Požadavky na ochranu dat u dodavatelů – kritéria hodnocení Platnost Požadavky na ochranu dat u dodavatelů společnosti Microsoft (DPR) platí pro všechny dodavatele společnosti Microsoft, kteří shromažďují, užívají, distribuují, nebo ukládají Osobní údaje společnosti Microsoft nebo Citlivé informace společnosti Microsoft, nebo mají k takovýmto informacím přístup. V případě konfliktu mezi zde uvedenými požadavky a požadavky uvedenými ve smlouvách mezi dodavatelem a společností Microsoft mají přednost podmínky smlouvy. V případě konfliktu mezi zde uvedenými požadavky a právními nebo zákonnými požadavky mají druhé jmenované přednost. „Citlivé informace společnosti Microsoft“ jsou jakékoli informace, které mohou v případě zveřejnění nebo odhalení způsobit společnosti Microsoft významnou ztrátu renomé nebo finanční ztrátu. Jde kromě jiného o následující informace: Hardwarové a softwarové produkty společnosti Microsoft, interní profesně zaměřené aplikace, předběžné marketingové materiály, licenční kódy produktů a technická dokumentace týkající se produktů a služeb společnosti Microsoft. „Osobní údaje společnosti Microsoft“ jsou jakékoli informace poskytnuté společností Microsoft nebo shromážděné dodavatelem v souvislosti se službami poskytovanými společnosti Microsoft: (i) které identifikují osobu, které se týkají, nebo které lze použít k identifikaci, kontaktování či lokalizaci této osoby, nebo (ii) ze kterých lze odvodit identifikační nebo kontaktní údaje o konkrétní osobě. Mezi Osobní údaje společnosti Microsoft patří kromě jiného například: jméno, adresu, telefonní číslo, číslo faxu, e-mailovou adresu, rodné číslo, číslo pasu, další identifikační údaje vydané státními orgány a údaje o platebních kartách. Navíc, v rozsahu, v jakém jsou jakékoli další informace (jako například osobní profil, jednoznačný identifikátor, biometrické informace a/nebo IP adresa) spojeny nebo zkombinovány s Osobními údaji společnosti Microsoft, budou i takovéto informace považovány za Osobní údaje společnosti Microsoft.
Struktura DPR DPR vychází z rámce navrženého Americkým institutem certifikovaných veřejných účetních (American Institute of Certified Public Accountants – AICPA) pro kvantifikaci postupů na ochranu osobních údajů. Rámec na ochranu osobních údajů Generally Accepted Privacy Principles (GAPP) je rozdělen do 10 kapitol, které zahrnují měřitelná kriteria týkající se ochrany a správy osobních údajů. Tento rámec byl rozšířen o dodatečné požadavky společnosti Microsoft týkající se bezpečnosti a ochrany osobních údajů.
Verze 1.4
Strana | 1
Identifikátor
A
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Část GAPP Správa
Předtím, než dodavatel smí shromažďovat, užívat, distribuovat nebo ukládat Osobní údaje nebo Citlivé informace společnosti Microsoft, nebo k těmto údajům přistupovat, musí: 1. Mít podepsanou platnou smlouvu se společností Microsoft, výkaz práce, nebo nákupní objednávku obsahující zmínku o ochraně a zabezpečení osobních údajů a dat.
Dodavatelé musí mít k dispozici platnou smlouvu se společností Microsoft, výkaz práce nebo nákupní objednávku.
2. Přiřadit zodpovědnost za splnění Požadavků na ochranu dat u dodavatelů společnosti Microsoft konkrétní osobě nebo skupině ve společnosti.
Dodavatel musí identifikovat osobu nebo skupinu pověřenou zajištěním dodržování požadavků ochrany dat dodavatelem. Autorita a zodpovědnost této osoby nebo skupiny musí být jasně dokumentována.
Dodavatel musí: 1. Zavést, udržovat a provádět každoroční školení zaměstnanců v oblasti ochrany osobních údajů. Společnost Microsoft zpřístupnila materiály dostupné na adrese: http://www.microsoft.com/about/companyinformation/ procurement/toolkit/en/us/privacymaterials.aspx
2. Periodicky sdělovat relevantní informace o Požadavcích na ochranu dat u dodavatelů společnosti Microsoft svým pracovníkům a subdodavatelům poskytujícím služby pro společnost Microsoft.
Verze 1.4
Dodavatel na začátku a následně pravidelně vzdělává zaměstnance ohledně základních principů ochrany osobních údajů a bezpečnosti (oznámení, volba a souhlas, shromažďování, používání a uchovávání, přístup, následný přenos a zveřejnění, bezpečnost, kvalita, sledování a vynucování). Důkaz o provedení podobného školení může mít formu materiálů školení, záznamů prezence, sdělení (e-maily, webové stránky, bulletiny apod.) pro zaměstnance apod. Dodavatel vzdělává zaměstnance a subdodavatele zapojené do poskytování služeb společnosti Microsoft ohledně Požadavků na ochranu dat u dodavatelů společnosti Microsoft. Důkaz o počátečním a pravidelném provedení podobného školení může mít formu materiálů školení, záznamů prezence, sdělení (e-maily, webové stránky, bulletiny apod.) pro zaměstnance apod.
Strana | 2
Identifikátor
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Část GAPP
B
Dodavatel musí učinit zřetelná oznámení o ochraně osobních údajů, které budou k disposici jednotlivcům v okamžiku, kdy se od nich budou požadovat Osobní údaje společnosti Microsoft k tomu, aby jim pomohly při rozhodování, zda své osobní údaje dodavateli poskytnout.
Poznámky o ochraně osobních údajů musí popisovat účel, pro který jsou osobní údaje shromažďovány, a okolnosti, podle kterých tyto údaje budou nebo mohou být zveřejňovány.
Oznámení
Oznámení o ochraně osobních údajů musí být okamžitě dostupná, jasně datována a poskytována při nebo před okamžikem shromažďování dat. Oznámení o ochraně osobních údajů musí být napsáno způsobem, aby osoby dokázaly pochopit účel, pro který budou údaje používány.
Dodavatelé, kteří poskytují hostování webových stránek pro společnost Microsoft, musí vytvořit oznámení o ochraně osobních údajů v souladu s pokyny a šablonami dodávanými v sadě nástrojů pro ochranu osobních údajů u dodavatelů (Supplier Privacy Toolkit) na adrese: http://www.microsoft.com/about/companyinformation/ procurement/toolkit/en/us/default.aspx
V případě, že společnost Microsoft vyžaduje používání svých šablon nebo poskytuje jiné pokyny v sadě nástrojů pro ochranu osobních údajů u dodavatelů, musí je dodavatel používat.
Dodavatelé realizující jménem společnosti Microsoft prodejní a marketingové kampaně, se musí řídit pokyny uvedenými v sadě nástrojů pro ochranu osobních údajů u dodavatelů na adrese: http://www.microsoft.com/about/companyinformation/ procurement/toolkit/en/us/default.aspx Při shromažďování Osobních údajů společnosti Microsoft prostřednictvím živého telefonátu by dodavatelé měli být připraveni diskutovat příslušná pravidla pro postupy shromažďování, zpracování, použití a ukládání dat se zákazníkem.
Verze 1.4
Dodavatel předvádí, že sběr, manipulace, používání a ukládání dat je probíráno s osobou při telefonickém shromažďování osobních údajů.
Strana | 3
Identifikátor C
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Dodavatel musí získat a dokumentovat souhlas jednotlivce před shromažďováním osobních údajů o dané osobě.
Dodavatel vysvětluje proces, že osoba musí souhlasit nebo odmítnout poskytnutí osobních údajů a následky jednotlivých akcí.
Dodavatel musí získat a zdokumentovat předvolby kontaktu osoby v souladu s pokyny uvedenými v Zásadách pro předvolby kontaktu v sadě nástrojů pro ochranu osobních údajů u dodavatelů na adrese: http://www.microsoft.com/about/companyinformation/ procurement/toolkit/en/us/default.aspx
Dodavatel zdokumentuje souhlas před okamžikem nebo v okamžiku shromažďování osobních údajů.
Část GAPP
Volba a souhlas
Dodavatel potvrdí předvolby kontaktu písemně nebo elektronicky. Dodavatel zdokumentuje a spravuje předvolby kontaktu a implementuje a spravuje změny těchto předvoleb. Dodavatel upozorní osoby na navrhované nové použití osobních údajů.
Dodavatel musí:
Verze 1.4
1. Včasně dokumentovat a spravovat změny v předvolbách kontaktu osoby.
Dodavatel získá a zdokumentuje souhlas pro nové použití osobních údajů.
2. Získat a zdokumentovat souhlas jednotlivce s jakýmkoli novým použitím osobních údajů o této osobě.
Dodavatel zajistí, že údaje nebudou použity, pokud nebyl souhlas udělen.
Strana | 4
Identifikátor
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Část GAPP
D
Dodavatel musí monitorovat shromažďování Osobních údajů společnosti Microsoft tak, aby bylo zajištěno, že shromažďované údaje jsou pouze ty, které jsou nutné pro provedení služeb vyžadovaných společností Microsoft.
Existují systémy a postupy k určení nezbytných osobních údajů.
Shromažďování
Pokud dodavatel jménem společnosti Microsoft získává osobní údaje od třetích stran, potom je dodavatel povinen prověřit, zda politika a postupy na ochranu osobních údajů této třetí strany odpovídají ustanovením smlouvy dodavatele se společností Microsoft a požadavkům DPR.
Dodavatel využívá osvědčené postupy s ohledem na zásady a postupy ochrany dat třetích stran.
Před shromážděním citlivých Osobních údajů společnosti Microsoft prostřednictvím instalace nebo využití spustitelného softwaru v počítači osoby je třeba nezbytnost shromažďování těchto údajů zdokumentovat v platné dodavatelské smlouvě se společností Microsoft.
Dodavatel získá a zdokumentuje souhlas společnosti Microsoft, pokud používá na počítači osoby spustitelný software ke shromažďování osobních údajů.
Před shromážděním citlivých Osobních údajů společnosti Microsoft, jako jsou informace o rase, etnickém původu, politických názorech, členství v odborech, tělesném či duševním zdraví, nebo sexuálním životě, je třeba nezbytnost shromažďování těchto údajů zdokumentovat v platné dodavatelské smlouvě se společností Microsoft.
Dodavatel získá a zdokumentuje souhlas společnosti Microsoft, před shromažďováním citlivých osobních údajů.
Verze 1.4
Dodavatel sleduje shromažďování, aby zajistil efektivitu systémů a procesů.
Strana | 5
Identifikátor
E
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Dodavatel musí: 1. Zajistit, aby Osobní údaje a Citlivé informace společnosti Microsoft byly používány výhradně pro poskytování služeb vyžádaných společností Microsoft.
Část GAPP
Uchovávání Byly vytvořeny systémy a postupy ke sledování používání Osobních údajů a Citlivých informací. Dodavatel sleduje systémy a procesy pro zajištění jejich efektivity.
2. Zajistit, aby Osobní údaje a Citlivé informace společnosti Microsoft nebyly uchovávány po dobu delší, než je nezbytné pro poskytnutí služeb, pokud není pokračující uchovávání osobních údajů společnosti Microsoft vyžadováno ze zákona.
Dodavatel dodržuje dokumentované zásady uchovávání nebo požadavky na uchovávání určené společností Microsoft ve smlouvě, výkazu práce nebo nákupní objednávce.
3. Dokumentovat uchovávání nebo zničení Osobních údajů a Citlivých informací společnosti Microsoft. Na vyžádání musí dodavatel poskytnout společnosti Microsoft potvrzení o zničení, které bude podepsané představitelem dodavatele.
Dodavatel udržuje záznamy o zničení Osobních údajů a Citlivých informací společnosti Microsoft (např. návrat společnosti Microsoft nebo zničení).
4. Zajistit, že Osobní údaje a Citlivé informace společnosti Microsoft v držení dodavatele nebo pod jeho kontrolou se po dokončení služeb nebo na žádost společnosti Microsoft dle výhradního zvážení společnosti Microsoft vrátí společnosti Microsoft nebo se zničí.
Verze 1.4
Strana | 6
Identifikátor
F
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
V případě, že osoba požaduje přístup ke svým Osobním údajům společnosti Microsoft, dodavatel:
Část GAPP Přístup
1. Musí tuto osobu seznámit s kroky, které musí pro přístup ke svým Osobním údajům společnosti Microsoft učinit.
Dodavatel oznámí nezbytné kroky pro přístup k osobním údajům a také dostupné metody k aktualizaci údajů.
2. Musí autentizovat totožnost osoby požadující přístup ke svým Osobním údajům společnosti Microsoft.
Dodavatel nepoužívá k ověřování identifikační prostředky státní správy.
3. Kromě případů, kdy neexistuje žádná jiná odpovídající možnost, nesmí dodavatel pro autentizaci použít identifikátory vydané státními orgány (například rodné číslo).
Zaměstnanci dodavatele jsou vyškoleni v ověřování identity osob žádajících o přístup ke svým osobním údajům nebo provádění změn v osobních údajích.
Po provedení autentizace totožnosti osoby je dodavatel povinen:
Verze 1.4
1. Určit, zda má v držení nebo pod svou kontrolou Osobní údaje společnosti Microsoft o této osobě.
Dodavatel má stanoveny postupy k určení, zda jsou osobní údaje ve vlastnictví dodavatele.
2. Vynaložit přiměřené úsilí k tomu, aby požadované Osobní údaje společnosti Microsoft nalezl s tím, že vynaložení přiměřeného úsilí je nutno zdokumentovat tak, aby je bylo možné doložit.
Dodavatel odpovídá na žádosti včas.
3. Zaznamenat datum a čas, kdy byla žádost o přístup k informacím vznesena spolu s kroky přijatými dodavatelem v reakci na ni.
Dodavatel uchovává záznamy žádostí o přístup a dokumentuje změny provedené v osobních údajích.
4. Na žádost poskytnout společnosti Microsoft záznamy o požadavcích na přístup.
Odmítnutí přístupu je nutné zdokumentovat písemně a tato dokumentace musí vysvětlovat, proč byl přístup odmítnut.
Strana | 7
Po provedení autentizace totožnosti osoby požadující Osobní údaje společnosti Microsoft a po ověření skutečnosti, zda dodavatel má požadované Osobní údaje společnosti Microsoft, je dodavatel povinen: 1. Poskytnout Osobní údaje společnosti Microsoft žadateli ve vhodném tištěném, elektronickém nebo slovním formátu.
Dodavatel poskytuje osobní údaje osobám ve formátu, který je srozumitelný, a ve formě vhodné pro osobu a dodavatele.
2. Pokud byla žádost žadatele o informace odmítnuta, poskytnout žadateli písemné vysvětlení, které je v souladu se všemi příslušnými pokyny v minulosti vydanými společností Microsoft.
Verze 1.4
Dodavatel musí přijmout přiměřená opatření k tomu, aby Osobní údaje společnosti Microsoft poskytnuté nějaké osobě nemohly posloužit k identifikaci jiné osoby.
Dodavatel musí doložit, že byla provedena rozumná opatření, aby další osoba nemohla být na základě poskytovaných údajů identifikována (např. nemohla zkopírovat celou stránku dat při žádosti o osobní údaje, které se zobrazí na jednom řádku).
Pokud se žadatel a dodavatel neshodnou na tom, zda Osobní údaje společnosti Microsoft jsou úplné a přesné, je dodavatel povinen postoupit tuto otázku společnosti Microsoft a podle potřeby s ní spolupracovat na vyřešení této otázky.
Dodavatel dokumentuje případy neshod a předává problém společnosti Microsoft.
Strana | 8
Identifikátor
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
G
Pokud dodavatel hodlá využít subdodavatele na pomoc při shromažďování, užití, distribuci nebo uložení Osobních údajů a Citlivých informací společnosti Microsoft či k přístupu k nim, je jeho povinností:
Navrhovaná kritéria hodnocení
Část GAPP
Zpřístupnění třetím stranám
1. Použít subdodavatele, kteří jsou osvědčenými účastníky programu dodavatelů společnosti Microsoft (Microsoft Supplier Program) nebo získat výslovný písemný souhlas společnosti Microsoft před zadáním služby subdodavateli.
Dodavatel ověřuje subdodavatele, kteří jsou účastníci programu preferovaných dodavatelů společnosti Microsoft (MPSP).
2. Zdokumentovat povahu a rozsah Osobních údajů a Citlivých informací společnosti Microsoft daných k dispozici subdodavatelům nebo na ně převedených.
Dodavatel se stará o dokumentaci týkající se Osobních údajů a Citlivých informací společnosti Microsoft daných k disposici subdodavatelům nebo na ně převedených.
3. Zajistit, aby subdodavatel používal Osobní údaje společnosti Microsoft v souladu s uvedenými předvolbami kontaktu osob.
Jsou stanoveny systémy a procesy, které zajišťují, že subdodavatel využívá Osobní údaje společnosti Microsoft výhradně pro určené účely a v souladu s individuálními předvolbami kontaktu.
4. Omezit použití Osobních údajů společnosti Microsoft na účely nutné pro splnění smlouvy dodavatele se společností Microsoft.
Dodavatel může předvádět, že společnost Microsoft byla, v případě povolení, kontaktována předem, aby bylo možné povolit jakékoliv zveřejnění Osobních údajů společnosti Microsoft subdodavatelem v reakci na soudní příkaz.
Dodavatel získá písemné povolení pro používání dodavatelů nepocházejících z programu MPSP.
5. Okamžitě oznámit společnosti Microsoft jakýkoli soudní příkaz vyžadující sdělení Osobních údajů společnosti Microsoft subdodavatelem a v rozsahu povoleném ze zákona poskytnout společnosti Microsoft možnost intervenovat ještě před podáním jakéhokoli oznámení v reakci na tento příkaz nebo přípis.
Verze 1.4
Strana | 9
6. Provádět analýzu stížností a hledat příznaky jakéhokoli neoprávněného užití nebo zveřejnění Osobních údajů společnosti Microsoft.
Jsou stanoveny systémy a procesy pro řešení stížností týkajících se neoprávněného používání nebo zveřejňování Osobních údajů společnosti Microsoft subdodavatelem.
7. Okamžitě po zjištění skutečnosti, že subdodavatel použil Osobní údaje a Citlivé informace společnosti Microsoft nebo k nim dal přístup pro jakýkoli jiný účel, než pro poskytování služeb s vazbou na společnost Microsoft pro společnost Microsoft nebo její dodavatele toto oznámit společnosti Microsoft.
Dodavatel může předvádět, že společnost Microsoft byla upozorněna, když subdodavatelé použili Osobní údaje společnosti Microsoft pro neautorizované účely.
8. Okamžitě přijmout opatření pro zamezení jakékoli skutečné nebo možné škodě způsobené neoprávněným použitím nebo zveřejněním Osobních údajů a Citlivých informací společnosti Microsoft subdodavatelem.
Dodavatel může doložit, že byly provedeny vhodné akce, když subdodavatelé použili Osobní údaje a Citlivé informace společnosti Microsoft pro neoprávněné účely nebo zveřejnili Osobní údaje a Citlivé informace.
Před přijetím jakýchkoli osobních údajů od třetí strany je povinností dodavatele:
Verze 1.4
1. Ověřit, že postupy pro shromažďování informací této třetí strany odpovídají ustanovením DPR.
Jsou stanoveny procesy pro ověřování postupů shromažďování dat třetí strany.
2. Ověřit, že osobní údaje získané od třetích stran jsou jen informace nutné pro provedení služeb vyžadovaných společností Microsoft.
Jsou stanoveny procesy k omezení přenosu Osobních údajů společnosti Microsoft od třetích stran, aby k němu docházelo pouze při výkonu smluvních služeb.
Před poskytnutím jakýchkoli Osobních údajů společnosti Microsoft třetí straně musí dodavatel mít předchozí písemné svolení společnosti Microsoft.
Dodavatel může poskytovat kopie písemného povolení.
Strana | 10
Identifikátor požadavku
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
H
Dodavatel musí zajistit, aby veškeré Osobní údaje společnosti Microsoft byly přesné, úplné a relevantní pro řečený účel, pro který se shromažďovaly nebo používaly.
Navrhovaná kritéria hodnocení
Údaje se při shromažďování, vytváření a aktualizaci ověřují.
Část GAPP Kvalita
Stanovené systémy a procesy k ověřování přesnosti na průběžném základě a v případě potřeby opravě. Je nutné shromažďovat minimální množství osobních údajů nezbytné ke splnění stanoveného účelu.
Verze 1.4
Strana | 11
Identifikátor požadavku I
Požadavky na ochranu dat u dodavatelů společnosti Microsoft
Navrhovaná kritéria hodnocení
Dodavatel musí:
Část GAPP
Monitorování a prosazování
1. Provádět každoroční kontrolu shody tak, aby se potvrdilo, že splňuje Požadavky na ochranu dat.
Dodavatel musí předvádět, že byly provedeny každoroční kontroly dodržování pravidel.
2. Do 24 hodin informovat společnost Microsoft při zjištění dokonaného nebo nedokonaného pokusu o narušení ochrany osobních údajů nebo chyby zabezpečení v souvislosti se zpracováním Osobních údajů společnosti Microsoft dodavatelem.
Dodavatel musí doložit, že společnost Microsoft byla upozorněna na jakékoliv pravděpodobné nebo zaznamenané narušení ochrany osobních údajů nebo chybu zabezpečení.
3. Nevydávat žádné tiskové prohlášení nebo veřejné oznámení, které souvisí s dokonaným nebo nedokonaným incidentem zahrnujícím Osobní údaje nebo Citlivé informace společnosti Microsoft bez získání souhlasu společnosti Microsoft, není-li to výslovný požadavek zákona nebo předpisu.
Verze 1.4
4. Okamžitě řešit jakékoli chyby zabezpečení a narušení, o nichž ví, nebo na které má podezření.
Chyby zabezpečení a narušení jsou řešeny včas.
5. Implementovat nápravný plán a monitorovat řešení narušení a chyb zabezpečení souvisejících s Osobními údaji společnosti Microsoft s cílem zajistit včasné přijetí vhodných nápravných opatření.
V případě nutnosti jsou dostupné plány nápravy.
Strana | 12
Dodavatel musí:
Verze 1.4
1. Zavést formální reklamační proces pro vyřizování všech stížností na ochranu dat zahrnující Osobní údaje společnosti Microsoft.
Dodavatel je povinen dokumentovat proces pro řešení stížností a upozornit společnost Microsoft.
2. Oznámit společnosti Microsoft veškeré stížnosti související s Osobními údaji společnosti Microsoft.
Ukládat stížnosti, které zahrnují včasnou reakcí.
3. Veškeré stížnosti na ochranu dat související s Osobními údaji společnosti Microsoft zaznamenávat a včas na ně reagovat kromě případů, kdy byly sděleny speciální pokyny společností Microsoft. 4. Na vyžádání předat společnosti Microsoft dokumentaci vyřešených a nevyřešených stížností.
Dokumentace nevyřešených/vyřešených stížností.
Strana | 13
Identifikátor
J
Požadavky na ochranu dat u dodavatelů společnosti Microsoft PROGRAM BEZPEČNOSTI INFORMACÍ Dodavatel musí zavést, implementovat a udržovat v chodu program bezpečnosti informací, který zahrnuje zásady a postupy ochrany Osobních údajů a Citlivých informací společnosti Microsoft. Bezpečnostní program dodavatele musí řešit následující položky související s ochranou Osobních údajů a Citlivých informací společnosti Microsoft: a) Roční nebo častější hodnocení rizika.
Navrhovaná kritéria hodnocení
Část GAPP
Zabezpečení Program zabezpečení implementovaný dodavatelem musí zahrnovat (a) až (s), jak je uvedeno vlevo. Bezpečnostní ochrany mohou překračovat uvedené dle potřeby pro splnění předepsaných pravidel (např. HIPPA, GLBA) nebo smluvní podmínky.
Hodnocení rizika dodavatele musí zahrnovat nastávající hrozby, možné dopady na podnikání a pravděpodobnost jejich výskytu. Dodavatel musí odpovídajícím způsobem upravit procesy, postupy a pokyny související se zabezpečením.
b) Alespoň jednou za čtvrt roku a po každé větší změně v síti (např. instalace nových systémových komponent, změny v topologii sítě, úpravy pravidel brány firewall, upgrady produktů) kontrola chyb zabezpečení interní a externí sítě. c) Prevence neoprávněného přístupu použitím účinných fyzických a logických kontrol přístupu včetně omezení fyzického přístupu k systémům s elektronickými informacemi a zajištění povolení pouze autorizovaného přístupu. d) Postupy pro doplnění nových uživatelů, modifikaci přístupových úrovní stávajících uživatelů a odstraňování uživatelů, kteří přístup již nepotřebují (prosazování principů nejnižšího oprávnění). e) Přiřazení kompetence a zodpovědnosti za bezpečnost.
Verze 1.4
Strana | 14
f)
Přiřazení kompetence a zodpovědnosti za systémové změny a údržbu systému.
g) Implementace upgradů a oprav softwaru systému v rozumném časovém horizontu dle úrovně rizika. h) Instalace antivirového a antimalwarového softwaru do všech zařízení připojených k síti včetně např. serverů, produkčních a školicích počítačů, aby byla zajištěna ochrana před potenciálně škodlivými viry a škodlivým softwarem. Definice antivirového a antimalwarového softwaru musí být aktualizovány denně nebo ještě častěji dle pokynů společnosti Microsoft či dodavatele antivirových/ antimalwarových programů. i)
Testování, vyhodnocování a schvalování systémových komponent před implementací.
j)
Dodavatelé vyvíjející v rámci svého obchodování software musí dodržovat životní cyklus vývoje zabezpečení (SDL) společnosti Microsoft. Další informace jsou dostupné na adrese http://www.microsoft.com/sdl.
k) Řešení stížností a požadavků souvisejících s bezpečnostními otázkami. l)
Řešení chyb a opomenutí, narušení bezpečnosti a dalších incidentů.
m) Postupy pro zjištění provedených a nezdařených útoků na systém nebo pokusů o vniknutí do systému a proaktivní testování bezpečnostních postupů (například testování penetrace).
Verze 1.4
Strana | 15
n) Určení zdrojů na školení a další obdobné účely na podporu bezpečnostní politiky. o) Opatření pro řešení výjimečných situací a situací konkrétně systémem neřešených. p) Integrita zpracování a související zásady systémové bezpečnosti. q) Plány zotavení po havárii a související testování. r) Opatření pro identifikaci definovaných závazků, dohod o úrovni služeb a dalších smluv a plnění jejich podmínek. s) Požadavek, aby uživatelé, vedení a třetí strany potvrzovali (jak na počátku vztahu, tak každoročně) skutečnost, že příslušným zásadám týkajícím se bezpečnosti a ochrany osobních údajů a postupům souvisejícím se zabezpečením osobních údajů společnosti Microsoft rozumí, a že se jimi budou řídit. OVĚŘENÍ Před umožněním přístupu k Osobním údajům nebo Citlivým informacím společnosti Microsoft je dodavatel povinen autentizovat totožnost příslušné osoby.
Procesy ověřování používané dodavatelem musí vyžadovat použití jedinečného ID a hesla pro online přístup k osobním údajům osoby.
Pro online autentizaci je povinností dodavatele: 1. Pokud je to možné, použít účet Microsoft. 2. Požadovat, aby daná osoba použila unikátní ID a heslo (nebo jeho ekvivalent). Pro telefonickou autentizaci je povinností dodavatele:
Verze 1.4
Strana | 16
1. Požadovat, aby uživatel validoval své kontaktní údaje a tam, kde je to možné, poskytl alespoň jednu unikátní informaci (například kód UPC, název soutěže). PŘÍSTUP K O SOBNÍM ÚDAJŮM SPOLEČNOSTI MICROSOFT PRACOVNÍKY DODAVATELE
Dodavatel musí omezit přístup k Osobním údajům společnosti Microsoft na ty své pracovníky, kteří mají provozní potřebu tohoto přístupu. Dodavatelé musí deaktivovat síťové a jakékoli další podpůrné účty každého zaměstnance, který již nepracuje na programech společnosti Microsoft, a to do 24 hodin od vystoupení z programu a do 2 hodin v případě nedobrovolného propuštění.
Procesy ověřování po telefonu mohou zahrnovat ověření osobami týkající se kontaktních údajů a navíc jedinečné údaje, které budou pravděpodobně známy pouze dané osobě.
Pro vytvoření přístupu zaměstnanců dodavatele k osobním údajům na základě legitimních obchodních potřeb musí být vytvořeny systémy a postupy.
Tyto systémy a postupy musí řešit interní/externí přístup, média, tištěné dokumenty, technologické platformy a záložní média.
ZNIČENÍ OSOBNÍCH ÚDAJŮ SPOLEČNOSTI MICROSOFT V případě potřeby zničení osobních údajů společnosti Microsoft je povinností dodavatele: 1. Nosiče osobních údajů společnosti Microsoft spálit, rozdrtit nebo skartovat tak, aby informace nebylo možné přečíst nebo rekonstruovat.
Dodavatel musí doložit, že fyzické prostředky byly odpovídajícím způsobem zničeny, a to způsobem, aby data nemohla být čtena nebo rekonstruována.
2. Nosiče osobních údajů společnosti Microsoft zničte nebo vymažte tak, aby informace nebylo možné přečíst nebo rekonstruovat.
Verze 1.4
OCHRANA DIGITÁLNÍCH JEDNOTEK Dodavatel musí:
Je nutné stanovit systémy a postupy k ochraně osobních údajů přenášených přes internet nebo jiné veřejné sítě.
1. Pro přenášené informace společnosti Microsoft a pro autentizaci odesílatele a adresáta používat kódování dle oborového standardu SSL, TLS, nebo IPsec.
Některé regulační programy (například HIPPA, GLBA, PCI) mají konkrétní požadavky na přenos dat. Certifikáty SSL jsou správným způsobem udržovány, aby byly před vypršením platnosti starých certifikátů SSL instalovány nové. Strana | 17
2. V každém přenosném počítači, ve kterém jsou uloženy informace společnosti Microsoft, používat nástroj BitLocker nebo odpovídající oborově uznávanou alternativu. 3. Při ukládání Osobních údajů společnosti Microsoft uvedených níže používejte kryptograficky silné symetrické a asymetrické algoritmy splňující aktuální průmyslové standardy. Tento požadavek se vztahuje i na přenosná zařízení, včetně např. USB disků, mobilních telefonů, záložních zařízení nebo médií apod. a. Identifikační čísla vydávaná státními orgány (například rodná čísla nebo čísla řidičských průkazů) b. Čísla účtů (například čísla kreditních karet nebo bankovních účtů) c. Zdravotní profily (například čísla zdravotních karet nebo biometrické identifikátory)
Je nutné stanovit systémy a postupy k šifrování uložených státní správou vydaných čísel, čísel účtů a lékařských záznamů.
4. Přijímat informace společnosti Microsoft pouze v případě, že jsou doručené šifrovaným způsobem.
Dodavatel je povinen odmítnout doručený jakýchkoliv osobních údajů přenášených nešifrovanými způsoby.
5. Okamžitě prošetřovat narušení a pokusy o získání neoprávněného přístupu do systémů obsahujících Osobní údaje společnosti Microsoft.
Jsou stanoveny systémy a procesy k vyšetřování narušení přístupu nebo pokusů o neoprávněný přístup.
6. Okamžitě oznámit výsledky tohoto šetření vyššímu vedení dodavatele a společnosti Microsoft.
Jsou stanoveny systémy a procesy k oznamování výsledků vyšetřování společnosti Microsoft.
7. Řídit se příslušnými zásadami pro práci s kreditními kartami pro kreditní karty, které přijímá. OCHRANA FYZICKÝCH PROSTŘEDKŮ Dodavatel musí:
Verze 1.4
Strana | 18
1. Ukládat Osobní údaje společnosti Microsoft v prostředí s kontrolovaným přístupem.
Jsou stanoveny systémy a procesy ke správě fyzického přístupu k digitální, papírové, archivní a záložní kopii osobních údajů.
2. Bezpečná přeprava Osobních údajů společnosti Microsoft.
Musí být stanoveny systémy a procesy pro odpovídající ochranu fyzických prostředků obsahujících osobní údaje během přepravy.
ZOTAVENÍ PO HAVÁRII Dodavatel musí zajistit, aby zálohovací procesy a procesy plánování zotavení po havárii chránily Osobní údaje a Citlivé informace společnosti Microsoft před neoprávněným užitím, před neoprávněným přístupem k nim, před jejich odhalením, změnami či zničením.
Musí být stanoveny systémy a procesy k ochraně Osobních údajů a Citlivých informací společnosti Microsoft před zničením, přizpůsobením, zveřejněním nebo neoprávněným použitím či přístupem v případě havárie.
TESTOVÁNÍ A AUDITY Dodavatel musí:
Četnost požadovaných testů se bude lišit v závislosti na velikosti a komplexnosti operací dodavatele.
1. Pravidelně testovat účinnost klíčových bezpečnostních prvků chránících Osobní údaje společnosti Microsoft.
Dokumentace testování a výsledků testování je nezbytná stejně jako úpravy systémů, zásad a postupů, když výsledky testů objeví nedostatky.
2. Periodicky provádět nezávislé audity bezpečnostních kontrol.
Je-li to požadováno dle smluvních podmínek společnosti MS, je nutné provádět audity zabezpečení v souladu se smluvními podmínkami.
3. Výsledky těchto auditů na požádání předložit společnosti Microsoft. 4. Alespoň jednou ročně dokumentovat a testovat plány na zotavení po havárii a plány řešení nepředvídaných událostí s cílem prověřit jejich proveditelnost.
Dodavatel musí mít dokumentované zásady zálohování a určit frekvenci zálohování. Zálohy je nutné ukládat na bezpečném místě. Zálohy musí být pravidelně testovány pomocí skutečného obnovení, aby bylo možné zajistit jejich použitelnost.
5. Periodicky provádět testování ohrožení a chyb zabezpečení včetně přehledů bezpečnostních narušení.
Verze 1.4
Strana | 19
6. Veškeré Osobní údaje společnosti Microsoft používané při vývoji a testování je nutno anonymizovat.
Verze 1.4
Osobní údaje společnosti Microsoft je zakázáno používat při vývoji nebo testování prostředí, neexistuje-li jiná možnost, musí být dostatečným způsobem anonymizovány, aby nedocházelo k identifikaci osob nebo zneužívání osobních údajů.
Strana | 20
