Microsoft Procurement - Guida al programma Supplier Security and Privacy Assurance (SSPA)
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Microsoft Procurement Guida al programma Supplier Security and Privacy Assurance (SSPA) Versione 7 Novembre 2020
Introduzione
Microsoft ritiene che la privacy sia un diritto fondamentale. La nostra mission è quella di permettere a
tutte le persone e alle aziende del pianeta di fare di più e ci impegniamo ogni giorno a conquistare e
mantenere la fiducia dei nostri clienti.
La solidità delle prassi di privacy e sicurezza è fondamentale per la nostra mission, essenziale per
guadagnarci la fiducia del cliente e, in alcune giurisdizioni, anche un requisito di legge. Gli standard
descritti nelle procedure di privacy e sicurezza di Microsoft riflettono i nostri valori aziendali e si
estendono ai nostri fornitori (come la nostra azienda) che trattano i dati di Microsoft per conto nostro.
Supplier Security and Privacy Assurance ("SSPA") è il programma aziendale di Microsoft per fornire le
istruzioni di trattamento dei dati di base Microsoft ai nostri fornitori, sotto forma di Requisiti di
protezione dei dati Microsoft ("DPR"), disponibili nella sezione SSPA all'indirizzo
Microsoft.com/Procurement. Non tutti i fornitori potrebbero dover soddisfare i requisiti di livello
organizzativo aggiuntivi decisi e comunicati al di fuori di SSPA dal gruppo Microsoft responsabile
dell'impegno con il fornitore.
I termini SSPA chiave sono definiti nel DPR. Per ulteriori informazioni sul programma, leggi le nostre
Domande frequenti (FAQ) e contatta il nostro team globale scrivendo all'indirizzo
SSPAHelp@microsoft.com.
Panoramica del programma SSPA
Il programma SSPA è una partnership tra Microsoft Procurement, Corporate External e Legal Affairs e
Corporate Security che garantisce il rispetto dei principi di privacy e sicurezza da parte dei nostri
fornitori.
Il programma SSPA riguarda tutti i fornitori globali che trattano Dati personali e/o riservati Microsoft
nell'ambito delle sue prestazioni, ad esempio fornitura di servizi, licenze software, servizi cloud,
secondo i termini del contratto siglato con Microsoft, ad esempio termini degli Ordini di acquisto,
contratto master ("Eseguire" "Esecuzione" o "Prestazioni").
Il programma SSPA consente al fornitore azienda di effettuare selezioni di profili relativi al
trattamento dei dati in linea con i servizi o i beni da te offerti. Le selezioni comportano gli obblighi
corrispondenti per garantire la conformità ai termini di Microsoft.
Tutti i fornitori registrati dovranno completare un'autocertificazione annuale di conformità a
questi standard. Il profilo di trattamento dei dati determina se i requisiti DPR vengono
completamente rispettati o se vengono applicati determinati sottoinsiemi di disposizioni. I fornitori
che elaborano dati considerati a più elevato rischio da parte di Microsoft potrebbero dover soddisfare
requisiti aggiuntivi, come fornire una valutazione indipendente della conformità.
Pagina 2 Riservato Microsoft | v.7Importante: le attività di conformità determinano uno stato SSPA verde (conforme) o rosso (non conforme). Gli strumenti di acquisto Microsoft verificheranno se lo stato SSPA è "verde" (per ciascun fornitore nell'ambito del programma SSPA) prima di procedere con un'attività. Schema del processo SSPA: registrazione nuovo fornitore Schema del processo SSPA: rinnovo fornitore annuale Ambito del programma SSPA Per capire come determinare se tu (il fornitore) elabori dati personali e/o riservati di Microsoft, consulta l'elenco di esempi nella tabella di seguito. È opportuno precisare che si tratta di esempi e non di un elenco completo. Nota: potrebbe essere necessaria la registrazione all'esterno di questo elenco se un imprenditore Microsoft vuole verificare i dati raccolti, data la loro natura confidenziale. Pagina 3 Riservato Microsoft | v.7
Dati personali per Tipo di dati Gli esempi includono ma non si limitano a: Dati sensibili Dati relativi ai bambini Dati genetici, Dati biometrici o Dati sanitari Origine razziale o etnica Opinioni e affiliazioni politiche, religiose o filosofiche Appartenenza a sindacati Dati riguardanti la vita sessuale o l'orientamento sessuale di una persona fisica Stato di immigrazione (visto, permesso di lavoro, ecc.) Documenti di identificazione emessi dalle autorità (passaporto, patente di guida, visto, codice fiscale, numero di identificazione nazionale) Dati precisi sulla località dell'utente (nel raggio di 300 metri) Dati sui contenuti dei clienti Documenti, foto, video, musica, ecc. Recensioni e/o valutazioni inserite in un prodotto o servizio Risposte ai sondaggi Cronologia di esplorazione, interessi e preferiti Inchiostrazione, dattilografia e pronuncia vocale (voce/audio e/o chat/bot) Dati delle credenziali (password, suggerimenti password, nome utente, dati biometrici usati per l’identificazione) Dati dei clienti associati a un caso di supporto Pagina 4 Riservato Microsoft | v.7
Dati catturati e generati Dati sulla posizione geografica imprecisi Indirizzo IP Preferenze e personalizzazione del dispositivo Uso del servizio per monitoraggio dei clic su siti e pagine web Dati sui social media, rapporti social Dati attività dai dispositivi connessi, come monitor per l'attività fisica Contenuti come nome, indirizzo, numero di telefono, indirizzo e-mail, data di nascita, contatti di emergenza Valutazione dei rischi, verifica del background Assicurazione, pensione, dettagli dei benefit Curriculum del candidato, note sul colloquio/feedback Dati sull'account Dati sullo strumento di pagamento Numero di carta di credito e data di scadenza Informazioni sul codice bancario Numero di conto Richieste di credito o linea di credito Documenti e identificatori imposte Dati di investimento o spese Carte aziendali Dati con pseudonimo dell'utente finale (EUPI) (Identificatori creati da Microsoft per identificare gli utenti di prodotti e servizi Microsoft) Identificatore univoco globale (GUID) ID utente Passport o identificatore univoco (PUID) Dati identificabili dell'utente finale (EUII) con hashing ID sessione ID dispositivo Dati di diagnostica Dati di accesso Pagina 5 Riservato Microsoft | v.7
Dati riservati Microsoft per Classe di dati
Gli esempi includono ma non si limitano a:
Altamente riservati
Informazioni relative allo sviluppo, il test o la produzione di prodotti Microsoft o componenti di
prodotti Microsoft
Software, servizi online, servizi o hardware Microsoft commercializzati in qualsivoglia canale
sono considerati "Prodotti Microsoft".
Informazioni di marketing pre-rilascio del dispositivo Microsoft
Dati finanziari aziendali di Microsoft non annunciati soggetti alle regole SEC.
Riservati
Codici di licenza prodotto Microsoft a nome di Microsoft per la distribuzione tramite qualsiasi
metodo
Informazioni relative allo sviluppo o al test di applicazioni per linee di applicazioni (LOB) interne
Microsoft
Materiali di marketing precedenti il rilascio di software e servizi Microsoft come Office, SQL, Azure, ecc.
Scrittura, progettazione o documentazione elettronica o cartacea per i servizi o prodotti Microsoft,
come dispositivi (guida all’elaborazione o alle procedure, dati di configurazione, ecc.)
Importante: un imprenditore Microsoft potrebbe richiedere la partecipazione per dati non inclusi in
questo elenco.
Profilo di trattamento dei dati
I fornitori Microsoft dispongono del completo controllo del proprio profilo SSPA di trattamento dei
dati.
In questo modo i fornitori possono decidere il tipo di trattamento da poter eseguire. È necessario
prestare molta attenzione alle selezioni e considerare l'attività di conformità da completare per
ricevere l'approvazione. Consulta la sezione "Requisiti di valutazione" di seguito e l'appendice A.
I gruppi aziendali Microsoft potranno collaborare solo con i fornitori in cui il trattamento dei dati
corrisponde all'approvazione ricevuta dal fornitore.
I fornitori potranno aggiornare il proprio profilo di trattamento dei dati in qualsiasi momento dell'anno se
non sono presenti processi in esecuzione. Quando si apporta una modifica, verrà avviata l'attività
corrispondente, che dovrà essere completata prima di ricevere le approvazioni. Le approvazioni esistenti e
completate saranno applicate fino al completamento dei nuovi requisiti emessi.
Se le nuove attività effettuate non vengono completate entro il periodo consentito di 90 giorni, lo stato
SSPA diventerà ROSSO e l'account potrebbe essere disattivato dai sistemi Microsoft Accounts Payable.
Pagina 6 Riservato Microsoft | v.7Attenzione: se si decide di aggiornare un profilo prima del rinnovo annuale, ma non si effettua
nessuna modifica effettiva, il sistema continuerà a richiedere i requisiti corrispondenti che dovranno
essere completati nuovamente.
Approvazioni trattamento dei dati
Ambito trattamento dei dati
1 ▪ Riservati
▪ Personali, riservati
Luogo del trattamento dei dati
2 ▪ Presso Microsoft o il cliente
▪ Presso il fornitore
Ruolo trattamento dei dati
3 ▪ Titolare del trattamento (indipendente o in collaborazione)
▪ Responsabile (responsabile o subresponsabile)
Trattamento carte di pagamento
4 ▪ Sì
▪ Non applicabile
Software as a Service
5 ▪ Sì
▪ Non applicabile
Utilizzo di subappaltatori
6 ▪ Sì
▪ Non applicabile
Considerazioni relative all'approvazione
Ambito trattamento dei dati
Riservati
Seleziona questa approvazione se le Prestazioni del fornitore includeranno l'elaborazione solo di dati
riservati di Microsoft. Vedi le definizioni nel DPR.
Se selezioni questa opzione non potrai gestire incarichi di trattamento dei dati personali.
Personali, riservati
Seleziona questa approvazione se le Prestazioni del fornitore includeranno l'elaborazione di dati
personali e dati riservati di Microsoft. Vedi le definizioni nel DPR.
___________________
Pagina 7 Riservato Microsoft | v.7Luogo del trattamento
Presso Microsoft o il cliente
Seleziona questa approvazione se le Prestazioni del fornitore includeranno l'elaborazione di dati
all'interno dell'ambiente di rete Microsoft in cui il personale utilizza le credenziali di accesso
@microsoft.com o all'interno dell'ambiente di un cliente Microsoft.
Non selezionare questa opzione nelle seguenti circostanze:
• Il fornitore gestisce una struttura Microsoft offshore (OF).
• Il fornitore fornisce risorse a Microsoft e lavora saltuariamente con le reti Microsoft. In
caso di lavoro fuori rete, il luogo di trattamento dei dati è considerato presso il fornitore.
Presso il fornitore
Se la condizione "Presso Microsoft o il cliente" (come descritto in precedenza) non si applica,
seleziona questa opzione.
____________________
Ruolo trattamento dei dati
Titolare del trattamento (indipendente e in collaborazione)
Seleziona questa approvazione se tutti gli aspetti della Prestazione del fornitore soddisfano la
definizione del ruolo trattamento dei dati del titolare del trattamento (vedi DPR).
Se selezioni questa opzione non potrai gestire incarichi di trattamento dei dati personali con il ruolo
designato di "responsabile". Se un fornitore è sia responsabile che titolare del trattamento per
Microsoft, seleziona il ruolo "Responsabile".
Responsabile (responsabili e subresponsabili)
Questo è il ruolo di trattamento più comune quando i fornitori gestiscono i dati per conto di
Microsoft. Consulta le definizioni dei ruoli di responsabile e subresponsabile nel DPR.
____________________
Trattamento carte di pagamento
Seleziona questa approvazione se anche una sola parte dei dati trattati dal fornitore include dati per
supportare l'elaborazione di carte di credito o altre carte di pagamento per conto di Microsoft.
Questa opzione di approvazione consente al fornitore di gestire il trattamento delle carte di
pagamento.
____________________
Pagina 8 Riservato Microsoft | v.7Software as a Service (SaaS) Seleziona questa approvazione se le Prestazioni del fornitore includono la fornitura di un servizio a Microsoft tramite tecnologie basate su Internet che coprono l'accesso e l'uso di server, reti di archiviazione e data center. Il fornitore tratta dati al di fuori delle sedi o dell'ambiente di Microsoft. Esempi di servizi cloud includono Software as a Service (SaaS), Platform as a Service (PaaS) e Infrastructure as a Service (IaaS). Per "SaaS", Microsoft intende la fornitura, tramite un meccanismo basato su Internet, di funzioni software a partire da un codice comune, utilizzato in un modello di tipo one-to-many, su base pay- per-use o come abbonamento basato sull'utilizzo di metriche. Utilizzo di subappaltatori Seleziona questa approvazione se il fornitore usa dei subappaltatori per il servizio. Vedi le definizioni nel DPR. Requisiti di valutazione Requisiti basati sulle approvazioni dei profili Le approvazioni selezionate dal fornitore nel profilo di trattamento dati assistono SSPA nel valutare il livello di rischio degli impegni di Microsoft con il fornitore dalla prospettiva del trattamento dati. I requisiti di conformità SSPA per fornitori cambiano in base alle approvazioni nei profili dei fornitori. Questa sezione spiega i diversi requisiti SSPA. Inoltre esistono anche combinazioni che potrebbero aumentare o ridurre i requisiti di protezione. Nell'appendice A sono riportate tali combinazioni e vengono illustrate le attività che potrebbero essere svolte per il completamento del profilo sul Portale di conformità dei fornitori Microsoft. È sempre possibile verificare se il proprio caso rientra nel quadro tramite richiesta di revisione al team SSPA. Azione: trova il tuo profilo di approvazione nell'appendice A ed esamina i requisiti e le opzioni di valutazione indipendenti corrispondenti, se applicabili. Importante: se nel tuo profilo stai selezionando Software as a Service (SaaS), subappaltatori, hosting di siti Web o carte di pagamento, sono necessari ulteriori verifiche. Autocertificazione relativa al rispetto dei requisiti DPR Tutti i fornitori iscritti al programma SSPA devono presentare un'autocertificazione di conformità al DPR entro 90 giorni dalla ricezione della richiesta. Tale richiesta verrà fornita annualmente, ma potrebbe essere ricevuta con maggiore frequenza se il profilo di trattamento dei dati viene aggiornato durante l'anno. Lo stato dell'account del fornitore diventerà ROSSO (non conforme) in caso di superamento del periodo di 90 giorni. I nuovi ordini di acquisto non possono essere elaborati fino a che lo stato SSPA non diventa verde (conforme). Pagina 9 Riservato Microsoft | v.7
I nuovi fornitori devono soddisfare i requisiti, per selezioni di approvazione, per far sì che lo stato
SSPA sia verde (conforme) prima dell'inizio dell'attività.
Come indicato, il profilo di trattamento dei dati determina se i requisiti DPR vengono completamente
rispettati o se vengono applicati solo a determinati sottoinsiemi di disposizioni. Tali approvazioni
possono subire delle modifiche durante l'anno, ma per rendere effettiva ogni modifica, i requisiti
associati devono essere nuovamente soddisfatti.
Importante: il team SSPA non è autorizzato a fornire estensioni per questa attività.
I rappresentanti autorizzati che compileranno l'autocertificazione, devono garantire di disporre di
sufficienti informazioni dagli esperti di soggetti del trattamento per poter soddisfare ciascun requisito.
Inoltre, aggiungendo il proprio nome a un modulo SSPA, si certifica di aver letto e compreso il DPR. I
fornitori possono sempre aggiungere altri contatti allo strumento online per assistenza nel
completamento dei requisiti.
Il rappresentante autorizzato (vedi definizione) dovrà:
1. determinare i requisiti applicabili,
2. pubblicare una risposta a ciascun requisito applicabile,
3. firmare e inviare l'attestato nel Portale di conformità dei fornitori Microsoft.
Applicabilità
I fornitori devono rispondere a tutti i requisiti DPR applicabili emessi per il profilo di gestione dei dati.
È possibile che, tra i requisiti richiesti, alcuni requisiti potrebbero non essere applicabili a tutti i beni o i
servizi che il fornitore fornisce a Microsoft. Questi verranno contrassegnati come "non applicabili" e
accompagnati da un commento dettagliato per i revisori SSPA per la verifica.
Gli inviti DPR verranno esaminati dal team SSPA che verificherà le selezioni "non applicabile",
"conflitto con le leggi locali" o "conflitto contrattuale" rispetto ai relativi requisiti. I revisori verificano
l'attività associata a un account fornitore per verificare la selezione "non applicabile". Il team SSPA
può richiedere chiarimenti prima di accettare l'invio. I conflitti con le leggi locali o contrattuali
vengono accettati solo se vengono forniti riferimenti di supporto e il conflitto è chiaro.
Requisiti di valutazione indipendenti
Consulta la sezione Requisiti per approvazione nell'appendice A per vedere le approvazioni di
trattamento dei dati che attivano questo requisito.
I fornitori possono modificare le approvazioni aggiornando il proprio profilo di trattamento dei dati.
Per garantire l'ottenimento delle approvazioni che richiedono la verifica indipendente della conformità, i
fornitori dovranno selezionare un perito indipendente che confermi lo stato di conformità basata sul
DPR. Il perito è tenuto a preparare una lettera di certificazione per fornire le garanzie di conformità a
Microsoft. Tale lettera deve essere senza riserve e tutti i problemi legati alla non conformità devono
essere risolti prima dell'invio della lettera di conferma al Portale di conformità dei fornitori Microsoft per
la revisione del team SSPA. I periti possono contattarci all'indirizzo e-mail SSPAHelp@Microsoft.com per
ricevere un modello di lettera di consulenza approvato.
Pagina 10 Riservato Microsoft | v.7L'appendice A include alternative di certificazione accettabile se scegli di non avvalerti di un perito
indipendente per verificare la conformità al DPR (se applicabile, ad esempio fornitori SaaS, di host di
siti Web o con subappaltatori). Gli standard ISO 27701 (privacy) e ISO 27001 (sicurezza) offrono un
mapping simile ai Requisiti di protezione dei dati (DPR).
Importante: i report SOC 2 (con copertura di sicurezza) non saranno accettati dopo dicembre 2021.
SSPA può eseguire una valutazione indipendente manualmente se le circostanze richiedono
un'ulteriore verifica adeguata al di là delle attivazioni standard. Potrebbe trattarsi di una richiesta da
parte della divisione addetta alla privacy o alla sicurezza, della verifica della risoluzione dell'incidente
relativo ai dati o di requisiti per l'applicazione automatizzata dei diritti per i soggetti interessati.
Linee guida per la gestione di questo requisito:
1. L'incarico deve essere svolto da un valutatore dotato di sufficiente formazione tecnica e
conoscenza del soggetto per valutarne adeguatamente la conformità.
2. I valutatori devono essere affiliati alla International Federation of Accountants (IFAC) o all'American
Institute of Certified Public Accountants (AICPA) o possedere certificazioni di altre organizzazioni
pertinenti in materia di privacy e sicurezza, come ad esempio International Association of Privacy
Professionals (IAPP) o Information Systems Audit and Control Association (ISACA).
3. Il perito deve utilizzare il DPR più aggiornato, che comprende le prove richieste a supporto di
ciascun requisito. I fornitori dovranno fornire il proprio attestato DPR più recente al perito.
4. In caso di nuovo fornitore, il valutatore verificherà la progettazione dei controlli di trattamento.
In qualsiasi altro caso, il perito dovrà testare l'efficacia dei controlli.
5. L'ambito dell'attività di valutazione è limitato ai dati personali e/o ai dati riservati Microsoft
oggetto delle Prestazioni del fornitore.
6. L'ambito dell'attività è limitato al trattamento dei dati interessati in base al numero di account
del fornitore che ha ricevuto la richiesta. Se il fornitore sceglie di valutare più account fornitore
alla volta, la lettera di attestazione deve contenere l'elenco di account fornitore inclusi
nella valutazione e i relativi indirizzi.
7. La lettera inviata a SSPA non deve includere alcuna affermazione in cui si evince che il fornitore
non è in grado di rispettare i requisiti per la protezione dei dati indicati. Tali problemi devono
essere corretti prima dell'invio della lettera.
SSPA ha realizzato un elenco di periti suggeriti disponibili. Tali società conoscono le valutazioni SSPA.
I fornitori devono pagare la valutazione: i costi varieranno in base alla dimensione e alla portata del
trattamento dati in oggetto.
Requisito di certificazione PCI DSS
La dicitura PCI Data Security Standard (PCI DSS) definisce un framework per lo sviluppo di una
sicurezza dei dati delle carte di credito, comprensiva di misure di prevenzione, rilevamento e risposta
agli eventi imprevisti in materia di sicurezza. Il framework è sviluppato da PCI Security Standards
Council, un'organizzazione di settore autoregolamentata. Lo scopo dei requisiti PCI DSS consiste
nell’identificare la tecnologia e le vulnerabilità dei processi che presentano rischi di sicurezza dei dati
dei titolari delle carte di credito elaborati.
Pagina 11 Riservato Microsoft | v.7Microsoft deve conformarsi a questi standard. Se si gestiscono le informazioni sulla carta di credito
per conto di Microsoft, Microsoft richiede di ricevere della documentazione che dimostri l'aderenza a
questi standard. Per comprendere i requisiti impostati dall'organizzazione PCI, consulta il sito Web PCI
Security Standards Council.
A seconda del volume delle transazioni elaborate, il fornitore dovrà far certificare la propria
conformità da un ispettore di sicurezza qualificato oppure compilare un modulo di autocertificazione.
Gli istituti che emettono le carte di pagamento impostano delle soglie in base al tipo di valutazione:
• Livello 1: fornire un certificato DSS PCI emesso da un ispettore di terze parti.
• Livello 2 o 3: fornire un questionario di autocertificazione PCI DSS (Self-Assessment
Questionnaire, SAQ) firmato da un funzionario del fornitore.
Il programma SSPA accetta entrambi i tipi di valutazioni. Microsoft richiede di inviare la certificazione
che soddisfa i requisiti PCI.
Requisiti SaaS
I fornitori che forniscono Software as a Service a Microsoft devono consegnare una certificazione ISO
27001 valida che offra copertura funzionale del servizio software gestito.
Nota: SSPA non richiede le certificazioni di data center di terze parti come in passato, bensì la
certificazione ISO 27001 dei servizi software forniti a Microsoft e indicati nel contratto con Microsoft.
Utilizzo di subappaltatori
Microsoft considera l'utilizzo di subappaltatori un fattore ad alto rischio.
Nel caso di utilizzo di terze parti per trattare i dati pertinenti, il DPR richiede ai fornitori di informare
Microsoft. Ciò può essere fatto tramite SSPA.
Incidenti relativi ai dati
Nel caso in cui si verificasse un problema relativo alla privacy o alla sicurezza, i fornitori devono
informare Microsoft come indicato nel DPR. Vedi la definizione applicabile nell'appendice B.
Inviare un'e-mail all'indirizzo SSPAHelp@microsoft.com con il modello seguente: Segnala un incidente
relativo ai dati. Assicurati di includere:
• Data dell'incidente:
• Nome del fornitore:
• Numero del fornitore:
• Contatto/i Microsoft avvisato/i:
• PO associato, se applicabile/disponibile:
• Riepilogo dell'incidente di trattamento dati:
Pagina 12 Riservato Microsoft | v.7Appendice A
Requisiti basati sulle approvazioni dei profili
Requisiti di Opzioni di valutazione
# Profilo
valutazione indipendente
Ambito: Personali, riservati
Luogo del trattamento: Presso Microsoft o il
cliente
Ruolo del trattamento: Responsabile o
titolare del trattamento Autocertificazione
1 Classe di dati: Riservati o altamente riservati relativa al rispetto dei
requisiti DPR
Carte di pagamento: Non applicabile
SaaS: Non applicabile
Uso di subappaltatori: Non applicabile
Hosting di siti Web: Non applicabile
Ambito: Riservati
Luogo del trattamento: Presso il fornitore
Ruolo del trattamento: Responsabile del
trattamento
Autocertificazione
2 Classe di dati: Riservati relativa al rispetto dei
Carte di pagamento: Non applicabile requisiti DPR
SaaS: Non applicabile
Uso di subappaltatori: Non applicabile
Hosting di siti Web: Non applicabile
Pagina 13 Riservato Microsoft | v.7Requisiti di Opzioni di valutazione
# Profilo
valutazione indipendente
Ambito: Riservati Opzioni di
valutazione
Luogo del trattamento: Presso il fornitore
indipendente:
Ruolo del trattamento: Responsabile del
Autocertificazione 1. Completare una
trattamento
relativa al rispetto dei valutazione
Classe di dati: Altamente riservati indipendente
requisiti DPR
Carte di pagamento: Non applicabile basata sul DPR o
3 e la 2. Inviare ISO 27001
SaaS: Non applicabile
valutazione o
Uso di subappaltatori: Non applicabile indipendente di 3. Inviare SOC 2 con
Hosting di siti Web: Non applicabile conformità Security Trust
Criteria (questa
opzione non sarà
più disponibile da
dicembre 2021)
Ambito: Personali, riservati
Opzioni di
Luogo del trattamento: Presso il fornitore
Autocertificazione valutazione
Ruolo del trattamento: Responsabile del relativa al rispetto dei indipendente:
trattamento requisiti DPR 1. Completare una
4 Classe di dati: Altamente riservati e la valutazione
Carte di pagamento: Non applicabile indipendente
valutazione
basata sul DPR o
SaaS: Non applicabile indipendente di
2. Certificazione ISO
conformità
Uso di subappaltatori: Non applicabile 27701 e ISO
27001
Hosting di siti Web: Non applicabile
Ambito: Personali, riservati
Luogo del trattamento: Presso il fornitore
Ruolo del trattamento: Responsabile del
trattamento
Autocertificazione
5 Classe di dati: Riservati relativa al rispetto dei
Carte di pagamento: Non applicabile requisiti DPR
SaaS: Non applicabile
Uso di subappaltatori: Non applicabile
Hosting di siti Web: Non applicabile
Pagina 14 Riservato Microsoft | v.7Requisiti di Opzioni di valutazione
# Profilo
valutazione indipendente
Ambito: Personali, riservati
Luogo del trattamento: Presso il fornitore
Ruolo del trattamento: Titolare del
trattamento
Autocertificazione
6 Classe di dati: Altamente riservati o riservati relativa al rispetto dei
Carte di pagamento: Non applicabile requisiti DPR
SaaS: Non applicabile
Uso di subappaltatori: Non applicabile
Hosting di siti Web: Non applicabile
Impatto dato dall'aggiunta di SaaS, subappaltatori e hosting di siti Web
Ambito: Personali, riservati
Opzioni di
Luogo del trattamento: Presso il fornitore
Autocertificazione valutazione
Ruolo del trattamento: Responsabile del relativa al rispetto dei indipendente:
trattamento requisiti DPR 1. Completare una
7 Classe di dati: Altamente riservati o riservati e la valutazione
Carte di pagamento: Non applicabile indipendente
valutazione
basata sul DPR o
Subappaltatori: SÌ o indipendente di
2. Certificazione ISO
conformità
SaaS: SÌ o 27701 e ISO
27001
Hosting di siti Web: SÌ
Ambito: Personali, riservati
Luogo del trattamento: Presso il fornitore
Ruolo del trattamento: Titolare del
trattamento
Autocertificazione
8 Classe di dati: Altamente riservati o riservati relativa al rispetto dei
Carte di pagamento: Non applicabile requisiti DPR
Subappaltatori: SÌ o
SaaS: SÌ o
Hosting di siti Web: SÌ
Pagina 15 Riservato Microsoft | v.7Requisiti di Opzioni di valutazione
# Profilo
valutazione indipendente
Ulteriori verifiche per carte di pagamento e SaaS
Qualsiasi profilo riportato sopra e carte di I requisiti riportati
pagamento sopra applicabili e Inviare certificazione
9
certificazioni Payment PCI DSS
Card Industry
Qualsiasi profilo riportato sopra e Software as Assicurare la
a Service (SaaS) conformità ai requisiti
Inviare una
applicabili riportati
certificazione ISO
sopra e inviare la
10 2001 con copertura
certificazione ISO
27001 che copre i funzionale dei servizi
servizi funzionali come forniti.
richiesto dal contratto.
Pagina 16 Riservato Microsoft | v.7Puoi anche leggere
