Microsoft ist ein amerikanisches multinationales Technologieunternehmen, das mit mehr als 58.000 verschiedenen Lieferanten zusammenarbeitet, um die Bedürfnisse seiner Kunden zu erfüllen. Viele dieser Drittunternehmen verarbeiten vertrauliche und persönliche Daten im Auftrag des Unternehmens.

Da Datenschutz und -sicherheit für moderne Unternehmen entscheidend sind, um das Vertrauen der Kunden zu gewinnen und eine Vielzahl von Gesetzen und Vorschriften einzuhalten, hat Microsoft eigene Standards für Lieferanten eingeführt, die vertrauliche und/oder persönliche Daten verarbeiten. Diese Standards werden als Supplier Security and Privacy Assurance (SSPA) bezeichnet. Alle Lieferanten, die Teil der Informationslieferkette von Microsoft sind, müssen die SSPA-Anforderungen erfüllen, um mit Microsoft oder einem seiner Tochterunternehmen Geschäfte zu machen.

Im Folgenden geben wir einen Überblick über Microsoft SSPA und wie Secureframe Lieferanten dabei helfen kann, die SSPA- und damit verbundene Compliance-Rahmenwerke wie ISO 27001 und PCI DSS zu erfüllen, um ihre Sicherheits- und Compliance-Position zu verbessern.

Was ist Microsoft SSPA?

Microsoft SSPA bezieht sich auf das Supplier Security and Privacy Assurance (SSPA)-Programm. Dieses Programm legt Datenschutz- und Sicherheitsanforderungen für Microsoft-Lieferanten fest, die mit Microsoft-Personaldaten und/oder vertraulichen Daten arbeiten. Diese Anforderungen sind als Microsoft Supplier Data Protection Requirements (DPR) bekannt.

Lieferanten müssen die anwendbaren Sicherheits- und Datenschutzkontrollen in den DPR umsetzen, bevor sie die vertraglich vereinbarte Arbeit mit Microsoft beginnen. Alle registrierten Lieferanten müssen dann jährlich ihre Einhaltung der DPR selbst bestätigen.

Auf wen trifft Microsoft SSPA zu?

Microsoft SSPA gilt weltweit für alle Lieferanten, die Microsofts vertrauliche Daten und/oder persönliche Daten gemäß den Bedingungen ihres Vertrags mit Microsoft verarbeiten.

Was sind Microsofts vertrauliche Daten?

Microsofts vertrauliche Daten sind alle Informationen, die bei einer Kompromittierung ihrer Vertraulichkeit oder Integrität zu einem erheblichen Reputations- oder finanziellen Verlust für Microsoft führen können. Dies kann Folgendes umfassen:

• Informationen über oder im Zusammenhang mit Hardware- und Softwareprodukten von Microsoft
• Nicht angekündigte Finanzdaten von Microsoft, die den SEC-Regeln unterliegen
• Informationen über oder im Zusammenhang mit internen Geschäftsanwendungen
• Marketingmaterialien vor der Veröffentlichung
• Produktlizenzschlüssel
• Technische Dokumentationen im Zusammenhang mit Microsoft-Produkten und -Diensten

Was sind Microsoft-Personaldaten?

Microsoft-Personaldaten sind alle personenbezogenen Daten (d. h. Informationen, die sich auf eine betroffene Person beziehen), die von oder im Auftrag von Microsoft verarbeitet werden. Diese Daten fallen in fünf Hauptkategorien:

• Sensible Daten wie Daten über Kinder sowie genetische, biometrische oder Gesundheitsdaten
• Erfasste und generierte Daten wie IP-Adresse und Hintergrundprüfung von Mitarbeitern
• Kontodaten wie Kreditkartennummer und Ablaufdatum
• Online-Kundendaten wie Abrechnungs- oder andere Kontodaten und Umfragen/Eventoanmeldungen/Schulungen
• Geschützte Gesundheitsinformationen

Microsoft Richtlinien zum Schutz von Lieferantendaten (DPR)

Es gibt insgesamt 50 Datenschutzanforderungen. Diese sind in die folgenden 10 Abschnitte oder Kategorien unterteilt:

• Verwaltung
• Benachrichtigung
• Wahl und Zustimmung
• Sammlung
• Aufbewahrung
• Betroffene Personen
• Subunternehmer
• Qualität
• Überwachung und Durchsetzung
• Sicherheit

Lieferanten müssen Nachweise für die Einhaltung jeder für sie geltenden Anforderung vorlegen. Beispielsweise müssen einige Microsoft-Lieferanten geeignete Sanktionen gegen Mitarbeiter verhängen, die gegen die Datenschutz- und Sicherheitsrichtlinien des Lieferanten verstoßen. Um die Einhaltung dieser Anforderung nachzuweisen, müssen Lieferanten Dokumentationen der Datenschutz- und Sicherheitsrichtlinien vorlegen, die Sanktionen für Nichteinhaltung beschreiben.

Welche DPR-Anforderungen gelten, hängt von den Datenverarbeitungskategorien ab, für die der Lieferant im Rahmen seiner Teilnahme am SSPA genehmigt wurde. Wir werden dies näher erläutern, wenn wir uns den SSPA-Compliance-Prozess genauer ansehen.

Microsoft SSPA-Compliance-Prozess

Im Folgenden finden Sie eine Schritt-für-Schritt-Aufschlüsselung des Microsoft SSPA-Compliance-Prozesses.

Schritt 1: Am SSPA-Programm teilnehmen.

Als Microsoft-Lieferant, der Microsoft-Vertrauliche Daten und/oder Persönliche Daten verarbeitet, können Sie während des Onboarding-Prozesses am SSPA-Programm teilnehmen.

Schritt 2: SSPA-Datenverarbeitungsprofil einrichten.

Als nächstes müssen Sie ein Datenverarbeitungsprofil einrichten und auswählen, für welche Datenverarbeitungskategorien Sie genehmigt werden möchten, um Ihre Waren und/oder Dienstleistungen an Microsoft zu liefern. Diese Kategorien sind:

• Datenverarbeitungsumfang: Werden Sie nur Microsoft-Vertrauliche Daten oder sowohl Microsoft-Vertrauliche Daten als auch Persönliche Daten verarbeiten?
• Datenverarbeitungslocation: Werden Sie Daten innerhalb der Microsoft-Netzwerkumgebung verarbeiten, in der Mitarbeiter @microsoft.com-Zugangsdaten verwenden, oder innerhalb der Umgebung eines Microsoft-Kunden?
• Datenverarbeitungsrolle: Werden Sie als Datenverantwortlicher oder Datenverarbeiter agieren? Oder haben Sie eine Vorabgenehmigung von Microsofts internen Datenschutzteams als Subunternehmer erhalten?
• Kreditkartenverarbeitung: Werden Sie Daten zur Unterstützung der Kreditkarten- oder anderen Zahlungsabwicklung im Auftrag von Microsoft verarbeiten?
• Software as a Service: Werden Sie als SaaS-Lieferant agieren?
• Einsatz von Subunternehmern: Werden Sie Subunternehmer einsetzen?

Ihr Datenverarbeitungsprofil bestimmt, ob Sie die vollständigen DPR oder eine Teilmenge der Anforderungen einhalten müssen.

Beim Einrichten Ihres Profils sollten Sie auch die folgenden Profiloptionen auswählen, falls sie zutreffen.

• Webhosting: Werden Sie Websites im Auftrag von Microsoft hosten?
• Gesundheitswesen: Werden Sie Geschützte Gesundheitsinformationen verarbeiten?

Diese Auswahlmöglichkeiten können beeinflussen, wie Sie Ihre Konformität mit den DPR bestätigen.

Schritt 3: Sicherheits- und Datenschutzkontrollen implementieren.

Die DPR-Anforderungen sind basierend auf den oben genannten Datenverarbeitungskategorien festgelegt. Sie müssen alle anwendbaren Anforderungen erfüllen, um für die von Ihnen ausgewählten Datenverarbeitungskategorien genehmigt zu werden.

Sobald Sie also Ihr Profil eingerichtet haben, müssen Sie die erforderlichen Sicherheits- und Datenschutzkontrollen implementieren und Nachweise für diese Kontrollen dokumentieren.

Die Verwendung einer Plattform zur Automatisierung der Einhaltung kann diesen Schritt erheblich vereinfachen, wodurch Sie wertvolle Zeit und Ressourcen sparen. Secureframe legt beispielsweise die auf Sie zutreffenden DPR-Anforderungen fest und welche Kontrollen Sie implementieren müssen, um diese Anforderungen zu erfüllen. Secureframe führt auch automatisierte Tests durch, um Kontrollen zu erkennen, die den Rahmenanforderungen entsprechen, sowie Nichtkonformitäten zu erkennen, die eine Behebung erfordern, um den DPR zu entsprechen. Außerdem verfügt es über eine Vorlage für die Microsoft Data Protection Requirements Policy, die Ihnen helfen kann, die Richtlinien- und Verfahrensanforderungen im DPR zu erfüllen und wertvolle Zeit und Ressourcen zu sparen.

Schritt 4: Füllen Sie jährlich eine Selbsterklärung zur Einhaltung der DPR aus.

Als Nächstes müssen Sie mindestens einmal jährlich eine Selbsterklärung zur Einhaltung der DPR ausfüllen. Dies muss innerhalb von 90 Tagen nach Erhalt der Anfrage abgeschlossen sein.

Diese Selbsterklärung sollte von der benannten Person oder Gruppe ausgefüllt werden, die für die Gewährleistung der Einhaltung der DPR verantwortlich ist, oder von einem autorisierten Vertreter. Es umfasst die folgenden Schritte:

• Feststellen, welche Anforderungen gelten. DPR-Anforderungen werden entsprechend dem Datenverarbeitungsprofil des Lieferanten ausgegeben. Es wird erwartet, dass einige der ausgegebenen Anforderungen möglicherweise nicht für die vom Lieferanten an Microsoft bereitgestellten Waren oder Dienstleistungen gelten. Der erste Schritt des Selbsterklärungsprozesses besteht daher darin, zu identifizieren, welche Anforderungen zutreffen und welche nicht. 
• Eine Antwort auf jede geltende Anforderung posten. Von den Lieferanten wird erwartet, dass sie auf alle geltenden DPR-Anforderungen basierend auf ausreichenden Informationen von Fachexperten antworten. 
• Markieren von Anforderungen als „unzutreffend“. Wenn es ausgegebene Anforderungen gibt, die nicht für die vom Lieferanten an Microsoft bereitgestellten Waren oder Dienstleistungen gelten, können diese als „unzutreffend“ markiert werden. Ein detaillierter Kommentar muss hinzugefügt werden, damit die SSPA-Prüfer dies validieren können.
• Markieren von Anforderungen als „lokaler Rechtskonflikt“ oder „vertraglicher Konflikt“. Wenn es ausgegebene Anforderungen gibt, die mit einer Bestimmung in ihrem Vertrag oder mit gesetzlichen oder gesetzlichen Anforderungen in Konflikt stehen, können diese entsprechend markiert werden. Ein detaillierter Kommentar, der den Konflikt erklärt und unterstützende Referenzen enthält, muss hinzugefügt werden, damit die SSPA-Prüfer dies validieren können.
• Unterschreiben und einreichen. Der autorisierte Vertreter muss die Bescheinigung im Microsoft Supplier Compliance Portal unterschreiben und einreichen.

Schritt 5: Reichen Sie gegebenenfalls eine unabhängige Bestätigung der Einhaltung ein.

Bestimmte Datenverarbeitungsprofile und Genehmigungen lösen eine zusätzliche Zusicherungspflicht aus. Die folgenden Lieferanten müssen eine Selbsterklärung zur Einhaltung und eine unabhängige Überprüfung der Einhaltung einreichen:

• Lieferanten, die Microsoft-Vertrauliche Daten, die als höchst vertraulich klassifiziert sind, außerhalb der Microsoft-Netzwerkumgebung verarbeiten
• Lieferanten, die als Datenverarbeiter bezeichnet sind und Microsoft-Vertrauliche und personenbezogene Daten, die als höchst vertraulich klassifiziert sind, außerhalb der Microsoft-Netzwerkumgebung verarbeiten
• Von Microsoft als Unterauftragsverarbeiter bezeichnete Lieferanten
• SaaS-Lieferanten und Webhosting-Lieferanten, die im Auftrag von Microsoft handeln
• Lieferanten, die Subunternehmer verwenden, welche Microsoft-Vertrauliche Daten und/oder personenbezogene Daten verarbeiten
• Lieferanten, die geschützte Gesundheitsinformationen verarbeiten

Typischerweise wird die unabhängige Sicherungspflicht erfüllt, indem ein unabhängiger Prüfer die Einhaltung der DPR validiert und ein Beratungsschreiben erstellt, um Microsoft Zusicherungen zur Einhaltung zu geben. Dieses Schreiben muss uneingeschränkt sein, dh alle nicht konformen Probleme müssen gelöst und behoben werden, bevor das Schreiben zur Überprüfung an das Microsoft Supplier Compliance Portal für das SSPA-Team eingereicht wird.

Bestimmte Datenverarbeitungsprofile und Genehmigungen haben jedoch mehrere unabhängige Sicherungsoptionen. Beispielsweise können Lieferanten, die Microsoft-Vertrauliche Daten, die als höchst vertraulich klassifiziert sind, außerhalb der Microsoft-Netzwerkumgebung verarbeiten, entweder eine unabhängige Bewertung gemäß der DPR abschließen oder eine gültige ISO 27001-Zertifizierung einreichen. Darüber hinaus können SaaS-Lieferanten und Webhosting-Lieferanten, die im Auftrag von Microsoft handeln, und Lieferanten, die Subunternehmer verwenden, ISO 27001- und ISO 27701-Zertifizierung einreichen, und Lieferanten, die geschützte Gesundheitsinformationen verarbeiten, können einen HITRUST-Bericht als Alternative zu einer unabhängigen Bewertung einreichen.

Schritt 6: Reichen Sie gegebenenfalls PCI-DSS- und/oder ISO 27001-Zertifizierungen ein.

Wenn Sie Zahlungsdaten im Auftrag von Microsoft verarbeiten, müssen Sie zusätzlich zur Einhaltung anderer je nach Datenverarbeitungsprofil geltender Anforderungen auch eine PCI DSS-Zertifizierung vorlegen.

Wenn Sie ein SaaS-Anbieter sind, kann Ihr Microsoft Cloud Services Agreement von Ihnen verlangen, zusätzlich zu den anderen je nach Datenverarbeitungsprofil geltenden Anforderungen eine ISO 27001-Zertifizierung vorzulegen. Diese Zertifizierung muss für die im Vertrag genannten Softwaredienste gelten.

Schritt 7: SSPA-Überprüfung

Selbstbescheinigungen zur Einhaltung werden vom SSPA-Team auf Auswahlen wie „trifft nicht zu“, „lokaler Rechtskonflikt“ oder „vertraglicher Konflikt“ überprüft. Das SSPA-Team überprüft zudem Bestätigungsschreiben von unabhängigen Prüfern zur Einhaltung, PCI DSS-Zertifizierung und ISO 27001-Zertifizierung, falls das Datenverarbeitungsprofil des Lieferanten diese Anforderungen auslöst.

Schritt 8: SSPA-Status ist Grün

Sobald Sie die ausgegebenen Anforderungen und die SSPA-Überprüfung abgeschlossen haben, ändert sich Ihr SSPA-Status auf Grün (konform). Das bedeutet, dass Microsoft-Käufer jetzt in den Datenverarbeitungskategorien, in denen Sie genehmigt wurden, mit Ihnen zusammenarbeiten dürfen.

Schritt 9: Erfüllen Sie Ihre Compliance-Aufgaben jährlich.

Um Ihren grünen Status beizubehalten, müssen Sie die Compliance-Aufgaben jährlich erneuern, um die kontinuierliche Einhaltung der SSPA sicherzustellen.

Compliance-Checkliste für Microsoft-Lieferanten

Um Ihr Unternehmen bei der Bewertung der Einhaltung der Microsoft-Datenschutzrichtlinie zu unterstützen, laden Sie die folgende Compliance-Checkliste herunter.

Wie Secureframe Microsoft-Lieferanten bei der Einhaltung unterstützt

Egal, ob Sie bereits ein Lieferant für Microsoft sind oder dies in Zukunft werden möchten, Secureframe kann Ihnen helfen, die Einhaltung der Microsoft-SSPA und anderer für Ihre Datenverarbeitungsaktivitäten geltender Rahmenwerke, einschließlich ISO 27001, ISO 27701 und PCI DSS, zu automatisieren. Unsere KI-gesteuerte Compliance-Plattform reduziert die für Compliance-Aufgaben aufgewendete Zeit durch automatisierte Beweiserfassung, Echtzeitüberwachung und Risikomanagement, sodass Sie Zeit sparen und Risiken minimieren können, während Sie Ihr Geschäft ausbauen.

Wir haben über 200 Integrationen, sodass Sie Ihre bestehenden Microsoft-Tools nahtlos synchronisieren können, einschließlich Microsoft Azure, Office 365, Azure DevOps, Microsoft Intune und Azure Active Directory. Sobald Sie Ihre Microsoft-Tools mit der Secureframe-Plattform verbinden, werden Compliance-Nachweise automatisch durch unsere integrierten Integrationstests für Microsoft-Tools gesammelt. Jeder Integrationstest ist den Kontrollen und Anforderungen des Compliance-Rahmenwerks zugeordnet.

Unsere Echtzeit-Überwachung bewertet Ihre Compliance-Position, indem sie automatisch Beweise sammelt und Nichtkonformitäten und Fehlkonfigurationen in Microsoft Azure, Azure DevOps, Microsoft Intune, Azure Defender und mehr erkennt. Wenn Fehlkonfigurationen erkannt werden, können Sie Comply AI for Remediation verwenden, um diese schnell zu beheben, indem Sie Infrastruktur als Code (IaC) für Azure Resource Manager (ARM), Command Line Interface (CLI) oder Terraform verwenden. Kopieren, einfügen und implementieren Sie nahtlos die Code-Korrekturen in Ihrer Azure-Umgebung, um die fehlerhafte Kontrolle zu beheben und Ihre Compliance-Position zu verbessern.

Wir befähigen Kunden auch, Risiken auf verschiedene Weise zu identifizieren, zu bewerten und zu managen. Beispielsweise können Sie automatisch Benutzerzugriffsüberprüfungen durchführen und Personal verwalten, indem Sie Ihre Microsoft-Tools wie Office 365 und Azure Active Directory mit der Secureframe-Plattform synchronisieren. Sie können auch den minimal notwendigen Zugriff sicherstellen, abgereistes Personal mit Zugriff identifizieren und entfernen sowie Personal automatisch an Bord nehmen, um mit ihren Compliance-Aufgaben wie Schulungen, Richtlinienüberprüfung und -akzeptanz sowie Hintergrundüberprüfungen zu beginnen.

Schließlich ist es genauso wichtig, dass Sie Risiken von Ihren Drittanbieterlieferanten und -verkäufern managen, wie Microsoft es bei ihren Lieferanten durch SSPA tut. Unser Tool zur Verwaltung von Lieferantenrisiken ermöglicht es Ihnen, Ihre Lieferantenbeziehungen und deren Risiko zu managen und zu überwachen. Stellen Sie sicher, dass Ihre Lieferanten und Drittanbieterverkäufer Ihre Sicherheits- und Compliance-Erwartungen durch Lieferantenfragebögen, wiederkehrende Überprüfungen und mehr erfüllen.