Persyaratan Perlindungan Data Pemasok Microsoft

advertisement
Persyaratan Perlindungan Data Pemasok Microsoft
Penerapan
Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang Memproses
Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan
sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft.
•
•
Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian
kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan.
Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan
dengan undang-undang, persyaratan tersebut yang akan berlaku.
Tanpa membatasi kewajibannya yang lain, di mana Microsoft telah memberikan persetujuan tertulis sebelumnya untuk
transfer internasional Informasi Pribadi Microsoft, pemasok harus mematuhi persyaratan perlindungan data atas
ketentuan kontraktual standar, aturan perusahaan yang mengikat, atau skema lain yang disetujui oleh otoritas
perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh
Microsoft, termasuk, namun tidak terbatas pada, UE-A.S. dan Swiss-A.S. Kerangka kerja Pelindung Privasi dan Peraturan
Perlindungan Data Umum UE. Pemasok setuju untuk memberi tahu Microsoft jika Pemasok membuat keputusan bahwa
Pemasok tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang sama sebagaimana
diharuskan oleh prinsip Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor
(sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai
Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi.
“Informasi Rahasia Microsoft” adalah segala jenis informasi yang jika kerahasiaan atau integritasnya terancam, dapat
berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak
terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran
pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft.
“Informasi Pribadi Microsoft” berarti setiap Informasi Pribadi yang Diproses oleh atau atas nama Microsoft.
“Informasi Pribadi” berarti setiap informasi yang terkait dengan individu yang diidentifikasi atau yang teridentifikasi (“Subjek
Data”); individu yang teridentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung maupun tidak langsung,
khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau
beberapa faktor tertentu dari identifikasi fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial individu tersebut.
“Pelanggaran Informasi Pribadi” berarti pelanggaran keamanan yang mengakibatkan kerusakan yang tidak disengaja
atau ilegal, kerugian, perubahan, pengungkapan atau akses yang tidak sah dari, Informasi Pribadi yang dikirim, disimpan,
atau Diproses.
“Proses” berarti setiap operasi atau rangkaian operasi yang dilakukan pada Informasi Pribadi atau kumpulan Informasi
Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengaturan, penataan,
penyimpanan, penyesuaian, atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui pengiriman,
penyebaran, atau penyediaan, penyelarasan atau kombinasi, pembatasan, penghapusan, atau penghancuran.
Struktur DPR
DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk
mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles/GAPP)
terbagi menjadi 10 bagian yang mencakup kriteria terukur yang terkait dengan perlindungan dan manajemen Informasi
Pribadi. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft.
Versi 4 Juli 2017
Halaman | 1
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian A: Manajemen
Sebelum pemasok dapat Memproses Informasi Pribadi
atau Rahasia Microsoft, pemasok harus:
1
Telah menandatangani kontrak, laporan kerja, atau
pesanan pembelian Microsoft yang sah yang berisi bahasa
perlindungan data privasi dan keamanan yang menjelaskan
materi pokok dan durasi Pemrosesan, sifat dan tujuan
Pemrosesan, jenis Informasi Pribadi Microsoft dan kategori
Subjek Data serta kewajiban dan hak Microsoft.
Pemasok harus menyajikan
kontrak, laporan kerja, atau
pesanan pembelian Microsoft
yang sah yang berisi uraian
aktivitas Pemrosesan yang
diperlukan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
2
Menetapkan tanggung jawab dan akuntabilitas sesuai
dengan Persyaratan Perlindungan Data Pemasok Microsoft
kepada orang atau kelompok yang ditetapkan di dalam
perusahaan.
Pemasok harus mengidentifikasi
orang atau kelompok yang
dituduh dengan memastikan
kepatuhan pemasok dengan
Persyaratan Perlindungan Data.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Wewenang dan akuntabilitas
orang atau kelompok ini harus
didokumentasikan dengan jelas.
3
Memastikan semua pihak berwenang yang Memproses
Informasi Pribadi Microsoft telah berkomitmen terhadap
kerahasiaan atau memiliki kewajiban kerahasiaan hukum
yang sesuai.
Kontrak, laporan kerja, atau
pesanan pembelian Microsoft
yang sah dengan kewajiban
kerahasiaan.
Bukti formulir standar dari
perjanjian pelarangan
pengungkapan informasi
pemasok, kerja, konsultasi, dan
subkontrak.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
4
Menetapkan, menjaga, dan melakukan pelatihan privasi
tahunan untuk karyawan yang akan memiliki akses ke
Informasi Pribadi Microsoft.
Pemasok mengedukasi karyawan
pada tahap awal dan secara
berkala mengenai prinsip privasi
dan keamanan dasar.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Jika perusahaan Anda tidak memiliki persiapan konten,
hubungi [email protected] untuk meminta
kerangka papan cerita yang dapat disesuaikan dengan
perusahaan Anda.
Bukti bahwa pelatihan tersebut
dilakukan dapat berupa materi
pelatihan, catatan kehadiran,
komunikasi (email, situs web,
buletin, dll).
Versi 4 Juli 2017
Halaman | 2
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian A: Manajemen (lanjutan)
5
Menyampaikan informasi yang relevan setiap tahun
tentang Persyaratan Perlindungan Data Pemasok
Microsoft kepada pegawai dan subkontraktor yang
melakukan layanan untuk Microsoft.
Pemasok mengedukasi karyawan
dan subkontraktor yang terlibat
dalam penyediaan layanan kepada
Microsoft pada Persyaratan
Perlindungan Data Pemasok
Microsoft.
Bukti bahwa pelatihan tersebut
dilakukan pada awalnya dan
secara berkala dapat berupa
materi pelatihan, catatan
kehadiran, komunikasi (email,
situs web, buletin, dll.) kepada
karyawan dan subkontraktor, dll.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
6
Memproses Informasi Pribadi Microsoft hanya sesuai
dengan instruksi Microsoft yang terdokumentasi termasuk
mengenai transfer Informasi Pribadi ke negara ketiga atau
organisasi internasional, kecuali jika diwajibkan
melakukannya berdasarkan undang-undang yang berlaku;
dalam kasus seperti itu, pemroses harus memberi tahu
pengawas persyaratan hukum tersebut sebelum
memproses, kecuali jika undang-undang tersebut
melarang informasi semacam itu dengan alasan penting
untuk kepentingan publik.
Bukti instruksi yang
terdokumentasi, misalnya
sebagaimana yang tertera dalam
kontrak, laporan kerja, atau
pesanan pembelian, atau diambil
sebagai bagian dari sistem
elektronik yang digunakan dalam
penyediaan layanan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
7
Segera memberi tahu Microsoft jika, menurut
pendapatnya, sebuah instruksi melanggar hukum yang
berlaku.
Kewajiban kontraktual pemasok
adalah memberi tahu Microsoft
jika, menurut pendapat pemasok,
sebuah instruksi melanggar
hukum yang berlaku.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Bagian B: Pemberitahuan
8
Pemasok harus menggunakan Pernyataan Privasi Microsoft
saat mengumpulkan Informasi Pribadi atas nama
Microsoft.
Pemberitahuan privasi harus mencolok dan tersedia bagi
Subjek Data untuk membantu mereka memutuskan
apakah akan menyerahkan Informasi Pribadi mereka
kepada pemasok.
Pemberitahuan privasi harus
tersedia secara online dan offline
sesuai yang diperlukan, memiliki
tanggal yang jelas, dan diberikan
pada atau sebelum tanggal
pengumpulan data.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Versi 4 Juli 2017
Halaman | 3
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian B: Pemberitahuan (lanjutan)
9
Saat mengumpulkan Informasi Pribadi Microsoft melalui
panggilan suara langsung atau yang direkam, pemasok
harus siap untuk mendiskusikan praktik pengumpulan,
penanganan, penggunaan, dan penyimpanan data yang
berlaku dengan Subjek Data.
Pemasok menunjukkan bahwa
pengumpulan, penanganan,
penggunaan, dan penyimpanan
data didiskusikan dengan Subjek
Data saat Informasi Pribadi
dikumpulkan melalui telepon.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Bagian C: Pilihan dan Persetujuan
10
Jika pemasok mengandalkan persetujuan sebagai dasar
hukum untuk memproses data, pemasok harus
memperoleh dan mendokumentasikan persetujuan Subjek
Data sebelum mengumpulkan Informasi Pribadi Subjek
Data.
Pemasok menjelaskan proses
kepada Subjek Data untuk
menyetujui atau menolak
memberikan Informasi Pribadi dan
konsekuensi dari kedua tindakan
tersebut.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
11
Pemasok mengambil setiap persetujuan Subjek Data
sebelum atau pada waktu mengumpulkan Informasi
Pribadi.
Pemasok mendokumentasikan
dan mengelola preferensi kontak
dan mengimplementasikan serta
mengelola perubahan atas
preferensi tersebut.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Terdapat sistem dan prosedur
untuk mengelola persetujuan dan
preferensi kontak Subjek Data.
12
Mendokumentasikan dan mengelola perubahan preferensi
kontak Subjek Data dengan tepat waktu.
Pemasok mengawasi manajemen
persetujuan Subjek Data untuk
memastikan keefektifan sistem
dan proses.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
13
Memperoleh dan mendokumentasikan persetujuan Subjek
Data untuk setiap penggunaan baru dari Informasi Pribadi
Subjek Data tersebut.
Pemasok memastikan bahwa jika
persetujuan tidak diberikan, maka
tidak ada penggunaan atau
pemrosesan tambahan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Versi 4 Juli 2017
Halaman | 4
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian C: Pilihan dan Persetujuan (lanjutan)
14
Cookie adalah file teks kecil yang disimpan di perangkat
oleh situs web dan aplikasi online yang berisi informasi
yang digunakan untuk mengenali pengguna atau
perangkat.
Pemasok yang membuat serta mengelola situs web dan
aplikasi Microsoft harus memberikan pengguna
pemberitahuan dan pilihan yang transparan mengenai
penggunaan cookie.
Pemasok yang membuat serta mengelola situs web dan
aplikasi Microsoft harus memastikan bahwa penggunaan
cookie selaras dengan komitmen dalam Pernyataan Privasi
Microsoft dan persyaratan hukum setempat, seperti
aturan yang ditetapkan oleh Uni Eropa.
Tujuan setiap cookie harus
didokumentasikan, dan harus
memberi tahu jenis cookie yang
diterapkan:
• Cookie sesi harus digunakan
jika memungkinkan.
• Cookie yang persisten tetap
berada di perangkat tidak
lebih dari yang diperlukan dan
tidak melebihi 2 tahun.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Validasikan bahwa aturan UE
diterapkan, seperti namun juga
tidak terbatas;
• Penggunaan konvensi
pelabelan, “Privasi & Cookie”
untuk pernyataan privasi.
• Dapatkan persetujuan
pengguna sebelum
menggunakan cookie untuk
tujuan yang “tidak penting”
seperti iklan.
Bagian D: Pengumpulan
15
Pemasok harus mengawasi pengumpulan Informasi Pribadi
dan Rahasia Microsoft untuk memastikan bahwa satusatunya informasi yang dikumpulkan adalah informasi
yang dibutuhkan untuk melakukan layanan yang diadakan
oleh Microsoft.
Terdapat sistem dan prosedur
untuk menentukan Informasi
Pribadi dan Rahasia yang
diperlukan.
Pemasok mengawasi
pengumpulan untuk memastikan
keefektifan sistem dan prosedur.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
16
Jika pemasok mendapatkan Informasi Pribadi dari pihak
ketiga atas nama Microsoft, pemasok harus memvalidasi
bahwa kebijakan dan praktik perlindungan data pihak
ketiga konsisten dengan kontrak pemasok dengan
Microsoft serta persyaratan DPR.
Pemasok dapat menunjukkan uji
tuntas dilakukan mengenai
kebijakan dan praktik
perlindungan data pihak ketiga.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
17
Sebelum mengumpulkan Informasi Pribadi Microsoft yang
sensitif melalui penginstalan atau penggunaan perangkat
lunak yang dapat dijalankan di perangkat Subjek Data,
keharusan untuk mengumpulkan informasi ini harus
didokumentasikan dalam kontrak pemasok yang
dilaksanakan dengan Microsoft.
Pemasok memperoleh dan
mendokumentasikan persetujuan
Microsoft saat menggunakan
perangkat lunak yang dapat
dijalankan di komputer Subjek
Data untuk mengumpulkan
Informasi Pribadi.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Versi 4 Juli 2017
Halaman | 5
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian D: Pengumpulan (lanjutan)
18
Sebelum mengumpulkan Informasi Pribadi Microsoft yang
sensitif (data yang mengungkapkan ras atau asal etnis,
pendapat politik, keyakinan agama atau filosofis, atau
keanggotaan serikat pekerja, data genetik, data biometrik,
data mengenai kesehatan atau data mengenai kehidupan
seks atau orientasi seksual individu) kebutuhan untuk
mengumpulkan informasi ini harus didokumentasikan
dalam kontrak pemasok yang dilaksanakan dengan
Microsoft.
Pemasok memperoleh dan
mendokumentasikan persetujuan
Microsoft sebelum
mengumpulkan Informasi Pribadi
sensitif.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Bagian E: Penyimpanan
19
Memastikan bahwa Informasi Pribadi dan Rahasia
Microsoft disimpan tidak lebih lama dari yang diperlukan
untuk memberikan layanan kecuali penyimpanan lanjutan
dari Informasi Pribadi Microsoft diperlukan oleh hukum.
Pemasok memenuhi kebijakan
penyimpanan yang
didokumentasikan atau
persyaratan penyimpanan yang
ditetapkan oleh Microsoft dalam
kontrak, laporan kerja, atau
pesanan pembelian.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
20
Memastikan bahwa, atas kebijakan Microsoft, Informasi
Pribadi atau Rahasia Microsoft yang dimiliki pemasok atau
berada di bawah kendalinya dikembalikan kepada
Microsoft atau dihancurkan setelah layanan selesai atau
atas permintaan Microsoft.
Sesuai permintaan, pemasok harus memberikan sertifikat
penghancuran kepada Microsoft yang ditandatangani oleh
pejabat dari pemasok.
Pemasok menyimpan data
pelepasan Informasi Pribadi dan
Rahasia Microsoft (misalnya
dikembalikan ke Microsoft untuk
dihancurkan).
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Apabila penghancuran Informasi Pribadi atau Rahasia
Microsoft diperlukan, pemasok harus membakar,
menghancurleburkan, atau menyobek aset fisik yang berisi
Informasi Pribadi Microsoft sehingga informasi tersebut
tidak dapat dibaca atau direkonstruksi.
Dalam aplikasi, proses harus dilakukan untuk memastikan
bahwa apabila data dihapus dari aplikasi baik secara
eksplisit oleh pengguna atau berdasarkan pemicu lainnya
seperti usia data, data tersebut akan dihapus dengan
aman.
Versi 4 Juli 2017
Halaman | 6
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian F: Subjek Data
21
Subjek Data berhak mengakses, menghapus, mengedit,
mengekspor, membatasi, dan menolak pemrosesan
Informasi Pribadi mereka (“Hak Subjek Data”). Ketika
Subjek Data berusaha menggunakan hak mereka
berdasarkan undang-undang yang berlaku sehubungan
dengan Informasi Pribadi Microsoft mereka, pemasok
harus:
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
22
Membantu Microsoft, melalui tindakan teknis dan
organisasi yang tepat, sejauh mungkin, untuk memenuhi
kewajibannya dalam menanggapi permintaan Subjek Data
yang berusaha menggunakan hak mereka berdasarkan
undang-undang yang berlaku.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
23
Merespons semua permintaan Hak Subjek Data tanpa
penundaan yang tidak semestinya.
Pemasok melakukan uji berkala
untuk memastikan mereka dapat
mendukung hak Subjek Data.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
24
Kecuali jika diarahkan oleh Microsoft, Pemasok akan
merujuk semua Subjek Data yang menghubungi Pemasok
secara langsung ke Microsoft untuk menggunakan Hak
Subjek Data mereka.
Pemasok akan mengomunikasikan kepada Subjek Data
langkah-langkah yang harus diambil seseorang untuk
mendapatkan akses ke atau menggunakan hak mereka
terhadap Informasi Pribadi Microsoft mereka.
Pemasok mengomunikasikan
langkah-langkah yang harus
diambil untuk mengakses
Informasi Pribadi, serta metode
yang tersedia untuk memperbarui
informasi.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
25
Ketika merespons Subjek Data secara langsung, validasikan
identitas Subjek Data yang membuat permintaan ini.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
26
Mendapatkan izin dari Microsoft untuk tetap
menggunakan pengenal yang diterbitkan pemerintah
(misalnya, nomor Jaminan Sosial) untuk pengesahan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Setelah Subjek Data disahkan, pemasok harus:
Versi 4 Juli 2017
Halaman | 7
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian F: Subjek Data (lanjutan)
27
Menentukan apakah pemasok memiliki atau
mengendalikan Informasi Pribadi Microsoft tentang Subjek
Data tersebut.
Pemasok memiliki prosedur yang
sesuai untuk menetapkan apakah
Informasi Pribadi disimpan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
28
Membuat usaha yang wajar untuk menentukan lokasi
Informasi Personal Microsoft yang diminta dan
menyimpan data yang cukup untuk membuktikan bahwa
pencarian yang wajar dilakukan.
Pemasok menjawab permintaan
dengan tepat waktu.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
29
Mencatat tanggal dan waktu permintaan serta tindakan
yang diambil oleh pemasok dalam menanggapi permintaan
tersebut.
Pemasok menyimpan data
permintaan akses dan
mendokumentasikan perubahan
yang dilakukan pada Informasi
Pribadi.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Memberikan data permintaan Subjek Data kepada
Microsoft atas permintaan.
30
Setelah Subjek Data disahkan dan pemasok telah
memvalidasi bahwa mereka memiliki Informasi Pribadi
Microsoft yang diminta, pemasok harus:
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
31
Atas permintaan untuk memperoleh salinan Informasi
Pribadi, berikan Informasi Pribadi Microsoft kepada Subjek
Data dengan format cetak, elektronik, atau verbal yang
sesuai.
Pemasok memberikan Informasi
Pribadi kepada Subjek Data dalam
format yang dapat dipahami dan
dalam bentuk yang mudah
digunakan oleh Subjek Data dan
pemasok.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
32
Jika permintaan mereka ditolak, berdasarkan arahan
Microsoft, berikan penjelasan tertulis kepada Subjek Data
yang konsisten dengan setiap instruksi relevan yang
sebelumnya diberikan oleh Microsoft.
Contoh dokumen ketika
permintaan ditolak dan simpan
bukti tinjauan dan persetujuan
Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Versi 4 Juli 2017
Halaman | 8
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian F: Subjek Data (lanjutan)
33
Pemasok harus mengambil tindakan pencegahan yang
wajar untuk memastikan bahwa Informasi Pribadi
Microsoft yang dirilis kepada Subjek Data tidak dapat
digunakan untuk mengidentifikasi orang lain.
Pemasok harus membuktikan
bahwa tindakan pencegahan yang
wajar tersebut dilakukan agar
orang lain tidak dapat
diidentifikasi dari informasi yang
dirilis (mis., tidak dapat
memfotokopi seluruh halaman
data saat meminta Informasi
Pribadi untuk Subjek Data yang
hanya muncul pada satu baris).
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
34
Jika Subjek Data dan pemasok tidak setuju tentang
kelengkapan dan keakuratan Informasi Pribadi Microsoft,
pemasok harus melaporkan masalah tersebut kepada
Microsoft dan bekerja sama dengan Microsoft
sebagaimana diperlukan untuk menyelesaikan masalah.
Pemasok mendokumentasikan
contoh ketidaksetujuan dan
menyampaikannya kepada
Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Bagian G: Pengungkapan kepada Pihak Ketiga
Jika pemasok bermaksud menggunakan subkontraktor
untuk Memproses Informasi Pribadi dan Rahasia
Microsoft, pemasok harus:
35
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Mendapatkan persetujuan tertulis dari Microsoft sebelum
melakukan subkontrak layanan atau melakukan perubahan
apa pun terkait penambahan atau penggantian
subkontraktor.
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
36
Tetap bertanggung jawab sepenuhnya kepada Microsoft
atas kinerja setiap subkontraktor.
Penyedia kontrak pada pemasok
tetap bertanggung jawab kepada
Microsoft atas subkontraktornya.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
37
Mendokumentasikan sifat dan tingkat Informasi Pribadi
dan Rahasia Microsoft yang Di-subproses oleh
subkontraktor, memastikan bahwa informasi yang
dikumpulkan diperlukan untuk melakukan layanan yang
disediakan oleh Microsoft.
Pemasok menyimpan
dokumentasi mengenai Informasi
Pribadi dan Rahasia Microsoft
yang diungkapkan atau ditransfer
kepada subkontraktor.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Versi 4 Juli 2017
Halaman | 9
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)
38
Pastikan subkontraktor menggunakan Informasi Pribadi
Microsoft sesuai dengan preferensi kontak yang
dinyatakan Subjek Data.
39
Membatasi Pemrosesan Informasi Pribadi Microsoft oleh
subkontraktor untuk tujuan yang penting demi memenuhi
kontrak pemasok dengan Microsoft.
40
Segera memberi tahu Microsoft atas setiap keputusan
pengadilan yang memaksa pengungkapan Informasi
Personal Microsoft oleh subkontraktor dan, sebagaimana
diizinkan oleh hukum, memberikan kesempatan kepada
Microsoft untuk melakukan intervensi sebelum
mengajukan respons atas keputusan atau pemberitahuan.
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Sistem dan proses diterapkan
untuk memastikan subkontraktor
menggunakan Informasi Pribadi
Microsoft hanya untuk tujuan
yang ditetapkan dan sesuai
dengan preferensi kontak Subjek
Data.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Pemasok dapat membuktikan
bahwa Microsoft telah
menghubungi, jika diizinkan,
sebelum memungkinkan
pengungkapan Informasi Personal
Microsoft oleh subkontraktor
dalam menanggapi putusan
pengadilan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
41
Meninjau keluhan yang mengindikasikan Pemrosesan yang
tidak sah atau ilegal dari Informasi Pribadi Microsoft.
Sistem dan proses disesuaikan
untuk mengatasi keluhan
mengenai penggunaan atau
pengungkapan Informasi Personal
Microsoft yang tidak sah oleh
subkontraktor.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
42
Segera memberi tahu Microsoft setelah mengetahui
bahwa subkontraktor telah Memproses Informasi Pribadi
dan Sensitif Microsoft untuk tujuan selain dari
memberikan layanan yang terkait dengan Microsoft
kepada Microsoft atau pemasoknya.
Pemasok dapat membuktikan
bahwa Microsoft telah diberi tahu
saat subkontraktor telah
menggunakan Informasi Personal
Microsoft untuk tujuan yang tidak
sah.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
Versi 4 Juli 2017
Halaman | 10
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan)
43
Segera mengambil tindakan untuk mengurangi setiap
kemungkinan bahaya yang dapat disebabkan oleh
Pemrosesan Informasi Pribadi dan Rahasia Microsoft yang
tidak sah atau ilegal oleh subkontraktor.
Pemasok dapat membuktikan
bahwa tindakan yang tepat telah
dilakukan ketika subkontraktor
telah menggunakan Informasi
Pribadi dan Rahasia Microsoft
untuk tujuan yang tidak sah atau
mengungkapkan Informasi Pribadi
atau Rahasia.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
44
Sebelum menerima Informasi Pribadi apa pun dari pihak
ketiga, verifikasikan bahwa praktik pengumpulan data
pihak ketiga konsisten dengan DPR.
Proses yang didokumentasikan
disesuaikan untuk memverifikasi
praktik pengumpulan data pihak
ketiga.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
45
Mengonfirmasi bahwa hanya Informasi Pribadi yang
dikumpulkan dari pihak ketiga yang diperlukan untuk
melakukan layanan yang diadakan oleh Microsoft.
Proses yang didokumentasikan
disesuaikan untuk membatasi
transfer Informasi Pribadi
Microsoft dari pihak ketiga ke
yang hanya diperlukan untuk
melakukan layanan kontrak.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Bagian H: Kualitas
46
Pemasok harus menjaga integritas semua Informasi Pribadi
Microsoft, memastikannya tetap akurat, lengkap, dan
relevan untuk tujuan Pemrosesan yang dinyatakan.
Informasi divalidasi saat
dikumpulkan, dibuat, atau
diperbarui.
Sistem dan proses diterapkan
untuk memverifikasi keakuratan
secara terus-menerus dan benar
jika diperlukan.
47
Pemasok harus memastikan untuk mengumpulkan jumlah
minimum Informasi Pribadi yang diperlukan untuk
memenuhi tujuan yang telah ditetapkan.
Versi 4 Juli 2017
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Halaman | 11
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian I: Pemantauan dan Penegakan
48
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Segera memberi tahu Microsoft setelah mengetahui
Pelanggaran Informasi Pribadi atau kerentanan kemanan
yang terkait dengan penanganan Informasi Pribadi atau
Rahasia Microsoft oleh pemasok.
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
49
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Jangan mengeluarkan rilis pers atau pemberitahuan publik
lainnya yang berhubungan dengan Pelanggaran Informasi
Pribadi yang melibatkan Informasi Pribadi atau Rahasia
Microsoft tanpa mendapatkan persetujuan dari Microsoft
kecuali dinyatakan oleh hukum atau perundang-undangan.
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
50
Menerapkan rencana pemulihan dan mengawasi
penyelesaian masalah dari Pelanggaran Informasi Pribadi
dan kerentanan yang terkait dengan Informasi Pribadi
Microsoft untuk memastikan bahwa tindakan perbaikan
yang tepat dilakukan dengan tepat waktu.
51
Menetapkan proses keluhan formal untuk menjawab
semua keluhan perlindungan data yang melibatkan
Informasi Personal Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Pemasok harus memiliki proses
yang didokumentasikan untuk
menangani keluhan dan memberi
tahu Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Data keluhan yang membuktikan
jawaban tepat waktu.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Dokumentasi keluhan
terbuka/tertutup.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
52
Memberi tahu Microsoft tentang tiap keluhan terkait
dengan Informasi Personal Microsoft.
Hubungi [email protected] untuk bantuan dengan
persyaratan ini.
53
Mencatat dan menjawab semua keluhan perlindungan
data yang terkait dengan Informasi Pribadi Microsoft
secara tepat waktu kecuali ada instruksi khusus yang
diberikan oleh Microsoft.
Sesuai permintaan, memberikan dokumentasi tentang
keluhan yang sudah diatasi dan belum diatasi kepada
Microsoft.
Versi 4 Juli 2017
Halaman | 12
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian I: Pemantauan dan Penegakan (lanjutan)
54
Pemasok harus mempertimbangkan sifat informasi
pemasok dan membantu Microsoft dalam memastikan
kepatuhan terhadap kewajibannya berdasarkan undangundang yang berlaku (termasuk namun tidak terbatas pada
keamanan data, Pelanggaran Informasi Pribadi, penilaian
dampak perlindungan data, serta konsultasi dengan
otoritas pemerintah, pengaturan, dan pengawasan).
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak
55
Menyediakan semua informasi yang diperlukan Microsoft
untuk menunjukkan kepatuhan terhadap kewajiban
berdasarkan undang-undang yang berlaku serta
memungkinkan dan berkontribusi pada audit, termasuk
pemeriksaan, yang dilakukan oleh Microsoft atau auditor
lain yang dimandatkan oleh Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Bagian J: Keamanan
56
PROGRAM KEAMANAN INFORMASI
Pemasok harus menetapkan, menerapkan, dan
mempertahankan program keamanan informasi yang
mencakup kebijakan dan prosedur, untuk melindungi dan
menjaga Informasi Pribadi dan Rahasia Microsoft tetap
aman sesuai dengan praktik industri yang baik dan
sebagaimana diwajibkan oleh hukum yang berlaku.
Program keamanan pemasok harus memenuhi standar
yang diambil di bawah ini, persyaratan 56 -76.
Pengamanan dapat melebihi dari
yang tercantum, jika diperlukan
untuk memenuhi skema peraturan
(mis., HIPAA, GLBA) atau
persyaratan kontraktual.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
57
Melakukan penilaian keamanan jaringan tahunan yang
mencakup:
• Peninjauan perubahan besar terhadap lingkungan,
seperti komponen sistem baru, topologi jaringan,
aturan firewall, dll.
• Melakukan pemindaian kerentanan.
• Menyimpan log perubahan yang melacak
perubahan, memberikan informasi mengenai
alasan perubahan dan menyertakan pemberi
persetujuan.
Tinjau dokumentasi penilaian
jaringan, log perubahan, dan hasil
pemindaian.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
58
Pemasok menentukan, mengomunikasikan, dan menerapkan
kebijakan perangkat seluler yang mengamankan dan membatasi
penggunaan Informasi Pribadi atau Rahasia Microsoft yang
diakses atau digunakan pada perangkat seluler.
Berikan kebijakan perangkat
seluler dan tunjukkan penggunaan
di mana penanganan data
Informasi Pribadi atau Rahasia
Microsoft memerlukan
penggunaan perangkat seluler.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Versi 4 Juli 2017
Halaman | 13
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
59
Semua Aset yang digunakan untuk mendukung pelaksanaan
layanan Microsoft harus dipertanggungjawabkan dan
memiliki pemilik yang teridentifikasi. Pemasok bertanggung
jawab untuk menjaga inventaris aset informasi ini;
menetapkan penggunaan aset yang wajar dan sah; serta
memberikan tingkat perlindungan yang sesuai untuk aset
tersebut sepanjang siklus hidupnya.
Tinjau Inventaris aset perangkat
yang digunakan untuk mendukung
pelaksanaan layanan Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Prosedur hak akses
didokumentasikan dan diterapkan
secara konsisten.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Inventaris aset ini mencakup:
- Lokasi perangkat
- Klasifikasi Data dari data pada aset
- Catatan pemulihan aset setelah pemutusan
hubungan kerja atau perjanjian bisnis
- Catatan pembuangan media penyimpanan data jika
sudah tidak diperlukan.
60
Menetapkan dan memelihara prosedur manajemen hak akses
untuk mencegah akses yang tidak sah ke Informasi Pribadi
atau Rahasia Microsoft di bawah kendali pemasok.
Rencananya mencakup:
• Prosedur kontrol akses
• Prosedur identifikasi
• Prosedur penguncian setelah percobaan yang tidak
berhasil
• Pengaturan ulang kata sandi sesering yang diperlukan
tetapi tidak lebih dari setiap 70 hari.
• Berikan kesadaran pengguna untuk melindungi
kredensial pengesahan mereka.
• Parameter tangguh untuk memilih kredensial
pengesahan.
• Deaktivasi akun pengguna pada saat pemutusan
hubungan kerja dalam 48 jam.
o Mencakup akses internal/eksternal, media,
kertas, platform teknologi, dan media cadangan.
Uji bahwa pengguna dalam peran
dengan akses ke data Microsoft
memiliki justifikasi
terdokumentasi untuk berada
dalam grup/peran.
Menetapkan proses untuk meninjau akses pengguna ke
Informasi Pribadi dan Rahasia Microsoft, menerapkan prinsip
yang paling tidak istimewa:
Prosesnya mencakup:
• Menentukan peran pengguna dengan jelas
• Prosedur untuk meninjau dan membenarkan persetujuan
akses ke peran.
• Prosedur untuk menghapus akses pengguna ke peran
ketika akses tidak diperlukan lagi.
Versi 4 Juli 2017
Halaman | 14
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
61
Menentukan dan menerapkan prosedur manajemen patch
yang memprioritaskan patch keamanan untuk sistem yang
digunakan untuk memproses Informasi Pribadi dan Rahasia
Microsoft, meliputi:
• Waktu yang ditentukan untuk menerapkan patch namun
tidak lebih dari 19 hari untuk semua patch keamanan.
• Kemampuan untuk menangani dan menerapkan patch
darurat.
• Penerapan Sistem Operasi dan perangkat lunak server,
seperti server aplikasi dan perangkat lunak basis data.
o Hentikan penggunaan Windows XP
• Dokumentasi risiko patch mengurangi dan melacak setiap
pengecualian.
62
Menginstal perangkat lunak antivirus dan antimalware pada
peralatan yang terhubung ke jaringan yang digunakan untuk
memproses Informasi Pribadi dan Rahasia Microsoft,
termasuk namun tidak terbatas pada server, desktop
produksi dan pelatihan untuk melindungi dari virus dan
aplikasi perangkat lunak yang berbahaya.
Dapat membuktikan dan
menyediakan bukti
terdokumentasi bahwa patch
keamanan diterapkan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Memperbarui definisi anti-malware setiap hari atau
sebagaimana diarahkan oleh pemasok anti-virus/antimalware.
63
Pemasok yang mengembangkan perangkat lunak untuk
Produk Microsoft atau aplikasi lini bisnis harus memenuhi
persyaratan Siklus Hidup Pengembangan Keamanan (Security
Development Lifecycle/SDL) Microsoft atau standar industri
serupa. Informasi tersedia di http://www.microsoft.com/sdl.
64
Mengawasi sistem informasi yang digunakan di dalam
jaringan perusahaan tempat Informasi Pribadi atau Rahasia
Microsoft ditangani - untuk gangguan dan aktivitas tidak sah
lainnya.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Buktikan keefektifan sistem
pengawasan, dokumentasi
pendukung tersedia.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Penggunaan jaringan berbasis Sistem Deteksi Gangguan
(Intrusion Detection System/IDS):
• Jika suatu sistem dilanggar, analisis sistem untuk
memastikan setiap kerentanan yang tersisa juga
ditangani.
• Mendokumentasikan prosedur untuk alat deteksi
ancaman sistem pengawasan.
• Tanggapan dan proses manajemen insiden yang
ditetapkan harus dijalankan ketika suatu peristiwa
terdeteksi.
Versi 4 Juli 2017
Halaman | 15
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
65
Segera menyampaikan hasil Investigasi tanggapan insiden
kepada manajemen senior dan Microsoft.
Hubungi [email protected] untuk memberi tahu
Microsoft.
Sistem dan proses harus
diterapkan untuk
mengomunikasikan hasil
investigasi tanggapan insiden
kepada Microsoft
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
66
Administrator sistem, staf operasi, manajemen, dan pihak
ketiga harus menjalani pelatihan keamanan tahunan.
Buat program pelatihan keamanan
yang mencakup:
• Pelatihan tahunan untuk
tanggapan insiden.
• Acara simulasi dan
mekanisme otomatis
untuk memfasilitasi
tanggapan yang efektif
terhadap situasi krisis.
Kesadaran pencegahan insiden,
seperti risiko yang terkait dengan
mengunduh perangkat lunak yang
berbahaya.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
67
Pemasok harus memastikan bahwa proses perencanaan
pencadangan melindungi Informasi Pribadi dan Rahasia
Microsoft dari penggunaan, akses, pengungkapan,
perubahan, dan penghancuran yang tidak sah.
Dokumentasikan prosedur
penanggapan dan pemulihan yang
merinci bagaimana organisasi
akan mengelola peristiwa yang
mengganggu dan akan
menyimpan keamanan
informasinya ke tingkat yang telah
ditentukan berdasarkan tujuan
keberlanjutan keamanan
informasi yang disetujui oleh
manajemen.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Tentukan dan terapkan prosedur
untuk mencadangkan secara
berkala, menyimpan dengan
aman, dan memulihkan data kritis
yang efektif.
Versi 4 Juli 2017
Halaman | 16
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
68
Menetapkan dan menguji keberlanjutan bisnis dan
rencana pemulihan bencana.
Rencana pemulihan bencana
harus mencakup yang berikut
• Kriteria tertentu untuk
menentukan apakah suatu
sistem sangat penting bagi
operasi bisnis pemasok
• Daftar sistem yang sangat
penting berdasarkan kriteria
yang ditentukan yang harus
ditargetkan untuk pemulihan
jika terjadi bencana.
• Prosedur pemulihan bencana
yang ditetapkan untuk setiap
sistem kritis yang menjamin
seorang teknisi yang tidak
mengetahui sistem dapat
memulihkan aplikasinya
dalam waktu kurang dari 72
jam.
Pengujian dan peninjauan
tahunan (atau lebih sering) dari
rencana pemulihan bencana untuk
memastikan tujuan pemulihan
terpenuhi.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
69
Mengesahkan identitas individu sebelum memberikan
akses ke informasi Pribadi atau Rahasia Microsoft kepada
individu tersebut.
Pastikan semua ID pengguna unik
dan masing-masing memiliki
metode pengesahan standar
industri, seperti Azure Active
Directory.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Peningkatan akses (administratif
atau jenis hak istimewa yang
disempurnakan lainnya) harus
memerlukan penggunaan faktor
kedua, seperti kartu pintar atau
telepon berbasis otentikator.
Versi 4 Juli 2017
Halaman | 17
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
70
Pemasok harus melindungi Informasi Pribadi dan Rahasia
Microsoft saat transit melintasi jaringan dengan enkripsi
yang menggunakan Keamanan Lapisan Transportasi
(Transport Layer Security/TLS) atau Keamanan Protokol
Internet (Internet Protocol Security/IPsec).
Proses membuat, menerapkan,
dan mengganti TLS atau sertifikat
lainnya harus ditentukan dan
dilaksanakan.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Enkripsi semua perangkat klien
untuk memenuhi Bitlocker atau
solusi enkrirpsi disk industri yang
setara lainnya untuk semua
perangkat klien yang digunakan
untuk menangani Informasi
Pribadi atau Rahasia Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Metode ini dijelaskan dalam NIST 800-52 dan NIST 800-57;
standar industri yang setara juga dapat digunakan.
Pemasok harus menolak pengiriman Informasi Pribadi
Microsoft apa pun yang dikirimkan melalui cara yang tidak
dienkripsi.
71
Semua perangkat klien pemasok (laptop, stasiun kerja, dll.)
yang akan mengakses atau menangani Informasi Pribadi
atau Rahasia Microsoft harus menggunakan disk berbasis
enkripsi.
72
Sistem dan prosedur harus diterapkan untuk mengenkripsi
informasi Pribadi Microsoft, yang dicatat di bawah, saat
istirahat (ketika disimpan) dengan menggunakan standar
industri saat ini seperti yang dijelaskan dalam standar NIST
800-111.
Enkripsi jenis Informasi Pribadi Microsoft berikut saat
istirahat:
• data kredensial (misal., nama pengguna/kata sandi)
• data instrumen pembayaran (misal., nomor kartu
kredit dan rekening)
• data profil medis (misal., nomor rekam medis atau
pengenal biometrik).
• data pengenal yang diterbitkan pemerintah (misal.,
nomor jaminan sosial atau SIM)
Versi 4 Juli 2017
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Halaman | 18
#
Persyaratan Perlindungan Data Pemasok
Microsoft
Kriteria Penilaian yang
Disarankan
Respons
Bagian J: Keamanan (lanjutan)
73
Saat memproses kartu kredit atas nama Microsoft,
patuhi standar penanganan kartu kredit yang berlaku
sesuai penerbit kartu.
Buktikan kepatuhan dengan
memberikan sertifikasi Standar
Layanan Data Industri Kartu
Pembayaran (Payment Card
Industry Data Services
Standard/PCI-DSS) setiap
tahunnya.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Serahkan sertifikasi PCI DSS
kepada SSPA. Hubungi
[email protected]
74
Pemasok harus menyimpan aset fisik Informasi Pribadi dan
Sensitif Microsoft di lingkungan yang dikendalikan akses.
75
Melakukan uji penetrasi keamanan independen setiap
tahun ntuk solusi Perangkat Lunak Berbentuk Layanan
(Software as a Service/SaaS) yang Memproses Informasi
Pribadi atau Rahasia Microsoft, yang memberikan hasilnya
kepada Microsoft berdasarkan permintaan atau
memungkinkan Microsoft melakukan uji penetrasi secara
berkala.
Sistem dan proses harus
diterapkan untuk mengelola akses
fisik ke salinan digital, bentuk
cetak, arsip, dan cadangan data
Microsoft.
Tahapan penanganan harus
dilacak untuk pergerakan dan
penghancuran media fisik yang
berisi data Microsoft.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Hubungi [email protected] untuk menyerahkan
sertifikat uji pena atau meminta uji Microsoft.
76
Membuat anonim semua Informasi Personal Microsoft
yang digunakan dalam lingkungan pengembangan atau
pengujian.
Versi 4 Juli 2017
Informasi Pribadi Microsoft tidak
boleh digunakan di lingkungan
pengembangan atau pengujian;
jika tidak ada alternatif, informasi
harus dibuat anonim secukupnya
untuk mencegah identifikasi
Subjek Data atau penyalahgunaan
Informasi Pribadi.
<Sesuai>
<Tidak Sesuai>
<Tidak Berlaku>
<Konflik Hukum>
<Konflik Kontrak>
Halaman | 19
Download