Persyaratan Perlindungan Data Pemasok Microsoft

Transkripsi

1 Persyaratan Perlindungan Data Pemasok Penerapan Persyaratan Perlindungan Data Pemasok (DPR) berlaku untuk semua pemasok yang Memproses Informasi Pribadi atau Informasi Rahasia sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan, persyaratan kontrak diprioritaskan. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku. Tanpa membatasi kewajibannya yang lain, di mana telah memberikan persetujuan tertulis sebelumnya untuk transfer internasional Informasi Pribadi, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, aturan perusahaan yang mengikat, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh, termasuk, namun tidak terbatas pada, UE-A.S. dan Swiss-A.S. Kerangka kerja Pelindung Privasi dan Peraturan Perlindungan Data Umum UE. Pemasok setuju untuk memberi tahu jika Pemasok membuat keputusan bahwa Pemasok tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang sama sebagaimana diharuskan oleh prinsip Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi. Informasi Rahasia adalah segala jenis informasi yang jika kerahasiaan atau integritasnya terancam, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan. Informasi Pribadi berarti setiap Informasi Pribadi yang Diproses oleh atau atas nama. Informasi Pribadi berarti setiap informasi yang terkait dengan individu yang diidentifikasi atau yang teridentifikasi ( Subjek Data ); individu yang teridentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung maupun tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau beberapa faktor tertentu dari identifikasi fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial individu tersebut. Pelanggaran Informasi Pribadi berarti pelanggaran keamanan yang mengakibatkan kerusakan yang tidak disengaja atau ilegal, kerugian, perubahan, pengungkapan atau akses yang tidak sah dari, Informasi Pribadi yang dikirim, disimpan, atau Diproses. Proses berarti setiap operasi atau rangkaian operasi yang dilakukan pada Informasi Pribadi atau kumpulan Informasi Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengaturan, penataan, penyimpanan, penyesuaian, atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui pengiriman, penyebaran, atau penyediaan, penyelarasan atau kombinasi, pembatasan, penghapusan, atau penghancuran. Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles/GAPP) terbagi menjadi 10 bagian yang mencakup kriteria terukur yang terkait dengan perlindungan dan manajemen Informasi Pribadi. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan. Versi 4 Juli 2017 Halaman 1

2 Sebelum pemasok dapat Memproses Informasi Pribadi atau Rahasia, pemasok harus: Bagian A: Manajemen 1 Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian yang sah yang berisi bahasa perlindungan data privasi dan keamanan yang menjelaskan materi pokok dan durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Informasi Pribadi dan kategori Subjek Data serta kewajiban dan hak. 2 Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok kepada orang atau kelompok yang ditetapkan di dalam perusahaan. 3 Memastikan semua pihak berwenang yang Memproses Informasi Pribadi telah berkomitmen terhadap kerahasiaan atau memiliki kewajiban kerahasiaan hukum yang sesuai. 4 Menetapkan, menjaga, dan melakukan pelatihan privasi tahunan untuk karyawan yang akan memiliki akses ke Informasi Pribadi. Jika perusahaan Anda tidak memiliki persiapan konten, hubungi SSPAHelp@microsoft.com untuk meminta kerangka papan cerita yang dapat disesuaikan dengan perusahaan Anda. Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian yang sah yang berisi uraian aktivitas Pemrosesan yang diperlukan. Pemasok harus mengidentifikasi orang atau kelompok yang dituduh dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data. Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas. Kontrak, laporan kerja, atau pesanan pembelian yang sah dengan kewajiban kerahasiaan. Bukti formulir standar dari perjanjian pelarangan pengungkapan informasi pemasok, kerja, konsultasi, dan subkontrak. Pemasok mengedukasi karyawan pada tahap awal dan secara berkala mengenai prinsip privasi dan keamanan dasar. Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi ( , situs web, buletin, dll). Versi 4 Juli 2017 Halaman 2

3 Bagian A: Manajemen (lanjutan) 5 Menyampaikan informasi yang relevan setiap tahun tentang Persyaratan Perlindungan Data Pemasok kepada pegawai dan subkontraktor yang melakukan layanan untuk. 6 Memproses Informasi Pribadi hanya sesuai dengan instruksi yang terdokumentasi termasuk mengenai transfer Informasi Pribadi ke negara ketiga atau organisasi internasional, kecuali jika diwajibkan melakukannya berdasarkan undang-undang yang berlaku; dalam kasus seperti itu, pemroses harus memberi tahu pengawas persyaratan hukum tersebut sebelum memproses, kecuali jika undang-undang tersebut melarang informasi semacam itu dengan alasan penting untuk kepentingan publik. 7 Segera memberi tahu jika, menurut pendapatnya, sebuah instruksi melanggar hukum yang berlaku. Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada pada Persyaratan Perlindungan Data Pemasok. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi ( , situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll. Bukti instruksi yang terdokumentasi, misalnya sebagaimana yang tertera dalam kontrak, laporan kerja, atau pesanan pembelian, atau diambil sebagai bagian dari sistem elektronik yang digunakan dalam penyediaan layanan. Kewajiban kontraktual pemasok adalah memberi tahu jika, menurut pendapat pemasok, sebuah instruksi melanggar hukum yang berlaku. Bagian B: Pemberitahuan 8 Pemasok harus menggunakan Pernyataan Privasi saat mengumpulkan Informasi Pribadi atas nama. Pemberitahuan privasi harus mencolok dan tersedia bagi Subjek Data untuk membantu mereka memutuskan apakah akan menyerahkan Informasi Pribadi mereka kepada pemasok. Pemberitahuan privasi harus tersedia secara online dan offline sesuai yang diperlukan, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data. Versi 4 Juli 2017 Halaman 3

4 Bagian B: Pemberitahuan (lanjutan) 9 Saat mengumpulkan Informasi Pribadi melalui panggilan suara langsung atau yang direkam, pemasok harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan Subjek Data. Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan Subjek Data saat Informasi Pribadi dikumpulkan melalui telepon. Bagian C: Pilihan dan Persetujuan 10 Jika pemasok mengandalkan persetujuan sebagai dasar hukum untuk memproses data, pemasok harus memperoleh dan mendokumentasikan persetujuan Subjek Data sebelum mengumpulkan Informasi Pribadi Subjek Data. 11 Pemasok mengambil setiap persetujuan Subjek Data sebelum atau pada waktu mengumpulkan Informasi Pribadi. Pemasok menjelaskan proses kepada Subjek Data untuk menyetujui atau menolak memberikan Informasi Pribadi dan konsekuensi dari kedua tindakan tersebut. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. Terdapat sistem dan prosedur untuk mengelola persetujuan dan preferensi kontak Subjek Data. 12 Mendokumentasikan dan mengelola perubahan preferensi kontak Subjek Data dengan tepat waktu. 13 Memperoleh dan mendokumentasikan persetujuan Subjek Data untuk setiap penggunaan baru dari Informasi Pribadi Subjek Data tersebut. Pemasok mengawasi manajemen persetujuan Subjek Data untuk memastikan keefektifan sistem dan proses. Pemasok memastikan bahwa jika persetujuan tidak diberikan, maka tidak ada penggunaan atau pemrosesan tambahan. Versi 4 Juli 2017 Halaman 4

5 Bagian C: Pilihan dan Persetujuan (lanjutan) 14 Cookie adalah file teks kecil yang disimpan di perangkat oleh situs web dan aplikasi online yang berisi informasi yang digunakan untuk mengenali pengguna atau perangkat. Pemasok yang membuat serta mengelola situs web dan aplikasi harus memberikan pengguna pemberitahuan dan pilihan yang transparan mengenai penggunaan cookie. Pemasok yang membuat serta mengelola situs web dan aplikasi harus memastikan bahwa penggunaan cookie selaras dengan komitmen dalam Pernyataan Privasi dan persyaratan hukum setempat, seperti aturan yang ditetapkan oleh Uni Eropa. Tujuan setiap cookie harus didokumentasikan, dan harus memberi tahu jenis cookie yang diterapkan: Cookie sesi harus digunakan jika memungkinkan. Cookie yang persisten tetap berada di perangkat tidak lebih dari yang diperlukan dan tidak melebihi 2 tahun. Validasikan bahwa aturan UE diterapkan, seperti namun juga tidak terbatas; Penggunaan konvensi pelabelan, Privasi & Cookie untuk pernyataan privasi. Dapatkan persetujuan pengguna sebelum menggunakan cookie untuk tujuan yang tidak penting seperti iklan. Bagian D: Pengumpulan 15 Pemasok harus mengawasi pengumpulan Informasi Pribadi dan Rahasia untuk memastikan bahwa satusatunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh. 16 Jika pemasok mendapatkan Informasi Pribadi dari pihak ketiga atas nama, pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan serta persyaratan DPR. 17 Sebelum mengumpulkan Informasi Pribadi yang sensitif melalui penginstalan atau penggunaan perangkat lunak yang dapat dijalankan di perangkat Subjek Data, keharusan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan. Terdapat sistem dan prosedur untuk menentukan Informasi Pribadi dan Rahasia yang diperlukan. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan prosedur. Pemasok dapat menunjukkan uji tuntas dilakukan mengenai kebijakan dan praktik perlindungan data pihak ketiga. Pemasok memperoleh dan mendokumentasikan persetujuan saat menggunakan perangkat lunak yang dapat dijalankan di komputer Subjek Data untuk mengumpulkan Informasi Pribadi. Versi 4 Juli 2017 Halaman 5

6 Bagian D: Pengumpulan (lanjutan) 18 Sebelum mengumpulkan Informasi Pribadi yang sensitif (data yang mengungkapkan ras atau asal etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja, data genetik, data biometrik, data mengenai kesehatan atau data mengenai kehidupan seks atau orientasi seksual individu) kebutuhan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan. Pemasok memperoleh dan mendokumentasikan persetujuan sebelum mengumpulkan Informasi Pribadi sensitif. Bagian E: Penyimpanan 19 Memastikan bahwa Informasi Pribadi dan Rahasia disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Pribadi diperlukan oleh hukum. 20 Memastikan bahwa, atas kebijakan, Informasi Pribadi atau Rahasia yang dimiliki pemasok atau berada di bawah kendalinya dikembalikan kepada atau dihancurkan setelah layanan selesai atau atas permintaan. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada yang ditandatangani oleh pejabat dari pemasok. Apabila penghancuran Informasi Pribadi atau Rahasia diperlukan, pemasok harus membakar, menghancurleburkan, atau menyobek aset fisik yang berisi Informasi Pribadi sehingga informasi tersebut tidak dapat dibaca atau direkonstruksi. Dalam aplikasi, proses harus dilakukan untuk memastikan bahwa apabila data dihapus dari aplikasi baik secara eksplisit oleh pengguna atau berdasarkan pemicu lainnya seperti usia data, data tersebut akan dihapus dengan aman. Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh dalam kontrak, laporan kerja, atau pesanan pembelian. Pemasok menyimpan data pelepasan Informasi Pribadi dan Rahasia (misalnya dikembalikan ke untuk dihancurkan). Versi 4 Juli 2017 Halaman 6

7 Bagian F: Subjek Data 21 Subjek Data berhak mengakses, menghapus, mengedit, mengekspor, membatasi, dan menolak pemrosesan Informasi Pribadi mereka ( Hak Subjek Data ). Ketika Subjek Data berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku sehubungan dengan Informasi Pribadi mereka, pemasok harus: 22 Membantu, melalui tindakan teknis dan organisasi yang tepat, sejauh mungkin, untuk memenuhi kewajibannya dalam menanggapi permintaan Subjek Data yang berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku. 23 Merespons semua permintaan Hak Subjek Data tanpa penundaan yang tidak semestinya. 24 Kecuali jika diarahkan oleh, Pemasok akan merujuk semua Subjek Data yang menghubungi Pemasok secara langsung ke untuk menggunakan Hak Subjek Data mereka. Pemasok akan mengomunikasikan kepada Subjek Data langkah-langkah yang harus diambil seseorang untuk mendapatkan akses ke atau menggunakan hak mereka terhadap Informasi Pribadi mereka. 25 Ketika merespons Subjek Data secara langsung, validasikan identitas Subjek Data yang membuat permintaan ini. 26 Mendapatkan izin dari untuk tetap menggunakan pengenal yang diterbitkan pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan. Setelah Subjek Data disahkan, pemasok harus: Pemasok melakukan uji berkala untuk memastikan mereka dapat mendukung hak Subjek Data. Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses Informasi Pribadi, serta metode yang tersedia untuk memperbarui informasi. Versi 4 Juli 2017 Halaman 7

8 Bagian F: Subjek Data (lanjutan) 27 Menentukan apakah pemasok memiliki atau mengendalikan Informasi Pribadi tentang Subjek Data tersebut. 28 Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan. 29 Mencatat tanggal dan waktu permintaan serta tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut. Memberikan data permintaan Subjek Data kepada atas permintaan. 30 Setelah Subjek Data disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Pribadi yang diminta, pemasok harus: 31 Atas permintaan untuk memperoleh salinan Informasi Pribadi, berikan Informasi Pribadi kepada Subjek Data dengan format cetak, elektronik, atau verbal yang sesuai. 32 Jika permintaan mereka ditolak, berdasarkan arahan, berikan penjelasan tertulis kepada Subjek Data yang konsisten dengan setiap instruksi relevan yang sebelumnya diberikan oleh. Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah Informasi Pribadi disimpan. Pemasok menjawab permintaan dengan tepat waktu. Pemasok menyimpan data permintaan akses dan mendokumentasikan perubahan yang dilakukan pada Informasi Pribadi. Pemasok memberikan Informasi Pribadi kepada Subjek Data dalam format yang dapat dipahami dan dalam bentuk yang mudah digunakan oleh Subjek Data dan pemasok. Contoh dokumen ketika permintaan ditolak dan simpan bukti tinjauan dan persetujuan. Versi 4 Juli 2017 Halaman 8

9 Bagian F: Subjek Data (lanjutan) 33 Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Pribadi yang dirilis kepada Subjek Data tidak dapat digunakan untuk mengidentifikasi orang lain. 34 Jika Subjek Data dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Pribadi, pemasok harus melaporkan masalah tersebut kepada dan bekerja sama dengan sebagaimana diperlukan untuk menyelesaikan masalah. Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat diidentifikasi dari informasi yang dirilis (mis., tidak dapat memfotokopi seluruh halaman data saat meminta Informasi Pribadi untuk Subjek Data yang hanya muncul pada satu baris). Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada. Bagian G: Pengungkapan kepada Pihak Ketiga Jika pemasok bermaksud menggunakan subkontraktor untuk Memproses Informasi Pribadi dan Rahasia, pemasok harus: 35 Mendapatkan persetujuan tertulis dari sebelum melakukan subkontrak layanan atau melakukan perubahan apa pun terkait penambahan atau penggantian subkontraktor. 36 Tetap bertanggung jawab sepenuhnya kepada atas kinerja setiap subkontraktor. 37 Mendokumentasikan sifat dan tingkat Informasi Pribadi dan Rahasia yang Di-subproses oleh subkontraktor, memastikan bahwa informasi yang dikumpulkan diperlukan untuk melakukan layanan yang disediakan oleh. Penyedia kontrak pada pemasok tetap bertanggung jawab kepada atas subkontraktornya. Pemasok menyimpan dokumentasi mengenai Informasi Pribadi dan Rahasia yang diungkapkan atau ditransfer kepada subkontraktor. Versi 4 Juli 2017 Halaman 9

10 Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan) 38 Pastikan subkontraktor menggunakan Informasi Pribadi sesuai dengan preferensi kontak yang dinyatakan Subjek Data. 39 Membatasi Pemrosesan Informasi Pribadi oleh subkontraktor untuk tujuan yang penting demi memenuhi kontrak pemasok dengan. 40 Segera memberi tahu atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. Sistem dan proses diterapkan untuk memastikan subkontraktor menggunakan Informasi Pribadi hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak Subjek Data. Pemasok dapat membuktikan bahwa telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal oleh subkontraktor dalam menanggapi putusan pengadilan. 41 Meninjau keluhan yang mengindikasikan Pemrosesan yang tidak sah atau ilegal dari Informasi Pribadi. 42 Segera memberi tahu setelah mengetahui bahwa subkontraktor telah Memproses Informasi Pribadi dan Sensitif untuk tujuan selain dari memberikan layanan yang terkait dengan kepada atau pemasoknya. Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal yang tidak sah oleh subkontraktor. Pemasok dapat membuktikan bahwa telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal untuk tujuan yang tidak sah. Versi 4 Juli 2017 Halaman 10

11 Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan) 43 Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh Pemrosesan Informasi Pribadi dan Rahasia yang tidak sah atau ilegal oleh subkontraktor. 44 Sebelum menerima Informasi Pribadi apa pun dari pihak ketiga, verifikasikan bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR. 45 Mengonfirmasi bahwa hanya Informasi Pribadi yang dikumpulkan dari pihak ketiga yang diperlukan untuk melakukan layanan yang diadakan oleh. Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan ketika subkontraktor telah menggunakan Informasi Pribadi dan Rahasia untuk tujuan yang tidak sah atau mengungkapkan Informasi Pribadi atau Rahasia. Proses yang didokumentasikan disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga. Proses yang didokumentasikan disesuaikan untuk membatasi transfer Informasi Pribadi dari pihak ketiga ke yang hanya diperlukan untuk melakukan layanan kontrak. Bagian H: Kualitas 46 Pemasok harus menjaga integritas semua Informasi Pribadi, memastikannya tetap akurat, lengkap, dan relevan untuk tujuan Pemrosesan yang dinyatakan. 47 Pemasok harus memastikan untuk mengumpulkan jumlah minimum Informasi Pribadi yang diperlukan untuk memenuhi tujuan yang telah ditetapkan. Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses diterapkan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan. Versi 4 Juli 2017 Halaman 11

12 Bagian I: Pemantauan dan Penegakan 48 Segera memberi tahu setelah mengetahui Pelanggaran Informasi Pribadi atau kerentanan kemanan yang terkait dengan penanganan Informasi Pribadi atau Rahasia oleh pemasok. 49 Jangan mengeluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan Pelanggaran Informasi Pribadi yang melibatkan Informasi Pribadi atau Rahasia tanpa mendapatkan persetujuan dari kecuali dinyatakan oleh hukum atau perundang-undangan. 50 Menerapkan rencana pemulihan dan mengawasi penyelesaian masalah dari Pelanggaran Informasi Pribadi dan kerentanan yang terkait dengan Informasi Pribadi untuk memastikan bahwa tindakan perbaikan yang tepat dilakukan dengan tepat waktu. 51 Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal. 52 Memberi tahu tentang tiap keluhan terkait dengan Informasi Personal. 53 Mencatat dan menjawab semua keluhan perlindungan data yang terkait dengan Informasi Pribadi secara tepat waktu kecuali ada instruksi khusus yang diberikan oleh. Sesuai permintaan, memberikan dokumentasi tentang keluhan yang sudah diatasi dan belum diatasi kepada. Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu. Data keluhan yang membuktikan jawaban tepat waktu. Dokumentasi keluhan terbuka/tertutup. Versi 4 Juli 2017 Halaman 12

13 Bagian I: Pemantauan dan Penegakan (lanjutan) 54 Pemasok harus mempertimbangkan sifat informasi pemasok dan membantu dalam memastikan kepatuhan terhadap kewajibannya berdasarkan undangundang yang berlaku (termasuk namun tidak terbatas pada keamanan data, Pelanggaran Informasi Pribadi, penilaian dampak perlindungan data, serta konsultasi dengan otoritas pemerintah, pengaturan, dan pengawasan). 55 Menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap kewajiban berdasarkan undang-undang yang berlaku serta memungkinkan dan berkontribusi pada audit, termasuk pemeriksaan, yang dilakukan oleh atau auditor lain yang dimandatkan oleh. <Konflik Kontrak Bagian J: Keamanan 56 PROGRAM KEAMANAN INFORMASI Pemasok harus menetapkan, menerapkan, dan mempertahankan program keamanan informasi yang mencakup kebijakan dan prosedur, untuk melindungi dan menjaga Informasi Pribadi dan Rahasia tetap aman sesuai dengan praktik industri yang baik dan sebagaimana diwajibkan oleh hukum yang berlaku. Program keamanan pemasok harus memenuhi standar yang diambil di bawah ini, persyaratan Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPAA, GLBA) atau persyaratan kontraktual. 57 Melakukan penilaian keamanan jaringan tahunan yang mencakup: Peninjauan perubahan besar terhadap lingkungan, seperti komponen sistem baru, topologi jaringan, aturan firewall, dll. Melakukan pemindaian kerentanan. Menyimpan log perubahan yang melacak perubahan, memberikan informasi mengenai alasan perubahan dan menyertakan pemberi persetujuan. 58 Pemasok menentukan, mengomunikasikan, dan menerapkan kebijakan perangkat seluler yang mengamankan dan membatasi penggunaan Informasi Pribadi atau Rahasia yang diakses atau digunakan pada perangkat seluler. Tinjau dokumentasi penilaian jaringan, log perubahan, dan hasil pemindaian. Berikan kebijakan perangkat seluler dan tunjukkan penggunaan di mana penanganan data Informasi Pribadi atau Rahasia memerlukan penggunaan perangkat seluler. Versi 4 Juli 2017 Halaman 13

14 Bagian J: Keamanan (lanjutan) 59 Semua Aset yang digunakan untuk mendukung pelaksanaan layanan harus dipertanggungjawabkan dan memiliki pemilik yang teridentifikasi. Pemasok bertanggung jawab untuk menjaga inventaris aset informasi ini; menetapkan penggunaan aset yang wajar dan sah; serta memberikan tingkat perlindungan yang sesuai untuk aset tersebut sepanjang siklus hidupnya. Inventaris aset ini mencakup: - Lokasi perangkat - Klasifikasi Data dari data pada aset - Catatan pemulihan aset setelah pemutusan hubungan kerja atau perjanjian bisnis - Catatan pembuangan media penyimpanan data jika sudah tidak diperlukan. 60 Menetapkan dan memelihara prosedur manajemen hak akses untuk mencegah akses yang tidak sah ke Informasi Pribadi atau Rahasia di bawah kendali pemasok. Rencananya mencakup: Prosedur kontrol akses Prosedur identifikasi Prosedur penguncian setelah percobaan yang tidak berhasil Pengaturan ulang kata sandi sesering yang diperlukan tetapi tidak lebih dari setiap 70 hari. Berikan kesadaran pengguna untuk melindungi kredensial pengesahan mereka. Parameter tangguh untuk memilih kredensial pengesahan. Deaktivasi akun pengguna pada saat pemutusan hubungan kerja dalam 48 jam. o Mencakup akses internal/eksternal, media, kertas, platform teknologi, dan media cadangan. Menetapkan proses untuk meninjau akses pengguna ke Informasi Pribadi dan Rahasia, menerapkan prinsip yang paling tidak istimewa: Prosesnya mencakup: Menentukan peran pengguna dengan jelas Prosedur untuk meninjau dan membenarkan persetujuan akses ke peran. Prosedur untuk menghapus akses pengguna ke peran ketika akses tidak diperlukan lagi. Tinjau Inventaris aset perangkat yang digunakan untuk mendukung pelaksanaan layanan. Prosedur hak akses didokumentasikan dan diterapkan secara konsisten. Uji bahwa pengguna dalam peran dengan akses ke data memiliki justifikasi terdokumentasi untuk berada dalam grup/peran. Versi 4 Juli 2017 Halaman 14

15 Bagian J: Keamanan (lanjutan) 61 Menentukan dan menerapkan prosedur manajemen patch yang memprioritaskan patch keamanan untuk sistem yang digunakan untuk memproses Informasi Pribadi dan Rahasia, meliputi: Waktu yang ditentukan untuk menerapkan patch namun tidak lebih dari 19 hari untuk semua patch keamanan. Kemampuan untuk menangani dan menerapkan patch darurat. Penerapan Sistem Operasi dan perangkat lunak server, seperti server aplikasi dan perangkat lunak basis data. o Hentikan penggunaan Windows XP Dokumentasi risiko patch mengurangi dan melacak setiap pengecualian. 62 Menginstal perangkat lunak antivirus dan antimalware pada peralatan yang terhubung ke jaringan yang digunakan untuk memproses Informasi Pribadi dan Rahasia, termasuk namun tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya. Memperbarui definisi anti-malware setiap hari atau sebagaimana diarahkan oleh pemasok anti-virus/antimalware. 63 Pemasok yang mengembangkan perangkat lunak untuk Produk atau aplikasi lini bisnis harus memenuhi persyaratan Siklus Hidup Pengembangan Keamanan (Security Development Lifecycle/SDL) atau standar industri serupa. Informasi tersedia di 64 Mengawasi sistem informasi yang digunakan di dalam jaringan perusahaan tempat Informasi Pribadi atau Rahasia ditangani - untuk gangguan dan aktivitas tidak sah lainnya. Penggunaan jaringan berbasis Sistem Deteksi Gangguan (Intrusion Detection System/IDS): Jika suatu sistem dilanggar, analisis sistem untuk memastikan setiap kerentanan yang tersisa juga ditangani. Mendokumentasikan prosedur untuk alat deteksi ancaman sistem pengawasan. Tanggapan dan proses manajemen insiden yang ditetapkan harus dijalankan ketika suatu peristiwa terdeteksi. Dapat membuktikan dan menyediakan bukti terdokumentasi bahwa patch keamanan diterapkan. Buktikan keefektifan sistem pengawasan, dokumentasi pendukung tersedia. Versi 4 Juli 2017 Halaman 15

16 Bagian J: Keamanan (lanjutan) 65 Segera menyampaikan hasil Investigasi tanggapan insiden kepada manajemen senior dan. Hubungi untuk memberi tahu. 66 Administrator sistem, staf operasi, manajemen, dan pihak ketiga harus menjalani pelatihan keamanan tahunan. 67 Pemasok harus memastikan bahwa proses perencanaan pencadangan melindungi Informasi Pribadi dan Rahasia dari penggunaan, akses, pengungkapan, perubahan, dan penghancuran yang tidak sah. Sistem dan proses harus diterapkan untuk mengomunikasikan hasil investigasi tanggapan insiden kepada Buat program pelatihan keamanan yang mencakup: Pelatihan tahunan untuk tanggapan insiden. Acara simulasi dan mekanisme otomatis untuk memfasilitasi tanggapan yang efektif terhadap situasi krisis. Kesadaran pencegahan insiden, seperti risiko yang terkait dengan mengunduh perangkat lunak yang berbahaya. Dokumentasikan prosedur penanggapan dan pemulihan yang merinci bagaimana organisasi akan mengelola peristiwa yang mengganggu dan akan menyimpan keamanan informasinya ke tingkat yang telah ditentukan berdasarkan tujuan keberlanjutan keamanan informasi yang disetujui oleh manajemen. Tentukan dan terapkan prosedur untuk mencadangkan secara berkala, menyimpan dengan aman, dan memulihkan data kritis yang efektif. Versi 4 Juli 2017 Halaman 16

17 Bagian J: Keamanan (lanjutan) 68 Menetapkan dan menguji keberlanjutan bisnis dan rencana pemulihan bencana. 69 Mengesahkan identitas individu sebelum memberikan akses ke informasi Pribadi atau Rahasia kepada individu tersebut. Rencana pemulihan bencana harus mencakup yang berikut Kriteria tertentu untuk menentukan apakah suatu sistem sangat penting bagi operasi bisnis pemasok Daftar sistem yang sangat penting berdasarkan kriteria yang ditentukan yang harus ditargetkan untuk pemulihan jika terjadi bencana. Prosedur pemulihan bencana yang ditetapkan untuk setiap sistem kritis yang menjamin seorang teknisi yang tidak mengetahui sistem dapat memulihkan aplikasinya dalam waktu kurang dari 72 jam. Pengujian dan peninjauan tahunan (atau lebih sering) dari rencana pemulihan bencana untuk memastikan tujuan pemulihan terpenuhi. Pastikan semua ID pengguna unik dan masing-masing memiliki metode pengesahan standar industri, seperti Azure Active Directory. Peningkatan akses (administratif atau jenis hak istimewa yang disempurnakan lainnya) harus memerlukan penggunaan faktor kedua, seperti kartu pintar atau telepon berbasis otentikator. Versi 4 Juli 2017 Halaman 17

18 Bagian J: Keamanan (lanjutan) 70 Pemasok harus melindungi Informasi Pribadi dan Rahasia saat transit melintasi jaringan dengan enkripsi yang menggunakan Keamanan Lapisan Transportasi (Transport Layer Security/TLS) atau Keamanan Protokol Internet (Internet Protocol Security/IPsec). Metode ini dijelaskan dalam NIST dan NIST ; standar industri yang setara juga dapat digunakan. Pemasok harus menolak pengiriman Informasi Pribadi apa pun yang dikirimkan melalui cara yang tidak dienkripsi. 71 Semua perangkat klien pemasok (laptop, stasiun kerja, dll.) yang akan mengakses atau menangani Informasi Pribadi atau Rahasia harus menggunakan disk berbasis enkripsi. 72 Sistem dan prosedur harus diterapkan untuk mengenkripsi informasi Pribadi, yang dicatat di bawah, saat istirahat (ketika disimpan) dengan menggunakan standar industri saat ini seperti yang dijelaskan dalam standar NIST Enkripsi jenis Informasi Pribadi berikut saat istirahat: data kredensial (misal., nama pengguna/kata sandi) data instrumen pembayaran (misal., nomor kartu kredit dan rekening) data profil medis (misal., nomor rekam medis atau pengenal biometrik). data pengenal yang diterbitkan pemerintah (misal., nomor jaminan sosial atau SIM) Proses membuat, menerapkan, dan mengganti TLS atau sertifikat lainnya harus ditentukan dan dilaksanakan. Enkripsi semua perangkat klien untuk memenuhi Bitlocker atau solusi enkrirpsi disk industri yang setara lainnya untuk semua perangkat klien yang digunakan untuk menangani Informasi Pribadi atau Rahasia. Versi 4 Juli 2017 Halaman 18

19 Bagian J: Keamanan (lanjutan) 73 Saat memproses kartu kredit atas nama, patuhi standar penanganan kartu kredit yang berlaku sesuai penerbit kartu. 74 Pemasok harus menyimpan aset fisik Informasi Pribadi dan Sensitif di lingkungan yang dikendalikan akses. 75 Melakukan uji penetrasi keamanan independen setiap tahun ntuk solusi Perangkat Lunak Berbentuk Layanan (Software as a Service/SaaS) yang Memproses Informasi Pribadi atau Rahasia, yang memberikan hasilnya kepada berdasarkan permintaan atau memungkinkan melakukan uji penetrasi secara berkala. Hubungi SSPAHelp@microsoft.com untuk menyerahkan sertifikat uji pena atau meminta uji. 76 Membuat anonim semua Informasi Personal yang digunakan dalam lingkungan pengembangan atau pengujian. Buktikan kepatuhan dengan memberikan sertifikasi Standar Layanan Data Industri Kartu Pembayaran (Payment Card Industry Data Services Standard/PCI-DSS) setiap tahunnya. Serahkan sertifikasi PCI DSS kepada SSPA. Hubungi SSPAHelp@microsoft.com Sistem dan proses harus diterapkan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan data. Tahapan penanganan harus dilacak untuk pergerakan dan penghancuran media fisik yang berisi data. Informasi Pribadi tidak boleh digunakan di lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dibuat anonim secukupnya untuk mencegah identifikasi Subjek Data atau penyalahgunaan Informasi Pribadi. Versi 4 Juli 2017 Halaman 19