Tải bản đầy đủ (.pdf) (27 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (745.49 KB, 27 trang )

Supplier Security and Privacy Assurance (SSPA)

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft
Tính ứng dụng
Các yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft (DPR) áp dụng cho tất cả các nhà cung cấp của Microsoft chịu trách nhiệm thu thập, sử dụng,
phân phối, truy cập hoặc lưu trữ Thông tin Cá nhân của Microsoft hoặc Thông tin Nhạy cảm của Microsoft. Việc này là một phần của việc thực hiện dịch vụ đang
được cung cấp theo các điều khoản của đơn mua hàng hoặc hợp đồng với Microsoft.
 Trong trường hợp có xung đột giữa các yêu cầu có ở đây và các yêu cầu được chỉ định trong thỏa thuận theo hợp đồng giữa nhà cung cấp và Microsoft,
các điều khoản của hợp đồng sẽ được ưu tiên.
 Trong trường hợp có xung đột giữa các yêu cầu có ở đây và bất kỳ yêu cầu theo luật hoặc pháp lý nào thì các yêu cầu theo luật hoặc pháp lý đó sẽ được
ưu tiên.
"Không có giới hạn về các nghĩa vụ khác, nhà cung cấp phải tuân thủ các yêu cầu bảo vệ dữ liệu của mọi điều khoản tiêu chuẩn theo hợp đồng, quy tắc ràng buộc
của công ty hoặc kế hoạch khác do bất kỳ cơ quan bảo vệ dữ liệu nào, Ủy ban Bảo vệ Dữ liệu Châu Âu hoặc Ủy ban Châu Âu phê duyệt và được Microsoft chấp
nhận hoặc đồng ý, bao gồm nhưng không giới hạn ở Khuôn khổ Bảo vệ Quyền riêng tư của Liên minh Châu Âu - Hoa Kỳ. Nhà cung cấp cũng phải đảm bảo rằng
bất kỳ và mọi bên xử lý phụ (như được định nghĩa trong Điều 1(d) của các Điều khoản Tiêu chuẩn theo Hợp đồng năm 2010 được xuất bản dưới dạng Phụ lục cho
Nghị quyết của Ủy ban Châu Âu C(2010)593) cũng tuân thủ.“
“Thông tin Nhạy cảm của Microsoft” là mọi thông tin, nếu bị vi phạm bằng cách bí mật hoặc chính trực, có thể gây ra thiệt hại về danh tiếng hoặc thiệt hại tài
chính nghiêm trọng cho Microsoft. Thông tin này bao gồm, nhưng không giới hạn ở: Sản phẩm phần cứng và phần mềm của Microsoft, ứng dụng dòng nghiệp vụ
nội bộ, tài liệu tiếp thị trước phát hành, khóa cấp phép sản phẩm và tài liệu kỹ thuật liên quan đến các sản phẩm và dịch vụ của Microsoft.
“Thông tin Cá nhân” nghĩa là mọi thông tin do Microsoft cung cấp hoặc do Nhà cung cấp thu thập cùng với Thỏa thuận này được quy định theo luật về quyền
riêng tư hoặc bảo vệ dữ liệu trong quyền lực pháp lý hiện hành, bao gồm:
(i) Thông tin liên quan đến, nhận dạng hoặc xác định người mà thông tin đó có liên quan; hoặc
(ii) Có thể lấy thông tin nhận dạng hoặc thông tin cá nhân của một người từ đó.

Cấu trúc của DPR
DPR căn cứ vào khuôn khổ do Viện Kế toán viên Công chứng Hoa Kỳ (AICPA) thiết kế để đo mức độ thực hiện quyền riêng tư. Nguyên tắc Quyền riêng tư được
Chấp nhận Chung (GAPP) được chia thành 10 phần bao gồm các tiêu chí đo lường liên quan đến việc bảo vệ và quản lý thông tin cá nhân. Khuôn khổ này được
nâng cao bằng các yêu cầu về bảo mật & quyền riêng tư bổ sung của Microsoft.

Phiên bản 3


Trang | 1


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP A: Quản lý
Trước khi nhà cung cấp có thể thu thập, sử dụng, phân phối, truy
nhập hoặc lưu trữ Thông tin Cá nhân hoặc Nhạy cảm của Microsoft,
nhà cung cấp phải:
1

Ký hợp đồng hợp lệ với Microsoft, tuyên bố nhiệm vụ hoặc đơn đặt
hàng mua chứa ngôn ngữ bảo vệ dữ liệu bảo mật và quyền riêng tư.

Nhà cung cấp phải xuất trình hợp đồng hợp lệ của
Microsoft, tuyên bố nhiệm vụ hoặc đơn đặt hàng mua.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>

<Contract Conflict>

2

Giao trách nhiệm và nghĩa vụ tuân thủ Yêu cầu Bảo vệ Dữ liệu dành
cho Nhà cung cấp của Microsoft cho một người hoặc nhóm được chỉ
định trong công ty.

Nhà cung cấp phải xác định người hoặc nhóm chịu trách
nhiệm đảm bảo nhà cung cấp tuân thủ Yêu cầu Bảo vệ Dữ
liệu.
Thẩm quyền và trách nhiệm giải trình của cá nhân hoặc
nhóm này phải được ghi rõ ràng thành văn bản.

3

Thiết lập, duy trì và thực hiện đào tạo về bảo mật cho nhân viên
hàng năm. Microsoft đã công bố các tài liệu tại:
/>nt/toolkit/en/us/privacymaterials.aspx

Nhà cung cấp đào tạo nhân viên lần đầu và định kỳ về các
nguyên tắc bảo mật và quyền riêng tư cơ bản (Thông báo,
Lựa chọn và Đồng thuận, Thu thập, Sử dụng & Sở hữu,
Truy nhập, Chuyển giao & Tiết lộ, Bảo mật, Chất lượng,
Giám sát & Thực thi).

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>

<Contract Conflict>

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Bằng chứng về việc thực hiện đào tạo đó có thể dưới
dạng tài liệu đào tạo, biên bản tham gia, thông tin liên lạc
(email, trang web, bản tin, v.v.) với nhân viên, v.v.

Phiên bản 3

Trang | 2


Supplier Security and Privacy Assurance (SSPA)
4

Truyền đạt định kỳ các thông tin có liên quan về Yêu cầu Bảo vệ Dữ
liệu dành cho Nhà cung cấp của Microsoft với nhân viên và nhà thầu
phụ thực hiện các dịch vụ cho Microsoft.

Phiên bản 3

Nhà cung cấp đào tạo về Yêu cầu Bảo vệ Dữ liệu dành cho
Nhà cung cấp của Microsoft cho nhân viên và các nhà
thầu phụ tham gia vào việc cung cấp dịch vụ cho
Microsoft. Bằng chứng về việc thực hiện đào tạo ban đầu

và định kỳ đó có thể dưới dạng tài liệu đào tạo, biên bản
tham gia, thông tin liên lạc (email, trang web, bản tin,
v.v.) với nhân viên và nhà thầu phụ, v.v.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 3


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP B: Thông báo
5

Nhà cung cấp phải gửi thông báo rõ ràng về quyền riêng tư cho các
cá nhân khi thu thập Thông tin Cá nhân của Microsoft từ họ để giúp
họ quyết định có gửi thông tin cá nhân của mình cho nhà cung cấp

hay không.

Thông báo về quyền riêng tư phải mô tả mục đính thu
thập thông tin cá nhân và các trường hợp thông tin này
sẽ hoặc có thể được tiết lộ.
Thông báo về quyền riêng tư phải sẵn có, ghi ngày tháng
rõ ràng và cung cấp trước hoặc tại thời điểm thu thập
thông tin.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Thông báo về quyền riêng tư phải được soạn thảo sao
cho cá nhân có thể hiểu được mục đích sử dụng dữ liệu.
6

7

Các nhà cung cấp lưu trữ trang web cho Microsoft phải hoàn tất Bản
đánh giá về Quyền riêng tư của Microsoft.
Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft của
bạn để lên lịch thực hiện việc này hoặc liên hệ theo địa chỉ
để được hỗ trợ.
Bản đánh giá sẽ tuân thủ các hướng dẫn trong Bộ công cụ Bảo mật
dành cho Nhà cung cấp.
/>
Cung cấp bằng chứng về việc ký tên đồng ý tuân thủ thỏa

thuận Quyền riêng tư của Microsoft.

Các nhà cung cấp thực hiện chiến dịch tiếp thị cho Microsoft phải
hoàn tất Bản đánh giá về Quyền riêng tư của Microsoft.
Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft của
bạn để lên lịch thực hiện việc này hoặc liên hệ theo địa chỉ
để được hỗ trợ.
Bản đánh giá sẽ tuân thủ các hướng dẫn trong Bộ công cụ Bảo mật
dành cho Nhà cung cấp.
/>
Cung cấp bằng chứng về việc ký tên đồng ý tuân thủ thỏa
thuận Quyền riêng tư của Microsoft.

Phiên bản 3

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 4



Supplier Security and Privacy Assurance (SSPA)
8

Khi thu thập Thông tin Cá nhân của Microsoft bằng cách gọi điện
thoại trực tiếp, nhà cung cấp phải sẵn sàng thảo luận về các quy định
thu thập, xử lý, sử dụng và lưu giữ dữ liệu được áp dụng với khách
hàng.

Phiên bản 3

Nhà cung cấp chứng minh rằng việc thu thập, xử lý, sử
dụng và lưu giữ dữ liệu được thảo luận với cá nhân khi
thông tin cá nhân được thu thập qua điện thoại.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 5


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft


Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP C: Lựa chọn và Đồng ý
9

10

Nhà cung cấp phải nhận được sự đồng ý và dẫn chứng bằng tài liệu
sự đồng ý của một cá nhân trước khi thu thập thông tin cá nhân của
người đó.

Nhà cung cấp giải thích quá trình để cá nhân đồng ý hoặc
từ chối cung cấp thông tin cá nhân và hậu quả của từng
hành động.

Nhà cung cấp đưa dẫn chứng bằng tài liệu về sự đồng ý trước hoặc
vào thời điểm thu thập thông tin cá nhân.

Nhà cung cấp đưa dẫn chứng bằng tài liệu về sự đồng ý
trước hoặc vào thời điểm thu thập thông tin cá nhân.

Nhà cung cấp dẫn chứng bằng văn bản và quản lý tùy chọn liên hệ và
thực hiện cũng như quản lý các thay đổi đối với những tùy chọn đó.

Nhà cung cấp xác nhận tùy chọn liên hệ bằng văn bản
hoặc phương thức điện tử.

<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Nhà cung cấp dẫn chứng bằng văn bản và quản lý tùy
chọn liên hệ và thực hiện cũng như quản lý các thay đổi
đối với những tùy chọn đó.
Nhà cung cấp thông báo cho các cá nhân về việc sử dụng
mới được đề xuất đối với thông tin cá nhân.
11

Ghi lại và quản lý các thay đổi đối với tùy chọn liên hệ của cá nhân
một cách kịp thời.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 6



Supplier Security and Privacy Assurance (SSPA)
12

Nhận được sự đồng ý và dẫn chứng bằng tài liệu sự đồng ý cho bất
kỳ lần sử dụng mới nào đối với thông tin cá nhân của cá nhân đó.

Nhà cung cấp đảm bảo rằng nếu không nhận được sự
đồng ý, thông tin sẽ không được sử dụng.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 7


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất


Response:

Phần GAPP D: Thu thập
13

14

15

16

<Compliant>
<Not Compliant>

Nhà cung cấp phải giám sát việc thu thập Thông tin Cá nhân của
Microsoft nhằm đảm bảo thu thập được thông tin cần thiết phục vụ
việc thực hiện (các) dịch vụ mà Microsoft mua.

Các hệ thống và quy trình tồn tại để xác định thông tin cá
nhân cần thiết.
Nhà cung cấp kiểm soát việc thu thập nhằm đảm bảo tính
hiệu quả của hệ thống và quy trình.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Nếu nhà cung cấp thay mặt cho Microsoft mua thông tin cá nhân từ
các bên thứ ba, nhà cung cấp phải xác nhận rằng các chính sách và
quy định bảo vệ dữ liệu của bên thứ ba phù hợp với hợp đồng của

nhà cung cấp với Microsoft và các yêu cầu DPR.

Nhà cung cấp thực hiện khảo sát tính khả thi liên quan
đến chính sách và quy định bảo vệ dữ liệu của bên thứ ba.

<Compliant>
<Not Compliant>

Trước khi thu thập Thông tin Cá nhân nhạy cảm của Microsoft thông
qua cài đặt hoặc sử dụng phần mềm thực thi trên máy tính của một
cá nhân, nhu cầu thu thập thông tin này phải được ghi trong thỏa
thuận của nhà cung cấp được thực hiện với Microsoft.

Nhà cung cấp nhận được sự đồng ý và dẫn chứng bằng tài
liệu sự đồng ý của Microsoft khi sử dụng phần mềm thực
thi trên máy tính của một cá nhân để thu thập thông tin
cá nhân.

Trước khi thu thập Thông tin Cá nhân nhạy cảm của Microsoft chẳng
hạn như chủng tộc, nguồn gốc dân tộc, quan điểm chính trị, thành
viên công đoàn, tình trạng sức khỏe hoặc đời sống tình dục, nhu cầu
thu thập thông tin này phải được ghi trong thỏa thuận được thực
thi giữa nhà cung cấp với Microsoft.

Nhà cung cấp nhận được sự đồng ý và dẫn chứng bằng tài
liệu sự đồng ý của Microsoft trước khi thu thập thông tin
cá nhân nhạy cảm.

Phiên bản 3


<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 8


Supplier Security and Privacy Assurance (SSPA)
#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP E: Duy trì
17


18

19

20

Đảm bảo rằng Thông tin Cá nhân và Nhạy cảm của Microsoft chỉ được
sử dụng để cung cấp các dịch vụ do Microsoft mua lại.

Hệ thống và quy trình luôn sẵn có để giám sát việc sử
dụng Thông tin Cá nhân và Nhạy cảm.
Nhà cung cấp kiểm soát các hệ thống và quy trình nhằm
đảo bảo tính hiệu quả của chúng.

Đảm bảo rằng Thông tin Cá nhân và Nhạy cảm của Microsoft được
lưu giữ không quá thời gian cần có để cung cấp dịch vụ trừ khi luật
yêu cầu tiếp tục duy trì Thông tin Cá nhân của Microsoft.

Nhà cung cấp tuân theo các chính sách lưu giữ hoặc yêu
cầu lưu giữ đã lập thành văn bản do Microsoft chỉ định
trong hợp đồng, báo cáo công việc hoặc đơn đặt hàng.

Ghi lại việc duy trì hoặc xóa bỏ Thông tin Cá nhân và Nhạy cảm của
Microsoft. Theo yêu cầu, nhà cung cấp phải cung cấp chứng nhận hủy
có chữ ký của nhân viên bên phía nhà cung cấp cho Microsoft.

Nhà cung cấp lưu giữ hồ sơ sử dụng Thông tin Cá nhân
và Nhạy cảm của Microsoft (ví dụ: trả lại cho Microsoft
hoặc hủy bỏ).


Đảm bảo rằng, theo quyết định riêng của Microsoft, Thông tin Cá
nhân và Nhạy cảm của Microsoft mà nhà cung cấp đang sở hữu hoặc
kiểm soát được trả lại cho Microsoft hoặc hủy bỏ khi hoàn thành các
dịch vụ hoặc theo yêu cầu của Microsoft.

Phiên bản 3

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 9



Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP F: Truy cập
Khi một cá nhân yêu cầu truy nhập vào Thông tin Cá nhân của
Microsoft, nhà cung cấp phải:
21

22

Hướng dẫn cho cá nhân các bước mà người đó cần phải thực hiện để
có được quyền truy nhập vào Thông tin Cá nhân của Microsoft.

Xác thực danh tính của cá nhân yêu cầu quyền truy nhập Thông tin Cá
nhân của Microsoft.

Nhà cung cấp thông báo các bước thực hiện để truy nhập
vào thông tin cá nhân cũng như các phương pháp sẵn có
để cập nhật thông tin.

Nhà cung cấp không sử dụng mã định danh do chính phủ

cấp để xác thực.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

23

Hạn chế sử dụng các thông tin nhận dạng do chính phủ ban hành (ví
dụ như số An sinh Xã hội) để xác thực, trừ khi không có lựa chọn hợp
lý nào khác.

Nhân viên của nhà cung cấp được đào tạo để xác thực
danh tính cá nhân yêu cầu quyền truy nhập vào thông tin
cá nhân của họ hoặc thay đổi thông tin cá nhân.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Sau khi xác thực cá nhân đó, nhà cung cấp phải:

24

Xác định xem cá nhân đó nắm giữ hay kiểm soát Thông tin Nhận dạng
Cá nhân của Microsoft.

Nhà cung cấp có các quy trình để xác định thông tin cá
nhân có được lưu giữ hay không.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 10


Supplier Security and Privacy Assurance (SSPA)
25

26

Thực hiện hành động hợp lý để định vị Thông tin Cá nhân của
Microsoft được yêu cầu và giữ đầy đủ hồ sơ để chứng minh rằng đã
tiến hành tra soát hợp lý.

Nhà cung cấp luôn phản hồi các yêu cầu kịp thời.


Ghi lại ngày và giờ yêu cầu quyền truy nhập và các hành động mà nhà
cung cấp đã thực hiện nhằm phản hồi lại các yêu cầu đó.

Nhà cung cấp lưu giữ các biên bản về yêu cầu truy nhập và
thay đổi tài liệu đối với thông tin cá nhân.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

27

Cung cấp hồ sơ về yêu cầu quyền truy nhập cho Microsoft theo yêu
cầu.

Việc từ chối truy nhập phải được ghi thành văn bản và vạch
ra lý do từ chối truy nhập.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>


Sau khi xác minh một cá nhân và sau khi nhà cung cấp xác nhận rằng
họ đã nhận được yêu cầu của Microsoft, nhà cung cấp phải:
28

29

Cung cấp Thông tin Cá nhân của Microsoft cho cá nhân bằng lời nói,
qua phương tiện điện tử hoặc ở định dạng in phù hợp.

Nếu yêu cầu quyền truy nhập của họ bị từ chối, cung cấp cho cá nhân
đó văn bản giải thích nhất quán với bất kỳ hướng dẫn có liên quan
nào mà Microsoft đã cung cấp trước đó.

Phiên bản 3

Nhà cung cấp cung cấp thông tin cá nhân cho cá nhân theo
định dạng dễ hiểu và dưới hình thức thuận tiện cho cá
nhân và nhà cung cấp.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>


Trang | 11


Supplier Security and Privacy Assurance (SSPA)
30

31

Nhà cung cấp phải có biện pháp đề phòng hợp lý nhằm đảm bảo rằng
Thông tin Cá nhân của Microsoft được phát hành cho một cá nhân
này không thể được sử dụng để định danh một cá nhân khác.

Nhà cung cấp phải chứng minh rằng các biện pháp phòng
ngừa hợp lý được áp dụng để cá nhân khác không bị nhận
dạng từ thông tin được tiết lộ (ví dụ: không thể sao chụp
toàn bộ trang dữ liệu khi thông tin cá nhân được yêu cầu
cho một cá nhân chỉ xuất hiện trên một dòng).

Nếu cá nhân và nhà cung cấp không thống nhất về việc Thông tin Cá
nhân của Microsoft có đầy đủ và chính xác hay không, nhà cung cấp
phải thông báo với Microsoft về vấn đề này và hợp tác với Microsoft
để cùng giải quyết vấn đề này nếu cần.

Nhà cung cấp dẫn chứng bằng tài liệu về các trường hợp
không đồng ý và thông báo vấn đề này với Microsoft.

Phiên bản 3

<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 12


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Responses:

Phần GAPP G: Tiết lộ cho Bên Thứ ba
Nếu nhà cung cấp định sử dụng một nhà thầu phụ để giúp thu thập,
sử dụng, phân phối, truy nhập hoặc lưu trữ Thông tin Cá nhân và
Nhạy cảm của Microsoft, nhà cung cấp phải:
32


33

34

35

Sử dụng nhà thầu phụ là những người tham gia có uy tín trong
Chương trình dành cho Nhà cung cấp của Microsoft hoặc nhận
được sự đồng ý rõ ràng bằng văn bản của Microsoft trước khi thầu
lại các dịch vụ.

Nhà cung cấp xác thực rằng các nhà thầu phụ là những
bên tham gia vào Chương trình dành cho Nhà cung cấp
được Ưu tiên của Microsoft (MSP).

Ghi lại bản chất và mức độ Thông tin Cá nhân và Nhạy cảm của
Microsoft được tiết lộ hoặc chuyển giao cho nhà thầu phụ.

Nhà cung cấp lưu giữ tài liệu liên quan đến Thông tin Cá
nhân và Nhạy cảm của Microsoft được tiết lộ hoặc
chuyển giao cho nhà thầu phụ.

Đảm bảo rằng nhà thầu phụ sử dụng Thông tin Cá nhân của
Microsoft theo tùy chọn liên hệ đã nêu của một cá nhân.

Nhà thầu phụ chỉ được sử dụng Thông tin Cá nhân của Microsoft
cho các mục đích cần thiết để hoàn thành hợp đồng của nhà cung
cấp với Microsoft.

Phiên bản 3


Nhà cung cấp nhận được sự cho phép bằng văn bản để
sử dụng các nhà cung cấp không tham gia MSP.

Hệ thống và quy trình luôn sẵn có để đảm bảo nhà thầu
phụ chỉ sử dụng Thông tin Cá nhân của Microsoft cho
mục đích đã được chỉ định và theo tùy chọn liên hệ của
cá nhân.

Nếu được phép, nhà cung cấp có thể chứng minh rằng
Microsoft đã được liên hệ trước khi cho phép nhà thầu
phụ tiết lộ Thông tin Cá nhân của Microsoft theo lệnh tòa
án.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 13


Supplier Security and Privacy Assurance (SSPA)
36

37

38

39

<Compliant>
<Not Compliant>

Thông báo ngay cho Microsoft về bất kỳ lệnh tòa án nào yêu cầu
nhà thầu phụ tiết lộ Thông tin Cá nhân của Microsoft và nếu được
pháp luật cho phép, hãy tạo cơ hội cho Microsoft can thiệp trước
khi gửi bất kỳ phản hồi nào đối với lệnh tòa án hoặc thông báo.

Xem lại các khiếu nại để biết các dấu hiệu về việc sử dụng hoặc tiết
lộ trái phép Thông tin Cá nhân của Microsoft.

<Does not Apply>
<Legal Conflict>

<Contract Conflict>

Hệ thống và quy trình luôn sẵn có để giải quyết các khiếu
nại về việc nhà thầu phụ sử dụng hoặc tiết lộ trái phép
Thông tin Cá nhân của Microsoft.

Thông báo ngay cho Microsoft khi biết rằng nhà thầu phụ đã sử
dụng hoặc tiết lộ Thông tin Cá nhân và Nhạy cảm của Microsoft vì
bất kỳ mục đích nào ngoài mục đích cung cấp các dịch vụ có liên
quan đến Microsoft cho Microsoft hoặc nhà cung cấp.

Nhà cung cấp có thể chứng minh rằng Microsoft đã được
thông báo khi nhà thầu phụ sử dụng Thông tin Cá nhân
của Microsoft cho các mục đích trái phép.

Hành động ngay để giảm thiểu bất kỳ thiệt hại thực sự hoặc tiềm ẩn
nào do nhà thầu phụ sử dụng hoặc tiết lộ trái phép Thông tin Cá
nhân và Nhạy cảm của Microsoft.

Nhà cung cấp có thể chứng minh rằng họ đã thực hiện
hành động thích hợp khi nhà thầu phụ sử dụng Thông tin
Cá nhân và Nhạy cảm của Microsoft vì các mục đích trái
phép hoặc tiết lộ Thông tin Cá nhân hoặc Nhạy cảm.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trước khi nhận bất kỳ thông tin cá nhân nào từ bên thứ ba, nhà
cung cấp phải:
40

Xác minh rằng các hoạt động thu thập dữ liệu của bên thứ ba là
nhất quán với DPR.

Quy trình luôn sẵn có để xác minh các hoạt động thu thập
dữ liệu của bên thứ ba.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 14



Supplier Security and Privacy Assurance (SSPA)
41

42

Xác nhận rằng chỉ thông tin cá nhân được thu thập từ các bên thứ
ba là thông tin cần có để thực hiện (các) dịch vụ do Microsoft mua
lại.

Quy trình luôn sẵn có để chỉ cho phép các bên thứ ba
chuyển giao Thông tin Cá nhân của Microsoft cần có để
thực hiện các dịch vụ theo hợp đồng.

Nhà cung cấp phải được sự cho phép trước bằng văn bản của
Microsoft trước khi cung cấp bất kỳ Thông tin Cá nhân của
Microsoft cho bên thứ ba.

Nhà cung cấp có thể cung cấp bản sao giấy phép.

Phiên bản 3

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>

<Legal Conflict>
<Contract Conflict>

Trang | 15


Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP H: Chất lượng
43

Nhà cung cấp phải đảm bảo tất cả các Thông tin Cá nhân của
Microsoft là chính xác, đầy đủ và có liên quan tới mục đích thu thập
hoặc sử dụng thông tin đã nêu.

Thông tin được xác thực khi thu thập, tạo và cập nhật.
Các hệ thống và quy trình được áp dụng để xác minh tính
chính xác trên cơ sở hiện hành và sửa chữa khi cần thiết.

<Compliant>
<Not Compliant>

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phải thu thập số lượng thông tin cá nhân tối thiểu cần có
để hoàn thành mục đích được đề ra.

Phiên bản 3

Trang | 16


Supplier Security and Privacy Assurance (SSPA)
#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP I: Giám sát và Thực thi
Nhà cung cấp phải:
44

Tiến hành đánh giá tuân thủ hàng năm để xác nhận sự tuân thủ của
nhà cung cấp với Yêu cầu Bảo vệ Dữ liệu.

Nhà cung cấp phải chứng minh rằng các cuộc kiểm tra

về tính tuân thủ hàng năm đã được tiến hành.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

45

46

47

Trong vòng 72 giờ, thông báo cho Microsoft khi biết về mọi vi phạm
bảo mật đã biết hoặc lỗ hổng bảo mật liên quan đến việc xử lý Thông
tin Cá nhân của Microsoft của nhà cung cấp.

Nhà cung cấp phải chứng minh rằng Microsoft đã được
thông báo về mọi vi phạm quyền riêng tư bị nghi ngờ
hay được biết hoặc lỗ hổng bảo mật.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>

Không đưa ra thông cáo báo chí hoặc bất kỳ thông báo công khai nào
khác liên quan đến vụ việc có thực nào liên quan đến Thông tin Cá

nhân hoặc Nhạy cảm của Microsoft mà chưa được sự phê duyệt của
Microsoft trừ khi luật hoặc yêu cầu điều chỉnh có quy định.

Giảm thiểu ngay bất kỳ lỗ hổng bảo mật hoặc vi phạm khả nghi hoặc
biết rõ nào.

<Compliant>
<Not Compliant>

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Các lỗ hổng và vi phạm được giải quyết kịp thời.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 17


Supplier Security and Privacy Assurance (SSPA)
48

Thực hiện kế hoạch khắc phục và giám sát giải pháp đối với các vi

phạm và lỗ hổng bảo mật có liên quan đến Thông tin Cá nhân của
Microsoft để đảm bảo thực hiện hành động khắc phục phù hợp một
cách kịp thời.

Các kế hoạch khắc phục có sẵn khi cần.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Nhà cung cấp phải:
49

Thiết lập quy trình khiếu nại chính thức để phản hồi mọi khiếu nại về
bảo vệ dữ liệu liên quan đến Thông tin Cá nhân của Microsoft.

Nhà cung cấp phải có quy trình được ghi thành văn bản
để xử lý các khiếu nại và thông báo cho Microsoft.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

50

Thông báo cho Microsoft về bất kỳ khiếu nại nào có liên quan đến

Thông tin Cá nhân của Microsoft.

Các biên bản về khiếu nại thể hiện phản hồi kịp thời.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

51

Ghi chép và phản hồi mọi khiếu nại về bảo vệ dữ liệu có liên quan đến
Thông tin Cá nhân của Microsoft một cách kịp thời trừ khi được
Microsoft hướng dẫn cụ thể.
Theo yêu cầu, hãy cung cấp cho Microsoft tài liệu về các khiếu nại đã
được giải quyết và chưa được giải quyết.

Phiên bản 3

Tài liệu về các khiếu nại đã/đang xử lý.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 18



Supplier Security and Privacy Assurance (SSPA)

#

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của
Microsoft

Tiêu chí Đánh giá Được đề xuất

Response:

Phần GAPP J: Bảo mật
CHƯƠNG TRÌNH BẢO MẬT THÔNG TIN
Nhà cung cấp phải thiết lập, thực hiện và duy trì chương trình bảo
mật thông tin bao gồm các chính sách và quy trình bảo vệ Thông tin
Cá nhân và Thông tin Nhạy cảm của Microsoft. Chương trình bảo
mật của nhà cung cấp phải giải quyết các vấn đề sau có liên quan
đến bảo vệ Thông tin Cá nhân & Nhạy cảm của Microsoft:
52

53

54

Thực hiện đánh giá rủi ro hàng năm hoặc thường xuyên hơn.

Quét tìm lỗ hổng mạng nội bộ hoặc mạng bên ngoài ít nhất một
lần/quý và sau mọi thay đổi mạng quan trọng (chẳng hạn như cài
đặt thành phần hệ thống mới, thay đổi tôpô mạng, sửa đổi quy tắc

tưởng lửa, nâng cấp sản phẩm).

Ngăn chặn truy nhập bất hợp pháp bằng cách sử dụng các biện
pháp kiểm soát truy nhập vật lý và logic hiệu quả, bao gồm giới hạn
truy nhập vật lý vào hệ thống thông tin điện tử đồng thời đảm bảo
cho phép truy nhập được ủy quyền.

Phiên bản 3

Chương trình bảo mật được thực hiện của nhà cung cấp
phải bao gồm (52) – (69), như được liệt kê bên trái.
Các biện pháp bảo vệ có thể nhiều hơn những trường hợp
được liệt kê khi cần thiết nhằm đáp ứng hệ thống điều tiết
(ví dụ: HIPPA, GLBA) hoặc các yêu cầu theo hợp đồng.
Các đánh giá rủi ro của nhà cung cấp phải bao gồm các mối
đe dọa mới nảy sinh, các tác động đến doanh nghiệp có thể
có và xác suất xảy ra. Nhà cung cấp phải sửa đổi các quy
trình, thủ tục và nguyên tắc liên quan đến bảo mật một
cách tương xứng.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>

<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 19


Supplier Security and Privacy Assurance (SSPA)
55

56

Quy trình thêm người dùng mới, sửa đổi mức truy nhập của người
dùng hiện có và xóa người dùng không cần quyền truy nhập nữa
(thực thi các nguyên tắc đặc quyền tối thiểu).

Chỉ định trách nhiệm và trách nhiệm giải trình về bảo mật.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>

<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

57

Chỉ định trách nhiệm và trách nhiệm giải trình về thay đổi và bảo trì
hệ thống.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

58

Thực hiện nâng cấp phần mềm hệ thống và bản vá trong khoảng
thời gian phù hợp căn cứ vào nguy cơ.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

59


Cài đặt phần mềm chống vi-rút và phần mềm chống phần mềm độc
hại cho tất cả các thiết bị nối mạng bao gồm nhưng không giới hạn
ở máy chủ, máy tính sản xuất và máy tính đào tạo để bảo vệ máy
tính khỏi vi-rút và các ứng dụng phần mềm độc hại có thể gây hại.
Định nghĩa chống vi-rút và chống phần mềm độc hại phải được cập
nhật hàng ngày hoặc thường xuyên hơn theo hướng dẫn của
Microsoft hoặc nhà cung cấp dịch vụ chống vi-rút/chống phần mềm
độc hại.

Phiên bản 3

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 20


Supplier Security and Privacy Assurance (SSPA)
60

Kiểm tra, đánh giá và phê chuẩn các thành phần hệ thống trước khi
thực hiện.

<Compliant>
<Not Compliant>
<Does not Apply>

<Legal Conflict>
<Contract Conflict>

61

62

Nhà cung cấp phát triển phần mềm như một phần trong công việc
kinh doanh của họ phải tuân thủ Security Development Lifecycle
(SDL) của Microsoft. Xem thêm thông tin tại
/>
Giải quyết khiếu nại và yêu cầu liên quan đến các vấn đề về bảo
mật.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

63

Xử lý lỗi và thiếu sót, vi phạm bảo mật và các sự cố khác.

<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

64

65

Quy trình phát hiện các cuộc tấn công thực tế và tấn công có chủ
định hoặc hành động xâm nhập vào hệ thống và chủ động kiểm tra
các quy trình bảo mật (chẳng hạn như kiểm tra thâm nhập).

Phân bổ đào tạo và các tài nguyên khác để hỗ trợ các chính sách
bảo mật của Microsoft.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Phiên bản 3

Trang | 21



Supplier Security and Privacy Assurance (SSPA)
66

<Compliant>
<Not Compliant>

Dự phòng xử lý các trường hợp ngoại lệ và các tình huống không
được quy định cụ thể trong hệ thống.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

67

<Compliant>
<Not Compliant>

Kế hoạch khắc phục thảm họa và kiểm tra liên quan.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

68

<Compliant>
<Not Compliant>


Dự phòng nhận biết, phù hợp với, các cam kết đã xác định, thỏa
thuận cấp độ dịch vụ và các hợp đồng khác.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

69

70

<Compliant>
<Not Compliant>

Yêu cầu người dùng, quản lý và các bên thứ ba xác nhận (lúc đầu và
hàng năm) rằng họ hiểu và đồng ý tuân thủ các chính sách bảo mật
áp dụng và các quy trình có liên quan đến bảo mật thông tin cá
nhân.

XÁ C THỰ C
Nhà cung cấp phải xác thực danh tính của cá nhân trước khi trao
quyền truy nhập vào thông tin Cá nhân hoặc thông tin Nhạy cảm
của Microsoft cho cá nhân đó.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Quá trình xác thực do nhà cung cấp sử dụng phải bắt buộc

sử dụng mật khẩu và ID duy nhất để truy nhập trực tuyến
vào thông tin cá nhân của một cá nhân.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Để xác thực trực tuyến, nhà cung cấp phải:

Phiên bản 3

Trang | 22


Supplier Security and Privacy Assurance (SSPA)
71

<Compliant>
<Not Compliant>

Sử dụng Tài khoản Microsoft, nếu có thể.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

72


<Compliant>
<Not Compliant>

Yêu cầu cá nhân sử dụng một ID và mật khẩu duy nhất (hoặc tương
đương).

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Để xác thực bằng điện thoại, nhà cung cấp phải:
73

74

Yêu cầu người dùng xác thực thông tin liên hệ của họ và nếu có thể,
cung cấp ít nhất một phần thông tin duy nhất này (ví dụ: mã UPC,
tên cuộc thi).

Quá trình xác thực qua điện thoại phải bao gồm việc xác
nhận của cá nhân về thông tin liên hệ cùng với thông tin
duy nhất mà chỉ cá nhân đó biết.

QUYỀN TRUY NHẬP VÀO THÔNG TIN CÁ NHÂN CỦA MICROSOFT CỦA
NHÂN VIÊN CỦA NHÀ CUNG CẤP

Các hệ thống và quy trình phải được đưa ra để thiết lập
quyền truy nhập cho nhân viên bên phía nhà cung cấp dựa
trên nhu cầu làm việc hợp pháp để truy nhập vào thông tin
cá nhân.


Nhà cung cấp chỉ được cấp quyền truy nhập vào Thông tin Cá nhân
của Microsoft cho nhân viên bên phía nhà cung cấp cần có quyền
truy cập này cho mục đích kinh doanh.
75

Nhà cung cấp phải bỏ kích hoạt mạng và tất cả các tài khoản hỗ trợ
khác cho bất kỳ ai không làm việc cho các chương trình của
Microsoft nữa trong vòng 24 giờ kể từ khi người dùng dừng làm
việc cho chương trình và trong vòng 2 giờ kể từ khi bị miễn nhiệm
không tự nguyện.

Phiên bản 3

Các hệ thống và quy trình này phải đề cập đến quyền truy
nhập bên trong/bên ngoài, phương tiện, giấy tờ, nền tảng
công nghệ và phương tiện sao lưu.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 23


Supplier Security and Privacy Assurance (SSPA)
HỦY THÔNG TIN CÁ NHÂN CỦA MICROSOFT
Khi cần hủy Thông tin Cá nhân của Microsoft, nhà cung cấp phải:
76

77

Đốt, nghiền nát hoặc xé vụn các tài sản vật chất chứa Thông tin Cá
nhân của Microsoft để thông tin không thể đọc hoặc tái tạo được.

Nhà cung cấp phải chứng minh rằng các tài sản vật chất đã
được hủy bỏ một cách hợp lý để thông tin không thể đọc
hoặc khôi phục được.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>

Hủy bỏ hoặc xóa các tài sản kỹ thuật số chứa Thông tin Cá nhân của

Microsoft để thông tin không thể đọc hoặc tái tạo được.

<Does not Apply>
<Legal Conflict>
<Contract Conflict>

BẢO VỆ TÀI SẢN KỸ THUẬT SỐ
Hệ thống và quy trình phải luôn sẵn có để bảo vệ thông tin cá nhận
được truyền qua Internet hoặc các mạng công cộng khác.
Nhà cung cấp phải:
78

79

Áp dụng các phương pháp triển khai mã hóa theo tiêu chuẩn ngành
SSL, TLS hoặc IPsec cho Thông tin của Microsoft được chuyển giao
hoặc để xác thực người gửi/người nhận.

Sử dụng Bitlocker hoặc tính năng thay thế tương đương được
ngành công nhận trên bất kỳ máy tính xách tay nào lưu trữ Thông
tin của Microsoft.

Phiên bản 3

Một số hệ thống điều tiết (ví dụ: HIPPA, GLBA, PCI) có các
yêu cầu cụ thể đối với việc truyền dữ liệu.
Chứng chỉ SSL được lưu giữ đúng cách để chứng chỉ SSL
hợp lệ mới được cài đặt trước khi chứng chỉ cũ hết hạn.

<Compliant>

<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>
<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

Trang | 24


Supplier Security and Privacy Assurance (SSPA)
80

81

Sử dụng thuật toán đối xứng và bất đối xứng mạnh về mã hóa đáp
ứng được các tiêu chuẩn hiện tại của ngành khi lưu trữ các loại
Thông tin Cá nhân của Microsoft được liệt kê bên dưới. Yêu cầu này
mở rộng đến các thiết bị di động bao gồm nhưng không giới hạn ở
ổ đĩa USB, điện thoại di động, thiết bị sao lưu hoặc đa phương tiện,
v.v.
a. mã định danh do chính phủ cấp (chẳng hạn như số an
sinh xã hội hoặc số giấy phép lái xe);
b. số tài khoản (chẳng hạn như số thẻ tín dụng và số tài
khoản ngân hàng);
c. hồ sơ y tế (chẳng hạn như số hồ sơ y tế hoặc mã định
danh sinh trắc học).


Các hệ thống và quy trình phải được đưa ra nhằm mã hóa
mã định danh do chính phủ cấp, số tài khoản và thông tin y
tế trong bộ lưu trữ.

Chỉ chấp nhận Thông tin của Microsoft được gửi qua con đường mã
hóa.

Nhà cung cấp phải từ chối giao thông tin cá nhân bất kỳ
được truyền qua phương thức không được mã hóa.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

82

Điều tra các vi phạm và cố gắng có được quyền truy nhập trái phép
vào các hệ thống chứa Thông tin Cá nhân của Microsoft.

Các hệ thống và quy trình được đưa ra để điều tra các vi
phạm hoặc trường hợp cố tình truy nhập trái phép.


<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

83

Cung cấp ngay các kết quả điều tra cho quản lý cấp cao của nhà
cung cấp và Microsoft.

Các hệ thống và quy trình được đưa ra để thông báo kết
quả điều tra cho Microsoft.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>
<Contract Conflict>

84

Tuân thủ các tiêu chuẩn xử lý thẻ tín dụng áp dụng cho các thẻ
được chấp nhận.

<Compliant>
<Not Compliant>
<Does not Apply>
<Legal Conflict>

<Contract Conflict>

Phiên bản 3

Trang | 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×