Microsoft Procurement

Gua del Programa de Garanta de

Privacidad y Seguridad para Proveedores
de Microsoft
Versin 3
Julio 2016
 Supplier Security and Privacy Assurance (SSPA)

Resumen del Programa

El Programa de garanta de privacidad y seguridad para proveedores (SSPA) es una campaa conjunta de Microsoft
Finance Programs and Compliance, Corporate Privacy y Corporate IT Security cuyo objetivo es asegurar que los
proveedores de Microsoft cumplen requisitos bsicos de privacidad y seguridad cuando manejan datos personales de
clientes, empleados o partners de Microsoft o informacin confidencial de Microsoft.
Los requisitos del SSPA son requisitos mnimos y bsicos; grupos empresariales especficos dentro de Microsoft
pueden exigir que los proveedores cumplan otros requisitos de seguridad y privacidad.
Tiene alguna pregunta? Escriba a SSPAHelp@microsoft.com

Definiciones
Procesar informacin personal o confidencial de parte de Microsoft conlleva hacerlo como parte de la provisin de
servicios de acuerdo con los trminos de su pedido de compra o su contrato con Microsoft.

Un Partner empresarial de Microsoft es aquella persona (individuo o parte de una compaa) con la que Microsoft
realiza negocios y cuyos datos personales estn en posesin de su compaa para que los utilice en la provisin de
los servicios exigidos en su pedido de compra o contrato con Microsoft.
Un Cliente de Microsoft es aquella persona (individuo o parte de una compaa) que recibe productos y servicios de
Microsoft y cuyos datos personales estn en posesin de su compaa para que los utilice en la provisin de los
servicios o productos exigidos en su pedido de compra o contrato con Microsoft.
Un Empleado de Microsoft es aquella persona empleada por Microsoft y cuyos datos personales estn en posesin
de su compaa para que los utilice en la provisin de los servicios exigidos por su pedido de compra o contrato con
Microsoft. Solicitar los datos de contacto o la informacin de la tarjeta de crdito de los aquellos empleados de
Microsoft con los que su compaa se relacione directamente como parte del comienzo/realizacin/finalizacin de la
entrega de bienes y servicios se encontrara generalmente fuera del mbito del programa SSPA.
Informacin Personal hace referencia a la informacin proporcionada por Microsoft o recopilada por el Proveedor
de acuerdo con este Acuerdo que est cubierta por leyes de privacidad o proteccin de datos en la jurisdiccin
aplicable, incluida:
(i) Informacin que est relacionada con la persona a la que dicha informacin pertenece, la identifica y la sita;
o bien,
(ii) De la que se puede derivar la identificacin o la informacin de contacto de una persona.
La informacin confidencial de Microsoft es cualquier informacin que, si est sujeta a compromisos de
confidencialidad o integridad, puede causar daos en el prestigio o prdidas financieras significativos para Microsoft.
Esta incluye, entre otros, informacin relacionada con: productos de hardware y software de Microsoft, aplicaciones
de lnea de negocio internas, claves de licencias de productos y documentos tcnicos relacionados con productos y
servicios de Microsoft.
Por Representante autorizado se entiende aquella persona que cuenta con el nivel de autoridad adecuado para
firmar en nombre de la compaa. Esta persona dispondr del conocimiento necesario sobre seguridad y privacidad o
habr consultado a un experto en la materia antes de enviar su respuesta a una accin de programa de SSPA. Por
ltimo, al aadir su nombre al formulario de SSPA certifica que ha ledo y que comprende los requisitos de proteccin
de datos de Microsoft.

2|Pgina
 Supplier Security and Privacy Assurance (SSPA)

Requisitos del Programa

Todos los proveedores deben rellenar anualmente el Cuestionario de Microsoft y cumplir con todos los requisitos del
Programa SSPA aplicables. Todo proveedor que maneje datos personales de clientes, empleados o partners de
Microsoft o informacin confidencial de Microsoft deber entregar un Certificado de cumplimiento.

Requisitos de Privacidad y Seguridad

El documento de Requisitos de proteccin de datos para proveedores de Microsoft (en lo sucesivo, DPR) contiene los
requisitos detallados del programa SSPA para manejar la informacin personal o confidencial de Microsoft. El DPR
contiene los requisitos que habrn de seguir todos los proveedores que manejen datos clasificados como de
Impacto empresarial moderado (MBI) o Gran impacto empresarial (HBI).

Requisitos de Certificacin
Los proveedores que manejen datos clasificados como de Impacto empresarial moderado deben certificar el
cumplimiento de los DPR y enviar un documento de autocertificacin de cumplimiento antes de 90 das desde la
entrega del Cuestionario.

Requisito de Declaracin
Los proveedores que manejen datos clasificados de Gran impacto empresarial" debern enviar una carta de
declaracin incondicional de un tercero acreditado antes de 90 das desde la entrega del Cuestionario. Se puede
encontrar una lista de terceros acreditados consultando el listado por pas adecuado que proporciona la Federacin
Internacional de Contables (http://www.ifac.org).

Requisito de la Certificacin de la Norma PCI DSS

La norma de seguridad de datos de PCI (PCI DSS) es un marco de trabajo para el desarrollo de un proceso slido de
seguridad de datos de pagos mediante tarjeta de crdito que incluya prevencin, deteccin y una adecuada
respuesta ante los incidentes de seguridad. Se trata de un marco de trabajo elaborado por el PCI Security Standards
Council, una organizacin autorreguladora del sector. La finalidad de los requisitos de la norma PCI DSS es identificar
vulnerabilidades tecnolgicas y de los procesos que planteen riesgos para la seguridad de datos de titulares de
tarjetas de crdito que se transmitan, procesen o almacenen.

Consulte el sitio web del PCI Security Standards Council para conocer cmo cumplir los estndares del sector de las
tarjetas de pago. Microsoft est obligado a respetar estos estndares y, si administra informacin de tarjetas de
crdito en nuestro nombre, debemos recopilar pruebas de que su empresa tambin cumple estos estndares.
En funcin del volumen de transacciones procesadas, se le exigir que un evaluador independiente certifique que
cumple el estndar o podr llevar a cabo una autoevaluacin. Los formularios se encuentran aqu.
Consulte el glosario al final de este documento para obtener ms informacin sobre los distintos tipos de formularios
SAQ.

3|Pgina
 Supplier Security and Privacy Assurance (SSPA)

Prueba de Cumplimiento
Todos los proveedores que manejen datos clasificados de Impacto empresarial moderado debern
entregar una autocertificacin de cumplimiento de los DPR.
Todos los proveedores que manejen datos clasificados de Gran impacto empresarial debern entregar
una carta de declaracin incondicional.
Todos los proveedores que procesen informacin de tarjetas de crdito considerada de Gran impacto
empresarial debern entregar un certificado de cumplimiento de la norma PCI DSS al organismo
regulador Payment Card Industry Standards. (Consulte el sitio web de PCI Security standards council).

Ciclo Anual de Cumplimiento

Los proveedores recibirn una fecha de aniversario en la cual Microsoft enviar un mensaje por correo
electrnico que contendr un hipervnculo al cuestionario.
Los proveedores debern devolver el cuestionario rellenado antes de 30 das.
Despus de recibir el cuestionario, se le asignar al proveedor una clasificacin de datos.
Los proveedores contarn con 90 das para entregar el certificado de la norma PCI DSS, su autocertificacin
o carta de declaracin incondicional.
Segn la fecha de entrega de (a) el Cuestionario se asignar una nueva fecha de aniversario.

4|Pgina
 Supplier Security and Privacy Assurance (SSPA)

Clasificacin de Datos
Las respuestas del cuestionario se usan para clasificar la informacin personal y confidencial de Microsoft en posesin
de los proveedores. A continuacin se detallan los tipos de datos y su clasificacin correspondiente que encontrar
en el formulario de inventario.

Tenga en cuenta que el propietario de su interaccin con Microsoft podra estipular una clasificacin de datos
concreta para una interaccin que no se corresponda con los tipos de datos aqu expuestos. Los propietarios de
interacciones con Microsoft estn obligados a respetar el estndar de clasificacin de datos corporativos de
Microsoft.
HBI Documentos de identificacin emitidos por el gobierno, entre otros: pasaporte o nmero de Informacin
carnet de identidad. Personal
HBI Datos financieros personales, entre otros: nmeros de cuenta bancaria o perfiles financieros Informacin
(los proveedores que solo manejan datos de tarjetas de crdito deben contestar a las Personal
preguntas del sector de las tarjetas de pago que aparecen a continuacin).
HBI Informacin sobre la salud de particulares. Informacin
Personal
HBI Datos personales confidenciales, entre otros: raza, origen tnico, opinin poltica, credo o Informacin
afiliacin sindical de un individuo. Personal
MBI Datos personales de contacto, entre otros: nombre, direccin fsica o de correo electrnico, Informacin
nmero de telfono o direccin de IP. Personal
HBI Su empresa desarrolla, prueba o fabrica productos de Microsoft o componentes de estos Informacin
ltimos? Todo software o hardware de Microsoft que se comercialice a travs de cualquier Confidencial
canal se considera Producto de Microsoft.
HBI Su empresa administra informacin de marketing preliminar de un dispositivo de Informacin
Microsoft? Confidencial
HBI Su empresa administra datos financieros corporativos de Microsoft sin publicar sujetos a Informacin
las reglas de la SEC (Securities and Exchange Commission) estadounidense? Confidencial
MBI Administra su compaa claves de licencias de productos de Microsoft en nombre de Informacin
Microsoft para su distribucin a travs de cualquier mtodo? Confidencial
MBI Desarrolla o prueba su compaa aplicaciones de lnea de negocio (LOB) internas de Informacin
Microsoft? Confidencial
MBI Su empresa procesa material de marketing preliminar de Microsoft para software y Informacin
servicios de Microsoft como Office, SQL, Azure, etc.? Confidencial
MBI Su empresa redacta, disea, edita o imprime documentacin para servicios o dispositivos Informacin
de Microsoft (guas de procesos o procedimientos, datos de configuracin, etc.)? Confidencial
HBI Su compaa recopila, procesa y almacena informacin sobre tarjetas de pago (tarjetas de Tarjeta de
crdito o de dbito) en nombre de Microsoft? Pago
HBI Microsoft enva nmeros de tarjetas de pago (tarjetas de crdito o dbito) completos, Tarjeta de
fechas de caducidad y/o cdigos de autorizacin a su compaa? Pago
HBI Su compaa enva datos sobre transacciones que incluyan nmeros de tarjetas de pago Tarjeta de
(tarjetas de crdito o dbito) completos, fechas de caducidad y/o cdigos de autorizacin a Pago
Microsoft?

5|Pgina
 Supplier Security and Privacy Assurance (SSPA)

Proceso de Actualizacin de Clase de Datos

Los proveedores que manejen datos clasificados de LBI pueden enviar una autocertificacin o una carta
incondicional de declaracin de cumplimiento de los DPR para documentar con antelacin su capacidad de manejar
correctamente los datos personales de clientes, partners y empleados de Microsoft con clases de datos de "Impacto
empresarial moderado" o "Gran impacto empresarial".
Si algn proveedor desea reducir la clasificacin de sus datos, puede ponerse en contacto con el equipo del SSPA
quien, en primer lugar, verificar que los propietarios de empresas de Microsoft aceptan que se autorice dicho
cambio, dado el carcter cambiante de las interacciones.

Los proveedores pueden solicitar una actualizacin de la clase de datos a travs de la direccin de correo
electrnico SSPAHelp@microsoft.com o pueden esperar a rellenar el cuestionario del ao siguiente.

Requisitos adicionales
El programa SSPA establece unos requisitos de seguridad y privacidad de referencia para nuestra base de
proveedores en todo el mundo. Asimismo, impulsa el cumplimiento de dichos requisitos.
Existen situaciones en las que es posible que, debido al carcter de los servicios prestados, un grupo de empresas de
Microsoft deba tomar medidas adicionales de mitigacin de riesgos. Con el tiempo, el SSPA se ampliar para
incorporar estos requisitos adicionales, lo que aportar a nuestra base de proveedores un punto nico de referencia
para todas las actividades de evaluacin de la privacidad y la seguridad.
Si su empresa resulta elegida para la inscripcin en un programa SSPA adicional, adems del proceso estndar
anteriormente descrito, deber cumplir cualquier otro requisito adicional, aparte de los requisitos del SSPA. En el
pasado, esto se habra realizado por separado. Sin embargo, de ahora en adelante, el SSPA consolidar y armonizar
los requisitos de los proveedores.

Srvase ponerse en contacto SSPAHelp@microsoft.com.

Proceso de Excepcin
Para solicitar una excepcin al cumplimiento de un requisito en el DPR, los proveedores debern escribir a
SSPAHelp@microsoft.com. El perodo mximo de excepcin es de un ao.

Marco de Respuestas de Instancias Superiores a Asuntos de

Privacidad y Seguridad
Si se produjese un incidente en materia de privacidad o seguridad, los proveedores deberan ponerse en contacto con
SSPAHelp@microsoft.com. Entre estos incidentes se incluyen:
Muestra inapropiada de datos personales.
Robo o prdida de datos personales.
Descubrimiento de no cumplimiento de la poltica de privacidad.
Descubrimiento de una poltica de privacidad o una normativa defectuosa.

Glosario
En este glosario se mencionan trminos y conceptos utilizados en la Gua del programa SSPA, los Requisitos de
proteccin de datos para proveedores de Microsoft y otros materiales del Programa SSPA.

6|Pgina
 Supplier Security and Privacy Assurance (SSPA)

A Acceso
En referencia a la privacidad, la capacidad de un individuo de ver, modificar y refutar la exactitud e integridad de
datos personales identificables (PII) recopilados sobre dicho individuo. El acceso en un componente del
documento Prcticas justas sobre datos. En referencia a las operaciones del proveedor, el acceso se define como
acceso lgico (por ejemplo, la conexin de un aparato o sistema a otro) y acceso fsico a fuentes de datos
electrnicas y sobre papel.
Accesible
Capaz de ser (fcilmente) comprensible.
Anonimidad
Condicin por la cual se desconoce la identidad verdadera de un individuo o no se puede determinar.
Autentificacin
Proceso mediante el cual se verifica que alguien o algo es lo que dice ser. En redes de ordenadores privados y
pblicos (entre ellos, Internet), la autentificacin se realiza normalmente por medio de contraseas de acceso.
Autorizacin
Proceso mediante el cual se le da permiso a alguien para hacer algo. Proporciona controles establecidos que
suministran a los usuarios acceso a los datos e impide que otros accedan a los mismos datos, a menudo basados
en un proceso de autentificacin. En referencia a la informtica, en especial, sobre ordenadores en lugares
remotos dentro de una red, es el derecho otorgado a un individuo o proceso de usar un sistema o los datos
almacenados en el mismo. La autorizacin la lleva a cabo normalmente un administrador de sistemas y la verifica
el ordenador segn cierta forma de identificacin de usuarios, como un cdigo numrico o contrasea.

B Bien digital
Objeto electrnico que tiene valor de cara a un propsito. Se puede haber creado de forma digital o puede
haberse digitalizado tomando una fuente inicial no digital.

C Carta de declaracin incondicional

Una Carta de declaracin informal se distingue por la frase En su opinin, la afirmacin de la direccin
[afirmacin identificada] figura claramente en todo lo material. Un informe incondicional no incluye la frase con
excepcin de.
Cifrado
En trminos bsicos, es el proceso por el cual se convierte un texto simple en un texto cifrado utilizando
algoritmos criptogrficos y claves.
Consentimiento
Permiso otorgado para utilizar o compartir PII de formas especficas. El consentimiento puede ser implcito o
explcito.
Cookie
Un archivo pequeo de datos que se almacena en el ordenador local de un usuario para guardar un registro y que
contiene informacin sobre el usuario en relacin con un sitio web, por ejemplo, las preferencias del usuario.
Credenciales
Informacin que incluye identificacin y prueba de identificacin que se utiliza para obtener acceso a recursos
locales y de la red. Los nombres de usuario y contraseas, smartcards y certificados son ejemplos de credenciales.

7|Pgina
 Supplier Security and Privacy Assurance (SSPA)

C Cumplimiento
Principio de la privacidad que proporciona mecanismos para asegurar el cumplimiento de las Prcticas justas
sobre datos, que existe un recurso de los individuos afectados por el no cumplimiento y que la organizacin que
no cumple sufre las consecuencias. Entre dichos mtodos de cumplimiento se pueden incluir revisiones por parte
de terceros independientes, como TRUSTe.

D Datos confidenciales / informacin confidencial

Desde el punto de vista de la Unin Europea, Datos personales identificables (PII) sobre la raza, el origen tnico, la
opinin poltica, las creencias religiosas o filosficas, el comportamiento sexual o la pertenencia a sindicatos.
Dentro de los EE.UU., dichos datos tambin incluyen datos sobre la salud, las finanzas y los hijos.
Destruccin
artculos que se deben destruir fsicamente de forma que se elimine la posibilidad de recuperar la informacin de
entre los restos destruidos.
Distribuir
Transferencia de una parte a otra parte, que toma entonces posesin o control de los datos.
Direccin de IP
Nmero utilizado para identificar de forma exclusiva al remitente y receptor de los paquetes de datos que se
envan por Internet. Las direcciones de IP pueden ser estticas (no sufren cambios) o dinmicas.
Declaracin de privacidad
Un documento pblico que describe, entre otras cosas, qu datos recopila el producto, sitio o servicio; con quin
se comparten los datos; y de qu forma pueden controlar los usuarios el uso de sus datos personales.

E Eleccin
La capacidad de un individuo de determinar si se pueden utilizar los datos personales identificables (PII)
recopilados sobre dicho individuo y cmo se pueden utilizar, especialmente con propsitos que van ms all de
aqullos para los que se proporcionaron los datos. La eleccin es un componente de la relacin personal.

H Hacer annimo
Hacer que el grado de anonimato de los datos personales sea suficiente de tal manera que la identidad verdadera
de un individuo no se pueda identificar.

I Integridad
Principio de practices justas sobre datos por el cual se deben tomar pasos suficientes para asegurar que los PII
son relevantes y fiables (por ejemplo, exactitud, integridad y actualidad) para el uso deseado.
Informacin sobre la salud
Datos relacionados con la salud fsica o mental del individuo, entre ellos, preguntas para solicitar servicios e
informacin sanitaria y compras de productos sanitarios. Esta informacin debera denominarse de Gran impacto
empresarial.

8|Pgina
 Supplier Security and Privacy Assurance (SSPA)

I Informacin personal identificable (PII)

Toda informacin relacionada con un individuo identificado o identificable. Dicha informacin puede incluir, el
nombre, el pas, la direccin fsica y la electrnica, el nmero de tarjeta de crdito, nmero de carnet de identidad,
nmero de ID gubernamental, direccin de IP o identificador exclusivo que se relaciona con los PII en otro
sistema. Se conoce tambin como informacin personal o datos personales.
Integridad de datos / calidad de datos
Principio clave de la privacidad, la integridad de datos / calidad de datos denomina los requisitos de que tienen
las organizaciones para asegurar que los PII son exactos, ntegros y actuales.
Informacin financiera
Datos recopilados por un sitio o proveedor de servicios sobre las finanzas de un individuo, entre otras, el estado
de sus cuentas, el saldo, el historial de pago y la informacin crediticia. Esta informacin debera denominarse en
general de Gran impacto empresarial.

N Notificacin
Principio de privacidad que requiere que se revelen de forma suficiente las prcticas de recopilacin y uso de los
datos personales identificables de un consumidor. Cuando se le pidan PII a un individuo, dicho individuo debe
recibir notificacin sobre qu informacin se recopila y cmo se utilizar. La informacin sobre revelacin se da a
conocer por lo general en una notificacin de privacidad o poltica de privacidad. La notificacin aparece en las
Prcticas justas sobre datos.
No participacin
Mtodo utilizado para conseguir el consentimiento explcito de un individuo para utilizar los PII ms all del
propsito inicial con el que se consiguieron. La no participacin insina un el consentimiento basado en la
carencia de una accin especfica por parte de un usuario (por ejemplo, no marcar una casilla) para no dar su
consentimiento. Se utiliza generalmente en programas y ofertas de marketing, a travs de los cuales no se realiza
una accin (por ejemplo, utilizar los datos personales ms all de su propsito inicial) a menos que un individuo
se niegue de forma explcita.

P Participacin
Mtodo utilizado para conseguir el consentimiento explcito de un individuo para utilizar los PII ms all del
propsito inicial con el que se consiguieron. La participacin requiere que el usuario realice acciones explcitas
(por ejemplo, marcar una casilla) para otorgar su consentimiento. Se utiliza generalmente en programas y ofertas
de marketing, a travs de los cuales no se realiza una accin (por ejemplo, utilizar los datos personales ms all de
su propsito inicial) a menos que un individuo otorgue su consentimiento explcito.
Prcticas justas sobre datos
La base de las mejores prcticas sobre privacidad, tanto conectado como desconectado. El origen de las prctices
en la Ley de privacidad de 1974, conjunto de leyes que protege los datos personales recopilados y mantenidos
por el gobierno estadounidense. En 1980, la Organizacin para la Cooperacin y el Desarrollo Econmico adopt
estos principios e introdujo sus Guas para la proteccin de datos personales y de flujos de datos interfronterizos.
Se incluyeron despus en la Directiva de proteccin de datos de la Unin Europea en 1995, con modificaciones.
Entre las Prcticas justas sobre datos se incluye, la notificacin, el PUID, la eleccin, el acceso, la transferencia
posterior, la integridad de datos y la reparacin.

9|Pgina
 Supplier Security and Privacy Assurance (SSPA)

P Poltica
Declaracin por escrito que da a conocer la intencin de la direccin, sus objetivos, responsabilidades y/o
estndares.
Privacidad
El control que tienen los clientes sobre la recopilacin, el uso y la distribucin de sus datos personales.
Poltica de privacidad
Los requisitos de una organizacin de cumplir con las normativas y directivas en materia de privacidad.
Privilegios
El permiso otorgado por un usuario de realizar una tarea especfica, en general, una que afecta al sistema de todo
el ordenador y no a un objeto en particular. Los administradores se encargan de asignar privilegios a usuarios
individuales o grupos de usuarios como parte de la configuracin de un ordenador.
Preferencia en la forma de contacto
Datos recopilados sobre la forma preferida por el individuo para comunicarse con el mismo, por ejemplo, por
correo electrnico, telfono o por carta.
Proveedor
Individuo o entidad que proporciona productos o realiza un servicio a Microsoft o en nombre de Microsoft.
Microsoft no considera un proveedor un tercero independiente.
Perfil del usuario
Configuraciones que definen preferencias personalizas de un usuario especfico, como las configuraciones del PC,
conexiones de redes constantes, datos personales identificables (PII), uso de sitios web y otros datos
demogrficos y de comportamiento.

R Relevancia
La recopilacin de PII debera limitarse a aquello que sea relevante a la hora de proveer el servicio solicitado.
Revelacin
Elemento del principio de notificacin, por el cual una compaa debe poner a disposicin sus prcticas de
manejo de datos, entre ellas, notificaciones sobre cmo se recopilan, emplean y se comparten datos personales
identificables (PII).
Recopilar
Reunir datos personales; recopilar puede ser de forma directa, a travs de medios como formularios en lnea,
tarjetas de inscripcin enviadas por correo o de forma indirecta, a travs de terceros.

S Seguridad
La seguridad es un principio de las Prcticas justas sobre datos que seala que las organizaciones deben tomar las
suficientes medidas para proteger la confidencialidad, integridad y disponibilidad de los PII.
Sistema
Un sistema consiste en componentes mltiples organizados con un propsito especfico. Dichos componentes
pueden incluir infraestructuras (locales, equipo y redes), software (sistemas, aplicaciones y otros programas),
personas (informticos, operadores, usuarios y directores), procedimientos (automatizados y manuales) y datos
(flujos de transacciones, archivos, bases de datos y tablas).
Software antivirus
Software diseado especialmente para detector y prevenir virus conocidos.

10 | P g i n a
 Supplier Security and Privacy Assurance (SSPA)

S SAQ, opciones de formularios:

SAQ A
Comerciantes que aceptan pagos sin presentacin de tarjeta (pedidos de comercio electrnico o por
correspondencia/telfono), con todas las funciones de datos de titulares de tarjeta subcontratadas. Este caso no
se aplicar nunca a comerciantes con actividad presencial.
SAQ B
Comerciantes que usan nicamente dispositivos de impresin sin almacenamiento electrnico de datos de
titulares de tarjetas de crdito, o comerciantes que usan terminales independientes de marcado externo sin
almacenamiento electrnico de datos de titulares de tarjeta de crdito.
SAQ C-VT
Comerciantes que usan exclusivamente terminales virtuales basados en Web, sin almacenamiento electrnico de
datos de titulares de tarjetas de crdito.
SAQ C
Comerciantes con sistemas de aplicacin de pagos conectados a Internet, sin almacenamiento electrnico de
datos de titulares de tarjetas de crdito.
SAQ D
Todos los dems comerciantes no incluidos en las descripciones de los tipos A-C de SAQ y todos los proveedores
de servicios que una marca de pagos haya definido como aptos para la cumplimentacin de formularios de SAQ.

T Transferencia posterior
Transferencia de Datos personales identificables (PII) por parte de un receptor de los datos originales a otro
receptor (es decir, el receptor de la transferencia posterior). Por ejemplo, la transferencia de PII de una entidad en
Alemania a otra entidad dentro de los EE.UU. constituye una transferencia posterior de dichos datos. La
notificacin posterior aparece en las Prcticas justas sobre datos.
Transferencia
Entrega de datos del cliente a un Tercero que puede almacenarlos internamente o utilizarlos para ponerse en
contacto con clientes e informarles sobre sus propios productos y servicios.
Transferencia de datos
Principio clave de la privacidad, el movimiento de datos personales identificables (PII) entre entidades, por
ejemplo, listas de clientes que se comparten entre dos compaas diferentes.

U Utilizacin
Uso de los Datos personales de Microsoft para satisfacer los servicios solicitados.
Uso principal
Propsito por el cual se otorg inicialmente la informacin , por ejemplo, recopilar informacin de envo para
enviar el producto o procesar la inscripcin en un acontecimiento.
Uso secundario
Uso de datos personales con propsitos diferentes a aquellos para los que se recopilaron los datos. Las Prcticas
justas sobre datos sealan que una persona puede proporcionar datos personales con un propsito especfico sin
miedo a que despus se utilice con un propsito no relacionado sin el conocimiento o consentimiento de dicha
persona.

11 | P g i n a