Syarat Perlindungan Data Pembekal...

20
Versi 4 Julai 2017 Halaman | 1 Syarat Perlindungan Data Pembekal Microsoft Keterterapan Syarat Perlindungan Data Pembekal Microsoft (DPR) terpakai kepada semua pembekal Microsoft yang Memproses Maklumat Peribadi Microsoft atau Maklumat Sulit Microsoft sebagai sebahagian daripada pelaksanaan perkhidmatan yang diberikan mengikut syarat pesanan pembelian atau kontrak mereka dengan Microsoft. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan syarat yang dinyatakan dalam perjanjian berkontrak antara pembekal dan Microsoft, syarat-syarat kontrak tersebut akan diberikan keutamaan. Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan mana-mana syarat undang- undang atau berkanun, syarat-syarat perundangan dan berkanun sedemikian akan diberikan keutamaan. Tanpa mengehadkan kewajipannya yang lain, dan Microsoft telah memberikan kelulusan bertulis terlebih dahulu bagi pemindahan antarabangsa Maklumat Peribadi Microsoft, pembekal haruslah mematuhi syarat perlindungan data bagi mana-mana terma kontrak standard, peraturan korporat yang mengikat, atau skim lain yang diluluskan oleh mana-mana pihak berkuasa perlindungan data, Lembaga Perlindungan Data Eropah, atau Suruhanjaya Eropah dan telah diterima pakai atau dipersetujui oleh Microsoft, termasuk, tetapi tidak terhad kepada, EU-U.S. Dan Switzerland-U.S. Rangka kerja Perisai Privasi dan Peraturan Perlindungan Data Umum EU. Pembekal bersetuju untuk memaklumkan Microsoft sekiranya Pembekal menentukan bahawa ia tidak lagi dapat memenuhi kewajipannya untuk memberikan tahap perlindungan yang sama seperti yang dikehendaki oleh prinsip Perisai Privasi. Pembekal hendaklah juga memastikan bahawa mana-mana dan semua subpemproses (seperti yang ditakrifkan dalam Klausa 1(d) daripada Klausa Kontrak Standard 2010 yang diterbitkan sebagai Lampiran kepada Keputusan Suruhanjaya Eropah C(2010)593) juga dipatuhi. Maklumat Sulit Microsoft” ialah apa-apa maklumat yang, jika dikompromikan melalui cara kerahsiaan atau integriti, boleh mengakibatkan kehilangan reputasi atau kewangan yang besar kepada Microsoft. Maklumat ini merangkumi, tetapi tidak terhad kepada: Produk perkakasan dan perisian Microsoft, aplikasi jenis perniagaan dalaman, bahan pemasaran prakeluaran, kunci lesen produk dan dokumentasi teknikal yang berkaitan dengan produk dan perkhidmatan Microsoft. Maklumat Peribadi Microsoft” bermaksud apa-apa Maklumat Peribadi yang Diproses oleh atau bagi pihak Microsoft Maklumat Peribadi” bermaksud apa-apa maklumat yang berhubungan dengan orang sebenar yang telah dikenal pasti atau boleh dikenal pasti (" Subjek Data "); orang sebenar yang boleh dikenal pasti ialah seseorang yang boleh dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau merujuk kepada satu atau lebih faktor yang khusus kepada fizikal, fisiologi, genetik, mental, ekonomi, kebudayaan atau identiti sosial orang sebenar itu. Pelanggaran Maklumat Peribadi” bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan secara tidak sengaja atau menyalahi undang-undang, kehilangan, pengubahan, pendedahan atau capaian tanpa kebenaran kepada Maklumat Peribadi yang dihantar, disimpan atau Diproses. Proses” bermaksud apa-apa operasi atau set operasi yang dilakukan pada Maklumat Peribadi atau pada set Maklumat Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, rakaman, penyusunan, penstrukturan, penyimpanan, penyesuaian atau pengubahan, pengambilan semula, perundingan, penggunaan, pendedahan dengan penghantaran, penyebaran atau menyediakan, penjajaran atau gabungan, sekatan, penghapusan atau pemusnahan.

Transcript of Syarat Perlindungan Data Pembekal...

Versi 4 Julai 2017 Halaman | 1

Syarat Perlindungan Data Pembekal Microsoft

Keterterapan Syarat Perlindungan Data Pembekal Microsoft (DPR) terpakai kepada semua pembekal Microsoft yang Memproses

Maklumat Peribadi Microsoft atau Maklumat Sulit Microsoft sebagai sebahagian daripada pelaksanaan perkhidmatan

yang diberikan mengikut syarat pesanan pembelian atau kontrak mereka dengan Microsoft.

• Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan syarat yang dinyatakan dalam perjanjian berkontrak antara pembekal dan Microsoft, syarat-syarat kontrak tersebut akan diberikan keutamaan.

• Sekiranya berlaku percanggahan antara syarat yang terkandung dalam ini dan mana-mana syarat undang-undang atau berkanun, syarat-syarat perundangan dan berkanun sedemikian akan diberikan keutamaan.

Tanpa mengehadkan kewajipannya yang lain, dan Microsoft telah memberikan kelulusan bertulis terlebih dahulu bagi

pemindahan antarabangsa Maklumat Peribadi Microsoft, pembekal haruslah mematuhi syarat perlindungan data bagi

mana-mana terma kontrak standard, peraturan korporat yang mengikat, atau skim lain yang diluluskan oleh mana-mana

pihak berkuasa perlindungan data, Lembaga Perlindungan Data Eropah, atau Suruhanjaya Eropah dan telah diterima

pakai atau dipersetujui oleh Microsoft, termasuk, tetapi tidak terhad kepada, EU-U.S. Dan Switzerland-U.S. Rangka kerja

Perisai Privasi dan Peraturan Perlindungan Data Umum EU. Pembekal bersetuju untuk memaklumkan Microsoft

sekiranya Pembekal menentukan bahawa ia tidak lagi dapat memenuhi kewajipannya untuk memberikan tahap

perlindungan yang sama seperti yang dikehendaki oleh prinsip Perisai Privasi. Pembekal hendaklah juga memastikan

bahawa mana-mana dan semua subpemproses (seperti yang ditakrifkan dalam Klausa 1(d) daripada Klausa Kontrak

Standard 2010 yang diterbitkan sebagai Lampiran kepada Keputusan Suruhanjaya Eropah C(2010)593) juga dipatuhi.

“Maklumat Sulit Microsoft” ialah apa-apa maklumat yang, jika dikompromikan melalui cara kerahsiaan atau integriti,

boleh mengakibatkan kehilangan reputasi atau kewangan yang besar kepada Microsoft. Maklumat ini merangkumi,

tetapi tidak terhad kepada: Produk perkakasan dan perisian Microsoft, aplikasi jenis perniagaan dalaman, bahan

pemasaran prakeluaran, kunci lesen produk dan dokumentasi teknikal yang berkaitan dengan produk dan perkhidmatan

Microsoft.

“Maklumat Peribadi Microsoft” bermaksud apa-apa Maklumat Peribadi yang Diproses oleh atau bagi pihak Microsoft

“Maklumat Peribadi” bermaksud apa-apa maklumat yang berhubungan dengan orang sebenar yang telah dikenal pasti

atau boleh dikenal pasti (" Subjek Data "); orang sebenar yang boleh dikenal pasti ialah seseorang yang boleh dikenal

pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor

pengenalan, data lokasi, pengecam dalam talian atau merujuk kepada satu atau lebih faktor yang khusus kepada fizikal,

fisiologi, genetik, mental, ekonomi, kebudayaan atau identiti sosial orang sebenar itu.

“Pelanggaran Maklumat Peribadi” bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan secara

tidak sengaja atau menyalahi undang-undang, kehilangan, pengubahan, pendedahan atau capaian tanpa kebenaran

kepada Maklumat Peribadi yang dihantar, disimpan atau Diproses.

“Proses” bermaksud apa-apa operasi atau set operasi yang dilakukan pada Maklumat Peribadi atau pada set Maklumat

Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, rakaman, penyusunan, penstrukturan,

penyimpanan, penyesuaian atau pengubahan, pengambilan semula, perundingan, penggunaan, pendedahan dengan

penghantaran, penyebaran atau menyediakan, penjajaran atau gabungan, sekatan, penghapusan atau pemusnahan.

Versi 4 Julai 2017 Halaman | 2

Struktur DPR DPR dibuat berdasarkan rangka kerja yang direka oleh Institut Akauntan Awam Bertauliah Amerika (AICPA) untuk

mengukur amalan privasi. Prinsip Privasi Diterima Umum (GAPP) dibahagikan kepada 10 bahagian yang merangkumi

kriteria boleh diukur yang berkaitan dengan perlindungan dan pengurusan Maklumat Peribadi. Rangka kerja ini telah

dipertingkatkan dengan syarat-syarat keselamatan & privasi Microsoft tambahan.

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian A: Pengurusan

Sebelum pembekal boleh Memproses Maklumat Peribadi atau Sulit Microsoft, pembekal mestilah:

1 Telah menandatangani kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi bahasa privasi dan perlindungan data keselamatan yang menetapkan perkara-perkara dan tempoh Pemprosesan, jenis dan tujuan Pemprosesan, jenis Maklumat Peribadi Microsoft dan kategori Subjek Data serta kewajipan dan hak Microsoft.

Pembekal mesti mengemukakan kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah yang mengandungi penerangan yang diperlukan mengenai aktiviti Pemprosesan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

2 Menugaskan tanggungjawab dan kebertanggungjawaban terhadap pematuhan Syarat Perlindungan Data Pembekal Microsoft kepada seseorang atau kumpulan yang khusus di dalam syarikat.

Pembekal mesti mengenal pasti individu atau kumpulan yang ditugaskan untuk memastikan pematuhan pembekal terhadap Syarat Perlindungan Data. Kuasa dan kebertanggungjawaban orang atau kumpulan ini harus didokumenkan dengan jelas.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

3 Memastikan semua orang yang diberi kuasa untuk Memproses Maklumat Peribadi Microsoft telah mengikat diri mereka kepada kerahsiaan atau berada di bawah kewajipan berkanun yang sesuai terhadap kerahsiaan.

Kontrak Microsoft, pernyataan kerja atau pesanan pembelian yang sah dengan kewajipan kerahsiaan. Bukti berbentuk standard perjanjian tidak boleh dedah pembekal, pekerjaan, perundingan dan subkontrak.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

4 Mewujudkan, menyelenggara dan melaksanakan latihan privasi tahunan bagi pekerja yang akan mencapai Maklumat Peribadi Microsoft. Sekiranya syarikat anda tidak mempunyai kandungan yang tersedia, hubungi [email protected] untuk meminta rangka papan cerita yang anda boleh sesuaikan untuk syarikat anda.

Pembekal akan mendidik pekerja pada awalnya dan secara berkala tentang prinsip privasi dan keselamatan asas.

Bukti latihan tersebut telah dijalankan boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (e-mel, laman web, surat berita, dll.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 3

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian A: Pengurusan (samb.)

5 Sampaikan maklumat yang berkaitan tentang Syarat Perlindungan Data Pembekal Microsoft secara tahunan kepada kakitangan dan subkontraktor yang melaksanakan perkhidmatan untuk Microsoft.

Pembekal mendidik kakitangan dan subkontraktor yang terlibat dalam penyediaan perkhidmatan kepada Microsoft tentang Syarat Perlindungan Data Pembekal Microsoft. Bukti latihan seperti itu dijalankan pada awal dan secara berkala boleh berbentuk bahan latihan, rekod kehadiran, komunikasi (e-mel, laman web, surat berita, dsb.) dengan pekerja dan subkontraktor, dsb.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

6 Memproses Maklumat Peribadi Microsoft hanya mengikut arahan yang didokumenkan Microsoft termasuk untuk memindahkan Maklumat Peribadi kepada negara ketiga atau organisasi antarabangsa, melainkan jika dikehendaki oleh undang-undang yang berkenaan; dalam hal sedemikian, pemproses hendaklah memaklumkan kepada pengawal tentang keperluan undang-undang tersebut sebelum memproses, kecuali jika undang-undang itu melarang maklumat sedemikian atas alasan penting kepentingan awam.

Bukti arahan yang didokumenkan, cth. seperti yang dinyatakan dalam kontrak, pernyataan kerja atau pesanan pembelian, atau ditangkap sebagai sebahagian daripada sistem elektronik yang digunakan dalam penyediaan perkhidmatan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

7 Maklumkan Microsoft dengan segera jika, pada pendapatnya, suatu arahan telah melanggar undang-undang yang berkenaan.

Kewajipan kontrak pada pembekal untuk memaklumkan Microsoft jika, pada pendapat pembekal, suatu arahan telah melanggar undang-undang yang berkenaan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian B: Notis

8 Pembekal mesti menggunakan Pernyataan Privasi Microsoft semasa mengumpul Maklumat Peribadi bagi pihak Microsoft.

Notis privasi harus mudah dilihat dan tersedia kepada Subjek Data untuk membantu mereka membuat keputusan sama ada untuk menyerahkan Maklumat Peribadi mereka kepada pembekal.

Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Notis privasi harus tersedia di dalam talian dan di luar talian seperti yang diperlukan, bertarikh dengan jelas dan disediakan pada atau sebelum masa pengumpulan data.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 4

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian B: Notis (samb.)

9 Apabila mengumpul Maklumat Peribadi Microsoft melalui panggilan suara langsung atau rakaman, pembekal mesti bersedia untuk membincangkan amalan pengumpulan, pengendalian, penggunaan dan pengekalan data yang berkenaan dengan Subjek Data.

Pembekal menunjukkan bahawa pengumpulan, pengendalian, penggunaan dan pengekalan data dibincangkan dengan Subjek Data apabila Maklumat Peribadi dikumpulkan melalui telefon.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian C: Pilihan dan Keizinan

10 Apabila pembekal bergantung pada keizinan sebagai asas undang-undang untuk memproses data, pembekal perlu mendapatkan dan mendokumenkan keizinan Subjek Data sebelum mengumpul Maklumat Peribadi Subjek Data tersebut.

Pembekal menerangkan proses bagi Subjek Data untuk menyetujui atau menolak pemberian Maklumat Peribadi dan akibat mana-mana tindakan yang dipilih.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

11 Pembekal mengambil apa-apa keizinan Subjek Data yang diperlukan sebelum atau pada masa mengumpul Maklumat Peribadi.

Pembekal mendokumenkan dan mengurus keutamaan hubungan serta melaksanakan dan mengurus perubahan kepada pilihan tersebut. Sistem dan prosedur wujud untuk menguruskan keizinan Subjek Data dan keutamaan hubungan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

12 Mendokumenkan dan mengurus perubahan kepada keutamaan hubungan Subjek Data pada masa yang tepat.

Pembekal memantau pengurusan keizinan Subjek Data untuk memastikan keberkesanan sistem dan proses.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

13 Mendapat dan mendokumenkan keizinan Subjek Data bagi apa-apa penggunaan baharu Maklumat Peribadi Subjek Data tersebut.

Pembekal memastikan bahawa jika keizinan tidak diberikan, tiada penggunaan atau pemprosesan tambahan berlaku.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 5

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian C: Pilihan dan Keizinan (samb.)

14 Kuki ialah fail teks kecil yang disimpan pada peranti oleh tapak web dan aplikasi dalam talian yang mengandungi maklumat yang digunakan untuk mengenali pengguna atau peranti. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memberikan pengguna notis dan pilihan yang telus mengenai penggunaan kuki. Pembekal yang mencipta dan mengurus laman web dan aplikasi Microsoft mesti memastikan bahawa penggunaan kuki sejajar dengan komitmen dalam Pernyataan Privasi Microsoft dan keperluan undang-undang tempatan seperti peraturan yang ditetapkan oleh Kesatuan Eropah.

Tujuan setiap kuki mesti didokumenkan, dan mesti memaklumkan jenis kuki yang dilaksanakan: • Kuki sesi harus digunakan

apabila boleh. • Kuki berterusan kekal pada

peranti untuk tempoh tidak lebih daripada yang diperlukan dan tidak melebihi 2 tahun.

Mengesahkan bahawa peraturan EU digunakan, seperti, tetapi tidak terhad kepada; • Penggunaan konvensyen

pelabelan, "Privasi & Kuki" untuk pernyataan privasi.

• Mendapatkan keizinan pengguna yang mengiakan sebelum menggunakan kuki untuk tujuan "tidak perlu" seperti pengiklanan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian D: Pengumpulan

15 Pembekal mesti memantau pengumpulan Maklumat Peribadi dan Sulit Microsoft untuk memastikan bahawa hanya maklumat yang diperlukan sahaja dikumpul untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft.

Sistem dan prosedur wujud untuk menentukan Maklumat Peribadi dan Sulit yang diperlukan. Pembekal memantau pengumpulan untuk memastikan keberkesanan sistem dan prosedur.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

16 Jika pembekal mendapatkan Maklumat Peribadi daripada pihak ketiga bagi pihak Microsoft, pembekal mesti mengesahkan bahawa dasar dan amalan perlindungan data pihak ketiga adalah selaras dengan kontrak pembekal dengan Microsoft dan syarat-syarat DPR.

Pembekal boleh menunjukkan bahawa usaha wajar telah dilakukan berkenaan dasar dan amalan perlindungan data pihak ketiga.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

17 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif melalui pemasangan atau penggunaan perisian boleh laku pada peranti Subjek Data, keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft.

Pembekal memperoleh dan mendokumenkan persetujuan Microsoft apabila menggunakan perisian boleh laku pada komputer Subjek Data untuk mengumpul Maklumat Peribadi.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 6

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian D: Pengumpulan (samb.)

18 Sebelum mengumpul Maklumat Peribadi Microsoft yang sensitif (data yang mendedahkan asal perkauman atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, data genetik, data biometrik, data mengenai kesihatan atau data mengenai kehidupan seks atau orientasi seksual seseorang) keperluan untuk mengumpul maklumat ini mesti didokumenkan dalam kontrak pembekal yang dilaksanakan dengan Microsoft.

Pembekal memperoleh dan mendokumenkan persetujuan Microsoft sebelum mengumpul Maklumat Peribadi yang sensitif.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian E: Penyimpanan

19 Memastikan bahawa Maklumat Peribadi dan Sulit Microsoft dikekalkan bagi tempoh tidak lebih daripada yang diperlukan untuk menyediakan perkhidmatan melainkan penyimpanan berterusan Maklumat Peribadi Microsoft dikehendaki oleh undang-undang.

Pembekal mematuhi dasar penyimpanan yang didokumentasikan atau syarat penyimpanan yang ditentukan oleh Microsoft dalam kontrak, pernyataan kerja atau pesanan pembelian.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

20 Memastikan bahawa, atas budi bicara Microsoft, Maklumat Peribadi atau Sulit Microsoft dalam pemilikan pembekal atau di bawah kawalannya dikembalikan kepada Microsoft atau dimusnahkan setelah selesai perkhidmatan atau atas permintaan Microsoft. Apabila diminta, pembekal mesti memberikan sijil pemusnahan yang ditandatangani oleh pegawai pembekal kepada Microsoft. Apabila pemusnahan Maklumat Peribadi atau Sulit Microsoft diperlukan, pembekal perlu membakar, menghancurkan, atau mencencang aset fizikal yang mengandungi Maklumat Peribadi Microsoft supaya maklumat tersebut tidak dapat dibaca atau dibina semula. Dalam aplikasi, proses mesti diwujudkan untuk memastikan bahawa apabila data dikeluarkan daripada aplikasi sama ada secara eksplisit oleh pengguna atau berdasarkan pencetus lain seperti umur data, ia dipadamkan dengan selamat.

Pembekal mengekalkan rekod pelupusan Maklumat Peribadi dan Sulit Microsoft (cth., kembalikan kepada Microsoft untuk pemusnahan).

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 7

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian F: Subjek Data

21 Subjek Data mempunyai hak untuk mencapai, memadam, menyunting, mengeksport, menyekat dan membantah pemprosesan Maklumat Peribadi mereka ("Hak Subjek Data"). Apabila Subjek Data ingin melaksanakan hak mereka di bawah undang-undang yang bersesuaian berkenaan dengan Maklumat Peribadi Microsoft mereka, pembekal mesti:

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

22 Membantu Microsoft, melalui langkah-langkah teknikal dan organisasi yang sesuai, setakat yang mungkin, memenuhi kewajipannya untuk bertindak balas terhadap permintaan Subjek Data yang ingin melaksanakan hak mereka di bawah undang-undang yang berkenaan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

23 Bertindak balas terhadap semua permintaan Hak Subjek Data tanpa kelewatan yang tidak sewajarnya.

Pembekal menjalankan ujian berkala untuk memastikan mereka dapat menyokong hak Subjek Data.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

24 Melainkan jika diarahkan oleh Microsoft, Pembekal akan merujuk semua Subjek Data yang menghubungi Pembekal secara langsung kepada Microsoft untuk melaksanakan Hak Subjek Data mereka. Pembekal akan menyampaikan kepada Subjek Data tentang langkah-langkah yang perlu diambil oleh seseorang untuk mendapatkan capaian kepada atau sebaliknya melaksanakan hak mereka berbanding dengan Maklumat Peribadi Microsoft mereka. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Pembekal menyampaikan langkah-langkah yang akan diambil untuk mencapai Maklumat Peribadi, serta kaedah yang tersedia untuk mengemas kini maklumat tersebut.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

25 Apabila bertindak balas secara langsung kepada Subjek Data, sahkan identiti Subjek Data yang membuat permintaan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

26 Dapatkan kebenaran daripada Microsoft untuk terus menggunakan pengecam yang dikeluarkan oleh kerajaan (sebagai contoh, nombor Keselamatan Sosial) untuk pengesahan. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Apabila Subjek Data telah disahkan, pembekal mesti:

Versi 4 Julai 2017 Halaman | 8

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian F: Subjek Data (samb.)

27 Menentukan sama ada ia memegang atau mengawal Maklumat Peribadi Microsoft tentang Subjek Data.

Pembekal mempunyai prosedur untuk menentukan sama ada Maklumat Peribadi dipegang.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

28 Melakukan usaha yang sewajarnya untuk mengesan Maklumat Peribadi Microsoft yang diminta dan menyimpan rekod yang mencukupi untuk menunjukkan bahawa carian yang sewajarnya telah dilakukan.

Pembekal membalas permintaan tepat pada waktunya.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

29 Mencatat tarikh dan masa permintaan serta tindakan yang diambil oleh pembekal sebagai tindak balas kepada permintaan tersebut. Menyediakan rekod permintaan Subjek Data kepada Microsoft atas permintaan.

Pembekal mengekalkan rekod permintaan untuk capaian dan mendokumenkan perubahan yang dibuat kepada Maklumat Peribadi.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

30 Apabila Subjek Data telah disahkan dan pembekal telah mengesahkan bahawa mereka mempunyai Maklumat Peribadi Microsoft yang diminta, pembekal mesti:

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

31 Bagi permintaan untuk mendapatkan salinan Maklumat Peribadi, berikan Maklumat Peribadi Microsoft kepada Subjek Data dalam format bercetak, elektronik atau lisan yang sesuai.

Pembekal membekalkan Maklumat Peribadi kepada Subjek Data dalam format yang mudah difahami dan dalam bentuk yang mudah untuk Subjek Data dan pembekal.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

32 Sekiranya permintaan mereka ditolak, atas arahan Microsoft, berikan penjelasan bertulis kepada Subjek Data yang selaras dengan mana-mana arahan berkaitan yang disediakan oleh Microsoft sebelum ini. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Mendokumenkan kejadian permintaan ditolak dan mengekalkan bukti semakan dan kelulusan Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 9

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian F: Subjek Data (samb.)

33 Pembekal mesti mengambil langkah berjaga-jaga yang munasabah untuk memastikan bahawa Maklumat Peribadi Microsoft yang dikeluarkan kepada Subjek Data tidak boleh digunakan untuk mengenal pasti orang lain.

Pembekal mesti menunjukkan bahawa langkah berjaga-jaga yang munasabah telah diambil supaya orang lain tidak boleh dikenal pasti daripada maklumat yang dikeluarkan (cth., tidak boleh membuat salinan foto bagi seluruh halaman data apabila Maklumat Peribadi yang diminta untuk Subjek Data hanya muncul pada satu baris).

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

34 Sekiranya Subjek Data dan pembekal tidak bersetuju sama ada Maklumat Peribadi Microsoft adalah lengkap dan tepat, pembekal mesti menaikkan isu ini kepada Microsoft dan bekerjasama dengan Microsoft sebagaimana yang perlu untuk menyelesaikan isu tersebut. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Pembekal mendokumenkan kejadian percanggahan dan menaikkan isu kepada Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian G: Pendedahan kepada Pihak Ketiga

Sekiranya pembekal berhasrat untuk menggunakan subkontraktor untuk Memproses Maklumat Peribadi dan Sulit Microsoft, pembekal mesti:

35 Mendapatkan kebenaran bertulis Microsoft secara nyata sebelum memberikan subkontrak perkhidmatan atau membuat apa-apa perubahan berkaitan dengan penambahan atau penggantian subkontraktor. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

36 Bertanggungjawab sepenuhnya kepada Microsoft untuk prestasi mana-mana subkontraktor.

Perjanjian kontrak pada pembekal untuk terus bertanggungjawab terhadap Microsoft bagi subkontraktornya.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

37 Mendokumenkan jenis dan sejauh mana Maklumat Peribadi dan Sulit Microsoft Disubproses oleh subkontraktor, memastikan bahawa maklumat yang dikumpul diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft.

Pembekal mengekalkan dokumentasi mengenai Maklumat Peribadi dan Sulit Microsoft yang didedahkan atau dipindahkan kepada subkontraktor.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 10

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian G: Pendedahan kepada Pihak Ketiga (samb.)

38 Memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft selaras dengan keutamaan hubungan yang dinyatakan oleh Subjek Data.

Sistem dan proses sudah wujud untuk memastikan subkontraktor menggunakan Maklumat Peribadi Microsoft semata-mata untuk tujuan yang ditetapkan dan selaras dengan keutamaan hubungan Subjek Data.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

39 Mengehadkan Pemprosesan Maklumat Peribadi Microsoft oleh subkontraktor untuk tujuan yang diperlukan demi memenuhi kontrak pembekal dengan Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

40 Memaklumkan Microsoft dengan segera tentang apa-apa perintah mahkamah yang memaksa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor dan, sebagaimana yang dibenarkan oleh undang-undang, memberikan Microsoft peluang untuk campur tangan sebelum memfailkan apa-apa balasan kepada perintah atau notis tersebut. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Pembekal menunjukkan bahawa Microsoft telah dihubungi, apabila dibenarkan, sebelum membenarkan apa-apa pendedahan Maklumat Peribadi Microsoft oleh subkontraktor sebagai tindak balas kepada perintah mahkamah.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

41 Menyemak aduan untuk indikasi terhadap apa-apa Pemprosesan Maklumat Peribadi Microsoft yang tidak sah atau menyalahi undang-undang.

Sistem dan proses diwujudkan untuk menangani aduan yang berkaitan dengan penggunaan atau pendedahan Maklumat Peribadi Microsoft yang tidak dibenarkan oleh subkontraktor.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

42 Memaklumkan Microsoft dengan segera apabila mengetahui bahawa subkontraktor telah Memproses Maklumat Peribadi dan Sulit Microsoft untuk tujuan lain selain daripada menyediakan perkhidmatan yang berkaitan dengan Microsoft kepada Microsoft atau para pembekalnya. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Pembekal mampu menunjukkan bahawa Microsoft telah dimaklumkan apabila subkontraktor telah menggunakan Maklumat Peribadi Microsoft untuk tujuan yang tidak dibenarkan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 11

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian G: Pendedahan kepada Pihak Ketiga (samb)

43 Mengambil tindakan dengan segera untuk mengurangkan apa-apa kemudaratan sebenar atau berpotensi yang disebabkan oleh Pemprosesan Maklumat Peribadi dan Sulit Microsoft yang tidak sah atau menyalahi undang-undang oleh subkontraktor.

Pembekal boleh menunjukkan bahawa tindakan yang sewajarnya telah diambil apabila subkontraktor telah menggunakan Maklumat Peribadi dan Sulit Microsoft untuk tujuan yang tidak dibenarkan atau telah mendedahkan Maklumat Peribadi atau Sulit.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

44 Sebelum menerima apa-apa Maklumat Peribadi daripada pihak ketiga, sahkan bahawa amalan pengumpulan data pihak ketiga adalah selaras dengan DPR.

Proses berdokumen sudah wujud untuk mengesahkan amalan pengumpulan data pihak ketiga.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

45 Mengesahkan bahawa hanya Maklumat Peribadi yang diperlukan untuk melaksanakan perkhidmatan yang dibeli oleh Microsoft dikumpul daripada pihak ketiga.

Proses berdokumen sudah wujud untuk mengehadkan pemindahan Maklumat Peribadi Microsoft daripada pihak ketiga kepada yang hanya diperlukan untuk melaksanakan perkhidmatan yang dikontrak.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian H: Kualiti

46 Pembekal mesti mengekalkan integriti semua Maklumat Peribadi Microsoft, memastikannya sentiasa tepat, lengkap dan berkaitan dengan tujuan yang dinyatakan untuknya Diproses.

Maklumat disahkan apabila dikumpulkan, dihasilkan dan dikemas kini. Sistem dan proses sudah wujud untuk mengesahkan ketepatan secara berterusan dan betul sebagaimana yang perlu.

<Patuh>

<Tidak Patuh> <Tidak

Berkenaan> <Konflik Undang-

undang> <Konflik Kontrak>

47 Pembekal mesti memastikan bahawa jumlah minimum Maklumat Peribadi yang diperlukan untuk memenuhi tujuan yang dinyatakan telah dikumpulkan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 12

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian I: Pengawasan dan Penguatkuasaan

48 Memaklumkan Microsoft dengan segera apabila menyedari Pelanggaran Maklumat Peribadi atau kerentanan keselamatan yang berkaitan dengan pengendalian pembekal dalam Maklumat Peribadi atau Sulit Microsoft. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

49 Tidak mengeluarkan apa-apa siaran akhbar atau apa-apa notis awam lain yang berkaitan dengan Pelanggaran Maklumat Peribadi yang melibatkan Maklumat Peribadi atau Sulit Microsoft tanpa mendapat kelulusan Microsoft melainkan dinyatakan oleh undang-undang atau keperluan pengawalseliaan. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

50 Melaksanakan rancangan pemulihan dan memantau resolusi Pelanggaran Maklumat Peribadi dan kerentanan yang berkaitan dengan Maklumat Peribadi Microsoft untuk memastikan bahawa tindakan pembetulan yang sesuai telah diambil tepat pada masanya.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

51 Mewujudkan proses aduan formal untuk menjawab semua aduan perlindungan data yang melibatkan Maklumat Peribadi Microsoft. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Pembekal mesti mempunyai proses berdokumen untuk mengendalikan aduan dan memaklumkan Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

52 Memaklumkan Microsoft tentang sebarang aduan yang berkaitan dengan Maklumat Peribadi Microsoft. Hubungi [email protected] untuk mendapatkan bantuan berkenaan syarat ini.

Rekod aduan yang menunjukkan balasan dibuat tepat pada masanya.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

53 Merekod dan membalas semua aduan perlindungan data yang berkaitan dengan Maklumat Peribadi Microsoft tepat pada masanya melainkan diberikan arahan khusus oleh Microsoft. Apabila diminta, memberikan kepada Microsoft dokumentasi aduan yang telah diselesaikan atau belum diselesaikan.

Dokumentasi aduan terbuka/tertutup.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 13

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian I: Pengawasan dan Penguatkuasaan (samb)

54 Pembekal perlu mengambil kira jenis maklumat pembekal dan membantu Microsoft dalam memastikan pematuhan terhadap kewajipannya di bawah undang-undang yang berkenaan (termasuk tetapi tidak terhad kepada keselamatan data, Pelanggaran Maklumat Peribadi, penilaian kesan perlindungan data dan perundingan dengan kerajaan, pihak berkuasa kawal selia dan penyeliaan).

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak

55 Menyediakan kepada Microsoft semua maklumat yang diperlukan untuk menunjukkan pematuhan terhadap kewajipan di bawah undang-undang yang berkenaan dan membenarkan serta menyumbang kepada audit, termasuk pemeriksaan, yang dijalankan oleh Microsoft atau juruaudit lain yang dimandatkan oleh Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Bahagian J: Keselamatan

56 PROGRAM KESELAMATAN MAKLUMAT Pembekal mesti mewujudkan, melaksanakan, dan menyelenggara program keselamatan maklumat yang merangkumi dasar dan prosedur, untuk melindungi dan memastikan keselamatan Maklumat Peribadi dan Sulit Microsoft selaras dengan amalan industri yang baik dan seperti yang dikehendaki oleh undang-undang yang berkenaan. Program keselamatan pembekal mesti memenuhi piawaian yang tersenarai di bawah, keperluan 56 -76.

Langkah perlindungan boleh melebihi perkara yang disenaraikan, sebagaimana yang diperlukan bagi memenuhi skim pengawalseliaan (misalnya, HIPAA, GLBA) atau syarat kontrak.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

57 Melaksanakan penilaian keselamatan rangkaian tahunan yang merangkumi:

• Menyemak perubahan utama kepada persekitaran seperti komponen sistem baharu, topologi rangkaian, peraturan tembok api dan lain-lain.

• Menjalankan imbasan kerentanan. • Menyelenggara log perubahan yang mengesan

perubahan, memberi maklumat mengenai sebab perubahan dan menyertakan pelulus.

Menyemak dokumentasi penilaian rangkaian, log perubahan dan hasil imbasan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

58 Pembekal menentukan, menyampaikan dan melaksanakan dasar peranti mudah alih yang menjamin dan mengehadkan penggunaan Maklumat Peribadi atau Sulit Microsoft yang dicapai atau digunakan pada peranti mudah alih.

Menyediakan dasar peranti mudah alih dan menunjukkan penggunaan apabila pengendalian data Maklumat Peribadi atau Sulit Microsoft memerlukan penggunaan peranti mudah alih.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 14

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

59 Semua Aset yang digunakan untuk menyokong penyampaian perkhidmatan Microsoft mesti dipertanggungjawabkan dan mempunyai pemilik yang dikenal pasti. Pembekal bertanggungjawab untuk menyelenggara inventori bagi aset maklumat ini; mewujudkan penggunaan aset yang boleh diterima dan dibenarkan; dan menyediakan tahap perlindungan yang sesuai untuk aset di sepanjang kitaran hayat mereka. Inventori aset ini harus merangkumi:

- Lokasi peranti - Pengelasan data bagi data mengenai aset tersebut - Rekod pemulihan aset setelah penamatan perjanjian

pekerjaan atau perniagaan - Rekod pelupusan media penyimpanan data apabila ia

tidak diperlukan lagi.

Menyemak Inventori bagi aset peranti yang digunakan untuk menyokong penghantaran perkhidmatan Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

60 Mewujudkan dan menyelenggara prosedur pengurusan hak capaian untuk mengelakkan capaian kepada Maklumat Peribadi atau Sulit Microsoft yang tidak dibenarkan di bawah kawalan pembekal. Rancangan harus merangkumi: • Prosedur kawalan capaian • Prosedur pengenalpastian • Prosedur sekat masuk selepas percubaan yang tidak

berjaya • Tetapan semula kata laluan sekerap yang perlu tetapi

tidak boleh melebihi tempoh setiap 70 hari. • Memberi kesedaran kepada pengguna untuk melindungi

bukti kelayakan pengesahan mereka. • Parameter yang kukuh untuk memilih bukti kelayakan

pengesahan. • Penyahaktifan akaun pengguna pada penamatan

pekerjaan dalam masa 48 jam. o Termasuk capaian dalaman/luaran, media,

kertas, platform teknologi dan media sandaran. Mewujudkan proses untuk menyemak capaian pengguna kepada Maklumat Peribadi dan Sulit Microsoft, menguatkuasakan prinsip keistimewaan terkurang: Proses harus merangkumi: • Peranan pengguna yang ditakrif dengan jelas • Prosedur untuk menyemak dan mewajarkan kelulusan

capaian kepada peranan. • Prosedur untuk mengeluarkan capaian pengguna kepada

peranan apabila capaian tidak lagi diperlukan.

Prosedur hak capaian didokumenkan dan digunakan secara konsisten. Menguji bahawa pengguna dalam peranan dengan capaian kepada data Microsoft mempunyai justifikasi yang didokumenkan untuk berada dalam kumpulan/peranan tersebut.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 15

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

61 Menentukan dan melaksanakan prosedur pengurusan tampalan yang mengutamakan tampalan keselamatan bagi sistem yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk:

• Masa tertakrif yang dibenarkan untuk melaksanakan tampalan tetapi tidak boleh melebihi tempoh 19 hari untuk semua tampalan keselamatan.

• Keupayaan untuk mengendalikan dan melaksanakan tampalan kecemasan.

• Kebolehgunaan kepada Sistem Pengendalian dan perisian pelayan seperti pelayan aplikasi dan perisian pangkalan data.

o Penamatan penggunaan Windows XP

• Mendokumenkan risiko yang dikurangkan oleh tampalan dan mengesan apa-apa pengecualian.

Dapat menunjukkan dan menyediakan bukti berdokumen bahawa tampalan keselamatan digunakan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

62 Memasang antivirus dan antiperisian berniat jahat pada peralatan yang bersambung kepada rangkaian yang digunakan untuk memproses Maklumat Peribadi dan Sulit Microsoft, termasuk tetapi tidak terhad kepada pelayan, desktop pengeluaran dan latihan untuk melindunginya daripada virus yang berpotensi berbahaya dan aplikasi perisian berniat jahat. Mengemas kini definisi antiperisian berniat jahat setiap hari atau seperti yang diarahkan oleh pembekal antivirus/antiperisian berniat jahat.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

63 Pembekal yang membangunkan perisian untuk Produk Microsoft atau aplikasi bidang perniagaan mesti memenuhi keperluan Kitaran Hayat Pembangunan Keselamatan Microsoft (SDL) atau piawai industri yang serupa. Maklumat adalah tersedia di http://www.microsoft.com/sdl.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 16

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

64 Memantau sistem maklumat yang digunakan dalam rangkaian syarikat yang Maklumat Peribadi atau Sulit Microsoft dikendalikan—untuk mengelakkan pencerobohan dan aktiviti tidak sah yang lain. Menggunakan Sistem Pengesanan Pencerobohan yang berasaskan rangkaian (IDS):

• Sekiranya sistem dilanggar, analisis sistem untuk memastikan apa-apa sisa kerentanan juga ditangani.

• Mendokumenkan prosedur untuk memantau alat pengesanan kompromi sistem.

• Satu tindak balas kejadian dan proses pengurusan yang tetap mesti dilaksanakan apabila peristiwa dikesan.

Menunjukkan keberkesanan sistem pemantauan, dokumentasi sokongan adalah tersedia.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

65 Berkomunikasi dengan segera tentang hasil Siasatan daripada tindak balas kejadian kepada pihak pengurusan kanan dan Microsoft. Hubungi [email protected] untuk memaklumkan Microsoft.

Sistem dan proses mesti wujud untuk menyampaikan keputusan penyiasatan tindak balas kejadian kepada Microsoft

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

66 Pentadbir sistem, kakitangan operasi, pihak pengurusan dan pihak ketiga mesti menjalani latihan keselamatan tahunan.

Mewujudkan program latihan keselamatan yang merangkumi:

• Latihan tahunan untuk tindak balas kejadian.

• Acara simulasi dan mekanisme automatik untuk memudahkan tindak balas yang berkesan terhadap situasi krisis.

Kesedaran pencegahan kejadian seperti risiko yang berkaitan dengan memuat turun perisian berniat jahat.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 17

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

67 Pembekal mesti memastikan proses perancangan sandaran untuk melindungi Maklumat Peribadi dan Sulit Microsoft daripada penggunaan, capaian, pendedahan, pengubahan dan pemusnahan yang tidak dibenarkan.

Mendokumenkan tindak balas dan prosedur pemulihan dengan menghuraikan cara organisasi akan menguruskan peristiwa yang mengganggu dan menyelenggara keselamatan maklumatnya kepada tahap yang telah ditetapkan berdasarkan objektif kesinambungan keselamatan maklumat yang diluluskan oleh pihak pengurusan. Menentukan dan melaksanakan prosedur untuk membuat sandaran secara berkala, menyimpan dengan selamat, dan memulihkan data kritikal dengan berkesan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

68 Mewujudkan dan menguji rancangan kesinambungan perniagaan dan pemulihan bencana.

Rancangan pemulihan bencana mesti merangkumi perkara yang berikut

• Kriteria yang tertakrif untuk menentukan sama ada sistem adalah penting untuk operasi perniagaan pembekal

• Menyenaraikan sistem kritikal berdasarkan kriteria tertakrif yang mesti disasarkan untuk pemulihan sekiranya berlaku bencana.

• Prosedur pemulihan bencana yang tertakrif bagi setiap sistem kritikal untuk memastikan jurutera yang tidak tahu tentang sistem boleh memulihkan aplikasi tersebut dalam tempoh kurang daripada 72 jam.

Ujian dan kajian semula rancangan pemulihan bencana tahunan (atau lebih kerap) untuk memastikan objektif pemulihan dapat dipenuhi.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 18

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

69 Mengesahkan identiti individu sebelum memberi capaian kepada individu tersebut kepada maklumat Peribadi atau Sulit Microsoft.

Memastikan semua ID pengguna adalah unik dan setiap satunya mempunyai kaedah pengesahan standard industri seperti Azure Active Directory. Capaian ternaik (pentadbiran atau jenis keistimewaan lain yang dipertingkatkan) mesti memerlukan penggunaan faktor kedua, seperti kad pintar atau pengesah yang berasaskan telefon.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

70 Pembekal mesti melindungi Maklumat Peribadi dan Sulit Microsoft yang dalam transit merentasi rangkaian dengan penyulitan menggunakan Keselamatan Lapisan Pengangkutan (TLS) atau Keselamatan Protokol Internet (IPsec). Kaedah-kaedah ini diterangkan dalam NIST 800-52 dan NIST 800-57; piawai industri yang sama juga boleh digunakan. Pembekal mesti menolak penghantaran apa-apa Maklumat Peribadi Microsoft yang dihantar melalui cara yang tidak disulitkan.

Proses mencipta, mengerah dan menggantikan TLS atau sijil lain mesti ditakrifkan dan dikuatkuasakan.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

71 Semua peranti pelanggan pembekal (komputer riba, stesen kerja, dan lain-lain) yang akan mencapai atau mengendalikan Maklumat Peribadi atau Sulit Microsoft mesti menggunakan penyulitan berasaskan cakera.

Menyulitkan semua peranti pelanggan untuk memenuhi Bitlocker atau penyelesaian penyulitan cakera setara industri yang lain bagi semua peranti pelanggan yang digunakan untuk mengendalikan Maklumat Peribadi atau Sulit Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 19

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

72 Sistem dan prosedur mesti wujud untuk menyulitkan maklumat Peribadi Microsoft, yang dinyatakan di bawah, semasa rehat (apabila disimpan) menggunakan piawaian industri semasa seperti yang diterangkan dalam piawai NIST 800-111. Menyulitkan jenis Maklumat Peribadi Microsoft yang berikut semasa rehat:

• data bukti kelayakan (cth. nama pengguna/kata laluan)

• data instrumen pembayaran (cth. nombor kad kredit dan akaun bank)

• data profil perubatan (cth. nombor rekod perubatan atau pengecam biometrik).

• data pengecam yang dikeluarkan oleh kerajaan (cth. nombor keselamatan sosial atau lesen memandu)

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

73 Apabila memproses kad kredit bagi pihak Microsoft, patuhi standard pengendalian kad kredit yang berkenaan bagi setiap pengeluar kad.

Menunjukkan pematuhan dengan memberikan perakuan Standard Perkhidmatan Data Industri Kad Pembayaran (PCI-DSS) setiap tahun. Serahkan perakuan PCI DSS kepada SSPA. Hubungi, [email protected]

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

74 Pembekal mesti menyimpan aset fizikal Maklumat Peribadi dan Sensitif Microsoft dalam persekitaran capaian terkawal.

Sistem dan proses perlu wujud untuk menguruskan capaian fizikal kepada salinan digital, salinan keras, arkib, dan sandaran data Microsoft. Rantaian penjagaan mesti dijejaki untuk pergerakan dan pemusnahan media fizikal yang mengandungi data Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

75 Untuk penyelesaian Perisian sebagai Perkhidmatan (SaaS) yang Memproses Maklumat Peribadi atau Sulit Microsoft, jalankan ujian penembusan keselamatan bebas setiap tahun dan sediakan keputusan untuk Microsoft atas permintaan atau bolehkan Microsoft menjalankan ujian penembusan berkala. Hubungi [email protected] untuk menghantar sijil ujian pen atau meminta ujian Microsoft.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>

Versi 4 Julai 2017 Halaman | 20

# Syarat Perlindungan Data Pembekal Microsoft Kriteria Penilaian yang Disyorkan

Respons

Bahagian J: Keselamatan (samb.)

76 Semua Maklumat Peribadi Microsoft yang digunakan dalam persekitaran pembangunan atau ujian dijadikan tanpa nama.

Maklumat Peribadi Microsoft tidak boleh digunakan dalam persekitaran pembangunan atau ujian; apabila tidak ada alternatif, ia mesti dijadikan tanpa nama dengan secukupnya untuk mengelakkan pengenalpastian Subjek Data atau penyalahgunaan Maklumat Peribadi.

<Patuh> <Tidak Patuh>

<Tidak Berkenaan>

<Konflik Undang-undang>

<Konflik Kontrak>