Syarat Perlindungan Data Pembekal Microsoft

Transkripsi

1 Syarat Perlindungan Data Pembekal Microsoft Keterterapan Syarat Perlindungan Data Pembekal Microsoft (DPR) terpakai kepada semua pembekal Microsoft yang Memproses Maklumat Peribadi Microsoft atau Maklumat Sulit Microsoft sebagai sebahagian daripada pelaksanaan perkhidmatan yang diberikan mengikut syarat pesanan pembelian atau kontrak mereka dengan Microsoft. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan syarat yang dinyatakan dalam perjanjian berkontrak antara pembekal dan Microsoft, syarat-syarat kontrak tersebut akan diberikan keutamaan. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan mana-mana syarat undangundang atau berkanun, syarat-syarat perundangan dan berkanun sedemikian akan diberikan keutamaan. Tanpa mengehadkan kewajipannya yang lain, dan Microsoft telah memberikan kelulusan bertulis terlebih dahulu bagi pemindahan antarabangsa Maklumat Peribadi Microsoft, pembekal haruslah mematuhi syarat perlindungan data bagi mana-mana terma kontrak standard, peraturan korporat yang mengikat, atau skim lain yang diluluskan oleh mana-mana pihak berkuasa perlindungan data, Lembaga Perlindungan Data Eropah, atau Suruhanjaya Eropah dan telah diterima pakai atau dipersetujui oleh Microsoft, termasuk, tetapi tidak terhad kepada, EU-U.S. Dan Switzerland-U.S. Rangka kerja Perisai Privasi dan Peraturan Perlindungan Data Umum EU. Pembekal bersetuju untuk memaklumkan Microsoft sekiranya Pembekal menentukan bahawa ia tidak lagi dapat memenuhi kewajipannya untuk memberikan tahap perlindungan yang sama seperti yang dikehendaki oleh prinsip Perisai Privasi. Pembekal hendaklah juga memastikan bahawa mana-mana dan semua subpemproses (seperti yang ditakrifkan dalam Klausa 1(d) daripada Klausa Kontrak Standard 2010 yang diterbitkan sebagai Lampiran kepada Keputusan Suruhanjaya Eropah C(2010)593) juga dipatuhi. Maklumat Sulit Microsoft ialah apa-apa maklumat yang, jika dikompromikan melalui cara kerahsiaan atau integriti, boleh mengakibatkan kehilangan reputasi atau kewangan yang besar kepada Microsoft. Maklumat ini merangkumi, tetapi tidak terhad kepada: Produk perkakasan dan perisian Microsoft, aplikasi jenis perniagaan dalaman, bahan pemasaran prakeluaran, kunci lesen produk dan dokumentasi teknikal yang berkaitan dengan produk dan perkhidmatan Microsoft. Maklumat Peribadi Microsoft bermaksud apa-apa Maklumat Peribadi yang Diproses oleh atau bagi pihak Microsoft Maklumat Peribadi bermaksud apa-apa maklumat yang berhubungan dengan orang sebenar yang telah dikenal pasti atau boleh dikenal pasti (" Subjek Data "); orang sebenar yang boleh dikenal pasti ialah seseorang yang boleh dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau merujuk kepada satu atau lebih faktor yang khusus kepada fizikal, fisiologi, genetik, mental, ekonomi, kebudayaan atau identiti sosial orang sebenar itu. Pelanggaran Maklumat Peribadi bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan secara tidak sengaja atau menyalahi undang-undang, kehilangan, pengubahan, pendedahan atau capaian tanpa kebenaran kepada Maklumat Peribadi yang dihantar, disimpan atau Diproses. Proses bermaksud apa-apa operasi atau set operasi yang dilakukan pada Maklumat Peribadi atau pada set Maklumat Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, rakaman, penyusunan, penstrukturan, penyimpanan, penyesuaian atau pengubahan, pengambilan semula, perundingan, penggunaan, pendedahan dengan penghantaran, penyebaran atau menyediakan, penjajaran atau gabungan, sekatan, penghapusan atau pemusnahan. Versi 4 Julai 2017 Halaman 1

2 Struktur DPR DPR dibuat berdasarkan rangka kerja yang direka oleh Institut Akauntan Awam Bertauliah Amerika (AICPA) untuk mengukur amalan privasi. Prinsip Privasi Diterima Umum (GAPP) dibahagikan kepada 10 bahagian yang merangkumi kriteria boleh diukur yang berkaitan dengan perlindungan dan pengurusan Maklumat Peribadi. Rangka kerja ini telah dipertingkatkan dengan syarat-syarat keselamatan & privasi Microsoft tambahan. # Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Bahagian A: Pengurusan Sebelum pembekal boleh Memproses Maklumat Peribadi atau Sulit Microsoft, pembekal mestilah: 1 Telah menandatangani kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi bahasa privasi dan perlindungan data keselamatan yang menetapkan perkara-perkara dan tempoh Pemprosesan, jenis dan tujuan Pemprosesan, jenis Maklumat Peribadi Microsoft dan kategori Subjek Data serta kewajipan dan hak Microsoft. 2 Menugaskan tanggungjawab dan kebertanggungjawaban terhadap pematuhan Syarat Perlindungan Data Pembekal Microsoft kepada seseorang atau kumpulan yang khusus di dalam syarikat. 3 Memastikan semua orang yang diberi kuasa untuk Memproses Maklumat Peribadi Microsoft telah mengikat diri mereka kepada kerahsiaan atau berada di bawah kewajipan berkanun yang sesuai terhadap kerahsiaan. 4 Mewujudkan, menyelenggara dan melaksanakan latihan privasi tahunan bagi pekerja yang akan mencapai Maklumat Peribadi Microsoft. Sekiranya syarikat anda tidak mempunyai kandungan yang tersedia, hubungi SSPAHelp@microsoft.com untuk meminta rangka papan cerita yang anda boleh sesuaikan untuk syarikat anda. Pembekal mesti mengemukakan kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi penerangan yang diperlukan mengenai aktiviti Pemprosesan. Pembekal mesti mengenal pasti individu atau kumpulan yang ditugaskan untuk memastikan pematuhan pembekal terhadap Syarat Perlindungan Data. Kuasa dan kebertanggungjawaban orang atau kumpulan ini harus didokumenkan dengan jelas. Kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah dengan kewajipan kerahsiaan. Bukti berbentuk standard perjanjian tidak boleh dedah pembekal, pekerjaan, perundingan dan subkontrak. Pembekal akan mendidik pekerja pada awalnya dan secara berkala tentang prinsip privasi dan keselamatan asas. Bukti latihan tersebut telah dijalankan boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (e-mel, laman web, surat berita, dll. Versi 4 Julai 2017 Halaman 2

3 Bahagian A: Pengurusan (samb.) 5 Sampaikan maklumat yang berkaitan tentang Syarat Perlindungan Data Pembekal Microsoft secara tahunan kepada kakitangan dan subkontraktor yang melaksanakan perkhidmatan untuk Microsoft. 6 Memproses Maklumat Peribadi Microsoft hanya mengikut arahan yang didokumenkan Microsoft termasuk untuk memindahkan Maklumat Peribadi kepada negara ketiga atau organisasi antarabangsa, melainkan jika dikehendaki oleh undang-undang yang berkenaan; dalam hal sedemikian, pemproses hendaklah memaklumkan kepada pengawal tentang keperluan undang-undang tersebut sebelum memproses, kecuali jika undang-undang itu melarang maklumat sedemikian atas alasan penting kepentingan awam. 7 Maklumkan Microsoft dengan segera jika, pada pendapatnya, suatu arahan telah melanggar undangundang yang berkenaan. Pembekal mendidik kakitangan dan subkontraktor yang terlibat dalam penyediaan perkhidmatan kepada Microsoft tentang Syarat Perlindungan Data Pembekal Microsoft. Bukti latihan seperti itu dijalankan pada awal dan secara berkala boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (emel, laman web, surat berita, dsb.) dengan pekerja dan subkontraktor, dsb. Bukti arahan yang didokumenkan, cth. seperti yang dinyatakan dalam kontrak, pernyataan kerja atau pesanan pembelian, atau ditangkap sebagai sebahagian daripada sistem elektronik yang digunakan dalam penyediaan perkhidmatan. Kewajipan kontrak pada pembekal untuk memaklumkan Microsoft jika, pada pendapat pembekal, suatu arahan telah melanggar undang-undang yang berkenaan. Bahagian B: Notis 8 Pembekal mesti menggunakan Pernyataan Privasi Microsoft semasa mengumpul Maklumat Peribadi bagi pihak Microsoft. Notis privasi harus mudah dilihat dan tersedia kepada Subjek Data untuk membantu mereka membuat keputusan sama ada untuk menyerahkan Maklumat Peribadi mereka kepada pembekal. Notis privasi harus tersedia di dalam talian dan di luar talian seperti yang diperlukan, bertarikh dengan jelas dan disediakan pada atau sebelum masa pengumpulan data. Versi 4 Julai 2017 Halaman 3

4 Bahagian B: Notis (samb.) 9 Apabila mengumpul Maklumat Peribadi Microsoft melalui panggilan suara langsung atau rakaman, pembekal mesti bersedia untuk membincangkan amalan pengumpulan, pengendalian, penggunaan dan pengekalan data yang berkenaan dengan Subjek Data. Pembekal menunjukkan bahawa pengumpulan, pengendalian, penggunaan dan pengekalan data dibincangkan dengan Subjek Data apabila Maklumat Peribadi dikumpulkan melalui telefon. Bahagian C: Pilihan dan Keizinan 10 Apabila pembekal bergantung pada keizinan sebagai asas undang-undang untuk memproses data, pembekal perlu mendapatkan dan mendokumenkan keizinan Subjek Data sebelum mengumpul Maklumat Peribadi Subjek Data tersebut. 11 Pembekal mengambil apa-apa keizinan Subjek Data yang diperlukan sebelum atau pada masa mengumpul Maklumat Peribadi. Pembekal menerangkan proses bagi Subjek Data untuk menyetujui atau menolak pemberian Maklumat Peribadi dan akibat mana-mana tindakan yang dipilih. Pembekal mendokumenkan dan mengurus keutamaan hubungan serta melaksanakan dan mengurus perubahan kepada pilihan tersebut. Sistem dan prosedur wujud untuk menguruskan keizinan Subjek Data dan keutamaan hubungan. 12 Mendokumenkan dan mengurus perubahan kepada keutamaan hubungan Subjek Data pada masa yang tepat. 13 Mendapat dan mendokumenkan keizinan Subjek Data bagi apa-apa penggunaan baharu Maklumat Peribadi Subjek Data tersebut. Pembekal memantau pengurusan keizinan Subjek Data untuk memastikan keberkesanan sistem dan proses. Pembekal memastikan bahawa jika keizinan tidak diberikan, tiada penggunaan atau pemprosesan tambahan berlaku. Versi 4 Julai 2017 Halaman 4

5 Bahagian C: Pilihan dan Keizinan (samb.) 14 Kuki ialah fail teks kecil yang disimpan pada peranti oleh tapak web dan aplikasi dalam talian yang mengandungi maklumat yang digunakan untuk mengenali pengguna atau peranti. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memberikan pengguna notis dan pilihan yang telus mengenai penggunaan kuki. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memastikan bahawa penggunaan kuki sejajar dengan komitmen dalam Pernyataan Privasi Microsoft dan keperluan undang-undang tempatan seperti peraturan yang ditetapkan oleh Kesatuan Eropah. Tujuan setiap kuki mesti didokumenkan, dan mesti memaklumkan jenis kuki yang dilaksanakan: Kuki sesi harus digunakan apabila boleh. Kuki berterusan kekal pada peranti untuk tempoh tidak lebih daripada yang diperlukan dan tidak melebihi 2 tahun. Mengesahkan bahawa peraturan EU digunakan, seperti, tetapi tidak terhad kepada; Penggunaan konvensyen pelabelan, "Privasi & Kuki" untuk pernyataan privasi. Mendapatkan keizinan pengguna yang mengiakan sebelum menggunakan kuki untuk tujuan "tidak perlu" seperti pengiklanan. Bahagian D: Pengumpulan 15 Pembekal mesti memantau pengumpulan Maklumat Peribadi dan Sulit Microsoft untuk memastikan bahawa hanya maklumat yang diperlukan sahaja dikumpul untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft. 16 Jika pembekal mendapatkan Maklumat Peribadi daripada pihak ketiga bagi pihak Microsoft, pembekal mesti mengesahkan bahawa dasar dan amalan perlindungan data pihak ketiga adalah selaras dengan kontrak pembekal dengan Microsoft dan syarat-syarat DPR. 17 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif melalui pemasangan atau penggunaan perisian boleh laku pada peranti Subjek Data, keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft. Sistem dan prosedur wujud untuk menentukan Maklumat Peribadi dan Sulit yang diperlukan. Pembekal memantau pengumpulan untuk memastikan keberkesanan sistem dan prosedur. Pembekal boleh menunjukkan bahawa usaha wajar telah dilakukan berkenaan dasar dan amalan perlindungan data pihak ketiga. Pembekal memperoleh dan mendokumenkan persetujuan Microsoft apabila menggunakan perisian boleh laku pada komputer Subjek Data untuk mengumpul Maklumat Peribadi. Versi 4 Julai 2017 Halaman 5

6 Bahagian D: Pengumpulan (samb.) 18 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif (data yang mendedahkan asal perkauman atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, data genetik, data biometrik, data mengenai kesihatan atau data mengenai kehidupan seks atau orientasi seksual seseorang) keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft. Pembekal memperoleh dan mendokumenkan persetujuan Microsoft sebelum mengumpul Maklumat Peribadi yang sensitif. Bahagian E: Penyimpanan 19 Memastikan bahawa Maklumat Peribadi dan Sulit Microsoft dikekalkan bagi tempoh tidak lebih daripada yang diperlukan untuk menyediakan perkhidmatan melainkan penyimpanan berterusan Maklumat Peribadi Microsoft dikehendaki oleh undang-undang. 20 Memastikan bahawa, atas budi bicara Microsoft, Maklumat Peribadi atau Sulit Microsoft dalam pemilikan pembekal atau di bawah kawalannya dikembalikan kepada Microsoft atau dimusnahkan setelah selesai perkhidmatan atau atas permintaan Microsoft. Apabila diminta, pembekal mesti memberikan sijil pemusnahan yang ditandatangani oleh pegawai pembekal kepada Microsoft. Apabila pemusnahan Maklumat Peribadi atau Sulit Microsoft diperlukan, pembekal perlu membakar, menghancurkan, atau mencencang aset fizikal yang mengandungi Maklumat Peribadi Microsoft supaya maklumat tersebut tidak dapat dibaca atau dibina semula. Dalam aplikasi, proses mesti diwujudkan untuk memastikan bahawa apabila data dikeluarkan daripada aplikasi sama ada secara eksplisit oleh pengguna atau berdasarkan pencetus lain seperti umur data, ia dipadamkan dengan selamat. Pembekal mematuhi dasar penyimpanan yang didokumentasikan atau syarat penyimpanan yang ditentukan oleh Microsoft dalam kontrak, pernyataan kerja atau pesanan pembelian. Pembekal mengekalkan rekod pelupusan Maklumat Peribadi dan Sulit Microsoft (cth., kembalikan kepada Microsoft untuk pemusnahan). Versi 4 Julai 2017 Halaman 6

7 Bahagian F: Subjek Data 21 Subjek Data mempunyai hak untuk mencapai, memadam, menyunting, mengeksport, menyekat dan membantah pemprosesan Maklumat Peribadi mereka ("Hak Subjek Data"). Apabila Subjek Data ingin melaksanakan hak mereka di bawah undang-undang yang bersesuaian berkenaan dengan Maklumat Peribadi Microsoft mereka, pembekal mesti: 22 Membantu Microsoft, melalui langkah-langkah teknikal dan organisasi yang sesuai, setakat yang mungkin, memenuhi kewajipannya untuk bertindak balas terhadap permintaan Subjek Data yang ingin melaksanakan hak mereka di bawah undang-undang yang berkenaan. 23 Bertindak balas terhadap semua permintaan Hak Subjek Data tanpa kelewatan yang tidak sewajarnya. 24 Melainkan jika diarahkan oleh Microsoft, Pembekal akan merujuk semua Subjek Data yang menghubungi Pembekal secara langsung kepada Microsoft untuk melaksanakan Hak Subjek Data mereka. Pembekal akan menyampaikan kepada Subjek Data tentang langkah-langkah yang perlu diambil oleh seseorang untuk mendapatkan capaian kepada atau sebaliknya melaksanakan hak mereka berbanding dengan Maklumat Peribadi Microsoft mereka. 25 Apabila bertindak balas secara langsung kepada Subjek Data, sahkan identiti Subjek Data yang membuat permintaan. 26 Dapatkan kebenaran daripada Microsoft untuk terus menggunakan pengecam yang dikeluarkan oleh kerajaan (sebagai contoh, nombor Keselamatan Sosial) untuk pengesahan. Apabila Subjek Data telah disahkan, pembekal mesti: Pembekal menjalankan ujian berkala untuk memastikan mereka dapat menyokong hak Subjek Data. Pembekal menyampaikan langkah-langkah yang akan diambil untuk mencapai Maklumat Peribadi, serta kaedah yang tersedia untuk mengemas kini maklumat tersebut. Versi 4 Julai 2017 Halaman 7

8 Bahagian F: Subjek Data (samb.) 27 Menentukan sama ada ia memegang atau mengawal Maklumat Peribadi Microsoft tentang Subjek Data. 28 Melakukan usaha yang sewajarnya untuk mengesan Maklumat Peribadi Microsoft yang diminta dan menyimpan rekod yang mencukupi untuk menunjukkan bahawa carian yang sewajarnya telah dilakukan. 29 Mencatat tarikh dan masa permintaan serta tindakan yang diambil oleh pembekal sebagai tindak balas kepada permintaan tersebut. Menyediakan rekod permintaan Subjek Data kepada Microsoft atas permintaan. 30 Apabila Subjek Data telah disahkan dan pembekal telah mengesahkan bahawa mereka mempunyai Maklumat Peribadi Microsoft yang diminta, pembekal mesti: 31 Bagi permintaan untuk mendapatkan salinan Maklumat Peribadi, berikan Maklumat Peribadi Microsoft kepada Subjek Data dalam format bercetak, elektronik atau lisan yang sesuai. 32 Sekiranya permintaan mereka ditolak, atas arahan Microsoft, berikan penjelasan bertulis kepada Subjek Data yang selaras dengan mana-mana arahan berkaitan yang disediakan oleh Microsoft sebelum ini. Pembekal mempunyai prosedur untuk menentukan sama ada Maklumat Peribadi dipegang. Pembekal membalas permintaan tepat pada waktunya. Pembekal mengekalkan rekod permintaan untuk capaian dan mendokumenkan perubahan yang dibuat kepada Maklumat Peribadi. Pembekal membekalkan Maklumat Peribadi kepada Subjek Data dalam format yang mudah difahami dan dalam bentuk yang mudah untuk Subjek Data dan pembekal. Mendokumenkan kejadian permintaan ditolak dan mengekalkan bukti semakan dan kelulusan Microsoft. Versi 4 Julai 2017 Halaman 8

9 Bahagian F: Subjek Data (samb.) 33 Pembekal mesti mengambil langkah berjaga-jaga yang munasabah untuk memastikan bahawa Maklumat Peribadi Microsoft yang dikeluarkan kepada Subjek Data tidak boleh digunakan untuk mengenal pasti orang lain. 34 Sekiranya Subjek Data dan pembekal tidak bersetuju sama ada Maklumat Peribadi Microsoft adalah lengkap dan tepat, pembekal mesti menaikkan isu ini kepada Microsoft dan bekerjasama dengan Microsoft sebagaimana yang perlu untuk menyelesaikan isu tersebut. Pembekal mesti menunjukkan bahawa langkah berjaga-jaga yang munasabah telah diambil supaya orang lain tidak boleh dikenal pasti daripada maklumat yang dikeluarkan (cth., tidak boleh membuat salinan foto bagi seluruh halaman data apabila Maklumat Peribadi yang diminta untuk Subjek Data hanya muncul pada satu baris). Pembekal mendokumenkan kejadian percanggahan dan menaikkan isu kepada Microsoft. Bahagian G: Pendedahan kepada Pihak Ketiga Sekiranya pembekal berhasrat untuk menggunakan subkontraktor untuk Memproses Maklumat Peribadi dan Sulit Microsoft, pembekal mesti: 35 Mendapatkan kebenaran bertulis Microsoft secara nyata sebelum memberikan subkontrak perkhidmatan atau membuat apa-apa perubahan berkaitan dengan penambahan atau penggantian subkontraktor. 36 Bertanggungjawab sepenuhnya kepada Microsoft untuk prestasi mana-mana subkontraktor. 37 Mendokumenkan jenis dan sejauh mana Maklumat Peribadi dan Sulit Microsoft Disubproses oleh subkontraktor, memastikan bahawa maklumat yang dikumpul diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft. Perjanjian kontrak pada pembekal untuk terus bertanggungjawab terhadap Microsoft bagi subkontraktornya. Pembekal mengekalkan dokumentasi mengenai Maklumat Peribadi dan Sulit Microsoft yang didedahkan atau dipindahkan kepada subkontraktor. Versi 4 Julai 2017 Halaman 9

10 Bahagian G: Pendedahan kepada Pihak Ketiga (samb.) 38 Memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft selaras dengan keutamaan hubungan yang dinyatakan oleh Subjek Data. 39 Mengehadkan Pemprosesan Maklumat Peribadi Microsoft oleh subkontraktor untuk tujuan yang diperlukan demi memenuhi kontrak pembekal dengan Microsoft. 40 Memaklumkan Microsoft dengan segera tentang apa-apa perintah mahkamah yang memaksa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor dan, sebagaimana yang dibenarkan oleh undang-undang, memberikan Microsoft peluang untuk campur tangan sebelum memfailkan apa-apa balasan kepada perintah atau notis tersebut. 41 Menyemak aduan untuk indikasi terhadap apa-apa Pemprosesan Maklumat Peribadi Microsoft yang tidak sah atau menyalahi undang-undang. 42 Memaklumkan Microsoft dengan segera apabila mengetahui bahawa subkontraktor telah Memproses Maklumat Peribadi dan Sulit Microsoft untuk tujuan lain selain daripada menyediakan perkhidmatan yang berkaitan dengan Microsoft kepada Microsoft atau para pembekalnya. Sistem dan proses sudah wujud untuk memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft semata-mata untuk tujuan yang ditetapkan dan selaras dengan keutamaan hubungan Subjek Data. Pembekal menunjukkan bahawa Microsoft telah dihubungi, apabila dibenarkan, sebelum membenarkan apa-apa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor sebagai tindak balas kepada perintah mahkamah. Sistem dan proses diwujudkan untuk menangani aduan yang berkaitan dengan penggunaan atau pendedahan Maklumat Peribadi Microsoft yang tidak dibenarkan oleh subkontraktor. Pembekal mampu menunjukkan bahawa Microsoft telah dimaklumkan apabila subkontraktor telah menggunakan Maklumat Peribadi Microsoft untuk tujuan yang tidak dibenarkan. Versi 4 Julai 2017 Halaman 10

11 Bahagian G: Pendedahan kepada Pihak Ketiga (samb) 43 Mengambil tindakan dengan segera untuk mengurangkan apa-apa kemudaratan sebenar atau berpotensi yang disebabkan oleh Pemprosesan Maklumat Peribadi dan Sulit Microsoft yang tidak sah atau menyalahi undangundang oleh subkontraktor. 44 Sebelum menerima apa-apa Maklumat Peribadi daripada pihak ketiga, sahkan bahawa amalan pengumpulan data pihak ketiga adalah selaras dengan DPR. 45 Mengesahkan bahawa hanya Maklumat Peribadi yang diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft dikumpul daripada pihak ketiga. Pembekal boleh menunjukkan bahawa tindakan yang sewajarnya telah diambil apabila subkontraktor telah menggunakan Maklumat Peribadi dan Sulit Microsoft untuk tujuan yang tidak dibenarkan atau telah mendedahkan Maklumat Peribadi atau Sulit. Proses berdokumen sudah wujud untuk mengesahkan amalan pengumpulan data pihak ketiga. Proses berdokumen sudah wujud untuk mengehadkan pemindahan Maklumat Peribadi Microsoft daripada pihak ketiga kepada yang hanya diperlukan untuk melaksanakan perkhidmatan yang dikontrak. Bahagian H: Kualiti 46 Pembekal mesti mengekalkan integriti semua Maklumat Peribadi Microsoft, memastikannya sentiasa tepat, lengkap dan berkaitan dengan tujuan yang dinyatakan untuknya Diproses. 47 Pembekal mesti memastikan bahawa jumlah minimum Maklumat Peribadi yang diperlukan untuk memenuhi tujuan yang dinyatakan telah dikumpulkan. Maklumat disahkan apabila dikumpulkan, dihasilkan dan dikemas kini. Sistem dan proses sudah wujud untuk mengesahkan ketepatan secara berterusan dan betul sebagaimana yang perlu. Versi 4 Julai 2017 Halaman 11

12 Bahagian I: Pengawasan dan Penguatkuasaan 48 Memaklumkan Microsoft dengan segera apabila menyedari Pelanggaran Maklumat Peribadi atau kerentanan keselamatan yang berkaitan dengan pengendalian pembekal dalam Maklumat Peribadi atau Sulit Microsoft. 49 Tidak mengeluarkan apa-apa siaran akhbar atau apa-apa notis awam lain yang berkaitan dengan Pelanggaran Maklumat Peribadi yang melibatkan Maklumat Peribadi atau Sulit Microsoft tanpa mendapat kelulusan Microsoft melainkan dinyatakan oleh undang-undang atau keperluan pengawalseliaan. 50 Melaksanakan rancangan pemulihan dan memantau resolusi Pelanggaran Maklumat Peribadi dan kerentanan yang berkaitan dengan Maklumat Peribadi Microsoft untuk memastikan bahawa tindakan pembetulan yang sesuai telah diambil tepat pada masanya. 51 Mewujudkan proses aduan formal untuk menjawab semua aduan perlindungan data yang melibatkan Maklumat Peribadi Microsoft. 52 Memaklumkan Microsoft tentang sebarang aduan yang berkaitan dengan Maklumat Peribadi Microsoft. 53 Merekod dan membalas semua aduan perlindungan data yang berkaitan dengan Maklumat Peribadi Microsoft tepat pada masanya melainkan diberikan arahan khusus oleh Microsoft. Apabila diminta, memberikan kepada Microsoft dokumentasi aduan yang telah diselesaikan atau belum diselesaikan. Pembekal mesti mempunyai proses berdokumen untuk mengendalikan aduan dan memaklumkan Microsoft. Rekod aduan yang menunjukkan balasan dibuat tepat pada masanya. Dokumentasi aduan terbuka/tertutup. Versi 4 Julai 2017 Halaman 12

13 Bahagian I: Pengawasan dan Penguatkuasaan (samb) 54 Pembekal perlu mengambil kira jenis maklumat pembekal dan membantu Microsoft dalam memastikan pematuhan terhadap kewajipannya di bawah undang-undang yang berkenaan (termasuk tetapi tidak terhad kepada keselamatan data, Pelanggaran Maklumat Peribadi, penilaian kesan perlindungan data dan perundingan dengan kerajaan, pihak berkuasa kawal selia dan penyeliaan). 55 Menyediakan kepada Microsoft semua maklumat yang diperlukan untuk menunjukkan pematuhan terhadap kewajipan di bawah undang-undang yang berkenaan dan membenarkan serta menyumbang kepada audit, termasuk pemeriksaan, yang dijalankan oleh Microsoft atau juruaudit lain yang dimandatkan oleh Microsoft. <Konflik Kontrak Bahagian J: Keselamatan 56 PROGRAM KESELAMATAN MAKLUMAT Pembekal mesti mewujudkan, melaksanakan, dan menyelenggara program keselamatan maklumat yang merangkumi dasar dan prosedur, untuk melindungi dan memastikan keselamatan Maklumat Peribadi dan Sulit Microsoft selaras dengan amalan industri yang baik dan seperti yang dikehendaki oleh undang-undang yang berkenaan. Program keselamatan pembekal mesti memenuhi piawaian yang tersenarai di bawah, keperluan Langkah perlindungan boleh melebihi perkara yang disenaraikan, sebagaimana yang diperlukan bagi memenuhi skim pengawalseliaan (misalnya, HIPAA, GLBA) atau syarat kontrak. 57 Melaksanakan penilaian keselamatan rangkaian tahunan yang merangkumi: Menyemak perubahan utama kepada persekitaran seperti komponen sistem baharu, topologi rangkaian, peraturan tembok api dan lain-lain. Menjalankan imbasan kerentanan. Menyelenggara log perubahan yang mengesan perubahan, memberi maklumat mengenai sebab perubahan dan menyertakan pelulus. 58 Pembekal menentukan, menyampaikan dan melaksanakan dasar peranti mudah alih yang menjamin dan mengehadkan penggunaan Maklumat Peribadi atau Sulit Microsoft yang dicapai atau digunakan pada peranti mudah alih. Menyemak dokumentasi penilaian rangkaian, log perubahan dan hasil imbasan. Menyediakan dasar peranti mudah alih dan menunjukkan penggunaan apabila pengendalian data Maklumat Peribadi atau Sulit Microsoft memerlukan penggunaan peranti mudah alih. Versi 4 Julai 2017 Halaman 13

14 Bahagian J: Keselamatan (samb.) 59 Semua Aset yang digunakan untuk menyokong penyampaian perkhidmatan Microsoft mesti dipertanggungjawabkan dan mempunyai pemilik yang dikenal pasti. Pembekal bertanggungjawab untuk menyelenggara inventori bagi aset maklumat ini; mewujudkan penggunaan aset yang boleh diterima dan dibenarkan; dan menyediakan tahap perlindungan yang sesuai untuk aset di sepanjang kitaran hayat mereka. Inventori aset ini harus merangkumi: - Lokasi peranti - Pengelasan data bagi data mengenai aset tersebut - Rekod pemulihan aset setelah penamatan perjanjian pekerjaan atau perniagaan - Rekod pelupusan media penyimpanan data apabila ia tidak diperlukan lagi. 60 Mewujudkan dan menyelenggara prosedur pengurusan hak capaian untuk mengelakkan capaian kepada Maklumat Peribadi atau Sulit Microsoft yang tidak dibenarkan di bawah kawalan pembekal. Rancangan harus merangkumi: Prosedur kawalan capaian Prosedur pengenalpastian Prosedur sekat masuk selepas percubaan yang tidak berjaya Tetapan semula kata laluan sekerap yang perlu tetapi tidak boleh melebihi tempoh setiap 70 hari. Memberi kesedaran kepada pengguna untuk melindungi bukti kelayakan pengesahan mereka. Parameter yang kukuh untuk memilih bukti kelayakan pengesahan. Penyahaktifan akaun pengguna pada penamatan pekerjaan dalam masa 48 jam. o Termasuk capaian dalaman/luaran, media, kertas, platform teknologi dan media sandaran. Mewujudkan proses untuk menyemak capaian pengguna kepada Maklumat Peribadi dan Sulit Microsoft, menguatkuasakan prinsip keistimewaan terkurang: Proses harus merangkumi: Peranan pengguna yang ditakrif dengan jelas Prosedur untuk menyemak dan mewajarkan kelulusan capaian kepada peranan. Prosedur untuk mengeluarkan capaian pengguna kepada peranan apabila capaian tidak lagi diperlukan. Menyemak Inventori bagi aset peranti yang digunakan untuk menyokong penghantaran perkhidmatan Microsoft. Prosedur hak capaian didokumenkan dan digunakan secara konsisten. Menguji bahawa pengguna dalam peranan dengan capaian kepada data Microsoft mempunyai justifikasi yang didokumenkan untuk berada dalam kumpulan/peranan tersebut. Versi 4 Julai 2017 Halaman 14

15 Bahagian J: Keselamatan (samb.) 61 Menentukan dan melaksanakan prosedur pengurusan tampalan yang mengutamakan tampalan keselamatan bagi sistem yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk: Masa tertakrif yang dibenarkan untuk melaksanakan tampalan tetapi tidak boleh melebihi tempoh 19 hari untuk semua tampalan keselamatan. Keupayaan untuk mengendalikan dan melaksanakan tampalan kecemasan. Kebolehgunaan kepada Sistem Pengendalian dan perisian pelayan seperti pelayan aplikasi dan perisian pangkalan data. o Penamatan penggunaan Windows XP Mendokumenkan risiko yang dikurangkan oleh tampalan dan mengesan apa-apa pengecualian. Dapat menunjukkan dan menyediakan bukti berdokumen bahawa tampalan keselamatan digunakan. 62 Memasang antivirus dan antiperisian berniat jahat pada peralatan yang bersambung kepada rangkaian yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk tetapi tidak terhad kepada pelayan, desktop pengeluaran dan latihan untuk melindunginya daripada virus yang berpotensi berbahaya dan aplikasi perisian berniat jahat. Mengemas kini definisi antiperisian berniat jahat setiap hari atau seperti yang diarahkan oleh pembekal antivirus/antiperisian berniat jahat. 63 Pembekal yang membangunkan perisian untuk Produk Microsoft atau aplikasi bidang perniagaan mesti memenuhi keperluan Kitaran Hayat Pembangunan Keselamatan Microsoft (SDL) atau piawai industri yang serupa. Maklumat adalah tersedia di Versi 4 Julai 2017 Halaman 15

16 Bahagian J: Keselamatan (samb.) 64 Memantau sistem maklumat yang digunakan dalam rangkaian syarikat yang Maklumat Peribadi atau Sulit Microsoft dikendalikan untuk mengelakkan pencerobohan dan aktiviti tidak sah yang lain. Menggunakan Sistem Pengesanan Pencerobohan yang berasaskan rangkaian (IDS): Sekiranya sistem dilanggar, analisis sistem untuk memastikan apa-apa sisa kerentanan juga ditangani. Mendokumenkan prosedur untuk memantau alat pengesanan kompromi sistem. Satu tindak balas kejadian dan proses pengurusan yang tetap mesti dilaksanakan apabila peristiwa dikesan. 65 Berkomunikasi dengan segera tentang hasil Siasatan daripada tindak balas kejadian kepada pihak pengurusan kanan dan Microsoft. Hubungi untuk memaklumkan Microsoft. 66 Pentadbir sistem, kakitangan operasi, pihak pengurusan dan pihak ketiga mesti menjalani latihan keselamatan tahunan. Menunjukkan keberkesanan sistem pemantauan, dokumentasi sokongan adalah tersedia. Sistem dan proses mesti wujud untuk menyampaikan keputusan penyiasatan tindak balas kejadian kepada Microsoft Mewujudkan program latihan keselamatan yang merangkumi: Latihan tahunan untuk tindak balas kejadian. Acara simulasi dan mekanisme automatik untuk memudahkan tindak balas yang berkesan terhadap situasi krisis. Kesedaran pencegahan kejadian seperti risiko yang berkaitan dengan memuat turun perisian berniat jahat. Versi 4 Julai 2017 Halaman 16

17 Bahagian J: Keselamatan (samb.) 67 Pembekal mesti memastikan proses perancangan sandaran untuk melindungi Maklumat Peribadi dan Sulit Microsoft daripada penggunaan, capaian, pendedahan, pengubahan dan pemusnahan yang tidak dibenarkan. 68 Mewujudkan dan menguji rancangan kesinambungan perniagaan dan pemulihan bencana. Mendokumenkan tindak balas dan prosedur pemulihan dengan menghuraikan cara organisasi akan menguruskan peristiwa yang mengganggu dan menyelenggara keselamatan maklumatnya kepada tahap yang telah ditetapkan berdasarkan objektif kesinambungan keselamatan maklumat yang diluluskan oleh pihak pengurusan. Menentukan dan melaksanakan prosedur untuk membuat sandaran secara berkala, menyimpan dengan selamat, dan memulihkan data kritikal dengan berkesan. Rancangan pemulihan bencana mesti merangkumi perkara yang berikut Kriteria yang tertakrif untuk menentukan sama ada sistem adalah penting untuk operasi perniagaan pembekal Menyenaraikan sistem kritikal berdasarkan kriteria tertakrif yang mesti disasarkan untuk pemulihan sekiranya berlaku bencana. Prosedur pemulihan bencana yang tertakrif bagi setiap sistem kritikal untuk memastikan jurutera yang tidak tahu tentang sistem boleh memulihkan aplikasi tersebut dalam tempoh kurang daripada 72 jam. Ujian dan kajian semula rancangan pemulihan bencana tahunan (atau lebih kerap) untuk memastikan objektif pemulihan dapat dipenuhi. Versi 4 Julai 2017 Halaman 17

18 Bahagian J: Keselamatan (samb.) 69 Mengesahkan identiti individu sebelum memberi capaian kepada individu tersebut kepada maklumat Peribadi atau Sulit Microsoft. 70 Pembekal mesti melindungi Maklumat Peribadi dan Sulit Microsoft yang dalam transit merentasi rangkaian dengan penyulitan menggunakan Keselamatan Lapisan Pengangkutan (TLS) atau Keselamatan Protokol Internet (IPsec). Kaedah-kaedah ini diterangkan dalam NIST dan NIST ; piawai industri yang sama juga boleh digunakan. Pembekal mesti menolak penghantaran apa-apa Maklumat Peribadi Microsoft yang dihantar melalui cara yang tidak disulitkan. 71 Semua peranti pelanggan pembekal (komputer riba, stesen kerja, dan lain-lain) yang akan mencapai atau mengendalikan Maklumat Peribadi atau Sulit Microsoft mesti menggunakan penyulitan berasaskan cakera. Memastikan semua ID pengguna adalah unik dan setiap satunya mempunyai kaedah pengesahan standard industri seperti Azure Active Directory. Capaian ternaik (pentadbiran atau jenis keistimewaan lain yang dipertingkatkan) mesti memerlukan penggunaan faktor kedua, seperti kad pintar atau pengesah yang berasaskan telefon. Proses mencipta, mengerah dan menggantikan TLS atau sijil lain mesti ditakrifkan dan dikuatkuasakan. Menyulitkan semua peranti pelanggan untuk memenuhi Bitlocker atau penyelesaian penyulitan cakera setara industri yang lain bagi semua peranti pelanggan yang digunakan untuk mengendalikan Maklumat Peribadi atau Sulit Microsoft. Versi 4 Julai 2017 Halaman 18

19 Bahagian J: Keselamatan (samb.) 72 Sistem dan prosedur mesti wujud untuk menyulitkan maklumat Peribadi Microsoft, yang dinyatakan di bawah, semasa rehat (apabila disimpan) menggunakan piawaian industri semasa seperti yang diterangkan dalam piawai NIST Menyulitkan jenis Maklumat Peribadi Microsoft yang berikut semasa rehat: data bukti kelayakan (cth. nama pengguna/kata laluan) data instrumen pembayaran (cth. nombor kad kredit dan akaun bank) data profil perubatan (cth. nombor rekod perubatan atau pengecam biometrik). data pengecam yang dikeluarkan oleh kerajaan (cth. nombor keselamatan sosial atau lesen memandu) 73 Apabila memproses kad kredit bagi pihak Microsoft, patuhi standard pengendalian kad kredit yang berkenaan bagi setiap pengeluar kad. 74 Pembekal mesti menyimpan aset fizikal Maklumat Peribadi dan Sensitif Microsoft dalam persekitaran capaian terkawal. 75 Untuk penyelesaian Perisian sebagai Perkhidmatan (SaaS) yang Memproses Maklumat Peribadi atau Sulit Microsoft, jalankan ujian penembusan keselamatan bebas setiap tahun dan sediakan keputusan untuk Microsoft atas permintaan atau bolehkan Microsoft menjalankan ujian penembusan berkala. Hubungi untuk menghantar sijil ujian pen atau meminta ujian Microsoft. Menunjukkan pematuhan dengan memberikan perakuan Standard Perkhidmatan Data Industri Kad Pembayaran (PCI-DSS) setiap tahun. Serahkan perakuan PCI DSS kepada SSPA. Hubungi, Sistem dan proses perlu wujud untuk menguruskan capaian fizikal kepada salinan digital, salinan keras, arkib, dan sandaran data Microsoft. Rantaian penjagaan mesti dijejaki untuk pergerakan dan pemusnahan media fizikal yang mengandungi data Microsoft. Versi 4 Julai 2017 Halaman 19

20 Bahagian J: Keselamatan (samb.) 76 Semua Maklumat Peribadi Microsoft yang digunakan dalam persekitaran pembangunan atau ujian dijadikan tanpa nama. Maklumat Peribadi Microsoft tidak boleh digunakan dalam persekitaran pembangunan atau ujian; apabila tidak ada alternatif, ia mesti dijadikan tanpa nama dengan secukupnya untuk mengelakkan pengenalpastian Subjek Data atau penyalahgunaan Maklumat Peribadi. Versi 4 Julai 2017 Halaman 20