Microsoft es una corporación tecnológica multinacional estadounidense que se asocia con más de 58,000 proveedores diferentes para ayudar a satisfacer las necesidades de sus clientes. Muchas de estas empresas de terceros procesan datos confidenciales y personales en nombre de la corporación.

Dado que la privacidad y la seguridad de los datos son esenciales para que las empresas modernas ganen la confianza de los clientes y cumplan con una variedad de leyes y regulaciones, Microsoft estableció su propio conjunto de estándares para los proveedores que manejan datos confidenciales y/o personales, denominado Aseguramiento de la Seguridad y Privacidad del Proveedor (SSPA). Todos los proveedores que forman parte de la cadena de suministro de información de Microsoft deben cumplir con los requisitos de SSPA para hacer negocios con Microsoft o cualquiera de sus subsidiarias.

A continuación, proporcionaremos una descripción general de Microsoft SSPA y cómo Secureframe puede ayudar a los proveedores a cumplir con SSPA y marcos de cumplimiento relacionados como ISO 27001 y PCI DSS para mejorar su seguridad y postura de cumplimiento.

¿Qué es Microsoft SSPA?

Microsoft SSPA se refiere al Programa de Aseguramiento de la Seguridad y Privacidad del Proveedor (SSPA). Este programa establece requisitos de privacidad y seguridad para los proveedores de Microsoft que trabajan con Datos Personales y/o Datos Confidenciales de Microsoft. Estos requisitos se conocen como los Requisitos de Protección de Datos del Proveedor de Microsoft (DPR).

Los proveedores deben implementar los controles de seguridad y privacidad aplicables en el DPR antes de comenzar el trabajo contratado con Microsoft. Todos los proveedores inscritos deben autocertificar su cumplimiento con el DPR anualmente.

¿A quién aplica Microsoft SSPA?

Microsoft SSPA aplica a todos los proveedores a nivel mundial que procesan Datos Confidenciales y/o Datos Personales de Microsoft bajo los términos de su contrato con Microsoft.

¿Qué son los Datos Confidenciales de Microsoft?

Los Datos Confidenciales de Microsoft son cualquier información que puede resultar en una pérdida significativa de reputación o financiera para Microsoft si su confidencialidad o integridad se ve comprometida. Esto puede incluir:

• Información relacionada con productos de hardware y software de Microsoft
• Datos financieros corporativos no anunciados de Microsoft sujetos a las reglas de la SEC
• Información relacionada con aplicaciones internas de línea de negocio
• Materiales de marketing previos a su lanzamiento
• Claves de licencia de productos
• Documentación técnica relacionada con productos y servicios de Microsoft

¿Qué son los Datos Personales de Microsoft?

Los Datos Personales de Microsoft son cualquier dato personal (es decir, información relacionada con un sujeto de datos) que es procesado por o en nombre de Microsoft. Este tipo de datos se clasifica en cinco categorías principales:

• Datos sensibles, como datos relacionados con niños y datos genéticos, biométricos o de salud
• Datos capturados y generados, como dirección IP y verificación de antecedentes de empleados
• Datos de cuenta, como número de tarjeta de crédito y fecha de vencimiento
• Datos de cliente en línea, como datos de facturación u otros datos de cuenta y registro/encuestas de eventos/entrenamiento
• Información de salud protegida

Requisitos de Protección de Datos para Proveedores de Microsoft (DPR)

Hay un total de 50 Requisitos de Protección de Datos. Estos están organizados en las siguientes 10 secciones o categorías:

• Gestión
• Notificación
• Elección y Consentimiento
• Recolección
• Retención
• Sujetos de Datos
• Subcontratistas
• Calidad
• Monitoreo y Cumplimiento
• Seguridad

Los proveedores deben presentar evidencia de cumplimiento para cada requisito que se aplique a ellos. Por ejemplo, algunos proveedores de Microsoft están obligados a aplicar sanciones apropiadas contra los empleados que no cumplan con las políticas de privacidad y seguridad del proveedor. Para demostrar el cumplimiento de este requisito, los proveedores deben proporcionar documentación de las políticas de privacidad y seguridad que describan las sanciones por incumplimiento.

Qué requisitos DPR aplican depende de las categorías de procesamiento de datos para las que el proveedor fue aprobado como parte de su inscripción en el SSPA. Hablaremos de esto con más detalle cuando veamos más de cerca el proceso de cumplimiento del SSPA a continuación.

Proceso de Cumplimiento del SSPA de Microsoft

A continuación, encontrará un desglose paso a paso del proceso de cumplimiento del SSPA de Microsoft.

Paso 1: Inscribirse en el programa SSPA.

Como proveedor de Microsoft que procesa Datos Confidenciales de Microsoft y/o Datos Personales, puede inscribirse en el programa SSPA durante el proceso de incorporación.

Paso 2: Configurar el Perfil de Procesamiento de Datos del SSPA.

A continuación, debe configurar un Perfil de Procesamiento de Datos y seleccionar qué categorías de procesamiento de datos desea que sean aprobadas para poder proporcionar sus bienes y/o servicios a Microsoft. Estas categorías son:

• Alcance del procesamiento de datos: ¿Procesará solo Datos Confidenciales de Microsoft o Datos Confidenciales de Microsoft y Datos Personales?
• Ubicación del procesamiento de datos: ¿Procesará datos dentro del entorno de la red de Microsoft donde el personal use credenciales de acceso @microsoft.com o dentro del entorno de un cliente de Microsoft?
• Rol del procesamiento de datos: ¿Actuará como controlador de datos o como procesador de datos? ¿O ha obtenido aprobación previa de los equipos internos de privacidad de Microsoft como subprocesador?
• Procesamiento de tarjetas de pago: ¿Procesará datos para admitir el procesamiento de tarjetas de crédito u otras tarjetas de pago en nombre de Microsoft?
• Software como servicio: ¿Actuará como proveedor de SaaS?
• Uso de subcontratistas: ¿Usará subcontratistas?

Su perfil de procesamiento de datos determina si debe cumplir con todos los requisitos del DPR o solo con un subconjunto de requisitos.

Cuando configure su perfil, también debe seleccionar las siguientes opciones de perfil si corresponden.

• Alojamiento de sitios web: ¿Alojará sitios web en nombre de Microsoft?
• Cuidados de la salud: ¿Procesará Información de Salud Protegida?

Estas selecciones pueden afectar cómo certifica su cumplimiento del DPR.

Paso 3: Implementar controles de seguridad y privacidad.

Los requisitos del DPR se definen en función de las categorías de procesamiento de datos mencionadas anteriormente. Debe completar todos los requisitos aplicables para ser aprobado para las categorías de procesamiento de datos que ha seleccionado.

Así que, una vez que haya configurado su perfil, debe implementar los controles necesarios de seguridad y privacidad y documentar evidencia de esos controles.

El uso de una plataforma de automatización de cumplimiento puede simplificar significativamente este paso, ahorrándole tiempo y recursos valiosos. Secureframe, por ejemplo, describe los requisitos de DPR que se aplican a usted y qué controles necesita implementar para cumplir con esos requisitos. Secureframe también ejecuta pruebas automatizadas para detectar controles que se adhieren a los requisitos del marco, así como no conformidades que requieren remediación para cumplir con DPR. También tiene una plantilla de Política de Requisitos de Protección de Datos de Microsoft que puede ayudarlo a cumplir con los requisitos de políticas y procedimientos del DPR y ahorrar tiempo y recursos valiosos.

Paso 4: Complete una auto certificación de cumplimiento con el DPR anualmente.

A continuación, debe completar una auto certificación de cumplimiento con el DPR al menos una vez al año. Esto debe completarse dentro de los 90 días de recibir la solicitud.

Esta auto certificación debe ser completada por la persona o grupo designado responsable de asegurar el cumplimiento del DPR, o Representante Autorizado. Involucra los siguientes pasos:

• Determinar qué requisitos se aplican. Los requisitos del DPR se emiten por el Perfil de Procesamiento de Datos del proveedor. Se espera que algunos de los requisitos emitidos no se apliquen a los bienes o servicios que el proveedor proporciona a Microsoft. Entonces, el primer paso del proceso de auto certificación es identificar cuáles se aplican y cuáles no.
• Publicar una respuesta a cada requisito aplicable. Se espera que los proveedores respondan a todos los requisitos del DPR aplicables en función de información suficiente de expertos en la materia.
• Marcar cualquier requisito como “no aplica”. Si hay algún requisito emitido que no se aplique a los bienes o servicios que el proveedor proporciona a Microsoft, estos pueden marcarse como “no aplica”. Se debe incluir un comentario detallado para que los revisores de SSPA validen.
• Marcar cualquier requisito como “conflicto legal local” o “conflicto contractual”. Si hay algún requisito emitido que entre en conflicto con una disposición en su contrato o cualquier requisito legal o estatutario, entonces estos se pueden marcar en consecuencia. Se debe proporcionar un comentario detallado que explique el conflicto y referencias de apoyo para que los revisores de SSPA validen.
• Firmar y enviar. El Representante Autorizado debe firmar y enviar la certificación en el Portal de Cumplimiento de Proveedores de Microsoft.

Paso 5: Enviar Garantía Independiente de cumplimiento si es aplicable.

Ciertos perfiles de procesamiento de datos y aprobaciones desencadenan un requisito adicional de garantía. Se requiere que los siguientes proveedores envíen una auto certificación de cumplimiento y una verificación independiente de cumplimiento:

• Proveedores que procesan Datos Confidenciales de Microsoft que se clasifican como altamente confidenciales fuera del entorno de red de Microsoft
• Proveedores designados como Procesadores de Datos que procesan Datos Confidenciales y Personales de Microsoft que se clasifican como altamente confidenciales fuera del entorno de red de Microsoft
• Proveedores designados como Subprocesadores por Microsoft
• Proveedores de SaaS y proveedores de alojamiento web que actúan en nombre de Microsoft
• Proveedores que utilizan subcontratistas que procesarán Datos Confidenciales y/o Datos Personales de Microsoft
• Proveedores que procesan Información de Salud Protegida

Típicamente, el requisito de garantía independiente se cumple al tener un evaluador independiente que valide el cumplimiento contra el DPR y prepare una carta de asesoramiento para proporcionar garantías de cumplimiento a Microsoft. Esta carta debe ser no calificada, es decir, todos los problemas de incumplimiento deben resolverse y remediarse antes de que la carta se envíe al Portal de Cumplimiento de Proveedores de Microsoft para revisión del equipo de SSPA.

Sin embargo, ciertos perfiles de procesamiento de datos y aprobaciones tienen múltiples opciones de garantía independiente. Por ejemplo, los proveedores que procesan Datos Confidenciales de Microsoft que se clasifican como altamente confidenciales fuera del entorno de red de Microsoft pueden completar una evaluación independiente contra el DPR o enviar una certificación válida ISO 27001. Además, los proveedores de SaaS y proveedores de alojamiento web que actúan en nombre de Microsoft y los proveedores que utilizan subcontratistas pueden enviar certificación ISO 27001 e ISO 27701 y los proveedores que procesan Información de Salud Protegida pueden enviar un informe HITRUST como alternativas a una evaluación independiente.

Paso 6: Enviar certificaciones PCI DSS y/o ISO 27001 si es aplicable.

Si maneja información de tarjetas de pago en nombre de Microsoft, entonces debe presentar la certificación PCI DSS además de cualquier otro requisito de garantía que se aplique a su perfil de procesamiento de datos.

Si es un proveedor de SaaS, es posible que su Acuerdo de Servicios en la Nube de Microsoft le exija proporcionar la certificación ISO 27001 además de cualquier otro requisito de garantía que se aplique a su perfil de procesamiento de datos. Esta certificación debe aplicarse a los servicios de software mencionados en su contrato.

Paso 7: Revisión de SSPA

Las auto certificaciones de cumplimiento son revisadas por el equipo de SSPA para cualquier selección de “no aplica”, “conflicto legal local” o “conflicto contractual.” El equipo de SSPA también revisa las cartas de confirmación de cumplimiento por evaluadores independientes, la certificación PCI DSS y la certificación ISO 27001, si el Perfil de Procesamiento de Datos del proveedor desencadena estos requisitos de garantía.

Paso 8: El estado de SSPA es Verde

Una vez que haya completado los requisitos emitidos y la revisión de SSPA, su estado de SSPA se volverá Verde (cumplido). Eso significa que los compradores de Microsoft ahora pueden interactuar con usted en las categorías de procesamiento de datos en las que ha sido aprobado.

Paso 9: Complete sus tareas de cumplimiento anualmente.

Para mantener su estado Verde, debe renovar las tareas de cumplimiento anualmente para un cumplimiento continuo con SSPA.

Lista de verificación de cumplimiento para proveedores de Microsoft

Para ayudarlo a evaluar el cumplimiento de su empresa con el DPR de Microsoft, descargue la lista de verificación de cumplimiento a continuación.

Cómo Secureframe ayuda a los proveedores de Microsoft a lograr el cumplimiento

Ya sea que ya sea un proveedor de Microsoft o espere serlo en el futuro, Secureframe puede ayudarlo a automatizar el cumplimiento con Microsoft SSPA y otros marcos que se aplican a sus actividades de procesamiento de datos, incluidos ISO 27001, ISO 27701 y PCI DSS. Nuestra plataforma de cumplimiento impulsada por IA reduce el tiempo que dedica a las tareas de cumplimiento con la recopilación automática de evidencia, la supervisión en tiempo real y la gestión de riesgos para que pueda ahorrar tiempo y reducir el riesgo mientras hace crecer su negocio.

Tenemos más de 200 integraciones para que pueda sincronizar sin problemas sus herramientas de Microsoft existentes, incluidas Microsoft Azure, Office 365, Azure DevOps, Microsoft Intune y Azure Active Directory. Una vez que conecte sus herramientas de Microsoft a la plataforma Secureframe, automáticamente recopilará evidencia de cumplimiento a través de nuestras pruebas de integración integradas para herramientas de Microsoft. Cada prueba de integración está mapeada a controles y requisitos del marco de cumplimiento.

Nuestro monitoreo continuo en tiempo real evalúa su postura de cumplimiento al reunir automáticamente evidencia y detectar no conformidades y errores de configuración en Microsoft Azure, Azure DevOps, Microsoft Intune, Azure Defender y más. Cuando se detectan errores de configuración, puede usar Comply AI for Remediation para remediarlos rápidamente utilizando infraestructura como código (IaC) para Azure Resource Manager (ARM), Interfaz de Línea de Comandos (CLI) o Terraform. Copie, pegue y despliegue sin problemas las correcciones de código en su entorno de Azure para solucionar el control fallido y mejorar su postura de cumplimiento.

También capacitamos a los clientes para identificar, evaluar y gestionar riesgos de varias maneras. Por ejemplo, puede realizar revisiones de acceso de usuarios automáticamente y gestionar al personal sincronizando sus herramientas de Microsoft, como Office 365 y Azure Active Directory, en la plataforma de Secureframe. También puede garantizar el acceso de menor privilegio, identificar y eliminar al personal saliente con acceso, y embarcar automáticamente al personal para que comience con sus tareas de cumplimiento, incluyendo capacitación, revisión y aceptación de políticas, y verificaciones de antecedentes.

Finalmente, es igual de importante que gestione el riesgo de sus proveedores y vendedores externos, como lo hace Microsoft con sus proveedores a través de SSPA. Nuestra herramienta de Gestión de Riesgos de Proveedores le permite gestionar y monitorear sus relaciones con proveedores y su riesgo asociado. Asegure que sus proveedores y vendedores cumplan con sus expectativas de seguridad y cumplimiento a través de cuestionarios de proveedores, revisiones recurrentes y más.