Descripción de los requisitos de subprocesador de Microsoft

Completado

Microsoft procesa muchos tipos de datos como parte de la prestación de servicios en la nube a nuestros clientes. Clasificamos los datos que procesamos para asegurarnos de que se administran con las protecciones de seguridad y privacidad adecuadas. Las categorías de datos procesados por Microsoft se definen en el anexo de protección de datos de productos y servicios de Microsoft (DPA).

Cuando Microsoft utiliza un proveedor para ofrecer un aspecto de nuestros Servicios en línea que puede requerir que el proveedor procese dichos datos, el proveedor se identifica como un "subprocesador" (de acuerdo con la terminología del RGPD). Todos los subprocesadores que procesan "Datos personales" y "Datos confidenciales de Microsoft" deben cumplir el Programa de seguridad y privacidad de proveedores de Microsoft (SSPA) antes de poder procesar datos en nombre de Microsoft.

Tipos de datos compartidos con Microsoft

Los datos personales se definen como cualquier información relacionada con una persona física identificada o identificable, también conocida como el interesado. Los datos personales pueden dividirse en cuatro categorías de datos independientes y distintas:

  • Los datos del cliente son todos los datos, incluidos todos los archivos de texto, sonido, vídeo o imagen, y el software proporcionados a Microsoft por o en nombre del Cliente mediante el uso del Servicio en línea, excepto los datos de Servicios profesionales de Microsoft.
  • Los datos generados por el servicio incluyen todos los datos "generados" o "derivados" por Microsoft a través de la operación de un servicio en línea. Microsoft agrega estos datos de nuestros servicios en línea y los usa para asegurarse de que el rendimiento, la seguridad, el escalado y otros servicios que afectan a la experiencia del cliente funcionan en los niveles que nuestros clientes requieren.
  • Los datos de diagnóstico incluyen todos los datos "recopilados" u "obtenidos" de las aplicaciones que se instalan localmente para su uso en relación con el servicio en línea empresarial de Microsoft. Se utiliza para ayudar a Microsoft a garantizar que el software cliente sea seguro y funcione correctamente.
  • Los datos de servicios profesionales se refieren a todos los datos, incluidos todos los archivos de texto, sonido, vídeo, imagen o software, proporcionados a Microsoft, por o en nombre de un Cliente (o que el Cliente autoriza a Microsoft a obtener de un Producto) u obtenidos o procesados de otro modo por o en nombre de Microsoft a través de una interacción con Microsoft para obtener servicios profesionales. Los datos de servicios profesionales incluyen datos de soporte técnico que se proporcionan a Microsoft durante el soporte técnico para un servicio en línea.
  • Los datos confidenciales de Microsoft se refieren a cualquier información que, si se ve comprometida a través de confidencialidad o integridad, puede dar lugar a una importante reputación o pérdida financiera para Microsoft. Esto puede incluir información sobre el desarrollo, las pruebas o la fabricación de productos de Microsoft, claves de licencia y materiales de marketing de versión preliminar.
Tipos de datos Definición
Datos de cliente Proporcionado por el cliente
Datos de diagnóstico Recopilado u obtenido de software instalado por el Cliente
Datos generados por el servicio Generado o derivado por Microsoft
Servicios profesionales

Datos de soporte técnico
Proporcionado por el cliente en relación con Los servicios profesionales

Subconjunto de datos de servicios profesionales proporcionados por el cliente en relación con el soporte técnico
Datos personales Cualquiera de los tipos de datos definidos anteriormente que se relacionan con una persona física identificada o identificable

Programa de garantía de seguridad y privacidad por parte del proveedor (SSPA) de Microsoft

El programa de garantía de seguridad y privacidad del proveedor (SSPA) de Microsoft es un programa corporativo diseñado para estandarizar y reforzar las prácticas de control de datos estableciendo requisitos de privacidad y seguridad para los proveedores de Microsoft. El programa de SSPA requiere que los proveedores demuestren el cumplimiento de las estrictas directivas de privacidad y seguridad de Microsoft, las obligaciones legales y las expectativas de los clientes. Para proteger los datos que se confían a nuestros proveedores, Microsoft requiere que todos los subprocesadores que procesan datos personales o datos confidenciales de Microsoft cumplan con el programa SSPA.

Este programa incluye un conjunto de controles de seguridad y privacidad que deben implementar los subencargados antes de procesar los datos en nombre de Microsoft. Estos controles se definen en los requisitos de protección de datos (DPR). Todos los subencargados inscritos en el programa SSPA deben revisar y certificar su conformidad con los controles aplicables del DPR antes de comenzar el trabajo contraído. Además, los subencargados deben completar anualmente una autodeclaración de conformidad con el DPR. En función del nivel de riesgo asociado a los datos procesados y a los servicios proporcionados por el subprocesador, pueden ser necesarios requisitos adicionales. Cubriremos esos requisitos adicionales más adelante en este módulo.

La conformidad de los requisitos del programa SSPA por parte de los subencargados se rastrea en las herramientas de compra de Microsoft. Las herramientas de compra no permiten que los compromisos con los subencargados avancen hasta que se completen todos los requisitos. El incumplimiento de los requisitos de SSPA impide que el subencargado acceda a los datos o los procese en nombre de Microsoft.

Más información