Persyaratan Perlindungan Data Pemasok Microsoft

Transkripsi

1 Persyaratan Perlindungan Data Pemasok Microsoft Penerapan Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku. Tanpa membatasi kewajibannya yang lain, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, yang mengikat aturan perusahaan, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh Microsoft., termasuk, tetapi tidak terbatas pada, UE-A.S. Kerangka kerja Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi." "Informasi Sensitif Microsoft" adalah segala jenis informasi yang, jika membahayakan kerahasiaan atau sarana integritas, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft. Informasi Pribadi berarti setiap informasi yang diberikan Microsoft atau dikumpulkan Pemasok terkait dengan Perjanjian ini yang tercakup dalam undangundang tentang perlindungan data atau privasi di yurisdiksi yang berlaku: (i) Informasi yang terkait dengan, mengidentifikasi, atau menempatkan seseorang yang dengannya informasi tersebut terkait; atau (ii) Yang darinya identifikasi atau informasi kontak seseorang berasal. Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (GAPP) terbagi menjadi 10 bagian yang menyertakan kriteria terukur yang terkait dengan perlindungan dan manajemen informasi personal. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft. Versi 3 Halaman 1

2 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP A: Manajemen Sebelum pemasok mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal atau Sensitif Microsoft, pemasok harus: 1 Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian sahih Microsoft yang berisi bahasa perlindungan privasi dan keamanan data. 2 Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan. 3 Menetapkan, mempertahankan, dan melakukan pelatihan privasi karyawan tahunan. Microsoft menyediakan materi di: nt/toolkit/en/us/privacymaterials.aspx Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sahih. Pemasok harus mengidentifikasi orang atau kelompok yang ditunjuk dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data. Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas. Pemasok mengedukasi karyawan pada awalnya dan secara berkala tentang prinsip privasi dan keamanan dasar (Pemberitahuan, Pilihan dan Persetujuan, Pengumpulan, Penggunaan & Penyimpanan, Akses, Transfer & Pengungkapan Terusan, Keamanan, Kualitas, Pengawasan & Penegakan). Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi ( , situs web, buletin, dll.) kepada karyawan, dll. Versi 3 Halaman 2

3 4 Mengomunikasikan informasi yang relevan secara berkala tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada personel dan subkontraktor yang melakukan layanan untuk Microsoft. Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi ( , situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll. Versi 3 Halaman 3

4 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP B: Pemberitahuan 5 Pemasok harus membuat pemberitahuan privasi yang kentara, yang tersedia untuk individu saat mengumpulkan Informasi Personal Microsoft dari mereka guna membantu memutuskan apakah harus mengirimkan informasi personal mereka kepada pemasok. Pemberitahuan privasi harus mendeskripsikan tujuan informasi personal dikumpulkan dan keadaan yang membuat informasi ini akan atau dapat diungkapkan. Pemberitahuan privasi harus tersedia, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data. Pemberitahuan privasi harus dibuat secara tertulis sehingga individu tersebut dapat memahami tujuan penggunaan data. 6 Situs web host pemasok untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi SSPAHelp@microsoft.com untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok. Berikan bukti telah ditandatanganinya Privasi Microsoft. Versi 3 Halaman 4

5 7 Pemasok yang melakukan kampanye pemasaran untuk Microsoft harus menyelesaikan Peninjauan Privasi Microsoft. Hubungi pemilik keterlibatan Bisnis Microsoft Anda untuk menjadwalkan hal ini, atau hubungi untuk bantuan. Peninjauan ini akan sesuai dengan petunjuk dalam Toolkit Privasi Pemasok. 8 Saat mengumpulkan Informasi Personal Microsoft melalui panggilan suara langsung, pemasuk harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan pelanggan. Berikan bukti telah ditandatanganinya Privasi Microsoft. Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan individu saat informasi personal dikumpulkan melalui telepon Versi 3 Halaman 5

6 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP C: Pilihan dan Persetujuan 9 Pemasok harus memperoleh dan mendokumentasikan persetujuan individu sebelum mengumpulkan informasi personal individu tersebut. Pemasok menjelaskan proses kepada individu untuk menyetujui atau menolak memberikan informasi personal dan konsekuensi dari kedua tindakan tersebut. 10 Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. 11 Mendokumentasikan dan mengelola perubahan atas preferensi kontak individu dengan tepat waktu. 12 Memperoleh dan mendokumentasikan persetujuan individu untuk setiap penggunaan baru dari informasi personal individu tersebut. Pemasok mendokumentasikan persetujuan sebelum atau pada waktu pengumpulan informasi personal. Pemasok mengonfirmasi preferensi kontak secara tertulis atau secara elektronik. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. Pemasok memberi tahu individu tentang penggunaan baru informasi personal yang diajukan. Pemasok memastikan bahwa jika persetujuan tidak diberikan, informasi tidak dapat digunakan. Versi 3 Halaman 6

7 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP D: Pengumpulan 13 Pemasok harus mengawasi pengumpulan Informasi Personal Microsoft untuk memastikan bahwa satu-satunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft. Terdapat sistem dan prosedur untuk menentukan informasi personal yang penting. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan proses. 14 Jika pemasok mengadakan informasi personal dari pihak ketiga atas nama Microsoft, maka pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft dan persyaratan DPR. 15 Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif melalui pemasangan atau penggunaan perangkat lunak yang dapat dijalankan di komputer individu, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft. 16 Sebelum mengumpulkan Informasi Personal Microsoft yang sensitif seperti ras, asal etnis, pandangan politik, keanggotaan serikat dagang, kesehatan fisik atau mental, atau kehidupan seksual, keharusan untuk mengumpulkan informasi ini harus didokumentasikan pada perjanjian pemasok yang dilaksanakan dengan Microsoft. Pemasok melakukan uji tuntas mengenai kebijakan dan praktik perlindungan data pihak ketiga. Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer individu untuk mengumpulkan informasi personal. Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum mengumpulkan informasi personal sensitif. Versi 3 Halaman 7

8 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP E: Penyimpanan 17 Memastikan bahwa Informasi Personal dan Sensitif Microsoft hanya digunakan untuk memberikan layanan yang diadakan oleh Microsoft. 18 Memastikan bahwa Informasi Personal dan Sensitif Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Personal Microsoft diperlukan oleh hukum. 19 Mendokumentasikan penyimpanan atau pembuangan Informasi Personal dan Sensitif Microsoft. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok. 20 Memastikan bahwa, atas kebijakan Microsoft, Informasi Personal atau Sensitif Microsoft yang dimiliki oleh pemasok atau berada di bawah kendalinya dikembalikan kepada Microsoft atau dihancurkan setelah layanan diterima atau atas permintaan Microsoft. Sistem dan prosedur disesuaikan untuk mengawasi penggunaan Informasi Personal dan Sensitif. Pemasok mengawasi sistem dan proses untuk memastikan keefektifannya. Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian. Pemasok menyimpan data pelepasan Informasi Personal dan Sensitif Microsoft (misalnya dikembalikan ke Microsoft atau dihancurkan). Versi 3 Halaman 8

9 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP F: Akses Jika individu meminta akses ke Informasi Personal Microsoft mereka, pemasok harus: 21 Mengomunikasikan langkah-langkah yang harus diambil oleh individu tersebut untuk mendapatkan akses ke Informasi Personal Microsoft mereka. 22 Mengesahkan identitas individu yang meminta akses ke Informasi Personal Microsoft mereka. 23 Menahan diri dari menggunakan pengidentifikasi yang dikeluarkan oleh pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan, kecuali tidak ada pilihan lain yang tersedia. Setelah individu disahkan, pemasok harus: 24 Menentukan apakah dia memegang atau mengendalikan Informasi Personal Microsoft tentang individu tersebut. Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses informasi personal, serta metode yang tersedia untuk memperbarui informasi. Pemasok tidak menggunakan pengindentifikasi yang dikeluarkan oleh pemerintah untuk pengesahan. Karyawan pemasok dilatih untuk mengesahkan identitas individu yang meminta akses ke informasi personal mereka atau membuat perubahan ke informasi personal. Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah informasi personal disimpan. Versi 3 Halaman 9

10 25 Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal Microsoft yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan. Pemasok menjawab permintaan dengan tepat waktu. 26 Mencatat tanggal dan waktu permintaan untuk akses dan tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut. Pemasok mempertahankan data permintaan akses dan mendokumentasikan perubahan yang dibuat ke informasi personal. 27 Memberikan catatan permintaan akses kepada Microsoft atas permintaan. Penolakan akses harus didokumentasikan secara tertulis dan harus menjelaskan mengapa akses ditolak. Setelah individu disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Personal Microsoft yang diminta, pemasok harus: 28 Memberikan Informasi Personal Microsoft kepada individu dalam format tercetak, elektronik, atau lisan yang tepat 29 Jika permintaan akses mereka ditolak, berikan penjelasan kepada individu secara tertulis yang konsisten dengan instruksi relevan yang sebelumnya diberikan oleh Microsoft. Pemasok memberikan informasi personal kepada individu dalam format yang dapat dimengerti dan dalam bentuk yang mudah digunakan oleh individu dan pemasok. Versi 3 Halaman 10

11 30 Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Personal Microsoft yang dirilis kepada individu tidak dapat digunakan untuk mengidentifikasi orang lain. Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat mengindentifikasi dari informasi yang dikeluarkan (mis., tidak dapat memfotokopi seluruh halaman data saat meminta informasi personal untuk individu hanya tampak pada satu jalur). 31 Jika seorang individu dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Personal Microsoft, pemasok harus menyampaikan masalah tersebut ke Microsoft dan bekerja sama dengan Microsoft sebagaimana diperlukan untuk menyelesaikan masalah. Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft. Versi 3 Halaman 11

12 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Responses: Bagian GAPP G: Pengungkapan kepada Pihak Ketiga Jika pemasok berniat untuk menggunakan subkontraktor untuk membantu mengumpulkan, menggunakan, mendistribusikan, mengakses, atau menyimpan Informasi Personal dan Sensitif Microsoft, pemasok harus: 32 Menggunakan subkontraktor yang merupakan partisipan dengan reputasi baik di Program Pemasok Microsoft atau memperoleh persetujuan tertulis dari Microsoft sebelum layanan diberikan oleh subkontraktor. 33 Mendokumentasikan sifat dan cakupan Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor. 34 Pastikan subkontraktor menggunakan Informasi Personal Microsoft sesuai dengan preferensi kontak individu. 35 Membatasi penggunaan Informasi Personal Microsoft oleh subkontraktor untuk tujuan tersebut yang penting demi memenuhi kontrak pemasok dengan Microsoft. Pemasok memvalidasi bahwa subkontraktor merupakan partisipan dalam Microsoft Preferred Supplier Program (MSP). Pemasok memperoleh izin tertulis untuk penggunaan pemasok non-msp. Pemasok mempertahankan dokumentasi mengenai Informasi Personal dan Sensitif Microsoft yang diungkapkan atau ditransfer kepada subkontraktor. Sistem dan proses disesuaikan untuk memastikan subkontraktor menggunakan Informasi Personal Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak individu. Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan. Versi 3 Halaman 12

13 36 Segera memberi tahu Microsoft atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. 37 Meninjau keluhan untuk indikasi dari penggunaan yang tidak sah atau pengungkapan Informasi Personal Microsoft. 38 Segera memberi tahu Microsoft setelah mengetahui bahwa subkontraktor telah menggunakan atau mengungkapkan Informasi Personal dan Sensitif Microsoft untuk tujuan selain dari memberikan layanan terkait dengan Microsoft kepada Microsoft atau pemasoknya. 39 Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh penggunaan yang tidak sah dari subkontraktor atau pengungkapan Informasi Personal dan Sensitif Microsoft. Sebelum menerima informasi personal apa pun dari pihak ketiga, pemasok harus: 40 Memverifikasi bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR. Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor. Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah. Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan saat subkontraktor telah menggunakan Informasi Personal dan Sensitif Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Personal atau Sensitif. Proses disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga. Versi 3 Halaman 13

14 41 Mengonfirmasi bahwa hanya informasi personal yang dikumpulkan dari pihak ketiga diperlukan untuk melakukan layanan yang diadakan oleh Microsoft. 42 Pemasok harus memiliki izin tertulis terlebih dahulu dari Microsoft sebelum memberikan Informasi Personal Microsoft kepada pihak ketiga. Proses disesuaikan untuk membatasi transfer Informasi Personal Microsoft dari pihak ketiga hanya untuk yang diperlukan untuk melakukan layanan yang dikontrak. Pemasok dapat memberikan salinan izin tertulis. Versi 3 Halaman 14

15 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP H: Kualitas 43 Pemasok harus memastikan bahwa semua Informasi Personal Microsoft akurat, lengkap, dan relevan untuk tujuan pengumpulan dan penggunaan yang disebutkan. Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses disesuaikan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan. Jumlah minimum informasi personal yang diperlukan untuk memenuhi tujuan yang disebutkan harus dikumpulkan. Versi 3 Halaman 15

16 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP I: Pemantauan dan Penegakan Pemasok harus: 44 Melakukan peninjauan kepatuhan tahunan untuk memastikan kepatuhannya dengan Persyaratan Perlindungan Data. 45 Dalam 72 jam, beri tahu Microsoft setelah mengetahui adanya pelanggaran terhadap privasi atau kerentanan keamanan yang diketahui terkait dengan penanganan Informasi Personal atau Sensitif Microsoft oleh pemasok. 46 Jangan keluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan insiden aktual, yang melibatkan Informasi Personal atau Sensitif Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali disebutkan oleh hukum atau persyaratan peraturan. 47 Segera mengurangi kerentanan dan pelanggaran yang diduga atau diketahui. 48 Menerapkan rencana pemulihan dan mengawasi resolusi dari pelanggaran dan kerentanan terkait dengan Informasi Personal Microsoft untuk memastikan bahwa tindakan korektif yang tepat diambil dengan tepat waktu. Pemasok harus membuktikan bahwa tinjauan kepatuhan tahunan telah dilakukan. Pemasok harus membuktikan bahwa Microsoft telah diberi tahu tentang pelanggaran privasi atau kerentanan keamanan yang diduga atau diketahui. Kerentanan dan pelanggaran diatasi secara tepat waktu. Rencana pemulihan tersedia jika diterapkan. Versi 3 Halaman 16

17 Pemasok harus: 49 Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft. 50 Memberi tahu Microsoft tentang tiap keluhan terkait dengan Informasi Personal Microsoft. 51 Mencatat dan menjawab semua keluhan perlindungan data terkait dengan Informasi Personal Microsoft secara tepat waktu kecuali ada instruksi spesifik yang diberikan oleh Microsoft. Sesuai permintaan, memberikan dokumentasi tentang keluhan yang sudah diatasi dan belum diatasi kepada Microsoft. Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft. Data keluhan yang membuktikan jawaban tepat waktu. Dokumentasi keluhan terbuka/tertutup. Versi 3 Halaman 17

18 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Response: Bagian GAPP J: Keamanan PROGRAM KEAMANAN INFORMASI Pemasok harus menetapkan, mengimplementasikan, dan mempertahankan program keamanan informasi yang menyertakan kebijakan dan prosedur untuk melindungi Informasi Personal dan Sensitif Microsoft. Program keamanan pemasok harus mengatasi masalah berikut yang terkait dengan perlindungan Informasi Personal & Sensitif Microsoft Program keamanan yang diterapkan pemasok harus mencakup (52) (69), sebagaimana dicantumkan, kiri. Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPPA, GLBA) atau persyaratan kontraktual. 52 Melakukan penilaian risiko tahunan dan lebih sering. Penilaian risiko pemasok harus menyertakan ancaman yang muncul, dampak bisnis yang mungkin terjadi, dan kemungkinan terjadinya. Pemasok harus memodifikasi keamanan proses, prosedur, dan panduan terkait dengan sesuai. 53 Melakukan pemindaian kerentanan jaringan internal dan eksternal setidaknya setiap kuartal dan setelah perubahan yang signifikan di jaringan (mis., pemasangan komponen sistem baru, perubahan pada topologi jaringan, modifikasi aturan firewall, pemutakhiran produk). 54 Pencegahan akses yang tidak sah melalui penggunaan kendali akses fisik dan logis yang efektif, termasuk membatasi akses fisik ke sistem informasi elektronik selagi memastikan bahwa akses yang tidak sah diizinkan. Versi 3 Halaman 18

19 55 Prosedur untuk menambahkan pengguna baru, memodifikasi level akses pengguna yang ada, dan menghapus pengguna yang sudah tidak memerlukan akses lagi (memberlakukan prinsip yang paling istimewa). 56 Penetapan tanggung jawab dan akuntabilitas demi keamanan. 57 Penetapan tanggung jawab dan akuntabilitas untuk perubahan dan pemeliharaan sistem. 58 Penerapan pemutakhiran dan patch perangkat lunak sistem dalam kerangka waktu yang wajar berdasarkan risiko. 59 Pemasangan perangkat lunak perlindungan anti-virus dan antimalware untuk semua peralatan yang terhubung ke jaringan, tetapi tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya. Definisi anti-virus dan anti-malware harus diperbarui setiap hari atau lebih sering kecuali diarahkan sebaliknya oleh Microsoft atau pemasok anti-virus/anti-malware. Versi 3 Halaman 19

20 60 Pengujian, pengevaluasian, dan pengesahan komponen sistem sebelum diterapkan. 61 Pemasok yang mengembangkan perangkat lunak sebagai bagian dari bisnis mereka harus mematuhi Security Development Lifecycle (SDL) Microsoft. Informasi lebih lanjut tersedia di 62 Resolusi dari keluhan dan permintaan terkait dengan masalah keamanan. 63 Mengatasi kesalahan dan penghapusan, pelanggaran keamanan, dan insiden lain. 64 Prosedur untuk mendeteksi serangan yang sebenarnya dan percobaan serangan ke sistem dan untuk menguji prosedur keamanan secara proaktif (misalnya, pengujian penetrasi). 65 Alokasi pelatihan dan sumber daya lain untuk mendukung kebijakan keamanan. Versi 3 Halaman 20

21 66 Ketetapan untuk mengatasi pengecualian dan situasi yang tidak ditangani secara spesifik dalam sistem. 67 Rencana pemulihan bencana dan pengujian terkait. 68 Ketetapan untuk identifikasi dari, dan konsistensi dengan, komitmen yang ditetapkan, perjanjian tingkat layanan, dan kontrak lain. 69 Persyaratan bahwa pengguna, manajemen, dan pihak ketiga mengonfirmasi (lebih awal dan setiap tahun) pemahaman mereka dan perjanjian untuk memenuhi kebijakan privasi dan prosedur yang berlaku terkait dengan keamanan informasi personal. 70 PENGESAHAN Pemasok harus mengesahkan identitas individu sebelum memberikan akses ke informasi Personal atau Sensitif Microsoft kepada individu tersebut. Proses pengesahan yang digunakan oleh pemasok memerlukan penggunaan ID dan kata sandi yang unik untuk akses secara daring ke informasi personal individu. Untuk pengesahan secara daring, pemasok harus: Versi 3 Halaman 21

22 71 Menggunakan Akun Microsoft, jika mungkin. 72 Meminta individu tersebut untuk menggunakan ID dan kata sandi yang unik (atau yang setara). Untuk pengesahan telepon, pemasok harus: 73 Meminta pengguna untuk memvalidasi informasi kontak mereka dan, jika mungkin, memberikan minimal satu informasi unik (mis., kode UPC, nama kontes). 74 AKSES KE INFORMASI PERSONAL MICROSOFT OLEH PERSONEL PEMASOK Pemasok harus membatasi akses ke Informasi Personal Microsoft kepada personel pemasok dengan kebutuhan bisnis untuk akses tersebut. 75 Pemasok harus menonaktifkan jaringan dan semua akun dukungan lainnya untuk siapa pun yang sudah tidak lagi mengerjakan program Microsoft dalam 24 jam dari saat pengguna meninggalkan program dan dalam 2 jam untuk pemberhentian non-sukarela. Proses pengesahan telepon harus menyertakan validasi oleh individu dari informasi kontak ditambah potongan informasi unik yang mungkin hanya diketahui oleh individu tersebut. Sistem dan prosedur harus disesuaikan untuk menetapkan akses untuk karyawan pemasok berdasarkan kebutuhan bisnis yang sah demi akses ke informasi personal. Sistem dan prosedur ini harus menangani akses internal/eksternal, media, kertas, platform teknologi, dan media pencadangan. Versi 3 Halaman 22

23 PENGHANCURAN INFORMASI PERSONAL MICROSOFT Jika penghancuran Informasi Personal Microsoft diperlukan, pemasok harus: 76 Membakar, menghancurleburkan, atau mencabik aset fisik yang berisi Informasi Personal Microsoft agar informasi tersebut tidak dapat dibaca atau direkonstruksi. 77 Menghancurkan atau menghapus aset berisi Informasi Personal Microsoft agar informasi tidak dapat dibaca atau direkonstruksi. Pemasok harus membuktikan bahwa aset fisik telah cukup hancur sehingga data tersebut tidak dapat dibaca atau direkonstruksi. PERLINDUNGAN ASET DIGITAL Sistem dan prosedur harus disesuaikan untuk melindungi informasi personal yang ditransmit melalui Internet atau jaringan publik lain. Pemasok harus: 78 Mempekerjakan penerapan enkripsi standar industri dari SSL, TLS, atau IPsec untuk Informasi Microsoft dalam transit dan untuk pengesahan pengirim/penerima. 79 Mempekerjakan Bitlocker atau industri setara yang diakui sebagai alternatif pada laptop tempat Informasi Microsoft disimpan. Beberapa skema peraturan (mis., HIPPA, GLBA, PCI) memiliki persyaratan spesifik untuk transmisi data. Sertifikat SSL dipelihara dengan baik sehingga sertifikat SSL baru yang sahih dapat dipasang sebelum yang lama kedaluwarsa. Versi 3 Halaman 23

24 80 Menggunakan algoritma simetris dan asimetris yang secara kriptografis kuat yang memenuhi standar industri saat ini saat menyimpan jenis Informasi Personal Microsoft tercantum di bawah. Persyaratan ini meluas ke perangkat portabel termasuk tetapi tidak terbatas pada drive USB, telepon genggam, perangkat atau media pencadangan, dll. a. nomor identifikasi pemerintah (mis. nomor jaminan sosial atau surat izin mengemudi); b. nomor rekening (mis. nomor kartu kredit dan rekening bank); c. profil medis (mis. nomor rekam medis atau pengidentifikasi biometrik). 81 Hanya menerima Informasi Microsoft yang dikirimkan melalui transit terenkripsi. 82 Investigasi pelanggaran dan usaha untuk mendapatkan akses tidak sah ke sistem yang berisi Informasi Personal atau Sensitif Microsoft. 83 Segera mengomunikasikan hasil investigasi kepada manajemen pemasok senior dan Microsoft. 84 Memenuhi standar penanganan kartu kredit yang berlaku untuk kartu yang diterima. Sistem dan prosedur harus disesuaikan untuk mengenkripsi nomor identifikasi pemerintah, nomor rekening, dan informasi medis dalam penyimpanan. Pemasok harus menolak pengiriman informasi personal apa pun yang ditransmit melalui sarana yang tidak dienkripsi. Sistem dan proses disesuaikan untuk menyelidiki pelanggaran atau usaha pengaksesan yang tidak sah. Sistem dan proses disesuaikan untuk mengomunikasikan hasil investigasi kepada Microsoft. Versi 3 Halaman 24

25 PERLINDUNGAN ASET FISIK Pemasok harus: 85 Simpan Informasi Personal dan Sensitif Microsoft dalam lingkungan yang dikendalikan oleh akses. Sistem dan proses disesuaikan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan dari informasi personal. 86 Bawa Informasi Personal dan Sensitif Microsoft dengan aman. Sistem dan proses harus disesuaikan untuk melindungi aset fisik yang berisi informasi personal selama dibawa dengan cukup. 87 PEMULIHAN BENCANA Pemasok harus memastikan bahwa proses perencanaan pencadangan dan pemulihan bencana melindungi Informasi Personal dan Sensitif Microsoft dari penggunaan, akses, pengungkapan, pengubahan dan penghancuran yang tidak sah. Sistem dan proses harus disesuaikan untuk melindungi Informasi Personal dan Sensitif Microsoft dari penghancuran, pengubahan, pengungkapan, atau penggunaan atau akses yang tidak sah jika terjadi bencana. PENGUJIAN DAN AUDIT Pemasok harus: 88 Menguji secara reguler keefektifan pengaman utama yang melindungi Informasi Personal Microsoft. 89 Melakukan audit independen pengendalian keamanan secara berkala. Frekuensi pengujian yang diperlukan bervariasi bergantung pada ukuran dan kerumitan operasi pemasok. Dokumentasi pengujian dan hasil uji diperlukan begitu pula dengan modifikasi sistem, kebijakan, dan prosedur saat hasil pengujian mengidentifikasi kelemahan. Jika diperlukan per ketentuan kontraktual MS, audit keamanan harus dilakukan sesuai dengan ketentuan kontrak. Versi 3 Halaman 25

26 90 Membuat hasil audit ini tersedia untuk Microsoft berdasarkan permintaan. 91 Mendokumentasikan dan menguji rencana pemulihan bencana dan darurat minimal setiap tahun untuk memastikan kelangsungannya. 92 Melakukan pengujian ancaman dan kerentanan secara berkala, termasuk peninjauan penetrasi keamanan. 93 Membuat anonim semua Informasi Personal Microsoft yang digunakan dalam lingkungan pengembangan atau pengujian. Pemasok harus memiliki dokumentasi kebijakan pencadangan, yang menentukan frekuensi pencadangan. Cadangan harus disimpan dengan aman. Cadangan harus diuji secara berkala melalui restorasi aktual untuk memastikan kegunaan mereka. Informasi Personal Microsoft tidak boleh digunakan dalam lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dengan cukup dibuat anonim untuk mencegah pengidentifikasian individu atau penyalahgunaan informasi personal. Versi 3 Halaman 26