Visão geral do gerenciamento de fornecedores

A Microsoft é parceira de empresas de terceiros para ajudar a satisfazer as necessidades dos nossos clientes. Estas empresas de terceiros são referidas como fornecedores. A segurança e privacidade dos fornecedores na Microsoft são regidas pelo nosso programa de Segurança e Privacidade dos Fornecedores (SSPA), um conjunto de requisitos para todos os fornecedores que fazem parceria com a Microsoft para fornecer o nosso serviços online. Embora o programa SSPA proporcione uma governação e gestão abrangentes da nossa base de fornecedores, as unidades empresariais individuais podem manter requisitos adicionais para os seus fornecedores.

Como é que o Programa de Segurança e Segurança de Privacidade (SSPA) do Fornecedor da Microsoft protege os dados dos clientes?

O SSPA é uma parceria entre o Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security para garantir que os fornecedores cumprem os princípios de privacidade e segurança da Microsoft. O âmbito do SSPA abrange todos os fornecedores que processam Dados Pessoais ou Dados Confidenciais da Microsoft. A inscrição do programa SSPA inclui a adesão aos Requisitos de Proteção de Dados (DPR) da Microsoft. A DPR consiste em controlos de segurança e privacidade que os fornecedores têm de implementar antes de iniciarem o trabalho contratado com a Microsoft. Todos os fornecedores inscritos atestam automaticamente a conformidade com a DPR anualmente.

Os requisitos de DPR são definidos com base em seis categorias distintas de processamento de dados para as quais um fornecedor pode ser aprovado como parte da inscrição no SSPA. Estas categorias são utilizadas para identificar o risco associado aos serviços que um fornecedor fornece à Microsoft. O perfil de processamento de dados do fornecedor determina quais os controlos de DPR que são considerados no âmbito para fornecer a proteção de dados adequada. Os fornecedores que processam dados considerados um risco mais elevado têm de cumprir todos os requisitos da DPR e também podem ter de fornecer uma verificação independente da conformidade. As ferramentas de compra da Microsoft validam o SSPA status de todos os fornecedores, incluindo a conformidade com partes aplicáveis da DPR, antes de permitir o aprovisionamento desse fornecedor.

Que tipos de subprocessadores fornecem serviços para a Microsoft?

Um "subprocessador" é um terceiro que a Microsoft dedica cujas funções incluem o processamento de Dados Pessoais da Microsoft para os quais a Microsoft é um processador. Os subprocessadores da Microsoft enquadram-se em três categorias. Cada um tem de demonstrar a conformidade com o SSPA antes de poder processar os dados dos clientes em nome da Microsoft.

  • Subprocessadores tecnológicos que alimentam tecnologias totalmente integradas com o Microsoft serviços online e, em parte, alimentam as funções de cloud da Microsoft. Se um cliente implementar um destes serviços, os subprocessadores identificados para esse serviço poderão processar, armazenar ou aceder a Dados do Cliente ou Dados Pessoais enquanto ajudam a fornecer esse serviço.
  • Os subprocessadores auxiliares que fornecem serviços para ajudar a suportar, operar e manter serviços online. Nesses casos, os subprocessadores identificados podem processar, armazenar ou aceder a Dados de Cliente e Dados Pessoais (compostos por identificadores pessoais pseudonimizados) ao fornecer os seus serviços auxiliares.
  • As Organizações contratantes fornecem pessoal contratado que trabalha lado a lado com funcionários a tempo inteiro da Microsoft para operar, entregar e manter os Serviços Online da Microsoft. Em todos estes casos, os Dados do Cliente ou os Dados Pessoais residem apenas em sistemas Microsoft e estão sujeitos a políticas e supervisão da Microsoft.

Além disso, as entidades de infraestrutura do datacenter da Microsoft fornecem a infraestrutura do datacenter na qual os Serviços Online da Microsoft são executados. Os dados nos datacenters são encriptados e nenhum pessoal dentro dos datacenters pode aceder aos mesmos.

São necessários terceiros tecnológicos e auxiliares para implementar controlos de acesso em conformidade com os Requisitos de Proteção de Dados (DPR) da Microsoft. Estes requisitos cumprem ou excedem os compromissos contratuais assumidos pela Microsoft aos seus clientes nos Termos do Produto. Os fornecedores que efetuam o trabalho de pessoal contratado estão sujeitos aos mesmos controlos de acesso em vigor para os colaboradores a tempo inteiro da Microsoft.

Como é que a Microsoft integra fornecedores?

Os fornecedores terceiros têm de assinar um Contrato Principal da Microsoft como parte do processo de integração. Este contrato rege a relação entre a Microsoft e os respetivos fornecedores e garante uma gestão consistente das relações entre fornecedores. Como parte da integração, os fornecedores inscrevem-se no SSPA e têm de preencher todos os requisitos aplicáveis antes de poderem ser aprovados para quaisquer categorias de processamento de dados. As unidades empresariais da Microsoft só podem criar compromissos com fornecedores quando a atividade de processamento de dados para a cativação corresponde às categorias de processamento de dados para as quais o fornecedor foi aprovado.

Como é que a Microsoft notifica os clientes de alterações a fornecedores que processam os respetivos dados?

De acordo com a Adenda de Proteção de Dados (DPA) dos Produtos e Serviços microsoft, a Microsoft assumiu compromissos adicionais relativamente a períodos de aviso para a adição de qualquer subprocessador. Os intervalos de tempo de aviso dependem do tipo de dados que o subprocessador irá processar em nome da Microsoft. Conforme indicado no DPA, a Microsoft compromete-se a fornecer aviso aos clientes com, pelo menos, seis meses de antecedência sobre qualquer novo subprocessador que irá processar os Dados do Cliente. Para quaisquer outros Dados Pessoais, a Microsoft fornecerá, pelo menos, 30 dias de aviso prévio. O aviso é fornecido pela atualização da Lista de Subprocessadores do Microsoft Online Services.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela abaixo para obter a validação de controlos relacionados com a gestão de fornecedores.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001

Declaração de Aplicabilidade
Certificado
A.15.1: Segurança de informações nas relações com fornecedores 8 de abril de 2024
ISO 27017

Declaração de Aplicabilidade
Certificado
A.15.1: Segurança de informações nas relações com fornecedores 8 de abril de 2024
ISO 27018

Declaração de Aplicabilidade
Certificado
A.8.1: Divulgação do processamento de PII subcontratado 8 de abril de 2024
SOC 2
SOC 3
SOC2-25: Gestão de riscos do fornecedor
C5-2: Revisão do perfil de risco do fornecedor
20 de maio de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP CA-3: Interligações do sistema
IA-4: Gestão de identificador
PS-6: Contratos de acesso
PS-7: Segurança de pessoal de terceiros
SA-4: processo de aquisições
SA-9: Serviços do sistema de informações externas
SA-12: Proteção contra cadeias de fornecimento
21 de agosto de 2024
ISO 27001/27017

Declaração de Aplicabilidade
Certificação (27001)
Certificação (27017)
A.15.1: Segurança de informações nas relações com fornecedores Março de 2024
ISO 27018

Declaração de Aplicabilidade
Certificado
A.8.1: Divulgação do processamento de PII subcontratado Março de 2024
SOC 2 CA-53: Monitorização de terceiros 23 de janeiro de 2024

Recursos