Persyaratan Perlindungan Data Pemasok Microsoft Penerapan Persyaratan Perlindungan Data Pemasok (DPR) Microsoft berlaku untuk semua pemasok Microsoft yang Memproses Informasi Pribadi Microsoft atau Informasi Rahasia Microsoft sebagai bagian dari pelaksanaan layanan yang diberikan sesuai ketentuan pemesanan pembelian atau kontrak dengan Microsoft. • • Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan yang ditetapkan di perjanjian kontraktual antara pemasok dan Microsoft, persyaratan kontrak diprioritaskan. Jika ada benturan antara persyaratan yang terkandung di sini dan persyaratan hukum atau yang berkaitan dengan undang-undang, persyaratan tersebut yang akan berlaku. Tanpa membatasi kewajibannya yang lain, di mana Microsoft telah memberikan persetujuan tertulis sebelumnya untuk transfer internasional Informasi Pribadi Microsoft, pemasok harus mematuhi persyaratan perlindungan data atas ketentuan kontraktual standar, aturan perusahaan yang mengikat, atau skema lain yang disetujui oleh otoritas perlindungan data mana pun, Badan Perlindungan Data Eropa, atau Komisi Eropa, dan diterapkan atau disetujui oleh Microsoft, termasuk, namun tidak terbatas pada, UE-A.S. dan Swiss-A.S. Kerangka kerja Pelindung Privasi dan Peraturan Perlindungan Data Umum UE. Pemasok setuju untuk memberi tahu Microsoft jika Pemasok membuat keputusan bahwa Pemasok tidak dapat lagi memenuhi kewajibannya untuk memberikan tingkat perlindungan yang sama sebagaimana diharuskan oleh prinsip Pelindung Privasi. Pemasok juga harus memastikan bahwa setiap dan semua subprosesor (sebagaimana dijelaskan dalam Klausul 1(d) dalam Klausul Kontraktual Standar tahun 2010 yang diterbitkan sebagai Lampiran dalam Keputusan Komisi Eropa C(2010)593) juga mematuhi. “Informasi Rahasia Microsoft” adalah segala jenis informasi yang jika kerahasiaan atau integritasnya terancam, dapat berdampak pada kehilangan reputasi atau kerugian finansial yang signifikan bagi Microsoft. Ini termasuk, tetapi tidak terbatas pada: Produk perangkat keras dan perangkat lunak Microsoft, aplikasi bidang bisnis internal, materi pemasaran pra-rilis, kunci lisensi produk, dan dokumentasi teknis yang terkait produk dan layanan Microsoft. “Informasi Pribadi Microsoft” berarti setiap Informasi Pribadi yang Diproses oleh atau atas nama Microsoft. “Informasi Pribadi” berarti setiap informasi yang terkait dengan individu yang diidentifikasi atau yang teridentifikasi (“Subjek Data”); individu yang teridentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung maupun tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, nomor identifikasi, data lokasi, pengenal online atau satu atau beberapa faktor tertentu dari identifikasi fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial individu tersebut. “Pelanggaran Informasi Pribadi” berarti pelanggaran keamanan yang mengakibatkan kerusakan yang tidak disengaja atau ilegal, kerugian, perubahan, pengungkapan atau akses yang tidak sah dari, Informasi Pribadi yang dikirim, disimpan, atau Diproses. “Proses” berarti setiap operasi atau rangkaian operasi yang dilakukan pada Informasi Pribadi atau kumpulan Informasi Pribadi, baik dengan cara otomatis maupun tidak, seperti pengumpulan, pencatatan, pengaturan, penataan, penyimpanan, penyesuaian, atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui pengiriman, penyebaran, atau penyediaan, penyelarasan atau kombinasi, pembatasan, penghapusan, atau penghancuran. Struktur DPR DPR didasarkan atas kerangka kerja yang dirancang oleh Institut Akuntan Publik Bersertifikat Amerika (AICPA) untuk mengukur praktik privasi. Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles/GAPP) terbagi menjadi 10 bagian yang mencakup kriteria terukur yang terkait dengan perlindungan dan manajemen Informasi Pribadi. Kerangka kerja telah ditingkatkan dengan persyaratan keamanan & privasi tambahan Microsoft. Versi 4 Juli 2017 Halaman | 1 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian A: Manajemen Sebelum pemasok dapat Memproses Informasi Pribadi atau Rahasia Microsoft, pemasok harus: 1 Telah menandatangani kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah yang berisi bahasa perlindungan data privasi dan keamanan yang menjelaskan materi pokok dan durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Informasi Pribadi Microsoft dan kategori Subjek Data serta kewajiban dan hak Microsoft. Pemasok harus menyajikan kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah yang berisi uraian aktivitas Pemrosesan yang diperlukan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 2 Menetapkan tanggung jawab dan akuntabilitas sesuai dengan Persyaratan Perlindungan Data Pemasok Microsoft kepada orang atau kelompok yang ditetapkan di dalam perusahaan. Pemasok harus mengidentifikasi orang atau kelompok yang dituduh dengan memastikan kepatuhan pemasok dengan Persyaratan Perlindungan Data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Wewenang dan akuntabilitas orang atau kelompok ini harus didokumentasikan dengan jelas. 3 Memastikan semua pihak berwenang yang Memproses Informasi Pribadi Microsoft telah berkomitmen terhadap kerahasiaan atau memiliki kewajiban kerahasiaan hukum yang sesuai. Kontrak, laporan kerja, atau pesanan pembelian Microsoft yang sah dengan kewajiban kerahasiaan. Bukti formulir standar dari perjanjian pelarangan pengungkapan informasi pemasok, kerja, konsultasi, dan subkontrak. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 4 Menetapkan, menjaga, dan melakukan pelatihan privasi tahunan untuk karyawan yang akan memiliki akses ke Informasi Pribadi Microsoft. Pemasok mengedukasi karyawan pada tahap awal dan secara berkala mengenai prinsip privasi dan keamanan dasar. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Jika perusahaan Anda tidak memiliki persiapan konten, hubungi [email protected] untuk meminta kerangka papan cerita yang dapat disesuaikan dengan perusahaan Anda. Bukti bahwa pelatihan tersebut dilakukan dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll). Versi 4 Juli 2017 Halaman | 2 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian A: Manajemen (lanjutan) 5 Menyampaikan informasi yang relevan setiap tahun tentang Persyaratan Perlindungan Data Pemasok Microsoft kepada pegawai dan subkontraktor yang melakukan layanan untuk Microsoft. Pemasok mengedukasi karyawan dan subkontraktor yang terlibat dalam penyediaan layanan kepada Microsoft pada Persyaratan Perlindungan Data Pemasok Microsoft. Bukti bahwa pelatihan tersebut dilakukan pada awalnya dan secara berkala dapat berupa materi pelatihan, catatan kehadiran, komunikasi (email, situs web, buletin, dll.) kepada karyawan dan subkontraktor, dll. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 6 Memproses Informasi Pribadi Microsoft hanya sesuai dengan instruksi Microsoft yang terdokumentasi termasuk mengenai transfer Informasi Pribadi ke negara ketiga atau organisasi internasional, kecuali jika diwajibkan melakukannya berdasarkan undang-undang yang berlaku; dalam kasus seperti itu, pemroses harus memberi tahu pengawas persyaratan hukum tersebut sebelum memproses, kecuali jika undang-undang tersebut melarang informasi semacam itu dengan alasan penting untuk kepentingan publik. Bukti instruksi yang terdokumentasi, misalnya sebagaimana yang tertera dalam kontrak, laporan kerja, atau pesanan pembelian, atau diambil sebagai bagian dari sistem elektronik yang digunakan dalam penyediaan layanan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 7 Segera memberi tahu Microsoft jika, menurut pendapatnya, sebuah instruksi melanggar hukum yang berlaku. Kewajiban kontraktual pemasok adalah memberi tahu Microsoft jika, menurut pendapat pemasok, sebuah instruksi melanggar hukum yang berlaku. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Bagian B: Pemberitahuan 8 Pemasok harus menggunakan Pernyataan Privasi Microsoft saat mengumpulkan Informasi Pribadi atas nama Microsoft. Pemberitahuan privasi harus mencolok dan tersedia bagi Subjek Data untuk membantu mereka memutuskan apakah akan menyerahkan Informasi Pribadi mereka kepada pemasok. Pemberitahuan privasi harus tersedia secara online dan offline sesuai yang diperlukan, memiliki tanggal yang jelas, dan diberikan pada atau sebelum tanggal pengumpulan data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. Versi 4 Juli 2017 Halaman | 3 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian B: Pemberitahuan (lanjutan) 9 Saat mengumpulkan Informasi Pribadi Microsoft melalui panggilan suara langsung atau yang direkam, pemasok harus siap untuk mendiskusikan praktik pengumpulan, penanganan, penggunaan, dan penyimpanan data yang berlaku dengan Subjek Data. Pemasok menunjukkan bahwa pengumpulan, penanganan, penggunaan, dan penyimpanan data didiskusikan dengan Subjek Data saat Informasi Pribadi dikumpulkan melalui telepon. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Bagian C: Pilihan dan Persetujuan 10 Jika pemasok mengandalkan persetujuan sebagai dasar hukum untuk memproses data, pemasok harus memperoleh dan mendokumentasikan persetujuan Subjek Data sebelum mengumpulkan Informasi Pribadi Subjek Data. Pemasok menjelaskan proses kepada Subjek Data untuk menyetujui atau menolak memberikan Informasi Pribadi dan konsekuensi dari kedua tindakan tersebut. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 11 Pemasok mengambil setiap persetujuan Subjek Data sebelum atau pada waktu mengumpulkan Informasi Pribadi. Pemasok mendokumentasikan dan mengelola preferensi kontak dan mengimplementasikan serta mengelola perubahan atas preferensi tersebut. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Terdapat sistem dan prosedur untuk mengelola persetujuan dan preferensi kontak Subjek Data. 12 Mendokumentasikan dan mengelola perubahan preferensi kontak Subjek Data dengan tepat waktu. Pemasok mengawasi manajemen persetujuan Subjek Data untuk memastikan keefektifan sistem dan proses. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 13 Memperoleh dan mendokumentasikan persetujuan Subjek Data untuk setiap penggunaan baru dari Informasi Pribadi Subjek Data tersebut. Pemasok memastikan bahwa jika persetujuan tidak diberikan, maka tidak ada penggunaan atau pemrosesan tambahan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Versi 4 Juli 2017 Halaman | 4 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian C: Pilihan dan Persetujuan (lanjutan) 14 Cookie adalah file teks kecil yang disimpan di perangkat oleh situs web dan aplikasi online yang berisi informasi yang digunakan untuk mengenali pengguna atau perangkat. Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memberikan pengguna pemberitahuan dan pilihan yang transparan mengenai penggunaan cookie. Pemasok yang membuat serta mengelola situs web dan aplikasi Microsoft harus memastikan bahwa penggunaan cookie selaras dengan komitmen dalam Pernyataan Privasi Microsoft dan persyaratan hukum setempat, seperti aturan yang ditetapkan oleh Uni Eropa. Tujuan setiap cookie harus didokumentasikan, dan harus memberi tahu jenis cookie yang diterapkan: • Cookie sesi harus digunakan jika memungkinkan. • Cookie yang persisten tetap berada di perangkat tidak lebih dari yang diperlukan dan tidak melebihi 2 tahun. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Validasikan bahwa aturan UE diterapkan, seperti namun juga tidak terbatas; • Penggunaan konvensi pelabelan, “Privasi & Cookie” untuk pernyataan privasi. • Dapatkan persetujuan pengguna sebelum menggunakan cookie untuk tujuan yang “tidak penting” seperti iklan. Bagian D: Pengumpulan 15 Pemasok harus mengawasi pengumpulan Informasi Pribadi dan Rahasia Microsoft untuk memastikan bahwa satusatunya informasi yang dikumpulkan adalah informasi yang dibutuhkan untuk melakukan layanan yang diadakan oleh Microsoft. Terdapat sistem dan prosedur untuk menentukan Informasi Pribadi dan Rahasia yang diperlukan. Pemasok mengawasi pengumpulan untuk memastikan keefektifan sistem dan prosedur. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 16 Jika pemasok mendapatkan Informasi Pribadi dari pihak ketiga atas nama Microsoft, pemasok harus memvalidasi bahwa kebijakan dan praktik perlindungan data pihak ketiga konsisten dengan kontrak pemasok dengan Microsoft serta persyaratan DPR. Pemasok dapat menunjukkan uji tuntas dilakukan mengenai kebijakan dan praktik perlindungan data pihak ketiga. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 17 Sebelum mengumpulkan Informasi Pribadi Microsoft yang sensitif melalui penginstalan atau penggunaan perangkat lunak yang dapat dijalankan di perangkat Subjek Data, keharusan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft. Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft saat menggunakan perangkat lunak yang dapat dijalankan di komputer Subjek Data untuk mengumpulkan Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Versi 4 Juli 2017 Halaman | 5 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian D: Pengumpulan (lanjutan) 18 Sebelum mengumpulkan Informasi Pribadi Microsoft yang sensitif (data yang mengungkapkan ras atau asal etnis, pendapat politik, keyakinan agama atau filosofis, atau keanggotaan serikat pekerja, data genetik, data biometrik, data mengenai kesehatan atau data mengenai kehidupan seks atau orientasi seksual individu) kebutuhan untuk mengumpulkan informasi ini harus didokumentasikan dalam kontrak pemasok yang dilaksanakan dengan Microsoft. Pemasok memperoleh dan mendokumentasikan persetujuan Microsoft sebelum mengumpulkan Informasi Pribadi sensitif. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Bagian E: Penyimpanan 19 Memastikan bahwa Informasi Pribadi dan Rahasia Microsoft disimpan tidak lebih lama dari yang diperlukan untuk memberikan layanan kecuali penyimpanan lanjutan dari Informasi Pribadi Microsoft diperlukan oleh hukum. Pemasok memenuhi kebijakan penyimpanan yang didokumentasikan atau persyaratan penyimpanan yang ditetapkan oleh Microsoft dalam kontrak, laporan kerja, atau pesanan pembelian. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 20 Memastikan bahwa, atas kebijakan Microsoft, Informasi Pribadi atau Rahasia Microsoft yang dimiliki pemasok atau berada di bawah kendalinya dikembalikan kepada Microsoft atau dihancurkan setelah layanan selesai atau atas permintaan Microsoft. Sesuai permintaan, pemasok harus memberikan sertifikat penghancuran kepada Microsoft yang ditandatangani oleh pejabat dari pemasok. Pemasok menyimpan data pelepasan Informasi Pribadi dan Rahasia Microsoft (misalnya dikembalikan ke Microsoft untuk dihancurkan). <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Apabila penghancuran Informasi Pribadi atau Rahasia Microsoft diperlukan, pemasok harus membakar, menghancurleburkan, atau menyobek aset fisik yang berisi Informasi Pribadi Microsoft sehingga informasi tersebut tidak dapat dibaca atau direkonstruksi. Dalam aplikasi, proses harus dilakukan untuk memastikan bahwa apabila data dihapus dari aplikasi baik secara eksplisit oleh pengguna atau berdasarkan pemicu lainnya seperti usia data, data tersebut akan dihapus dengan aman. Versi 4 Juli 2017 Halaman | 6 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian F: Subjek Data 21 Subjek Data berhak mengakses, menghapus, mengedit, mengekspor, membatasi, dan menolak pemrosesan Informasi Pribadi mereka (“Hak Subjek Data”). Ketika Subjek Data berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku sehubungan dengan Informasi Pribadi Microsoft mereka, pemasok harus: <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 22 Membantu Microsoft, melalui tindakan teknis dan organisasi yang tepat, sejauh mungkin, untuk memenuhi kewajibannya dalam menanggapi permintaan Subjek Data yang berusaha menggunakan hak mereka berdasarkan undang-undang yang berlaku. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 23 Merespons semua permintaan Hak Subjek Data tanpa penundaan yang tidak semestinya. Pemasok melakukan uji berkala untuk memastikan mereka dapat mendukung hak Subjek Data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 24 Kecuali jika diarahkan oleh Microsoft, Pemasok akan merujuk semua Subjek Data yang menghubungi Pemasok secara langsung ke Microsoft untuk menggunakan Hak Subjek Data mereka. Pemasok akan mengomunikasikan kepada Subjek Data langkah-langkah yang harus diambil seseorang untuk mendapatkan akses ke atau menggunakan hak mereka terhadap Informasi Pribadi Microsoft mereka. Pemasok mengomunikasikan langkah-langkah yang harus diambil untuk mengakses Informasi Pribadi, serta metode yang tersedia untuk memperbarui informasi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. 25 Ketika merespons Subjek Data secara langsung, validasikan identitas Subjek Data yang membuat permintaan ini. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 26 Mendapatkan izin dari Microsoft untuk tetap menggunakan pengenal yang diterbitkan pemerintah (misalnya, nomor Jaminan Sosial) untuk pengesahan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. Setelah Subjek Data disahkan, pemasok harus: Versi 4 Juli 2017 Halaman | 7 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian F: Subjek Data (lanjutan) 27 Menentukan apakah pemasok memiliki atau mengendalikan Informasi Pribadi Microsoft tentang Subjek Data tersebut. Pemasok memiliki prosedur yang sesuai untuk menetapkan apakah Informasi Pribadi disimpan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 28 Membuat usaha yang wajar untuk menentukan lokasi Informasi Personal Microsoft yang diminta dan menyimpan data yang cukup untuk membuktikan bahwa pencarian yang wajar dilakukan. Pemasok menjawab permintaan dengan tepat waktu. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 29 Mencatat tanggal dan waktu permintaan serta tindakan yang diambil oleh pemasok dalam menanggapi permintaan tersebut. Pemasok menyimpan data permintaan akses dan mendokumentasikan perubahan yang dilakukan pada Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Memberikan data permintaan Subjek Data kepada Microsoft atas permintaan. 30 Setelah Subjek Data disahkan dan pemasok telah memvalidasi bahwa mereka memiliki Informasi Pribadi Microsoft yang diminta, pemasok harus: <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 31 Atas permintaan untuk memperoleh salinan Informasi Pribadi, berikan Informasi Pribadi Microsoft kepada Subjek Data dengan format cetak, elektronik, atau verbal yang sesuai. Pemasok memberikan Informasi Pribadi kepada Subjek Data dalam format yang dapat dipahami dan dalam bentuk yang mudah digunakan oleh Subjek Data dan pemasok. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 32 Jika permintaan mereka ditolak, berdasarkan arahan Microsoft, berikan penjelasan tertulis kepada Subjek Data yang konsisten dengan setiap instruksi relevan yang sebelumnya diberikan oleh Microsoft. Contoh dokumen ketika permintaan ditolak dan simpan bukti tinjauan dan persetujuan Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. Versi 4 Juli 2017 Halaman | 8 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian F: Subjek Data (lanjutan) 33 Pemasok harus mengambil tindakan pencegahan yang wajar untuk memastikan bahwa Informasi Pribadi Microsoft yang dirilis kepada Subjek Data tidak dapat digunakan untuk mengidentifikasi orang lain. Pemasok harus membuktikan bahwa tindakan pencegahan yang wajar tersebut dilakukan agar orang lain tidak dapat diidentifikasi dari informasi yang dirilis (mis., tidak dapat memfotokopi seluruh halaman data saat meminta Informasi Pribadi untuk Subjek Data yang hanya muncul pada satu baris). <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 34 Jika Subjek Data dan pemasok tidak setuju tentang kelengkapan dan keakuratan Informasi Pribadi Microsoft, pemasok harus melaporkan masalah tersebut kepada Microsoft dan bekerja sama dengan Microsoft sebagaimana diperlukan untuk menyelesaikan masalah. Pemasok mendokumentasikan contoh ketidaksetujuan dan menyampaikannya kepada Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. Bagian G: Pengungkapan kepada Pihak Ketiga Jika pemasok bermaksud menggunakan subkontraktor untuk Memproses Informasi Pribadi dan Rahasia Microsoft, pemasok harus: 35 <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Mendapatkan persetujuan tertulis dari Microsoft sebelum melakukan subkontrak layanan atau melakukan perubahan apa pun terkait penambahan atau penggantian subkontraktor. Hubungi [email protected] untuk bantuan dengan persyaratan ini. 36 Tetap bertanggung jawab sepenuhnya kepada Microsoft atas kinerja setiap subkontraktor. Penyedia kontrak pada pemasok tetap bertanggung jawab kepada Microsoft atas subkontraktornya. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 37 Mendokumentasikan sifat dan tingkat Informasi Pribadi dan Rahasia Microsoft yang Di-subproses oleh subkontraktor, memastikan bahwa informasi yang dikumpulkan diperlukan untuk melakukan layanan yang disediakan oleh Microsoft. Pemasok menyimpan dokumentasi mengenai Informasi Pribadi dan Rahasia Microsoft yang diungkapkan atau ditransfer kepada subkontraktor. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Versi 4 Juli 2017 Halaman | 9 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan) 38 Pastikan subkontraktor menggunakan Informasi Pribadi Microsoft sesuai dengan preferensi kontak yang dinyatakan Subjek Data. 39 Membatasi Pemrosesan Informasi Pribadi Microsoft oleh subkontraktor untuk tujuan yang penting demi memenuhi kontrak pemasok dengan Microsoft. 40 Segera memberi tahu Microsoft atas setiap keputusan pengadilan yang memaksa pengungkapan Informasi Personal Microsoft oleh subkontraktor dan, sebagaimana diizinkan oleh hukum, memberikan kesempatan kepada Microsoft untuk melakukan intervensi sebelum mengajukan respons atas keputusan atau pemberitahuan. Hubungi [email protected] untuk bantuan dengan persyaratan ini. Sistem dan proses diterapkan untuk memastikan subkontraktor menggunakan Informasi Pribadi Microsoft hanya untuk tujuan yang ditetapkan dan sesuai dengan preferensi kontak Subjek Data. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Pemasok dapat membuktikan bahwa Microsoft telah menghubungi, jika diizinkan, sebelum memungkinkan pengungkapan Informasi Personal Microsoft oleh subkontraktor dalam menanggapi putusan pengadilan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 41 Meninjau keluhan yang mengindikasikan Pemrosesan yang tidak sah atau ilegal dari Informasi Pribadi Microsoft. Sistem dan proses disesuaikan untuk mengatasi keluhan mengenai penggunaan atau pengungkapan Informasi Personal Microsoft yang tidak sah oleh subkontraktor. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 42 Segera memberi tahu Microsoft setelah mengetahui bahwa subkontraktor telah Memproses Informasi Pribadi dan Sensitif Microsoft untuk tujuan selain dari memberikan layanan yang terkait dengan Microsoft kepada Microsoft atau pemasoknya. Pemasok dapat membuktikan bahwa Microsoft telah diberi tahu saat subkontraktor telah menggunakan Informasi Personal Microsoft untuk tujuan yang tidak sah. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. Versi 4 Juli 2017 Halaman | 10 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian G: Pengungkapan kepada Pihak Ketiga (lanjutan) 43 Segera mengambil tindakan untuk mengurangi setiap kemungkinan bahaya yang dapat disebabkan oleh Pemrosesan Informasi Pribadi dan Rahasia Microsoft yang tidak sah atau ilegal oleh subkontraktor. Pemasok dapat membuktikan bahwa tindakan yang tepat telah dilakukan ketika subkontraktor telah menggunakan Informasi Pribadi dan Rahasia Microsoft untuk tujuan yang tidak sah atau mengungkapkan Informasi Pribadi atau Rahasia. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 44 Sebelum menerima Informasi Pribadi apa pun dari pihak ketiga, verifikasikan bahwa praktik pengumpulan data pihak ketiga konsisten dengan DPR. Proses yang didokumentasikan disesuaikan untuk memverifikasi praktik pengumpulan data pihak ketiga. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 45 Mengonfirmasi bahwa hanya Informasi Pribadi yang dikumpulkan dari pihak ketiga yang diperlukan untuk melakukan layanan yang diadakan oleh Microsoft. Proses yang didokumentasikan disesuaikan untuk membatasi transfer Informasi Pribadi Microsoft dari pihak ketiga ke yang hanya diperlukan untuk melakukan layanan kontrak. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Bagian H: Kualitas 46 Pemasok harus menjaga integritas semua Informasi Pribadi Microsoft, memastikannya tetap akurat, lengkap, dan relevan untuk tujuan Pemrosesan yang dinyatakan. Informasi divalidasi saat dikumpulkan, dibuat, atau diperbarui. Sistem dan proses diterapkan untuk memverifikasi keakuratan secara terus-menerus dan benar jika diperlukan. 47 Pemasok harus memastikan untuk mengumpulkan jumlah minimum Informasi Pribadi yang diperlukan untuk memenuhi tujuan yang telah ditetapkan. Versi 4 Juli 2017 <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Halaman | 11 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian I: Pemantauan dan Penegakan 48 <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Segera memberi tahu Microsoft setelah mengetahui Pelanggaran Informasi Pribadi atau kerentanan kemanan yang terkait dengan penanganan Informasi Pribadi atau Rahasia Microsoft oleh pemasok. Hubungi [email protected] untuk bantuan dengan persyaratan ini. 49 <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Jangan mengeluarkan rilis pers atau pemberitahuan publik lainnya yang berhubungan dengan Pelanggaran Informasi Pribadi yang melibatkan Informasi Pribadi atau Rahasia Microsoft tanpa mendapatkan persetujuan dari Microsoft kecuali dinyatakan oleh hukum atau perundang-undangan. Hubungi [email protected] untuk bantuan dengan persyaratan ini. 50 Menerapkan rencana pemulihan dan mengawasi penyelesaian masalah dari Pelanggaran Informasi Pribadi dan kerentanan yang terkait dengan Informasi Pribadi Microsoft untuk memastikan bahwa tindakan perbaikan yang tepat dilakukan dengan tepat waktu. 51 Menetapkan proses keluhan formal untuk menjawab semua keluhan perlindungan data yang melibatkan Informasi Personal Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Pemasok harus memiliki proses yang didokumentasikan untuk menangani keluhan dan memberi tahu Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Data keluhan yang membuktikan jawaban tepat waktu. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Dokumentasi keluhan terbuka/tertutup. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk bantuan dengan persyaratan ini. 52 Memberi tahu Microsoft tentang tiap keluhan terkait dengan Informasi Personal Microsoft. Hubungi [email protected] untuk bantuan dengan persyaratan ini. 53 Mencatat dan menjawab semua keluhan perlindungan data yang terkait dengan Informasi Pribadi Microsoft secara tepat waktu kecuali ada instruksi khusus yang diberikan oleh Microsoft. Sesuai permintaan, memberikan dokumentasi tentang keluhan yang sudah diatasi dan belum diatasi kepada Microsoft. Versi 4 Juli 2017 Halaman | 12 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian I: Pemantauan dan Penegakan (lanjutan) 54 Pemasok harus mempertimbangkan sifat informasi pemasok dan membantu Microsoft dalam memastikan kepatuhan terhadap kewajibannya berdasarkan undangundang yang berlaku (termasuk namun tidak terbatas pada keamanan data, Pelanggaran Informasi Pribadi, penilaian dampak perlindungan data, serta konsultasi dengan otoritas pemerintah, pengaturan, dan pengawasan). <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak 55 Menyediakan semua informasi yang diperlukan Microsoft untuk menunjukkan kepatuhan terhadap kewajiban berdasarkan undang-undang yang berlaku serta memungkinkan dan berkontribusi pada audit, termasuk pemeriksaan, yang dilakukan oleh Microsoft atau auditor lain yang dimandatkan oleh Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Bagian J: Keamanan 56 PROGRAM KEAMANAN INFORMASI Pemasok harus menetapkan, menerapkan, dan mempertahankan program keamanan informasi yang mencakup kebijakan dan prosedur, untuk melindungi dan menjaga Informasi Pribadi dan Rahasia Microsoft tetap aman sesuai dengan praktik industri yang baik dan sebagaimana diwajibkan oleh hukum yang berlaku. Program keamanan pemasok harus memenuhi standar yang diambil di bawah ini, persyaratan 56 -76. Pengamanan dapat melebihi dari yang tercantum, jika diperlukan untuk memenuhi skema peraturan (mis., HIPAA, GLBA) atau persyaratan kontraktual. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 57 Melakukan penilaian keamanan jaringan tahunan yang mencakup: • Peninjauan perubahan besar terhadap lingkungan, seperti komponen sistem baru, topologi jaringan, aturan firewall, dll. • Melakukan pemindaian kerentanan. • Menyimpan log perubahan yang melacak perubahan, memberikan informasi mengenai alasan perubahan dan menyertakan pemberi persetujuan. Tinjau dokumentasi penilaian jaringan, log perubahan, dan hasil pemindaian. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 58 Pemasok menentukan, mengomunikasikan, dan menerapkan kebijakan perangkat seluler yang mengamankan dan membatasi penggunaan Informasi Pribadi atau Rahasia Microsoft yang diakses atau digunakan pada perangkat seluler. Berikan kebijakan perangkat seluler dan tunjukkan penggunaan di mana penanganan data Informasi Pribadi atau Rahasia Microsoft memerlukan penggunaan perangkat seluler. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Versi 4 Juli 2017 Halaman | 13 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 59 Semua Aset yang digunakan untuk mendukung pelaksanaan layanan Microsoft harus dipertanggungjawabkan dan memiliki pemilik yang teridentifikasi. Pemasok bertanggung jawab untuk menjaga inventaris aset informasi ini; menetapkan penggunaan aset yang wajar dan sah; serta memberikan tingkat perlindungan yang sesuai untuk aset tersebut sepanjang siklus hidupnya. Tinjau Inventaris aset perangkat yang digunakan untuk mendukung pelaksanaan layanan Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Prosedur hak akses didokumentasikan dan diterapkan secara konsisten. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Inventaris aset ini mencakup: - Lokasi perangkat - Klasifikasi Data dari data pada aset - Catatan pemulihan aset setelah pemutusan hubungan kerja atau perjanjian bisnis - Catatan pembuangan media penyimpanan data jika sudah tidak diperlukan. 60 Menetapkan dan memelihara prosedur manajemen hak akses untuk mencegah akses yang tidak sah ke Informasi Pribadi atau Rahasia Microsoft di bawah kendali pemasok. Rencananya mencakup: • Prosedur kontrol akses • Prosedur identifikasi • Prosedur penguncian setelah percobaan yang tidak berhasil • Pengaturan ulang kata sandi sesering yang diperlukan tetapi tidak lebih dari setiap 70 hari. • Berikan kesadaran pengguna untuk melindungi kredensial pengesahan mereka. • Parameter tangguh untuk memilih kredensial pengesahan. • Deaktivasi akun pengguna pada saat pemutusan hubungan kerja dalam 48 jam. o Mencakup akses internal/eksternal, media, kertas, platform teknologi, dan media cadangan. Uji bahwa pengguna dalam peran dengan akses ke data Microsoft memiliki justifikasi terdokumentasi untuk berada dalam grup/peran. Menetapkan proses untuk meninjau akses pengguna ke Informasi Pribadi dan Rahasia Microsoft, menerapkan prinsip yang paling tidak istimewa: Prosesnya mencakup: • Menentukan peran pengguna dengan jelas • Prosedur untuk meninjau dan membenarkan persetujuan akses ke peran. • Prosedur untuk menghapus akses pengguna ke peran ketika akses tidak diperlukan lagi. Versi 4 Juli 2017 Halaman | 14 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 61 Menentukan dan menerapkan prosedur manajemen patch yang memprioritaskan patch keamanan untuk sistem yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, meliputi: • Waktu yang ditentukan untuk menerapkan patch namun tidak lebih dari 19 hari untuk semua patch keamanan. • Kemampuan untuk menangani dan menerapkan patch darurat. • Penerapan Sistem Operasi dan perangkat lunak server, seperti server aplikasi dan perangkat lunak basis data. o Hentikan penggunaan Windows XP • Dokumentasi risiko patch mengurangi dan melacak setiap pengecualian. 62 Menginstal perangkat lunak antivirus dan antimalware pada peralatan yang terhubung ke jaringan yang digunakan untuk memproses Informasi Pribadi dan Rahasia Microsoft, termasuk namun tidak terbatas pada server, desktop produksi dan pelatihan untuk melindungi dari virus dan aplikasi perangkat lunak yang berbahaya. Dapat membuktikan dan menyediakan bukti terdokumentasi bahwa patch keamanan diterapkan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Memperbarui definisi anti-malware setiap hari atau sebagaimana diarahkan oleh pemasok anti-virus/antimalware. 63 Pemasok yang mengembangkan perangkat lunak untuk Produk Microsoft atau aplikasi lini bisnis harus memenuhi persyaratan Siklus Hidup Pengembangan Keamanan (Security Development Lifecycle/SDL) Microsoft atau standar industri serupa. Informasi tersedia di http://www.microsoft.com/sdl. 64 Mengawasi sistem informasi yang digunakan di dalam jaringan perusahaan tempat Informasi Pribadi atau Rahasia Microsoft ditangani - untuk gangguan dan aktivitas tidak sah lainnya. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Buktikan keefektifan sistem pengawasan, dokumentasi pendukung tersedia. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Penggunaan jaringan berbasis Sistem Deteksi Gangguan (Intrusion Detection System/IDS): • Jika suatu sistem dilanggar, analisis sistem untuk memastikan setiap kerentanan yang tersisa juga ditangani. • Mendokumentasikan prosedur untuk alat deteksi ancaman sistem pengawasan. • Tanggapan dan proses manajemen insiden yang ditetapkan harus dijalankan ketika suatu peristiwa terdeteksi. Versi 4 Juli 2017 Halaman | 15 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 65 Segera menyampaikan hasil Investigasi tanggapan insiden kepada manajemen senior dan Microsoft. Hubungi [email protected] untuk memberi tahu Microsoft. Sistem dan proses harus diterapkan untuk mengomunikasikan hasil investigasi tanggapan insiden kepada Microsoft <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 66 Administrator sistem, staf operasi, manajemen, dan pihak ketiga harus menjalani pelatihan keamanan tahunan. Buat program pelatihan keamanan yang mencakup: • Pelatihan tahunan untuk tanggapan insiden. • Acara simulasi dan mekanisme otomatis untuk memfasilitasi tanggapan yang efektif terhadap situasi krisis. Kesadaran pencegahan insiden, seperti risiko yang terkait dengan mengunduh perangkat lunak yang berbahaya. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 67 Pemasok harus memastikan bahwa proses perencanaan pencadangan melindungi Informasi Pribadi dan Rahasia Microsoft dari penggunaan, akses, pengungkapan, perubahan, dan penghancuran yang tidak sah. Dokumentasikan prosedur penanggapan dan pemulihan yang merinci bagaimana organisasi akan mengelola peristiwa yang mengganggu dan akan menyimpan keamanan informasinya ke tingkat yang telah ditentukan berdasarkan tujuan keberlanjutan keamanan informasi yang disetujui oleh manajemen. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Tentukan dan terapkan prosedur untuk mencadangkan secara berkala, menyimpan dengan aman, dan memulihkan data kritis yang efektif. Versi 4 Juli 2017 Halaman | 16 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 68 Menetapkan dan menguji keberlanjutan bisnis dan rencana pemulihan bencana. Rencana pemulihan bencana harus mencakup yang berikut • Kriteria tertentu untuk menentukan apakah suatu sistem sangat penting bagi operasi bisnis pemasok • Daftar sistem yang sangat penting berdasarkan kriteria yang ditentukan yang harus ditargetkan untuk pemulihan jika terjadi bencana. • Prosedur pemulihan bencana yang ditetapkan untuk setiap sistem kritis yang menjamin seorang teknisi yang tidak mengetahui sistem dapat memulihkan aplikasinya dalam waktu kurang dari 72 jam. Pengujian dan peninjauan tahunan (atau lebih sering) dari rencana pemulihan bencana untuk memastikan tujuan pemulihan terpenuhi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> 69 Mengesahkan identitas individu sebelum memberikan akses ke informasi Pribadi atau Rahasia Microsoft kepada individu tersebut. Pastikan semua ID pengguna unik dan masing-masing memiliki metode pengesahan standar industri, seperti Azure Active Directory. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Peningkatan akses (administratif atau jenis hak istimewa yang disempurnakan lainnya) harus memerlukan penggunaan faktor kedua, seperti kartu pintar atau telepon berbasis otentikator. Versi 4 Juli 2017 Halaman | 17 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 70 Pemasok harus melindungi Informasi Pribadi dan Rahasia Microsoft saat transit melintasi jaringan dengan enkripsi yang menggunakan Keamanan Lapisan Transportasi (Transport Layer Security/TLS) atau Keamanan Protokol Internet (Internet Protocol Security/IPsec). Proses membuat, menerapkan, dan mengganti TLS atau sertifikat lainnya harus ditentukan dan dilaksanakan. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Enkripsi semua perangkat klien untuk memenuhi Bitlocker atau solusi enkrirpsi disk industri yang setara lainnya untuk semua perangkat klien yang digunakan untuk menangani Informasi Pribadi atau Rahasia Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Metode ini dijelaskan dalam NIST 800-52 dan NIST 800-57; standar industri yang setara juga dapat digunakan. Pemasok harus menolak pengiriman Informasi Pribadi Microsoft apa pun yang dikirimkan melalui cara yang tidak dienkripsi. 71 Semua perangkat klien pemasok (laptop, stasiun kerja, dll.) yang akan mengakses atau menangani Informasi Pribadi atau Rahasia Microsoft harus menggunakan disk berbasis enkripsi. 72 Sistem dan prosedur harus diterapkan untuk mengenkripsi informasi Pribadi Microsoft, yang dicatat di bawah, saat istirahat (ketika disimpan) dengan menggunakan standar industri saat ini seperti yang dijelaskan dalam standar NIST 800-111. Enkripsi jenis Informasi Pribadi Microsoft berikut saat istirahat: • data kredensial (misal., nama pengguna/kata sandi) • data instrumen pembayaran (misal., nomor kartu kredit dan rekening) • data profil medis (misal., nomor rekam medis atau pengenal biometrik). • data pengenal yang diterbitkan pemerintah (misal., nomor jaminan sosial atau SIM) Versi 4 Juli 2017 <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Halaman | 18 # Persyaratan Perlindungan Data Pemasok Microsoft Kriteria Penilaian yang Disarankan Respons Bagian J: Keamanan (lanjutan) 73 Saat memproses kartu kredit atas nama Microsoft, patuhi standar penanganan kartu kredit yang berlaku sesuai penerbit kartu. Buktikan kepatuhan dengan memberikan sertifikasi Standar Layanan Data Industri Kartu Pembayaran (Payment Card Industry Data Services Standard/PCI-DSS) setiap tahunnya. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Serahkan sertifikasi PCI DSS kepada SSPA. Hubungi [email protected] 74 Pemasok harus menyimpan aset fisik Informasi Pribadi dan Sensitif Microsoft di lingkungan yang dikendalikan akses. 75 Melakukan uji penetrasi keamanan independen setiap tahun ntuk solusi Perangkat Lunak Berbentuk Layanan (Software as a Service/SaaS) yang Memproses Informasi Pribadi atau Rahasia Microsoft, yang memberikan hasilnya kepada Microsoft berdasarkan permintaan atau memungkinkan Microsoft melakukan uji penetrasi secara berkala. Sistem dan proses harus diterapkan untuk mengelola akses fisik ke salinan digital, bentuk cetak, arsip, dan cadangan data Microsoft. Tahapan penanganan harus dilacak untuk pergerakan dan penghancuran media fisik yang berisi data Microsoft. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Hubungi [email protected] untuk menyerahkan sertifikat uji pena atau meminta uji Microsoft. 76 Membuat anonim semua Informasi Personal Microsoft yang digunakan dalam lingkungan pengembangan atau pengujian. Versi 4 Juli 2017 Informasi Pribadi Microsoft tidak boleh digunakan di lingkungan pengembangan atau pengujian; jika tidak ada alternatif, informasi harus dibuat anonim secukupnya untuk mencegah identifikasi Subjek Data atau penyalahgunaan Informasi Pribadi. <Sesuai> <Tidak Sesuai> <Tidak Berlaku> <Konflik Hukum> <Konflik Kontrak> Halaman | 19