Dataskyddskrav för leverantörer utvärderingskriterier

Transkript

1 Dataskyddskrav för leverantörer utvärderingskriterier Tillämplighet Microsofts dataskyddskrav (Data Protection Requirements (DPR)) för leverantörer gäller alla Microsoft-leverantörer som samlar in, använder, distribuerar, har åtkomst till eller lagrar Microsofts personliga information eller Microsofts känsliga information som en del av utförandet av tjänster som tillhandahålls enligt inköpsordern eller kontraktet med Microsoft. Vid eventuell konflikt mellan dessa krav och de krav som fastställs i kontraktet mellan leverantören och Microsoft har villkoren i kontraktet företräde. Vid eventuell konflikt mellan dessa krav och lagstadgade krav har de lagstadgade kraven företräde. Microsofts känsliga information är all information som, om den äventyras i fråga om sekretess eller integritet, kan leda till betydande förluster för Microsoft vad gäller rykte och ekonomi. Detta inkluderar, men är ej begränsat till: maskinvaru- och programvaruprodukter från Microsoft, interna verksamhetsspecifika program, ej ännu utgivet marknadsföringsmaterial, produktlicensnycklar och teknisk dokumentation om Microsofts produkter och tjänster. Microsofts personliga information är all information som tillhandahålls av Microsoft eller samlas in av en leverantör i samband med tjänster som utförs till Microsoft: (i) som identifierar eller kan användas för att identifiera, kontakta eller lokalisera personen som äger informationen eller (ii) genom vilken en individ kan identifieras eller kontaktinformation om en individ kan tas fram. Microsofts personliga information inkluderar, men är ej begränsad till: namn, adress, telefonnummer, faxnummer, e-postadress, personnummer, passnummer, annan identifikation som är utgiven av en myndighet och kreditkortsinformation. Dessutom, i den utsträckning annan information (såsom, men ej nödvändigtvis begränsad till, en personlig profil, unik identifierare, biometrisk information, och/eller IP-adress) är förenad med eller kombinerad med Microsofts personliga information, kommer även sådan information att anses vara Microsofts personliga information. DPR-strukturen DPR är baserat på en struktur som utformats av AICPA (the American Institute of Certified Public Accountants) för att mäta sekretesspraxis. De allmänna sekretessprinciperna GAPP (Generally Accepted Privacy Principles) är uppdelade i tio avsnitt som tillsammans innehåller 66 mätbara kriterier för skydd och hantering av personlig information. Detta system har förbättrats genom ytterligare säkerhets- och sekretesskrav från Microsoft. Version 1.4 Sidan 1

2 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP A Innan leverantören kan samla in, använda, distribuera, få åtkomst till eller lagra Microsofts personliga eller känsliga information måste leverantören: Management (Ledning) 1. Ha undertecknat giltigt Microsoft-kontrakt, projektbeskrivning eller inköpsorder som innehåller sekretess- och säkerhetsdataskyddsspråk. 2. Tilldela ansvar och rapporteringsskyldighet för att se till att Microsofts dataskyddskrav uppfylls till en person eller grupp inom företaget. Leverantören måste kunna uppvisa giltigt Microsoft-kontrakt, projektbeskrivning eller inköpsorder. Leverantören måste ange vilken person eller grupp som har fått i uppdrag att ansvara för att dataskyddskraven uppfylls. Denna persons eller grupps behörighet och ansvar måste tydligt dokumenteras. Leverantören måste: 1. Upprätta, underhålla och genomföra årlig sekretessutbildning för de anställda. Microsoft har gjort material tillgängligt på: toolkit/en/us/privacymaterials.aspx 2. Regelbundet informera personal och underleverantörer som utför tjänster åt Microsoft om Microsofts dataskyddskrav för leverantörer. Leverantören erbjuder de anställda grundutbildning och fortbildning i grundläggande sekretess- och säkerhetsprinciper (meddelande, val och samtycke, insamling, användning och lagring, tillgång, vidareöverföring och avslöjande, säkerhet, kvalitet, övervakning och genomdrivande). Bevis på att sådan utbildning genomförs kan utgöras av utbildningsmaterial, närvaroförteckningar, kommunikation (e-post, webbplatser, nyhetsbrev osv.) till de anställda osv. Leverantören utbildar anställda och underleverantörer som tillhandahåller tjänster till Microsoft i Microsofts dataskyddskrav för leverantörer. Bevis på att sådan grundutbildning och fortbildning genomförs kan utgöras av utbildningsmaterial, närvaroförteckningar, kommunikation (e-post, webbplatser, nyhetsbrev osv.) till anställda och underleverantörer osv. Version 1.4 Sidan 2

3 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP B Leverantören måste se till att tydliga sekretessmeddelanden är tillgängliga för individer vid insamling av Microsofts personliga information från dessa individer för att hjälpa dem att avgöra huruvida de ska skicka sin personliga information till leverantören eller ej. Sekretessmeddelanden måste innehålla uppgifter om i vilket syfte den personliga informationen samlas in och under vilka villkor informationen kommer att eller kan komma att avslöjas. Sekretessmeddelanden måste vara tillgängliga, daterade och tillhandahållas i samband med eller före datainsamling. Meddelande Sekretessmeddelandet måste vara skrivet på ett sådant sätt att individen förstår i vilket syfte informationen ska användas. Leverantörer som är värdar för webbplatser som tillhör Microsoft måste utforma sekretessmeddelanden i enlighet med de anvisningar och mallar som finns i Site Compliance Toolkit på procurement/toolkit/en/us/default.aspx Om Microsoft kräver att dess mallar används eller ger någon annan anvisning i Supplier Privacy Toolkit måste leverantören följa detta krav eller denna anvisning. Leverantörer som genomför försäljnings- och marknadsföringskampanjer åt Microsoft måste följa anvisningarna i Supplier Privacy Toolkit på procurement/toolkit/en/us/default.aspx Leverantörer måste vara beredda att diskutera tillämplig datainsamlings-, hanterings-, användnings- och förvaringspraxis med kunden när de samlar in Microsofts personliga information via ett telefonsamtal. Leverantören visar att insamling, hantering, användning och förvaring av data diskuteras med individen när personlig information samlas in via telefon. Version 1.4 Sidan 3

4 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP C Leverantören måste erhålla och dokumentera en individs tillåtelse innan personlig information om denna individ samlas in. Leverantören förklarar processen för individen så att denne kan samtycka till eller avstå från att tillhandahålla personlig information. Leverantören förklarar även konsekvenserna av individens val. Val och samtycke Leverantören måste erhålla och dokumentera en individs kontaktinställningar i enlighet med riktlinjerna för Contact Preference i Supplier Privacy Toolkit på procurement/toolkit/en/us/default.aspx Leverantören dokumenterar samtycke före eller i samband med insamling av personlig information. Leverantören bekräftar kontaktinställningar skriftligt eller elektroniskt. Leverantören dokumenterar och hanterar kontaktinställningar samt genomför och hanterar ändringar av sådana inställningar. Leverantören informerar individer om förslag till ny användning av information. Leverantören måste: 1. Dokumentera och hantera ändringar av en individs kontaktinställningar i tid. Leverantören erhåller och dokumenterar samtycke till ny användning av personlig information. 2. Erhålla och dokumentera en individs samtycke till all ny användning av individens personliga information. Leverantören ser till att informationen inte används utan individens samtycke. Version 1.4 Sidan 4

5 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP D Leverantören måste övervaka insamlingen av Microsofts personliga information för att säkerställa att den enda information som samlas in är den som krävs för att utföra tjänsten/tjänsterna som beställts av Microsoft. Det finns system och förfaranden för att ange nödvändig personlig information. Leverantören övervakar insamlingen för att säkerställa att system och processer fungerar effektivt. Insamling Om leverantören beställer personlig information från en tredje part åt Microsoft måste leverantören verifiera att tredje partens dataskyddsprincip och praxis överensstämmer med leverantörens kontrakt med Microsoft och DPR-kraven. Leverantören genomför en grundlig undersökning av tredje parts dataskyddsprincip och praxis. Innan Microsofts känsliga information och Microsofts personliga information samlas in måste nödvändigheten av att samla in denna information dokumenteras i ett giltigt leverantörsavtal med Microsoft. Leverantören erhåller och dokumenterar Microsofts samtycke vid användning av körbar programvara på en individs dator för att samla in personlig information. Innan Microsofts känsliga information och Microsofts personliga information samlas in, t.ex. om en individs ras, etniska ursprung, politiska åsikter, medlemskap i fackföreningar, fysiska eller psykiska hälsa eller sexuella läggning, måste nödvändigheten av att samla in denna information dokumenteras i ett giltigt leverantörsavtal med Microsoft. Leverantören erhåller och dokumenterar Microsofts samtycke vid användning av känslig personlig information. Version 1.4 Sidan 5

6 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP E Leverantören måste: Retention (Förvaring) 1. Säkerställa att Microsofts personliga och känsliga information endast används för att tillhandahålla de Det finns system och förfaranden för att övervaka användningen av personlig och känslig information. tjänster som beställs av Microsoft. Leverantören övervakar system och processer för att säkerställa att de fungerar effektivt. 2. Säkerställa att Microsofts personliga och känsliga information inte lagras längre än vad som är nödvändigt för att tillhandahålla tjänsterna, såvida inte fortsatt lagring av Microsofts personliga information krävs enligt lagen. 3. Dokumentera sin lagring eller sitt förstörande av Microsofts personliga information. Leverantören måste på begäran förse Microsoft med ett intyg om förstörande som undertecknats av en tjänsteman hos leverantören. Leverantören följer de dokumenterade lagringsprinciper eller lagringskrav som Microsoft anger i kontraktet, projektbeskrivningen eller inköpsordern. Leverantören för register över förfogande över Microsofts personliga och känsliga information (t.ex. om den skickats tillbaka till Microsoft eller förstörts). 4. Efter Microsofts gottfinnande säkerställa att Microsofts personliga eller känsliga information som innehas av leverantören eller är under dennes kontroll skickas tillbaka till Microsoft eller förstörs när tjänsten slutförts eller på Microsofts begäran. Version 1.4 Sidan 6

7 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP F När en individ begär åtkomst till Microsofts personliga information för honom eller henne måste leverantören: Access (Åtkomst) 1. Informera individen om de åtgärder som han/hon måste vidta för att få åtkomst till Microsofts personliga information om honom/henne. 2. Autentisera identiteten för individen som begär åtkomst till Microsofts personliga information om honom/henne. 3. Avhålla sig från att använda identifikation som utgivits av myndigheter (t.ex. personnummer) för autentisering, såvida inget annat alternativ är rimligen tillgängligt. Leverantören informerar om de åtgärder som måste vidtas för att få åtkomst till den personliga informationen samt om de metoder som finns för att uppdatera informationen. Leverantören använder inte identifikation som utgivits av myndigheter för autentisering. Leverantörens anställda utbildas i att autentisera identiteten för individen som begär åtkomst till Microsofts personliga information om honom/henne eller som gör ändringar av den personliga informationen. När en individ har autentiserats måste leverantören: 1. Fastställa huruvida leverantören innehar eller har kontroll över Microsofts personliga information som gäller individen ifråga. 2. Göra en rimlig ansträngning för att lokalisera den personliga information som begärts och spara uppgifter om detta för att kunna visa att en sökning genomfördes. 3. Registrera datum och tidpunkt för begäranden om åtkomst och de åtgärder som vidtogs av leverantören som svar på sådana begäranden. 4. Förse Microsoft med uppgifter avseende begäranden om åtkomst på begäran. Leverantören har förfaranden för att fastställa huruvida personlig information innehas. Leverantören besvarar begäranden om åtkomst i rimlig tid. Leverantören för register över begäranden om åtkomst och dokumenterar ändringar av personlig information som görs. Nekad åtkomst måste dokumenteras skriftligt med angivelse av varför åtkomst nekades. Version 1.4 Sidan 7

8 När en individ har autentiserats och leverantören har verifierat att denne innehar Microsofts personliga information som begärts måste leverantören: 1. Förse individen med Microsofts personliga information i lämpligt utskrivet, elektroniskt eller muntligt format. 2. Om åtkomstbegäran nekas, förse individen med en skriftlig förklaring som överensstämmer med alla relevanta anvisningar som tidigare tillhandahållits av Microsoft. Leverantören måste vidta rimliga försiktighetsåtgärder för att säkerställa att Microsofts personliga information som ges till en individ inte kan användas för att identifiera en annan person. Om en individ och en leverantör inte är eniga om att Microsofts personliga information är fullständig och riktig måste leverantören föra frågan vidare till Microsoft och vid behov samarbeta med Microsoft för att lösa frågan. Leverantören förser individen med personlig information i ett format som är begripligt och i en form som är lämplig för individen och leverantören. Leverantören måste kunna visa att rimliga försiktighetsåtgärder vidtas för att säkerställa att Microsofts personliga information som ges till en individ inte kan användas för att identifiera en annan person (t.ex. att det inte går att kopiera hela sidan med data när begärd personlig information om en individ endast syns på en sida). Leverantören dokumenterar om oenighet uppstår och eskalerar frågan till Microsoft. Version 1.4 Sidan 8

9 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP G Om leverantören avser att använda en underleverantör för att hjälpa till att samla in, använda, distribuera, få åtkomst till eller lagra Microsofts personliga information måste leverantören: 1. Använda underleverantörer som är deltagare i Microsofts leverantörsprogram och som har gott rykte eller erhålla Microsofts uttryckliga skriftliga samtycke innan tjänsterna läggs ut på underleverantörer. Leverantören kontrollerar att underleverantörer är deltagare i Microsofts program för prioriterade leverantörer (Preferred Supplier Program MPSP) Leverantören erhåller skriftligt tillstånd för användning av leverantörer som inte är MPSP Disclosure to Third Parties (Avslöjande för tredje part) 2. Dokumentera arten och omfattningen av Microsofts personliga och känsliga information som avslöjas eller överförs till underleverantörer. Leverantören dokumenterar Microsofts personliga och känsliga information som avslöjas eller överförs till underleverantörer. 3. Säkerställa att underleverantören använder Microsofts personliga information i enlighet med en individs uttalade kontaktpreferenser. System och processer har inrättats för att säkerställa att underleverantören enbart använder Microsofts personliga information för avsett ändamål och i enlighet med enskilda kontaktinställningar. 4. Begränsa underleverantörens användning av Microsofts personliga information till de ändamål som är nödvändiga för att fullfölja leverantörens avtal med Microsoft. Leverantören kan visa att Microsoft när så varit tillåtet har kontaktats innan någon av Microsofts personliga information har avslöjats av en underleverantör på grund av domstolsbeslut. 5. Genast informera Microsoft om alla domstolsbeslut som tvingar underleverantören att avslöja Microsofts personliga information och, enligt vad som tillåtes enligt lag, ge Microsoft tillfälle att ingripa innan ett svar på ett domstolsbeslut eller meddelande lämnas in. 6. Granska klagomål för indikationer på otillåten användning eller avslöjande av Microsofts personliga information. System och processer har inrättats för att ta itu med klagomål som rör en underleverantörs otillåtna användning eller avslöjande av Microsofts personliga information. Version 1.4 Sidan 9

10 7. Omedelbart meddela Microsoft vid kännedom om att en underleverantör använt eller avslöjat Microsofts personliga och känsliga information för andra ändamål än att förse Microsoft eller dess leverantörer med Microsoft-relaterade tjänster. 8. Omedelbart vidta åtgärder för att minska all verklig eller potentiell skada som kan uppstå på grund av en underleverantörs otillåtna användning eller avslöjande av Microsofts personliga och känsliga information. Leverantören kan visa att Microsoft har informerats om underleverantörer har använt Microsofts personliga information för otillåtna ändamål. Leverantören kan visa att lämpliga åtgärder har vidtagits om underleverantörer har använt Microsofts personliga information för otillåtna ändamål eller avslöjat personlig eller känslig information. Innan någon personlig information kan accepteras från en tredje part måste leverantören: 1. Kontrollera att tredje parts rutiner för datainsamling överensstämmer med DPR. 2. Bekräfta att den enda personliga information som insamlas från tredje part är den som krävs för att genomföra den eller de tjänster som beställts av Microsoft. Leverantören måste ha Microsofts föregående skriftliga tillstånd innan någon av Microsofts personliga information överlämnas till en tredje part. Processer har inrättats för att kontrollera tredje parts rutiner för datainsamling Processer har inrättats för att begränsa överföringen av Microsofts personliga information från tredje part till enbart sådan information som behövs för att utföra de beställda tjänsterna. Leverantören kan uppvisa kopior på skriftligt tillstånd. Version 1.4 Sidan 10

11 Kravidentifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP H Leverantören måste säkerställa att all Microsofts personliga information är riktig, fullständig och relevant för de syften som den samlats in eller använts för. Informationen kontrolleras när den samlas in, skapas och uppdateras. System och processer har inrättats för att vid behov kunna kontrollera att informationen är korrekt och riktig. Kvalitet Den personliga information som samlas bör begränsas till det som krävs för att uppfylla syftet med insamlingen. Version 1.4 Sidan 11

12 Kravidentifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP I Leverantören måste: Övervakning och genomdrivande 1. Genomföra en årlig kontrollgranskning för att bekräfta att den uppfyller dataskyddskraven. Leverantören måste kunna bevisa att årliga kontrollgranskningar har genomförts. 2. Inom 24 timmar informera Microsoft vid kännedom om misstänkt eller känd sekretessöverträdelse eller sårbarhet som gäller säkerhet när det gäller leverantörens hantering av Microsofts personliga information. Leverantören måste kunna bevisa att Microsoft har informerats om misstänkt eller känd sekretessöverträdelse eller sårbarhet som gäller säkerhet. 3. Inte publicera något pressmeddelande eller annat offentligt meddelande som rör misstänkt eller faktisk incident som gäller Microsofts personliga eller känsliga information utan att ha fått Microsofts tillåtelse till detta, såvida ej annat anges i lagen. 4. Omedelbart åtgärda alla misstänkta eller kända sårbarheter och överträdelser. 5. Implementera en återställningsplan och övervaka processen med att åtgärda överträdelser och sårbarheter med koppling till Microsofts personliga information för att säkerställa att lämpliga åtgärder vidtas på ett tidsenligt sätt. Sårbarheter och överträdelser åtgärdas skyndsamt. Återställningsplaner finns tillgängliga när så är tillämpligt. Version 1.4 Sidan 12

13 Leverantören måste: 1. Upprätta en formell klagomålsprocess för att svara på dataskyddsklagomål som gäller Microsofts personliga information. 2. Informera Microsoft om alla klagomål som rör Microsofts personliga information. 3. Skyndsamt registrera och svara på alla dataskyddsklagomål relaterade till Microsofts personliga information om inte Microsoft gett leverantören andra specifika anvisningar. 4. På begäran förse Microsoft med dokumentation av lösta och olösta klagomål. Leverantören måste ha en dokumenterad process för att hantera klagomål och informera Microsoft. Register över klagomål som visar att de besvarats skyndsamt. Dokumentation av lösta/olösta klagomål. Version 1.4 Sidan 13

14 Identifierare Microsofts dataskyddskrav för leverantörer Föreslagna bedömningskriterier Avsnitt i GAPP J INFORMATION SECURITY PROGRAM (INFORMATIONSSÄKERHETSPROGRAM) Leverantören måste upprätta, implementera och upprätthålla ett informationssäkerhetsprogram som omfattar principer och förfaranden för att skydda Microsofts personliga information. I leverantörens säkerhetsprogram måste följande frågor som rör skydd av Microsofts personliga och känsliga information tas upp: Leverantörens säkerhetsprogram måste omfatta (a) (s), enligt beskrivningen till vänster. Mer omfattande skydd än de som anges kan tillämpas för att uppfylla bestämmelser (t.ex. HIPPA, GLBA) eller avtalsmässiga krav. Security (Säkerhet) a) Varje år eller oftare utföra riskbedömningar. Leverantörens riskbedömningar måste omfatta hot, eventuell inverkan på affärerna och sannolikheten för att risken ska uppstå. Leverantören måste ändra säkerhetsrelaterade processer, förfaranden och riktlinjer i enlighet med detta. b) Genomföra sårbarhetskontroller i interna och externa nätverk minst en gång i kvartalet och efter eventuella viktiga ändringar i nätverket (t.ex. installationer av nya systemkomponenter, ändringar av nätverkets topologi, ändringar av brandväggsregler, produktuppgraderingar) c) Förebyggande av otillåten åtkomst genom användning av effektiva fysiska och logiska åtkomstkontroller, inbegripet begränsning av den fysiska åtkomsten till elektroniska informationssystem samtidigt som auktoriserad åtkomst säkerställs. d) Förfaranden för att lägga till nya användare, modifiera åtkomstnivåer för befintliga användare och ta bort användare som inte längre behöver åtkomst (minsta rättighetsadministration). e) Tilldelning av ansvar och rapporteringsskyldighet för säkerhet. Version 1.4 Sidan 14

15 f) Tilldelning av ansvar och rapporteringsskyldighet för ändringar i och underhåll av system. g) Implementering av uppgraderingar och korrigeringsfiler för systemprogramvaran inom rimlig tid baserat på risk. h) Installation av antivirusprogram och program mot skadlig kod för alla utrustning som är ansluten till nätverket, inklusive men ej begränsat till servrar, stationära datorer som används vid produktion och utbildning för att skydda mot potentiellt skadliga virus och skadlig programvara. Definitioner för antivirusprogram och program mot skadlig kod måste uppdateras dagligen eller oftare om så anges av Microsoft eller tillverkaren av programmet. i) Testning, utvärdering och auktorisering av systemkomponenter före implementering. j) Leverantörer som utvecklar programvara som en del av sin verksamhet måste följa Microsofts Security Development Lifecycle (SDL). Mer information finns på k) Lösning av klagomål och begäranden avseende säkerhetsfrågor. l) Hantering av fel och försummelser, säkerhetsöverträdelser och andra incidenter. m) Procedurer med vars hjälp det går att identifiera verkliga attacker och försök till attacker eller intrång i system och att proaktivt testa säkerhetsprocedurer (t.ex. genomträngningstestning). n) Allokering av träning och andra resurser som ger stöd åt dess säkerhetsprincip. Version 1.4 Sidan 15

16 o) Bestämmelser för hantering av undantag och situationer som inte tas uti med specifikt i dess system. p) Behandling av integritet och relaterade systemsäkerhetsprinciper. q) Återhämtningsplaner för katastrofsituationer och relaterad testning. r) Bestämmelser för identifiering av, och överensstämmelse med, definierade åtaganden, servicenivåavtal och andra kontrakt. s) Ett krav att användare, ledning och tredje part bekräftar (I början och varje år) sin förståelse av och sitt samtycke till att följa tillämpliga sekretessprinciper och -förfaranden avseende säkerheten för personlig information. AUTENTISERING Leverantören måste autentisera identiteten för en individ innan han/hon beviljar individen åtkomst till Microsofts personliga eller känsliga information. De autentiseringsprocesser som används av leverantören måste kräva unika ID och lösenord för online-åtkomst till individens personliga information. För online-autentisering måste leverantörer: 1. Använda Microsoft Account, om möjligt. 2. Kräva att en individ använder ett unikt ID och lösenord (eller likvärdigt). För telefonautentisering måste leverantörer: 1. Kräva att användaren bekräftar sin kontaktinformation och, om möjligt, uppger minst en typ av unik information (t.ex. UPC-kod, tävlingsnamn). Telefonautentiseringsprocesser måste inkludera validering av kontaktinformation från individen samt unika uppgifter som sannolikt endast individen i fråga känner till. Version 1.4 Sidan 16

17 LEVERANTÖRSPERSONALENS ÅTKOMST TILL MICROSOFTS PERSONLIGA INFORMATION Leverantören måste begränsa åtkomst till Microsofts personliga information till leverantörspersonal som har ett affärsrelaterat behov av denna åtkomst. Leverantörer måste inaktivera nätverket och alla andra stödkonton för personer som inte längre arbetar med Microsoftprogram inom 24 timmar efter att användaren har lämnat programmet och inom 2 timmar vid ofrivillig uppsägning. System och förfaranden måste ha inrättats för att upprätta åtkomst för leverantörens anställda baserat på berättigat affärsrelaterat behov av åtkomst till personlig information. Dessa system och förfaranden måste omfatta intern/extern åtkomst, media, papper, teknikplattformar och media för säkerhetskopiering. FÖRSTÖRANDE AV MICROSOFTS PERSONLIGA INFORMATION När det blir nödvändigt att förstöra Microsofts personliga information måste leverantören: 1. Bränna upp, krossa eller strimla fysiska tillgångar som innehåller Microsofts personliga information så att informationen inte går att läsa eller rekonstruera. Leverantören måste kunna visa att de fysiska tillgångarna har förstörts på lämpligt sätt så att informationen inte går att läsa eller rekonstruera. 2. Förstöra eller radera digitala tillgångar som innehåller Microsofts personliga information så att informationen inte går att läsa eller rekonstruera. SKYDD AV DIGITALA TILLGÅNGAR Leverantören måste: 1. Använda branschens standardkrypteringsimplementeringar för SSL, TLS, eller IPsec för Microsofts information som överförs och för autentisering av sändare/mottagare. System och förfaranden måste ha inrättats för att skydda personlig information som överförs via Internet eller andra offentliga nätverk Vissa system (t.ex. HIPPA, GLBA, PCI) har särskilda krav för dataöverföring. SSL-certifikat hanteras på rätt sätt så att nya giltiga SSL-certifikat installeras innan de gamla löper ut. Version 1.4 Sidan 17

18 2. Använda BitLocker eller liknande branschalternativ på bärbara datorer där Microsofts information sparas. 3. Använda kryptografiskt starka symmetriska och asymmetriska algoritmer som uppfyller aktuella branschstandarder vid lagring av följande typer av Microsofts personliga information. Detta krav gäller även bärbara enheter, inklusive men ej begränsat till USB-enheter, mobiltelefoner, säkerhetskopieringsenheter eller media osv. a. identifikationsnummer utgivna av myndigheter (t.ex. personnummer eller körkortsnummer), b. kontonummer (t.ex. kreditkorts- och bankkontonummer), c. medicinska profiler (t.ex. medicinska journalnummer eller biometriska identifierare). 4. Endast acceptera Microsofts information som skickats via krypterad överföring. 5. Omedelbart undersöka överträdelser och försök att få otillåten åtkomst till system som innehåller Microsofts personliga information. 6. Omedelbart informera högsta ledningen hos leverantören eller Microsoft om resultat av undersökningar. System och förfaranden måste ha inrättats för att kryptera identifikationsnummer utgivna av myndigheter, kontonummer och medicinsk information som lagras. Leverantören måste vägra leverans av personlig information som överförs okrypterat. System och förfaranden har inrättats för att undersöka överträdelser eller försök att få otillåten åtkomst. System och förfaranden har inrättats för att informera Microsoft om resultat av undersökningar. 7. Följa tillämpliga standarder för hantering av kreditkort för korten som den tar emot. SKYDD AV FYSISKA TILLGÅNGAR Leverantören måste: 1. Förvara Microsofts personliga information i en åtkomststyrd miljö. System och förfaranden har inrättats för att hantera fysisk åtkomst till digitala kopior, papperskopior, arkivkopior och säkerhetskopior av personlig information. Version 1.4 Sidan 18

19 2. Transportera Microsofts personliga information på ett säkert sätt. HAVERIBEREDSKAP Leverantören måste säkerställa att planeringsförfaranden för säkerhetskopiering och haveriberedskap skyddar Microsofts personliga information från otillåten användning, åtkomst, avslöjande, ändring och förstörande. TESTNING OCH GRANSKNINGAR Leverantören måste: 1. Regelbundet testa effektiviteten i de huvudsakliga säkerhetsanordningar som skyddar Microsofts personliga information. 2. Regelbundet genomföra oberoende granskningar av säkerhetskontroller. System och förfaranden måste ha inrättats för att skydda fysiska tillgångar som innehåller personlig information vid transport. System och förfaranden måste ha inrättats för att skydda Microsofts personliga och känsliga information från förstörande, ändring, avslöjande eller otillåten användning eller åtkomst vid haveri. Hur ofta testerna genomförs beror på storleken och komplexiteten för leverantörens verksamhet. Dokumentation av testning och testresultat krävs, liksom ändringar av system, policy och förfaranden när testresultaten visar på brister. När så krävs enligt MS kontraktsvillkor måste säkerhetskontroller utföras i enlighet med kontraktsvillkor. 3. Göra resultaten av dessa granskningar tillgängliga för Microsoft på begäran. 4. Dokumentera och testa haveriberedskap och beredskapsplaner minst en gång om året för att säkerställa deras genomförbarhet. Leverantören måste ha en dokumenterad policy för säkerhetskopiering där det anges hur ofta säkerhetskopiering sker. Säkerhetskopior måste förvaras på ett säkert sätt. Säkerhetskopior måste testas regelbundet genom faktiskt återställning för att säkerställa att de fungerar. 5. Regelbundet genomföra testning avseende hot och sårbarhet, inklusive granskningar av säkerhetsgenomträngning. 6. Anonymisera all Microsofts personliga information som används i en utvecklings- eller testmiljö. Microsofts personliga information bör inte användas i utvecklings- eller testmiljöer. Om detta ändå är nödvändigt måste informationen anonymiseras på lämpligt sätt för att motverka identifiering av individer eller felaktig användning av personlig information. Version 1.4 Sidan 19