Das Supplier Security and Privacy Assurance (SSPA)-Programm für Lieferanten von Microsoft

Lieferanten von Microsoft, die mit personenbezogenen und/oder vertraulichen Daten von Microsoft arbeiten, werden durch das SSPA-Program die Datenverarbeitungsanweisungen von Microsoft über die Microsoft Supplier Data Protection Requirements (DPR) bereitgestellt. Die DPR beschreiben die Datenschutz- und Sicherheitsanforderungen des SSPA-Programms, die jeder Lieferant erfüllen muss, um den Anforderungen gerecht zu werden. 

Lieferanten, die Daten mit höherem Risiko verarbeiten, unterliegen dabei einem jährlichen Compliance Zyklus, d.h. die Einhaltung der DPR muss durch einen unabhängigen Prüfer beurteilt werden. Diese Beurteilung erfolgt dabei anhand der von Microsoft vorgegebenen Microsoft Supplier Data Protection Requirements. Im Rahmen der Beurteilung werden die 52 Anforderungen aus zehn Kategorien (z.B. Management, Unterauftragnehmer, Monitoring und Sicherheit) der DPR geprüft und bewertet. Die Beurteilung der Kategorie „Sicherheit“ kann dabei durch eine aktuelle Zertifizierung nach ISO/IEC 27001 ersetzt werden. Die Ergebnisse fließen inkl. eventueller Abweichungen in einen Bericht ein und führen im besten Fall zum Bestätigungsvermerk. Dieser ist Microsoft innerhalb eines vorgegebenen Zeitraums zur Verfügung zu stellen. Ansonsten wird der Lieferantenstaus zeitnah entzogen.

Als unabhängige Prüfer für diese Bestätigung werden von Microsoft nur entsprechend zertifizierte Prüfer akzeptiert. Durch die Personenzertifizierung als Certified Information Systems Auditors (CISA) der ISACA (Information Systems Audit and Control Association) von Mitarbeitern der dhpg IT-Services GmbH können wir die strengen Vorgaben an Prüfer für das SSPA erfüllen.