Wymagania Firmy Microsoft Dotyczące Ochrony Danych Przez

Supplier Security and Privacy Assurance (SSPA)
Wymagania Firmy Microsoft Dotyczące Ochrony Danych Przez Dostawców
Zakres zastosowania
Wymagania firmy Microsoft dotyczące ochrony danych przez dostawców (DPR) mają zastosowanie do wszystkich dostawców firmy Microsoft, którzy gromadzą,
użytkują, dystrybuują, mają dostęp lub przechowują dane osobowe lub informacje poufne firmy Microsoft w związku ze świadczeniem usług zgodnie z
warunkami określonym w zleceniu zakupu lub umowie zawartej z firmą Microsoft.
 W przypadku konfliktu między wymaganiami zawartymi w niniejszym dokumencie a wymaganiami określonymi w umowach między dostawcą a firmą
Microsoft pierwszeństwo mają zapisy umowy.
 W przypadku konfliktu między wymaganiami zawartymi w niniejszym dokumencie a jakimikolwiek wymaganiami prawnymi lub ustawowymi wyższy
priorytet mają wymagania prawne lub ustawowe.
„Nie ograniczając jego innych zobowiązań, dostawca powinien spełniać wymagania dotyczące ochrony danych określone przez dowolne standardowe warunki
umowy, wiążące reguły korporacyjne lub inne programy zatwierdzone przez dowolny organ ochrony danych, Europejską Radę Ochrony Danych lub Komisję
Europejską i przyjęte lub uzgodnione przez firmę Microsoft, w szczególności przez zawarte między UE i Stanami Zjednoczonymi porozumienie Privacy Shield.
Dostawca powinien także zapewnić, że każdy podwykonawca (zgodnie z definicją w ust. 1(d) standardowych klauzul umownych z 2010 roku opublikowanych jako
załącznik do decyzji Komisji Europejskiej C(2010)593) spełnia te wymagania.”
„Informacje poufne firmy Microsoft” to wszelkie informacje, których ujawnienie poprzez naruszenie poufności lub integralności może spowodować znaczne
straty finansowe firmy Microsoft lub znaczny uszczerbek dla jej reputacji. Obejmują one między innymi informacje dotyczące: produktów sprzętowych i
programowych firmy Microsoft, wewnętrznych aplikacji LOB, przedpremierowych materiałów marketingowych, kluczy licencji produktów i dokumentacji
technicznej związanej z produktami i usługami firmy Microsoft.
„Dane osobowe” oznaczają wszelkie informacje udostępniane przez firmę Microsoft lub zebrane przez dostawcę w związku z realizacja tej Umowy, które są
objęte prawem ochrony danych i prywatności w odpowiedniej jurysdykcji, w tym:
(i) Informacje identyfikujące, umożliwiające odnalezienie lub powiązane z osobą, której dotyczą; lub
(ii) Umożliwiające ustalenie danych identyfikacyjnych lub kontaktowych konkretnej osoby.
Struktura wymagań DPR
Wymagania DPR są zgodne ze strukturą opracowaną przez Amerykański Instytut Zaprzysiężonych Rewidentów Księgowych (AICPA, American Institute of
Certified Public Accountants) w celu pomiaru efektywności procedur ochrony prywatności. Ogólnie przyjęte zasady ochrony prywatności (GAPP, Generally
Accepted Privacy Principles) podzielono na 10 sekcji zawierających wymierne kryteria dotyczące ochrony danych osobowych i zarządzania nimi. Ta struktura
została uzupełniona dodatkowymi wymaganiami firmy Microsoft dotyczącymi zabezpieczeń i ochrony prywatności.
Wersja 3
Strona | 1
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP A: Zarządzanie
Przed rozpoczęciem zbierania, użytkowania, dystrybuowania,
uzyskiwania dostępu lub przechowywania danych osobowych albo
informacji poufnych firmy Microsoft dostawca musi:
1
2
Podpisać ważną umowę z firmą Microsoft, wykaz zakresu prac lub
zlecenie zakupu zawierające sformułowania dotyczące ochrony
prywatności i zabezpieczeń danych.
Dostawca musi przedstawić ważną umowę z firmą
Microsoft, wykaz zakresu prac lub zlecenie zakupu.
Wyznaczyć osobę lub grupę osób w firmie, która będzie ponosić
odpowiedzialność za zapewnienie zgodności z wymaganiami firmy
Microsoft dotyczącymi ochrony danych przez dostawców.
Dostawca musi wyznaczyć osobę lub grupę osób
odpowiedzialnych za zapewnienie zgodności z
wymaganiami dotyczącymi ochrony danych.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Zakres uprawnień i odpowiedzialności tej osoby lub grupy
osób powinien być wyraźnie udokumentowany.
3
Przygotować, obsługiwać i prowadzić coroczne szkolenia
pracowników w zakresie ochrony prywatności. Firma Microsoft
udostępniła materiały na stronie:
http://www.microsoft.com/about/companyinformation/procureme
nt/toolkit/en/us/privacymaterials.aspx
<Compliant>
<Not Compliant>
Dostawca wstępnie oraz okresowo przeprowadza
szkolenia pracowników dotyczące zasad zachowania
poufności i zabezpieczenia informacji (Powiadamianie,
Wybór i zgoda, Gromadzenie, Wykorzystywanie i
przechowywanie, Dostęp, Przekazywanie i ujawnianie,
Bezpieczeństwo, Jakość, Monitorowanie i
egzekwowanie).
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Dowodami przeprowadzania takich szkoleń mogą być
materiały szkoleniowe, listy obecności, korespondencja z
pracownikami (wiadomości e-mail, witryny sieci Web,
biuletyny itp.) i inne dokumenty.
Wersja 3
Strona | 2
Supplier Security and Privacy Assurance (SSPA)
4
Okresowo przekazywać personelowi i podwykonawcom
świadczącym usługi na rzecz firmy Microsoft ważne informacje o
wymaganiach firmy Microsoft dotyczących ochrony danych przez
dostawców.
Wersja 3
Dostawca szkoli pracowników i podwykonawców
uczestniczących w świadczeniu usług na rzecz firmy
Microsoft w zakresie wymagań firmy Microsoft
dotyczących ochrony danych przez dostawców.
Dowodami przeprowadzenia takich szkoleń wstępnych i
okresowych mogą być materiały szkoleniowe, listy
obecności, korespondencja z pracownikami i
podwykonawcami (wiadomości e-mail, witryny sieci Web,
biuletyny itp.) i inne dokumenty.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 3
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP B: Powiadamianie
5
Dostawca musi udostępnić zasady zachowania poufności informacji
osobom, od których są zbierane dane osobowe firmy Microsoft, aby
ułatwić im podjęcie decyzji o przesłaniu ich danych osobowych do
dostawcy.
Zasady zachowania poufności informacji muszą zawierać
opis celu gromadzenia danych osobowych oraz
warunków, pod jakimi te informacje zostaną lub mogą
zostać ujawnione.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Zasady zachowania poufności informacji muszą być
dostępne, zawierać datę utworzenia oraz zostać
dostarczone w momencie lub przed operacją
gromadzenia danych.
Zasady zachowania poufności informacji muszą być
spisane w takiej formie, aby można było zrozumieć cel
wykorzystania danych.
6
Dostawcy hostujący witryny internetowe dla firmy Microsoft muszą
ukończyć przegląd zasad ochrony prywatności firmy Microsoft.
Należy skontaktować się z właścicielem przedsięwzięcia
biznesowego ze strony firmy Microsoft, aby zaplanować przegląd,
lub skorzystać z adresu [email protected] w celu uzyskania
pomocy.
Przegląd zapewni zgodność z zaleceniami uwzględnionymi w
zestawie narzędzi Supplier Privacy Toolkit.
Wersja 3
Przekazać dowód ukończenia przeglądu zasad ochrony
prywatności firmy Microsoft.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 4
Supplier Security and Privacy Assurance (SSPA)
7
8
Dostawcy prowadzący kampanie marketingowe dla firmy Microsoft
muszą ukończyć przegląd zasad ochrony prywatności firmy
Microsoft.
Należy skontaktować się z właścicielem przedsięwzięcia
biznesowego ze strony firmy Microsoft, aby zaplanować przegląd,
lub skorzystać z adresu [email protected] w celu uzyskania
pomocy.
Przegląd zapewni zgodność z zaleceniami uwzględnionymi w
zestawie narzędzi Supplier Privacy Toolkit.
Przekazać dowód ukończenia przeglądu zasad ochrony
prywatności firmy Microsoft.
Dostawcy gromadzący dane osobowe firmy Microsoft podczas
rozmów telefonicznych powinni być przygotowani na omówienie z
klientem obowiązujących zasad gromadzenia, przetwarzania,
wykorzystywania i przechowywania danych.
Dostawca wykazuje, że gromadzenie, przetwarzanie,
wykorzystywanie i przechowywanie danych jest
uzgadniane z osobą w przypadku gromadzenia danych
osobowych w trakcie rozmowy telefonicznej.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 5
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP C: Wybór i zgoda
9
10
Dostawca musi uzyskać i udokumentować zgodę osoby na
gromadzenie jej danych osobowych.
Dostawca wyjaśnia osobie proces wyrażania zgody lub
odmowy podania danych osobowych oraz konsekwencje
obydwu działań.
Dostawca dokumentuje zgodę przed operacją gromadzenia danych
osobowych lub w jej trakcie.
Dostawca dokumentuje zgodę przed operacją
gromadzenia danych osobowych lub w jej trakcie.
Dostawca dokumentuje i zarządza preferencjami dotyczącymi
kontaktowania się oraz wprowadza zmiany w tych preferencjach i
zarządza nimi.
Dostawca potwierdza preferencje dotyczące
kontaktowania się w formie pisemnej lub elektronicznej.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Dostawca dokumentuje i zarządza preferencjami
dotyczącymi kontaktowania się oraz wprowadza zmiany
w tych preferencjach i zarządza nimi.
Dostawca powiadamia osoby o proponowanym nowym
rodzaju wykorzystania danych osobowych.
11
Terminowo dokumentować zmiany preferencji osób dotyczących
kontaktowania się z nimi i zarządzać tymi zmianami.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 6
Supplier Security and Privacy Assurance (SSPA)
12
Uzyskać i udokumentować zgodę osoby na nową procedurę
wykorzystania jej danych osobowych.
Dostawca zapewnia, że informacje nie zostaną
wykorzystanie w przypadku nieudzielenia zgody.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 7
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP D: Gromadzenie
13
14
15
16
Dostawca musi monitorować gromadzenie danych osobowych firmy
Microsoft w celu upewnienia się, że gromadzone są tylko informacje
wymagane do świadczenia usług zakupionych przez firmę Microsoft.
Istnieją są systemy i procedury umożliwiające określanie
niezbędnych danych osobowych.
Jeżeli dostawca pozyskuje dane osobowe od innych firm w imieniu
firmy Microsoft, musi upewnić się, że zasady i procedury ochrony
danych stosowane przez inne firmy są zgodne z umową zawartą
przez dostawcę z firmą Microsoft i wymaganiami DPR.
Dostawca przeprowadza analizę należytej staranności
dotyczącą zasad i praktyk innych firm w zakresie ochrony
danych.
Przed rozpoczęciem gromadzenia poufnych danych osobowych
firmy Microsoft przy użyciu oprogramowania zainstalowanego lub
uruchomionego na komputerze danej osoby należy
udokumentować konieczność gromadzenia tych danych w formie
wiążącej umowy dostawcy z firmą Microsoft.
Dostawca uzyskuje i dokumentuje zgodę firmy Microsoft
w przypadku korzystania z oprogramowania na
komputerze danej osoby do gromadzenia danych
osobowych.
Przed rozpoczęciem gromadzenia poufnych danych osobowych
firmy Microsoft, na przykład na temat rasy, pochodzenia etnicznego,
poglądów politycznych, przynależności do związków zawodowych,
zdrowia fizycznego lub psychicznego bądź życia seksualnego, należy
udokumentować konieczność gromadzenia tych danych w formie
wiążącej umowy dostawcy z firmą Microsoft.
Dostawca uzyskuje i dokumentuje zgodę firmy Microsoft
przed rozpoczęciem gromadzenia poufnych danych
osobowych.
Wersja 3
Dostawca monitoruje gromadzenie danych oraz zapewnia
odpowiednie działanie systemów i procesów.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 8
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP E: Przechowywanie
17
18
19
20
Upewnić się, że dane osobowe i poufne informacje firmy Microsoft są
używane wyłącznie do świadczenia usług zakupionych przez firmę
Microsoft.
Obowiązują systemy i procedury monitorowania użycia
danych osobowych i informacji poufnych.
Dostawca monitoruje systemy i procesy w celu
zapewnienia ich odpowiedniego działania.
Upewnić się, że dane osobowe i poufne informacje firmy Microsoft
nie są przechowywanie dłużej niż jest to wymagane do świadczenia
usług z wyjątkiem okoliczności, w których kontynuowanie
przechowywania danych osobowych firmy Microsoft jest wymagane
przez prawo.
Dostawca działa zgodnie z udokumentowanymi
zasadami przechowywania danych albo określonymi
przez firmę Microsoft w umowie, wykazie zakresu prac
lub zleceniu zakupu wymaganiami w tym zakresie.
Dokumentować przechowywanie lub usuwanie danych osobowych i
informacji poufnych firmy Microsoft. Na żądanie firmy Microsoft
dostawca musi przekazać certyfikat zniszczenia podpisany przez
dyrektora ze strony dostawcy.
Dostawca prowadzi rejestr usunięcia danych osobowych
i informacji poufnych firmy Microsoft (np. w wyniku ich
zwrotu do firmy Microsoft lub zniszczenia).
Upewnić się, że zgodnie z decyzją firmy Microsoft dane osobowe lub
informacje poufne firmy Microsoft, które pozostają w dyspozycji lub
pod kontrolą dostawcy, są zwracane firmie Microsoft lub niszczone
po zakończeniu świadczenia usług albo na żądanie firmy Microsoft.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 9
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP F: Dostęp
Gdy osoba żąda dostępu do jej danych osobowych firmy Microsoft,
dostawca musi:
21
22
Poinformować osobę, jakie kroki powinna podjąć, aby uzyskać dostęp
do swoich danych osobowych firmy Microsoft.
Uwierzytelnić tożsamość osoby żądającej dostępu do swoich danych
osobowych firmy Microsoft.
Dostawca informuje o procedurze uzyskiwania dostępu do
danych osobowych, a także dostępnych metodach
aktualizowania tych informacji.
Dostawca nie używa do uwierzytelniania identyfikatorów
wydanych przez administrację państwową.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
23
Unikać używania identyfikatorów wydanych przez administrację
państwową (na przykład numerów PESEL) do uwierzytelniania z
wyjątkiem okoliczności, w których inna opcja jest praktycznie
niedostępna.
Pracownicy dostawcy są przeszkoleni w zakresie
uwierzytelnienia tożsamości osób żądających dostępu do
swoich danych osobowych lub zmiany tych danych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Po uwierzytelnieniu osoby dostawca musi:
24
Ustalić, czy dane osobowe firmy Microsoft związane z tą osobą są
przez niego przechowywane lub kontrolowane.
Wersja 3
Dostawca stosuje procedury umożliwiające ustalenie, czy
dane osobowe dotyczące określonej osoby są
przechowywane.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 10
Supplier Security and Privacy Assurance (SSPA)
25
26
Podjąć uzasadnione działania w celu zlokalizowania żądanych danych
osobowych firmy Microsoft i prowadzić rejestr potwierdzający
przeprowadzenie wyszukiwania w odpowiednim zakresie.
Dostawca szybko reaguje na żądania.
Rejestrować datę i godzinę zgłoszenia żądania dostępu i działań
podejmowanych przez dostawcę w odpowiedzi na takie żądania.
Dostawca prowadzi rejestr żądań dostępu i dokumentuje
zmiany wprowadzane w danych osobowych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
27
Udostępnić rejestr żądań dostępu firmie Microsoft na jej prośbę.
Odmowa dostępu musi zostać udokumentowana w formie
pisemnej wraz z wyjaśnieniem przyczyny tej odmowy.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Po uwierzytelnieniu osoby i sprawdzeniu przez dostawcę, że
dostępne są żądane dane osobowe firmy Microsoft, dostawca musi:
28
Udostępnić osobie jej dane osobowe firmy Microsoft w odpowiednim
formie drukowanej, elektronicznej lub ustnej.
Dostawca dostarcza osobie dane osobowe w zrozumiałej
formie, która jest wygodna dla obu stron.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
29
Przekazać osobie, której żądanie dostępu zostało odrzucone, pisemne
wyjaśnienie zgodne z odpowiednimi instrukcjami udostępnionymi
uprzednio przez firmę Microsoft.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 11
Supplier Security and Privacy Assurance (SSPA)
30
31
<Compliant>
<Not Compliant>
Dostawca powinien stosować uzasadnione środki ostrożności, aby
uniemożliwić użycie danych osobowych firmy Microsoft,
udostępnionych określonej osobie, do identyfikacji innej osoby.
Dostawca musi wykazać, że podejmuje uzasadnione środki
bezpieczeństwa uniemożliwiające ujawnienie danych
osobowych innych osób na podstawie udostępnionych
informacji (np. nie można kopiować całej strony w
przypadku występowania wymaganych danych osobowych
tylko w jednym wierszu).
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Jeżeli osoba i dostawca nie mogą uzgodnić, czy dane osobowe firmy
Microsoft są kompletne i dokładne, dostawca powinien zgłosić ten
problem do firmy Microsoft i współpracować z firmą Microsoft w celu
rozwiązania tego problemu.
Dostawca dokumentuje przypadki braku zgody i przekazuje
informacje o problemach do firmy Microsoft.
<Compliant>
<Not Compliant>
Wersja 3
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 12
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Responses:
Sekcja GAPP G: Ujawnianie danych innym firmom
Jeżeli dostawca zamierza skorzystać z pomocy podwykonawcy
związanej z gromadzeniem, użytkowaniem, dystrybuowaniem,
pobieraniem lub przechowywaniem danych osobowych i informacji
poufnych firmy Microsoft, musi:
32
33
34
35
<Compliant>
<Not Compliant>
Zatrudnić podwykonawców o nieposzlakowanej opinii, który jest
uczestnikiem programu dla dostawców firmy Microsoft lub uzyskać
wyraźną zgodę firmy Microsoft na piśmie przez skorzystaniem z
usług podwykonawców.
Dostawca sprawdza, czy podwykonawcy są uczestnikami
programu MSP (Microsoft Preferred Supplier Program).
Dostawca uzyskuje pisemną zgodę na skorzystanie z
pomocy podwykonawców nieuczestniczących w
programie MSP.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Udokumentować charakter i zakres danych osobowych i informacji
poufnych firmy Microsoft ujawnianych lub przekazywanych
podwykonawcom.
Dostawca prowadzi dokumentację dotyczącą danych
osobowych i informacji poufnych firmy Microsoft
ujawnianych lub przekazywanych podwykonawcom.
<Compliant>
<Not Compliant>
Upewnić się, że podwykonawca wykorzystuje dane osobowe firmy
Microsoft zgodnie z deklarowanymi przez osobę preferencjami
dotyczącymi kontaktowania się z nią.
Stosowane są systemy i procesy w celu zapewnienia, że
podwykonawcy wykorzystują dane osobowe firmy
Microsoft wyłącznie we właściwych celach oraz zgodnie z
preferencjami osób dotyczącymi kontaktowania się z
nimi.
Ograniczyć wykorzystanie danych osobowych firmy Microsoft przez
podwykonawcę do celów niezbędnych do realizacji umowy
dostawcy z firmą Microsoft.
W dozwolonych przypadkach dostawca może wykazać, że
powiadomiono firmę Microsoft przed ujawnieniem
danych osobowych firmy Microsoft przez podwykonawcę
na żądanie sądu.
Wersja 3
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 13
Supplier Security and Privacy Assurance (SSPA)
36
37
38
39
<Compliant>
<Not Compliant>
Niezwłoczne powiadomić firmę Microsoft o wyroku sądowym
nakazującym ujawnienie danych osobowych firmy Microsoft przez
podwykonawcę i w zakresie dozwolonym przez prawo umożliwić
firmie Microsoft interweniowanie przed zredagowaniem
odpowiedzi na wyrok lub zawiadomienie.
Sprawdzać skargi wskazujące na nieautoryzowane wykorzystanie
lub ujawnienie danych osobowych firmy Microsoft.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Stosowane są systemy i procesy przetwarzania skarg
dotyczących nieupoważnionego wykorzystania lub
ujawnienia danych osobowych firmy Microsoft przez
podwykonawcę.
Niezwłoczne powiadomić firmę Microsoft o wykryciu użycia lub
ujawnienia danych osobowych i informacji poufnych firmy
Microsoft przez podwykonawcę do celu innego niż świadczenie
usług związanych z firmą Microsoft na rzecz firmy Microsoft lub jej
dostawców.
Dostawca może wykazać, że firma Microsoft została
powiadomiona o użyciu przez podwykonawców danych
osobowych firmy Microsoft do nieautoryzowanych celów.
Niezwłoczne podejmować działania w celu ograniczenia
rzeczywistych lub potencjalnych szkód wynikających z
nieautoryzowanego użycia lub ujawnienia danych osobowych i
informacji poufnych firmy Microsoft przez podwykonawcę.
Dostawca może wykazać, że zostały podjęte odpowiednie
działania w przypadku użycia do nieautoryzowanych
celów lub ujawnienia danych osobowych i informacji
poufnych firmy Microsoft przez podwykonawców.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Przed przyjęciem danych osobowych od innej firmy dostawca musi:
40
Zweryfikować, że procedury gromadzenia danych przez inną firmę
są zgodne z wymaganiami DPR.
Stosowane są procesy weryfikacji procedur gromadzenia
danych przez inne firmy.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 14
Supplier Security and Privacy Assurance (SSPA)
41
42
Potwierdzić, że od innych firm są uzyskiwane tylko dane osobowe,
które są wymagane do świadczenia usług zakupionych przez firmę
Microsoft.
Stosowane są procesy ograniczające przekazywanie
danych osobowych firmy Microsoft od innych firm
wyłącznie do danych wymaganych do świadczenia usług
uwzględnionych w umowie.
Dostawca musi uzyskać pisemne zezwolenie od firmy Microsoft
przed udostępnieniem danych osobowych firmy Microsoft innej
firmie.
Dostawca może dostarczyć kopie pisemnego zezwolenia.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 15
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP H: Jakość
43
Dostawca musi upewnić się, że wszystkie dane osobowe firmy
Microsoft są dokładne, kompletne i odpowiednie do deklarowanych
celów, dla których były gromadzone lub używane.
Informacje są sprawdzane podczas ich gromadzenia,
tworzenia i aktualizowania.
Stosowane są systemy i procesy ciągłego weryfikowania
dokładności danych oraz wprowadzania niezbędnych
korekt.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Należy zgromadzić minimalną ilość danych osobowych
niezbędnych do realizacji deklarowanego celu.
Wersja 3
Strona | 16
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony danych
przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP I: Monitorowanie i egzekwowanie
Dostawca musi:
44
Przeprowadzać coroczne sprawdzenie w celu potwierdzenia zgodności
z wymaganiami dotyczącymi ochrony danych.
Dostawca musi wykazać, że przeprowadzano coroczne
kontrole zgodności.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
45
46
47
Informować firmę Microsoft w ciągu 72 godzin o wykryciu
potwierdzonego przypadku naruszenia zasad ochrony prywatności lub
luki w zabezpieczeniach związanego z przetwarzaniem danych
osobowych lub informacji poufnych firmy Microsoft przez dostawcę.
Dostawca musi wykazać, że firma Microsoft została
powiadomiona o każdym podejrzewanym lub
potwierdzonym przypadku naruszenia zasad ochrony
prywatności lub luki w zabezpieczeniach.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
Powstrzymać się od publikowania informacji dla prasy lub innych
powszechnie dostępnych powiadomień dotyczących potwierdzonego
zdarzenia związanego z danymi osobowymi lub informacjami
poufnymi firmy Microsoft bez uprzedniego uzyskania zezwolenia od
firmy Microsoft z wyjątkiem okoliczności, w których jest to wymagane
przez prawo lub przepisy.
Niezwłoczne usunąć podejrzewane lub potwierdzone luki w
zabezpieczeniach i naruszenia zasad.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Problemy z lukami w zabezpieczeniach i naruszeniami
zasad są szybko rozwiązywane.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 17
Supplier Security and Privacy Assurance (SSPA)
48
Wdrożyć plan działań zaradczych i monitorować rozwiązywanie
problemów z naruszeniami zasad i lukami w zabezpieczeniach
związanych z danymi osobowymi firmy Microsoft w celu upewnienia
się, że odpowiednie działania zaradcze są podejmowane na czas.
Dostępne są wymagane plany działań zaradczych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Dostawca musi:
49
50
Ustanowić formalny proces obsługi skarg w celu rozpatrywania
wszystkich skarg związanych z ochroną danych osobowych firmy
Microsoft.
Dostawca musi mieć udokumentowany proces obsługi
skarg i powiadamiania firmy Microsoft.
Powiadamiać firmę Microsoft o wszelkich skargach związanych z
danymi osobowymi firmy Microsoft.
Rejestr skarg powinien potwierdzać szybkie reagowanie
na zgłoszenia.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
51
Rejestrować wszystkie skargi związane z ochroną danych osobowych
firmy Microsoft i niezwłoczne reagować na te skargi z wyjątkiem
okoliczności, w których firma Microsoft przekazała określone
instrukcje.
Udostępniać firmie Microsoft na jej żądanie dokumentację
rozpatrzonych i nierozpatrzonych skarg.
Wersja 3
Dokumentacja dotycząca
rozpatrzonych/nierozpatrzonych skarg.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 18
Supplier Security and Privacy Assurance (SSPA)
#
Wymagania firmy Microsoft dotyczące ochrony
danych przez dostawców
Sugerowane kryteria oceny
Response:
Sekcja GAPP J: Bezpieczeństwo
PROGRAM BEZPIECZEŃSTWA INFORMACJI
52
53
54
Dostawca musi ustanowić, wdrożyć i prowadzić program
bezpieczeństwa informacji uwzględniający zasady i procedury
gwarantujące ochronę danych osobowych i informacji poufnych
firmy Microsoft. Program bezpieczeństwa informacji, wdrożony
przez dostawcę, musi uwzględniać następujące zagadnienia
związane z ochroną danych osobowych i informacji poufnych firmy
Microsoft:
Wdrożony przez dostawcę program bezpieczeństwa
informacji musi uwzględniać zagadnienia (52) – (69),
wymienione w kolumnie po lewej stronie.
Przeprowadzanie co roku lub częściej ocen ryzyka.
Oceny ryzyka, przeprowadzone przez dostawcę, muszą
uwzględniać nowe zagrożenia, potencjalny niekorzystny
wpływ na działalność biznesową oraz prawdopodobieństwo
wystąpienia. Dostawca musi odpowiednio zmodyfikować
procesy, procedury i zalecenia związane z
zabezpieczeniami.
Przeprowadzanie skanowań wewnętrznej i zewnętrznej sieci w celu
wykrycia luk w zabezpieczeniach co najmniej raz na kwartał i po
każdej istotnej zmianie w sieci (np. po zainstalowaniu nowych
składników systemu, zmianie topologii sieci, zmodyfikowaniu reguł
zapory lub uaktualnieniu produktów).
Zapobieganie nieautoryzowanemu dostępowi przy użyciu
skutecznych sprzętowych i logicznych metod kontroli dostępu,
łącznie z ograniczeniem fizycznego dostępu do elektronicznych
systemów informacyjnych, przy równoczesnym upewnieniu się, że
autoryzowany dostęp jest dozwolony.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Zabezpieczenia mogą obejmować więcej zagadnień niż
wymienione, jeżeli jest to konieczne do zachowania
zgodności z przepisami (np. HIPPA, GLBA) lub wymaganiami
określonymi w umowach.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 19
Supplier Security and Privacy Assurance (SSPA)
55
56
Procedury dodawania nowych użytkowników, modyfikowania
poziomów dostępu w przypadku istniejących użytkowników oraz
usuwania użytkowników, którzy nie potrzebują już dostępu
(wymuszenie zasad najniższych uprawnień).
Przypisanie zakresu obowiązków i odpowiedzialności związanej z
zabezpieczeniami.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
57
Przypisanie zakresu obowiązków i odpowiedzialności związanej ze
zmianami w systemie i konserwacją systemu.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
58
59
Wdrażanie uaktualnień i poprawek oprogramowania systemowego
zgodnie z uzasadnionym harmonogramem ustalonym na podstawie
poziomu ryzyka.
Zainstalowanie oprogramowania antywirusowego i
oprogramowania chroniącego przed złośliwym kodem w przypadku
całego sprzętu podłączonego do sieci, w tym serwerów czy
komputerów produkcyjnych i szkoleniowych, w celu zapewnienia
ochrony przed potencjalnie szkodliwymi wirusami i złośliwymi
aplikacjami. Definicje oprogramowania antywirusowego i
oprogramowania chroniącego przed złośliwym kodem muszą być
aktualizowane co najmniej raz dziennie, chyba że instrukcje firmy
Microsoft lub innego dostawcy tego oprogramowania stanowią
inaczej.
Wersja 3
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 20
Supplier Security and Privacy Assurance (SSPA)
60
Testowanie, ocena i autoryzacja składników systemu przed
wdrożeniem.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
61
62
Dostawcy tworzący w ramach swojej działalności oprogramowanie
muszą zachować zgodność z Cyklem projektowania zabezpieczeń
firmy Microsoft (Security Development Lifecycle, SDL). Więcej
informacji można uzyskać w witrynie
http://www.microsoft.com/sdl.
Rozpatrywanie skarg i żądań dotyczących problemów z
zabezpieczeniami.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
63
Obsługa błędów i pominięć, naruszeń zabezpieczeń oraz innych
zdarzeń.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
64
65
Procedury wykrywania skutecznych i nieskutecznych ataków lub
włamań do systemów oraz aktywne testowanie procedur
zabezpieczeń (na przykład testy penetracyjne).
Udostępnienie szkolenia oraz innych zasobów w celu zapewniania
pomocy w zakresie zasad zabezpieczeń.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 21
Supplier Security and Privacy Assurance (SSPA)
66
<Compliant>
<Not Compliant>
Obsługa wyjątków i sytuacji, które nie zostały uwzględnione w
systemie.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
67
<Compliant>
<Not Compliant>
Plany odzyskiwania awaryjnego i powiązane z tym testy.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
68
69
70
<Compliant>
<Not Compliant>
Zapewnienie identyfikacji zdefiniowanych zobowiązań, umów
dotyczących poziomu usług oraz innych umów, a także zgodności z
nimi.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
Wymaganie potwierdzenia przez użytkowników, kierownictwo i
inne firmy (wstępnie i co rok) zrozumienia obowiązujących zasad
ochrony prywatności i procedur związanych z ochroną danych
osobowych oraz zobowiązania się do przestrzegania tych zasad i
procedur.
UWIERZYTELNIANIE
Dostawca musi uwierzytelnić tożsamość osoby przed udzieleniem
jej dostępu do danych osobowych lub informacji poufnych firmy
Microsoft.
Wersja 3
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Stosowane przez dostawcę procedury uwierzytelniania
powinny wymagać korzystania przez osobę z unikatowego
identyfikatora i hasła w celu uzyskania dostępu w trybie
online do własnych danych osobowych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 22
Supplier Security and Privacy Assurance (SSPA)
W przypadku uwierzytelniania online dostawcy muszą:
71
<Compliant>
<Not Compliant>
Korzystać z konta Microsoft, jeżeli jest to możliwe.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
72
<Compliant>
<Not Compliant>
Wymagać od osób korzystania z unikatowego identyfikatora i hasła
(lub odpowiednika).
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
W przypadku uwierzytelniania telefonicznego dostawcy muszą:
73
74
Wymagać od użytkownika potwierdzenia danych kontaktowych i,
jeżeli jest to możliwe, podania co najmniej jednej informacji
unikatowej (np. kod UPC, nazwa konkursu).
Procedury uwierzytelniania telefonicznego muszą
obejmować potwierdzenie danych kontaktowych przez
osobę oraz podania co najmniej jednej informacji
unikatowej znanej tylko tej osobie.
DOSTĘP PERSONELU DOSTAWCY DO DANYCH OSOBOWYCH FIRMY
MICROSOFT
Obowiązują systemy i procedury ustalające dostęp do
danych osobowych dla pracowników dostawcy na
podstawie wyraźnej potrzeby biznesowej uzyskania tego
dostępu.
Dostawca musi ograniczyć dostęp do danych osobowych firmy
Microsoft do personelu, który wymaga tego dostępu w związku z
potrzebą biznesową.
75
Dostawcy muszą dezaktywować sieciowe i inne konta pomocnicze
dla osób, które już nie pracują nad programami firmy Microsoft, w
ciągu 24 godzin od zakończenia pracy przez daną osobę nad
programem i w ciągu 2 godzin w przypadku zwolnienia
niedobrowolnego.
Wersja 3
Powyższe systemy i procedury muszą obejmować
następujące kwestie: dostęp wewnętrzny/zewnętrzny,
nośniki, papier, platformy technologiczne i nośniki do
tworzenia kopii zapasowych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 23
Supplier Security and Privacy Assurance (SSPA)
NISZCZENIE DANYCH OSOBOWYCH FIRMY MICROSOFT
Gdy konieczne jest zniszczenie danych osobowych firmy Microsoft,
dostawca musi:
76
77
Spalić, rozdrobnić lub podrzeć zasoby fizyczne zawierające dane
osobowe firmy Microsoft w sposób uniemożliwiający ich odczytanie
lub odtworzenie.
Dostawca musi wykazać, że zasoby fizyczne zostały
odpowiednio zniszczone w sposób uniemożliwiający ich
odczytanie lub odtworzenie.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
Zniszczyć lub wymazać zasoby cyfrowe zawierające dane osobowe
firmy Microsoft w sposób uniemożliwiający ich odczytanie lub
odtworzenie.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
OCHRONA ZASOBÓW CYFROWYCH
Obowiązują systemy i procedury ochrony danych osobowych
przesyłanych przez Internet lub inne sieci publiczne.
Dostawca musi:
78
79
Zastosować zgodne ze standardem branżowym implementacje
protokołów SSL, TLS, lub IPsec w przypadku informacji firmy
Microsoft podczas przesyłania i uwierzytelniania
nadawcy/odbiorcy.
Wdrożyć funkcję BitLocker lub alternatywne, sprawdzone w branży
rozwiązanie na każdym komputerze przenośnym, na którym
przechowywane są informacje firmy Microsoft.
Wersja 3
W niektórych przepisach (np. HIPPA, GLBA, PCI)
uwzględniono określone wymagania dotyczące przesyłania
danych.
Certyfikaty SSL są prawidłowo zarządzane, tak aby nowe
ważne certyfikaty SSL były instalowane przed wygaśnięciem
starych certyfikatów.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 24
Supplier Security and Privacy Assurance (SSPA)
80
81
Wdrożyć silne symetryczne i asymetryczne algorytmy szyfrowania
zgodne z bieżącymi standardami branżowymi, które będą używane
podczas przechowywania wymienionych poniżej typów danych
osobowych firmy Microsoft. Ten wymóg dotyczy urządzeń
przenośnych, w szczególności dysków USB, telefonów
komórkowych, urządzeń lub nośników kopii zapasowej itp.
a. numery identyfikacyjne przypisane przez administrację
państwową (np. numery PESEL lub numery prawa
jazdy),
b. numery kont (np. numery kart kredytowych i kont
bankowych),
c. profile medyczne (np. numery kartoteki medycznej lub
identyfikatory biometryczne).
Obowiązują systemy i procedury szyfrowania
przechowywanych numerów identyfikacyjnych, numerów
kont oraz informacji medycznych.
Akceptować tylko informacje firmy Microsoft przesłane w formie
zaszyfrowanej.
Dostawca musi odmawiać przesyłania danych osobowych
nieszyfrowanymi kanałami.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
82
83
Przeprowadzić dochodzenie w sprawie naruszeń zabezpieczeń i
prób uzyskania nieautoryzowanego dostępu do systemów
zawierających dane osobowe i informacje poufne firmy Microsoft.
Stosowane są systemy i procedury badania naruszeń oraz
prób uzyskania nieautoryzowanego dostępu.
Niezwłoczne powiadamiać o wynikach dochodzenia kierownictwo
wyższego szczebla w firmie dostawcy i firmę Microsoft.
Stosowane są systemy i procedury umożliwiające
powiadamianie o wynikach dochodzenia firmę Microsoft.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Wersja 3
Strona | 25
Supplier Security and Privacy Assurance (SSPA)
84
<Compliant>
<Not Compliant>
Zachować zgodność z obowiązującymi standardami obsługi kart
kredytowych w przypadku akceptowanych kart.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
OCHRONA ZASOBÓW FIZYCZNYCH
Dostawca musi:
85
86
87
Przechowywać dane osobowe i informacje poufne firmy Microsoft
w środowisku z kontrolowanym dostępem.
Bezpiecznie transportować dane osobowe i informacje poufne firmy
Microsoft.
ODZYSKIWANIE AWARYJNE
Dostawca musi zapewnić, że procesy planowania tworzenia kopii
zapasowych i odzyskiwania awaryjnego chronią dane osobowe i
informacje poufne firmy Microsoft przed nieautoryzowanym
użyciem, dostępem, ujawnieniem, modyfikacją i zniszczeniem.
TESTOWANIE I AUDYTY
Dostawca musi:
88
Regularnie testować efektywność głównych zabezpieczeń
chroniących dane osobowe firmy Microsoft.
Wersja 3
Stosowane są systemy i procedury zarządzania fizycznym
dostępem do kopii cyfrowych, drukowanych, archiwalnych i
zapasowych danych osobowych.
Obowiązują systemy i procedury zapewniające odpowiedni
poziom ochrony obiektów fizycznych zawierających dane
osobowe podczas transportu.
Obowiązują systemy i procedury zapewniające ochronę
danych osobowych i informacji poufnych firmy Microsoft
przed zniszczeniem, modyfikacją, ujawnieniem albo
nieautoryzowanym użyciem lub dostępem w przypadku
wystąpienia awarii.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Częstotliwość przeprowadzania wymaganych testów różni
się w zależności od zakresu i złożoności działań dostawcy.
Jest wymagana dokumentacja przeprowadzanych testów i
ich wyniki, jak również modyfikacje systemów, zasad i
procedur w przypadku wykrycia nieprawidłowości.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 26
Supplier Security and Privacy Assurance (SSPA)
89
90
Okresowo przeprowadzać niezależne audyty systemu zabezpieczeń.
Jeśli jest to wymagane przez warunki umowy z firmą
Microsoft, należy przeprowadzać audyty zabezpieczeń
zgodnie z warunkami umowy.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
Udostępnić wyniki tych audytów firmie Microsoft na jej żądanie.
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
91
92
93
Dokumentować i testować plany odzyskiwania awaryjnego i plany
awaryjne co najmniej raz w roku w celu zapewnienia ich
efektywności.
Dostawca musi mieć udokumentowane zasady tworzenia
kopii zapasowych określające częstotliwość wykonywania
kopii zapasowych. Kopie zapasowe muszą być bezpiecznie
przechowywane. Kopie zapasowe muszą być regularnie
testowane przez przywracanie z nich danych w celu
sprawdzenia, czy można z nich prawidłowo korzystać.
Wersja 3
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
Okresowo przeprowadzać testy w celu wykrycia zagrożeń i luk w
zabezpieczeniach, łącznie ze sprawdzeniami możliwości penetracji
systemu zabezpieczeń.
Zapewnić anonimowość wszystkich danych osobowych firmy
Microsoft używanych w środowisku projektowym lub testowym.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Nie należy wykorzystywać danych osobowych firmy
Microsoft w środowiskach projektowych ani testowych. W
przeciwnym wypadku należy zapewnić ich anonimowość w
celu uniemożliwienia identyfikacji osób lub niewłaściwego
użycia danych osobowych.
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
Strona | 27