Tedarikçi Veri Koruması Gereksinimleri - Değerlendirme Ölçütleri
Uygulanabilirlik
Microsoft Tedarikçi Veri Koruması Gereksinimleri (DPR), Microsoft satınalma siparişi veya sözleşmesi uyarınca sağlanan hizmetlerin yürütülmesinin bir parçası
olarak Microsoft Kişisel Bilgilerini veya Microsoft Önemli Bilgilerini toplayan, kullanan, dağıtan, erişen veya depolayan tüm Microsoft tedarikçilerine uygulanabilir.
 Burada belirtilen gereksinimlerle tedarikçi ile Microsoft arasındaki sözleşmeye dayalı anlaşmada belirtilen gereksinimler arasında uyuşmazlık olması
durumunda sözleşmedeki hükümler öncelikli olur.
 Burada belirtilen gereksinimlerle herhangi bir yasal gereksinim arasında uyuşmazlık olması durumunda, yasal gereksinimler öncelikli olur.
"Microsoft Önemli Bilgileri"; gizlilik veya bütünlük nedeniyle ifşa edildiğinde, Microsoft açısından önemli maddi ve manevi kayıplar doğurabilecek türden
bilgilerdir. Bu, sınırlayıcı olmamak kaydıyla şunları içerir: Microsoft donanım ve yazılım ürünleri, şirket içinde kullanılan iş kolu uygulamaları, pazarlama
malzemelerinin ön sürümleri, ürün lisans anahtarları ve Microsoft ürün ve hizmetleriyle ilgili teknik belgeler.
"Microsoft Kişisel Bilgileri", Microsoft tarafından sağlanan veya bir tedarikçi tarafından Microsoft’a sağlanan hizmetlerle ilgili olarak toplanan bilgilerin tümüdür.
Bunlar:
(i)
söz konusu bilgilerin ilgili olduğu kişiyi tanımlayan veya tanımlamak, onunla iletişim kurmak veya belirlemek için kullanılabilen ya da
(ii)
bir kişinin kimliğinin veya iletişim bilgilerinin elde edilebileceği bilgilerdir.
Microsoft Kişisel Bilgileri, sayılanlarla sınırlı kalmamak üzere şunları içerir: ad, adres, telefon numarası, faks numarası, e-posta adresi, sosyal güvenlik numarası,
pasaport numarası, başka resmi kimlikler ve kredi kartı bilgileri. Ayrıca başka bilgiler de (bunlarla sınır olmamak kaydıyla kişisel profil, benzersiz tanımlayıcı,
biyometrik bilgiler ve/veya IP adresi) Microsoft Kişisel Bilgileriyle ilişkilendirildiği veya birleştirildiği sürece Microsoft Kişisel Bilgileri olarak kabul edilir.
DPR'nin yapısı
DPR, gizlilik uygulamalarını değerlendirmek için American Institute of Certified Public Accountants (AICPA - Amerikan Yeminli Mali Müşavirler Birliği) tarafından
tasarlanan bir çerçeveyi esas alır. Genel Olarak Kabul Gören Gizlilik İlkeleri (GAPP), kişisel bilgilerin korunması ve yönetimiyle ilgili ölçülebilir ölçütler içeren 10
bölüme ayrılmıştır. Bu çerçeve, ek Microsoft güvenlik ve gizlilik gereksinimleriyle geliştirilmiştir.
Sürüm 1.4
Sayfa | 1
Tanımlayıcı
A
Microsoft Tedarikçi Veri Koruması Gereksinimleri
Önerilen Değerlendirme Ölçütleri
Tedarikçinin, Microsoft Kişisel veya Önemli Bilgilerini
toplayabilmesi, kullanabilmesi, dağıtabilmesi,
depolayabilmesi veya bunlara erişebilmesi için:
GAPP
Bölümü
Yönetim
1. Gizlilik ve güvenlik veri koruma dilini içeren geçerli bir
Microsoft sözleşmesi, iş bildirimi veya satınalma
siparişi imzalamış olması gerekir.
Tedarikçi geçerli bir Microsoft sözleşmesi, iş bildirimi veya
satınalma siparişi sunmalıdır.
2. Şirket içinde belirlenen bir kişiyi veya grubu Microsoft
Tedarikçi Veri Koruması Gereksinimleriyle
uyumluluktan sorumlu tutmalıdır.
Tedarikçi, tedarikçinin Veri Koruması Gereksinimleriyle
uyumluluğunu sağlamakla görevli olan kişiyi veya grubu
belirlemelidir
Bu kişinin veya grubun yetkisi ve hesap verme sorumluluğu açık bir
şekilde belgelenmelidir.
Tedarikçi:
1. Yıllık çalışan gizlilik eğitimi hazırlayıp vermelidir.
Microsoft şurada ilgili materyalleri sunmaktadır:
http://www.microsoft.com/about/companyinformation/procurement/t
oolkit/en/us/privacymaterials.aspx
2. Microsoft Tedarikçi Veri Koruması Gereksinimleri
hakkındaki ilgili bilgileri, Microsoft için hizmet veren
personeline ve alt yüklenicilerine belirli aralıklarla
iletmelidir.
Sürüm 1.4
Tedarikçi, çalışanları, başlangıçta ve belirli aralıklarla temel gizlilik
ve güvenlik ilkeleri (Bildirim, Seçenek ve İzin, Toplama, Kullanma ve
Bekletme, Erişim, Başkasına Aktarma ve İfşa Etme, Güvenlik, Kalite,
İzleme ve Uygulama) konusunda eğitir. Bu eğitimin yapıldığına
kanıt olarak eğitim malzemeleri, katılım kayıtları, çalışanlarla
kurulan iletişim (e-posta, web siteleri, bültenler vb.) vb.
gösterilebilir.
Tedarikçi, Microsoft'a hizmet sağlamakla görevli olan çalışanları ve
alt yüklenicileri Microsoft Tedarikçi Veri Koruması Gereksinimleri
hakkında eğitir. Bu eğitimin başlangıçta ve dönemsel olarak
yapıldığına kanıt olarak eğitim malzemeleri, katılım kayıtları,
çalışanlarla ve alt yüklenicilerle kurulan iletişim (e-posta, web
siteleri, bültenler vb.) vb. gösterilebilir.
Sayfa | 2
Tanımlayıcı
Microsoft Tedarikçi Veri Koruması Gereksinimleri
B
Tedarikçi, bireylerden Microsoft Kişisel Bilgilerini toplarken
onların kişisel bilgilerini tedarikçiye gönderip
göndermeyeceklerine karar vermelere yardımcı olmak için
bireylere kolayca görebilecekleri gizlilik bildirimleri
sağlamalıdır.
Önerilen Değerlendirme Ölçütleri
Gizlilik bildirimleri, kişisel bilgilerin toplanma nedenini ve bu
bilgilerin hangi şartlar altında açıklanacağını veya hangi şartlar
altında açıklanma olasılığının bulunduğunu belirtmelidir.
GAPP
Bölümü
Bildirim
Gizlilik bildirimleri hazır bulundurulmalı, tarihi açıkça belirtilmiş
olmalı ve veri toplama sırasında veya öncesinde sağlanmalıdır.
Gizlilik bildirimi, şahsın verilerin kullanım amacını anlayabileceği
şekilde yazılmalıdır.
Microsoft için site barındıran tedarikçiler, gizlilik
bildirimlerini, Supplier Privacy Toolkit'te sağlanan
yönergelere ve şablonlara göre oluşturmalıdır.
Supplier Privacy Toolkit'e şuradan erişilir:
Microsoft şablonlarının kullanılmasını istiyorsa veya Supplier
Privacy Toolkit'te diğer yönergeleri sağlamışsa tedarikçi buna
uymalıdır.
http://www.microsoft.com/about/companyinformation/procure
ment/toolkit/en/us/default.aspx
Microsoft adına satış ve pazarlama kampanyaları yürüten
tedarikçiler, Supplier Privacy Toolkit'te sağlanan
yönergelere uymalıdır. Supplier Privacy Toolkit'e şuradan
erişilir:
http://www.microsoft.com/about/companyinformation/procure
ment/toolkit/en/us/default.aspx
Tedarikçiler canlı sesli arama aracılığıyla Microsoft Kişisel
Bilgilerini toplarken; ilgili veri toplama, işleme, kullanma ve
saklama uygulamaları hakkında müşteriyle görüşmeye
hazır olmalıdır.
Sürüm 1.4
Tedarikçi, telefonla kişisel bilgi toplandığında verilerin toplanması,
işlenmesi, kullanılması ve saklanması konularının ilgili şahısla
görüşüldüğünü kanıtlar.
Sayfa | 3
Tanımlayıcı
C
Microsoft Tedarikçi Veri Koruması Gereksinimleri
Önerilen Değerlendirme Ölçütleri
Tedarikçi, bir şahsın kişisel bilgilerini toplamadan önce o
şahsın iznini almalı ve bunu belgelendirmelidir.
Tedarikçi, şahısların kişisel bilgi vermeyi kabul etmesi veya
reddetmesi işlemlerini ve iki seçeneğin de sonuçlarını açıklar.
Tedarikçi, şahısların iletişim tercihlerini, Supplier Privacy
Toolkit'teki İletişim Tercihi genel kurallarına göre toplayıp
belgelendirmelidir. Supplier Privacy Toolkit'e şuradan
erişilir:
Tedarikçi, izni, kişisel bilgilerin toplanması sırasında veya daha
öncesinde belgeler.
http://www.microsoft.com/about/companyinformation/procure
ment/toolkit/en/us/default.aspx
GAPP
Bölümü
Tercihler
ve İzin
Tedarikçi, iletişim tercihlerini yazılı olarak veya elektronik ortamda
doğrular.
Tedarikçi, iletişim tercihlerini belgeler ve yönetir, ayrıca bu
tercihlerde yapılan değişiklikleri uygular ve yönetir.
Tedarikçi, şahıslara kişisel bilgilere yönelik yeni kullanım önerilerini
bildirir.
Tedarikçi:
Sürüm 1.4
1. Şahısların iletişim tercihleriyle ilgili değişiklikleri
zamanında belgelemeli ve yönetmelidir.
Tedarikçi, kişisel bilgilerin yeni kullanımlarına ilişkin izinleri alır ve
belgeler.
2. Şahısların kişisel bilgilerinin yeni bir şekilde kullanımı
için şahıslardan izin almalı ve belgelemelidir.
Tedarikçi, izin verilmeyen durumlarda bilginin kullanılmamasını
sağlar.
Sayfa | 4
Tanımlayıcı
Microsoft Tedarikçi Veri Koruması Gereksinimleri
D
Tedarikçi, yalnızca, Microsoft tarafından sağlanan hizmetleri
gerçekleştirmek için gereken bilgilerin toplandığından emin
olmak için Microsoft Kişisel Bilgilerinin toplanmasını
izlemelidir.
Gerekli kişisel bilgileri belirtmek için sistemler ve prosedürler
mevcuttur.
Tedarikçi, Microsoft adına üçüncü taraflardan kişisel bilgi
temin ediyorsa, tedarikçi, üçüncü taraf veri koruma
ilkelerinin ve uygulamalarının tedarikçinin Microsoft ile
yaptığı sözleşmeye ve DPR gereksinimlerine uygun olduğunu
doğrulamalıdır.
Tedarikçi, üçüncü tarafın veri koruma ilkeleri ve uygulamaları
konusunda gereken özeni gösterir.
Bir kişinin bilgisayarına yürütülebilir yazılım yüklenmesi veya
bilgisayarda yürütülebilir yazılımın kullanılması aracılığıyla
önemli Microsoft Kişisel Bilgilerini toplamadan önce, bu
bilgilerin toplanmasının gerektiği, Microsoft ile yapılan
tedarikçi sözleşmesinde belgelenmelidir.
Tedarikçi, bir şahsın bilgisayarında kişisel bilgi toplamak amacıyla
çalıştırılabilir bir yazılım kullanırken Microsoft'tan izin alır ve bunu
belgeler.
Şahısların ırkı, etnik kökeni, siyasi görüşleri, sendika üyeliği,
fiziksel sağlığı veya akıl sağlığı ya da cinsel hayatı gibi hassas
konularda Microsoft Kişisel Bilgilerini toplamadan önce, bu
bilgilerin toplanmasının gerektiği, Microsoft ile yapılan
tedarikçi sözleşmesinde belgelenmelidir.
Tedarikçi, hassas kişisel bilgileri toplamadan önce Microsoft'tan izin
alır ve bunu belgeler.
Sürüm 1.4
Önerilen Değerlendirme Ölçütleri
GAPP
Bölümü
Toplama
Tedarikçi, sistemlerin ve işlemlerin etkinliğini sağlamak için toplama
işlemini izler.
Sayfa | 5
Tanımlayıcı
E
Microsoft Tedarikçi Veri Koruması Gereksinimleri
Önerilen Değerlendirme Ölçütleri
Tedarikçi:
1. Microsoft Kişisel ve Önemli Bilgilerinin yalnızca, Microsoft
tarafından sunulan hizmetleri sağlamak için kullanılmasını
sağlamalıdır.
GAPP
Bölümü
Saklama
Kişisel ve Önemli Bilgilerin kullanımını izleyen sistemler ve
prosedürler mevcuttur.
Tedarikçi, etkin bir şekilde yürütülmelerini sağlamak için sistemleri
ve işlemleri izler.
2. Microsoft Kişisel ve Önemli Bilgilerinin sürekli olarak
saklanması yasayla mecbur tutulmadıkça, bu bilgilerin
hizmetleri sağlamak için gerekenden fazla bir süre
saklanmamasını sağlamalıdır.
Tedarikçi, Microsoft tarafından sözleşmede, iş bildiriminde veya
satınalma siparişinde belirtilen belgelenmiş saklama ilkelerine veya
saklama gereksinimlerine uyar.
3. Microsoft Kişisel ve Önemli Bilgilerinin saklanmasını ve
elden çıkarılmasını belgelemelidir. Talep edilmesi halinde,
tedarikçi, Microsoft'a tedarikçinin yetkililerinden biri
tarafından imzalanmış bir yok etmek sertifikası
sunmalıdır.
Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerinin elden
çıkarılmasının (örneğin, Microsoft'a iade etme veya yok etme)
kaydını tutar.
4. Tamamen Microsoft'un takdirine bağlı olarak, hizmetler
tamamlandıktan sonra veya Microsoft'un talep etmesi
üzerine, tedarikçinin elinde bulunan veya kontrolü altında
olan Microsoft Kişisel veya Önemli Bilgilerinin Microsoft'a
iade edilmesini veya yok edilmesini sağlamalıdır.
Sürüm 1.4
Sayfa | 6
Tanımlayıcı
Microsoft Tedarikçi Veri Koruması Gereksinimleri
F
Şahıslar kendi Microsoft Kişisel Bilgilerine erişmek istediğinde,
tedarikçi:
Önerilen Değerlendirme Ölçütleri
GAPP
Bölümü
Erişim
1. Şahısların kendi Microsoft Kişisel Bilgilerine erişebilmeleri
için yapmaları gereken şeyleri onlara bildirmelidir.
Tedarikçi, kişisel bilgilere erişim için uygulanması gereken adımları
ve bilgilerin güncellenmesi için kullanılan yöntemleri bildirir.
2. Kendi Microsoft Kişisel Bilgilerine erişmek isteyen
şahısların kimliğini doğrulamalıdır.
Tedarikçi, kimlik doğrulama için devlet tarafından verilen
tanımlayıcıları kullanmaz.
3. Başka makul bir seçenek olmaması haricinde, kimlik
doğrulama için devlet tarafından verilen tanımlayıcıları
(örneğin, Sosyal Güvenlik numarası) kullanmaktan
kaçınmalıdır.
Tedarikçi çalışanları, kişisel bilgilerine erişim talep eden veya kişisel
bilgileri üzerinde değişiklik yapan şahısların kimliğini doğrulamak
üzere eğitilir.
Bir şahsın kimliği doğrulandıktan sonra tedarikçi:
Sürüm 1.4
1. O şahsa ait Microsoft Kişisel Bilgilerini elinde tutup
tutmadığını veya kontrol edip etmediğini belirlemelidir.
Tedarikçi, kişisel bilgilerin tutulup tutulmadığını belirleyen
prosedürlere sahiptir.
2. İstenen Microsoft Kişisel Bilgilerini bulmak için makul bir
çaba göstermeli ve makul bir aramanın yapıldığını
göstermeye yetecek kadar kayıt tutmalıdır.
Tedarikçi, taleplere zamanında yanıt verir.
3. Erişim isteklerinin tarihini ve saatini ve tedarikçinin bu
isteklere yanıt olarak gerçekleştirdiği eylemleri
kaydetmelidir.
Tedarikçi, erişim taleplerinin kaydını tutar ve kişisel bilgiler üzerinde
yapılan değişiklikleri belgeler.
4. İstendiğinde, Microsoft'a erişim taleplerinin kayıtlarını
sağlamalıdır.
Erişim reddi yazılı olarak belgelenmeli ve erişimin neden
reddedildiği de belirtilmelidir.
Sayfa | 7
Şahısların kimliği doğrulanıp tedarikçi, talep edilen Microsoft
Kişisel Bilgilerine sahip olduğunu doğruladıktan sonra,
tedarikçi:
1. Şahıslara Microsoft Kişisel Bilgilerini uygun bir biçimde
(basılı, elektronik veya sözlü olarak) vermelidir.
Tedarikçi, şahıslara kişisel bilgileri anlaşılabilir bir biçimde ve
şahıslar ve tedarikçi için uygun olan bir formda sağlar.
2. Erişim istekleri reddedilirse, şahıslara, daha önceden
Microsoft tarafından sağlanan ilgili yönergelerle tutarlılık
gösteren yazılı bir açıklama yapmalıdır.
Sürüm 1.4
Tedarikçi, şahıslara verilen Microsoft Kişisel Bilgilerinin başka
bir kişinin kimliğini tespit etmek için kullanılamamasını
sağlamak için makul ölçüde tedbir almalıdır.
Tedarikçi, verilen bilgilerden başka bir şahsın kimliğinin
belirlenememesini sağlayacak makul önlemlerin alındığını
kanıtlamalıdır (örneğin, talep edilen şahıs bilgilerinin yalnızca tek bir
satırda yer aldığı bir sayfanın tamamı çoğaltılamaz).
Şahıs ve tedarikçi arasında Microsoft Kişisel Bilgilerinin
eksiksiz ve doğru olup olmadığı konusunda anlaşmazlık
olursa, tedarikçi bu sorunu Microsoft'a bildirmeli ve sorunu
çözmek için Microsoft ile gerektiği gibi iş birliği yapmalıdır.
Tedarikçi, anlaşmazlık durumlarını belgeler ve sorunu Microsoft'a
iletir.
Sayfa | 8
Tanımlayıcı
Microsoft Tedarikçi Veri Koruması Gereksinimleri
G
Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerinin
toplanmasına, kullanılmasına, dağıtılmasına, depolanmasına
veya bunlara erişilmesine yardımcı olması için bir alt yüklenici
kullanmak niyetindeyse:
1. Microsoft Supplier Program'a katılan alt yüklenicileri
kullanmalı veya hizmetler için alt yüklenici kullanmadan
önce Microsoft’un açık yazılı iznini almalıdır.
Önerilen Değerlendirme Ölçütleri
GAPP
Bölümü
Üçüncü
Taraflara
İfşa Etme
Tedarikçi, alt yüklenicilerin Microsoft Preferred Supplier Program
(MPSP) katılımcısı olduğunu doğrular.
Tedarikçi, MPSP'ye dahil olmayan tedarikçileri kullanmak için yazılı
izin alır.
2. Alt yüklenicilere ifşa edilen veya aktarılan Microsoft
Kişisel ve Önemli Bilgilerinin türünü ve kapsamını
belgelemelidir.
Tedarikçi, alt yüklenicilere ifşa edilen veya aktarılan Microsoft
Kişisel ve Önemli Bilgileri konusunda sürekli olarak belgelendirme
yapar.
3. Alt yüklenicinin, Microsoft Kişisel Bilgilerini, şahısların
beyan edilmiş iletişim tercihlerine uygun olarak
kullanmasını sağlamalıdır.
Alt yüklenicinin, Microsoft Kişisel Bilgilerini yalnızca
belirlenen amaç doğrultusunda ve şahısların iletişim
tercihlerine uygun olarak kullanmasını sağlayan sistemler ve
işlemler mevcuttur.
4. Alt yüklenicinin Microsoft Kişisel Bilgilerini kullanımını,
tedarikçinin Microsoft ile yaptığı sözleşme koşullarını
yerine getirmesi için gereken şeylerle sınırlamalıdır.
Tedarikçi, mahkeme emrine yanıt olarak Microsoft Kişisel
Bilgilerinin alt yüklenici tarafından herhangi bir şekilde ifşa
edilmesine izin verilmeden önce Microsoft ile görüşüldüğünü
(müsade edildiğinde) kanıtlayabilir.
5. Microsoft Kişisel Bilgilerinin alt yüklenici tarafından ifşa
edilmesini isteyen bir mahkeme emri varsa, bu emre
veya bildirime herhangi bir yanıt vermeden önce,
yasaların izin verdiği ölçüde, durumu derhal Microsoft'a
bildirmeli ve Microsoft'a olaya müdahale etme fırsatını
sağlamalıdır.
Sürüm 1.4
Sayfa | 9
6. Microsoft Kişisel Bilgilerinin yetkisiz olarak kullanılması
veya ifşa edilmesi emarelerine dair şikayetleri
incelemelidir.
Microsoft Kişisel Bilgilerinin alt yüklenici tarafından yetkisiz
kullanımına veya ifşa edilmesine ilişkin şikayetler için sistemler ve
işlemler mevcuttur.
7. Bir alt yüklenicinin, Microsoft Kişisel ve Önemli Bilgilerini,
Microsoft'a veya onun tedarikçilerine Microsoft ile ilgili
hizmetler sağlamak dışında başka bir amaçla kullandığını
veya ifşa ettiğini öğrenir öğrenmez bu durumu derhal
Microsoft'a bildirmelidir.
Tedarikçi, alt yükleniciler Microsoft Kişisel Bilgilerini yetkisiz
amaçlarla kullandıklarında Microsoft'un bu durumdan haberdar
edildiğini kanıtlayabilir.
8. Bir alt yüklenicinin, Microsoft Kişisel ve Önemli Bilgilerini
yetkisiz olarak kullanması veya ifşa etmesi sonucunda
ortaya çıkan zararı veya olası zararı azaltmak için derhal
harekete geçmelidir.
Tedarikçi, alt yükleniciler Microsoft Kişisel ve Önemli Bilgilerini
yetkisiz amaçlarla kullandıklarında veya bunları ifşa ettiklerinde
gerekli işlemlerin yapıldığını kanıtlayabilir.
Üçüncü taraftan kişisel bilgi kabul etmeden önce, tedarikçi:
Sürüm 1.4
1. Üçüncü tarafın veri toplama uygulamalarının DPR ile
uyumlu olduğunu doğrulamalıdır.
Üçüncü taraf veri toplama uygulamalarını doğrulayan işlemler
mevcuttur.
2. Üçüncü tarafların yalnızca, Microsoft tarafından sağlanan
hizmetleri gerçekleştirmek için gereken kişisel bilgileri
topladığını doğrulamalıdır.
Üçüncü taraflardan gelen Microsoft Kişisel Bilgilerinin aktarımını,
yalnızca sözleşmeli hizmetleri gerçekleştirmek için gerekenlerle
sınırlayan işlemler mevcuttur.
Tedarikçi, herhangi bir Microsoft Kişisel Bilgisini üçüncü bir
tarafa sağlamadan önce Microsoft'tan yazılı izin almalıdır.
Tedarikçi yazılı iznin kopyalarını sağlayabilir.
Sayfa | 10
Gereksinim
Tanımlayıcısı
H
Microsoft Tedarikçi Veri Koruması Gereksinimleri
Tedarikçi, Microsoft Kişisel Bilgilerinin tümünü doğru,
eksiksiz ve beyan edilen toplanma ya da kullanılma
amaçlarıyla ilgili olmasını sağlamalıdır.
Önerilen Değerlendirme Ölçütleri
Bilgiler toplandığında, oluşturulduğunda ve güncellendiğinde
doğrulanır.
GAPP
Bölümü
Kalite
Sürekli olarak doğruluğu kontrol eden ve gerekli düzeltmeleri
yapan sistemler ve işlemler mevcuttur.
Belirtilen amacın yerine getirilmesi için gereken minimum
miktarda kişisel bilgi toplanmalıdır.
Sürüm 1.4
Sayfa | 11
Gereksinim
Tanımlayıcısı
I
Microsoft Tedarikçi Veri Koruması Gereksinimleri
Önerilen Değerlendirme Ölçütleri
Tedarikçi:
GAPP
Bölümü
İzleme ve
Uygulama
1. Veri Koruması Gereksinimleriyle uyumluluğunu
doğrulamak için yıllık uyumluluk incelemesi yapmalıdır.
Tedarikçi, yıllık uyumluluk incelemelerinin yapıldığını
kanıtlamalıdır.
2. Tedarikçinin Microsoft Kişisel Bilgilerini işlemesiyle ilgili
herhangi bir şüphelenilen veya bilinen gizlilik ihlali ya da
güvenlik açığı durumunu öğrendiği andan itibaren 24
saat içinde bu durumu Microsoft'a bildirmelidir.
Tedarikçi, şüphelenilen veya bilinen bir gizlilik ihlalinin veya
güvenlik açığının Microsoft'a bildirildiğini kanıtlamalıdır.
3. Yasalar veya mevzuat gerektirmedikçe, Microsoft Kişisel
veya Önemli Bilgilerini içeren şüphelenilen veya
gerçekleşmiş bir olayla ilgili olarak, Microsoft'un onayını
almadan herhangi bir basın açıklaması ya da genel
duyuru yayınlamamalıdır.
Sürüm 1.4
4. Şüphelenilen veya bilinen güvenlik açıklarını ve ihlalleri
derhal azaltmalıdır.
Güvenlik açıkları ve ihlaller zamanında çözümlenir.
5. Zamanında uygun bir düzeltme eylemenin
gerçekleştirilmesini sağlamak için bir düzeltme planı
uygulamalı ve Microsoft Kişisel Bilgileriyle ilgili ihlallerin
ve güvenlik açıklarının çözümlenmesini izlemelidir.
Uygun olduğunda düzeltme planları mevcuttur.
Sayfa | 12
Tedarikçi:
Sürüm 1.4
1. Microsoft Kişisel Bilgileriyle ilgili veri koruma şikayetlerinin
tümüne yanıt vermek için resmi bir şikayet işlemi tesis
etmelidir.
Tedarikçinin şikayetleri ele almak ve Microsoft'a bildirmek için
belgelenmiş bir işlemi olmalıdır.
2. Microsoft Kişisel Bilgileriyle ilgili her tür şikayeti
Microsoft'a bildirmelidir.
Zamanında yanıt verildiğini gösteren şikayet kayıtları.
3. Microsoft tarafından özel talimatlar verilmediği sürece
Microsoft Kişisel Bilgileriyle ilgili veri koruması
şikayetlerinin tümünü kaydetmeli ve bunlara zamanında
yanıt vermelidir.
4. Talep edilmesi halinde, çözümlenmiş ve çözümlenmemiş
şikayetlerle ilgili belgeleri Microsoft'a sağlamalıdır.
Açık/kapalı şikayetlerle ilgili belgeler.
Sayfa | 13
Tanımlayıcı
Microsoft Tedarikçi Veri Koruması Gereksinimleri
J
BİLGİ GÜVENLİĞİ PROGRAMI
Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerini korumak için
ilkeler ve prosedürler içeren bir bilgi güvenliği programı
hazırlamalı, uygulamalı ve bu programı sürdürmelidir.
Tedarikçinin güvenlik programı, Microsoft Kişisel ve Önemli
Bilgilerinin korunmasıyla ilgili aşağıdaki konuları
kapsamalıdır:
a) Yılda bir defa veya daha sık risk değerlendirmeleri
yapma.
Önerilen Değerlendirme Ölçütleri
GAPP
Bölümü
Güvenlik
Tedarikçinin uygulanan güvenlik programı, solda listelenen (a) –
(s) maddelerini kapsamalıdır.
Korumalar, mevzuat planlarını (örneğin, HIPPA, GLBA) veya
sözleşme gereksinimlerini karşılamak için gerektiğinde
listelenenlerden fazla olabilir.
Tedarikçi risk değerlendirmeleri, yeni yeni ortaya çıkan tehditleri,
bunların iş üzerindeki olası etkilerini ve meydana gelme
ihtimallerini içermelidir. Tedarikçi, güvenlikle ilgili işlemleri,
prosedürleri ve genel kuralları buna göre değiştirmelidir.
b) En az üç ayda bir ve ağda önemli bir değişiklik olduktan
sonra (örneğin, yeni sistem bileşeni yüklemeleri, ağ
topolojisindeki değişiklikler, güvenlik duvarı kuralı
değişiklikleri, ürün yükseltmeler) iç ve dış ağ güvenlik
açığı taramaları yapma.
c) Yetkili erişime izin verilmesini sağlayıp, elektronik bilgi
sistemlerine fiziksel erişimi sınırlama dahil olmak üzere
etkili fiziksel ve mantıksal erişim denetimleri kullanarak
yetkisiz erişimi önleme.
d) Yeni kullanıcı ekleme, var olan kullanıcıların erişim
düzeylerini değiştirme ve artık erişim ihtiyacı olmayan
kullanıcıları kaldırma prosedürleri (en düşük öncelik
ilkelerini uygulama).
e) Güvenlikten sorumlu tutma ve bu konuda hesap verme
mecburiyeti getirme.
Sürüm 1.4
Sayfa | 14
f)
Sistem değişiklikleri ve bakımdan sorumlu tutma ve bu
konuda hesap verme mecburiyeti getirme.
g) Riske bağlı olarak makul bir süre içinde sistem yazılımı
yükseltmelerini ve düzeltme eklerini uygulama.
h) Zararlı olabilecek virüslere ve kötü amaçlı yazılım
uygulamalarına karşı koruma sağlamak amacıyla,
sunucular, üretim ve eğitim masaüstü bilgisayarları dahil
ancak bunlarla sınırlı olmamak üzere, ağa bağlı tüm
ekipmanlar için virüsten ve kötü amaçlı yazılımdan
koruma yazılımı yükleme. Virüsten koruma ve kötü
amaçlı yazılımdan koruma tanımları günde bir defa veya
Microsoft ya da virüsten koruma/kötü amaçlı yazılımdan
koruma yazılımı tedarikçisinin talimatına göre daha sık
güncellenmelidir.
i)
Sistem bileşenlerini uygulamadan önce test etme,
değerlendirme ve yetkilendirme.
j)
İşlerinin bir parçası olarak yazılım geliştiren tedarikçiler
Microsoft’un Security Development Lifecycle (SDL)
kurallarına bağlı kalmalıdır.
http://www.microsoft.com/sdl adresinde daha fazla bilgi
mevcuttur.
k) Güvenlik sorunlarıyla ilgili şikayetlerin ve isteklerin
çözümü.
l)
Hataların ve eksikliklerin, güvenlik ihlallerinin ve diğer
olayların işlenmesi.
m) Sistemlere yönelik gerçekleşen ve girişilen saldırıları veya
izinsiz girişleri algılama ve güvenlik prosedürlerini
proaktif olarak test etme (örneğin, sızma testi)
prosedürleri.
Sürüm 1.4
Sayfa | 15
n) Güvenlik ilkelerini desteklemek için eğitim kaynaklarını
ve diğer kaynakları tahsis etme.
o) Sisteminde özel olarak ele alınmayan özel durumları ve
durumları işlemek için provizyon.
p) Bütünlük ve ilgili sistem güvenliği ilkelerini işleme.
q) Olağanüstü durum kurtarma planları ve ilgili testler.
r) Tanımlanmış taahhütlerin, hizmet düzeyi sözleşmelerinin
ve diğer sözleşmelerin belirlenmesi ve bunlarla tutarlılık
için provizyon.
s) Kullanıcıların, yönetimin ve üçüncü tarafların, kişisel
bilgilerin güvenliğiyle ilgili ilkeleri ve prosedürleri
anladıklarını ve bunlara uymayı kabul ettiklerini
doğrulamaları (başlangıçta ve her yıl) gereksinimi.
KİMLİK DOĞRULAMA
Tedarikçi, bir şahısa Microsoft Kişisel veya Önemli Bilgilerine
erişim imkanı vermeden önce o kişinin kimliğini
doğrulamalıdır
Tedarikçi tarafından uygulanan kimlik doğrulama işlemleri, şahsın
kişisel bilgilerine çevrimiçi erişim için benzersiz bir kullanıcı
kullanıcı kimliğinin ve parolanın kullanılmasını gerektirmelidir.
Çevrimiçi kimlik doğrulama için tedarikçiler:
1. Mümkünse Microsoft Hesabı kullanmalıdır.
2. Şahıslardan benzersiz bir kimlik ve parola (veya
eşdeğeri) kullanmalarını istemelidir.
Telefonla kimlik doğrulama için tedarikçiler:
1. Kullanıcının kişi bilgilerini doğrulamasını ve mümkün
olduğunda, en az bir benzersiz bilgi (örneğin, UPC
kodu, yarışma adı) sağlamasını istemelidir.
Sürüm 1.4
Telefonla kimlik doğrulama işlemleri, şahıs tarafından kişi
bilgilerinin ve yalnızca ilgili şahsın bileceği benzersiz bir bilginin
doğrulanmasını içermelidir.
Sayfa | 16
TEDARİKÇİ PERSONELİNİN MICROSOFT KİŞİSEL BİLGİLERİNE ERİŞİMİ
Tedarikçi, personelinin Microsoft Kişisel Bilgilerine erişimini
iş ihtiyacıyla sınırlamalıdır.
Tedarikçi çalışanlarının, işle ilgili meşru ihtiyaçların karşılanması
amacıyla kişisel bilgilere erişimini sağlamaya ilişkin sistemler ve
prosedürler bulunmalıdır.
Tedarikçiler, artık Microsoft programlarında çalışmayan
kişilerin ağ ve diğer destek hesaplarının tümünü, kişinin
programdan ayrılmasının ardından 24 saat içinde ve kendi
isteği dışında işten çıkarılması durumunda ise 2 saat içinde
devre dışı bırakmalıdır.
Bu sistemler ve prosedürler dahili/harici erişime, ortama, kağıda,
teknoloji platformlarına ve yedekleme ortamına yönelik olmalıdır.
MICROSOFT KİŞİSEL BİLGİLERİNİN YOK EDİLMESİ
Microsoft Kişisel Bilgilerinin yok edilmesi gerektiğinde,
tedarikçi:
1. Microsoft Kişisel Bilgilerini içeren fiziksel varlıkları
yakarak, öğüterek veya lime lime ederek bu bilgilerin
okunamayacak veya yeniden oluşturulamayacak hale
gelmesini sağlamalıdır.
Tedarikçi, fiziksel varlıkların veriler okunamayacak veya yeniden
oluşturulamayacak şekilde yok edildiğini kanıtlamalıdır.
2. Microsoft Kişisel Bilgilerini içeren dijital varlıkları imha
ederek veya silerek bu bilgilerin okunamayacak veya
yeniden oluşturulamayacak hale gelmesini sağlamalıdır.
DİJİTAL VARLIKLARIN KORUNMASI
Tedarikçi:
Internet veya diğer ortak ağlar üzerinden iletilen kişisel bilgileri
koruyan sistemler ve prosedürler bulunmalıdır.
1. İletimde ve gönderici/alıcı kimlik doğrulaması için
Microsoft Bilgileri için endüstri standardı SSL, TLS veya
IPsec şifreleme uygulamalarını kullanmalıdır.
Bazı mevzuat planları (örneğin, HIPPA, GLBA, PCI) veri iletimine
ilişkin belirli gereksinimler içerir.
SSL sertifikaları konusunda gerekenler yapılarak eskilerin kullanım
süresi dolmadan önce yeni ve geçerli SSL sertifikaların yüklenmesi
sağlanır.
2. Microsoft Bilgilerinin depolandığı dizüstü bilgisayarlarda
BitLocker veya bunun sektörde tanınan eşdeğer bir
alternatifini kullanmalıdır.
Sürüm 1.4
Sayfa | 17
3. Aşağıda listelenmiş olan Microsoft Kişisel Bilgileri
türlerini depolarken, günümüzün endüstri standartlarına
uygun olan kriptografik olarak güçlü simetrik ve
asimetrik algoritmalar kullanmalıdır. Bu gereksinim; USB
sürücüler, cep telefonları, yedekleme cihazları veya
medyası vb. dahil ancak bunlarla sınırlı olmamak üzere,
taşınabilir cihazları kapsar.
a. resmi kimlik numaraları (örneğin, sosyal güvenlik
veya sürücü ehliyeti numaraları);
b. hesap numaraları (örneğin, kredi kartı ve banka
hesabı numaraları);
c. tıbbi profiller (örneğin, tıbbi kayıt numaraları
veya biyometrik tanımlayıcılar).
Saklanan resmi kimlik numaralarını, hesap numaralarını ve tıbbi
bilgileri şifreleyen sistemler ve prosedürler bulunmalıdır.
4. Yalnızca şifreli iletim aracılığıyla gönderilen Microsoft
Bilgilerini kabul etmelidir.
Tedarikçi, şifrelenmemiş yöntemlerle iletilen kişisel bilgilerin
teslimini reddetmelidir.
5. İhlalleri ve Microsoft Kişisel Bilgilerini içeren sistemlere
yetkisiz erişim imkanı elde etme girişimlerini derhal
araştırmalıdır.
İhlalleri veya yetkisiz erişim girişimlerini araştıran sistemler ve
işlemler mevcuttur.
6. Araştırma sonuçlarını üst düzey bir tedarikçi yöneticisine
ve Microsoft'a derhal bildirmelidir.
Araştırma sonuçlarını Microsoft'a bildiren sistemler ve işlemler
mevcuttur.
7. Kabul ettiği kartlar için ilgili kredi kartı işleme
standartlarına bağlı kalmalıdır.
FİZİKSEL VARLIKLARIN KORUNMASI
Tedarikçi:
Sürüm 1.4
1. Microsoft Kişisel Bilgilerini erişim denetimi olan bir
ortamda depolamalıdır.
Kişisel bilgilerin dijital, yazdırılmış kopya, arşiv ve yedek kopyalarına
fiziksel erişimi düzenleyen sistemler ve işlemler mevcuttur.
2. Microsoft Kişisel Bilgilerini güvenli bir şekilde
nakletmelidir.
Kişisel bilgi içeren fiziksel varlıkların nakil sırasında yeterli
derecede korunmasını sağlayan sistemler ve işlemler
bulunmalıdır.
Sayfa | 18
OLAĞANÜSTÜ DURUM KURTARMA
Tedarikçi, yedekleme ve olağanüstü durum kurtarma
planlama işlemlerinin Microsoft Kişisel ve Önemli Bilgilerini
yetkisiz kullanımdan, erişimden, ifşadan, değiştirmeden ve
yok edilmeden korumasını sağlamalıdır.
Olağanüstü bir durum halinde Microsoft Kişisel ve Önemli
Bilgilerini yok edilmekten, değiştirilmekten, ifşa edilmekten veya
yetkisiz kullanımdan veya erişimden koruyan sistemler ve
işlemler bulunmalıdır.
TESTLER VE DENETIMLER
Tedarikçi:
Gerekli testlerin sıklığı, tedarikçi işlemlerinin boyutuna ve
karmaşıklığına bağlı olarak değişir.
1. Microsoft Kişisel Bilgilerini koruyan anahtar
korumalarının etkinliğini düzenli olarak test etmelidir.
Testin ve test sonuçlarının, ayrıca test sonuçları bir eksikliği
gösterdiğinde sistemde, ilkelerde veya prosedürlerde yapılan
değişikliklerin belgelenmesi gerekir.
2. Güvenlik kontrollerinin bağımsız denetimlerinin düzenli
aralıklarla gerçekleştirilmesini sağlamalıdır.
MS sözleşme şartları gerektirdiğinde, güvenlik denetimleri
sözleşme şartlarına uygun olarak yürütülmelidir.
3. Talep edildiğinde, bu denetimlerin sonuçlarını
Microsoft'a sunmalıdır.
4. Olağanüstü durum kurtarma planlarını ve yedek planları
belgelendirmeli ve bunların kullanılabilirliğini sağlamak
için en az yılda bir defa bunları test etmelidir.
Tedarikçi, yedekleme sıklığını belirten yedekleme ilkesini
belgelendirmiş olmalıdır. Yedek kopyalar güvenli bir şekilde
depolanmalıdır. Yedeklemeler, bunların kullanılabilirliğinden
emin olmak için gerçek geri yüklemelerle düzenli olarak test
edilmelidir.
5. Güvenlik sızması incelemeleri dahil olmak üzere düzenli
olarak tehdit ve güvenlik açığı testleri yapmalıdır.
6. Geliştirme veya test ortamında kullanılan Microsoft
Kişisel Bilgilerinin tümünü isimsizleştirmelidir.
Sürüm 1.4
Microsoft Kişisel Bilgileri geliştirme ve test ortamlarında
kullanılmamalıdır; başka bir seçenek yoksa kişilerin tanınmasını
veya kişisel bilgilerin kötüye kullanılmasını önlemek için isimsiz
kullanım tercih edilmelidir.
Sayfa | 19
Download

Tedarikçi Veri Koruması Gereksinimleri - Değerlendirme