Criterios de evaluación de los requisitos de protección de datos para proveedores

Criterios de evaluación de los requisitos de protección de datos para proveedores Aplicabilidad Los requisitos de protección de datos (DPR) para proveedores de Microsoft se aplican a todos los proveedores de Microsoft que recopilen, usen, distribuyan o almacenen información personal o confidencial de Microsoft, o que de algún modo tengan acceso a ella, como parte de la prestación de servicios acordada en virtud de las cláusulas incluidas en el pedido de compra o del contrato suscrito con Microsoft. Si hubiera algún conflicto entre los requisitos que aquí se detallan y los requisitos especificados en los acuerdos contractuales entre el proveedor y Microsoft, los términos del contrato prevalecen. Si hubiera algún conflicto entre los requisitos que aquí se detallan y cualquier requisito legal o reglamentario, estos requisitos prevalecen. La información confidencial de Microsoft es toda aquella información que, de ponerse en riesgo la confidencialidad o integridad de algún modo, puede suponer una pérdida considerable para Microsoft en términos financieros y de reputación. Esta incluye, entre otros, los siguientes elementos: productos de hardware y software de Microsoft, aplicaciones de línea de negocio internas, material de marketing preliminar, claves de licencia de productos y documentación técnica relacionada con los productos y servicios de Microsoft. La información personal de Microsoft es toda aquella información facilitada por Microsoft o recopilada por un proveedor en relación con los servicios prestados a Microsoft: (i) Que puede usarse para identificar, buscar o ponerse en contacto con la persona a la que pertenece la información. (ii) De la que se puede derivar la identidad o la información de contacto de una persona. La información personal de Microsoft incluye, entre otros datos, los siguientes: nombre, dirección, número de teléfono y de fax, dirección de correo electrónico, número de la seguridad social, número de pasaporte, otros números de identificación expedidos por el gobierno, así como información de la tarjeta de crédito. Asimismo, siempre que existan otros datos (entre los que, de modo no exhaustivo, pueden mencionarse el perfil personal, un identificador único, información biométrica o la dirección IP) asociados o combinados con la información personal de Microsoft, se entenderá que tales datos también forman parte de esta última. Estructura de los DPR Los requisitos de protección de datos (DPR, siglas en inglés) se basan en un marco diseñado por el instituto americano de contables públicos certificados (AICPA, siglas en inglés) para regular las prácticas de privacidad. Los principios de privacidad generalmente aceptados (GAPP, siglas en inglés) se dividen en 10 secciones que incluyen criterios que se pueden medir relacionados con la protección y administración de la información personal. Este marco de trabajo se ha mejorado con requisitos de seguridad y privacidad de Microsoft adicionales. Versión 1.4 Página 1

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP A Antes de que el proveedor recopile, use, distribuya o almacene información personal o confidencial de Microsoft, o que de algún modo tenga acceso a ella, debe cumplir con los siguientes requisitos: Administración 1. Haber firmado un contrato, una declaración del trabajo o un pedido de compra válido de Microsoft redactado de modo que se protejan la privacidad y la seguridad de los datos. El proveedor debe presentar un pedido de compra, una declaración del trabajo o un contrato válido de Microsoft. 2. Haber asignado a una persona o a un grupo específicos de la empresa la responsabilidad y la obligación de rendir cuentas con respecto al cumplimiento de los requisitos de protección de datos para proveedores de Microsoft. El proveedor debe identificar a la persona o al grupo que se encarga de velar por su cumplimiento de los requisitos de protección de datos. La autoridad y responsabilidad de dicha persona o dicho grupo deben estar claramente documentadas. Las obligaciones del proveedor son las siguientes: 1. Establecer, mantener y realizar cursos anuales sobre privacidad para los empleados. Microsoft ha elaborado materiales apropiados y están disponibles en: http://www.microsoft.com/about/companyinformation/procurement /toolkit/en/us/privacymaterials.aspx El proveedor proporciona a los empleados (ya desde el comienzo y, posteriormente, con regularidad) la instrucción necesaria relacionada con los principios básicos acerca de la privacidad y seguridad (Notificación, Elección y consentimiento, Recopilación, Empleo y conservación, Acceso, Divulgación a terceros, Seguridad, Calidad, Supervisión y cumplimiento). Las pruebas de tal instrucción pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras. 2. Comunicar con regularidad la información relevante sobre los requisitos de protección de datos para El proveedor instruye a los empleados y subcontratistas que presten algún servicio a Microsoft con respecto a los requisitos de protección de datos para proveedores de Versión 1.4 Página 2

proveedores de Microsoft a su personal y subcontratistas que presten servicios para Microsoft. Microsoft. Las pruebas de que tal instrucción se lleva a cabo, no sólo desde el comienzo, sino también con posterioridad y regularmente, pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados y subcontratistas (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras. Versión 1.4 Página 3

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP B El proveedor debe proporcionar avisos de privacidad llamativos a los particulares cuando se les pida información personal de Microsoft para que puedan decidir si envían o no su información personal al proveedor. Los avisos de privacidad describen el objetivo de la recopilación de información y las circunstancias que determinarían su divulgación (de forma ineludible o meramente posible). Los avisos de privacidad deben estar claramente fechados y disponibles en cualquier momento, y han de proporcionarse, a lo sumo, en la fecha en que tiene lugar la recopilación de los datos. Aviso El aviso de privacidad debe escribirse de forma tal que permita al lector comprender el uso que se dará a los datos. Los proveedores que alojan sitios para Microsoft deben redactar avisos de privacidad conformes a las instrucciones y plantillas proporcionadas en el kit de herramientas para la privacidad de los proveedores disponible en el sitio web http://www.microsoft.com/about/companyinformation/procure ment/toolkit/en/us/default.aspx Microsoft puede requerir el uso de sus plantillas o puede proporcionar otras instrucciones en el kit de herramientas para la privacidad de los proveedores que el proveedor debe cumplir. Los proveedores que realicen campañas de ventas y marketing en nombre de Microsoft deben cumplir las instrucciones que figuran en el kit de herramientas para la privacidad de los proveedores disponible en el sitio web http://www.microsoft.com/about/companyinformation/procure ment/toolkit/en/us/default.aspx Cuando se recopila información personal de Microsoft a través de una llamada de voz en directo, los proveedores deben estar preparados para tratar con el cliente sobre las prácticas de recopilación, procesamiento, uso y conservación de datos. El proveedor demuestra que la recopilación, el procesamiento, el uso y la conservación de los datos se tratan con la persona afectada cuando se recaba información personal a través del teléfono. Versión 1.4 Página 4

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP C El proveedor debe obtener y documentar el consentimiento de la persona afectada antes de recopilar la información personal de esta. El proveedor explica el proceso para que la persona afectada pueda decidir si acepta o no facilitar la información personal, así como asumir las consecuencias que se deriven de una u otra opción. Elección y consentimiento El proveedor debe obtener y documentar las preferencias de contacto que manifieste la persona afectada según las directrices al respecto que figuran en el kit de herramientas de privacidad para proveedores, disponible en el sitio web http://www.microsoft.com/about/companyinformation/procu rement/toolkit/en/us/default.aspx El proveedor documenta esta aceptación, a lo sumo, en el momento en que tiene lugar la recopilación de los datos. El proveedor confirma las preferencias de contacto en cuestión, bien por escrito, bien en formato electrónico. El proveedor documenta y administra las preferencias de contacto y, además, aplica y administra los cambios pertinentes de éstas. El proveedor informa a las personas afectadas de cualquier propuesta de nuevo uso de los datos personales. Las obligaciones del proveedor son las siguientes: 1. Documentar y administrar los cambios que se produzcan en las preferencias de contacto de una persona de un modo oportuno. El proveedor obtiene y documenta la aceptación de tales nuevos usos de la información personal. 2. El proveedor obtiene y documenta la aceptación de la persona afectada de tales nuevos usos de la información personal. El proveedor se asegura de que, en caso de que la persona afectada no diera su consentimiento, no se utilice esa información. Versión 1.4 Página 5

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP D El proveedor debe supervisar la recopilación de información personal de Microsoft para garantizar que la única información que se recopile sea aquella necesaria para prestar los servicios encomendados por Microsoft. Existen sistemas y procedimientos que permiten especificar la información personal necesaria. El proveedor efectúa una supervisión de la recopilación para garantizar la eficacia de los sistemas y procesos. Recopilación Si el proveedor obtiene información personal de terceros en nombre de Microsoft, está obligado a validar que las directivas y prácticas sobre la protección de datos implantadas por el tercero son conformes a lo estipulado en el contrato del proveedor con Microsoft y a los requisitos de DPR. El proveedor practica la diligencia debida con respecto a las prácticas y políticas de protección de datos de terceros. Antes de recopilar información personal de Microsoft delicada a través de la instalación o del uso de software ejecutable en el equipo de una persona, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft. El proveedor obtiene y documenta el consentimiento prestado por Microsoft cuando utiliza software ejecutable en el equipo de una persona para recopilar información personal. Antes de recopilar información personal de Microsoft delicada como la raza de una persona, su origen étnico, su inclinación política, su afiliación sindical, su salud física o mental o su vida sexual, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft. El proveedor obtiene y documenta el consentimiento prestado por Microsoft antes de recopilar cualquier información personal delicada. Versión 1.4 Página 6

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP E Las obligaciones del proveedor son las siguientes: Conservación 1. Garantizar que la información personal y confidencial de Microsoft se va a usar con el único propósito de prestar los servicios encomendados por Microsoft. 2. Garantizar que la información personal y confidencial de Microsoft no se va a conservar durante más tiempo del que sea necesario para prestar los servicios, a menos que la legislación vigente requiera una conservación prolongada de la información personal de Microsoft. 3. Documentar la conservación o la eliminación de la información personal y confidencial de Microsoft. Si así se solicitara, proporcionará a Microsoft un certificado de destrucción firmado por un responsable del proveedor. Existen sistemas y procedimientos que permiten supervisar el uso de la información personal y confidencial. El proveedor efectúa un seguimiento de tales sistemas y procesos para garantizar su eficacia. El proveedor cumple con los requisitos o las directivas de conservación documentada que Microsoft haya especificado en el contrato, la declaración del trabajo o el pedido de compra. El proveedor conserva registros de la eliminación de la información personal y confidencial de Microsoft (por ejemplo, devolución a Microsoft o destrucción). 4. Garantizar que, a la entera discreción de Microsoft, la información personal o confidencial de Microsoft en manos del proveedor, o bajo su control, se devuelve a Microsoft o se destruye tras la finalización de los servicios o a petición de Microsoft. Versión 1.4 Página 7

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP F Cuando una persona solicita tener acceso a su información personal de Microsoft, el proveedor está obligado a lo siguiente: Acceso 1. Comunicar a la persona afectada los pasos necesarios para tener acceso a su información personal de Microsoft. El proveedor comunica los pasos necesarios para tener acceso a la información personal, así como los métodos disponibles para actualizarla. 2. Autenticar la identidad de la persona que solicita tener acceso a su información personal de Microsoft. El proveedor no usa identificadores de emisión gubernamental para la autenticación. 3. Abstenerse de usar en la autenticación números de identificación expedidos por el gobierno (por ejemplo, el número de afiliación a la Seguridad Social), a menos que no haya razonablemente ninguna otra opción disponible. Los empleados del proveedor reciben instrucción para autenticar la identidad de las personas que solicitan acceso a su información personal o a los cambios en ésta. Una vez que se ha autenticado a la persona, el proveedor está obligado a lo siguiente: 1. Determinar si él conserva o controla información personal de Microsoft sobre esa persona. El proveedor cuenta con procedimientos para determinar la conservación de la información personal. 2. Hacer lo posible por localizar la información personal de Microsoft solicitada y registrar las acciones llevadas a cabo que demuestren que se ha efectuado una búsqueda razonable. El proveedor responde a las solicitudes en el plazo oportuno. 3. Registrar la fecha y hora de las solicitudes de acceso, así como las acciones llevadas a cabo por el proveedor para responder a dichas solicitudes. El proveedor conserva registros de las solicitudes de acceso a la información personal y documenta los cambios efectuados en ésta. 4. Si así se le solicita, proporcionar los registros de las solicitudes de acceso a Microsoft. Las denegaciones de acceso deben documentarse por escrito; además, se debe explicar brevemente la causa de dicha denegación. Versión 1.4 Página 8

Una vez que se ha autenticado a la persona afectada y el proveedor ha validado que tiene la información personal de Microsoft, el proveedor está obligado a lo siguiente: 1. Proporcionar la información personal de Microsoft a la persona que la ha solicitado en un formato adecuado, sea impreso, electrónico o verbal. 2. Si se deniega la solicitud de acceso, deberá proporcionar a la persona afectada una explicación por escrito conforme a las instrucciones relevantes que pudiera haber indicado previamente Microsoft. El proveedor debe adoptar las medidas de precaución que sean razonables para garantizar que la información personal de Microsoft que se facilite a una persona no puede usarse para identificar a otra persona. Si una persona y un proveedor discrepan sobre la integridad y precisión de la información personal de Microsoft, el proveedor debe remitir el problema a Microsoft y prestarle la colaboración necesaria para solucionarlo. El proveedor suministra información personal a la persona que legítimamente la solicite en un formato comprensible y de un modo adecuado tanto desde el punto de vista del proveedor como de la persona en cuestión. El proveedor debe demostrar que se adoptan medidas de precaución razonables que impiden identificar a otra persona a partir de la información facilitada (por ejemplo, no se puede fotocopiar la página de datos en su totalidad cuando el dato personal solicitado figura en una sola línea). El proveedor documenta los casos de desacuerdo y los remite a Microsoft. Versión 1.4 Página 9

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP G Si el proveedor tiene la intención de recurrir a un subcontratista para que le ayude a recopilar, usar, distribuir o almacenar información personal y confidencial de Microsoft, o a tener acceso a ello, el proveedor está obligado a lo siguiente: Divulgación a terceros 1. Usar subcontratistas que sean miembros del programa de proveedores de Microsoft y que además cumplan con sus normas. Si no fuera así, el proveedor deberá obtener el consentimiento urgente por escrito de Microsoft antes de subcontratar los servicios. El proveedor valida que los subcontratistas son miembros del programa de proveedores preferidos de Microsoft (MPSP). El proveedor obtiene el permiso por escrito para poder contratar a proveedores que no sean miembros del programa MPSP. 2. Documentar la naturaleza y el alcance de la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas. El proveedor conserva un registro documental relativo a la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas. 3. Garantizar que el subcontratista usa la información personal de Microsoft con arreglo a las preferencias de contacto indicadas por las personas afectadas. Existen sistemas y procesos que garantizan que los subcontratistas usan la información personal de Microsoft únicamente con el fin designado y con arreglo a las preferencias de contacto indicadas por la persona afectada. 4. Restringir el uso por parte del subcontratista de la información personal de Microsoft para aquellos fines que sean necesarios para cumplir con el contrato del proveedor con Microsoft. El proveedor puede demostrar la existencia de comunicaciones con Microsoft (en el caso de que éstas estén permitidas) previas a la concesión de permiso a un subcontratista para divulgar información personal de Microsoft en respuesta a una orden judicial. 5. Notificar a Microsoft, a la mayor brevedad, de órdenes judiciales en las que se obligue al subcontratista a divulgar información personal de Microsoft y, si la legislación lo permite, dar a Microsoft la oportunidad de intervenir antes de registrar una respuesta a la orden o notificación. Versión 1.4 Página 10

6. Revisar las quejas formuladas por usos o divulgación de información personal de Microsoft sin autorización. 7. Notificar a Microsoft, a la mayor brevedad, cuando tenga conocimiento de que un subcontratista ha usado o divulgado información personal y confidencial de Microsoft para fines distintos del de prestar servicios, a Microsoft o a sus proveedores, relacionados con Microsoft. 8. Adoptar de inmediato medidas para mitigar cualquier daño, real o posible, que cause el uso o la divulgación sin autorización por parte de un subcontratista de información personal y confidencial de Microsoft. Existen sistemas y procesos que permiten administrar las quejas relativas a la divulgación o uso no autorizados de la información personal de Microsoft por parte de un subcontratista. El proveedor puede demostrar que se ha informado a Microsoft de aquellos casos en que algún subcontratista ha usado información personal o confidencial de Microsoft con fines no autorizados. El proveedor puede demostrar que se han adoptado las medidas adecuadas en aquellos casos en que algún subcontratista usa o divulga información personal y confidencial de Microsoft con fines no autorizados. Antes de aceptar información personal de un tercero, el proveedor está obligado a lo siguiente: 1. Comprobar que las prácticas de recopilación de datos llevadas a cabo por un tercero cumplen con los requisitos de DPR. 2. Confirmar que los terceros solo recopilan aquella información personal que sea necesaria para prestar los servicios encomendados por Microsoft. El proveedor debe disponer del permiso previo por escrito de Microsoft antes de proporcionar información personal de Microsoft a un tercero. Existen procesos que permiten comprobar las prácticas de recopilación de datos de terceros. Existen procesos para limitar la transferencia de información personal de Microsoft de terceros a aquellos datos estrictamente necesarios para prestar los servicios contratados. El proveedor puede proporcionar copias del permiso escrito. Versión 1.4 Página 11

Identificador de requisito Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP H El proveedor debe garantizar que toda la información personal de Microsoft Personal es precisa, completa y relevante para los fines indicados para los que se ha recopilado o usado. La información se valida cuando se recopila, crea o actualiza. Existen sistemas y procesos que permiten comprobar sobre la marcha el nivel de precisión y efectuar las correcciones que resulten necesarias. Calidad Deberá recopilarse la cantidad mínima de información personal necesaria para lograr el fin propuesto. Versión 1.4 Página 12

Identificador de requisito Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP I Las obligaciones del proveedor son las siguientes: Supervisión y cumplimiento 1. Realizar una revisión anual de cumplimiento para confirmar que cumple con los requisitos de protección El proveedor debe demostrar la realización de las revisiones anuales de cumplimiento. de datos. 2. Informar a Microsoft en un plazo máximo de 24 horas de incumplimientos de la privacidad o vulnerabilidades de la seguridad, ya sean confirmados o presuntos. El proveedor debe demostrar que se ha informado a Microsoft de todo incumplimiento relacionado con la privacidad o de toda vulnerabilidad de la seguridad, ya sean confirmados o presuntos. 3. Abstenerse de emitir notas de prensa o avisos públicos relacionados con incidentes, sean presuntos o reales, que afecten a información personal o confidencial de Microsoft sin contar con la aprobación previa de Microsoft, a menos que lo exijan las leyes y normas regulatorias. 4. Mitigar de inmediato cualquier vulnerabilidad o incumplimiento, sea real o presunto. 5. Aplicar un plan encaminado a solventar el problema y supervisar la resolución de incumplimientos o vulnerabilidades relacionadas con la información personal de Microsoft con el fin de garantizar que se adoptan las medidas correctivas en un plazo oportuno. Las vulnerabilidades y los incumplimientos se solventan en el plazo adecuado. Existen planes de solventar estos problemas disponibles cuando sea necesario. Versión 1.4 Página 13

Las obligaciones del proveedor son las siguientes: 1. Establecer un proceso formal de administración de quejas para dar una respuesta adecuada a todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft. 2. Notificar a Microsoft de todas las quejas recibidas en relación con la información personal de Microsoft. 3. Registrar todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft y responder a todas ellas en un plazo adecuado, a menos que Microsoft indique otras instrucciones al respecto. 4. Si así se solicitara, proporcionará a Microsoft la documentación de las quejas resueltas y pendientes de resolución. El proveedor debe contar con un proceso documentado de administración de quejas y notificación a Microsoft. Registros de las quejas que demuestren su respuesta en el plazo adecuado. Documentación de quejas abiertas y cerradas. Versión 1.4 Página 14

Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP J PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN El proveedor debe establecer, aplicar y mantener un programa de seguridad de la información que incluya directivas y procedimientos para proteger la información personal y confidencial de Microsoft. Este programa debe abarcar los siguientes aspectos relacionados con la protección de la información personal y confidencial de Microsoft: El programa de seguridad que implemente el proveedor debe abarcar los puntos (a) (s) enumerados a la izquierda. Las medidas de seguridad pueden ser más amplias que las enumeradas si el cumplimiento de las normativas (como HIPPA o GLBA) o las cláusulas contractuales aplicables así lo requiriese. Seguridad a) Evaluaciones de riesgos anuales o más frecuentes. Las evaluaciones de riesgos de los proveedores deben incorporar las amenazas que surjan, los posibles impactos en el negocio y las probabilidades de que el riesgo se convierta en incidente. El proveedor debe modificar los procesos, procedimientos y directrices relacionados con la seguridad con arreglo a tales evaluaciones. b) Realización de análisis de vulnerabilidades en las redes internas y externas al menos una vez al trimestre y después de haber llevado a cabo cambios significativos en ellas (por ejemplo, instalaciones de nuevos componentes en el sistema, cambios en la topología de la red, modificaciones de las reglas de los firewall y actualizaciones de productos). c) Adopción de medidas para impedir el acceso no autorizado como el uso de controles de acceso lógicos y físicos eficaces, y para limitar el acceso físico a sistemas de información electrónicos. En todo caso, es necesario garantizar que el acceso autorizado se puede llevar a cabo sin problemas. d) Procedimientos para agregar usuarios nuevos, modificar los niveles de acceso de los usuarios actuales y quitar los usuarios que ya no necesitan tener acceso a la Versión 1.4 Página 15

información (aplicación de principios del mínimo privilegio). e) Asignación de responsabilidad y obligación de rendir cuentas con respecto a la seguridad. f) Asignación de responsabilidad y obligación de rendir cuentas con respecto a los cambios en el sistema y el mantenimiento de este. g) Implementación de actualizaciones y revisiones del software del sistema en un plazo razonable ajustado a los riesgos. h) Instalación de software antivirus y antimalware en todos los equipos conectados a la red incluidos, entre otros, los servidores, los equipos de sobremesa de producción y aprendizaje. La finalidad es proteger a los equipos frente a virus y aplicaciones de software potencialmente malintencionados. Las definiciones del software antivirus y antimalware deben actualizarse a diario o con más frecuencia si así lo indica Microsoft o el proveedor del software. i) Realización de pruebas, evaluación y autorización de los componentes del sistema antes de su implementación. j) Los proveedores que se dedican a desarrollar software deben cumplir las recomendaciones del Security Development Lifecycle (SDL) de Microsoft. Para obtener más información, visite http://www.microsoft.com/sdl. k) Resolución de quejas y solicitudes relacionadas con problemas de seguridad. l) Administración de errores y omisiones, incumplimientos de normas de seguridad, entre otros incidentes. Versión 1.4 Página 16

m) Procedimientos para detectar ataques o intrusiones en el sistema, sean reales o solo intentos, y procedimientos para probar de forma proactiva los procedimientos de seguridad (por ejemplo, pruebas de fisuras abiertas). n) Asignación de recursos de aprendizaje o de otro tipo para mejorar la aplicación de sus directivas de seguridad. o) Instrucciones para saber actuar ante excepciones y situaciones que no se han abordado de forma específica en el sistema. p) Procesamiento de la integridad y de directivas de seguridad del sistema relacionadas. q) Planes de recuperación ante desastres y realización de pruebas relacionadas. r) Aprovisionamiento para la identificación de compromisos definidos, acuerdos de nivel de servicio y otros contratos, así como para mantener la coherencia con ellos. s) Requisito de que los usuarios, la dirección y los terceros confirmen (al inicio de la actividad y anualmente) que comprenden, y aceptan cumplir, las directivas de privacidad aplicables y los procedimientos relacionados con la seguridad de la información personal. AUTENTICACIÓN El proveedor debe autenticar la identidad de una persona antes de concederle acceso a información personal y confidencial de Microsoft. El proveedor deberá usar procesos de autenticación que exijan el uso de un Id. y una contraseña exclusivos para obtener acceso en línea a la información personal. Para realizar la autenticación en línea, los proveedores están obligados a lo siguiente: 1. Usar la cuenta de Microsoft, siempre que sea posible. Versión 1.4 Página 17

2. Requerir que una persona use un Id. y contraseña exclusivos (o su equivalente). Para realizar la autenticación por teléfono, los proveedores están obligados a lo siguiente: 1. Requerir que el usuario valide su información de contacto y, cuando sea posible, proporcione al menos un dato exclusivo (por ejemplo, código UPC o nombre de concurso). ACCESO A INFORMACIÓN PERSONAL DE MICROSOFT POR PERSONAL DEL PROVEEDOR El proveedor debe limitar el acceso a la información personal de Microsoft al personal que necesite este acceso para cumplir con sus funciones profesionales. Los proveedores deben desactivar las cuentas de la red o de otros sistemas de aquellos empleados que dejen de trabajar en programas de Microsoft en un plazo de 24 horas desde que se produzca el cese de las funciones o en un plazo de 2 horas cuando la renuncia no sea voluntaria. Entre los procesos de autenticación telefónica, debe encontrarse la validación de la información de contacto de la persona interesada, además de la solicitud de algún dato que tan sólo ella debería conocer. Debe haber sistemas y procedimientos que permitan el acceso de los empleados del proveedor a la información personal sólo si existe alguna necesidad empresarial legítima para ello. Tales sistemas y procedimientos deben abarcar el acceso interno y externo, soportes físicos, documentos impresos, plataformas tecnológicas y soportes físicos de copia de seguridad. DESTRUCCIÓN DE INFORMACIÓN PERSONAL DE MICROSOFT Cuando sea necesario destruir información personal de Microsoft, el proveedor está obligado a lo siguiente: 1. Quemar, pulverizar o triturar los activos físicos que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. El proveedor debe demostrar que la destrucción de los activos físicos en que figuran los datos imposibilita la reconstrucción o lectura de éstos. 2. Destruir o borrar los activos digitales que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. Versión 1.4 Página 18

PROTECCIÓN DE ACTIVOS DIGITALES Las obligaciones del proveedor son las siguientes: 1. Emplear sistemas de cifrado estándares como SSL, TLS o IPsec para cifrar la información de Microsoft que se transmita y para autenticar a los emisores y receptores de ella. Debe haber sistemas y procedimientos que permitan proteger la información personal transmitida por Internet o por otras redes públicas. Algunas normativas (como HIPPA, GLBA o PCI) establecen requisitos específicos para la transmisión de datos. Debe efectuarse un mantenimiento adecuado de los certificados SSL para que se instalen los nuevos certificados SSL válidos antes de que caduquen los anteriores. 2. Use BitLocker u otro sistema alternativo equivalente, que cuente con reconocimiento dentro del sector, en los equipos portátiles donde se almacene información de Microsoft. 3. Cuando almacene los tipos de información personal de Microsoft que se indican a continuación, emplee algoritmos simétricos y asimétricos con un nivel elevado de cifrado que cumplan con los estándares del sector actuales. Este requisito debe aplicarse también a los dispositivos portátiles como unidades USB, teléfonos móviles, dispositivos o medios de copias de seguridad, entre otros. a. Números de identificación expedidos por el gobierno (por ejemplo, el número de afiliación a la Seguridad Social o el número de carné de conducir) b. Números de cuenta (por ejemplo, números de cuenta bancaria o de tarjeta de crédito) c. Historiales médicos (por ejemplo, números de historiales médicos o identificadores biométricos) 4. Solo se debe aceptar la información de Microsoft que se envíe por transferencia cifrada. Debe haber sistemas y procedimientos que permitan cifrar los números de identificación expedidos por el gobierno, los números de cuenta y la información médica que se albergue en las ubicaciones de almacenamiento. El proveedor no puede facilitar ninguna información personal transmitida sin el uso del cifrado. Versión 1.4 Página 19

5. Investigar de inmediato los incumplimientos, e intentos, de acceso no autorizado a sistemas que contengan información personal de Microsoft. 6. Comunicar de inmediato los resultados de las investigaciones a la dirección superior del proveedor y a Microsoft. Existen sistemas y procesos que permiten investigar los incumplimientos y los intentos de acceso no autorizado. Existen sistemas y procesos para comunicar a Microsoft los resultados de las investigaciones. 7. Cumplir con los estándares de procesamiento de tarjetas de crédito aplicables a las tarjetas que admita. PROTECCIÓN DE ACTIVOS FÍSICOS Las obligaciones del proveedor son las siguientes: 1. Almacenar la información personal de Microsoft en un entorno en el que el acceso esté controlado. 2. Transportar con seguridad la información personal de Microsoft. RECUPERACIÓN ANTE DESASTRES El proveedor debe garantizar que existen procesos de planificación ante desastres y de copia de seguridad para proteger la información personal y confidencial de Microsoft frente al uso, acceso, divulgación, alteración y destrucción no autorizados. PRUEBAS Y AUDITORÍAS Las obligaciones del proveedor son las siguientes: 1. Realizar pruebas con regularidad para comprobar la eficacia de las medidas principales adoptadas para proteger la información personal de Microsoft. Existen sistemas y procesos que permiten administrar el acceso físico a las copias digitales, impresas, de archivo y de copia de seguridad que contienen la información personal. Debe haber sistemas y procesos para proteger adecuadamente durante el transporte los activos físicos que contienen la información personal. Debe haber sistemas y procesos para proteger la información personal y confidencial de Microsoft frente a la posible destrucción, alteración, divulgación, y uso o acceso no autorizados en caso de desastre. La frecuencia de las pruebas exigidas variará en función de la envergadura y la complejidad de las operaciones del proveedor. Es preciso documentar las pruebas y los resultados obtenidos a raíz de éstas, así como las modificaciones efectuadas en los sistemas, directivas y procedimientos cuando logra identificarse algún defecto. Versión 1.4 Página 20