Upload
vandung
View
233
Download
3
Embed Size (px)
Citation preview
Versión 4 Julio de 2017 Página | 1
Requisitos de protección de datos para proveedores de
Microsoft
Aplicabilidad Los requisitos de protección de datos (DPR) para proveedores de Microsoft se aplican a todos los proveedores de
Microsoft que procesen información personal o confidencial de Microsoft, o que de algún modo tengan acceso a ella
como parte de la prestación de servicios acordada en virtud de las cláusulas incluidas en el pedido de compra o del
contrato suscrito con Microsoft.
• Si hubiera algún conflicto entre los requisitos que aquí se detallan y los requisitos especificados en los acuerdos contractuales entre el proveedor y Microsoft, los términos del contrato prevalecen.
• Si hubiera algún conflicto entre los requisitos que aquí se detallan y cualquier requisito legal o estatutario, estos últimos serán los que prevalecerán.
Sin limitación de sus otras obligaciones y en los casos en los que Microsoft haya autorizado previamente por escrito la
cesión internacional de información personal de Microsoft, el proveedor deberá cumplir con los requisitos de protección
de datos de cualquiera de los términos contractuales estándares, reglas corporativas vinculantes u otros esquemas
aprobados por cualquier autoridad de protección de datos, el Consejo Europeo de Protección de Datos o la Comisión
Europea y adoptados o aceptados por Microsoft, incluidos, pero sin limitarse a ellos, los acuerdos entre la Unión
Europea y Estados Unidos y los acuerdos entre Suiza y Estados Unidos. Marcos del Escudo de privacidad y Reglamento
General de la Unión Europea relativo a la Protección de Datos. El proveedor acepta la obligación de informar a Microsoft
en el caso de determinar que no puede continuar cumpliendo sus obligaciones con el fin de proporcionar el mismo nivel
de protección que requieren los principios del Escudo de Privacidad. El proveedor también garantizará que todos los
subprocesadores (tal y como se definen en la cláusula 1(d) de las cláusulas contractuales estándar de 2010 publicadas
como anexo a la Decisión de la Comisión Europea C(2010)593) también cumplen dichos requisitos.
La “Información confidencial de Microsoft” es toda aquella información que, de ponerse en riesgo su confidencialidad o
integridad de algún modo, puede suponer una pérdida considerable para Microsoft en términos financieros y de
reputación. Esta incluye, entre otros, los siguientes elementos: productos de hardware y software de Microsoft,
aplicaciones de línea de negocio internas, material de marketing preliminar, claves de licencia de productos y
documentación técnica relacionada con los productos y servicios de Microsoft.
La “Información personal de Microsoft” es toda aquella información personal procesada por Microsoft o en su nombre.
La “Información personal” es toda aquella información relacionada con una persona física identificada o identificable
(“Persona interesada”). Una persona física identificable es aquella a quien se puede identificar de forma directa o
indirecta teniendo en cuenta elementos de identificación como un nombre, un número de identificación, los datos de
ubicación, una identificación electrónica o cualquier otro aspecto relacionado con la identidad física, fisiológica,
genética, psíquica, económica, cultural o social específica de dicha persona física.
El “Incumplimiento relacionado con la información personal” es el incumplimiento de las normas de seguridad que
conlleva, ya sea de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la divulgación o el acceso no
autorizados a la Información personal que se transmite, se almacena o se procesa de cualquier modo.
Por “se procesa” se entiende cualquier operación o conjunto de operaciones que se llevan a cabo en la información
personal o en conjuntos de esta, ya sea de forma automatizada o de cualquier otro modo, como son la recopilación, la
grabación, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la
Versión 4 Julio de 2017 Página | 2
consulta, el uso, la distribución o la divulgación de esta debida a su transmisión, así como ponerla a disposición de
terceros, su alineación y combinación, su restricción, borrado o destrucción.
Estructura de los DPR Los requisitos de protección de datos (DPR, siglas en inglés) se basan en un marco diseñado por el instituto americano
de contables públicos certificados (AICPA, siglas en inglés) para regular las prácticas de privacidad. Los principios de
privacidad generalmente aceptados (GAPP, siglas en inglés) se dividen en 10 secciones que incluyen criterios que se
pueden medir relacionados con la protección y la administración de la información personal. Este marco de trabajo se ha
mejorado con requisitos de seguridad y privacidad de Microsoft adicionales.
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección A: Administración
Para que el proveedor pueda procesar la información personal y confidencial de Microsoft tendrá la obligación de:
1 Haber firmado un contrato, una declaración del trabajo o un pedido de compra válido de Microsoft redactado de modo que se protejan la privacidad y la seguridad de los datos y que establezca el objeto y la duración del procesamiento, su naturaleza y su finalidad, el tipo de información personal de Microsoft y las categorías de las personas interesadas, así como las obligaciones y los derechos de Microsoft.
El proveedor debe presentar un pedido de compra, una declaración del trabajo o un contrato válido de Microsoft que incluya la descripción correspondiente de las actividades de procesamiento.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
2 Haber asignado a una persona o a un grupo específicos de la compañía la responsabilidad y la obligación de rendir cuentas con respecto al cumplimiento de los requisitos de protección de datos para proveedores de Microsoft.
El proveedor debe identificar a la persona o al grupo que se encarga de velar por su cumplimiento de los requisitos de protección de datos. La autoridad y responsabilidad de dicha persona o dicho grupo deben estar claramente documentadas.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
3 Haber garantizado que todas las personas autorizadas para procesar la información personal de Microsoft se han comprometido a mantener la confidencialidad o están vinculadas a las obligaciones legales correspondientes de confidencialidad.
Pedido de compra, declaración del trabajo o un contrato válido de Microsoft que incluya las obligaciones de confidencialidad. Pruebas de los modelos de acuerdo estándar del proveedor relacionados con la confidencialidad, el empleo, la consultoría y la subcontratación.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 3
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección A: Administración (cont.)
4 Haber implantado un curso de formación sobre la privacidad para todos aquellos empleados que vayan a tener acceso a la información personal de Microsoft, mantenerlo y llevarlo a cabo todos los años. Si su compañía no dispone de contenidos ya elaborados, póngase en contacto con [email protected] para solicitar un esquema del guion gráfico que podrá adaptar a las necesidades de su compañía.
El proveedor se encarga de formar inicialmente y de forma periódica a sus empleados sobre los principios básicos de seguridad y privacidad. Las pruebas de que tal formación se lleva a cabo pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones (mensajes de correo electrónico, sitios web, boletines, etc.).
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
5 Comunicar anualmente la información relevante sobre los requisitos de protección de datos para proveedores de Microsoft a su personal y a los subcontratistas que presten servicios para Microsoft.
El proveedor instruye a los empleados y subcontratistas que presten algún servicio a Microsoft con respecto a los requisitos de protección de datos para proveedores de Microsoft. Las pruebas de que tal instrucción se lleva a cabo, no solo desde el comienzo, sino también con posterioridad y regularmente, pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados y subcontratistas (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
6 Procesar la información personal de Microsoft únicamente con arreglo a sus instrucciones documentadas, incluidas las relativas a la transferencia de información personal a un tercer país o a un organismo internacional, a menos que la ley vigente lo requiera, en cuyo caso, la persona encargada de procesar la información deberá comunicar dicha obligación jurídica a su director antes de hacerlo, excepto si la ley lo prohíbe por motivos relevantes de interés público.
Pruebas documentadas de dichas instrucciones, como por ejemplo, la disposición de estas en un contrato, una declaración de trabajo o un pedido de compra o su registro como parte de un sistema electrónico que se utilice para la prestación de los servicios.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 4
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección A: Administración (cont.)
7 Informar a Microsoft de forma inmediata si cualquiera de las instrucciones incumpliera, bajo su propio criterio, las leyes vigentes.
Obligación contractual del proveedor de comunicar a Microsoft si, atendiendo a su criterio, cualquiera de las instrucciones incumpliera las leyes vigentes.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección B: Aviso
8 El proveedor deberá utilizar la Declaración de privacidad de Microsoft siempre que recopile información personal en su nombre.
Deberán ponerse a disposición de las personas interesadas avisos de privacidad llamativos con el fin de ayudarles a decidir si quieren o no enviar al proveedor su información personal.
Póngase en contacto con [email protected] si necesita ayuda al respecto.
Los avisos de privacidad deben estar claramente fechados y disponibles tanto en línea como sin conexión, y han de proporcionarse, a lo sumo, en la fecha en que tiene lugar la recopilación de los datos.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
9 Cuando se recopila información personal de Microsoft a través de una llamada de voz en directo, los proveedores tienen la obligación de estar preparados para tratar con la persona interesada sobre las prácticas de recopilación, procesamiento, uso y conservación de datos.
El proveedor demuestra que la recopilación, el procesamiento, el uso y la conservación de los datos se tratan con la persona interesada cuando se recaba información personal a través del teléfono.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección C: Elección y consentimiento
10 En caso de que el proveedor se ampare en el consentimiento como fundamento jurídico para el procesamiento de datos, deberá recabar y documentar el consentimiento de la persona interesada antes de recopilar su información personal.
El proveedor explica el proceso para que la persona interesada pueda decidir si acepta o no facilitar la información personal, así como asumir las consecuencias que se deriven de una u otra opción.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 5
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección C: Elección y consentimiento (cont.)
11 El proveedor debe recabar todos los consentimientos necesarios de la persona interesada, a lo sumo, en el momento en que tiene lugar la recopilación de la información personal.
El proveedor documenta y administra las preferencias de contacto y, además, aplica y administra los cambios pertinentes de estas.
Hay sistemas y procedimientos a su alcance para gestionar los consentimientos de la persona interesada y sus preferencias de contacto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
12 Documentar y administrar los cambios que se produzcan en las preferencias de contacto de la persona interesada de un modo oportuno.
El proveedor supervisa la gestión de los consentimientos de la persona interesada para garantizar la eficacia de los sistemas y los procesos.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
13 El proveedor obtiene y documenta el consentimiento de la persona interesada de los nuevos usos que se den a su información personal.
El proveedor garantiza que no se utilizará ni se procesará la información a menos que se cuente con dicho consentimiento.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
14 Las cookies son pequeños archivos de texto que se almacenan en los dispositivos y que provienen de sitios web y aplicaciones en línea. Contienen información que se utiliza para reconocer a un usuario o a un dispositivo. Los proveedores que se dedican a crear y gestionar los sitios web y las aplicaciones de Microsoft deberán proporcionar con claridad a los usuarios tanto los avisos como la opción de decidir con respecto al uso de las cookies. Los proveedores que se dedican a crear y gestionar los sitios web y las aplicaciones de Microsoft deberán garantizar que el uso de las cookies se ajusta a los compromisos definidos en la Declaración de privacidad de Microsoft y a obligaciones jurídicas locales como las normas establecidas por la Unión Europea.
Se deberá documentar la finalidad de todas las cookies e informar del tipo de cookie que se ha implementado: • Las cookies de sesión deberán
utilizarse cuando sea posible. • Las cookies persistentes
deberán permanecer en el dispositivo únicamente el tiempo necesario y nunca más de 2 años.
Validar que se cumplen las normas de la Unión Europea, entre otras, y de modo no exhaustivo: • El uso de los principios de
clasificación “Privacidad y cookies” de la Declaración de privacidad.
• Garantizar que el usuario ha dado su consentimiento antes de utilizar cookies con fines no esenciales como los de la publicidad.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 6
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección D: Recopilación
15 El proveedor debe supervisar la recopilación de información personal y confidencial de Microsoft para garantizar que la única información que se recopile sea aquella necesaria para prestar los servicios encomendados por Microsoft.
Existen sistemas y procedimientos que permiten especificar la información personal y confidencial necesaria. El proveedor efectúa una supervisión de la recopilación para garantizar la eficacia de los sistemas y de los procedimientos.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
16 Si el proveedor obtiene información personal de terceros en nombre de Microsoft, está obligado a validar que las directivas y prácticas sobre la protección de datos implantadas por el tercero son conformes a lo estipulado en el contrato del proveedor con Microsoft y a los requisitos de DPR.
El proveedor deberá poder demostrar que practica la diligencia debida con respecto a las prácticas y políticas de protección de datos de terceros.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
17 Antes de recopilar información personal de Microsoft delicada a través de la instalación o del uso de software ejecutable en el dispositivo de la persona interesada, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft.
El proveedor obtiene y documenta el consentimiento prestado por Microsoft cuando utiliza software ejecutable en el equipo de la persona interesada para recopilar información personal.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
18 Antes de recopilar información personal de Microsoft delicada (datos que divulguen su raza u origen étnico, su inclinación política, sus creencias religiosas o filosóficas, su pertenencia a un sindicato, sus datos genéticos, biométricos o relacionados con su salud, así como los datos relacionados con sus preferencias o su vida sexual) es obligatorio documentar la necesidad de llevar a cabo tal recopilación en un acuerdo de proveedor registrado con Microsoft.
El proveedor obtiene y documenta el consentimiento prestado por Microsoft antes de recopilar cualquier información personal delicada.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección E: Conservación
19 Se deberá garantizar que la información personal y confidencial de Microsoft no se va a conservar durante más tiempo del que sea necesario para prestar los servicios, a menos que la legislación vigente requiera una conservación prolongada de la información personal de Microsoft.
El proveedor cumple con los requisitos o las directivas de conservación documentada que Microsoft haya especificado en el contrato, la declaración del trabajo o el pedido de compra.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 7
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección E: Conservación (cont.)
20 Se deberá garantizar que, a la entera discreción de Microsoft, la información personal o confidencial de Microsoft que se halle en manos del proveedor o bajo su control, se devuelve a Microsoft o se destruye tras la finalización de los servicios o a petición de Microsoft. Si así se solicitara, proporcionará a Microsoft un certificado de destrucción firmado por un responsable del proveedor. En caso de ser necesaria la destrucción de la información personal y confidencial de Microsoft, el proveedor tendrá la obligación de quemar, pulverizar o triturar los activos físicos que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. Dentro de las aplicaciones deberán existir procesos para garantizar que se borran de forma totalmente segura aquellos datos que se han eliminado de la aplicación, ya sea por la actuación expresa del usuario o con base en otros elementos desencadenantes como la antigüedad de los datos.
El proveedor conserva registros de la eliminación de la información personal y confidencial de Microsoft (por ejemplo, la devolución a Microsoft para su destrucción).
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección F: Personas interesadas
21 Las personas interesadas tienen derecho a acceder, eliminar, actualizar, exportar, restringir y oponerse al procesamiento de su información personal (“Derechos de la persona interesada”). Si la persona interesada trata de ejercer sus derechos en relación con su información personal de Microsoft de acuerdo con la legislación vigente, el proveedor deberá:
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
22 Ayudar a Microsoft, en la medida de lo posible y por medio de las medidas técnicas y organizativas adecuadas, a cumplir la obligación de dar respuesta a las solicitudes de las personas interesadas que traten de ejercer sus derechos conforme a la legislación vigente.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
23 Dar respuesta a todas las solicitudes relacionadas con los derechos de las personas interesadas sin demoras injustificadas.
El proveedor deberá llevar a cabo pruebas periódicas para garantizar que puede cubrir las necesidades derivadas de los derechos de las personas interesadas.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 8
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección F: Personas interesadas (cont.)
24 El proveedor remitirá directamente a Microsoft a las personas interesadas que contacten con él para ejercer sus derechos de persona interesada, a menos que Microsoft indique lo contrario. El proveedor informará a la persona interesada de los pasos que debe seguir para obtener acceso a la información personal de Microsoft o para ejercer sus derechos con respecto a esta. Póngase en contacto con [email protected] si necesita ayuda al respecto.
El proveedor comunica los pasos necesarios para tener acceso a la información personal, así como los métodos disponibles para actualizarla.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
25 Se deberá validar la identidad de la persona interesada que ha presentado la solicitud en caso de responder directamente a esta persona.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
26 Se deberá obtener un permiso de Microsoft para continuar utilizando en la autenticación números de identificación expedidos por el gobierno (como por ejemplo, el número de afiliación de la seguridad social). Póngase en contacto con [email protected] si necesita ayuda al respecto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Una vez que se ha autenticado a la persona interesada, el proveedor está obligado a lo siguiente:
27 A determinar si conserva o controla información personal de Microsoft sobre la persona interesada.
El proveedor cuenta con procedimientos para determinar la conservación de la información personal.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
28 A hacer lo posible por localizar la información personal de Microsoft solicitada y registrar las acciones llevadas a cabo que demuestren que se ha efectuado una búsqueda razonable.
El proveedor responde a las solicitudes en el plazo oportuno.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 9
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección F: Personas interesadas (cont.)
29 A registrar la fecha y la hora de las solicitudes de acceso, así como las acciones llevadas a cabo por el proveedor para responder a dichas solicitudes. Si así se le solicita, a proporcionar los registros de las solicitudes de las personas interesadas a Microsoft.
El proveedor conserva registros de las solicitudes de acceso a la información personal y documenta los cambios efectuados en esta.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
30 Una vez que se ha autenticado a la persona interesada y el proveedor ha validado que tiene la información personal de Microsoft solicitada, el proveedor está obligado a lo siguiente:
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
31 Para las solicitudes cuyo fin es obtener una copia de la información personal, deberá proporcionar a la persona interesada la información personal de Microsoft en un formato adecuado, ya sea de forma impresa, electrónica o verbal.
El proveedor suministra información personal a la persona interesada en un formato comprensible y de un modo adecuado tanto para el proveedor como para la persona interesada en cuestión.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
32 Si se deniega su solicitud por indicación de Microsoft, se deberá proporcionar a la persona interesada una explicación por escrito conforme a las instrucciones relevantes que pudiera haber indicado previamente Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.
Documentar los casos en los que se deniegan las solicitudes y conservar las pruebas de la revisión y aprobación de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
33 El proveedor debe adoptar las medidas de precaución que sean razonables para garantizar que la información personal de Microsoft que se facilite a la persona interesada no pueda usarse para identificar a otra persona distinta.
El proveedor debe demostrar que se adoptan las medidas de precaución razonables que impiden identificar a otra persona a partir de la información facilitada (por ejemplo, no se puede fotocopiar la página de datos en su totalidad cuando la información personal solicitada por la persona interesada figura en una sola línea).
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 10
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección F: Personas interesadas (cont.)
34 Si la persona interesada y un proveedor discrepan sobre la integridad y la precisión de la información personal de Microsoft, el proveedor debe remitir el problema a Microsoft y prestarle la colaboración necesaria para solucionarlo. Póngase en contacto con [email protected] si necesita ayuda al respecto.
El proveedor documenta los casos de desacuerdo y los remite a Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección G: Divulgación a terceros
En caso de que el proveedor tenga la intención de llevar a cabo el procesamiento de la información personal y confidencial de Microsoft a través de un subcontratista, deberá asegurarse de:
35 Obtener el consentimiento expreso de Microsoft por escrito antes de subcontratar servicios o hacer cambios en cuanto a la incorporación o a la sustitución de subcontratistas. Póngase en contacto con [email protected] si necesita ayuda al respecto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
36 Asumir la total responsabilidad de las actividades de todos los subcontratistas ante Microsoft.
Compromiso contractual del proveedor de asumir la total responsabilidad ante Microsoft de las actividades de sus subcontratistas.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
37 Documentar la naturaleza y el alcance de la información personal y confidencial de Microsoft que van a procesar los subcontratistas y garantizar que la información recopilada es necesaria para llevar a cabo el servicio o los servicios encomendados por Microsoft.
El proveedor conserva un registro documental de la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
38 Garantizar que el subcontratista usa la información personal de Microsoft con arreglo a las preferencias de contacto indicadas por las personas interesadas.
Existen sistemas y procesos que garantizan que los subcontratistas usan la información personal de Microsoft únicamente con el fin designado y con arreglo a las preferencias de contacto indicadas por la persona interesada.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 11
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección G: Divulgación a terceros (cont.)
39 Restringir el procesamiento de la información personal de Microsoft por parte del subcontratista para aquellos fines que sean necesarios para cumplir con el contrato entre el proveedor y Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
40 Notificar a Microsoft, con la mayor brevedad, sobre las órdenes judiciales en las que se obligue al subcontratista a divulgar información personal de Microsoft y, si la legislación lo permite, dar a Microsoft la oportunidad de intervenir antes de registrar una respuesta a la orden o notificación. Póngase en contacto con [email protected] si necesita ayuda al respecto.
El proveedor puede demostrar la existencia de comunicaciones con Microsoft (en el caso de que estas estén permitidas) previas a la concesión de permiso a un subcontratista para divulgar información personal de Microsoft en respuesta a una orden judicial.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
41 Revisar las quejas formuladas por el procesamiento de la información personal de Microsoft de forma ilícita o sin autorización.
Existen sistemas y procesos que permiten administrar las quejas relativas a la divulgación o uso no autorizados de la información personal de Microsoft por parte de un subcontratista.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
42 Notificar a Microsoft, con la mayor brevedad, cuando tenga conocimiento de que un subcontratista ha procesado o divulgado información personal y confidencial de Microsoft para fines distintos del de prestar servicios, a Microsoft o a sus proveedores, relacionados con Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.
El proveedor puede demostrar que se ha informado a Microsoft de aquellos casos en que algún subcontratista ha usado información personal o confidencial de Microsoft con fines no autorizados.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
43 Adoptar de inmediato medidas para mitigar cualquier daño, real o posible, que cause el procesamiento o la divulgación de forma ilícita o sin autorización por parte de un subcontratista de la información personal y confidencial de Microsoft.
El proveedor puede demostrar que se han adoptado las medidas adecuadas en aquellos casos en que algún subcontratista usa o divulga información personal y confidencial de Microsoft con fines no autorizados.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 12
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección G: Divulgación a terceros (cont.)
44 Comprobar que las prácticas de recopilación de datos llevadas a cabo por un tercero cumplen con los requisitos de DPR antes de aceptar información personal de terceros.
Existen procesos documentados que permiten comprobar las prácticas de recopilación de datos de terceros.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
45 Confirmar que los terceros solo recopilan aquella información personal que sea necesaria para prestar los servicios encomendados por Microsoft.
Existen procesos documentados para limitar la transferencia de información personal de Microsoft de terceros a aquellos datos estrictamente necesarios para prestar los servicios contratados.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección H: Calidad
46 El proveedor debe conservar la integridad de toda la información personal de Microsoft y garantizar que es precisa, completa y relevante para los fines indicados para los que se ha procesado.
La información se valida cuando se recopila, crea o actualiza. Existen sistemas y procesos que permiten comprobar sobre la marcha el nivel de precisión y efectuar las correcciones que resulten necesarias.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
47 El proveedor deberá garantizar que la cantidad de información personal que se recopila es la mínima necesaria para lograr el fin propuesto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección I: Supervisión y cumplimiento
48 Informar inmediatamente a Microsoft si se tiene conocimiento de que ha habido un incumplimiento relacionado con la información personal o una vulnerabilidad en la seguridad relacionados con la gestión de la información personal y confidencial de Microsoft por parte del proveedor. Póngase en contacto con [email protected] si necesita ayuda al respecto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 13
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección I: Supervisión y cumplimiento (cont.)
49 Abstenerse de emitir notas de prensa o avisos públicos relativos al incumplimiento relacionado con la información personal o confidencial de Microsoft sin contar con la aprobación previa de Microsoft, a menos que lo exijan las leyes y normas regulatorias. Póngase en contacto con [email protected] si necesita ayuda al respecto.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
50 Aplicar un plan encaminado a solventar el problema y supervisar la resolución de incumplimientos o vulnerabilidades relacionados con la información personal de Microsoft con el fin de garantizar que se adoptan las medidas correctivas en un plazo oportuno.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
51 Establecer un proceso formal de administración de quejas para dar una respuesta adecuada a todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.
El proveedor debe contar con un proceso documentado de administración de quejas y notificación a Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
52 Notificar a Microsoft de todas las quejas recibidas en relación con la información personal de Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.
Registros de las quejas que demuestren su respuesta en el plazo adecuado.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
53 Registrar todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft y responder a todas ellas en un plazo adecuado, a menos que Microsoft indique otras instrucciones al respecto. Si así se solicitara, proporcionará a Microsoft la documentación de las quejas resueltas y pendientes de resolución.
Documentación de quejas abiertas y cerradas.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
54 El proveedor deberá tener en cuenta la naturaleza de su información y ayudar a Microsoft a garantizar el cumplimiento de sus obligaciones de acuerdo con la legislación vigente (incluidos, pero sin limitarse a la seguridad de los datos, los incumplimientos relacionados con la información personal, las evaluaciones de impacto sobre la protección de datos y las consultas con los departamentos del gobierno o las autoridades reguladoras y supervisoras).
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual
Versión 4 Julio de 2017 Página | 14
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección I: Supervisión y cumplimiento (cont.)
55 Se deberá poner a disposición de Microsoft toda la información necesaria con el fin de demostrar el cumplimiento de las obligaciones de acuerdo con la legislación vigente, así como facilitar y contribuir a la realización de auditorías e inspecciones que lleve a cabo Microsoft u otros auditores en su nombre.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Sección J: Seguridad
56 PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN El proveedor debe establecer, aplicar y mantener un programa de seguridad de la información que incluya políticas y procedimientos para proteger la información personal y confidencial de Microsoft conforme a las buenas prácticas del sector y tal y como lo exija la legislación vigente. El programa de seguridad que utilice el proveedor deberá cumplir con los estándares expuestos más abajo, en los requisitos 56 a 76.
Las medidas de seguridad pueden ser más amplias que las enumeradas si el cumplimiento de las normativas (por ejemplo, HIPPA o GLBA) o las cláusulas contractuales aplicables así lo requiriesen.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
57 Llevar a cabo evaluaciones de seguridad de la red de forma anual que incluyan:
• La revisión de los cambios importantes realizados en el entorno, como los nuevos componentes del sistema, los llevados a cabo en la topología de la red o las modificaciones en las reglas de los firewalls, etc.
• Realizar análisis de vulnerabilidades.
• Conservar los registros de cambios que lleven a cabo el seguimiento de dichos cambios, proporcionar la información relativa a los motivos para llevarlos a cabo e incluir un aprobador.
Revisar la documentación de las evaluaciones de la red, de los registros de cambios y de los resultados de los análisis.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
58 El proveedor deberá establecer e implementar una
directiva relacionada con los dispositivos móviles, así como
informar sobre esta, para garantizar y restringir el uso de la
información personal y confidencial de Microsoft que se
utiliza en un dispositivo móvil o a la que se accede desde
este.
Proporcionar una directiva relacionada con los dispositivos móviles y demostrar que se utiliza en los casos en los que sea necesario utilizar un dispositivo móvil para la gestión de datos relativos a la información personal y confidencial de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 15
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
59 Se deberán contabilizar todos los activos implicados en la
prestación de servicios de Microsoft y deberán contar con
un propietario reconocido. El proveedor asumirá la
responsabilidad de conservar un inventario de estos activos
de información, de demostrar que su uso sea razonable y
esté autorizado y de proporcionar el nivel de protección
oportuno para estos a lo largo de su ciclo de vida.
El inventario de los activos deberá incluir:
- La ubicación del dispositivo - La clasificación de los datos que se encuentran en
el activo - El registro de la recuperación de activos una vez
rescindido el contrato laboral o el acuerdo
comercial - El registro de la eliminación de los sistemas de
almacenamiento de datos una vez dejen de ser
necesarios
La revisión del inventario de los activos (dispositivos. aparatos, etc.) implicados en la prestación de servicios de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
60 Implantar y mantener los procedimientos correspondientes
a la gestión de los derechos de acceso con el fin de evitar
el acceso no autorizado a la información personal y
confidencial de Microsoft que se encuentra bajo el control
del proveedor.
El plan deberá incluir:
• Los procedimientos de control de acceso
• Los procedimientos de identificación
• Los procedimientos de bloqueo posteriores a los
intentos fallidos
• El restablecimiento de la contraseña siempre que sea
necesario, pero sin superar un periodo de tiempo de
70 días
• Advertencia al usuario de que se protegen sus
credenciales de autenticación
• Unos parámetros sólidos a la hora de seleccionar las
credenciales para la autenticación
• La desactivación de las cuentas de usuario dentro de
un periodo máximo de 48 horas desde la rescisión del
contrato de trabajo
o Esto afecta al acceso tanto interno como
externo, a los soportes físicos, a los
documentos impresos, a las plataformas
tecnológicas y a los soportes físicos de las
copias de seguridad.
Se deben documentar y aplicar sistemáticamente los procedimientos relativos a los derechos de acceso. Verificar que los usuarios incluidos en los roles que tienen acceso a los datos de Microsoft cuentan con una justificación documentada para pertenecer a dichos grupos o roles.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 16
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
El establecimiento de un proceso para revisar el acceso del
usuario a la información personal y confidencial de
Microsoft por medio de la aplicación del principio del
mínimo privilegio.
Este proceso deberá incluir:
• Una definición clara de los roles de usuario
• Los procedimientos dedicados a revisar y justificar la
aprobación del acceso a los roles
• Los procedimientos que se utilizan para cancelar el
acceso del usuario a los roles cuando ya no es
necesario que dispongan de este
61 Establecer y aplicar procedimientos para la gestión de
revisiones que den prioridad a las revisiones de seguridad
para aquellos sistemas que se utilicen para procesar la
información personal y confidencial de Microsoft.
• Fijar el periodo máximo de tiempo que se concede
para aplicar las revisiones, teniendo en cuenta que
para las revisiones de seguridad no puede ser superior
a los 19 días.
• Tener la capacidad de gestionar y aplicar las revisiones
de emergencia.
• La aplicabilidad al sistema operativo y al software de
servidor como en el caso del servidor de aplicaciones y
el software de base de datos.
o Dejar de utilizar Windows XP.
• Documentar el riesgo que mitiga la revisión y llevar a
cabo un seguimiento de todas las excepciones.
Tener la capacidad de demostrar y proporcionar pruebas documentadas de que se aplican las revisiones de seguridad.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
62 Instalar software antivirus y antimalware en todos los
equipos conectados a la red que se utilicen para procesar
la información personal y confidencial de Microsoft,
incluidos, entre otros, los servidores y los equipos de
sobremesa de producción y aprendizaje. La finalidad es
proteger a los equipos frente a virus y aplicaciones de
software potencialmente malintencionados.
Actualizar diariamente, o cuando lo sugiera el proveedor
del antivirus o del antimalware, las definiciones de
antimalware.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 17
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
63 Aquellos proveedores que desarrollen software para los productos de Microsoft o sus aplicaciones de línea de negocio deberán cumplir la normativa relacionada con el ciclo de vida de desarrollo de seguridad (SDL) de Microsoft u otro estándar análogo del sector. Para obtener más información, diríjase a http://www.microsoft.com/sdl.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
64 Supervisar los sistemas de información que se utilizan
dentro de la red de la compañía y en los que se gestiona la
información personal y confidencial de Microsoft con el fin
de evitar intrusiones y cualquier otra actividad no
autorizada.
Utilizar sistemas de detección de intrusiones (IDS siglas en
inglés) basados en la red:
• En caso de que se produzca una infracción en el
sistema, se deberá analizar para garantizar que se
tratan también todas las vulnerabilidades
residuales. • Documentar los procedimientos cuyo fin es
supervisar las herramientas de detección de
riesgos en el sistema. • En caso de detectarse una incidencia deberán
ponerse en marcha la respuesta ante incidentes
definida y el proceso de gestión.
Demostrar la eficacia de los
sistemas de supervisión, habiendo
documentación de ayuda
disponible.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
65 Comunicar de inmediato los resultados de las
investigaciones sobre la respuesta ante incidentes a la
dirección superior del proveedor y a Microsoft.
Póngase en contacto con [email protected] para
informar a Microsoft.
Existen sistemas y procesos para
comunicar a Microsoft los
resultados de las investigaciones
sobre las respuestas ante
incidentes.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 18
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
66 Deberán llevar a cabo cada año un curso de formación
sobre seguridad los administradores de sistemas, los
empleados del departamento de operaciones, la dirección
y terceras partes.
Se deberá crear un programa de
formación sobre seguridad que
incluya:
• Formación anual sobre
respuesta ante incidentes. • Simulaciones de
incidentes y mecanismos
automatizados para
facilitar una respuesta
eficaz ante las situaciones
de crisis. Concienciación sobre la
prevención de incidentes como los
riesgos relacionados con la
descarga de software
malintencionado.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
67 El proveedor debe garantizar que existen procesos de
planificación de copia de seguridad para proteger la
información personal y confidencial de Microsoft frente al
uso, acceso, divulgación, alteración y destrucción no
autorizados.
Documentar los procedimientos
de respuesta y de recuperación
detallando cómo actuaría la
empresa a la hora de gestionar un
incidente perturbador y cómo
conservaría un nivel de seguridad
predeterminado para la
información basado en los
objetivos de continuidad de la
seguridad de la información
aprobados por la dirección.
Definir y aplicar procedimientos
para crear copias de seguridad de
los datos críticos, almacenarlos de
forma segura y recuperarlos
eficazmente, todo ello de forma
regular.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 19
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
68 Crear y verificar la continuidad del negocio y los planes de
recuperación ante desastres. Los planes de recuperación ante
desastres deberán incluir:
• Los criterios fijados para
decidir si un sistema es vital
para el funcionamiento del
negocio del proveedor. • Una lista con los sistemas que
se consideran vitales según los
criterios fijados y que deberán
ser objeto de la recuperación
en caso de desastre. • Los procedimientos de
recuperación ante desastres
definidos para todos los
sistemas críticos que
garanticen que un ingeniero
que no conozca el sistema
será capaz de recuperar la
aplicación en un plazo
máximo de 72 horas. Verificación y revisión anual (o con
mayor asiduidad) de los planes de
recuperación ante desastres que
garantice que se cumplan los
objetivos de recuperación.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
69 El proveedor debe autenticar la identidad de una persona antes de concederle acceso a información personal y confidencial de Microsoft.
Se deberá garantizar que los identificadores de usuario son únicos y que todos emplean un método de autenticación estándar del sector, como Azure Active Directory. El acceso con privilegios elevados (privilegios de tipo administrativo o mejoras de cualquier otro tipo) deberá ir acompañado de un segundo factor, como una tarjeta inteligente o un autenticador telefónico.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 20
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
70 El proveedor deberá proteger la información personal y confidencial de Microsoft que se transmita entre redes a través de su cifrado por medio de la Seguridad de la capa de transporte (TLS) o del Protocolo de seguridad de Internet (IPsec). Estos métodos están establecidos en las normas NIST 800-52 y NIST 800-57. Existe la posibilidad de ajustarse a otros estándares equivalentes del sector. El proveedor no puede facilitar ninguna información personal transmitida sin el uso del cifrado.
Se deberá establecer y respetar el proceso que se utilice para crear, desplegar y sustituir el certificado TLS o cualquier otro.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
71 Todos los dispositivos cliente del proveedor (portátiles, estaciones de trabajo, etc.) que vayan a tener acceso o vayan a gestionar información personal y confidencial de Microsoft deberán utilizar el cifrado basado en disco.
Cifrar todos los dispositivos cliente para cumplir los criterios de Bitlocker o de cualquier otra solución de cifrado en disco equivalente del sector, en todos los dispositivos cliente que se empleen para gestionar información personal y confidencial de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
72 Deben existir sistemas y procedimientos para cifrar la información personal de Microsoft en reposo (cuando se encuentra almacenada), tal y como se expone más abajo, a través de los estándares actuales del sector como los que describe la normativa NIST 800-111. Cifrar los tipos de información personal de Microsoft en reposo que se enumeran a continuación:
• Datos de credenciales (por ejemplo, nombres de usuario o contraseñas)
• Datos de los instrumentos de pago (por ejemplo, los números de las tarjetas de crédito o los números de la cuenta bancaria)
• Datos de historiales médicos (por ejemplo, números de historiales médicos o identificadores biométricos)
• Datos de identificación expedidos por el gobierno (por ejemplo, el número de afiliación de la seguridad social o el del carné de conducir)
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
Versión 4 Julio de 2017 Página | 21
N.º Requisitos de protección de datos para proveedores de Microsoft
Criterios de evaluación propuestos
Respuesta
Sección J: Seguridad (cont.)
73 A la hora de procesar tarjetas de crédito en nombre de Microsoft se deberá cumplir con los estándares de procesamiento de tarjetas de crédito aplicables de cada entidad emisora.
Demostrar todos los años el cumplimiento de estos por medio de la certificación del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS siglas en inglés). Enviar las certificaciones PCI DSS al SSPA. Póngase en contacto con [email protected].
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
74 El proveedor deberá almacenar los activos físicos relativos a la información confidencial y personal de Microsoft en un entorno en el que el acceso esté controlado.
Deberán existir sistemas y procesos que permiten administrar el acceso físico a las copias digitales, impresas, de archivo y de copia de seguridad que contienen los datos de Microsoft. Se deberá supervisar la cadena de custodia cuando se realicen movimientos o se destruyan los soportes físicos que contienen datos de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
75 Para las soluciones de software como servicio (SaaS) que procesan información personal y confidencial de Microsoft, será necesario llevar a cabo de forma anual pruebas independientes de fisuras abiertas en la seguridad y poner los resultados a disposición de Microsoft siempre que lo solicite o permitir que Microsoft lleve a cabo las pruebas de fisuras abiertas de forma regular. Póngase en contacto con [email protected] para enviar el certificado de las pruebas de penetración o solicitar una prueba de Microsoft.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>
76 Dar un tratamiento de anonimato a toda la información personal de Microsoft que se use en entornos de desarrollo o prueba.
La información personal de Microsoft no debe usarse en entornos de desarrollo o prueba; si no existiera otra alternativa, se garantizará suficientemente su anonimato para evitar la identificación de las personas interesadas o el uso inapropiado de la información personal.
<Conforme> <No conforme> <No aplicable>
<Conflicto legal> <Conflicto
contractual>