Descripción de los requisitos de subprocesador adicionales para las unidades de negocio de Microsoft
Aunque el programa SSPA de Microsoft proporciona un programa completo para la gobernanza y administración de nuestra base de proveedores, las unidades de negocio individuales pueden mantener requisitos adicionales para sus proveedores. Por ejemplo, Microsoft 365 se compromete a proporcionar aviso a los clientes cuando se aprueban nuevos subprocesadores y aplica comprobaciones adicionales al contratar con nuevos proveedores. Los requisitos adicionales de las unidades de negocio están diseñados para complementar los requisitos de SSPA y alinearse con los requisitos normativos y las obligaciones contractuales.
Requisito de aviso
Según el Complemento de protección de datos de productos y servicios (DPA), Microsoft realiza compromisos adicionales con respecto a los períodos de aviso para la adición de cualquier subprocesador. Los períodos de tiempo para avisos dependen del tipo de datos que procesará el subprocesador en nombre de Microsoft.
Para resumir lo que se indica en el DPA, Microsoft se compromete a notificar a nuestros clientes al menos seis meses antes de cualquier nuevo subprocesador que procesará los datos del cliente. Para cualquier otro dato personal, Microsoft proporcionará al menos 30 - días de aviso.
Comprobaciones de adquisiciones adicionales para nuevos proveedores
Debido a nuestros compromisos de limitar el número de subprocesadores con acceso a los datos personales y del cliente, y de proporcionar aviso a los clientes más allá de los requisitos de SSPA, hemos introducido comprobaciones adicionales de proveedores al comprar proveedores que necesitan acceso a datos personales de empresa. Hasta que no se haya aprobado un subprocesador, no se concederá a un proveedor acceso a los datos personales ni al cliente. Estos incluyen requisitos como:
- Requisitos adicionales de contratación
- Requisitos de auditoría adicionales
- Aviso adecuado para nuestros clientes