Persyaratan Perlindungan Data Pemasok Microsoft

Versi 4 Juli 2017 Halaman | 1

Persyaratan Perlindungan Data Pemasok Microsoft

Penerapan Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang Memproses

Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan

sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft.

• Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan.

• Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku.

Tanpa membatasi kewajibannya yang lain, di mana Microsoft telah memberikan persetujuan tertulis sebelumnya untuk

transfer internasional Informasi Pribadi Microsoft, pemasok harus mematuhi persyaratan perlindungan data atas

ketentuan kontraktual standar, aturan perusahaan yang mengikat, atau skema lain yang disetujui oleh otoritas

perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh

Microsoft, termasuk, namun tidak terbatas pada, UE-A.S. dan Swiss-A.S. Kerangka kerja Pelindung Privasi dan Peraturan

Perlindungan Data Umum UE. Pemasok setuju untuk memberi tahu Microsoft jika Pemasok membuat keputusan bahwa

Pemasok tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang sama sebagaimana

diharuskan oleh prinsip Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor

(sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai

Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi.

“Informasi Rahasia Microsoft” adalah segala jenis informasi yang jika kerahasiaan atau integritasnya terancam, dapat

berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak

terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran

pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft.

“Informasi Pribadi Microsoft” berarti setiap Informasi Pribadi yang Diproses oleh atau atas nama Microsoft.

“Informasi Pribadi” berarti setiap informasi yang terkait dengan individu yang diidentifikasi atau yang teridentifikasi (“Subjek

Data”); individu yang teridentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung maupun tidak langsung,

khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau

beberapa faktor tertentu dari identifikasi fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial individu tersebut.

“Pelanggaran Informasi Pribadi” berarti pelanggaran keamanan yang mengakibatkan kerusakan yang tidak disengaja

atau ilegal, kerugian, perubahan, pengungkapan atau akses yang tidak sah dari, Informasi Pribadi yang dikirim, disimpan,

atau Diproses.

“Proses” berarti setiap operasi atau rangkaian operasi yang dilakukan pada Informasi Pribadi atau kumpulan Informasi

Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengaturan, penataan,

penyimpanan, penyesuaian, atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui pengiriman,

penyebaran, atau penyediaan, penyelarasan atau kombinasi, pembatasan, penghapusan, atau penghancuran.

Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk

mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles/GAPP)

terbagi menjadi 10 bagian yang mencakup kriteria terukur yang terkait dengan perlindungan dan manajemen Informasi

Pribadi. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft.


# Persyaratan Perlindungan Data Pemasok Microsoft

Kriteria Penilaian yang Disarankan

Respons

Bagian A: Manajemen

Sebelum pemasok dapat Memproses Informasi Pribadi atau Rahasia Microsoft, pemasok harus:

1 Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah yang berisi bahasa perlindungan data privasi dan keamanan yang menjelaskan materi pokok dan durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Informasi Pribadi Microsoft dan kategori Subjek Data serta kewajiban dan hak Microsoft.

Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah yang berisi uraian aktivitas Pemrosesan yang diperlukan.

<Sesuai> <Tidak Sesuai>

<Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

2 Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan.

Pemasok harus mengidentifikasi orang atau kelompok yang dituduh dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data. Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas.



3 Memastikan semua pihak berwenang yang Memproses Informasi Pribadi Microsoft telah berkomitmen terhadap kerahasiaan atau memiliki kewajiban kerahasiaan hukum yang sesuai.

Kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah dengan kewajiban kerahasiaan. Bukti formulir standar dari perjanjian pelarangan pengungkapan informasi pemasok, kerja, konsultasi, dan subkontrak.



4 Menetapkan, menjaga, dan melakukan pelatihan privasi tahunan untuk karyawan yang akan memiliki akses ke Informasi Pribadi Microsoft. Jika perusahaan Anda tidak memiliki persiapan konten, hubungi [email protected] untuk meminta kerangka papan cerita yang dapat disesuaikan dengan perusahaan Anda.

Pemasok mengedukasi karyawan pada tahap awal dan secara berkala mengenai prinsip privasi dan keamanan dasar. Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll).



mailto:[email protected]




Respons

Bagian A: Manajemen (lanjutan)

5 Menyampaikan informasi yang relevan setiap tahun tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada pegawai dan subkontraktor yang melakukan layanan untuk Microsoft.

Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll.



6 Memproses Informasi Pribadi Microsoft hanya sesuai dengan instruksi Microsoft yang terdokumentasi termasuk mengenai transfer Informasi Pribadi ke negara ketiga atau organisasi internasional, kecuali jika diwajibkan melakukannya berdasarkan undang-undang yang berlaku; dalam kasus seperti itu, pemroses harus memberi tahu pengawas persyaratan hukum tersebut sebelum memproses, kecuali jika undang-undang tersebut melarang informasi semacam itu dengan alasan penting untuk kepentingan publik.

Bukti instruksi yang terdokumentasi, misalnya sebagaimana yang tertera dalam kontrak, laporan kerja, atau pesanan pembelian, atau diambil sebagai bagian dari sistem elektronik yang digunakan dalam penyediaan layanan.



7 Segera memberi tahu Microsoft jika, menurut pendapatnya, sebuah instruksi melanggar hukum yang berlaku.

Kewajiban kontraktual pemasok adalah memberi tahu Microsoft jika, menurut pendapat pemasok, sebuah instruksi melanggar hukum yang berlaku.



Bagian B: Pemberitahuan

8 Pemasok harus menggunakan Pernyataan Privasi Microsoft saat mengumpulkan Informasi Pribadi atas nama Microsoft.

Pemberitahuan privasi harus mencolok dan tersedia bagi Subjek Data untuk membantu mereka memutuskan apakah akan menyerahkan Informasi Pribadi mereka kepada pemasok.

Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemberitahuan privasi harus tersedia secara online dan offline sesuai yang diperlukan, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data.







Respons

Bagian B: Pemberitahuan (lanjutan)

9 Saat mengumpulkan Informasi Pribadi Microsoft melalui panggilan suara langsung atau yang direkam, pemasok harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan Subjek Data.

Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan Subjek Data saat Informasi Pribadi dikumpulkan melalui telepon.



Bagian C: Pilihan dan Persetujuan

10 Jika pemasok mengandalkan persetujuan sebagai dasar hukum untuk memproses data, pemasok harus memperoleh dan mendokumentasikan persetujuan Subjek Data sebelum mengumpulkan Informasi Pribadi Subjek Data.

Pemasok menjelaskan proses kepada Subjek Data untuk menyetujui atau menolak memberikan Informasi Pribadi dan konsekuensi dari kedua tindakan tersebut.



11 Pemasok mengambil setiap persetujuan Subjek Data sebelum atau pada waktu mengumpulkan Informasi Pribadi.

Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. Terdapat sistem dan prosedur untuk mengelola persetujuan dan preferensi kontak Subjek Data.



12 Mendokumentasikan dan mengelola perubahan preferensi kontak Subjek Data dengan tepat waktu.

Pemasok mengawasi manajemen persetujuan Subjek Data untuk memastikan keefektifan sistem dan proses.



13 Memperoleh dan mendokumentasikan persetujuan Subjek Data untuk setiap penggunaan baru dari Informasi Pribadi Subjek Data tersebut.

Pemasok memastikan bahwa jika persetujuan tidak diberikan, maka tidak ada penggunaan atau pemrosesan tambahan.






Respons

Bagian C: Pilihan dan Persetujuan (lanjutan)

14 Cookie adalah file teks kecil yang disimpan di perangkat oleh situs web dan aplikasi online yang berisi informasi yang digunakan untuk mengenali pengguna atau perangkat. Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memberikan pengguna pemberitahuan dan pilihan yang transparan mengenai penggunaan cookie. Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memastikan bahwa penggunaan cookie selaras dengan komitmen dalam Pernyataan Privasi Microsoft dan persyaratan hukum setempat, seperti aturan yang ditetapkan oleh Uni Eropa.

Tujuan setiap cookie harus didokumentasikan, dan harus memberi tahu jenis cookie yang diterapkan: • Cookie sesi harus digunakan

jika memungkinkan. • Cookie yang persisten tetap

berada di perangkat tidak lebih dari yang diperlukan dan tidak melebihi 2 tahun.

Validasikan bahwa aturan UE diterapkan, seperti namun juga tidak terbatas; • Penggunaan konvensi

pelabelan, “Privasi & Cookie” untuk pernyataan privasi.

• Dapatkan persetujuan pengguna sebelum menggunakan cookie untuk tujuan yang “tidak penting” seperti iklan.



Bagian D: Pengumpulan

15 Pemasok harus mengawasi pengumpulan Informasi Pribadi dan Rahasia Microsoft untuk memastikan bahwa satu-satunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft.

Terdapat sistem dan prosedur untuk menentukan Informasi Pribadi dan Rahasia yang diperlukan. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan prosedur.



16 Jika pemasok mendapatkan Informasi Pribadi dari pihak ketiga atas nama Microsoft, pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft serta persyaratan DPR.

Pemasok dapat menunjukkan uji tuntas dilakukan mengenai kebijakan dan praktik perlindungan data pihak ketiga.



17 Sebelum mengumpulkan Informasi Pribadi Microsoft yang sensitif melalui penginstalan atau penggunaan perangkat lunak yang dapat dijalankan di perangkat Subjek Data, keharusan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer Subjek Data untuk mengumpulkan Informasi Pribadi.






Respons

Bagian D: Pengumpulan (lanjutan)

18 Sebelum mengumpulkan Informasi Pribadi Microsoft yang sensitif (data yang mengungkapkan ras atau asal etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja, data genetik, data biometrik, data mengenai kesehatan atau data mengenai kehidupan seks atau orientasi seksual individu) kebutuhan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum mengumpulkan Informasi Pribadi sensitif.



Bagian E: Penyimpanan

19 Memastikan bahwa Informasi Pribadi dan Rahasia Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Pribadi Microsoft diperlukan oleh hukum.

Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian.



20 Memastikan bahwa, atas kebijakan Microsoft, Informasi Pribadi atau Rahasia Microsoft yang dimiliki pemasok atau berada di bawah kendalinya dikembalikan kepada Microsoft atau dihancurkan setelah layanan selesai atau atas permintaan Microsoft. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok. Apabila penghancuran Informasi Pribadi atau Rahasia Microsoft diperlukan, pemasok harus membakar, menghancurleburkan, atau menyobek aset fisik yang berisi Informasi Pribadi Microsoft sehingga informasi tersebut tidak dapat dibaca atau direkonstruksi. Dalam aplikasi, proses harus dilakukan untuk memastikan bahwa apabila data dihapus dari aplikasi baik secara eksplisit oleh pengguna atau berdasarkan pemicu lainnya seperti usia data, data tersebut akan dihapus dengan aman.

Pemasok menyimpan data pelepasan Informasi Pribadi dan Rahasia Microsoft (misalnya dikembalikan ke Microsoft untuk dihancurkan).






Respons

Bagian F: Subjek Data

21 Subjek Data berhak mengakses, menghapus, mengedit, mengekspor, membatasi, dan menolak pemrosesan Informasi Pribadi mereka (“Hak Subjek Data”). Ketika Subjek Data berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku sehubungan dengan Informasi Pribadi Microsoft mereka, pemasok harus:



22 Membantu Microsoft, melalui tindakan teknis dan organisasi yang tepat, sejauh mungkin, untuk memenuhi kewajibannya dalam menanggapi permintaan Subjek Data yang berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku.



23 Merespons semua permintaan Hak Subjek Data tanpa penundaan yang tidak semestinya.

Pemasok melakukan uji berkala untuk memastikan mereka dapat mendukung hak Subjek Data.



24 Kecuali jika diarahkan oleh Microsoft, Pemasok akan merujuk semua Subjek Data yang menghubungi Pemasok secara langsung ke Microsoft untuk menggunakan Hak Subjek Data mereka. Pemasok akan mengomunikasikan kepada Subjek Data langkah-langkah yang harus diambil seseorang untuk mendapatkan akses ke atau menggunakan hak mereka terhadap Informasi Pribadi Microsoft mereka. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses Informasi Pribadi, serta metode yang tersedia untuk memperbarui informasi.



25 Ketika merespons Subjek Data secara langsung, validasikan identitas Subjek Data yang membuat permintaan ini.



26 Mendapatkan izin dari Microsoft untuk tetap menggunakan pengenal yang diterbitkan pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan. Hubungi [email protected] untuk bantuan dengan persyaratan ini.



Setelah Subjek Data disahkan, pemasok harus:






Respons

Bagian F: Subjek Data (lanjutan)

27 Menentukan apakah pemasok memiliki atau mengendalikan Informasi Pribadi Microsoft tentang Subjek Data tersebut.

Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah Informasi Pribadi disimpan.



28 Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal Microsoft yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan.

Pemasok menjawab permintaan dengan tepat waktu.



29 Mencatat tanggal dan waktu permintaan serta tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut. Memberikan data permintaan Subjek Data kepada Microsoft atas permintaan.

Pemasok menyimpan data permintaan akses dan mendokumentasikan perubahan yang dilakukan pada Informasi Pribadi.



30 Setelah Subjek Data disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Pribadi Microsoft yang diminta, pemasok harus:



31 Atas permintaan untuk memperoleh salinan Informasi Pribadi, berikan Informasi Pribadi Microsoft kepada Subjek Data dengan format cetak, elektronik, atau verbal yang sesuai.

Pemasok memberikan Informasi Pribadi kepada Subjek Data dalam format yang dapat dipahami dan dalam bentuk yang mudah digunakan oleh Subjek Data dan pemasok.



32 Jika permintaan mereka ditolak, berdasarkan arahan Microsoft, berikan penjelasan tertulis kepada Subjek Data yang konsisten dengan setiap instruksi relevan yang sebelumnya diberikan oleh Microsoft. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Contoh dokumen ketika permintaan ditolak dan simpan bukti tinjauan dan persetujuan Microsoft.







Respons

Bagian F: Subjek Data (lanjutan)

33 Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Pribadi Microsoft yang dirilis kepada Subjek Data tidak dapat digunakan untuk mengidentifikasi orang lain.

Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat diidentifikasi dari informasi yang dirilis (mis., tidak dapat memfotokopi seluruh halaman data saat meminta Informasi Pribadi untuk Subjek Data yang hanya muncul pada satu baris).



34 Jika Subjek Data dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Pribadi Microsoft, pemasok harus melaporkan masalah tersebut kepada Microsoft dan bekerja sama dengan Microsoft sebagaimana diperlukan untuk menyelesaikan masalah. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft.



Bagian G: Pengungkapan kepada Pihak Ketiga

Jika pemasok bermaksud menggunakan subkontraktor untuk Memproses Informasi Pribadi dan Rahasia Microsoft, pemasok harus:

35 Mendapatkan persetujuan tertulis dari Microsoft sebelum melakukan subkontrak layanan atau melakukan perubahan apa pun terkait penambahan atau penggantian subkontraktor. Hubungi [email protected] untuk bantuan dengan persyaratan ini.



36 Tetap bertanggung jawab sepenuhnya kepada Microsoft atas kinerja setiap subkontraktor.

Penyedia kontrak pada pemasok tetap bertanggung jawab kepada Microsoft atas subkontraktornya.



37 Mendokumentasikan sifat dan tingkat Informasi Pribadi dan Rahasia Microsoft yang Di-subproses oleh subkontraktor, memastikan bahwa informasi yang dikumpulkan diperlukan untuk melakukan layanan yang disediakan oleh Microsoft.

Pemasok menyimpan dokumentasi mengenai Informasi Pribadi dan Rahasia Microsoft yang diungkapkan atau ditransfer kepada subkontraktor.








Respons

Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)

38 Pastikan subkontraktor menggunakan Informasi Pribadi Microsoft sesuai dengan preferensi kontak yang dinyatakan Subjek Data.

Sistem dan proses diterapkan untuk memastikan subkontraktor menggunakan Informasi Pribadi Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak Subjek Data.



39 Membatasi Pemrosesan Informasi Pribadi Microsoft oleh subkontraktor untuk tujuan yang penting demi memenuhi kontrak pemasok dengan Microsoft.



40 Segera memberi tahu Microsoft atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan.



41 Meninjau keluhan yang mengindikasikan Pemrosesan yang tidak sah atau ilegal dari Informasi Pribadi Microsoft.

Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor.



42 Segera memberi tahu Microsoft setelah mengetahui bahwa subkontraktor telah Memproses Informasi Pribadi dan Sensitif Microsoft untuk tujuan selain dari memberikan layanan yang terkait dengan Microsoft kepada Microsoft atau pemasoknya. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah.








Respons

Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)

43 Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh Pemrosesan Informasi Pribadi dan Rahasia Microsoft yang tidak sah atau ilegal oleh subkontraktor.

Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan ketika subkontraktor telah menggunakan Informasi Pribadi dan Rahasia Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Pribadi atau Rahasia.



44 Sebelum menerima Informasi Pribadi apa pun dari pihak ketiga, verifikasikan bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR.

Proses yang didokumentasikan disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga.



45 Mengonfirmasi bahwa hanya Informasi Pribadi yang dikumpulkan dari pihak ketiga yang diperlukan untuk melakukan layanan yang diadakan oleh Microsoft.

Proses yang didokumentasikan disesuaikan untuk membatasi transfer Informasi Pribadi Microsoft dari pihak ketiga ke yang hanya diperlukan untuk melakukan layanan kontrak.



Bagian H: Kualitas

46 Pemasok harus menjaga integritas semua Informasi Pribadi Microsoft, memastikannya tetap akurat, lengkap, dan relevan untuk tujuan Pemrosesan yang dinyatakan.

Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses diterapkan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan.

<Sesuai>

<Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

47 Pemasok harus memastikan untuk mengumpulkan jumlah minimum Informasi Pribadi yang diperlukan untuk memenuhi tujuan yang telah ditetapkan.






Respons

Bagian I: Pemantauan dan Penegakan

48 Segera memberi tahu Microsoft setelah mengetahui Pelanggaran Informasi Pribadi atau kerentanan kemanan yang terkait dengan penanganan Informasi Pribadi atau Rahasia Microsoft oleh pemasok. Hubungi [email protected] untuk bantuan dengan persyaratan ini.



49 Jangan mengeluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan Pelanggaran Informasi Pribadi yang melibatkan Informasi Pribadi atau Rahasia Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali dinyatakan oleh hukum atau perundang-undangan. Hubungi [email protected] untuk bantuan dengan persyaratan ini.



50 Menerapkan rencana pemulihan dan mengawasi penyelesaian masalah dari Pelanggaran Informasi Pribadi dan kerentanan yang terkait dengan Informasi Pribadi Microsoft untuk memastikan bahwa tindakan perbaikan yang tepat dilakukan dengan tepat waktu.



51 Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft.



52 Memberi tahu Microsoft tentang tiap keluhan terkait dengan Informasi Personal Microsoft. Hubungi [email protected] untuk bantuan dengan persyaratan ini.

Data keluhan yang membuktikan jawaban tepat waktu.



53 Mencatat dan menjawab semua keluhan perlindungan data yang terkait dengan Informasi Pribadi Microsoft secara tepat waktu kecuali ada instruksi khusus yang diberikan oleh Microsoft. Sesuai permintaan, memberikan dokumentasi tentang keluhan yang sudah diatasi dan belum diatasi kepada Microsoft.

Dokumentasi keluhan terbuka/tertutup.










Respons

Bagian I: Pemantauan dan Penegakan (lanjutan)

54 Pemasok harus mempertimbangkan sifat informasi pemasok dan membantu Microsoft dalam memastikan kepatuhan terhadap kewajibannya berdasarkan undang-undang yang berlaku (termasuk namun tidak terbatas pada keamanan data, Pelanggaran Informasi Pribadi, penilaian dampak perlindungan data, serta konsultasi dengan otoritas pemerintah, pengaturan, dan pengawasan).


<Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak

55 Menyediakan semua informasi yang diperlukan Microsoft untuk menunjukkan kepatuhan terhadap kewajiban berdasarkan undang-undang yang berlaku serta memungkinkan dan berkontribusi pada audit, termasuk pemeriksaan, yang dilakukan oleh Microsoft atau auditor lain yang dimandatkan oleh Microsoft.



Bagian J: Keamanan

56 PROGRAM KEAMANAN INFORMASI Pemasok harus menetapkan, menerapkan, dan mempertahankan program keamanan informasi yang mencakup kebijakan dan prosedur, untuk melindungi dan menjaga Informasi Pribadi dan Rahasia Microsoft tetap aman sesuai dengan praktik industri yang baik dan sebagaimana diwajibkan oleh hukum yang berlaku. Program keamanan pemasok harus memenuhi standar yang diambil di bawah ini, persyaratan 56 -76.

Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPAA, GLBA) atau persyaratan kontraktual.



57 Melakukan penilaian keamanan jaringan tahunan yang mencakup:

• Peninjauan perubahan besar terhadap lingkungan, seperti komponen sistem baru, topologi jaringan, aturan firewall, dll.

• Melakukan pemindaian kerentanan.

• Menyimpan log perubahan yang melacak perubahan, memberikan informasi mengenai alasan perubahan dan menyertakan pemberi persetujuan.

Tinjau dokumentasi penilaian jaringan, log perubahan, dan hasil pemindaian.



58 Pemasok menentukan, mengomunikasikan, dan menerapkan kebijakan perangkat seluler yang mengamankan dan membatasi penggunaan Informasi Pribadi atau Rahasia Microsoft yang diakses atau digunakan pada perangkat seluler.

Berikan kebijakan perangkat seluler dan tunjukkan penggunaan di mana penanganan data Informasi Pribadi atau Rahasia Microsoft memerlukan penggunaan perangkat seluler.






Respons

Bagian J: Keamanan (lanjutan)

59 Semua Aset yang digunakan untuk mendukung pelaksanaan layanan Microsoft harus dipertanggungjawabkan dan memiliki pemilik yang teridentifikasi. Pemasok bertanggung jawab untuk menjaga inventaris aset informasi ini; menetapkan penggunaan aset yang wajar dan sah; serta memberikan tingkat perlindungan yang sesuai untuk aset tersebut sepanjang siklus hidupnya. Inventaris aset ini mencakup:

- Lokasi perangkat - Klasifikasi Data dari data pada aset - Catatan pemulihan aset setelah pemutusan

hubungan kerja atau perjanjian bisnis - Catatan pembuangan media penyimpanan data jika

sudah tidak diperlukan.

Tinjau Inventaris aset perangkat yang digunakan untuk mendukung pelaksanaan layanan Microsoft.



60 Menetapkan dan memelihara prosedur manajemen hak akses untuk mencegah akses yang tidak sah ke Informasi Pribadi atau Rahasia Microsoft di bawah kendali pemasok. Rencananya mencakup: • Prosedur kontrol akses • Prosedur identifikasi • Prosedur penguncian setelah percobaan yang tidak

berhasil • Pengaturan ulang kata sandi sesering yang diperlukan

tetapi tidak lebih dari setiap 70 hari. • Berikan kesadaran pengguna untuk melindungi

kredensial pengesahan mereka. • Parameter tangguh untuk memilih kredensial

pengesahan. • Deaktivasi akun pengguna pada saat pemutusan

hubungan kerja dalam 48 jam. o Mencakup akses internal/eksternal, media,

kertas, platform teknologi, dan media cadangan. Menetapkan proses untuk meninjau akses pengguna ke Informasi Pribadi dan Rahasia Microsoft, menerapkan prinsip yang paling tidak istimewa: Prosesnya mencakup: • Menentukan peran pengguna dengan jelas • Prosedur untuk meninjau dan membenarkan persetujuan

akses ke peran. • Prosedur untuk menghapus akses pengguna ke peran

ketika akses tidak diperlukan lagi.

Prosedur hak akses didokumentasikan dan diterapkan secara konsisten. Uji bahwa pengguna dalam peran dengan akses ke data Microsoft memiliki justifikasi terdokumentasi untuk berada dalam grup/peran.






Respons


61 Menentukan dan menerapkan prosedur manajemen patch yang memprioritaskan patch keamanan untuk sistem yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, meliputi: • Waktu yang ditentukan untuk menerapkan patch namun

tidak lebih dari 19 hari untuk semua patch keamanan. • Kemampuan untuk menangani dan menerapkan patch

darurat. • Penerapan Sistem Operasi dan perangkat lunak server,

seperti server aplikasi dan perangkat lunak basis data. o Hentikan penggunaan Windows XP

• Dokumentasi risiko patch mengurangi dan melacak setiap pengecualian.

Dapat membuktikan dan menyediakan bukti terdokumentasi bahwa patch keamanan diterapkan.



62 Menginstal perangkat lunak antivirus dan antimalware pada peralatan yang terhubung ke jaringan yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, termasuk namun tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya. Memperbarui definisi anti-malware setiap hari atau sebagaimana diarahkan oleh pemasok anti-virus/anti-malware.



63 Pemasok yang mengembangkan perangkat lunak untuk Produk Microsoft atau aplikasi lini bisnis harus memenuhi persyaratan Siklus Hidup Pengembangan Keamanan (Security Development Lifecycle/SDL) Microsoft atau standar industri serupa. Informasi tersedia di http://www.microsoft.com/sdl.



64 Mengawasi sistem informasi yang digunakan di dalam jaringan perusahaan tempat Informasi Pribadi atau Rahasia Microsoft ditangani - untuk gangguan dan aktivitas tidak sah lainnya. Penggunaan jaringan berbasis Sistem Deteksi Gangguan (Intrusion Detection System/IDS):

• Jika suatu sistem dilanggar, analisis sistem untuk memastikan setiap kerentanan yang tersisa juga ditangani.

• Mendokumentasikan prosedur untuk alat deteksi ancaman sistem pengawasan.

• Tanggapan dan proses manajemen insiden yang ditetapkan harus dijalankan ketika suatu peristiwa terdeteksi.

Buktikan keefektifan sistem pengawasan, dokumentasi pendukung tersedia.






Respons


65 Segera menyampaikan hasil Investigasi tanggapan insiden kepada manajemen senior dan Microsoft. Hubungi [email protected] untuk memberi tahu Microsoft.

Sistem dan proses harus diterapkan untuk mengomunikasikan hasil investigasi tanggapan insiden kepada Microsoft



66 Administrator sistem, staf operasi, manajemen, dan pihak ketiga harus menjalani pelatihan keamanan tahunan.

Buat program pelatihan keamanan yang mencakup:

• Pelatihan tahunan untuk tanggapan insiden.

• Acara simulasi dan mekanisme otomatis untuk memfasilitasi tanggapan yang efektif terhadap situasi krisis.

Kesadaran pencegahan insiden, seperti risiko yang terkait dengan mengunduh perangkat lunak yang berbahaya.



67 Pemasok harus memastikan bahwa proses perencanaan pencadangan melindungi Informasi Pribadi dan Rahasia Microsoft dari penggunaan, akses, pengungkapan, perubahan, dan penghancuran yang tidak sah.

Dokumentasikan prosedur penanggapan dan pemulihan yang merinci bagaimana organisasi akan mengelola peristiwa yang mengganggu dan akan menyimpan keamanan informasinya ke tingkat yang telah ditentukan berdasarkan tujuan keberlanjutan keamanan informasi yang disetujui oleh manajemen. Tentukan dan terapkan prosedur untuk mencadangkan secara berkala, menyimpan dengan aman, dan memulihkan data kritis yang efektif.







Respons


68 Menetapkan dan menguji keberlanjutan bisnis dan rencana pemulihan bencana.

Rencana pemulihan bencana harus mencakup yang berikut

• Kriteria tertentu untuk menentukan apakah suatu sistem sangat penting bagi operasi bisnis pemasok

• Daftar sistem yang sangat penting berdasarkan kriteria yang ditentukan yang harus ditargetkan untuk pemulihan jika terjadi bencana.

• Prosedur pemulihan bencana yang ditetapkan untuk setiap sistem kritis yang menjamin seorang teknisi yang tidak mengetahui sistem dapat memulihkan aplikasinya dalam waktu kurang dari 72 jam.

Pengujian dan peninjauan tahunan (atau lebih sering) dari rencana pemulihan bencana untuk memastikan tujuan pemulihan terpenuhi.



69 Mengesahkan identitas individu sebelum memberikan akses ke informasi Pribadi atau Rahasia Microsoft kepada individu tersebut.

Pastikan semua ID pengguna unik dan masing-masing memiliki metode pengesahan standar industri, seperti Azure Active Directory. Peningkatan akses (administratif atau jenis hak istimewa yang disempurnakan lainnya) harus memerlukan penggunaan faktor kedua, seperti kartu pintar atau telepon berbasis otentikator.



https://azure.microsoft.com/en-us/services/active-directory/?v=17.23h

https://azure.microsoft.com/en-us/services/active-directory/?v=17.23h




Respons


70 Pemasok harus melindungi Informasi Pribadi dan Rahasia Microsoft saat transit melintasi jaringan dengan enkripsi yang menggunakan Keamanan Lapisan Transportasi (Transport Layer Security/TLS) atau Keamanan Protokol Internet (Internet Protocol Security/IPsec). Metode ini dijelaskan dalam NIST 800-52 dan NIST 800-57; standar industri yang setara juga dapat digunakan. Pemasok harus menolak pengiriman Informasi Pribadi Microsoft apa pun yang dikirimkan melalui cara yang tidak dienkripsi.

Proses membuat, menerapkan, dan mengganti TLS atau sertifikat lainnya harus ditentukan dan dilaksanakan.



71 Semua perangkat klien pemasok (laptop, stasiun kerja, dll.) yang akan mengakses atau menangani Informasi Pribadi atau Rahasia Microsoft harus menggunakan disk berbasis enkripsi.

Enkripsi semua perangkat klien untuk memenuhi Bitlocker atau solusi enkrirpsi disk industri yang setara lainnya untuk semua perangkat klien yang digunakan untuk menangani Informasi Pribadi atau Rahasia Microsoft.



72 Sistem dan prosedur harus diterapkan untuk mengenkripsi informasi Pribadi Microsoft, yang dicatat di bawah, saat istirahat (ketika disimpan) dengan menggunakan standar industri saat ini seperti yang dijelaskan dalam standar NIST 800-111. Enkripsi jenis Informasi Pribadi Microsoft berikut saat istirahat:

• data kredensial (misal., nama pengguna/kata sandi)

• data instrumen pembayaran (misal., nomor kartu kredit dan rekening)

• data profil medis (misal., nomor rekam medis atau pengenal biometrik).

• data pengenal yang diterbitkan pemerintah (misal., nomor jaminan sosial atau SIM)



http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57Pt3r1.pdf

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-111.pdf

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-111.pdf




Respons


73 Saat memproses kartu kredit atas nama Microsoft, patuhi standar penanganan kartu kredit yang berlaku sesuai penerbit kartu.

Buktikan kepatuhan dengan memberikan sertifikasi Standar Layanan Data Industri Kartu Pembayaran (Payment Card Industry Data Services Standard/PCI-DSS) setiap tahunnya. Serahkan sertifikasi PCI DSS kepada SSPA. Hubungi [email protected]



74 Pemasok harus menyimpan aset fisik Informasi Pribadi dan Sensitif Microsoft di lingkungan yang dikendalikan akses.

Sistem dan proses harus diterapkan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan data Microsoft. Tahapan penanganan harus dilacak untuk pergerakan dan penghancuran media fisik yang berisi data Microsoft.



75 Melakukan uji penetrasi keamanan independen setiap tahun ntuk solusi Perangkat Lunak Berbentuk Layanan (Software as a Service/SaaS) yang Memproses Informasi Pribadi atau Rahasia Microsoft, yang memberikan hasilnya kepada Microsoft berdasarkan permintaan atau memungkinkan Microsoft melakukan uji penetrasi secara berkala. Hubungi [email protected] untuk menyerahkan sertifikat uji pena atau meminta uji Microsoft.



76 Membuat anonim semua Informasi Personal Microsoft yang digunakan dalam lingkungan pengembangan atau pengujian.

Informasi Pribadi Microsoft tidak boleh digunakan di lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dibuat anonim secukupnya untuk mencegah identifikasi Subjek Data atau penyalahgunaan Informasi Pribadi.





Documents

Persyaratan Perlindungan Data Pemasok Microsoft