Das Supplier Security and Privacy Assurance (SSPA)-Programm für Lieferanten von Microsoft
Was ist das SSPA-Programm?
Das Supplier Security and Privacy Assurance (SSPA)-Programm von Microsoft stellt sicher, dass Lieferanten, die mit sensiblen und personenbezogenen Daten von Microsoft arbeiten, hohe Datenschutz- und Sicherheitsstandards einhalten. Das SSPA-Programm umfasst verschiedene Maßnahmen, deren Ziel es ist, sicherzustellen, dass alle Lieferanten weltweit die Datenschutz- und Sicherheitsstandards von Microsoft erfüllen. Zu diesen Maßnahmen zählen jährliche Selbstbewertungen und unabhängige Überprüfungen der Konformität durch zertifizierte Prüfer. In den Microsoft Supplier Data Protection Requirements (DPR) sind sämtliche Datenschutz- und Sicherheitsanforderungen enthalten, die von den Lieferanten, einzuhalten sind.
Für wen ist das SSPA-Programm wichtig?
Das SSPA-Programm ist besonders wichtig für Lieferanten von Microsoft, da sie die Datenschutz- und Sicherheitsstandards einhalten müssen, um mit Microsoft zusammenarbeiten zu können. Auch für Microsoft selbst ist das Programm von großer Bedeutung, da es sicherstellt, dass die Daten des Unternehmens und die seiner Kunden geschützt sind. Kunden von Microsoft profitieren ebenfalls, da sie darauf vertrauen können, dass ihre Daten sicher und gemäß den höchsten Standards behandelt werden.
Lieferanten, die Daten mit höherem Risiko verarbeiten, unterliegen einem jährlichen Compliance Zyklus, d.h. die Einhaltung der DPR muss durch einen unabhängigen Prüfer beurteilt werden. Diese Beurteilung erfolgt anhand der von Microsoft vorgegebenen Microsoft Supplier DPR. Im Rahmen der Beurteilung werden die 52 Anforderungen aus zehn Kategorien (z.B. Management, Unterauftragnehmer, Monitoring und Sicherheit) der DPR geprüft und bewertet. Die Beurteilung der Kategorie „Sicherheit“ kann dabei durch eine aktuelle Zertifizierung nach ISO/IEC 27001 ersetzt werden. Die Ergebnisse fließen inkl. eventueller Abweichungen in einen Bericht ein und führen im besten Fall zum Bestätigungsvermerk. Dieser ist Microsoft innerhalb eines vorgegebenen Zeitraums zur Verfügung zu stellen. Ansonsten wird der Lieferantenstaus zeitnah entzogen.
Erwartungen an Lieferanten bezüglich DPR-Anforderungen
Lieferanten sollten auf alle anwendbaren Anforderungen der DPR reagieren, die im Datenverarbeitungsprofil festgelegt sind. Es ist möglich, dass einige dieser Anforderungen nicht auf die vom Lieferanten an Microsoft bereitgestellten Waren oder Dienstleistungen zutreffen. In solchen Fällen können diese Anforderungen als “trifft nicht zu” markiert werden, wobei ein detaillierter Kommentar erforderlich ist, den die SSPA-Prüfer validieren können. Wenn ein Lieferant als Unterauftragsverarbeiter bei der Datenverarbeitung fungiert, muss er jährlich eine unabhängige Bewertung durchführen lassen.
Wie die dhpg Sie unterstützen kann
Als unabhängige Prüfer für diese Bestätigung werden von Microsoft nur entsprechend zertifizierte Prüfer akzeptiert. Durch die Personenzertifizierung als Certified Information Systems Auditors (CISA) der Information Systems Audit and Control Association (ISACA) von Mitarbeitern der dhpg IT-Services GmbH können wir die strengen Vorgaben an Prüfer für das SSPA erfüllen.
Case Study: dhpg IT-Services GmbH bestätigt Fijak GmbH Konformität gemäß Supplier Security & Privacy Assurance Program (SSPA) von Microsoft
Die dhpg IT-Services GmbH hat als Unabhängiger die SSPA-Konformität der Fijak GmbH, eine Full-Service-Agentur für Retail Marketing, Produktion und Logistik aus Raunheim, bestätigt. Dazu wurde entsprechend den Microsoft-Datenschutzanforderungen (DPR) für Lieferanten die Einhaltung überprüft. Dieses beinhaltet neben der Überprüfung der Dokumentation einschließlich der Richtlinien und Prozessabläufe auch die evtl. Feststellung von Abweichungen und Empfehlungen von Verbesserungen. Am Ende des Verfahrens stand die Erteilung der Konformitätsbestätigung.
Die erfolgreiche Konformitätsbestätigung der Fijak GmbH durch die dhpg IT-Services GmbH zeigt, dass die Fijak GmbH ihre Verpflichtungen als Lieferant in Bezug auf SSPA ernst nimmt und ein Datenschutzsystem implementiert hat, das den geforderten Anforderungen entspricht. Mit der Konformitätsbestätigung kann die Fijak GmbH Microsoft nachweisen, dass die Geschäfte im Einklang mit der DPR geführt werden und sie den Anforderungen an die Compliance gerecht wird.
Gerne stehen wir auch Ihnen für alle Fragen rund um SSPA zur Verfügung und begleiten Sie auf dem Weg zu Ihrer Konformitätsbestätigung. Sprechen Sie uns an.