Академический Документы
Профессиональный Документы
Культура Документы
Definiciones
Procesar informacin personal o confidencial de parte de Microsoft conlleva hacerlo como parte de la provisin de
servicios de acuerdo con los trminos de su pedido de compra o su contrato con Microsoft.
Un Partner empresarial de Microsoft es aquella persona (individuo o parte de una compaa) con la que Microsoft
realiza negocios y cuyos datos personales estn en posesin de su compaa para que los utilice en la provisin de
los servicios exigidos en su pedido de compra o contrato con Microsoft.
Un Cliente de Microsoft es aquella persona (individuo o parte de una compaa) que recibe productos y servicios de
Microsoft y cuyos datos personales estn en posesin de su compaa para que los utilice en la provisin de los
servicios o productos exigidos en su pedido de compra o contrato con Microsoft.
Un Empleado de Microsoft es aquella persona empleada por Microsoft y cuyos datos personales estn en posesin
de su compaa para que los utilice en la provisin de los servicios exigidos por su pedido de compra o contrato con
Microsoft. Solicitar los datos de contacto o la informacin de la tarjeta de crdito de los aquellos empleados de
Microsoft con los que su compaa se relacione directamente como parte del comienzo/realizacin/finalizacin de la
entrega de bienes y servicios se encontrara generalmente fuera del mbito del programa SSPA.
Informacin Personal hace referencia a la informacin proporcionada por Microsoft o recopilada por el Proveedor
de acuerdo con este Acuerdo que est cubierta por leyes de privacidad o proteccin de datos en la jurisdiccin
aplicable, incluida:
(i) Informacin que est relacionada con la persona a la que dicha informacin pertenece, la identifica y la sita;
o bien,
(ii) De la que se puede derivar la identificacin o la informacin de contacto de una persona.
La informacin confidencial de Microsoft es cualquier informacin que, si est sujeta a compromisos de
confidencialidad o integridad, puede causar daos en el prestigio o prdidas financieras significativos para Microsoft.
Esta incluye, entre otros, informacin relacionada con: productos de hardware y software de Microsoft, aplicaciones
de lnea de negocio internas, claves de licencias de productos y documentos tcnicos relacionados con productos y
servicios de Microsoft.
Por Representante autorizado se entiende aquella persona que cuenta con el nivel de autoridad adecuado para
firmar en nombre de la compaa. Esta persona dispondr del conocimiento necesario sobre seguridad y privacidad o
habr consultado a un experto en la materia antes de enviar su respuesta a una accin de programa de SSPA. Por
ltimo, al aadir su nombre al formulario de SSPA certifica que ha ledo y que comprende los requisitos de proteccin
de datos de Microsoft.
2|Pgina
Supplier Security and Privacy Assurance (SSPA)
Requisitos de Certificacin
Los proveedores que manejen datos clasificados como de Impacto empresarial moderado deben certificar el
cumplimiento de los DPR y enviar un documento de autocertificacin de cumplimiento antes de 90 das desde la
entrega del Cuestionario.
Requisito de Declaracin
Los proveedores que manejen datos clasificados de Gran impacto empresarial" debern enviar una carta de
declaracin incondicional de un tercero acreditado antes de 90 das desde la entrega del Cuestionario. Se puede
encontrar una lista de terceros acreditados consultando el listado por pas adecuado que proporciona la Federacin
Internacional de Contables (http://www.ifac.org).
Consulte el sitio web del PCI Security Standards Council para conocer cmo cumplir los estndares del sector de las
tarjetas de pago. Microsoft est obligado a respetar estos estndares y, si administra informacin de tarjetas de
crdito en nuestro nombre, debemos recopilar pruebas de que su empresa tambin cumple estos estndares.
En funcin del volumen de transacciones procesadas, se le exigir que un evaluador independiente certifique que
cumple el estndar o podr llevar a cabo una autoevaluacin. Los formularios se encuentran aqu.
Consulte el glosario al final de este documento para obtener ms informacin sobre los distintos tipos de formularios
SAQ.
3|Pgina
Supplier Security and Privacy Assurance (SSPA)
Prueba de Cumplimiento
Todos los proveedores que manejen datos clasificados de Impacto empresarial moderado debern
entregar una autocertificacin de cumplimiento de los DPR.
Todos los proveedores que manejen datos clasificados de Gran impacto empresarial debern entregar
una carta de declaracin incondicional.
Todos los proveedores que procesen informacin de tarjetas de crdito considerada de Gran impacto
empresarial debern entregar un certificado de cumplimiento de la norma PCI DSS al organismo
regulador Payment Card Industry Standards. (Consulte el sitio web de PCI Security standards council).
4|Pgina
Supplier Security and Privacy Assurance (SSPA)
Clasificacin de Datos
Las respuestas del cuestionario se usan para clasificar la informacin personal y confidencial de Microsoft en posesin
de los proveedores. A continuacin se detallan los tipos de datos y su clasificacin correspondiente que encontrar
en el formulario de inventario.
Tenga en cuenta que el propietario de su interaccin con Microsoft podra estipular una clasificacin de datos
concreta para una interaccin que no se corresponda con los tipos de datos aqu expuestos. Los propietarios de
interacciones con Microsoft estn obligados a respetar el estndar de clasificacin de datos corporativos de
Microsoft.
HBI Documentos de identificacin emitidos por el gobierno, entre otros: pasaporte o nmero de Informacin
carnet de identidad. Personal
HBI Datos financieros personales, entre otros: nmeros de cuenta bancaria o perfiles financieros Informacin
(los proveedores que solo manejan datos de tarjetas de crdito deben contestar a las Personal
preguntas del sector de las tarjetas de pago que aparecen a continuacin).
HBI Informacin sobre la salud de particulares. Informacin
Personal
HBI Datos personales confidenciales, entre otros: raza, origen tnico, opinin poltica, credo o Informacin
afiliacin sindical de un individuo. Personal
MBI Datos personales de contacto, entre otros: nombre, direccin fsica o de correo electrnico, Informacin
nmero de telfono o direccin de IP. Personal
HBI Su empresa desarrolla, prueba o fabrica productos de Microsoft o componentes de estos Informacin
ltimos? Todo software o hardware de Microsoft que se comercialice a travs de cualquier Confidencial
canal se considera Producto de Microsoft.
HBI Su empresa administra informacin de marketing preliminar de un dispositivo de Informacin
Microsoft? Confidencial
HBI Su empresa administra datos financieros corporativos de Microsoft sin publicar sujetos a Informacin
las reglas de la SEC (Securities and Exchange Commission) estadounidense? Confidencial
MBI Administra su compaa claves de licencias de productos de Microsoft en nombre de Informacin
Microsoft para su distribucin a travs de cualquier mtodo? Confidencial
MBI Desarrolla o prueba su compaa aplicaciones de lnea de negocio (LOB) internas de Informacin
Microsoft? Confidencial
MBI Su empresa procesa material de marketing preliminar de Microsoft para software y Informacin
servicios de Microsoft como Office, SQL, Azure, etc.? Confidencial
MBI Su empresa redacta, disea, edita o imprime documentacin para servicios o dispositivos Informacin
de Microsoft (guas de procesos o procedimientos, datos de configuracin, etc.)? Confidencial
HBI Su compaa recopila, procesa y almacena informacin sobre tarjetas de pago (tarjetas de Tarjeta de
crdito o de dbito) en nombre de Microsoft? Pago
HBI Microsoft enva nmeros de tarjetas de pago (tarjetas de crdito o dbito) completos, Tarjeta de
fechas de caducidad y/o cdigos de autorizacin a su compaa? Pago
HBI Su compaa enva datos sobre transacciones que incluyan nmeros de tarjetas de pago Tarjeta de
(tarjetas de crdito o dbito) completos, fechas de caducidad y/o cdigos de autorizacin a Pago
Microsoft?
5|Pgina
Supplier Security and Privacy Assurance (SSPA)
Los proveedores pueden solicitar una actualizacin de la clase de datos a travs de la direccin de correo
electrnico SSPAHelp@microsoft.com o pueden esperar a rellenar el cuestionario del ao siguiente.
Requisitos adicionales
El programa SSPA establece unos requisitos de seguridad y privacidad de referencia para nuestra base de
proveedores en todo el mundo. Asimismo, impulsa el cumplimiento de dichos requisitos.
Existen situaciones en las que es posible que, debido al carcter de los servicios prestados, un grupo de empresas de
Microsoft deba tomar medidas adicionales de mitigacin de riesgos. Con el tiempo, el SSPA se ampliar para
incorporar estos requisitos adicionales, lo que aportar a nuestra base de proveedores un punto nico de referencia
para todas las actividades de evaluacin de la privacidad y la seguridad.
Si su empresa resulta elegida para la inscripcin en un programa SSPA adicional, adems del proceso estndar
anteriormente descrito, deber cumplir cualquier otro requisito adicional, aparte de los requisitos del SSPA. En el
pasado, esto se habra realizado por separado. Sin embargo, de ahora en adelante, el SSPA consolidar y armonizar
los requisitos de los proveedores.
Proceso de Excepcin
Para solicitar una excepcin al cumplimiento de un requisito en el DPR, los proveedores debern escribir a
SSPAHelp@microsoft.com. El perodo mximo de excepcin es de un ao.
Glosario
En este glosario se mencionan trminos y conceptos utilizados en la Gua del programa SSPA, los Requisitos de
proteccin de datos para proveedores de Microsoft y otros materiales del Programa SSPA.
6|Pgina
Supplier Security and Privacy Assurance (SSPA)
A Acceso
En referencia a la privacidad, la capacidad de un individuo de ver, modificar y refutar la exactitud e integridad de
datos personales identificables (PII) recopilados sobre dicho individuo. El acceso en un componente del
documento Prcticas justas sobre datos. En referencia a las operaciones del proveedor, el acceso se define como
acceso lgico (por ejemplo, la conexin de un aparato o sistema a otro) y acceso fsico a fuentes de datos
electrnicas y sobre papel.
Accesible
Capaz de ser (fcilmente) comprensible.
Anonimidad
Condicin por la cual se desconoce la identidad verdadera de un individuo o no se puede determinar.
Autentificacin
Proceso mediante el cual se verifica que alguien o algo es lo que dice ser. En redes de ordenadores privados y
pblicos (entre ellos, Internet), la autentificacin se realiza normalmente por medio de contraseas de acceso.
Autorizacin
Proceso mediante el cual se le da permiso a alguien para hacer algo. Proporciona controles establecidos que
suministran a los usuarios acceso a los datos e impide que otros accedan a los mismos datos, a menudo basados
en un proceso de autentificacin. En referencia a la informtica, en especial, sobre ordenadores en lugares
remotos dentro de una red, es el derecho otorgado a un individuo o proceso de usar un sistema o los datos
almacenados en el mismo. La autorizacin la lleva a cabo normalmente un administrador de sistemas y la verifica
el ordenador segn cierta forma de identificacin de usuarios, como un cdigo numrico o contrasea.
B Bien digital
Objeto electrnico que tiene valor de cara a un propsito. Se puede haber creado de forma digital o puede
haberse digitalizado tomando una fuente inicial no digital.
7|Pgina
Supplier Security and Privacy Assurance (SSPA)
C Cumplimiento
Principio de la privacidad que proporciona mecanismos para asegurar el cumplimiento de las Prcticas justas
sobre datos, que existe un recurso de los individuos afectados por el no cumplimiento y que la organizacin que
no cumple sufre las consecuencias. Entre dichos mtodos de cumplimiento se pueden incluir revisiones por parte
de terceros independientes, como TRUSTe.
E Eleccin
La capacidad de un individuo de determinar si se pueden utilizar los datos personales identificables (PII)
recopilados sobre dicho individuo y cmo se pueden utilizar, especialmente con propsitos que van ms all de
aqullos para los que se proporcionaron los datos. La eleccin es un componente de la relacin personal.
H Hacer annimo
Hacer que el grado de anonimato de los datos personales sea suficiente de tal manera que la identidad verdadera
de un individuo no se pueda identificar.
I Integridad
Principio de practices justas sobre datos por el cual se deben tomar pasos suficientes para asegurar que los PII
son relevantes y fiables (por ejemplo, exactitud, integridad y actualidad) para el uso deseado.
Informacin sobre la salud
Datos relacionados con la salud fsica o mental del individuo, entre ellos, preguntas para solicitar servicios e
informacin sanitaria y compras de productos sanitarios. Esta informacin debera denominarse de Gran impacto
empresarial.
8|Pgina
Supplier Security and Privacy Assurance (SSPA)
N Notificacin
Principio de privacidad que requiere que se revelen de forma suficiente las prcticas de recopilacin y uso de los
datos personales identificables de un consumidor. Cuando se le pidan PII a un individuo, dicho individuo debe
recibir notificacin sobre qu informacin se recopila y cmo se utilizar. La informacin sobre revelacin se da a
conocer por lo general en una notificacin de privacidad o poltica de privacidad. La notificacin aparece en las
Prcticas justas sobre datos.
No participacin
Mtodo utilizado para conseguir el consentimiento explcito de un individuo para utilizar los PII ms all del
propsito inicial con el que se consiguieron. La no participacin insina un el consentimiento basado en la
carencia de una accin especfica por parte de un usuario (por ejemplo, no marcar una casilla) para no dar su
consentimiento. Se utiliza generalmente en programas y ofertas de marketing, a travs de los cuales no se realiza
una accin (por ejemplo, utilizar los datos personales ms all de su propsito inicial) a menos que un individuo
se niegue de forma explcita.
P Participacin
Mtodo utilizado para conseguir el consentimiento explcito de un individuo para utilizar los PII ms all del
propsito inicial con el que se consiguieron. La participacin requiere que el usuario realice acciones explcitas
(por ejemplo, marcar una casilla) para otorgar su consentimiento. Se utiliza generalmente en programas y ofertas
de marketing, a travs de los cuales no se realiza una accin (por ejemplo, utilizar los datos personales ms all de
su propsito inicial) a menos que un individuo otorgue su consentimiento explcito.
Prcticas justas sobre datos
La base de las mejores prcticas sobre privacidad, tanto conectado como desconectado. El origen de las prctices
en la Ley de privacidad de 1974, conjunto de leyes que protege los datos personales recopilados y mantenidos
por el gobierno estadounidense. En 1980, la Organizacin para la Cooperacin y el Desarrollo Econmico adopt
estos principios e introdujo sus Guas para la proteccin de datos personales y de flujos de datos interfronterizos.
Se incluyeron despus en la Directiva de proteccin de datos de la Unin Europea en 1995, con modificaciones.
Entre las Prcticas justas sobre datos se incluye, la notificacin, el PUID, la eleccin, el acceso, la transferencia
posterior, la integridad de datos y la reparacin.
9|Pgina
Supplier Security and Privacy Assurance (SSPA)
P Poltica
Declaracin por escrito que da a conocer la intencin de la direccin, sus objetivos, responsabilidades y/o
estndares.
Privacidad
El control que tienen los clientes sobre la recopilacin, el uso y la distribucin de sus datos personales.
Poltica de privacidad
Los requisitos de una organizacin de cumplir con las normativas y directivas en materia de privacidad.
Privilegios
El permiso otorgado por un usuario de realizar una tarea especfica, en general, una que afecta al sistema de todo
el ordenador y no a un objeto en particular. Los administradores se encargan de asignar privilegios a usuarios
individuales o grupos de usuarios como parte de la configuracin de un ordenador.
Preferencia en la forma de contacto
Datos recopilados sobre la forma preferida por el individuo para comunicarse con el mismo, por ejemplo, por
correo electrnico, telfono o por carta.
Proveedor
Individuo o entidad que proporciona productos o realiza un servicio a Microsoft o en nombre de Microsoft.
Microsoft no considera un proveedor un tercero independiente.
Perfil del usuario
Configuraciones que definen preferencias personalizas de un usuario especfico, como las configuraciones del PC,
conexiones de redes constantes, datos personales identificables (PII), uso de sitios web y otros datos
demogrficos y de comportamiento.
R Relevancia
La recopilacin de PII debera limitarse a aquello que sea relevante a la hora de proveer el servicio solicitado.
Revelacin
Elemento del principio de notificacin, por el cual una compaa debe poner a disposicin sus prcticas de
manejo de datos, entre ellas, notificaciones sobre cmo se recopilan, emplean y se comparten datos personales
identificables (PII).
Recopilar
Reunir datos personales; recopilar puede ser de forma directa, a travs de medios como formularios en lnea,
tarjetas de inscripcin enviadas por correo o de forma indirecta, a travs de terceros.
S Seguridad
La seguridad es un principio de las Prcticas justas sobre datos que seala que las organizaciones deben tomar las
suficientes medidas para proteger la confidencialidad, integridad y disponibilidad de los PII.
Sistema
Un sistema consiste en componentes mltiples organizados con un propsito especfico. Dichos componentes
pueden incluir infraestructuras (locales, equipo y redes), software (sistemas, aplicaciones y otros programas),
personas (informticos, operadores, usuarios y directores), procedimientos (automatizados y manuales) y datos
(flujos de transacciones, archivos, bases de datos y tablas).
Software antivirus
Software diseado especialmente para detector y prevenir virus conocidos.
10 | P g i n a
Supplier Security and Privacy Assurance (SSPA)
T Transferencia posterior
Transferencia de Datos personales identificables (PII) por parte de un receptor de los datos originales a otro
receptor (es decir, el receptor de la transferencia posterior). Por ejemplo, la transferencia de PII de una entidad en
Alemania a otra entidad dentro de los EE.UU. constituye una transferencia posterior de dichos datos. La
notificacin posterior aparece en las Prcticas justas sobre datos.
Transferencia
Entrega de datos del cliente a un Tercero que puede almacenarlos internamente o utilizarlos para ponerse en
contacto con clientes e informarles sobre sus propios productos y servicios.
Transferencia de datos
Principio clave de la privacidad, el movimiento de datos personales identificables (PII) entre entidades, por
ejemplo, listas de clientes que se comparten entre dos compaas diferentes.
U Utilizacin
Uso de los Datos personales de Microsoft para satisfacer los servicios solicitados.
Uso principal
Propsito por el cual se otorg inicialmente la informacin , por ejemplo, recopilar informacin de envo para
enviar el producto o procesar la inscripcin en un acontecimiento.
Uso secundario
Uso de datos personales con propsitos diferentes a aquellos para los que se recopilaron los datos. Las Prcticas
justas sobre datos sealan que una persona puede proporcionar datos personales con un propsito especfico sin
miedo a que despus se utilice con un propsito no relacionado sin el conocimiento o consentimiento de dicha
persona.
11 | P g i n a