Persyaratan Perlindungan Data Pemasok Microsoft

(1)

Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft.

• Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan.

• Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku.

Tanpa membatasi kewajibannya yang lain, di mana Microsoft telah memberikan persetujuan tertulis sebelumnya untuk transfer internasional Informasi Pribadi Microsoft, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, aturan perusahaan yang mengikat, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh Microsoft, termasuk, namun tidak terbatas pada, UE-A.S. dan Swiss-A.S. Kerangka kerja Pelindung Privasi dan Peraturan Perlindungan Data Umum UE. Pemasok setuju untuk memberi tahu Microsoft jika Pemasok membuat keputusan bahwa Pemasok tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang sama sebagaimana diharuskan oleh prinsip Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi.

“Informasi Rahasia Microsoft” adalah segala jenis informasi yang jika kerahasiaan atau integritasnya terancam, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft.

“Informasi Pribadi Microsoft” berarti setiap Informasi Pribadi yang Diproses oleh atau atas nama Microsoft.

“Informasi Pribadi” berarti setiap informasi yang terkait dengan individu yang diidentifikasi atau yang teridentifikasi (“Subjek Data”); individu yang teridentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung maupun tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau beberapa faktor tertentu dari identifikasi fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial individu tersebut. “Pelanggaran Informasi Pribadi” berarti pelanggaran keamanan yang mengakibatkan kerusakan yang tidak disengaja atau ilegal, kerugian, perubahan, pengungkapan atau akses yang tidak sah dari, Informasi Pribadi yang dikirim, disimpan, atau Diproses.

“Proses” berarti setiap operasi atau rangkaian operasi yang dilakukan pada Informasi Pribadi atau kumpulan Informasi Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengaturan, penataan,

penyimpanan, penyesuaian, atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui pengiriman, penyebaran, atau penyediaan, penyelarasan atau kombinasi, pembatasan, penghapusan, atau penghancuran.

Struktur DPR

DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles/GAPP) terbagi menjadi 10 bagian yang mencakup kriteria terukur yang terkait dengan perlindungan dan manajemen Informasi Pribadi. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft.

(2)

Bagian A: Manajemen

Sebelum pemasok dapat Memproses Informasi Pribadi

atau Rahasia Microsoft, pemasok harus:

1 _{Telah menandatangani kontrak, laporan kerja, atau} pesanan pembelian Microsoft yang sah yang berisi bahasa perlindungan data privasi dan keamanan yang menjelaskan materi pokok dan durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Informasi Pribadi Microsoft dan kategori Subjek Data serta kewajiban dan hak Microsoft.

Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah yang berisi uraian aktivitas Pemrosesan yang diperlukan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

2 _{Menetapkan tanggung jawab dan akuntabilitas sesuai} dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan.

Pemasok harus mengidentifikasi orang atau kelompok yang dituduh dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data. Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

3 _{Memastikan semua pihak berwenang yang Memproses} Informasi Pribadi Microsoft telah berkomitmen terhadap kerahasiaan atau memiliki kewajiban kerahasiaan hukum yang sesuai.

Kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah dengan kewajiban kerahasiaan.

Bukti formulir standar dari perjanjian pelarangan pengungkapan informasi pemasok, kerja, konsultasi, dan subkontrak. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

4 _{Menetapkan, menjaga, dan melakukan pelatihan privasi} tahunan untuk karyawan yang akan memiliki akses ke Informasi Pribadi Microsoft.

Jika perusahaan Anda tidak memiliki persiapan konten, hubungi SSPAHelp@microsoft.com untuk meminta kerangka papan cerita yang dapat disesuaikan dengan perusahaan Anda.

Pemasok mengedukasi karyawan pada tahap awal dan secara berkala mengenai prinsip privasi dan keamanan dasar.

Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll). <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(3)

Bagian A: Manajemen (lanjutan)

5 _{Menyampaikan informasi yang relevan setiap tahun} tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada pegawai dan subkontraktor yang melakukan layanan untuk Microsoft.

Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft.

Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll.

<Sesuai>

<Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

6 _{Memproses Informasi Pribadi Microsoft hanya sesuai} dengan instruksi Microsoft yang terdokumentasi termasuk mengenai transfer Informasi Pribadi ke negara ketiga atau organisasi internasional, kecuali jika diwajibkan

melakukannya berdasarkan undang-undang yang berlaku; dalam kasus seperti itu, pemroses harus memberi tahu pengawas persyaratan hukum tersebut sebelum memproses, kecuali jika undang-undang tersebut melarang informasi semacam itu dengan alasan penting untuk kepentingan publik.

Bukti instruksi yang terdokumentasi, misalnya sebagaimana yang tertera dalam kontrak, laporan kerja, atau pesanan pembelian, atau diambil sebagai bagian dari sistem elektronik yang digunakan dalam penyediaan layanan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

7 _{Segera memberi tahu Microsoft jika, menurut}

pendapatnya, sebuah instruksi melanggar hukum yang berlaku.

Kewajiban kontraktual pemasok adalah memberi tahu Microsoft jika, menurut pendapat pemasok, sebuah instruksi melanggar hukum yang berlaku.

Bagian B: Pemberitahuan

8 _{Pemasok harus menggunakan Pernyataan Privasi Microsoft} saat mengumpulkan Informasi Pribadi atas nama

Microsoft.

Pemberitahuan privasi harus mencolok dan tersedia bagi Subjek Data untuk membantu mereka memutuskan apakah akan menyerahkan Informasi Pribadi mereka kepada pemasok.

Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini.

Pemberitahuan privasi harus tersedia secara online dan offline sesuai yang diperlukan, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(4)

Bagian B: Pemberitahuan (lanjutan)

9 _{Saat mengumpulkan Informasi Pribadi Microsoft melalui} panggilan suara langsung atau yang direkam, pemasok harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan Subjek Data.

Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan Subjek Data saat Informasi Pribadi dikumpulkan melalui telepon.

Bagian C: Pilihan dan Persetujuan

10 _{Jika pemasok mengandalkan persetujuan sebagai dasar} hukum untuk memproses data, pemasok harus

memperoleh dan mendokumentasikan persetujuan Subjek Data sebelum mengumpulkan Informasi Pribadi Subjek Data.

Pemasok menjelaskan proses kepada Subjek Data untuk menyetujui atau menolak

memberikan Informasi Pribadi dan konsekuensi dari kedua tindakan tersebut. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

11 _{Pemasok mengambil setiap persetujuan Subjek Data} sebelum atau pada waktu mengumpulkan Informasi Pribadi.

Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut.

Terdapat sistem dan prosedur untuk mengelola persetujuan dan preferensi kontak Subjek Data.

12 _{Mendokumentasikan dan mengelola perubahan preferensi} kontak Subjek Data dengan tepat waktu.

Pemasok mengawasi manajemen persetujuan Subjek Data untuk memastikan keefektifan sistem dan proses. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 13 _{Memperoleh dan mendokumentasikan persetujuan Subjek}

Data untuk setiap penggunaan baru dari Informasi Pribadi Subjek Data tersebut.

Pemasok memastikan bahwa jika persetujuan tidak diberikan, maka tidak ada penggunaan atau pemrosesan tambahan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(5)

Bagian C: Pilihan dan Persetujuan (lanjutan)

14 _{Cookie adalah file teks kecil yang disimpan di perangkat} oleh situs web dan aplikasi online yang berisi informasi yang digunakan untuk mengenali pengguna atau perangkat.

Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memberikan pengguna

pemberitahuan dan pilihan yang transparan mengenai penggunaan cookie.

Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memastikan bahwa penggunaan cookie selaras dengan komitmen dalam Pernyataan Privasi Microsoft dan persyaratan hukum setempat, seperti aturan yang ditetapkan oleh Uni Eropa.

Tujuan setiap cookie harus didokumentasikan, dan harus memberi tahu jenis cookie yang diterapkan:

• Cookie sesi harus digunakan jika memungkinkan.

• Cookie yang persisten tetap berada di perangkat tidak lebih dari yang diperlukan dan tidak melebihi 2 tahun.

Validasikan bahwa aturan UE diterapkan, seperti namun juga tidak terbatas;

• Penggunaan konvensi pelabelan, “Privasi & Cookie” untuk pernyataan privasi. • Dapatkan persetujuan

pengguna sebelum

menggunakan cookie untuk tujuan yang “tidak penting” seperti iklan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

Bagian D: Pengumpulan

15 _{Pemasok harus mengawasi pengumpulan Informasi Pribadi} dan Rahasia Microsoft untuk memastikan bahwa satu-satunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft.

Terdapat sistem dan prosedur untuk menentukan Informasi Pribadi dan Rahasia yang diperlukan.

Pemasok mengawasi

pengumpulan untuk memastikan keefektifan sistem dan prosedur.

16 _{Jika pemasok mendapatkan Informasi Pribadi dari pihak} ketiga atas nama Microsoft, pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft serta persyaratan DPR.

Pemasok dapat menunjukkan uji tuntas dilakukan mengenai kebijakan dan praktik

perlindungan data pihak ketiga.

17 _{Sebelum mengumpulkan Informasi Pribadi Microsoft yang} sensitif melalui penginstalan atau penggunaan perangkat lunak yang dapat dijalankan di perangkat Subjek Data, keharusan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer Subjek Data untuk mengumpulkan Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(6)

Bagian D: Pengumpulan (lanjutan)

18 _{Sebelum mengumpulkan Informasi Pribadi Microsoft yang} sensitif (data yang mengungkapkan ras atau asal etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja, data genetik, data biometrik, data mengenai kesehatan atau data mengenai kehidupan seks atau orientasi seksual individu) kebutuhan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft.

Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum

mengumpulkan Informasi Pribadi sensitif. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

Bagian E: Penyimpanan

19 _{Memastikan bahwa Informasi Pribadi dan Rahasia} Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Pribadi Microsoft diperlukan oleh hukum.

Pemasok memenuhi kebijakan penyimpanan yang

didokumentasikan atau

persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

20 _{Memastikan bahwa, atas kebijakan Microsoft, Informasi} Pribadi atau Rahasia Microsoft yang dimiliki pemasok atau berada di bawah kendalinya dikembalikan kepada

Microsoft atau dihancurkan setelah layanan selesai atau atas permintaan Microsoft.

Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok.

Apabila penghancuran Informasi Pribadi atau Rahasia Microsoft diperlukan, pemasok harus membakar,

menghancurleburkan, atau menyobek aset fisik yang berisi Informasi Pribadi Microsoft sehingga informasi tersebut tidak dapat dibaca atau direkonstruksi.

Dalam aplikasi, proses harus dilakukan untuk memastikan bahwa apabila data dihapus dari aplikasi baik secara eksplisit oleh pengguna atau berdasarkan pemicu lainnya seperti usia data, data tersebut akan dihapus dengan aman.

Pemasok menyimpan data pelepasan Informasi Pribadi dan Rahasia Microsoft (misalnya dikembalikan ke Microsoft untuk dihancurkan). <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(7)

Bagian F: Subjek Data

21 _{Subjek Data berhak mengakses, menghapus, mengedit,} mengekspor, membatasi, dan menolak pemrosesan Informasi Pribadi mereka (“Hak Subjek Data”). Ketika Subjek Data berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku sehubungan dengan Informasi Pribadi Microsoft mereka, pemasok harus: <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

22 _{Membantu Microsoft, melalui tindakan teknis dan} organisasi yang tepat, sejauh mungkin, untuk memenuhi kewajibannya dalam menanggapi permintaan Subjek Data yang berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku.

23 _{Merespons semua permintaan Hak Subjek Data tanpa} penundaan yang tidak semestinya.

Pemasok melakukan uji berkala untuk memastikan mereka dapat mendukung hak Subjek Data.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 24 _{Kecuali jika diarahkan oleh Microsoft, Pemasok akan}

merujuk semua Subjek Data yang menghubungi Pemasok secara langsung ke Microsoft untuk menggunakan Hak Subjek Data mereka.

Pemasok akan mengomunikasikan kepada Subjek Data langkah-langkah yang harus diambil seseorang untuk mendapatkan akses ke atau menggunakan hak mereka terhadap Informasi Pribadi Microsoft mereka.

Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses Informasi Pribadi, serta metode yang tersedia untuk memperbarui informasi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

25 _{Ketika merespons Subjek Data secara langsung, validasikan} identitas Subjek Data yang membuat permintaan ini.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 26 _{Mendapatkan izin dari Microsoft untuk tetap}

menggunakan pengenal yang diterbitkan pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan. Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(8)

Bagian F: Subjek Data (lanjutan)

27 _{Menentukan apakah pemasok memiliki atau}

mengendalikan Informasi Pribadi Microsoft tentang Subjek Data tersebut.

Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah Informasi Pribadi disimpan.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 28 _{Membuat usaha yang wajar untuk menentukan lokasi}

Informasi Personal Microsoft yang diminta dan

menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan.

Pemasok menjawab permintaan dengan tepat waktu.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 29 _{Mencatat tanggal dan waktu permintaan serta tindakan}

yang diambil oleh pemasok dalam menanggapi permintaan tersebut.

Memberikan data permintaan Subjek Data kepada Microsoft atas permintaan.

Pemasok menyimpan data permintaan akses dan

mendokumentasikan perubahan yang dilakukan pada Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

30 _{Setelah Subjek Data disahkan dan pemasok telah} memvalidasi bahwa mereka memiliki Informasi Pribadi Microsoft yang diminta, pemasok harus:

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 31 _{Atas permintaan untuk memperoleh salinan Informasi}

Pribadi, berikan Informasi Pribadi Microsoft kepada Subjek Data dengan format cetak, elektronik, atau verbal yang sesuai.

Pemasok memberikan Informasi Pribadi kepada Subjek Data dalam format yang dapat dipahami dan dalam bentuk yang mudah digunakan oleh Subjek Data dan pemasok. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

32 _{Jika permintaan mereka ditolak, berdasarkan arahan} Microsoft, berikan penjelasan tertulis kepada Subjek Data yang konsisten dengan setiap instruksi relevan yang sebelumnya diberikan oleh Microsoft.

Contoh dokumen ketika permintaan ditolak dan simpan bukti tinjauan dan persetujuan Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(9)

Bagian F: Subjek Data (lanjutan)

33 _{Pemasok harus mengambil tindakan pencegahan yang} wajar untuk memastikan bahwa Informasi Pribadi Microsoft yang dirilis kepada Subjek Data tidak dapat digunakan untuk mengidentifikasi orang lain.

Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat

diidentifikasi dari informasi yang dirilis (mis., tidak dapat

memfotokopi seluruh halaman data saat meminta Informasi Pribadi untuk Subjek Data yang hanya muncul pada satu baris).

34 _{Jika Subjek Data dan pemasok tidak setuju tentang} kelengkapan dan keakuratan Informasi Pribadi Microsoft, pemasok harus melaporkan masalah tersebut kepada Microsoft dan bekerja sama dengan Microsoft

sebagaimana diperlukan untuk menyelesaikan masalah. Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini.

Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

Bagian G: Pengungkapan kepada Pihak Ketiga

Jika pemasok bermaksud menggunakan subkontraktor

untuk Memproses Informasi Pribadi dan Rahasia Microsoft, pemasok harus:

35 _{Mendapatkan persetujuan tertulis dari Microsoft sebelum} melakukan subkontrak layanan atau melakukan perubahan apa pun terkait penambahan atau penggantian

subkontraktor.

Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

36 _{Tetap bertanggung jawab sepenuhnya kepada Microsoft} atas kinerja setiap subkontraktor.

Penyedia kontrak pada pemasok tetap bertanggung jawab kepada Microsoft atas subkontraktornya.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 37 _{Mendokumentasikan sifat dan tingkat Informasi Pribadi}

dan Rahasia Microsoft yang Di-subproses oleh subkontraktor, memastikan bahwa informasi yang dikumpulkan diperlukan untuk melakukan layanan yang disediakan oleh Microsoft.

Pemasok menyimpan

dokumentasi mengenai Informasi Pribadi dan Rahasia Microsoft yang diungkapkan atau ditransfer kepada subkontraktor. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(10)

Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)

38 _{Pastikan subkontraktor menggunakan Informasi Pribadi} Microsoft sesuai dengan preferensi kontak yang

dinyatakan Subjek Data.

Sistem dan proses diterapkan untuk memastikan subkontraktor menggunakan Informasi Pribadi Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak Subjek Data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

39 _{Membatasi Pemrosesan Informasi Pribadi Microsoft oleh} subkontraktor untuk tujuan yang penting demi memenuhi kontrak pemasok dengan Microsoft.

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 40 _{Segera memberi tahu Microsoft atas setiap keputusan}

pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum

mengajukan respons atas keputusan atau pemberitahuan. Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini.

Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan

pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

41 _{Meninjau keluhan yang mengindikasikan Pemrosesan yang} tidak sah atau ilegal dari Informasi Pribadi Microsoft.

Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

42 _{Segera memberi tahu Microsoft setelah mengetahui} bahwa subkontraktor telah Memproses Informasi Pribadi dan Sensitif Microsoft untuk tujuan selain dari

memberikan layanan yang terkait dengan Microsoft kepada Microsoft atau pemasoknya.

Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah

menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(11)

Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)

43 _{Segera mengambil tindakan untuk mengurangi setiap} kemungkinan bahaya yang dapat disebabkan oleh

Pemrosesan Informasi Pribadi dan Rahasia Microsoft yang tidak sah atau ilegal oleh subkontraktor.

Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan ketika subkontraktor telah menggunakan Informasi Pribadi dan Rahasia Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Pribadi atau Rahasia. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

44 _{Sebelum menerima Informasi Pribadi apa pun dari pihak} ketiga, verifikasikan bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR.

Proses yang didokumentasikan disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 45 _{Mengonfirmasi bahwa hanya Informasi Pribadi yang}

dikumpulkan dari pihak ketiga yang diperlukan untuk melakukan layanan yang diadakan oleh Microsoft.

Proses yang didokumentasikan disesuaikan untuk membatasi transfer Informasi Pribadi Microsoft dari pihak ketiga ke yang hanya diperlukan untuk melakukan layanan kontrak.

Bagian H: Kualitas

46 _{Pemasok harus menjaga integritas semua Informasi Pribadi} Microsoft, memastikannya tetap akurat, lengkap, dan relevan untuk tujuan Pemrosesan yang dinyatakan.

Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui.

Sistem dan proses diterapkan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

47 _{Pemasok harus memastikan untuk mengumpulkan jumlah} minimum Informasi Pribadi yang diperlukan untuk

memenuhi tujuan yang telah ditetapkan.

(12)

Bagian I: Pemantauan dan Penegakan

48 _{Segera memberi tahu Microsoft setelah mengetahui} Pelanggaran Informasi Pribadi atau kerentanan kemanan yang terkait dengan penanganan Informasi Pribadi atau Rahasia Microsoft oleh pemasok.

Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

49 _{Jangan mengeluarkan rilis pers atau pemberitahuan publik} lainnya yang berhubungan dengan Pelanggaran Informasi Pribadi yang melibatkan Informasi Pribadi atau Rahasia Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali dinyatakan oleh hukum atau perundang-undangan. Hubungi SSPAHelp@microsoft.com untuk bantuan dengan persyaratan ini. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

50 _{Menerapkan rencana pemulihan dan mengawasi}

penyelesaian masalah dari Pelanggaran Informasi Pribadi dan kerentanan yang terkait dengan Informasi Pribadi Microsoft untuk memastikan bahwa tindakan perbaikan yang tepat dilakukan dengan tepat waktu.

51 _{Menetapkan proses keluhan formal untuk menjawab} semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft.

Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

52 _{Memberi tahu Microsoft tentang tiap keluhan terkait} dengan Informasi Personal Microsoft.

Data keluhan yang membuktikan jawaban tepat waktu.

53 _{Mencatat dan menjawab semua keluhan perlindungan} data yang terkait dengan Informasi Pribadi Microsoft secara tepat waktu kecuali ada instruksi khusus yang diberikan oleh Microsoft.

Sesuai permintaan, memberikan dokumentasi tentang

Dokumentasi keluhan terbuka/tertutup. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(13)

Bagian I: Pemantauan dan Penegakan (lanjutan)

54 _{Pemasok harus mempertimbangkan sifat informasi} pemasok dan membantu Microsoft dalam memastikan kepatuhan terhadap kewajibannya berdasarkan undang-undang yang berlaku (termasuk namun tidak terbatas pada keamanan data, Pelanggaran Informasi Pribadi, penilaian dampak perlindungan data, serta konsultasi dengan otoritas pemerintah, pengaturan, dan pengawasan).

<Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak

55 _{Menyediakan semua informasi yang diperlukan Microsoft} untuk menunjukkan kepatuhan terhadap kewajiban berdasarkan undang-undang yang berlaku serta

memungkinkan dan berkontribusi pada audit, termasuk pemeriksaan, yang dilakukan oleh Microsoft atau auditor lain yang dimandatkan oleh Microsoft.

Bagian J: Keamanan

56

P

ROGRAM

K

EAMANAN

I

NFORMASI

Pemasok harus menetapkan, menerapkan, dan mempertahankan program keamanan informasi yang mencakup kebijakan dan prosedur, untuk melindungi dan menjaga Informasi Pribadi dan Rahasia Microsoft tetap aman sesuai dengan praktik industri yang baik dan sebagaimana diwajibkan oleh hukum yang berlaku. Program keamanan pemasok harus memenuhi standar yang diambil di bawah ini, persyaratan 56 -76.

Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPAA, GLBA) atau

persyaratan kontraktual. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

57 _{Melakukan penilaian keamanan jaringan tahunan yang} mencakup:

• Peninjauan perubahan besar terhadap lingkungan, seperti komponen sistem baru, topologi jaringan, aturan firewall, dll.

• Melakukan pemindaian kerentanan. • Menyimpan log perubahan yang melacak

perubahan, memberikan informasi mengenai alasan perubahan dan menyertakan pemberi persetujuan.

Tinjau dokumentasi penilaian jaringan, log perubahan, dan hasil pemindaian. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

58 Pemasok menentukan, mengomunikasikan, dan menerapkan kebijakan perangkat seluler yang mengamankan dan membatasi penggunaan Informasi Pribadi atau Rahasia Microsoft yang diakses atau digunakan pada perangkat seluler.

Berikan kebijakan perangkat seluler dan tunjukkan penggunaan di mana penanganan data

Informasi Pribadi atau Rahasia Microsoft memerlukan

penggunaan perangkat seluler.

(14)

Bagian J: Keamanan (lanjutan)

59 Semua Aset yang digunakan untuk mendukung pelaksanaan

layanan Microsoft harus dipertanggungjawabkan dan memiliki pemilik yang teridentifikasi. Pemasok bertanggung jawab untuk menjaga inventaris aset informasi ini;

menetapkan penggunaan aset yang wajar dan sah; serta memberikan tingkat perlindungan yang sesuai untuk aset tersebut sepanjang siklus hidupnya.

Inventaris aset ini mencakup:

- Lokasi perangkat

- Klasifikasi Data dari data pada aset

- Catatan pemulihan aset setelah pemutusan

hubungan kerja atau perjanjian bisnis

- Catatan pembuangan media penyimpanan data jika

sudah tidak diperlukan.

Tinjau Inventaris aset perangkat yang digunakan untuk mendukung pelaksanaan layanan Microsoft.

60 Menetapkan dan memelihara prosedur manajemen hak akses

untuk mencegah akses yang tidak sah ke Informasi Pribadi atau Rahasia Microsoft di bawah kendali pemasok. Rencananya mencakup:

• Prosedur kontrol akses

• Prosedur identifikasi

• Prosedur penguncian setelah percobaan yang tidak

berhasil

• Pengaturan ulang kata sandi sesering yang diperlukan

tetapi tidak lebih dari setiap 70 hari.

• Berikan kesadaran pengguna untuk melindungi

kredensial pengesahan mereka.

• Parameter tangguh untuk memilih kredensial

pengesahan.

• Deaktivasi akun pengguna pada saat pemutusan

hubungan kerja dalam 48 jam.

o Mencakup akses internal/eksternal, media, kertas, platform teknologi, dan media cadangan. Menetapkan proses untuk meninjau akses pengguna ke Informasi Pribadi dan Rahasia Microsoft, menerapkan prinsip yang paling tidak istimewa:

Prosesnya mencakup:

• Menentukan peran pengguna dengan jelas

• Prosedur untuk meninjau dan membenarkan persetujuan akses ke peran.

• Prosedur untuk menghapus akses pengguna ke peran

Prosedur hak akses

didokumentasikan dan diterapkan secara konsisten.

Uji bahwa pengguna dalam peran dengan akses ke data Microsoft memiliki justifikasi

terdokumentasi untuk berada dalam grup/peran. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(15)

Bagian J: Keamanan (lanjutan)

61 Menentukan dan menerapkan prosedur manajemen patch

yang memprioritaskan patch keamanan untuk sistem yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, meliputi:

• Waktu yang ditentukan untuk menerapkan patch namun

tidak lebih dari 19 hari untuk semua patch keamanan.

• Kemampuan untuk menangani dan menerapkan patch

darurat.

• Penerapan Sistem Operasi dan perangkat lunak server,

seperti server aplikasi dan perangkat lunak basis data. o Hentikan penggunaan Windows XP

• Dokumentasi risiko patch mengurangi dan melacak setiap

pengecualian.

Dapat membuktikan dan menyediakan bukti

terdokumentasi bahwa patch keamanan diterapkan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

62 Menginstal perangkat lunak antivirus dan antimalware pada

peralatan yang terhubung ke jaringan yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, termasuk namun tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya.

Memperbarui definisi anti-malware setiap hari atau sebagaimana diarahkan oleh pemasok anti-virus/anti-malware. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

63 Pemasok yang mengembangkan perangkat lunak untuk

Produk Microsoft atau aplikasi lini bisnis harus memenuhi persyaratan Siklus Hidup Pengembangan Keamanan (Security Development Lifecycle/SDL) Microsoft atau standar industri serupa. Informasi tersedia di http://www.microsoft.com/sdl.

64 Mengawasi sistem informasi yang digunakan di dalam

jaringan perusahaan tempat Informasi Pribadi atau Rahasia Microsoft ditangani - untuk gangguan dan aktivitas tidak sah lainnya.

Penggunaan jaringan berbasis Sistem Deteksi Gangguan (Intrusion Detection System/IDS):

• Jika suatu sistem dilanggar, analisis sistem untuk memastikan setiap kerentanan yang tersisa juga ditangani.

• Mendokumentasikan prosedur untuk alat deteksi ancaman sistem pengawasan.

• Tanggapan dan proses manajemen insiden yang ditetapkan harus dijalankan ketika suatu peristiwa terdeteksi.

Buktikan keefektifan sistem pengawasan, dokumentasi pendukung tersedia. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(16)

Bagian J: Keamanan (lanjutan)

65 _{Segera menyampaikan hasil Investigasi tanggapan insiden} kepada manajemen senior dan Microsoft.

Hubungi SSPAHelp@microsoft.com untuk memberi tahu Microsoft.

Sistem dan proses harus diterapkan untuk mengomunikasikan hasil investigasi tanggapan insiden kepada Microsoft <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

66 _{Administrator sistem, staf operasi, manajemen, dan pihak} ketiga harus menjalani pelatihan keamanan tahunan.

Buat program pelatihan keamanan yang mencakup:

• Pelatihan tahunan untuk tanggapan insiden. • Acara simulasi dan

mekanisme otomatis untuk memfasilitasi tanggapan yang efektif terhadap situasi krisis. Kesadaran pencegahan insiden, seperti risiko yang terkait dengan mengunduh perangkat lunak yang berbahaya. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

67 _{Pemasok harus memastikan bahwa proses perencanaan} pencadangan melindungi Informasi Pribadi dan Rahasia Microsoft dari penggunaan, akses, pengungkapan, perubahan, dan penghancuran yang tidak sah.

Dokumentasikan prosedur

penanggapan dan pemulihan yang merinci bagaimana organisasi akan mengelola peristiwa yang mengganggu dan akan

menyimpan keamanan

informasinya ke tingkat yang telah ditentukan berdasarkan tujuan keberlanjutan keamanan informasi yang disetujui oleh manajemen.

Tentukan dan terapkan prosedur untuk mencadangkan secara berkala, menyimpan dengan aman, dan memulihkan data kritis yang efektif. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

(17)

Bagian J: Keamanan (lanjutan)

68 _{Menetapkan dan menguji keberlanjutan bisnis dan} rencana pemulihan bencana.

Rencana pemulihan bencana harus mencakup yang berikut • Kriteria tertentu untuk

menentukan apakah suatu sistem sangat penting bagi operasi bisnis pemasok • Daftar sistem yang sangat

penting berdasarkan kriteria yang ditentukan yang harus ditargetkan untuk pemulihan jika terjadi bencana.

• Prosedur pemulihan bencana yang ditetapkan untuk setiap sistem kritis yang menjamin seorang teknisi yang tidak mengetahui sistem dapat memulihkan aplikasinya dalam waktu kurang dari 72 jam.

Pengujian dan peninjauan tahunan (atau lebih sering) dari rencana pemulihan bencana untuk memastikan tujuan pemulihan terpenuhi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

69 _{Mengesahkan identitas individu sebelum memberikan} akses ke informasi Pribadi atau Rahasia Microsoft kepada individu tersebut.

Pastikan semua ID pengguna unik dan masing-masing memiliki metode pengesahan standar industri, seperti Azure Active Directory.

Peningkatan akses (administratif atau jenis hak istimewa yang disempurnakan lainnya) harus memerlukan penggunaan faktor kedua, seperti kartu pintar atau telepon berbasis otentikator.

(18)

Bagian J: Keamanan (lanjutan)

70 _{Pemasok harus melindungi Informasi Pribadi dan Rahasia} Microsoft saat transit melintasi jaringan dengan enkripsi yang menggunakan Keamanan Lapisan Transportasi (Transport Layer Security/TLS) atau Keamanan Protokol Internet (Internet Protocol Security/IPsec).

Metode ini dijelaskan dalam NIST 800-52 dan NIST 800-57; standar industri yang setara juga dapat digunakan. Pemasok harus menolak pengiriman Informasi Pribadi Microsoft apa pun yang dikirimkan melalui cara yang tidak dienkripsi.

Proses membuat, menerapkan, dan mengganti TLS atau sertifikat lainnya harus ditentukan dan dilaksanakan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

71 _{Semua perangkat klien pemasok (laptop, stasiun kerja, dll.)} yang akan mengakses atau menangani Informasi Pribadi atau Rahasia Microsoft harus menggunakan disk berbasis enkripsi.

Enkripsi semua perangkat klien untuk memenuhi Bitlocker atau solusi enkrirpsi disk industri yang setara lainnya untuk semua perangkat klien yang digunakan untuk menangani Informasi Pribadi atau Rahasia Microsoft.

72 _{Sistem dan prosedur harus diterapkan untuk mengenkripsi} informasi Pribadi Microsoft, yang dicatat di bawah, saat istirahat (ketika disimpan) dengan menggunakan standar industri saat ini seperti yang dijelaskan dalam standar NIST 800-111.

Enkripsi jenis Informasi Pribadi Microsoft berikut saat istirahat:

• data kredensial (misal., nama pengguna/kata sandi) • data instrumen pembayaran (misal., nomor kartu

kredit dan rekening)

• data profil medis (misal., nomor rekam medis atau pengenal biometrik).

• data pengenal yang diterbitkan pemerintah (misal., nomor jaminan sosial atau SIM)

(19)

Bagian J: Keamanan (lanjutan)

73 _{Saat memproses kartu kredit atas nama Microsoft,} patuhi standar penanganan kartu kredit yang berlaku sesuai penerbit kartu.

Buktikan kepatuhan dengan memberikan sertifikasi Standar Layanan Data Industri Kartu Pembayaran (Payment Card Industry Data Services Standard/PCI-DSS) setiap tahunnya.

Serahkan sertifikasi PCI DSS kepada SSPA. Hubungi SSPAHelp@microsoft.com <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>

74 _{Pemasok harus menyimpan aset fisik Informasi Pribadi dan} Sensitif Microsoft di lingkungan yang dikendalikan akses.

Sistem dan proses harus

diterapkan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan data Microsoft.

Tahapan penanganan harus dilacak untuk pergerakan dan penghancuran media fisik yang berisi data Microsoft.

75 _{Melakukan uji penetrasi keamanan independen setiap} tahun ntuk solusi Perangkat Lunak Berbentuk Layanan (Software as a Service/SaaS) yang Memproses Informasi Pribadi atau Rahasia Microsoft, yang memberikan hasilnya kepada Microsoft berdasarkan permintaan atau

memungkinkan Microsoft melakukan uji penetrasi secara berkala.

Hubungi SSPAHelp@microsoft.com untuk menyerahkan sertifikat uji pena atau meminta uji Microsoft.

76 _{Membuat anonim semua Informasi Personal Microsoft} yang digunakan dalam lingkungan pengembangan atau pengujian.

Informasi Pribadi Microsoft tidak boleh digunakan di lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dibuat anonim secukupnya untuk mencegah identifikasi Subjek Data atau penyalahgunaan Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak>