan privasi yang kentara, yang tersedia untuk individu saat mengumpulkan Informasi Personal Microsoft dari mereka guna membantu memutuskan apakah harus mengirimkan informasi personal mereka kepada pemasok.
Pemberitahuan privasi harus mendeskripsikan tujuan informasi personal dikumpulkan dan keadaan yang membuat informasi ini akan atau dapat diungkapkan. Pemberitahuan privasi harus tersedia, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data.
Pemberitahuan privasi harus dibuat secara tertulis sehingga individu tersebut dapat memahami tujuan penggunaan data. 6
Situs web host pemasok untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi [email protected] untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok.
Versi 3
Berikan bukti telah ditandatanganinya Privasi Microsoft.
Halaman | 4
Supplier Security and Privacy Assurance (SSPA) 7
8
Pemasok yang melakukan kampanye pemasaran untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi [email protected] untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok.
Berikan bukti telah ditandatanganinya Privasi Microsoft.
Saat mengumpulkan Informasi Personal Microsoft melalui panggilan suara langsung, pemasuk harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan pelanggan.
Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan individu saat informasi personal dikumpulkan melalui telepon
Versi 3
Halaman | 5
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP C: Pilihan dan Persetujuan 9
10
Pemasok harus memperoleh dan mendokumentasikan persetujuan individu sebelum mengumpulkan informasi personal individu tersebut.
Pemasok menjelaskan proses kepada individu untuk menyetujui atau menolak memberikan informasi personal dan konsekuensi dari kedua tindakan tersebut.
Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut.
Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal.
Pemasok mengonfirmasi preferensi kontak secara tertulis atau secara elektronik.
Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. Pemasok memberi tahu individu tentang penggunaan baru informasi personal yang diajukan. 11
Mendokumentasikan dan mengelola perubahan atas preferensi kontak individu dengan tepat waktu.
12
Memperoleh dan mendokumentasikan persetujuan individu untuk setiap penggunaan baru dari informasi personal individu tersebut.
Pemasok memastikan bahwa jika persetujuan tidak diberikan, informasi tidak dapat digunakan.
Versi 3
Halaman | 6
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP D: Pengumpulan 13
14
15
16
Pemasok harus mengawasi pengumpulan Informasi Personal Microsoft untuk memastikan bahwa satu-satunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft.
Terdapat sistem dan prosedur untuk menentukan informasi personal yang penting. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan proses.
Jika pemasok mengadakan informasi personal dari pihak ketiga atas nama Microsoft, maka pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft dan persyaratan DPR.
Pemasok melakukan uji tuntas mengenai kebijakan dan praktik perlindungan data pihak ketiga.
Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif melalui pemasangan atau penggunaan perangkat lunak yang dapat dijalankan di komputer individu, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft.
Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer individu untuk mengumpulkan informasi personal.
Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif seperti ras, asal etnis, pandangan politik, keanggotaan serikat dagang, kesehatan fisik atau mental, atau kehidupan seksual, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft.
Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum mengumpulkan informasi personal sensitif.
Versi 3
Halaman | 7
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP E: Penyimpanan 17
18
19
20
Memastikan bahwa Informasi Personal dan Sensitif Microsoft hanya digunakan untuk memberikan layanan yang diadakan oleh Microsoft.
Sistem dan prosedur disesuaikan untuk mengawasi penggunaan Informasi Personal dan Sensitif. Pemasok mengawasi sistem dan proses untuk memastikan keefektifannya.
Memastikan bahwa Informasi Personal dan Sensitif Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Personal Microsoft diperlukan oleh hukum.
Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian.
Mendokumentasikan penyimpanan atau pembuangan Informasi Personal dan Sensitif Microsoft. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok.
Pemasok menyimpan data pelepasan Informasi Personal dan Sensitif Microsoft (misalnya dikembalikan ke Microsoft atau dihancurkan).
Memastikan bahwa, atas kebijakan Microsoft, Informasi Personal atau Sensitif Microsoft yang dimiliki oleh pemasok atau berada di bawah kendalinya dikembalikan kepada Microsoft atau dihancurkan setelah layanan diterima atau atas permintaan Microsoft.
Versi 3
Halaman | 8
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP F: Akses Jika individu meminta akses ke Informasi Personal Microsoft mereka, pemasok harus: 21
22
Mengomunikasikan langkah-langkah yang harus diambil oleh individu tersebut untuk mendapatkan akses ke Informasi Personal Microsoft mereka.
Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses informasi personal, serta metode yang tersedia untuk memperbarui informasi.
Mengesahkan identitas individu yang meminta akses ke Informasi Personal Microsoft mereka.
Pemasok tidak menggunakan pengindentifikasi yang dikeluarkan oleh pemerintah untuk pengesahan.
23
Menahan diri dari menggunakan pengidentifikasi yang dikeluarkan oleh pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan, kecuali tidak ada pilihan lain yang tersedia.
Karyawan pemasok dilatih untuk mengesahkan identitas individu yang meminta akses ke informasi personal mereka atau membuat perubahan ke informasi personal.
Setelah individu disahkan, pemasok harus: 24
Menentukan apakah dia memegang atau mengendalikan Informasi Personal Microsoft tentang individu tersebut.
Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah informasi personal disimpan.
Versi 3
Halaman | 9
Supplier Security and Privacy Assurance (SSPA) 25
26
27
Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal Microsoft yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan.
Pemasok menjawab permintaan dengan tepat waktu.
Mencatat tanggal dan waktu permintaan untuk akses dan tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut.
Pemasok mempertahankan data permintaan akses dan mendokumentasikan perubahan yang dibuat ke informasi personal.
Memberikan catatan permintaan akses kepada Microsoft atas permintaan.
Penolakan akses harus didokumentasikan secara tertulis dan harus menjelaskan mengapa akses ditolak.
Setelah individu disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Personal Microsoft yang diminta, pemasok harus: 28
29
Versi 3
Memberikan Informasi Personal Microsoft kepada individu dalam format tercetak, elektronik, atau lisan yang tepat
Jika permintaan akses mereka ditolak, berikan penjelasan kepada individu secara tertulis yang konsisten dengan instruksi relevan yang sebelumnya diberikan oleh Microsoft.
Pemasok memberikan informasi personal kepada individu dalam format yang dapat dimengerti dan dalam bentuk yang mudah digunakan oleh individu dan pemasok.
Halaman | 10
Supplier Security and Privacy Assurance (SSPA) 30
31
Versi 3
Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Personal Microsoft yang dirilis kepada individu tidak dapat digunakan untuk mengidentifikasi orang lain.
Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat mengindentifikasi dari informasi yang dikeluarkan (mis., tidak dapat memfotokopi seluruh halaman data saat meminta informasi personal untuk individu hanya tampak pada satu jalur).
Jika seorang individu dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Personal Microsoft, pemasok harus menyampaikan masalah tersebut ke Microsoft dan bekerja sama dengan Microsoft sebagaimana diperlukan untuk menyelesaikan masalah.
Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft.
Halaman | 11
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Responses:
Bagian GAPP G: Pengungkapan kepada Pihak Ketiga Jika pemasok berniat untuk menggunakan subkontraktor untuk membantu mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal dan Sensitif Microsoft, pemasok harus: 32
33
34
35
Versi 3
Menggunakan subkontraktor yang merupakan partisipan dengan reputasi baik di Program Pemasok Microsoft atau memperoleh persetujuan tertulis dari Microsoft sebelum layanan diberikan oleh subkontraktor.
Pemasok memvalidasi bahwa subkontraktor merupakan partisipan dalam Microsoft Preferred Supplier Program (MSP).
Mendokumentasikan sifat dan cakupan Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor.
Pemasok mempertahankan dokumentasi mengenai Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor.
Pastikan subkontraktor menggunakan Informasi Personal Microsoft sesuai dengan preferensi kontak individu.
Sistem dan proses disesuaikan untuk memastikan subkontraktor menggunakan Informasi Personal Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak individu.
Membatasi penggunaan Informasi Personal Microsoft oleh subkontraktor untuk tujuan tersebut yang penting demi memenuhi kontrak pemasok dengan Microsoft.
Pemasok memperoleh izin tertulis untuk penggunaan pemasok non-MSP.
Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan.
Halaman | 12
Supplier Security and Privacy Assurance (SSPA) 36
37
38
39
Segera memberi tahu Microsoft atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. Meninjau keluhan untuk indikasi dari penggunaan yang tidak sah atau pengungkapan Informasi Personal Microsoft.
Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor.
Segera memberi tahu Microsoft setelah mengetahui bahwa subkontraktor telah menggunakan atau mengungkapkan Informasi Personal dan Sensitif Microsoft untuk tujuan selain dari memberikan layanan terkait dengan Microsoft kepada Microsoft atau pemasoknya.
Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah.
Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh penggunaan yang tidak sah dari subkontraktor atau pengungkapan Informasi Personal dan Sensitif Microsoft.
Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan saat subkontraktor telah menggunakan Informasi Personal dan Sensitif Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Personal atau Sensitif.
Sebelum menerima informasi personal apa pun dari pihak ketiga, pemasok harus: 40
Memverifikasi bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR.
Proses disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga.
Versi 3
Halaman | 13
Supplier Security and Privacy Assurance (SSPA) 41
42
Versi 3
Mengonfirmasi bahwa hanya informasi personal yang dikumpulkan dari pihak ketiga diperlukan untuk melakukan layanan yang diadakan oleh Microsoft.
Proses disesuaikan untuk membatasi transfer Informasi Personal Microsoft dari pihak ketiga hanya untuk yang diperlukan untuk melakukan layanan yang dikontrak.
Pemasok harus memiliki izin tertulis terlebih dahulu dari Microsoft sebelum memberikan Informasi Personal Microsoft kepada pihak ketiga.
Pemasok dapat memberikan salinan izin tertulis.
Halaman | 14
Supplier Security and Privacy Assurance (SSPA)
#
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP H: Kualitas 43
Pemasok harus memastikan bahwa semua Informasi Personal Microsoft akurat, lengkap, dan relevan untuk tujuan pengumpulan dan penggunaan yang disebutkan.
Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses disesuaikan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan.
Jumlah minimum informasi personal yang diperlukan untuk memenuhi tujuan yang disebutkan harus dikumpulkan.
Versi 3
Halaman | 15
Supplier Security and Privacy Assurance (SSPA) #
Persyaratan Perlindungan Data Pemasok Microsoft
Kriteria Penilaian yang Disarankan
Response:
Bagian GAPP I: Pemantauan dan Penegakan Pemasok harus: 44
Melakukan peninjauan kepatuhan tahunan untuk memastikan kepatuhannya dengan Persyaratan Perlindungan Data.
Pemasok harus membuktikan bahwa tinjauan kepatuhan tahunan telah dilakukan.
45
46
47
Dalam 72 jam, beri tahu Microsoft setelah mengetahui adanya pelanggaran terhadap privasi atau kerentanan keamanan yang diketahui terkait dengan penanganan Informasi Personal atau Sensitif Microsoft oleh pemasok.
Pemasok harus membuktikan bahwa Microsoft telah diberi tahu tentang pelanggaran privasi atau kerentanan keamanan yang diduga atau diketahui.
Jangan keluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan insiden aktual, yang melibatkan Informasi Personal atau Sensitif Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali disebutkan oleh hukum atau persyaratan peraturan.
Segera mengurangi kerentanan dan pelanggaran yang diduga atau diketahui.
Kerentanan dan pelanggaran diatasi secara tepat waktu.
48
Versi 3
Menerapkan rencana pemulihan dan mengawasi resolusi dari pelanggaran dan kerentanan terkait dengan Informasi Personal Microsoft untuk memastikan bahwa tindakan korektif yang tepat diambil dengan tepat waktu.
Rencana pemulihan tersedia jika diterapkan.
Halaman | 16
Supplier Security and Privacy Assurance (SSPA)
Pemasok harus: 49
Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft.
Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft.
50
Memberi tahu Microsoft tentang tiap keluhan terkait dengan Informasi Personal Microsoft.
Data keluhan yang membuktikan jawaban tepat waktu.