Syarat Perlindungan Data Pembekal Microsoft

dokumen-dokumen yang mirip
NOTIS PERLINDUNGAN DATA PEREKRUTAN

PERNYATAAN PRIVASI INREACH

Dasar Privasi. Skop. Jenis Data dan Kaedah Pengumpulan

NOTIS PRIVASI MAKLUMAT PERIBADI UNTUK KAKITANGAN DAN CALON

Notis Privasi Adient. Notis Privasi Adient ini merangkumi topik berikut: Skop Notis Privasi ini. Apakah maklumat peribadi yang kami boleh kumpul

Polisi Privasi. Pengenalan

Dasar Privasi kami. Terakhir diubah suai: 12 Dis Ringkasan perubahan boleh dirujuk di bahagian bawah Dasar Privasi ini.

Notis Privasi. Komitmen kami dalam memelihara privasi anda

NOTIS PERLINDUNGAN DATA PERIBADI DAN SENARAI PRINSIP NOTIS. Merujuk kepada seksyen 7 dan 6 Akta Perlindungan Data Peribadi 2010

POLISI PERLINDUNGAN DATA PERIBADI

Notis Data Peribadi dan Maklumat kepada individu

TAMBAHAN KEPADA BLACKBERRY PERJANJIAN PENYELESAIAN LESEN UNTUK BLACKBERRY ENTERPRISE PERKHIDMATAN 12 CLOUD ("TAMBAHAN itu")

AKTA PERLINDUNGAN DATA PERIBADI 2010 NOTIS DAN PILIHAN

AKTA PERLINDUNGAN PERIBADI 2010 NOTIS DAN PILIHAN

NOTIS PRIVASI. Untuk tujuan Notis ini:

Polisi Privasi Data Peribadi (September 2016) 1

Maklumat Am. Supaya dapat menyediakan bahan atau perkhidmatan kepada Kumpulan NSG, para pembekal dikehendaki mematuhi Kod Tatalaku ini.

Perilaku Beretika bagi Pembekal dan Orang Tengah: Tataetika Perniagaan Pembekal. Tataetika Perniagaan Pembekal Smiths

Minerals Technologies Inc. Ringkasan Dasar Kelakuan Perniagaan. Kelakuan yang Sah dan Beretika Diperlukan pada Setiap Masa

Polisi Privasi UNTUK PENGETAHUAN PENGGUNA PENERANGAN DATA PERIBADI

POLISI PERLINDUNGAN DATA PERIBADI

Dasar Perlindungan Data Peribadi LTAT

DASAR PRIVASI DAN PERLINDUNGAN DATA PERIBADI

DASAR PEMBERI MAKLUMAT DALAMAN 2013 SEKSYEN AUDIT DALAM

Notis Laman Web Berkenaan Dengan Akta Perlindungan Data Peribadi 2010

Mighty Dine UOBM. Terma Penggunaan

NOTIS PRIVASI. Di bawah PDPA, AmFIRST Real Estate Investment Trust ( AmFIRST REIT ) dikehendaki untuk memaklumkan kepada anda seperti yang berikut:

Notis Perlindungan Data Peribadi Menurut Seksyen 7 Akta Perlindungan Data Peribadi 2010

NOTIS PRIVASI. 1.4 Untuk tujuan-tujuan Notis Privasi ini, sila ambil perhatian bahawa:

Bayar dengan UOBM Mighty. Terma & Syarat

DASAR PENGURUSAN REKOD ARKIB ELEKTRONIK DAN

Tatakelakuan. Pembekal

DASAR PRIVASI NOTIS PERLINDUNGAN DATA PERIBADI

Yang terakhir diubah suai: 29 Ogos 2016 (lihat versi yang diarkibkan) (Contoh melalui hiperpautan disediakan di akhir dokumen ini.

Tatakelakuan. Tatakelakuan berkenaan hubungan Syarikat dengan Pentadbiran Awam

Kod etika perniagaan Disemak Februari 2016

1.1 Dalam menyediakan perkhidmatan, kami akan mengumpulkan data daripada sumber-sumber berikut:-

NTPM HOLDINGS BERHAD ( U) POLISI DATA MAKLUMAT PERIBADI

TERMA PENGGUNAAN. Skop

KOD ETIKA RAKAN KONGSI PERNIAGAAN

National Bank of Abu Dhabi Menghormati Hak Maklumat Peribadi Anda (Notis menurut seksyen 7 Akta Perlindungan Data Peribadi 2010)

NSG Group Tata Kelakuan Pembekal

Polisi Perlindungan Data Peribadi (Semakan 1 Jun 2017)

Polisi Privasi Smiggle

Notis Privasi. Komitmen Kami Terhadap Privasi Anda

SOALAN LAZIM BAGI KAD PIN & BAYAR (Pindaan 17 Ogos 2017)

Di Kumpulan CIMB, kami menghargai privasi anda dan berusaha untuk melindungi maklumat peribadi anda selaras dengan undang-undang Malaysia.

Kod pengendalian perniagaan

DASAR KESELAMATAN ICT JPP DAN POLITEKNIK DKICT JPP DAN POLITEKNIK

TERMA-TERMA RUJUKAN JAWATANKUASA AUDIT

DASAR PRIVASI. UiTM... Mengubah Destini Anak Bangsa

Pernyataan Privasi Ingram Micro

Notis Privasi Dan Perlindungan Data Peribadi Bagi Kumpulan Kobay

1. Di Kumpulan AFFINBANK, kami menghargai privasi anda dan berusaha untuk melindungi maklumat peribadi anda selaras dengan undang undang Malaysia.

KELAKUAN TERHADAP PENJUAL LANGSUNG

NOTIS PRIVASI. informasi yang didapati secara bebas oleh Kumpulan dari sumber-sumber yang sah;

Sila harap maklum bahawa perubahan berikut (perkataan digelapkan) telah dibuat ke atas Terma & Syarat AFFINBANK Debit MasterCard anda.

Standard Tanggungjawab untuk Pembekal

HO HUP CONSTRUCTION COMPANY BERHAD (No. Syarikat W) NOTIS DAN DASAR PERLINDUNGAN DATA PERIBADI

B. KEPENTINGAN DOKUMEN

SUNEDISON, INC. September 2013 DASAR ANTI-RASUAH ASING

Bagi tujuan Notis Privasi ini, sila ambil perhatian bahawa:

1 of 5 PENYATAAN PRIVASI EDUCATE TO LEARN SDN BHD

TATAKELAKUAN PEMBEKAL GLOBAL AVON

Ranhill Holdings Berhad KENYATAAN PRIVASI

Kawalan & pengauditan sistem maklumat. Sinopsis:

DASAR PENGURUSAN LAMAN WEB UNIVERSITI EDISI 2016

WARANTI TERHAD. (i) membaiki bahagian yang rosak pada Peranti BlackBerry tanpa mengenakan bayaran kepada ANDA untuk bahagian baharu atau yang dibaiki;

CADANGAN STANDARD PERLINDUNGAN DATA PERIBADI

Borang Mandat Bank. Untuk syarikat, entiti korporat, perkongsian dan persatuan tidak diperbadankan

NOTIS PERLINDUNGAN DATA PERIBADI

STANDARD PERLINDUNGAN DATA PERIBADI 2015

Terma-terma dan Syarat-syarat 0% Easy Pay CIMB

Prinsip-prinsip Tingkah Laku Korporat

DASAR AKAUNTABILITI DAN KERAHSIAAN MAKLUMAT

NOTIS PRIVASI PERUNDING UNIT AMANAH/PERUNDING PRS

TERHAD ARAHAN PENGENDALIAN KOMPUTER BAGI SECURE DIGITAL COMMUNICATION SYSTEM (SDCS)

Kawalan & pengauditan sistem maklumat. Kandungan: Prakata BAB 1 PENGENALAN KEPADA PENGAUDITAN SISTEM MAKLUMAT. Pengenalan

GARIS PANDUAN PEMBANGUNAN DAN PENYENGGARAAN APLIKASI/LAMAN WEB UNIVERSITI SAINS MALAYSIA

PANDUAN BUDAYA KERJA CEMERLANG PPKT. KAMPUS KEJURUTERAAN, USM Versi 3 (25 April 2017)

KEMPEN PEMBELANJAAN LUAR NEGARA DAN DAPAT 12% PULANGAN TUNAI KAD KREDIT HONG LEONG BANK

2.0 PEKELILING KEMAJUAN PENTADBIRAN AWAM BILANGAN 1 TAHUN 2009

Kempen Rebat Tunai RM1,000 Penyata-E CIMB Islamic Bank Terma-terma dan Syarat-syarat

AKTA PERLINDUNGAN DATA PERIBADI 2010 PROTOKOL PERLINDUNGAN DATA PERIBADI NOTIS PERLINDUNGAN DATA PERIBADI

Bank of America Malaysia Berhad Piagam Perkhidmatan Pelanggan

Kempen Pembayaran Segera ke Nombor Telefon Bimbit dan Menang!

BAHAGIAN EMPAT. Taksiran Prestasi dan Keberkesanan

POS MALAYSIA NOTIS PERLINDUNGAN DATA PERIBADI

Tajuk : Isu kelemahan pengurusan asset alih kerajaan sering dibangkitkan. dalam laporan Ketua Audit Negara. Sebagai pengurus sekolah,

Fasal-fasal yang dipinda bagi Terma & Syarat Kad AFFINBANK World MasterCard

KEMPEN PEMBELANJAAN LUAR NEGARA DAN DAPAT 1% PULANGAN TUNAI KAD KREDIT HONG LEONG BANK

DASAR ANTI RASUAH RGIS

KOD ETIKA MENJALANKAN PERNIAGAAN DENGAN KUMPULAN AIR SELANGOR SYABAS PNSBW KONSORTIUM ABASS KASB

2 Penyimpanan Tempatan dan Perkongsian Data adalah di bawah Kawalan Anda

Terma-Terma dan Peraturan Pengurusan Kes (Peringkat Pertama)

PEMATUHAN DENGAN UNDANG-UNDANG DAN PERATURAN-PERATURAN

Nilai-nilai dan Kod Etika Kumpulan Pirelli

4. Peraduan ini terpakai di semua stesen runcit Shell di Malaysia, seperti yang tersenarai di ( Stesen Shell ).

UNDANG-UNDANG MALAYSIA Akta 680 AKTA AKTIVITI KERAJAAN ELEKTRONIK 2007 SUSUNAN SEKSYEN

Menghormati pekerja di seluruh dunia. 1.1 Tiada buruh paksa, terikat atau penjara paksaan.

Transkripsi:

Syarat Perlindungan Data Pembekal Microsoft Keterterapan Syarat Perlindungan Data Pembekal Microsoft (DPR) terpakai kepada semua pembekal Microsoft yang Memproses Maklumat Peribadi Microsoft atau Maklumat Sulit Microsoft sebagai sebahagian daripada pelaksanaan perkhidmatan yang diberikan mengikut syarat pesanan pembelian atau kontrak mereka dengan Microsoft. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan syarat yang dinyatakan dalam perjanjian berkontrak antara pembekal dan Microsoft, syarat-syarat kontrak tersebut akan diberikan keutamaan. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan mana-mana syarat undangundang atau berkanun, syarat-syarat perundangan dan berkanun sedemikian akan diberikan keutamaan. Tanpa mengehadkan kewajipannya yang lain, dan Microsoft telah memberikan kelulusan bertulis terlebih dahulu bagi pemindahan antarabangsa Maklumat Peribadi Microsoft, pembekal haruslah mematuhi syarat perlindungan data bagi mana-mana terma kontrak standard, peraturan korporat yang mengikat, atau skim lain yang diluluskan oleh mana-mana pihak berkuasa perlindungan data, Lembaga Perlindungan Data Eropah, atau Suruhanjaya Eropah dan telah diterima pakai atau dipersetujui oleh Microsoft, termasuk, tetapi tidak terhad kepada, EU-U.S. Dan Switzerland-U.S. Rangka kerja Perisai Privasi dan Peraturan Perlindungan Data Umum EU. Pembekal bersetuju untuk memaklumkan Microsoft sekiranya Pembekal menentukan bahawa ia tidak lagi dapat memenuhi kewajipannya untuk memberikan tahap perlindungan yang sama seperti yang dikehendaki oleh prinsip Perisai Privasi. Pembekal hendaklah juga memastikan bahawa mana-mana dan semua subpemproses (seperti yang ditakrifkan dalam Klausa 1(d) daripada Klausa Kontrak Standard 2010 yang diterbitkan sebagai Lampiran kepada Keputusan Suruhanjaya Eropah C(2010)593) juga dipatuhi. Maklumat Sulit Microsoft ialah apa-apa maklumat yang, jika dikompromikan melalui cara kerahsiaan atau integriti, boleh mengakibatkan kehilangan reputasi atau kewangan yang besar kepada Microsoft. Maklumat ini merangkumi, tetapi tidak terhad kepada: Produk perkakasan dan perisian Microsoft, aplikasi jenis perniagaan dalaman, bahan pemasaran prakeluaran, kunci lesen produk dan dokumentasi teknikal yang berkaitan dengan produk dan perkhidmatan Microsoft. Maklumat Peribadi Microsoft bermaksud apa-apa Maklumat Peribadi yang Diproses oleh atau bagi pihak Microsoft Maklumat Peribadi bermaksud apa-apa maklumat yang berhubungan dengan orang sebenar yang telah dikenal pasti atau boleh dikenal pasti (" Subjek Data "); orang sebenar yang boleh dikenal pasti ialah seseorang yang boleh dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau merujuk kepada satu atau lebih faktor yang khusus kepada fizikal, fisiologi, genetik, mental, ekonomi, kebudayaan atau identiti sosial orang sebenar itu. Pelanggaran Maklumat Peribadi bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan secara tidak sengaja atau menyalahi undang-undang, kehilangan, pengubahan, pendedahan atau capaian tanpa kebenaran kepada Maklumat Peribadi yang dihantar, disimpan atau Diproses. Proses bermaksud apa-apa operasi atau set operasi yang dilakukan pada Maklumat Peribadi atau pada set Maklumat Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, rakaman, penyusunan, penstrukturan, penyimpanan, penyesuaian atau pengubahan, pengambilan semula, perundingan, penggunaan, pendedahan dengan penghantaran, penyebaran atau menyediakan, penjajaran atau gabungan, sekatan, penghapusan atau pemusnahan. Versi 4 Julai 2017 Halaman 1

Struktur DPR DPR dibuat berdasarkan rangka kerja yang direka oleh Institut Akauntan Awam Bertauliah Amerika (AICPA) untuk mengukur amalan privasi. Prinsip Privasi Diterima Umum (GAPP) dibahagikan kepada 10 bahagian yang merangkumi kriteria boleh diukur yang berkaitan dengan perlindungan dan pengurusan Maklumat Peribadi. Rangka kerja ini telah dipertingkatkan dengan syarat-syarat keselamatan & privasi Microsoft tambahan. # Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Bahagian A: Pengurusan Sebelum pembekal boleh Memproses Maklumat Peribadi atau Sulit Microsoft, pembekal mestilah: 1 Telah menandatangani kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi bahasa privasi dan perlindungan data keselamatan yang menetapkan perkara-perkara dan tempoh Pemprosesan, jenis dan tujuan Pemprosesan, jenis Maklumat Peribadi Microsoft dan kategori Subjek Data serta kewajipan dan hak Microsoft. 2 Menugaskan tanggungjawab dan kebertanggungjawaban terhadap pematuhan Syarat Perlindungan Data Pembekal Microsoft kepada seseorang atau kumpulan yang khusus di dalam syarikat. 3 Memastikan semua orang yang diberi kuasa untuk Memproses Maklumat Peribadi Microsoft telah mengikat diri mereka kepada kerahsiaan atau berada di bawah kewajipan berkanun yang sesuai terhadap kerahsiaan. 4 Mewujudkan, menyelenggara dan melaksanakan latihan privasi tahunan bagi pekerja yang akan mencapai Maklumat Peribadi Microsoft. Sekiranya syarikat anda tidak mempunyai kandungan yang tersedia, hubungi SSPAHelp@microsoft.com untuk meminta rangka papan cerita yang anda boleh sesuaikan untuk syarikat anda. Pembekal mesti mengemukakan kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi penerangan yang diperlukan mengenai aktiviti Pemprosesan. Pembekal mesti mengenal pasti individu atau kumpulan yang ditugaskan untuk memastikan pematuhan pembekal terhadap Syarat Perlindungan Data. Kuasa dan kebertanggungjawaban orang atau kumpulan ini harus didokumenkan dengan jelas. Kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah dengan kewajipan kerahsiaan. Bukti berbentuk standard perjanjian tidak boleh dedah pembekal, pekerjaan, perundingan dan subkontrak. Pembekal akan mendidik pekerja pada awalnya dan secara berkala tentang prinsip privasi dan keselamatan asas. Bukti latihan tersebut telah dijalankan boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (e-mel, laman web, surat berita, dll. Versi 4 Julai 2017 Halaman 2

Bahagian A: Pengurusan (samb.) 5 Sampaikan maklumat yang berkaitan tentang Syarat Perlindungan Data Pembekal Microsoft secara tahunan kepada kakitangan dan subkontraktor yang melaksanakan perkhidmatan untuk Microsoft. 6 Memproses Maklumat Peribadi Microsoft hanya mengikut arahan yang didokumenkan Microsoft termasuk untuk memindahkan Maklumat Peribadi kepada negara ketiga atau organisasi antarabangsa, melainkan jika dikehendaki oleh undang-undang yang berkenaan; dalam hal sedemikian, pemproses hendaklah memaklumkan kepada pengawal tentang keperluan undang-undang tersebut sebelum memproses, kecuali jika undang-undang itu melarang maklumat sedemikian atas alasan penting kepentingan awam. 7 Maklumkan Microsoft dengan segera jika, pada pendapatnya, suatu arahan telah melanggar undangundang yang berkenaan. Pembekal mendidik kakitangan dan subkontraktor yang terlibat dalam penyediaan perkhidmatan kepada Microsoft tentang Syarat Perlindungan Data Pembekal Microsoft. Bukti latihan seperti itu dijalankan pada awal dan secara berkala boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (emel, laman web, surat berita, dsb.) dengan pekerja dan subkontraktor, dsb. Bukti arahan yang didokumenkan, cth. seperti yang dinyatakan dalam kontrak, pernyataan kerja atau pesanan pembelian, atau ditangkap sebagai sebahagian daripada sistem elektronik yang digunakan dalam penyediaan perkhidmatan. Kewajipan kontrak pada pembekal untuk memaklumkan Microsoft jika, pada pendapat pembekal, suatu arahan telah melanggar undang-undang yang berkenaan. Bahagian B: Notis 8 Pembekal mesti menggunakan Pernyataan Privasi Microsoft semasa mengumpul Maklumat Peribadi bagi pihak Microsoft. Notis privasi harus mudah dilihat dan tersedia kepada Subjek Data untuk membantu mereka membuat keputusan sama ada untuk menyerahkan Maklumat Peribadi mereka kepada pembekal. Notis privasi harus tersedia di dalam talian dan di luar talian seperti yang diperlukan, bertarikh dengan jelas dan disediakan pada atau sebelum masa pengumpulan data. Versi 4 Julai 2017 Halaman 3

Bahagian B: Notis (samb.) 9 Apabila mengumpul Maklumat Peribadi Microsoft melalui panggilan suara langsung atau rakaman, pembekal mesti bersedia untuk membincangkan amalan pengumpulan, pengendalian, penggunaan dan pengekalan data yang berkenaan dengan Subjek Data. Pembekal menunjukkan bahawa pengumpulan, pengendalian, penggunaan dan pengekalan data dibincangkan dengan Subjek Data apabila Maklumat Peribadi dikumpulkan melalui telefon. Bahagian C: Pilihan dan Keizinan 10 Apabila pembekal bergantung pada keizinan sebagai asas undang-undang untuk memproses data, pembekal perlu mendapatkan dan mendokumenkan keizinan Subjek Data sebelum mengumpul Maklumat Peribadi Subjek Data tersebut. 11 Pembekal mengambil apa-apa keizinan Subjek Data yang diperlukan sebelum atau pada masa mengumpul Maklumat Peribadi. Pembekal menerangkan proses bagi Subjek Data untuk menyetujui atau menolak pemberian Maklumat Peribadi dan akibat mana-mana tindakan yang dipilih. Pembekal mendokumenkan dan mengurus keutamaan hubungan serta melaksanakan dan mengurus perubahan kepada pilihan tersebut. Sistem dan prosedur wujud untuk menguruskan keizinan Subjek Data dan keutamaan hubungan. 12 Mendokumenkan dan mengurus perubahan kepada keutamaan hubungan Subjek Data pada masa yang tepat. 13 Mendapat dan mendokumenkan keizinan Subjek Data bagi apa-apa penggunaan baharu Maklumat Peribadi Subjek Data tersebut. Pembekal memantau pengurusan keizinan Subjek Data untuk memastikan keberkesanan sistem dan proses. Pembekal memastikan bahawa jika keizinan tidak diberikan, tiada penggunaan atau pemprosesan tambahan berlaku. Versi 4 Julai 2017 Halaman 4

Bahagian C: Pilihan dan Keizinan (samb.) 14 Kuki ialah fail teks kecil yang disimpan pada peranti oleh tapak web dan aplikasi dalam talian yang mengandungi maklumat yang digunakan untuk mengenali pengguna atau peranti. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memberikan pengguna notis dan pilihan yang telus mengenai penggunaan kuki. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memastikan bahawa penggunaan kuki sejajar dengan komitmen dalam Pernyataan Privasi Microsoft dan keperluan undang-undang tempatan seperti peraturan yang ditetapkan oleh Kesatuan Eropah. Tujuan setiap kuki mesti didokumenkan, dan mesti memaklumkan jenis kuki yang dilaksanakan: Kuki sesi harus digunakan apabila boleh. Kuki berterusan kekal pada peranti untuk tempoh tidak lebih daripada yang diperlukan dan tidak melebihi 2 tahun. Mengesahkan bahawa peraturan EU digunakan, seperti, tetapi tidak terhad kepada; Penggunaan konvensyen pelabelan, "Privasi & Kuki" untuk pernyataan privasi. Mendapatkan keizinan pengguna yang mengiakan sebelum menggunakan kuki untuk tujuan "tidak perlu" seperti pengiklanan. Bahagian D: Pengumpulan 15 Pembekal mesti memantau pengumpulan Maklumat Peribadi dan Sulit Microsoft untuk memastikan bahawa hanya maklumat yang diperlukan sahaja dikumpul untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft. 16 Jika pembekal mendapatkan Maklumat Peribadi daripada pihak ketiga bagi pihak Microsoft, pembekal mesti mengesahkan bahawa dasar dan amalan perlindungan data pihak ketiga adalah selaras dengan kontrak pembekal dengan Microsoft dan syarat-syarat DPR. 17 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif melalui pemasangan atau penggunaan perisian boleh laku pada peranti Subjek Data, keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft. Sistem dan prosedur wujud untuk menentukan Maklumat Peribadi dan Sulit yang diperlukan. Pembekal memantau pengumpulan untuk memastikan keberkesanan sistem dan prosedur. Pembekal boleh menunjukkan bahawa usaha wajar telah dilakukan berkenaan dasar dan amalan perlindungan data pihak ketiga. Pembekal memperoleh dan mendokumenkan persetujuan Microsoft apabila menggunakan perisian boleh laku pada komputer Subjek Data untuk mengumpul Maklumat Peribadi. Versi 4 Julai 2017 Halaman 5

Bahagian D: Pengumpulan (samb.) 18 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif (data yang mendedahkan asal perkauman atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, data genetik, data biometrik, data mengenai kesihatan atau data mengenai kehidupan seks atau orientasi seksual seseorang) keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft. Pembekal memperoleh dan mendokumenkan persetujuan Microsoft sebelum mengumpul Maklumat Peribadi yang sensitif. Bahagian E: Penyimpanan 19 Memastikan bahawa Maklumat Peribadi dan Sulit Microsoft dikekalkan bagi tempoh tidak lebih daripada yang diperlukan untuk menyediakan perkhidmatan melainkan penyimpanan berterusan Maklumat Peribadi Microsoft dikehendaki oleh undang-undang. 20 Memastikan bahawa, atas budi bicara Microsoft, Maklumat Peribadi atau Sulit Microsoft dalam pemilikan pembekal atau di bawah kawalannya dikembalikan kepada Microsoft atau dimusnahkan setelah selesai perkhidmatan atau atas permintaan Microsoft. Apabila diminta, pembekal mesti memberikan sijil pemusnahan yang ditandatangani oleh pegawai pembekal kepada Microsoft. Apabila pemusnahan Maklumat Peribadi atau Sulit Microsoft diperlukan, pembekal perlu membakar, menghancurkan, atau mencencang aset fizikal yang mengandungi Maklumat Peribadi Microsoft supaya maklumat tersebut tidak dapat dibaca atau dibina semula. Dalam aplikasi, proses mesti diwujudkan untuk memastikan bahawa apabila data dikeluarkan daripada aplikasi sama ada secara eksplisit oleh pengguna atau berdasarkan pencetus lain seperti umur data, ia dipadamkan dengan selamat. Pembekal mematuhi dasar penyimpanan yang didokumentasikan atau syarat penyimpanan yang ditentukan oleh Microsoft dalam kontrak, pernyataan kerja atau pesanan pembelian. Pembekal mengekalkan rekod pelupusan Maklumat Peribadi dan Sulit Microsoft (cth., kembalikan kepada Microsoft untuk pemusnahan). Versi 4 Julai 2017 Halaman 6

Bahagian F: Subjek Data 21 Subjek Data mempunyai hak untuk mencapai, memadam, menyunting, mengeksport, menyekat dan membantah pemprosesan Maklumat Peribadi mereka ("Hak Subjek Data"). Apabila Subjek Data ingin melaksanakan hak mereka di bawah undang-undang yang bersesuaian berkenaan dengan Maklumat Peribadi Microsoft mereka, pembekal mesti: 22 Membantu Microsoft, melalui langkah-langkah teknikal dan organisasi yang sesuai, setakat yang mungkin, memenuhi kewajipannya untuk bertindak balas terhadap permintaan Subjek Data yang ingin melaksanakan hak mereka di bawah undang-undang yang berkenaan. 23 Bertindak balas terhadap semua permintaan Hak Subjek Data tanpa kelewatan yang tidak sewajarnya. 24 Melainkan jika diarahkan oleh Microsoft, Pembekal akan merujuk semua Subjek Data yang menghubungi Pembekal secara langsung kepada Microsoft untuk melaksanakan Hak Subjek Data mereka. Pembekal akan menyampaikan kepada Subjek Data tentang langkah-langkah yang perlu diambil oleh seseorang untuk mendapatkan capaian kepada atau sebaliknya melaksanakan hak mereka berbanding dengan Maklumat Peribadi Microsoft mereka. 25 Apabila bertindak balas secara langsung kepada Subjek Data, sahkan identiti Subjek Data yang membuat permintaan. 26 Dapatkan kebenaran daripada Microsoft untuk terus menggunakan pengecam yang dikeluarkan oleh kerajaan (sebagai contoh, nombor Keselamatan Sosial) untuk pengesahan. Apabila Subjek Data telah disahkan, pembekal mesti: Pembekal menjalankan ujian berkala untuk memastikan mereka dapat menyokong hak Subjek Data. Pembekal menyampaikan langkah-langkah yang akan diambil untuk mencapai Maklumat Peribadi, serta kaedah yang tersedia untuk mengemas kini maklumat tersebut. Versi 4 Julai 2017 Halaman 7

Bahagian F: Subjek Data (samb.) 27 Menentukan sama ada ia memegang atau mengawal Maklumat Peribadi Microsoft tentang Subjek Data. 28 Melakukan usaha yang sewajarnya untuk mengesan Maklumat Peribadi Microsoft yang diminta dan menyimpan rekod yang mencukupi untuk menunjukkan bahawa carian yang sewajarnya telah dilakukan. 29 Mencatat tarikh dan masa permintaan serta tindakan yang diambil oleh pembekal sebagai tindak balas kepada permintaan tersebut. Menyediakan rekod permintaan Subjek Data kepada Microsoft atas permintaan. 30 Apabila Subjek Data telah disahkan dan pembekal telah mengesahkan bahawa mereka mempunyai Maklumat Peribadi Microsoft yang diminta, pembekal mesti: 31 Bagi permintaan untuk mendapatkan salinan Maklumat Peribadi, berikan Maklumat Peribadi Microsoft kepada Subjek Data dalam format bercetak, elektronik atau lisan yang sesuai. 32 Sekiranya permintaan mereka ditolak, atas arahan Microsoft, berikan penjelasan bertulis kepada Subjek Data yang selaras dengan mana-mana arahan berkaitan yang disediakan oleh Microsoft sebelum ini. Pembekal mempunyai prosedur untuk menentukan sama ada Maklumat Peribadi dipegang. Pembekal membalas permintaan tepat pada waktunya. Pembekal mengekalkan rekod permintaan untuk capaian dan mendokumenkan perubahan yang dibuat kepada Maklumat Peribadi. Pembekal membekalkan Maklumat Peribadi kepada Subjek Data dalam format yang mudah difahami dan dalam bentuk yang mudah untuk Subjek Data dan pembekal. Mendokumenkan kejadian permintaan ditolak dan mengekalkan bukti semakan dan kelulusan Microsoft. Versi 4 Julai 2017 Halaman 8

Bahagian F: Subjek Data (samb.) 33 Pembekal mesti mengambil langkah berjaga-jaga yang munasabah untuk memastikan bahawa Maklumat Peribadi Microsoft yang dikeluarkan kepada Subjek Data tidak boleh digunakan untuk mengenal pasti orang lain. 34 Sekiranya Subjek Data dan pembekal tidak bersetuju sama ada Maklumat Peribadi Microsoft adalah lengkap dan tepat, pembekal mesti menaikkan isu ini kepada Microsoft dan bekerjasama dengan Microsoft sebagaimana yang perlu untuk menyelesaikan isu tersebut. Pembekal mesti menunjukkan bahawa langkah berjaga-jaga yang munasabah telah diambil supaya orang lain tidak boleh dikenal pasti daripada maklumat yang dikeluarkan (cth., tidak boleh membuat salinan foto bagi seluruh halaman data apabila Maklumat Peribadi yang diminta untuk Subjek Data hanya muncul pada satu baris). Pembekal mendokumenkan kejadian percanggahan dan menaikkan isu kepada Microsoft. Bahagian G: Pendedahan kepada Pihak Ketiga Sekiranya pembekal berhasrat untuk menggunakan subkontraktor untuk Memproses Maklumat Peribadi dan Sulit Microsoft, pembekal mesti: 35 Mendapatkan kebenaran bertulis Microsoft secara nyata sebelum memberikan subkontrak perkhidmatan atau membuat apa-apa perubahan berkaitan dengan penambahan atau penggantian subkontraktor. 36 Bertanggungjawab sepenuhnya kepada Microsoft untuk prestasi mana-mana subkontraktor. 37 Mendokumenkan jenis dan sejauh mana Maklumat Peribadi dan Sulit Microsoft Disubproses oleh subkontraktor, memastikan bahawa maklumat yang dikumpul diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft. Perjanjian kontrak pada pembekal untuk terus bertanggungjawab terhadap Microsoft bagi subkontraktornya. Pembekal mengekalkan dokumentasi mengenai Maklumat Peribadi dan Sulit Microsoft yang didedahkan atau dipindahkan kepada subkontraktor. Versi 4 Julai 2017 Halaman 9

Bahagian G: Pendedahan kepada Pihak Ketiga (samb.) 38 Memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft selaras dengan keutamaan hubungan yang dinyatakan oleh Subjek Data. 39 Mengehadkan Pemprosesan Maklumat Peribadi Microsoft oleh subkontraktor untuk tujuan yang diperlukan demi memenuhi kontrak pembekal dengan Microsoft. 40 Memaklumkan Microsoft dengan segera tentang apa-apa perintah mahkamah yang memaksa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor dan, sebagaimana yang dibenarkan oleh undang-undang, memberikan Microsoft peluang untuk campur tangan sebelum memfailkan apa-apa balasan kepada perintah atau notis tersebut. 41 Menyemak aduan untuk indikasi terhadap apa-apa Pemprosesan Maklumat Peribadi Microsoft yang tidak sah atau menyalahi undang-undang. 42 Memaklumkan Microsoft dengan segera apabila mengetahui bahawa subkontraktor telah Memproses Maklumat Peribadi dan Sulit Microsoft untuk tujuan lain selain daripada menyediakan perkhidmatan yang berkaitan dengan Microsoft kepada Microsoft atau para pembekalnya. Sistem dan proses sudah wujud untuk memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft semata-mata untuk tujuan yang ditetapkan dan selaras dengan keutamaan hubungan Subjek Data. Pembekal menunjukkan bahawa Microsoft telah dihubungi, apabila dibenarkan, sebelum membenarkan apa-apa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor sebagai tindak balas kepada perintah mahkamah. Sistem dan proses diwujudkan untuk menangani aduan yang berkaitan dengan penggunaan atau pendedahan Maklumat Peribadi Microsoft yang tidak dibenarkan oleh subkontraktor. Pembekal mampu menunjukkan bahawa Microsoft telah dimaklumkan apabila subkontraktor telah menggunakan Maklumat Peribadi Microsoft untuk tujuan yang tidak dibenarkan. Versi 4 Julai 2017 Halaman 10

Bahagian G: Pendedahan kepada Pihak Ketiga (samb) 43 Mengambil tindakan dengan segera untuk mengurangkan apa-apa kemudaratan sebenar atau berpotensi yang disebabkan oleh Pemprosesan Maklumat Peribadi dan Sulit Microsoft yang tidak sah atau menyalahi undangundang oleh subkontraktor. 44 Sebelum menerima apa-apa Maklumat Peribadi daripada pihak ketiga, sahkan bahawa amalan pengumpulan data pihak ketiga adalah selaras dengan DPR. 45 Mengesahkan bahawa hanya Maklumat Peribadi yang diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft dikumpul daripada pihak ketiga. Pembekal boleh menunjukkan bahawa tindakan yang sewajarnya telah diambil apabila subkontraktor telah menggunakan Maklumat Peribadi dan Sulit Microsoft untuk tujuan yang tidak dibenarkan atau telah mendedahkan Maklumat Peribadi atau Sulit. Proses berdokumen sudah wujud untuk mengesahkan amalan pengumpulan data pihak ketiga. Proses berdokumen sudah wujud untuk mengehadkan pemindahan Maklumat Peribadi Microsoft daripada pihak ketiga kepada yang hanya diperlukan untuk melaksanakan perkhidmatan yang dikontrak. Bahagian H: Kualiti 46 Pembekal mesti mengekalkan integriti semua Maklumat Peribadi Microsoft, memastikannya sentiasa tepat, lengkap dan berkaitan dengan tujuan yang dinyatakan untuknya Diproses. 47 Pembekal mesti memastikan bahawa jumlah minimum Maklumat Peribadi yang diperlukan untuk memenuhi tujuan yang dinyatakan telah dikumpulkan. Maklumat disahkan apabila dikumpulkan, dihasilkan dan dikemas kini. Sistem dan proses sudah wujud untuk mengesahkan ketepatan secara berterusan dan betul sebagaimana yang perlu. Versi 4 Julai 2017 Halaman 11

Bahagian I: Pengawasan dan Penguatkuasaan 48 Memaklumkan Microsoft dengan segera apabila menyedari Pelanggaran Maklumat Peribadi atau kerentanan keselamatan yang berkaitan dengan pengendalian pembekal dalam Maklumat Peribadi atau Sulit Microsoft. 49 Tidak mengeluarkan apa-apa siaran akhbar atau apa-apa notis awam lain yang berkaitan dengan Pelanggaran Maklumat Peribadi yang melibatkan Maklumat Peribadi atau Sulit Microsoft tanpa mendapat kelulusan Microsoft melainkan dinyatakan oleh undang-undang atau keperluan pengawalseliaan. 50 Melaksanakan rancangan pemulihan dan memantau resolusi Pelanggaran Maklumat Peribadi dan kerentanan yang berkaitan dengan Maklumat Peribadi Microsoft untuk memastikan bahawa tindakan pembetulan yang sesuai telah diambil tepat pada masanya. 51 Mewujudkan proses aduan formal untuk menjawab semua aduan perlindungan data yang melibatkan Maklumat Peribadi Microsoft. 52 Memaklumkan Microsoft tentang sebarang aduan yang berkaitan dengan Maklumat Peribadi Microsoft. 53 Merekod dan membalas semua aduan perlindungan data yang berkaitan dengan Maklumat Peribadi Microsoft tepat pada masanya melainkan diberikan arahan khusus oleh Microsoft. Apabila diminta, memberikan kepada Microsoft dokumentasi aduan yang telah diselesaikan atau belum diselesaikan. Pembekal mesti mempunyai proses berdokumen untuk mengendalikan aduan dan memaklumkan Microsoft. Rekod aduan yang menunjukkan balasan dibuat tepat pada masanya. Dokumentasi aduan terbuka/tertutup. Versi 4 Julai 2017 Halaman 12

Bahagian I: Pengawasan dan Penguatkuasaan (samb) 54 Pembekal perlu mengambil kira jenis maklumat pembekal dan membantu Microsoft dalam memastikan pematuhan terhadap kewajipannya di bawah undang-undang yang berkenaan (termasuk tetapi tidak terhad kepada keselamatan data, Pelanggaran Maklumat Peribadi, penilaian kesan perlindungan data dan perundingan dengan kerajaan, pihak berkuasa kawal selia dan penyeliaan). 55 Menyediakan kepada Microsoft semua maklumat yang diperlukan untuk menunjukkan pematuhan terhadap kewajipan di bawah undang-undang yang berkenaan dan membenarkan serta menyumbang kepada audit, termasuk pemeriksaan, yang dijalankan oleh Microsoft atau juruaudit lain yang dimandatkan oleh Microsoft. <Konflik Kontrak Bahagian J: Keselamatan 56 PROGRAM KESELAMATAN MAKLUMAT Pembekal mesti mewujudkan, melaksanakan, dan menyelenggara program keselamatan maklumat yang merangkumi dasar dan prosedur, untuk melindungi dan memastikan keselamatan Maklumat Peribadi dan Sulit Microsoft selaras dengan amalan industri yang baik dan seperti yang dikehendaki oleh undang-undang yang berkenaan. Program keselamatan pembekal mesti memenuhi piawaian yang tersenarai di bawah, keperluan 56-76. Langkah perlindungan boleh melebihi perkara yang disenaraikan, sebagaimana yang diperlukan bagi memenuhi skim pengawalseliaan (misalnya, HIPAA, GLBA) atau syarat kontrak. 57 Melaksanakan penilaian keselamatan rangkaian tahunan yang merangkumi: Menyemak perubahan utama kepada persekitaran seperti komponen sistem baharu, topologi rangkaian, peraturan tembok api dan lain-lain. Menjalankan imbasan kerentanan. Menyelenggara log perubahan yang mengesan perubahan, memberi maklumat mengenai sebab perubahan dan menyertakan pelulus. 58 Pembekal menentukan, menyampaikan dan melaksanakan dasar peranti mudah alih yang menjamin dan mengehadkan penggunaan Maklumat Peribadi atau Sulit Microsoft yang dicapai atau digunakan pada peranti mudah alih. Menyemak dokumentasi penilaian rangkaian, log perubahan dan hasil imbasan. Menyediakan dasar peranti mudah alih dan menunjukkan penggunaan apabila pengendalian data Maklumat Peribadi atau Sulit Microsoft memerlukan penggunaan peranti mudah alih. Versi 4 Julai 2017 Halaman 13

Bahagian J: Keselamatan (samb.) 59 Semua Aset yang digunakan untuk menyokong penyampaian perkhidmatan Microsoft mesti dipertanggungjawabkan dan mempunyai pemilik yang dikenal pasti. Pembekal bertanggungjawab untuk menyelenggara inventori bagi aset maklumat ini; mewujudkan penggunaan aset yang boleh diterima dan dibenarkan; dan menyediakan tahap perlindungan yang sesuai untuk aset di sepanjang kitaran hayat mereka. Inventori aset ini harus merangkumi: - Lokasi peranti - Pengelasan data bagi data mengenai aset tersebut - Rekod pemulihan aset setelah penamatan perjanjian pekerjaan atau perniagaan - Rekod pelupusan media penyimpanan data apabila ia tidak diperlukan lagi. 60 Mewujudkan dan menyelenggara prosedur pengurusan hak capaian untuk mengelakkan capaian kepada Maklumat Peribadi atau Sulit Microsoft yang tidak dibenarkan di bawah kawalan pembekal. Rancangan harus merangkumi: Prosedur kawalan capaian Prosedur pengenalpastian Prosedur sekat masuk selepas percubaan yang tidak berjaya Tetapan semula kata laluan sekerap yang perlu tetapi tidak boleh melebihi tempoh setiap 70 hari. Memberi kesedaran kepada pengguna untuk melindungi bukti kelayakan pengesahan mereka. Parameter yang kukuh untuk memilih bukti kelayakan pengesahan. Penyahaktifan akaun pengguna pada penamatan pekerjaan dalam masa 48 jam. o Termasuk capaian dalaman/luaran, media, kertas, platform teknologi dan media sandaran. Mewujudkan proses untuk menyemak capaian pengguna kepada Maklumat Peribadi dan Sulit Microsoft, menguatkuasakan prinsip keistimewaan terkurang: Proses harus merangkumi: Peranan pengguna yang ditakrif dengan jelas Prosedur untuk menyemak dan mewajarkan kelulusan capaian kepada peranan. Prosedur untuk mengeluarkan capaian pengguna kepada peranan apabila capaian tidak lagi diperlukan. Menyemak Inventori bagi aset peranti yang digunakan untuk menyokong penghantaran perkhidmatan Microsoft. Prosedur hak capaian didokumenkan dan digunakan secara konsisten. Menguji bahawa pengguna dalam peranan dengan capaian kepada data Microsoft mempunyai justifikasi yang didokumenkan untuk berada dalam kumpulan/peranan tersebut. Versi 4 Julai 2017 Halaman 14

Bahagian J: Keselamatan (samb.) 61 Menentukan dan melaksanakan prosedur pengurusan tampalan yang mengutamakan tampalan keselamatan bagi sistem yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk: Masa tertakrif yang dibenarkan untuk melaksanakan tampalan tetapi tidak boleh melebihi tempoh 19 hari untuk semua tampalan keselamatan. Keupayaan untuk mengendalikan dan melaksanakan tampalan kecemasan. Kebolehgunaan kepada Sistem Pengendalian dan perisian pelayan seperti pelayan aplikasi dan perisian pangkalan data. o Penamatan penggunaan Windows XP Mendokumenkan risiko yang dikurangkan oleh tampalan dan mengesan apa-apa pengecualian. Dapat menunjukkan dan menyediakan bukti berdokumen bahawa tampalan keselamatan digunakan. 62 Memasang antivirus dan antiperisian berniat jahat pada peralatan yang bersambung kepada rangkaian yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk tetapi tidak terhad kepada pelayan, desktop pengeluaran dan latihan untuk melindunginya daripada virus yang berpotensi berbahaya dan aplikasi perisian berniat jahat. Mengemas kini definisi antiperisian berniat jahat setiap hari atau seperti yang diarahkan oleh pembekal antivirus/antiperisian berniat jahat. 63 Pembekal yang membangunkan perisian untuk Produk Microsoft atau aplikasi bidang perniagaan mesti memenuhi keperluan Kitaran Hayat Pembangunan Keselamatan Microsoft (SDL) atau piawai industri yang serupa. Maklumat adalah tersedia di http://www.microsoft.com/sdl. Versi 4 Julai 2017 Halaman 15

Bahagian J: Keselamatan (samb.) 64 Memantau sistem maklumat yang digunakan dalam rangkaian syarikat yang Maklumat Peribadi atau Sulit Microsoft dikendalikan untuk mengelakkan pencerobohan dan aktiviti tidak sah yang lain. Menggunakan Sistem Pengesanan Pencerobohan yang berasaskan rangkaian (IDS): Sekiranya sistem dilanggar, analisis sistem untuk memastikan apa-apa sisa kerentanan juga ditangani. Mendokumenkan prosedur untuk memantau alat pengesanan kompromi sistem. Satu tindak balas kejadian dan proses pengurusan yang tetap mesti dilaksanakan apabila peristiwa dikesan. 65 Berkomunikasi dengan segera tentang hasil Siasatan daripada tindak balas kejadian kepada pihak pengurusan kanan dan Microsoft. Hubungi SSPAHelp@microsoft.com untuk memaklumkan Microsoft. 66 Pentadbir sistem, kakitangan operasi, pihak pengurusan dan pihak ketiga mesti menjalani latihan keselamatan tahunan. Menunjukkan keberkesanan sistem pemantauan, dokumentasi sokongan adalah tersedia. Sistem dan proses mesti wujud untuk menyampaikan keputusan penyiasatan tindak balas kejadian kepada Microsoft Mewujudkan program latihan keselamatan yang merangkumi: Latihan tahunan untuk tindak balas kejadian. Acara simulasi dan mekanisme automatik untuk memudahkan tindak balas yang berkesan terhadap situasi krisis. Kesedaran pencegahan kejadian seperti risiko yang berkaitan dengan memuat turun perisian berniat jahat. Versi 4 Julai 2017 Halaman 16

Bahagian J: Keselamatan (samb.) 67 Pembekal mesti memastikan proses perancangan sandaran untuk melindungi Maklumat Peribadi dan Sulit Microsoft daripada penggunaan, capaian, pendedahan, pengubahan dan pemusnahan yang tidak dibenarkan. 68 Mewujudkan dan menguji rancangan kesinambungan perniagaan dan pemulihan bencana. Mendokumenkan tindak balas dan prosedur pemulihan dengan menghuraikan cara organisasi akan menguruskan peristiwa yang mengganggu dan menyelenggara keselamatan maklumatnya kepada tahap yang telah ditetapkan berdasarkan objektif kesinambungan keselamatan maklumat yang diluluskan oleh pihak pengurusan. Menentukan dan melaksanakan prosedur untuk membuat sandaran secara berkala, menyimpan dengan selamat, dan memulihkan data kritikal dengan berkesan. Rancangan pemulihan bencana mesti merangkumi perkara yang berikut Kriteria yang tertakrif untuk menentukan sama ada sistem adalah penting untuk operasi perniagaan pembekal Menyenaraikan sistem kritikal berdasarkan kriteria tertakrif yang mesti disasarkan untuk pemulihan sekiranya berlaku bencana. Prosedur pemulihan bencana yang tertakrif bagi setiap sistem kritikal untuk memastikan jurutera yang tidak tahu tentang sistem boleh memulihkan aplikasi tersebut dalam tempoh kurang daripada 72 jam. Ujian dan kajian semula rancangan pemulihan bencana tahunan (atau lebih kerap) untuk memastikan objektif pemulihan dapat dipenuhi. Versi 4 Julai 2017 Halaman 17

Bahagian J: Keselamatan (samb.) 69 Mengesahkan identiti individu sebelum memberi capaian kepada individu tersebut kepada maklumat Peribadi atau Sulit Microsoft. 70 Pembekal mesti melindungi Maklumat Peribadi dan Sulit Microsoft yang dalam transit merentasi rangkaian dengan penyulitan menggunakan Keselamatan Lapisan Pengangkutan (TLS) atau Keselamatan Protokol Internet (IPsec). Kaedah-kaedah ini diterangkan dalam NIST 800-52 dan NIST 800-57; piawai industri yang sama juga boleh digunakan. Pembekal mesti menolak penghantaran apa-apa Maklumat Peribadi Microsoft yang dihantar melalui cara yang tidak disulitkan. 71 Semua peranti pelanggan pembekal (komputer riba, stesen kerja, dan lain-lain) yang akan mencapai atau mengendalikan Maklumat Peribadi atau Sulit Microsoft mesti menggunakan penyulitan berasaskan cakera. Memastikan semua ID pengguna adalah unik dan setiap satunya mempunyai kaedah pengesahan standard industri seperti Azure Active Directory. Capaian ternaik (pentadbiran atau jenis keistimewaan lain yang dipertingkatkan) mesti memerlukan penggunaan faktor kedua, seperti kad pintar atau pengesah yang berasaskan telefon. Proses mencipta, mengerah dan menggantikan TLS atau sijil lain mesti ditakrifkan dan dikuatkuasakan. Menyulitkan semua peranti pelanggan untuk memenuhi Bitlocker atau penyelesaian penyulitan cakera setara industri yang lain bagi semua peranti pelanggan yang digunakan untuk mengendalikan Maklumat Peribadi atau Sulit Microsoft. Versi 4 Julai 2017 Halaman 18

Bahagian J: Keselamatan (samb.) 72 Sistem dan prosedur mesti wujud untuk menyulitkan maklumat Peribadi Microsoft, yang dinyatakan di bawah, semasa rehat (apabila disimpan) menggunakan piawaian industri semasa seperti yang diterangkan dalam piawai NIST 800-111. Menyulitkan jenis Maklumat Peribadi Microsoft yang berikut semasa rehat: data bukti kelayakan (cth. nama pengguna/kata laluan) data instrumen pembayaran (cth. nombor kad kredit dan akaun bank) data profil perubatan (cth. nombor rekod perubatan atau pengecam biometrik). data pengecam yang dikeluarkan oleh kerajaan (cth. nombor keselamatan sosial atau lesen memandu) 73 Apabila memproses kad kredit bagi pihak Microsoft, patuhi standard pengendalian kad kredit yang berkenaan bagi setiap pengeluar kad. 74 Pembekal mesti menyimpan aset fizikal Maklumat Peribadi dan Sensitif Microsoft dalam persekitaran capaian terkawal. 75 Untuk penyelesaian Perisian sebagai Perkhidmatan (SaaS) yang Memproses Maklumat Peribadi atau Sulit Microsoft, jalankan ujian penembusan keselamatan bebas setiap tahun dan sediakan keputusan untuk Microsoft atas permintaan atau bolehkan Microsoft menjalankan ujian penembusan berkala. Hubungi SSPAHelp@microsoft.com untuk menghantar sijil ujian pen atau meminta ujian Microsoft. Menunjukkan pematuhan dengan memberikan perakuan Standard Perkhidmatan Data Industri Kad Pembayaran (PCI-DSS) setiap tahun. Serahkan perakuan PCI DSS kepada SSPA. Hubungi, SSPAHelp@microsoft.com Sistem dan proses perlu wujud untuk menguruskan capaian fizikal kepada salinan digital, salinan keras, arkib, dan sandaran data Microsoft. Rantaian penjagaan mesti dijejaki untuk pergerakan dan pemusnahan media fizikal yang mengandungi data Microsoft. Versi 4 Julai 2017 Halaman 19

Bahagian J: Keselamatan (samb.) 76 Semua Maklumat Peribadi Microsoft yang digunakan dalam persekitaran pembangunan atau ujian dijadikan tanpa nama. Maklumat Peribadi Microsoft tidak boleh digunakan dalam persekitaran pembangunan atau ujian; apabila tidak ada alternatif, ia mesti dijadikan tanpa nama dengan secukupnya untuk mengelakkan pengenalpastian Subjek Data atau penyalahgunaan Maklumat Peribadi. Versi 4 Julai 2017 Halaman 20

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan