Supplier Security and Privacy Assurance (SSPA) Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tính ứng dụng Các yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft (DPR) áp dụng cho tất nhà cung cấp Microsoft chịu trách nhiệm thu thập, sử dụng, phân phối, truy cập lưu trữ Thông tin Cá nhân Microsoft Thông tin Nhạy cảm Microsoft Việc phần việc thực dịch vụ cung cấp theo điều khoản đơn mua hàng hợp đồng với Microsoft  Trong trường hợp có xung đột yêu cầu có yêu cầu định thỏa thuận theo hợp đồng nhà cung cấp Microsoft, điều khoản hợp đồng ưu tiên  Trong trường hợp có xung đột yêu cầu có yêu cầu theo luật pháp lý yêu cầu theo luật pháp lý ưu tiên "Không có giới hạn nghĩa vụ khác, nhà cung cấp phải tuân thủ yêu cầu bảo vệ liệu điều khoản tiêu chuẩn theo hợp đồng, quy tắc ràng buộc công ty kế hoạch khác quan bảo vệ liệu nào, Ủy ban Bảo vệ Dữ liệu Châu Âu Ủy ban Châu Âu phê duyệt Microsoft chấp nhận đồng ý, bao gồm không giới hạn Khuôn khổ Bảo vệ Quyền riêng tư Liên minh Châu Âu - Hoa Kỳ Nhà cung cấp phải đảm bảo bên xử lý phụ (như định nghĩa Điều 1(d) Điều khoản Tiêu chuẩn theo Hợp đồng năm 2010 xuất dạng Phụ lục cho Nghị Ủy ban Châu Âu C(2010)593) tuân thủ.“ “Thông tin Nhạy cảm Microsoft” thông tin, bị vi phạm cách bí mật trực, gây thiệt hại danh tiếng thiệt hại tài nghiêm trọng cho Microsoft Thông tin bao gồm, không giới hạn ở: Sản phẩm phần cứng phần mềm Microsoft, ứng dụng dòng nghiệp vụ nội bộ, tài liệu tiếp thị trước phát hành, khóa cấp phép sản phẩm tài liệu kỹ thuật liên quan đến sản phẩm dịch vụ Microsoft “Thông tin Cá nhân” nghĩa thông tin Microsoft cung cấp Nhà cung cấp thu thập với Thỏa thuận quy định theo luật quyền riêng tư bảo vệ liệu quyền lực pháp lý hành, bao gồm: (i) Thông tin liên quan đến, nhận dạng xác định người mà thông tin có liên quan; (ii) Có thể lấy thông tin nhận dạng thông tin cá nhân người từ Cấu trúc DPR DPR vào khuôn khổ Viện Kế toán viên Công chứng Hoa Kỳ (AICPA) thiết kế để đo mức độ thực quyền riêng tư Nguyên tắc Quyền riêng tư Chấp nhận Chung (GAPP) chia thành 10 phần bao gồm tiêu chí đo lường liên quan đến việc bảo vệ quản lý thông tin cá nhân Khuôn khổ nâng cao yêu cầu bảo mật & quyền riêng tư bổ sung Microsoft Phiên Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP A: Quản lý Trước nhà cung cấp thu thập, sử dụng, phân phối, truy nhập lưu trữ Thông tin Cá nhân Nhạy cảm Microsoft, nhà cung cấp phải: Ký hợp đồng hợp lệ với Microsoft, tuyên bố nhiệm vụ đơn đặt hàng mua chứa ngôn ngữ bảo vệ liệu bảo mật quyền riêng tư Nhà cung cấp phải xuất trình hợp đồng hợp lệ Microsoft, tuyên bố nhiệm vụ đơn đặt hàng mua Giao trách nhiệm nghĩa vụ tuân thủ Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft cho người nhóm định công ty Nhà cung cấp phải xác định người nhóm chịu trách nhiệm đảm bảo nhà cung cấp tuân thủ Yêu cầu Bảo vệ Dữ liệu Thẩm quyền trách nhiệm giải trình cá nhân nhóm phải ghi rõ ràng thành văn Thiết lập, trì thực đào tạo bảo mật cho nhân viên hàng năm Microsoft công bố tài liệu tại: http://www.microsoft.com/about/companyinformation/procureme nt/toolkit/en/us/privacymaterials.aspx Nhà cung cấp đào tạo nhân viên lần đầu định kỳ nguyên tắc bảo mật quyền riêng tư (Thông báo, Lựa chọn Đồng thuận, Thu thập, Sử dụng & Sở hữu, Truy nhập, Chuyển giao & Tiết lộ, Bảo mật, Chất lượng, Giám sát & Thực thi) Bằng chứng việc thực đào tạo dạng tài liệu đào tạo, biên tham gia, thông tin liên lạc (email, trang web, tin, v.v.) với nhân viên, v.v Phiên Trang | Supplier Security and Privacy Assurance (SSPA) Truyền đạt định kỳ thông tin có liên quan Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft với nhân viên nhà thầu phụ thực dịch vụ cho Microsoft Phiên Nhà cung cấp đào tạo Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft cho nhân viên nhà thầu phụ tham gia vào việc cung cấp dịch vụ cho Microsoft Bằng chứng việc thực đào tạo ban đầu định kỳ dạng tài liệu đào tạo, biên tham gia, thông tin liên lạc (email, trang web, tin, v.v.) với nhân viên nhà thầu phụ, v.v Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP B: Thông báo Nhà cung cấp phải gửi thông báo rõ ràng quyền riêng tư cho cá nhân thu thập Thông tin Cá nhân Microsoft từ họ để giúp họ định có gửi thông tin cá nhân cho nhà cung cấp hay không Thông báo quyền riêng tư phải mô tả mục đính thu thập thông tin cá nhân trường hợp thông tin tiết lộ Thông báo quyền riêng tư phải sẵn có, ghi ngày tháng rõ ràng cung cấp trước thời điểm thu thập thông tin Thông báo quyền riêng tư phải soạn thảo cho cá nhân hiểu mục đích sử dụng liệu Các nhà cung cấp lưu trữ trang web cho Microsoft phải hoàn tất Bản đánh giá Quyền riêng tư Microsoft Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft bạn để lên lịch thực việc liên hệ theo địa SSPAHelp@microsoft.com để hỗ trợ Bản đánh giá tuân thủ hướng dẫn Bộ công cụ Bảo mật dành cho Nhà cung cấp http://www.microsoft.com/en-us/procurement/toolkit-default.aspx Cung cấp chứng việc ký tên đồng ý tuân thủ thỏa thuận Quyền riêng tư Microsoft Các nhà cung cấp thực chiến dịch tiếp thị cho Microsoft phải hoàn tất Bản đánh giá Quyền riêng tư Microsoft Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft bạn để lên lịch thực việc liên hệ theo địa SSPAHelp@microsoft.com để hỗ trợ Bản đánh giá tuân thủ hướng dẫn Bộ công cụ Bảo mật dành cho Nhà cung cấp http://www.microsoft.com/en-us/procurement/toolkit-default.aspx Cung cấp chứng việc ký tên đồng ý tuân thủ thỏa thuận Quyền riêng tư Microsoft Phiên Trang | Supplier Security and Privacy Assurance (SSPA) Khi thu thập Thông tin Cá nhân Microsoft cách gọi điện thoại trực tiếp, nhà cung cấp phải sẵn sàng thảo luận quy định thu thập, xử lý, sử dụng lưu giữ liệu áp dụng với khách hàng Phiên Nhà cung cấp chứng minh việc thu thập, xử lý, sử dụng lưu giữ liệu thảo luận với cá nhân thông tin cá nhân thu thập qua điện thoại Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP C: Lựa chọn Đồng ý 10 Nhà cung cấp phải nhận đồng ý dẫn chứng tài liệu đồng ý cá nhân trước thu thập thông tin cá nhân người Nhà cung cấp giải thích trình để cá nhân đồng ý từ chối cung cấp thông tin cá nhân hậu hành động Nhà cung cấp đưa dẫn chứng tài liệu đồng ý trước vào thời điểm thu thập thông tin cá nhân Nhà cung cấp đưa dẫn chứng tài liệu đồng ý trước vào thời điểm thu thập thông tin cá nhân Nhà cung cấp dẫn chứng văn quản lý tùy chọn liên hệ thực quản lý thay đổi tùy chọn Nhà cung cấp xác nhận tùy chọn liên hệ văn phương thức điện tử Nhà cung cấp dẫn chứng văn quản lý tùy chọn liên hệ thực quản lý thay đổi tùy chọn Nhà cung cấp thông báo cho cá nhân việc sử dụng đề xuất thông tin cá nhân 11 Ghi lại quản lý thay đổi tùy chọn liên hệ cá nhân cách kịp thời Phiên Trang | Supplier Security and Privacy Assurance (SSPA) 12 Nhận đồng ý dẫn chứng tài liệu đồng ý cho lần sử dụng thông tin cá nhân cá nhân Nhà cung cấp đảm bảo không nhận đồng ý, thông tin không sử dụng Phiên Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP D: Thu thập 13 14 15 16 Nhà cung cấp phải giám sát việc thu thập Thông tin Cá nhân Microsoft nhằm đảm bảo thu thập thông tin cần thiết phục vụ việc thực (các) dịch vụ mà Microsoft mua Các hệ thống quy trình tồn để xác định thông tin cá nhân cần thiết Nhà cung cấp kiểm soát việc thu thập nhằm đảm bảo tính hiệu hệ thống quy trình Nếu nhà cung cấp thay mặt cho Microsoft mua thông tin cá nhân từ bên thứ ba, nhà cung cấp phải xác nhận sách quy định bảo vệ liệu bên thứ ba phù hợp với hợp đồng nhà cung cấp với Microsoft yêu cầu DPR Nhà cung cấp thực khảo sát tính khả thi liên quan đến sách quy định bảo vệ liệu bên thứ ba Trước thu thập Thông tin Cá nhân nhạy cảm Microsoft thông qua cài đặt sử dụng phần mềm thực thi máy tính cá nhân, nhu cầu thu thập thông tin phải ghi thỏa thuận nhà cung cấp thực với Microsoft Nhà cung cấp nhận đồng ý dẫn chứng tài liệu đồng ý Microsoft sử dụng phần mềm thực thi máy tính cá nhân để thu thập thông tin cá nhân Trước thu thập Thông tin Cá nhân nhạy cảm Microsoft chẳng hạn chủng tộc, nguồn gốc dân tộc, quan điểm trị, thành viên công đoàn, tình trạng sức khỏe đời sống tình dục, nhu cầu thu thập thông tin phải ghi thỏa thuận thực thi nhà cung cấp với Microsoft Nhà cung cấp nhận đồng ý dẫn chứng tài liệu đồng ý Microsoft trước thu thập thông tin cá nhân nhạy cảm Phiên Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP E: Duy trì 17 18 19 20 Đảm bảo Thông tin Cá nhân Nhạy cảm Microsoft sử dụng để cung cấp dịch vụ Microsoft mua lại Hệ thống quy trình sẵn có để giám sát việc sử dụng Thông tin Cá nhân Nhạy cảm Nhà cung cấp kiểm soát hệ thống quy trình nhằm đảo bảo tính hiệu chúng Đảm bảo Thông tin Cá nhân Nhạy cảm Microsoft lưu giữ không thời gian cần có để cung cấp dịch vụ trừ luật yêu cầu tiếp tục trì Thông tin Cá nhân Microsoft Nhà cung cấp tuân theo sách lưu giữ yêu cầu lưu giữ lập thành văn Microsoft định hợp đồng, báo cáo công việc đơn đặt hàng Ghi lại việc trì xóa bỏ Thông tin Cá nhân Nhạy cảm Microsoft Theo yêu cầu, nhà cung cấp phải cung cấp chứng nhận hủy có chữ ký nhân viên bên phía nhà cung cấp cho Microsoft Nhà cung cấp lưu giữ hồ sơ sử dụng Thông tin Cá nhân Nhạy cảm Microsoft (ví dụ: trả lại cho Microsoft hủy bỏ) Đảm bảo rằng, theo định riêng Microsoft, Thông tin Cá nhân Nhạy cảm Microsoft mà nhà cung cấp sở hữu kiểm soát trả lại cho Microsoft hủy bỏ hoàn thành dịch vụ theo yêu cầu Microsoft Phiên Trang | Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP F: Truy cập Khi cá nhân yêu cầu truy nhập vào Thông tin Cá nhân Microsoft, nhà cung cấp phải: 21 22 Hướng dẫn cho cá nhân bước mà người cần phải thực để có quyền truy nhập vào Thông tin Cá nhân Microsoft Xác thực danh tính cá nhân yêu cầu quyền truy nhập Thông tin Cá nhân Microsoft Nhà cung cấp thông báo bước thực để truy nhập vào thông tin cá nhân phương pháp sẵn có để cập nhật thông tin Nhà cung cấp không sử dụng mã định danh phủ cấp để xác thực 23 Hạn chế sử dụng thông tin nhận dạng phủ ban hành (ví dụ số An sinh Xã hội) để xác thực, trừ lựa chọn hợp lý khác Nhân viên nhà cung cấp đào tạo để xác thực danh tính cá nhân yêu cầu quyền truy nhập vào thông tin cá nhân họ thay đổi thông tin cá nhân Sau xác thực cá nhân đó, nhà cung cấp phải: 24 Xác định xem cá nhân nắm giữ hay kiểm soát Thông tin Nhận dạng Cá nhân Microsoft Nhà cung cấp có quy trình để xác định thông tin cá nhân có lưu giữ hay không Phiên Trang | 10 Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Responses: Phần GAPP G: Tiết lộ cho Bên Thứ ba Nếu nhà cung cấp định sử dụng nhà thầu phụ để giúp thu thập, sử dụng, phân phối, truy nhập lưu trữ Thông tin Cá nhân Nhạy cảm Microsoft, nhà cung cấp phải: 32 33 34 35 Sử dụng nhà thầu phụ người tham gia có uy tín Chương trình dành cho Nhà cung cấp Microsoft nhận đồng ý rõ ràng văn Microsoft trước thầu lại dịch vụ Nhà cung cấp xác thực nhà thầu phụ bên tham gia vào Chương trình dành cho Nhà cung cấp Ưu tiên Microsoft (MSP) Ghi lại chất mức độ Thông tin Cá nhân Nhạy cảm Microsoft tiết lộ chuyển giao cho nhà thầu phụ Nhà cung cấp lưu giữ tài liệu liên quan đến Thông tin Cá nhân Nhạy cảm Microsoft tiết lộ chuyển giao cho nhà thầu phụ Đảm bảo nhà thầu phụ sử dụng Thông tin Cá nhân Microsoft theo tùy chọn liên hệ nêu cá nhân Nhà thầu phụ sử dụng Thông tin Cá nhân Microsoft cho mục đích cần thiết để hoàn thành hợp đồng nhà cung cấp với Microsoft Phiên Nhà cung cấp nhận cho phép văn để sử dụng nhà cung cấp không tham gia MSP Hệ thống quy trình sẵn có để đảm bảo nhà thầu phụ sử dụng Thông tin Cá nhân Microsoft cho mục đích định theo tùy chọn liên hệ cá nhân Nếu phép, nhà cung cấp chứng minh Microsoft liên hệ trước cho phép nhà thầu phụ tiết lộ Thông tin Cá nhân Microsoft theo lệnh tòa án Trang | 13 Supplier Security and Privacy Assurance (SSPA) 36 37 38 39 Thông báo cho Microsoft lệnh tòa án yêu cầu nhà thầu phụ tiết lộ Thông tin Cá nhân Microsoft pháp luật cho phép, tạo hội cho Microsoft can thiệp trước gửi phản hồi lệnh tòa án thông báo Xem lại khiếu nại để biết dấu hiệu việc sử dụng tiết lộ trái phép Thông tin Cá nhân Microsoft Hệ thống quy trình sẵn có để giải khiếu nại việc nhà thầu phụ sử dụng tiết lộ trái phép Thông tin Cá nhân Microsoft Thông báo cho Microsoft biết nhà thầu phụ sử dụng tiết lộ Thông tin Cá nhân Nhạy cảm Microsoft mục đích mục đích cung cấp dịch vụ có liên quan đến Microsoft cho Microsoft nhà cung cấp Nhà cung cấp chứng minh Microsoft thông báo nhà thầu phụ sử dụng Thông tin Cá nhân Microsoft cho mục đích trái phép Hành động để giảm thiểu thiệt hại thực tiềm ẩn nhà thầu phụ sử dụng tiết lộ trái phép Thông tin Cá nhân Nhạy cảm Microsoft Nhà cung cấp chứng minh họ thực hành động thích hợp nhà thầu phụ sử dụng Thông tin Cá nhân Nhạy cảm Microsoft mục đích trái phép tiết lộ Thông tin Cá nhân Nhạy cảm Trước nhận thông tin cá nhân từ bên thứ ba, nhà cung cấp phải: 40 Xác minh hoạt động thu thập liệu bên thứ ba quán với DPR Quy trình sẵn có để xác minh hoạt động thu thập liệu bên thứ ba Phiên Trang | 14 Supplier Security and Privacy Assurance (SSPA) 41 42 Xác nhận thông tin cá nhân thu thập từ bên thứ ba thông tin cần có để thực (các) dịch vụ Microsoft mua lại Quy trình sẵn có phép bên thứ ba chuyển giao Thông tin Cá nhân Microsoft cần có để thực dịch vụ theo hợp đồng Nhà cung cấp phải cho phép trước văn Microsoft trước cung cấp Thông tin Cá nhân Microsoft cho bên thứ ba Nhà cung cấp cung cấp giấy phép Phiên Trang | 15 Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP H: Chất lượng 43 Nhà cung cấp phải đảm bảo tất Thông tin Cá nhân Microsoft xác, đầy đủ có liên quan tới mục đích thu thập sử dụng thông tin nêu Thông tin xác thực thu thập, tạo cập nhật Các hệ thống quy trình áp dụng để xác minh tính xác sở hành sửa chữa cần thiết Phải thu thập số lượng thông tin cá nhân tối thiểu cần có để hoàn thành mục đích đề Phiên Trang | 16 Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP I: Giám sát Thực thi Nhà cung cấp phải: 44 Tiến hành đánh giá tuân thủ hàng năm để xác nhận tuân thủ nhà cung cấp với Yêu cầu Bảo vệ Dữ liệu Nhà cung cấp phải chứng minh kiểm tra tính tuân thủ hàng năm tiến hành 45 46 47 Trong vòng 72 giờ, thông báo cho Microsoft biết vi phạm bảo mật biết lỗ hổng bảo mật liên quan đến việc xử lý Thông tin Cá nhân Microsoft nhà cung cấp Nhà cung cấp phải chứng minh Microsoft thông báo vi phạm quyền riêng tư bị nghi ngờ hay biết lỗ hổng bảo mật Không đưa thông cáo báo chí thông báo công khai khác liên quan đến vụ việc có thực liên quan đến Thông tin Cá nhân Nhạy cảm Microsoft mà chưa phê duyệt Microsoft trừ luật yêu cầu điều chỉnh có quy định Giảm thiểu lỗ hổng bảo mật vi phạm khả nghi biết rõ Các lỗ hổng vi phạm giải kịp thời Phiên Trang | 17 Supplier Security and Privacy Assurance (SSPA) 48 Thực kế hoạch khắc phục giám sát giải pháp vi phạm lỗ hổng bảo mật có liên quan đến Thông tin Cá nhân Microsoft để đảm bảo thực hành động khắc phục phù hợp cách kịp thời Các kế hoạch khắc phục có sẵn cần Nhà cung cấp phải: 49 Thiết lập quy trình khiếu nại thức để phản hồi khiếu nại bảo vệ liệu liên quan đến Thông tin Cá nhân Microsoft Nhà cung cấp phải có quy trình ghi thành văn để xử lý khiếu nại thông báo cho Microsoft 50 Thông báo cho Microsoft khiếu nại có liên quan đến Thông tin Cá nhân Microsoft Các biên khiếu nại thể phản hồi kịp thời 51 Ghi chép phản hồi khiếu nại bảo vệ liệu có liên quan đến Thông tin Cá nhân Microsoft cách kịp thời trừ Microsoft hướng dẫn cụ thể Theo yêu cầu, cung cấp cho Microsoft tài liệu khiếu nại giải chưa giải Phiên Tài liệu khiếu nại đã/đang xử lý Trang | 18 Supplier Security and Privacy Assurance (SSPA) # Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp Microsoft Tiêu chí Đánh giá Được đề xuất Response: Phần GAPP J: Bảo mật CHƯƠNG TRÌNH BẢO MẬT THÔNG TIN Nhà cung cấp phải thiết lập, thực trì chương trình bảo mật thông tin bao gồm sách quy trình bảo vệ Thông tin Cá nhân Thông tin Nhạy cảm Microsoft Chương trình bảo mật nhà cung cấp phải giải vấn đề sau có liên quan đến bảo vệ Thông tin Cá nhân & Nhạy cảm Microsoft: 52 53 54 Thực đánh giá rủi ro hàng năm thường xuyên Quét tìm lỗ hổng mạng nội mạng bên lần/quý sau thay đổi mạng quan trọng (chẳng hạn cài đặt thành phần hệ thống mới, thay đổi tôpô mạng, sửa đổi quy tắc tưởng lửa, nâng cấp sản phẩm) Ngăn chặn truy nhập bất hợp pháp cách sử dụng biện pháp kiểm soát truy nhập vật lý logic hiệu quả, bao gồm giới hạn truy nhập vật lý vào hệ thống thông tin điện tử đồng thời đảm bảo cho phép truy nhập ủy quyền Phiên Chương trình bảo mật thực nhà cung cấp phải bao gồm (52) – (69), liệt kê bên trái Các biện pháp bảo vệ nhiều trường hợp liệt kê cần thiết nhằm đáp ứng hệ thống điều tiết (ví dụ: HIPPA, GLBA) yêu cầu theo hợp đồng Các đánh giá rủi ro nhà cung cấp phải bao gồm mối đe dọa nảy sinh, tác động đến doanh nghiệp có xác suất xảy Nhà cung cấp phải sửa đổi quy trình, thủ tục nguyên tắc liên quan đến bảo mật cách tương xứng Trang | 19 Supplier Security and Privacy Assurance (SSPA) 55 56 Quy trình thêm người dùng mới, sửa đổi mức truy nhập người dùng có xóa người dùng không cần quyền truy nhập (thực thi nguyên tắc đặc quyền tối thiểu) Chỉ định trách nhiệm trách nhiệm giải trình bảo mật 57 Chỉ định trách nhiệm trách nhiệm giải trình thay đổi bảo trì hệ thống 58 Thực nâng cấp phần mềm hệ thống vá khoảng thời gian phù hợp vào nguy 59 Cài đặt phần mềm chống vi-rút phần mềm chống phần mềm độc hại cho tất thiết bị nối mạng bao gồm không giới hạn máy chủ, máy tính sản xuất máy tính đào tạo để bảo vệ máy tính khỏi vi-rút ứng dụng phần mềm độc hại gây hại Định nghĩa chống vi-rút chống phần mềm độc hại phải cập nhật hàng ngày thường xuyên theo hướng dẫn Microsoft nhà cung cấp dịch vụ chống vi-rút/chống phần mềm độc hại Phiên Trang | 20 Supplier Security and Privacy Assurance (SSPA) 60 Kiểm tra, đánh giá phê chuẩn thành phần hệ thống trước thực 61 62 Nhà cung cấp phát triển phần mềm phần công việc kinh doanh họ phải tuân thủ Security Development Lifecycle (SDL) Microsoft Xem thêm thông tin http://www.microsoft.com/sdl Giải khiếu nại yêu cầu liên quan đến vấn đề bảo mật 63 Xử lý lỗi thiếu sót, vi phạm bảo mật cố khác 64 65 Quy trình phát công thực tế công có chủ định hành động xâm nhập vào hệ thống chủ động kiểm tra quy trình bảo mật (chẳng hạn kiểm tra thâm nhập) Phân bổ đào tạo tài nguyên khác để hỗ trợ sách bảo mật Microsoft Phiên Trang | 21 Supplier Security and Privacy Assurance (SSPA) 66 Dự phòng xử lý trường hợp ngoại lệ tình không quy định cụ thể hệ thống 67 Kế hoạch khắc phục thảm họa kiểm tra liên quan 68 Dự phòng nhận biết, phù hợp với, cam kết xác định, thỏa thuận cấp độ dịch vụ hợp đồng khác 69 70 Yêu cầu người dùng, quản lý bên thứ ba xác nhận (lúc đầu hàng năm) họ hiểu đồng ý tuân thủ sách bảo mật áp dụng quy trình có liên quan đến bảo mật thông tin cá nhân XÁ C THỰ C Nhà cung cấp phải xác thực danh tính cá nhân trước trao quyền truy nhập vào thông tin Cá nhân thông tin Nhạy cảm Microsoft cho cá nhân Quá trình xác thực nhà cung cấp sử dụng phải bắt buộc sử dụng mật ID để truy nhập trực tuyến vào thông tin cá nhân cá nhân Để xác thực trực tuyến, nhà cung cấp phải: Phiên Trang | 22 Supplier Security and Privacy Assurance (SSPA) 71 Sử dụng Tài khoản Microsoft, 72 Yêu cầu cá nhân sử dụng ID mật (hoặc tương đương) Để xác thực điện thoại, nhà cung cấp phải: 73 74 Yêu cầu người dùng xác thực thông tin liên hệ họ có thể, cung cấp phần thông tin (ví dụ: mã UPC, tên thi) Quá trình xác thực qua điện thoại phải bao gồm việc xác nhận cá nhân thông tin liên hệ với thông tin mà cá nhân biết QUYỀN TRUY NHẬP VÀO THÔNG TIN CÁ NHÂN CỦA MICROSOFT CỦA NHÂN VIÊN CỦA NHÀ CUNG CẤP Các hệ thống quy trình phải đưa để thiết lập quyền truy nhập cho nhân viên bên phía nhà cung cấp dựa nhu cầu làm việc hợp pháp để truy nhập vào thông tin cá nhân Nhà cung cấp cấp quyền truy nhập vào Thông tin Cá nhân Microsoft cho nhân viên bên phía nhà cung cấp cần có quyền truy cập cho mục đích kinh doanh 75 Nhà cung cấp phải bỏ kích hoạt mạng tất tài khoản hỗ trợ khác cho không làm việc cho chương trình Microsoft vòng 24 kể từ người dùng dừng làm việc cho chương trình vòng kể từ bị miễn nhiệm không tự nguyện Phiên Các hệ thống quy trình phải đề cập đến quyền truy nhập bên trong/bên ngoài, phương tiện, giấy tờ, tảng công nghệ phương tiện lưu Trang | 23 Supplier Security and Privacy Assurance (SSPA) HỦY THÔNG TIN CÁ NHÂN CỦA MICROSOFT Khi cần hủy Thông tin Cá nhân Microsoft, nhà cung cấp phải: 76 77 Đốt, nghiền nát xé vụn tài sản vật chất chứa Thông tin Cá nhân Microsoft để thông tin đọc tái tạo Nhà cung cấp phải chứng minh tài sản vật chất hủy bỏ cách hợp lý để thông tin đọc khôi phục Hủy bỏ xóa tài sản kỹ thuật số chứa Thông tin Cá nhân Microsoft để thông tin đọc tái tạo BẢO VỆ TÀI SẢN KỸ THUẬT SỐ Hệ thống quy trình phải sẵn có để bảo vệ thông tin cá nhận truyền qua Internet mạng công cộng khác Nhà cung cấp phải: 78 79 Áp dụng phương pháp triển khai mã hóa theo tiêu chuẩn ngành SSL, TLS IPsec cho Thông tin Microsoft chuyển giao để xác thực người gửi/người nhận Sử dụng Bitlocker tính thay tương đương ngành công nhận máy tính xách tay lưu trữ Thông tin Microsoft Phiên Một số hệ thống điều tiết (ví dụ: HIPPA, GLBA, PCI) có yêu cầu cụ thể việc truyền liệu Chứng SSL lưu giữ cách để chứng SSL hợp lệ cài đặt trước chứng cũ hết hạn Trang | 24 Supplier Security and Privacy Assurance (SSPA) 80 81 Sử dụng thuật toán đối xứng bất đối xứng mạnh mã hóa đáp ứng tiêu chuẩn ngành lưu trữ loại Thông tin Cá nhân Microsoft liệt kê bên Yêu cầu mở rộng đến thiết bị di động bao gồm không giới hạn ổ đĩa USB, điện thoại di động, thiết bị lưu đa phương tiện, v.v a mã định danh phủ cấp (chẳng hạn số an sinh xã hội số giấy phép lái xe); b số tài khoản (chẳng hạn số thẻ tín dụng số tài khoản ngân hàng); c hồ sơ y tế (chẳng hạn số hồ sơ y tế mã định danh sinh trắc học) Các hệ thống quy trình phải đưa nhằm mã hóa mã định danh phủ cấp, số tài khoản thông tin y tế lưu trữ Chỉ chấp nhận Thông tin Microsoft gửi qua đường mã hóa Nhà cung cấp phải từ chối giao thông tin cá nhân truyền qua phương thức không mã hóa 82 Điều tra vi phạm cố gắng có quyền truy nhập trái phép vào hệ thống chứa Thông tin Cá nhân Microsoft Các hệ thống quy trình đưa để điều tra vi phạm trường hợp cố tình truy nhập trái phép 83 Cung cấp kết điều tra cho quản lý cấp cao nhà cung cấp Microsoft Các hệ thống quy trình đưa để thông báo kết điều tra cho Microsoft 84 Tuân thủ tiêu chuẩn xử lý thẻ tín dụng áp dụng cho thẻ chấp nhận Phiên Trang | 25 Supplier Security and Privacy Assurance (SSPA) BẢO VỆ TÀI SẢN VẬT CHẤT Nhà cung cấp phải: 85 86 87 Lưu trữ Thông tin Cá nhân Nhạy cảm Microsoft môi trường kiểm soát quyền truy nhập Chuyển Thông tin Cá nhân Nhạy cảm Microsoft cách an toàn KHẮ C PHỤ C THẢ M HỌA Nhà cung cấp phải đảm bảo quy trình lập kế hoạch khắc phục thảm họa dự phòng bảo vệ Thông tin Cá nhân Nhạy cảm Microsoft không bị sử dụng, truy nhập, tiết lộ, thay đổi hủy bỏ trái phép KIỂM TRA VÀ KIỂM ĐỊNH Nhà cung cấp phải: 88 89 Thường xuyên kiểm tra tính hiệu biện pháp bảo vệ giúp bảo vệ Thông tin Cá nhân Microsoft Thực kiểm tra độc lập định kỳ biện pháp kiểm soát bảo mật Phiên Hệ thống quy trình sẵn có để quản lý việc truy nhập vật lý vào kỹ thuật số, cứng, lưu trữ, sao lưu thông tin cá nhân Các hệ thống quy trình phải áp dụng để bảo vệ hợp lý tài sản vật chất có chứa thông tin cá nhân vận chuyển Hệ thống quy trình phải sẵn có để bảo vệ Thông tin Cá nhân Nhạy cảm Microsoft không bị hủy bỏ, thay đổi, tiết lộ sử dụng hay truy nhập trái phép trường hợp xảy thảm họa Tần suất kiểm tra bắt buộc thay đổi tùy theo quy mô tính phức tạp hoạt động nhà cung cấp Tài liệu việc kiểm tra kết kiểm tra bắt buộc có sửa đổi hệ thống, sách quy trình kết kiểm tra phát thiết sót Khi điều khoản theo hợp đồng MS yêu cầu, trình kiểm định bảo mật phải thực theo điều khoản hợp đồng Trang | 26 Supplier Security and Privacy Assurance (SSPA) 90 Công bố kết kiểm tra với Microsoft theo yêu cầu 91 92 Ghi lại thử nghiệm kế hoạch dành cho tình bất ngờ khắc phục thảm họa hàng năm để đảm bảo khả triển khai chúng Nhà cung cấp phải ghi lại sách lưu, định tần suất lưu Các lưu phải lưu trữ an toàn Các lưu phải kiểm tra thường xuyên thông qua việc khôi phục thực để đảm bảo khả sử dụng chúng Thực kiểm tra định kỳ mối đe dọa lỗ hổng bảo mật bao gồm đánh giá xâm nhập bảo mật 93 Ẩn danh tất Thông tin Cá nhân Microsoft sử dụng môi trường phát triển thử nghiệm Phiên Thông tin Cá nhân Microsoft không sử dụng môi trường phát triển thử nghiệm; biện pháp thay thế, thông tin phải ẩn danh cách thích đáng để ngăn chặn việc nhận dạng cá nhân sử dụng sai thông tin cá nhân Trang | 27