Microsoft Tedarikçi Veri Koruması Gereksinimleri

Transkript

1 Microsoft Tedarikçi Veri Koruması Uygulanabilirlik Microsoft Tedarikçi Veri Koruması (DPR), Microsoft satın alma siparişi veya sözleşmesi uyarınca sağlanan hizmetlerin yürütülmesinin bir parçası olarak Microsoft Kişisel Bilgilerini veya Microsoft Gizli Bilgilerini işleyen tüm Microsoft tedarikçilerine uygulanabilir. Burada belirtilen gereksinimlerle tedarikçi ile Microsoft arasındaki sözleşmeye dayalı anlaşmada belirtilen gereksinimler arasında uyuşmazlık olması durumunda sözleşmedeki hükümler öncelikli olur. Burada belirtilen gereksinimlerle herhangi bir yasal gereksinim arasında uyuşmazlık olması durumunda, yasal gereksinimler öncelikli olur. Diğer yükümlülüklerini sınırlamaksızın, Microsoft un Microsoft Kişisel Bilgilerinin uluslararası iletimi için önceden yazılı onay vermesi durumunda, tedarikçi, standart sözleşme şartlarının, bağlayıcı kurumsal kuralların ve AB-ABD ve İsveç ABD Gizlilik Kalkanı çerçeveleri ve AB Genel Veri Koruma Yönetmeliği dahil ama bunlarla sınırlı olmamak üzere herhangi bir veri koruma makamı, Avrupa Veri Koruma Kurulu veya Avrupa Komisyonu tarafından onaylanan ve Microsoft tarafından benimsenen veya kabul edilen diğer şemaların veri koruma gereksinimlerine uymalıdır. Tedarikçi, Gizlilik Kalkanı ilkelerinin gerektirdiği düzeyde koruma sağlama yükümlülüğünü artık yerine getiremeyeceğini belirlemesi durumunda Microsoft a bildirimde bulunmayı kabul eder. Ayrıca tedarikçi, tüm alt işleyicilerin de (Avrupa Komisyonu Kararı C(2010)593 e Ek olarak yayımlanan 2010 tarihli Standart Sözleşme Maddelerinin 1(d) Maddesinde tanımlandığı şekilde) bu gereksinimlere uymasını sağlar. Microsoft Gizli Bilgileri ; gizlilik veya bütünlük nedeniyle ifşa edildiğinde, Microsoft açısından önemli maddi ve manevi kayıplar doğurabilecek türden bilgilerdir. Bu, sınırlayıcı olmamak kaydıyla şunları içerir: Microsoft donanım ve yazılım ürünleri, şirket içinde kullanılan iş kolu uygulamaları, pazarlama malzemelerinin ön sürümleri, ürün lisans anahtarları ve Microsoft ürün ve hizmetleriyle ilgili teknik belgeler. Microsoft Kişisel Bilgileri, Microsoft tarafından veya Microsoft adına işlenen her türlü Kişisel Bilgi anlamına gelir. Kişisel Bilgiler, kimliği belirlenmiş veya belirlenebilecek bir gerçek kişiyle ( Veri Sahibi ) ilgili her tür bilgi anlamına gelir; kimliği belirlenebilecek gerçek kişi, özellikle ad, kimlik numarası, konum verisi, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıyla ya da söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, mental, ekonomik, kültürel veya sosyal kimliğine özel bir veya daha çok faktöre göre doğrudan veya dolaylı olarak tanımlanabilen kişidir. Kişisel Bilgilerin İhlali, iletilen, saklanan veya başka şekilde işlenen Kişisel Bilgilerin kazara veya yasa dışı bir şekilde yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz ifşasına veya bu bilgilere erişilmesine yol açan bir güvenlik ihlali anlamına gelir. İşlem, toplama, kayıt, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, elde etme, başvurma, kullanma, iletmek yoluyla açıklama, yayma veya başka şekilde kullanıma sunma, uyumlaştırma veya birleştirme, kısıtlama, silme veya imha etme gibi Kişisel Bilgiler veya Kişisel Bilgi grupları üzerinde otomatik olan veya olmayan araçlarla gerçekleştirilen her türlü işlem veya işlem grubudur. DPR'nin yapısı DPR, gizlilik uygulamalarını değerlendirmek için American Institute of Certified Public Accountants (AICPA - Amerikan Yeminli Mali Müşavirler Birliği) tarafından tasarlanan bir çerçeveyi esas alır. Genel Olarak Kabul Gören Gizlilik İlkeleri (GAPP), Kişisel Bilgilerin korunması ve yönetimiyle ilgili ölçülebilir ölçütler içeren 10 bölüme ayrılmıştır. Bu çerçeve, ek Microsoft güvenlik ve gizlilik gereksinimleriyle geliştirilmiştir. Sürüm 4 Temmuz 2017 Sayfa 1

2 Bölüm A: Yönetim Tedarikçi, Microsoft Kişisel veya Gizli Bilgilerini işlemeden önce: 1 İşlemin konusunu ve süresini, İşlemin mahiyetini ve amacını, Microsoft Kişisel Bilgilerinin türünü ve Veri Sahiplerin kategorileri ile Microsoft'un yükümlüklerini ve haklarını belirten, gizlilik ve güvenlik veri koruma dilini içeren geçerli bir Microsoft sözleşmesi, iş bildirimi veya satın alma siparişi imzalamış olmalıdır. 2 Şirket içinde belirlenen bir kişiyi veya grubu Microsoft Tedarikçi Veri Koruması yle uyumluluktan sorumlu tutmalıdır. 3 Microsoft Kişisel Bilgilerini işleme yetkisine sahip tüm şahısların gizlilik konusunda taahhütte bulunmasını veya uygun bir yasal gizlilik yükümlülüğü kapsamında olmasını sağlamalıdır. 4 Microsoft Kişisel Bilgilerine erişim sahibi olacak çalışanlar için yıllık gizlilik eğitimi hazırlamalı, devamlılığını sağlamalı ve gerçekleştirmelidir. Şirketinizin hazır bir içeriği yoksa şirketinize uyarlayabileceğiniz bir görsel taslak istemek için Tedarikçi, İşlem etkinlikleriyle ilgili gerekli açıklamaları içeren geçerli bir Microsoft sözleşmesi, iş bildirimi veya satın alma siparişi sunmalıdır. Tedarikçi, tedarikçinin Veri Koruması yle uyumluluğunu sağlamakla görevli olan kişiyi veya grubu belirlemelidir. Bu kişinin veya grubun yetkisi ve hesap verme sorumluluğu açık bir şekilde belgelenmelidir. Gizlilik yükümlülükleri içeren geçerli bir Microsoft sözleşmesi, iş bildirimi veya satın alma siparişi. Standart tedarikçi gizlilik, işe alma, danışmanlık ve alt yüklenicilik anlaşmalarının kanıtı. Tedarikçi, çalışanları, başlangıçta ve belirli aralıklarla temel gizlilik ve güvenlik ilkeleri konusunda eğitir. Bu eğitimin yapıldığına kanıt olarak eğitim malzemeleri, katılım kayıtları, çalışanlarla kurulan iletişim (e-posta, web siteleri, bültenler vb.) vb. gösterilebilir Sürüm 4 Temmuz 2017 Sayfa 2

3 Bölüm A: Yönetim (devamı) 5 Microsoft Tedarikçi Veri Koruması hakkındaki ilgili bilgileri, Microsoft için hizmet veren personeline ve alt yüklenicilerine yıllık olarak iletmelidir. 6 Geçerli yasayla aksini yapması gerekmedikçe Microsoft Kişisel Bilgilerini yalnızca Microsoft un Kişisel Bilgilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa iletilmesiyle ilgili belgelenmiş talimatlarına uygun şekilde işlemelidir. Yasayla zorunlu bırakılması durumunda işlemi yapan kişi, önemli kamu çıkarı gerekçeleriyle söz konusu bilgiler yasa tarafından yasaklanmadıkça, yasal gereksinimi denetleyen kişiye işlem yapmadan önce bilgi verecektir. 7 Bir talimatın geçerli yasayı ihlal ettiğini düşünüyorsa hemen Microsoft u bilgilendirmelidir. Tedarikçi, Microsoft'a hizmet sağlamakla görevli olan çalışanları ve alt yüklenicileri Microsoft Tedarikçi Veri Koruması hakkında eğitir. Bu eğitimin başlangıçta ve dönemsel olarak yapıldığına kanıt olarak eğitim malzemeleri, katılım kayıtları, çalışanlarla ve alt yüklenicilerle kurulan iletişim (eposta, web siteleri, bültenler vb.) vb. gösterilebilir. Talimatların, örneğin bir sözleşme, iş bildirimi veya satın alma siparişinde belirtilen ya da hizmet sağlamak için kullanılan elektronik sistemin bir parçası olarak elde edilen belgelenmiş kanıtı. Bir talimatın geçerli yasayı ihlal ettiğini düşünmesi durumunda tedarikçinin Microsoft u derhal bilgilendirmesi sözleşmeyle belirlenmiş bir yükümlülük olmalıdır. Bölüm B: Bildirim 8 Tedarikçi, Microsoft adına Kişisel Bilgileri toplarken Microsoft Gizlilik Bildirimi ni kullanmalıdır. Kişisel bilgilerini tedarikçiye gönderip göndermeyeceklerine karar vermelerine yardımcı olmak için gizlilik bildirimi Veri Sahipleri tarafından kolayca görebilir ve ulaşılabilir olmalıdır. Gizlilik bildirimleri ihtiyaca göre çevrimiçi veya çevrimdışı olarak hazır bulundurulmalı, tarihi açıkça belirtilmiş olmalı ve veri toplama sırasında veya öncesinde sağlanmalıdır. Sürüm 4 Temmuz 2017 Sayfa 3

4 Bölüm B: Bildirim (devamı) 9 Tedarikçiler canlı veya kayıttan sesli arama aracılığıyla Microsoft Kişisel Bilgilerini toplarken; ilgili veri toplama, işleme, kullanma ve saklama uygulamaları hakkında Veri Sahipleriyle görüşmeye hazır olmalıdır. Tedarikçi, telefonla Kişisel Bilgi toplandığında verilerin toplanması, işlenmesi, kullanılması ve saklanması konularının ilgili Veri Sahibiyle görüşüldüğünü kanıtlar. Bölüm C: Seçenek ve İzin 10 Tedarikçinin verileri işlemek için yasal dayanağı izinse Veri Sahibinin Kişisel Bilgilerini toplamadan önce o Veri Sahibinin iznini almalı ve bunu belgelendirmelidir. 11 Tedarikçi, Kişisel Bilgilerin toplanması sırasında veya daha öncesinde gerekli Veri Sahibi iznini elde eder. Tedarikçi, Veri Sahiplerinin Kişisel Bilgi vermeyi kabul etmesi veya reddetmesi işlemlerini ve iki seçeneğin de sonuçlarını açıklar. Tedarikçi, iletişim tercihlerini belgeler ve yönetir, ayrıca bu tercihlerde yapılan değişiklikleri uygular ve yönetir. Veri Sahibi iznini ve iletişim tercihlerini yönetmek için sistemler ve prosedürler mevcuttur. 12 Veri Sahibinin iletişim tercihleriyle ilgili değişiklikleri zamanında belgelemeli ve yönetmelidir. 13 Veri Sahibinin Kişisel Bilgilerinin yeni bir şekilde kullanımı için Veri Sahibinin izni almalı ve belgelemelidir. Tedarikçi, sistemlerin ve işlemlerin etkinliğini sağlamak için Veri Sahibinin izninin yönetilmesini izler. Tedarikçi, izin verilmeyen durumlarda bilginin başka şekilde kullanılmamasını veya işlenmemesini sağlar. Sürüm 4 Temmuz 2017 Sayfa 4

5 Bölüm C: Seçenek ve İzin (devamı) 14 Tanımlama bilgileri, web siteleri ve çevrimiçi uygulamalar tarafından cihaz saklanan ve kullanıcıyı veya aygıtı tanımlamak için kullanılan bilgiler içeren küçük metin dosyalarıdır. Microsoft web sitelerini oluşturan ve yöneten tedarikçiler kullanıcılara tanımlama bilgilerinin kullanımıyla ilgili açık bir bildirim ve seçenek sağlamalıdır. Microsoft web sitelerini oluşturan ve yöneten tedarikçiler, tanımlama bilgilerinin kullanımının Microsoft Gizlilik Bildirimi ndeki taahhütlerle ve Avrupa Birliği tarafından belirlenen kurallar gibi yerel yasal gereksinimlerle uyumlu olmasını sağlamalıdır. Her tanımlama bilgisinin amacı belgelenmeli ve uygulanan tanımlama bilgisinin türü hakkında bilgi verilmelidir. Mümkün olduğunda oturum tanımlama bilgileri kullanılmalıdır. Kalıcı tanımlama bilgileri aygıtta gereğinden uzun bir süre kalmamalı ve bu süre 2 yılı geçmemelidir. Şunlarla sınırlı olmamak üzere AB kurallarının uygulandığı doğrulanmalıdır; Gizlilik bildirimi için Gizlilik ve Tanımlama Bilgileri etiketleme kuralının kullanımı. Reklam gibi gerekli olmayan amaçlara yönelik olarak tanımlama bilgilerinin kullanılmasından önce kullanıcıdan izin alınmalıdır. Bölüm D: Toplama 15 Tedarikçi, yalnızca, Microsoft tarafından sağlanan hizmetleri gerçekleştirmek için gereken bilgilerin toplandığından emin olmak için Microsoft Kişisel ve Gizli Bilgilerinin toplanmasını izlemelidir. 16 Tedarikçi, Microsoft adına üçüncü taraflardan Kişisel Bilgi temin ediyorsa, tedarikçi, üçüncü taraf veri koruma ilkelerinin ve uygulamalarının tedarikçinin Microsoft ile yaptığı sözleşmeye ve DPR gereksinimlerine uygun olduğunu doğrulamalıdır. 17 Bir Veri Sahibinin aygıtına yürütülebilir yazılım yüklenmesi veya bilgisayarda yürütülebilir yazılımın kullanılması aracılığıyla önemli Microsoft Kişisel Bilgilerini toplamadan önce, bu bilgilerin toplanmasının gerektiği, Microsoft ile yapılan tedarikçi sözleşmesinde belgelenmelidir. Gerekli Kişisel ve Gizli Bilgileri belirtmek için sistemler ve prosedürler mevcuttur. Tedarikçi, sistemlerin ve prosedürlerin etkinliğini sağlamak için toplama işlemini izler. Tedarikçi, üçüncü tarafın veri koruma ilkeleri ve uygulamaları konusunda gereken özenin gösterildiğini kanıtlayabilir. Tedarikçi, bir Veri Sahibinin bilgisayarında Kişisel Bilgi toplamak amacıyla çalıştırılabilir bir yazılım kullanırken Microsoft'tan izin alır ve bunu belgeler. Sürüm 4 Temmuz 2017 Sayfa 5

6 Bölüm D: Toplama (devamı) 18 Hassas konulardaki Microsoft Kişisel Bilgilerini (ırk veya etnik kökeni, siyasi görüşleri, dini veya felsefi inançları ya da sendika üyeliğini ortaya çıkaran veriler, genetik veriler, biyometrik veriler, sağlık durumuyla ilgili veriler veya kişinin cinsel hayatı veya cinsel yönelimiyle ilgili bilgiler) toplamadan önce, bu bilgilerin toplanmasının gerektiği, Microsoft ile yapılan tedarikçi sözleşmesinde belgelenmelidir. Tedarikçi, hassas Kişisel Bilgileri toplamadan önce Microsoft'tan izin alır ve bunu belgeler. Bölüm E: Saklama 19 Microsoft Kişisel ve Gizli Bilgilerinin sürekli olarak saklanması yasayla mecbur tutulmadıkça, bu bilgilerin hizmetleri sağlamak için gerekenden fazla bir süre saklanmamasını sağlamalıdır. 20 Tamamen Microsoft'un takdirine bağlı olarak, hizmetler tamamlandıktan sonra veya Microsoft'un talep etmesi üzerine, tedarikçinin elinde bulunan veya kontrolü altında olan Microsoft Kişisel veya Gizli Bilgilerinin Microsoft'a iade edilmesini veya yok edilmesini sağlamalıdır. Talep edilmesi halinde, tedarikçi, Microsoft'a tedarikçinin yetkililerinden biri tarafından imzalanmış bir yok etme sertifikası sunmalıdır. Microsoft Kişisel veya Gizli Bilgilerinin yok edilmesi gerektiğinde, tedarikçi, Microsoft Kişisel Bilgilerini içeren fiziksel varlıkları yakarak, öğüterek veya yırtarak bu bilgilerin okunamayacak veya yeniden oluşturulamayacak hale gelmesini sağlamalıdır. Uygulamaların içinde, açık bir şekilde kullanıcılar tarafından ya da verinin eskimesi gibi diğer nedenlerden dolayı uygulamadaki verilerin kaldırılması durumunda verilerin güvenli bir şekilde silinmesini sağlayacak işlemler yürürlükte olmalıdır. Tedarikçi, Microsoft tarafından sözleşmede, iş bildiriminde veya satınalma siparişinde belirtilen belgelenmiş saklama ilkelerine veya saklama gereksinimlerine uyar. Tedarikçi, Microsoft Kişisel ve Gizli Bilgilerinin elden çıkarılmasının (örneğin, yok edilmesi için Microsoft'a iade etme) kaydını tutar. Sürüm 4 Temmuz 2017 Sayfa 6

7 Bölüm F: Veri Sahipleri 21 Veri Sahipleri, Kişisel Bilgilerine erişme, bu bilgileri silme, düzenleme, aktarma, kısıtlama ve bu bilgilerin işlenmesine itiraz etme haklarına sahiptir ( Veri Sahibinin Hakları ). Veri Sahibi, Microsoft Kişisel Bilgileri ile ilgili olarak geçerli yasa kapsamındaki haklarını kullanmak isterse tedarikçi: 22 Geçerli yasa kapsamındaki haklarını kullanmak isteyen Veri Sahiplerinin isteklerini yanıtlama yükümlülüklerini yerine getirmesi için, mümkün olduğu ölçüde, uygun teknik ve kurumsal önlemler aracılığıyla Microsoft a yardımcı olmalıdır. 23 Usulsüz bir gecikme olmadan Veri Sahiplerinin Haklarına tümüyle yanıt vermelidir. 24 Microsoft tarafından aksi bir yönerge sunulmadıkça Tedarikçi, kendisiyle iletişime geçen tüm Veri Sahiplerini, Veri Sahibi Haklarını kullanmaları için doğrudan Microsoft a yönlendirir. Tedarikçi, Veri Sahiplerinin kendi Microsoft Kişisel Bilgilerine erişebilmeleri ya da bu bilgilerle ilgili haklarını başka şekilde kullanabilmeleri için yapmaları gereken şeyleri onlara bildirir. 25 Veri Sahibine doğrudan yanıt verirken, istekte bulunan Veri Sahibinin kimliğini doğrulamalıdır. 26 Kimlik doğrulama amacıyla devlet tarafından verilen tanımlayıcıları (örneğin, Sosyal Güvenlik numaraları) kullanmaya devam etmek için Microsoft tan izin almalıdır. Bir Veri Sahibinin kimliği doğrulandıktan sonra tedarikçi: Tedarikçi, Veri Sahibi haklarını destekleyebildiğini düzenli olarak test etmelidir. Tedarikçi, Kişisel Bilgilere erişim için uygulanması gereken adımları ve bilgilerin güncellenmesi için kullanılan yöntemleri bildirir. Sürüm 4 Temmuz 2017 Sayfa 7

8 Bölüm F: Veri Sahipleri (devamı) 27 O Veri Sahibine ait Microsoft Kişisel Bilgilerini elinde tutup tutmadığını veya kontrol edip etmediğini belirlemelidir. 28 İstenen Microsoft Kişisel Bilgilerini bulmak için makul bir çaba göstermeli ve makul bir aramanın yapıldığını göstermeye yetecek kadar kayıt tutmalıdır. 29 İsteklerin tarihini ve saatini ve tedarikçinin bu isteklere yanıt olarak gerçekleştirdiği eylemleri kaydetmelidir. İstendiğinde, Veri Sahibi taleplerinin kayıtlarını Microsoft a sağlamalıdır. 30 Veri Sahibinin kimliği doğrulanıp tedarikçi, talep edilen Microsoft Kişisel Bilgilerine sahip olduğunu doğruladıktan sonra, tedarikçi: 31 Kişisel Bilgilerin kopyasının istenmesi durumunda, Microsoft Kişisel Bilgilerini uygun bir basılı, elektronik veya sözlü biçimde Veri Sahiplerine vermelidir. 32 İstekleri reddedilirse, Microsoft un talimatıyla Veri Sahibine, daha önceden Microsoft tarafından sağlanan ilgili yönergelerle tutarlılık gösteren yazılı bir açıklama yapmalıdır. Tedarikçi, Kişisel Bilgilerin tutulup tutulmadığını belirleyen prosedürlere sahiptir. Tedarikçi, taleplere zamanında yanıt verir. Tedarikçi, erişim taleplerinin kaydını tutar ve Kişisel Bilgiler üzerinde yapılan değişiklikleri belgeler. Tedarikçi, Veri Sahibine kişisel bilgileri anlaşılabilir bir biçimde ve Veri Sahibi ve tedarikçi için uygun olan bir formda sağlar. İsteklerin reddedildiği durumlar belgelenmeli ve Microsoft değerlendirme ve onayının kanıtı saklanmalıdır. Sürüm 4 Temmuz 2017 Sayfa 8

9 Bölüm F: Veri Sahipleri (devamı) 33 Tedarikçi, Veri Sahibine verilen Microsoft Kişisel Bilgilerinin başka bir kişinin kimliğini tespit etmek için kullanılamamasını sağlamak için makul ölçüde tedbir almalıdır. 34 Veri Sahibi ve tedarikçi arasında Microsoft Kişisel Bilgilerinin eksiksiz ve doğru olup olmadığı konusunda anlaşmazlık olursa tedarikçi bu sorunu Microsoft'a bildirmeli ve sorunu çözmek için Microsoft ile gerektiği gibi iş birliği yapmalıdır. Tedarikçi, verilen bilgilerden başka bir şahsın kimliğinin belirlenememesini sağlayacak makul önlemlerin alındığını kanıtlamalıdır (örneğin, talep edilen Veri Sahibi Kişisel Bilgilerinin yalnızca tek bir satırda yer aldığı bir sayfanın tamamı çoğaltılamaz). Tedarikçi, anlaşmazlık durumlarını belgeler ve sorunu Microsoft'a iletir. Bölüm G: Üçüncü Taraflara İfşa Etme Tedarikçi, Microsoft Kişisel ve Gizli Bilgilerinin işlenmesi için bir alt yüklenici kullanmak niyetindeyse: 35 Hizmetler için alt yüklenici kullanmadan ya da alt yüklenici ekleme veya değiştirmeyle ilgili değişiklikler yapmadan önce Microsoft un açık yazılı iznini almalıdır. 36 Herhangi bir alt yüklenicinin performansıyla ilgili olarak Microsoft a karşı tam olarak sorumlu olmalıdır 37 Microsoft tarafından sağlanan hizmetleri gerçekleştirmek üzere gereken bilgilerin toplandığından emin olmak için alt yükleniciler tarafından işlenen Microsoft Kişisel ve Gizli Bilgilerinin mahiyetini ve kapsamını belgelemelidir. Alt yüklenicileri için Microsoft a karşı sorumlu olacağını sözleşmeyle taahhüt etmelidir. Tedarikçi, alt yüklenicilere ifşa edilen veya aktarılan Microsoft Kişisel ve Gizli Bilgileri konusunda sürekli olarak belgelendirme yapar. Sürüm 4 Temmuz 2017 Sayfa 9

10 Bölüm G: Üçüncü Taraflara İfşa Etme (devamı) 38 Alt yüklenicinin, Microsoft Kişisel Bilgilerini, Veri Sahiplerinin beyan edilmiş iletişim tercihlerine uygun olarak kullanmasını sağlamalıdır. 39 Alt yüklenicinin Microsoft Kişisel Bilgileri üzerinde yapabileceği işlemleri, tedarikçinin Microsoft ile yaptığı sözleşme koşullarını yerine getirmesi için gereken şeylerle sınırlamalıdır. 40 Microsoft Kişisel Bilgilerinin alt yüklenici tarafından ifşa edilmesini isteyen bir mahkeme emri varsa, bu emre veya bildirime herhangi bir yanıt vermeden önce, yasaların izin verdiği ölçüde, durumu derhal Microsoft'a bildirmeli ve Microsoft'a olaya müdahale etme fırsatını sağlamalıdır. Alt yüklenicinin, Microsoft Kişisel Bilgilerini yalnızca belirlenen amaç doğrultusunda ve Veri Sahiplerinin iletişim tercihlerine uygun olarak kullanmasını sağlayan sistemler ve işlemler mevcuttur. Tedarikçi, mahkeme emrine yanıt olarak Microsoft Kişisel Bilgilerinin alt yüklenici tarafından herhangi bir şekilde ifşa edilmesine izin verilmeden önce Microsoft ile görüşüldüğünü (müsade edildiğinde) kanıtlayabilir. 41 Microsoft Kişisel Bilgilerinin yetkisiz veya yasa dışı olarak işlenmesi emarelerine dair şikayetleri incelemelidir. 42 Bir alt yüklenicinin, Microsoft Kişisel ve Gizli Bilgilerini, Microsoft'a veya onun tedarikçilerine Microsoft ile ilgili hizmetler sağlamak dışında başka bir amaçla işlendiğini öğrenir öğrenmez bu durumu derhal Microsoft'a bildirmelidir. Microsoft Kişisel Bilgilerinin alt yüklenici tarafından yetkisiz kullanımına veya ifşa edilmesine ilişkin şikayetler için sistemler ve işlemler mevcuttur. Tedarikçi, alt yükleniciler Microsoft Kişisel Bilgilerini yetkisiz amaçlarla kullandıklarında Microsoft'un bu durumdan haberdar edildiğini kanıtlayabilir. Sürüm 4 Temmuz 2017 Sayfa 10

11 Bölüm G: Üçüncü Taraflara İfşa Etme (devamı) 43 Bir alt yüklenicinin, Microsoft Kişisel ve Gizli Bilgilerini yetkisiz veya yasa dışı olarak işlemesi sonucunda ortaya çıkan zararı veya olası zararı azaltmak için derhal harekete geçmelidir. 44 Bir üçüncü taraftan herhangi bir Kişisel Bilgi kabul etmeden önce üçüncü tarafın veri toplama uygulamalarının DPR ile uyumlu olduğunu doğrulamalıdır. 45 Üçüncü tarafların yalnızca, Microsoft tarafından sağlanan hizmetleri gerçekleştirmek için gereken Kişisel Bilgileri topladığını doğrulamalıdır. Tedarikçi, alt yükleniciler Microsoft Kişisel ve Gizli Bilgilerini yetkisiz amaçlarla kullandıklarında veya bunları ifşa ettiklerinde gerekli işlemlerin yapıldığını kanıtlayabilir. Üçüncü taraf veri toplama uygulamalarını doğrulayan belgelenmiş işlemler mevcuttur. Üçüncü taraflardan gelen Microsoft Kişisel Bilgilerinin aktarımını, yalnızca sözleşmeli hizmetleri gerçekleştirmek için gerekenlerle sınırlayan belgelenmiş işlemler mevcuttur. Bölüm H: Kalite 46 Tedarikçi, Microsoft Kişisel Bilgilerinin tümünü doğru, eksiksiz ve beyan edilen işlenme amaçlarıyla ilgili olmasını sağlayarak bu bilgilerin bütünlüğünü sağlamalıdır. 47 Tedarikçi, belirtilen amacın yerine getirilmesi için gereken minimum miktarda Kişisel Bilgi toplanmasını sağlamalıdır. Bilgiler toplandığında, oluşturulduğunda ve güncellendiğinde doğrulanır. Sürekli olarak doğruluğu kontrol eden ve gerekli düzeltmeleri yapan sistemler ve işlemler mevcuttur. Sürüm 4 Temmuz 2017 Sayfa 11

12 Bölüm I: İzleme ve Uygulama 48 Tedarikçinin Microsoft Kişisel veya Gizli Bilgilerini işlemesiyle ilgili herhangi bir Kişisel Bilgi İhlali ya da güvenlik açığı durumunu öğrendiği anda bu durumu Microsoft'a bildirmelidir. 49 Yasalar veya mevzuat gerektirmedikçe, Microsoft Kişisel veya Gizli Bilgilerini içeren bir Kişisel Bilgi İhlaliyle ilgili olarak, Microsoft'un onayını almadan herhangi bir basın açıklaması ya da genel duyuru yayınlamamalıdır. 50 Zamanında uygun bir düzeltme eyleminin gerçekleştirilmesini sağlamak için bir düzeltme planı uygulamalı ve Microsoft Kişisel Bilgileriyle ilgili Kişisel Bilgi İhlallerinin ve güvenlik açıklarının çözümlenmesini izlemelidir. 51 Microsoft Kişisel Bilgileriyle ilgili veri koruma şikayetlerinin tümüne yanıt vermek için resmi bir şikayet işlemi tesis etmelidir. 52 Microsoft Kişisel Bilgileriyle ilgili her tür şikayeti Microsoft'a bildirmelidir. 53 Microsoft tarafından özel talimatlar verilmediği sürece Microsoft Kişisel Bilgileriyle ilgili veri koruması şikayetlerinin tümünü kaydetmeli ve bunlara zamanında yanıt vermelidir. Talep edilmesi halinde, çözümlenmiş ve çözümlenmemiş şikayetlerle ilgili belgeleri Microsoft'a sağlamalıdır. Tedarikçinin şikayetleri ele almak ve Microsoft'a bildirmek için belgelenmiş bir işlemi olmalıdır. Zamanında yanıt verildiğini gösteren şikayet kayıtları. Açık/kapalı şikayetlerle ilgili belgeler. Sürüm 4 Temmuz 2017 Sayfa 12

13 Bölüm I: İzleme ve Uygulama (devamı) 54 Tedarikçi, tedarikçi bilgilerinin mahiyetini hesaba katarak Microsoft a geçerli yasa kapsamındaki yükümlükleriyle uyum sağlamasında yardımcı olmalıdır (veri güvenliği, Kişisel Bilgi İhlali, veri koruma etki değerlendirmeleri ve hükümetle, düzenleyici ve denetleyici makamlarla müzakere dahil ancak bunlarla sınırlı olmamak üzere). 55 Geçerli yasa kapsamındaki yükümlülüklerle uyumluluğu kanıtlamak için gerekli olan tüm bilgileri Microsoft a temin etmeli ve Microsoft ya da Microsoft'un görevlendirdiği başka bir makam tarafından gerçekleştirilen denetimlere olanak sağlamalı ve katkıda bulunmalıdır. Bölüm J: Güvenlik 56 BILGI GÜVENLIĞI PROGRAMI Tedarikçi, iyi endüstri uygulamaları doğrultusunda ve geçerli yasanın gerektirdiği şekilde Microsoft Kişisel ve Gizli Bilgilerini korumak ve güvenliğini sağlamak için ilkeler ve prosedürler içeren bir bilgi güvenliği programı hazırlamalı, uygulamalı ve bu programı sürdürmelidir. Tedarikçinin güvenlik programı, aşağıda listelenen gereksinimlerindeki standartları karşılamalıdır. Koruma önlemleri, mevzuat planlarını (örneğin, HIPPA, GLBA) veya sözleşme gereksinimlerini karşılamak için gerektiğinde listelenenlerden fazla olabilir. 57 Şunları içeren yıllık ağ güvenliği değerlendirmeleri yapmalıdır: Yeni sistem bileşeni, ağ topolojisi, güvenlik duvarı kuralı gibi ortamda yapılan önemli değişiklikleri gözden geçirme. Güvenlik açığı taramaları yapma. Değişiklikleri izleyen, değişikliğin nedeniyle ilgili bilgiler sağlayan ve bir onaylayıcının bulunduğu değişim günlükleri tutma. 58 Tedarikçi, bir mobil aygıtta erişilen veya kullanılan Microsoft Kişisel veya Gizli Bilgilerini güvenceye alan ve bu bilgilerin kullanımını sınırlandıran bir mobil aygıt ilke tanımlamalı, bu politikayı iletmeli ve uygulamalıdır. Ağ değerlendirmelerinin belgelerini, değişim günlüklerini ve tarama sonuçlarını gözden geçirme. Microsoft Kişisel veya Gizli Bilgilerinin işlenmesi için bir mobil aygıt kullanılması gerektiğinde bir mobil aygıt ilkesi sağlayarak bu ilkenin kullanımını göstermelidir. Sürüm 4 Temmuz 2017 Sayfa 13

14 Bölüm J: Güvenlik (devamı) 59 Microsoft un hizmetlerinin verilmesini desteklemek için kullanılan tüm Varlıklar açıklanmalı ve bu varlıkların tanımlanmış bir sahibi olmalıdır. Tedarikçi, bu bilgi varlıklarının envanterini tutmaktan, varlıkların kabul edilebilir ve yetkili kullanımını sağlamaktan ve varlıkların kullanım ömrü boyunca uygun düzeyde koruma sağlamaktan sorumludur. Bu varlıkların Envanteri şunları içermelidir: - Aygıtın konumu - Varlıktaki verilerin Veri Sınıflandırması - İş akdinin veya iş anlaşmasının sona ermesi durumunda varlıkların geri alındığına ilişkin kayıt - Artık gerekli olmaması durumunda veri depolama ortamının imha edildiğine ilişkin kayıt. 60 Tedarikçinin denetimi altındaki Microsoft Kişisel veya Gizli Bilgilerine yetkisiz erişimi engellemek için erişim hakkı yönetimi yordam oluşturmalı ve bunların devamlılığını sağlamalıdır. Plan şunları içermelidir: Erişim denetimi yordam Kimlik saptama yordam Başarısız denemelerden sonra kilitleme yordam 70 günde birden daha uzun olmamak üzere gereken sıklıkta parola sıfırlaması. Kullanıcıların kimlik doğrulama bilgilerini korumak konusunda bilinçli olmasını sağlamalıdır. Kimlik doğrulama bilgilerini seçmek için sağlam parametreler. İş akdinin sona ermesiyle birlikte 48 saat içinde kullanıcı hesaplarının devre dışı bırakılması. o Buna, dahili ve harici erişim, ortam, kağıt, teknoloji platformları ve yedekleme ortamları dahildir. Microsoft Kişisel ve Gizli Bilgilerine kullanıcı erişimini inceleyerek en düşük öncelik ilkesini uygulayan bir süreç oluşturmalıdır: Süreç şunları içermelidir: Açıkça tanımlanmış kullanıcı rolleri Rollere erişim onayını gözden geçiren ve gerekçelendiren prosedürler. Erişimin artık gerekli olmadığı durumlarda rollere kullanıcı erişimini kaldıran prosedürler. Microsoft hizmetlerinin verilmesini desteklemek üzere kullanılan aygıt varlıklarının Envanterini gözden geçirmelidir. Erişim hakkı yordam belgelenmeli ve tutarlı bir şekilde uygulanmalıdır. Microsoft rollerine erişim hakkı olan rollere sahip kullanıcıların ilgili grupta/rolde olmasının belgeli bir gerekçesine sahip olduğu test edilmelidir. Sürüm 4 Temmuz 2017 Sayfa 14

15 Bölüm J: Güvenlik (devamı) 61 Microsoft Kişisel ve Gizli Bilgilerinin işlenmesinde kullanılan sistemlerin güvenlik yamalarını önceliklendiren yama yönetimi yordam tanımlamalı ve uygulamalıdır. Bu prosedürler şunları içermelidir: Tüm güvenlik yamaları için 19 günü aşmamak kaydıyla yamaların uygulanması için izin verilen tanımlanmış süre. Acil durum yamalarının işlenmesi ve uygulanması yeteneği. İşletim Sistemine ve uygulama sunucusu gibi sunucu yazılımları ile veritabanı yazılımlarına uygulanabilirlik. o Windows XP'nin kullanım dışı bırakılması Yamanın azalttığı risk belgelenmeli ve özel durumlar izlenmelidir. 62 Zararlı olabilecek virüslere ve kötü amaçlı yazılım uygulamalarına karşı koruma sağlamak amacıyla, sunucular, üretim ve eğitim masaüstü bilgisayarları dahil ancak bunlarla sınırlı olmamak üzere, ağa bağlı ekipmanlara virüsten ve kötü amaçlı yazılımdan koruma yazılımı yüklemelidir. Kötü amaçlı yazılımdan koruma tanımları günde bir defa veya virüsten koruma/kötü amaçlı yazılımdan koruma yazılımı tedarikçisinin talimatına göre güncellenmelidir. 63 Microsoft Ürünleri veya iş kolu uygulamaları için yazılım geliştiren tedarikçiler Microsoft un Security Development Lifecycle (SDL) gereksinimlerini veya benzer endüstri standartlarını karşılamalıdır. Bilgilere şuradan ulaşılabilir: 64 Microsoft Gizli veya Kişisel Bilgilerinin işlendiği şirket ağında kullanılan bilgi sistemleri, yetkisiz erişimlere veya diğer yetkisiz etkinliklere karşı izlenmelidir. Ağ tabanlı bir Yetkisiz Erişim Algılama Sistemi (IDS) kullanılmalıdır: Sistem güvenliğinin ihlal edilmesi durumunda varsa kalan güvenlik açıklarının da giderilmesi için sistem analiz edilmelidir. Sistem güvenliğinin tehlikeye girdiği durumları algılayan araçların izlenmesine yönelik prosedürler belgelenmelidir. Bir olay algılandığında belirlenmiş bir olay yanıtı ve yönetimi süreci uygulamaya konulmalıdır. Güvenlik yamalarının uygulandığını göstererek buna dair belgeli kanıt sunabilmelidir. İzleme sistemlerinin etkinliği ve destekleyici belgelerin mevcut olduğu gösterilmelidir. Sürüm 4 Temmuz 2017 Sayfa 15

16 Bölüm J: Güvenlik (devamı) 65 Olay yanıtından elde edilen Araştırma sonuçlarını üst yönetime ve Microsoft'a derhal bildirmelidir. Microsoft'a bildirimde bulunmak için 66 Sistem yöneticileri, operasyon personeli, yönetim ve üçüncü taraflara yıllık güvenlik eğitimi verilmelidir. 67 Tedarikçi, yedekleme planlama işlemlerinin Microsoft Kişisel ve Gizli Bilgilerini yetkisiz kullanımdan, erişimden, ifşadan, değiştirmeden ve yok edilmeden korumasını sağlamalıdır. Olay yanıtı araştırma sonuçlarını Microsoft'a bildiren sistemler ve işlemler mevcut olmalıdır. Şunları içeren bir güvenlik eğitimi programı oluşturulmalıdır: Olay yanıtı için yıllık eğitim. Kriz durumlarına etkili bir şekilde müdahale etmeyi kolaylaştırmak için olay simülasyonları ve otomatik mekanizmalar. Kötü amaçlı yazılımların indirilmesiyle ilişkili riskler gibi olay önleme farkındalığı. Kuruluşun işleri kesintiye uğratan bir olayı nasıl yöneteceği ve yönetim tarafından onaylanmış bilgi güvenliği sürekliliği hedefleri temelinde bilgi güvenliğinin önceden belirlenmiş bir düzeyde olmasını nasıl sağlayacağına ilişkin ayrıntıları içeren yanıt ve kurtarma yordam hazırlamalıdır. Kritik verilerin düzenli olarak yedeklenmesi, güvenli şekilde saklanması ve etkili bir şekilde kurtarılmasına yönelik prosedürler tanımlayıp uygulamalıdır. Sürüm 4 Temmuz 2017 Sayfa 16

17 Bölüm J: Güvenlik (devamı) 68 İş sürekliliği ve olağanüstü durum kurtarma planları oluşturup bu planları test etmelidir. 69 Bir şahısa Microsoft Kişisel veya Gizli Bilgilerine erişim imkanı vermeden önce o kişinin kimliğini doğrulamalıdır. Olağanüstü durum kurtarma planı aşağıdakileri içermelidir: Bir sistemin tedarikçinin işletmesinin çalışması açısından kritik olup olmadığını belirlemeye yönelik tanımlanmış ölçütler Bir olağanüstü durumda kurtarma amacıyla hedeflenmesi gereken kritik sistemler tanımlanmış ölçütler temelinde listelenmelidir. Her kritik sistem için, sistemi bilmeyen bir mühendisin uygulamayı 72 saat içinde kurtarabilmesini sağlayan tanımlanmış olağanüstü durum kurtarma prosedürü. Kurtarma hedeflerine ulaşılabilmesini sağlamak için olağanüstü kurtarma planları yılda bir (veya daha sık) test edilmeli ve gözden geçirilmelidir. Tüm kimliklerin benzersiz olmasını ve her birinin Azure Active Directory gibi bir endüstri standardı kimlik doğrulama yönetimine sahip olmasını sağlamalıdır. Yükseltilmiş erişim (idari veya diğer türden gelişmiş ayrıcalıklar), akıllı kart veya telefon tabanlı kimlik doğrulayıcı gibi ikinci bir faktörün kullanılmasını gerektirmelidir. Sürüm 4 Temmuz 2017 Sayfa 17

18 Bölüm J: Güvenlik (devamı) 70 Tedarikçi, ağlarda iletilen Microsoft Kişisel ve Gizli Bilgilerini, Aktarım Katmanı Güvenliği (TLS) veya İnternet Protokolü Güvenliği (IPsec) kullanan şifreleme ile korumalıdır. Bu yöntemler, NIST ve NIST de açıklanmıştır; eşdeğer bir endüstri standardı da kullanılabilir. Tedarikçi, şifrelenmemiş yöntemlerle iletilen Microsoft Kişisel Bilgilerinin teslimini reddetmelidir. 71 Microsoft Kişisel veya Gizli Bilgilerine erişen veya bu bilgileri işleyen tüm tedarikçi istemci aygıtlarında (dizüstü bilgisayarlar, iş istasyonları vb.) disk tabanlı şifreleme kullanılmalıdır. 72 Aşağıda belirtilen kullanılmayan (saklanan) Microsoft Kişisel bilgilerinin NIST standardında açıklananlar gibi geçerli endüstri standartları kullanılarak şifrelenmesi için sistemler ve prosedürler olmalıdır. Aşağıdaki türden kullanılmayan Microsoft Kişisel Bilgileri şifrelenmelidir: Kimlik bilgileri (örn. kullanıcı adı/parolalar) Ödeme aracı verileri (örn. kredi kartı ve banka hesabı numaraları) Tıbbi profil verileri (örn. tıbbi kayıt numaraları veya biyometrik tanımlayıcılar). Devlet tarafından verilen tanımlayıcı bilgiler (örneğin, sosyal güvenlik veya sürücü ehliyeti numaraları) 73 Kredi kartlarında Microsoft adına işlem yapılırken kartı veren kuruluşun geçerli kredi kartı işleme standartlarına bağlı kalınmalıdır. TLS veya diğer sertifikaların oluşturulması, dağıtılması ve değiştirilmesi işlemleri tanımlanmalı ve uygulanmalıdır. Microsoft Kişisel veya Gizli Bilgilerini işlemek için kullanılan tüm istemci aygıtları, Bitlocker ya da başka bir endüstri eşdeğeri disk şifrelemesi çözümünü karşılayacak şekilde şifrelenmelidir. Her yıl bir Ödeme Kartı Endüstrisi Veri Hizmetleri Standardı (PCI- DSS) sertifikası sunarak uyumluluğu kanıtlamalıdır. PCI DSS sertifikaları SSPA e sunulmalıdır. SSPAHelp@microsoft.com ile iletişime geçin Sürüm 4 Temmuz 2017 Sayfa 18

19 Bölüm J: Güvenlik (devamı) 74 Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerinin fiziksel varlıklarını erişim denetimi olan bir ortamda depolamalıdır. 75 Microsoft Kişisel veya Gizli Bilgilerini işleyen Hizmet Olarak Yazılım (SaaS) çözümleri için yıllık bağımsız güvenlik sızma testleri yapılarak sonuçlar istek üzerine Microsoft a sunulmalı veya Microsoft un düzenli sızma testleri yapmasına olanak tanınmalıdır. Sızma testi sertifikası göndermek veya Microsoft testi talep etmek için 76 Geliştirme veya test ortamında kullanılan Microsoft Kişisel Bilgilerinin tümünü isimsizleştirmelidir. Microsoft verilerinin dijital, yazdırılmış kopya, arşiv ve yedek kopyalarına fiziksel erişimi düzenleyen sistemler ve işlemler mevcut olmalıdır. Microsoft verilerini içeren fiziksel ortamların taşınması ve imhasına yönelik olarak delil zinciri izlenmelidir. Microsoft Kişisel Bilgileri geliştirme ve test ortamlarında kullanılmamalıdır; başka bir seçenek yoksa Veri Sahiplerinin tanınmasını veya Kişisel Bilgilerin kötüye kullanılmasını önlemek için isimsiz kullanım tercih edilmelidir. Sürüm 4 Temmuz 2017 Sayfa 19