ภาคผนวก II - มาตรการทางเทคนิคและองค์กร
Globalization Partnersิวัฒน์ได้รับการรับรองและรับรองเพื่อยืนยันการปฏิบัติตาม2มาตรฐาน SOC โดยผู้ตรวจสอบอิสระ รายงานการควบคุมองค์กรบริการ (SOC) แสดงให้เห็นถึงความมุ่งมั่นของเราในการรักษาความปลอดภัยข้อมูลลูกค้า โปรแกรมรักษาความปลอดภัยของพันธมิตรGlobalization Partnersได้รับการออกแบบมาเพื่อ:
-
ปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าที่อยู่ในความครอบครองของพันธมิตรGlobalization Partnersบาลหรือที่Globalization Partnersลสามารถเข้าถึงได้
-
ปกป้องจากภัยคุกคามหรืออันตรายที่คาดการณ์ไว้ใด ๆ ต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้า
-
ป้องกันการเข้าถึง การใช้งาน การเปิดเผย การเปลี่ยนแปลง หรือการทําลายข้อมูลลูกค้าโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย
-
ป้องกันการสูญเสียหรือการทําลายหรือความเสียหายข้อมูลลูกค้าโดยไม่ได้ตั้งใจ และ
-
ปกป้องข้อมูลตามที่ระบุไว้ในระเบียบข้อบังคับใด ๆ ที่Globalization Partnersิวัตน์อาจได้รับการควบคุม
ต่อไปนี้เป็นคําอธิบายเกี่ยวกับหน้าที่ กระบวนการ การควบคุม ระบบ ขั้นตอน และมาตรการที่Globalization Partnersิวัตน์ได้ดําเนินการเพื่อให้มั่นใจถึงความปลอดภัยของการประมวลผลข้อมูลลูกค้า:
1) มาตรการทางเทคนิคเพื่อรับรองความเป็นส่วนตัวของข้อมูลและการคุ้มครองข้อมูล
ก) ความเป็นส่วนตัวตั้งแต่ขั้นตอนการออกแบบและเริ่มต้น:Globalization Partners น์คํานึงถึงข้อกําหนดของมาตรา 25 GDPR ในขั้นแนวคิดและการพัฒนาของการพัฒนาผลิตภัณฑ์ กระบวนการและฟังก์ชันการทํางานถูกกําหนดขึ้นในลักษณะที่หลักการคุ้มครองข้อมูล เช่น ความถูกต้องตามกฎหมาย ความโปร่งใส การจํากัดวัตถุประสงค์ การลดปริมาณข้อมูล ฯลฯ ตลอดจนความปลอดภัยของการประมวลผลได้รับการพิจารณาตั้งแต่ระยะแรก
ข) การเข้ารหัสข้อมูลส่วนบุคคล:การตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลจะถูกเก็บไว้ในระบบในลักษณะที่ไม่อนุญาตให้บุคคลที่สามระบุเจ้าของข้อมูลเท่านั้น
-
การเข้ารหัสฐานข้อมูลและการจัดเก็บข้อมูล:
ในฐานข้อมูลทั้งหมดที่ใช้โดย Globalization Partners จะใช้การเข้ารหัส “ขณะพัก” ตามความทันสมัย เพื่อให้สามารถอ่านข้อมูลจากฐานข้อมูลได้หลังจากการตรวจสอบความถูกต้องที่เหมาะสมในระบบฐานข้อมูลที่เกี่ยวข้องแล้วเท่านั้น
-
การเข้ารหัสสื่อข้อมูลมือถือ:
ไม่อนุญาตให้ใช้ผู้ให้บริการข้อมูลมือถือสําหรับการจัดเก็บข้อมูลของลูกค้า
-
การเข้ารหัสผู้ให้บริการข้อมูลบนแล็ปท็อป:
การเข้ารหัสฮาร์ดดิสก์ที่ล้ําสมัยอย่างเหมาะสมติดตั้งอยู่บนแล็ปท็อปของพนักงานทุกคน
-
การแลกเปลี่ยนข้อมูลและไฟล์ที่เข้ารหัส:
โดยหลักการแล้ว การแลกเปลี่ยนข้อมูลและไฟล์จะถูกเข้ารหัสโดยตรงผ่านแอปพลิเคชันพิเศษ หากข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นความลับต้องถูกถ่ายโอนไปยังเซิร์ฟเวอร์ที่ไม่สามารถส่งผ่านการอัพโหลด HTTPS ที่เข้ารหัส TLS ข้อมูลเหล่านี้จะถูกถ่ายโอนโดยใช้โปรโตคอลการถ่ายโอนไฟล์ที่ปลอดภัย (SFTP) บริการซองจดหมายที่เข้ารหัส หรือกลไกที่เข้ารหัสอื่น ๆ ตามสถานะของศิลปะ
-
การเข้ารหัสอีเมล:
โดยหลักการแล้ว อีเมลทั้งหมดที่ถูกส่งโดยพนักงานของ Globalization Partners จะถูกเข้ารหัสด้วย TLS อาจมีข้อยกเว้นหากเซิร์ฟเวอร์อีเมลที่ได้รับไม่รองรับ TLS ลูกค้าจะต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์อีเมลที่เกี่ยวข้องที่ใช้ภายในขอบเขตของคําสั่งสนับสนุนการเข้ารหัส TLS
ค) การควบคุมการรับเข้ารักษาตัวในโรงพยาบาลมีวัตถุประสงค์และนํามาใช้เพื่อป้องกันการใช้และการประมวลผลข้อมูลที่ได้รับการคุ้มครองโดยกฎหมายคุ้มครองข้อมูลโดยบุคคลที่ไม่ได้รับการอนุญาต
-
การใช้วิธีการพิสูจน์ตัวตน
การเข้าถึงข้อมูลส่วนบุคคลมักจะผ่านโปรโตคอลที่เข้ารหัสไว้: SSH, SSL/ TLS, HTTPS หรือโปรโตคอลที่เทียบเท่ากัน ขั้นตอนการพิสูจน์ตัวตนสําหรับระบบไอที: เข้าสู่ระบบ IT สําหรับการพิสูจน์ตัวตนแบบหลายปัจจัย
-
การบล็อกอัตโนมัติในกรณีที่ไม่มีการใช้งาน
แล็ปท็อปที่ใช้โดยพนักงาน Globalization Partners ที่ถูกล็อกด้วยรหัสผ่านหรือการปกป้องด้วยรหัส PIN เมื่อผู้ใช้ไม่ได้ใช้งาน นอกจากนี้ จะมีการตั้งค่าการล็อกหน้าจออัตโนมัติพร้อมการป้องกันด้วยรหัสผ่านหลังจากไม่มีการใช้งานเป็นเวลา 15 นาที
-
การใช้ซอฟต์แวร์ป้องกันไวรัส
แล็ปท็อปที่ใช้โดยพนักงาน Globalization Partners มาพร้อมกับซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยซึ่งได้รับการปรับปรุงให้ทันสมัยอยู่เสมอในระบบ IT ด้านการปฏิบัติการหรือธุรกิจทั้งหมด ตามหลักการแล้ว ห้ามใช้งานคอมพิวเตอร์ใดๆ โดยไม่มีเครื่องป้องกันไวรัสถิ่นที่อยู่ เว้นแต่จะมีมาตรการรักษาความปลอดภัยที่ทันสมัยเทียบเท่าอื่นๆ หรือไม่มีความเสี่ยงใดๆ ต้องไม่ปิดใช้งานหรือหลีกเลี่ยงการตั้งค่าความปลอดภัยเริ่มต้น
-
“นโยบายการทําความสะอาดโต๊ะ”
พนักงานที่เป็น Globalization Partners วัตน์ได้รับคําแนะนําไม่ให้พิมพ์หรือจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลในท้องถิ่น ไม่วางเอกสารงานในสถานที่ที่บุคคลที่สามอาจดู และเก็บเอกสารงานทั้งหมดอย่างเหมาะสม เอกสารที่กฎหมายกําหนดให้Globalization Partnersิวัฒน์เก็บในสําเนาเอกสารถาวรจะถูกเก็บไว้ในตู้ที่ล็อกไว้
ง) การควบคุมการเข้าถึงภายในการควบคุมการเข้าถึงแพลตฟอร์มช่วยให้มั่นใจได้ว่าบุคคลที่ได้รับอนุญาตให้ใช้ระบบประมวลผลจะสามารถเข้าถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การอนุญาตการเข้าถึงของตนเท่านั้น
-
บทบาทและการอนุญาต
-
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้ของลูกค้าที่เข้าถึงลูกค้าสามารถดูและแก้ไขข้อมูลบัญชีลูกค้าได้
-
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้มืออาชีพด้านการเข้าถึงสามารถดูและแก้ไขข้อมูลทางวิชาชีพของตนเอง
ได้มืออาชีพยังสามารถรับบทบาทการเข้าถึงของลูกค้าได้เมื่อจําเป็น + การอนุมัติ
-
บทบาทและแพลตฟอร์มการอนุญาต – ผู้ใช้การเข้าถึง
ภายในมีบทบาทที่แตกต่างกัน พวกเขามีการเข้าถึงที่หลากหลายเพื่อสร้าง ดู แก้ไข และอนุมัติสิ่งต่อไปนี้:
-
ข้อมูลลูกค้า
-
ข้อมูลการเรียกเก็บเงิน
-
ข้อมูลพันธมิตร
-
บุคลากรวิชาชีพบันทึกข้อมูล
การเข้าถึงระบบผู้ดูแลระบบโดยทั่วไปจะจํากัดไว้เฉพาะพนักงานที่ได้รับการฝึกอบรมในด้านการสนับสนุนลูกค้าและการพัฒนาผลิตภัณฑ์
จ) Firewall as a ServiceGlobalizationGlobalization Partners ใช้ไฟร์วอลล์ภายนอกเป็นบริการที่อนุญาตให้หรือบล็อกการเข้าถึงเว็บไซต์เพื่อให้แน่ใจว่าระบบไม่สามารถเข้าถึงเนื้อหาที่เป็นอันตรายและจํากัดการเข้าถึงเนื้อหาที่ไม่เหมาะสม
ฉ) บันทึกการเข้าสู่ระบบแพลตฟอร์มGlobalization Partners จะเก็บรักษาบันทึกกิจกรรมการเข้าสู่ระบบทั้งหมด
ช) การพ้นจากงาน การตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ที่แตกต่างกันสามารถประมวลผลแยกต่างหากและแยกออกจากข้อมูลและระบบอื่น ๆ ในลักษณะที่ไม่สามารถใช้ข้อมูลเหล่านี้เพื่อวัตถุประสงค์อื่น ๆ ได้โดยไม่ได้วางแผนไว้
-
การแยกสภาพแวดล้อมการพัฒนา การทดสอบ และการปฏิบัติงาน
ข้อมูลจากสภาพแวดล้อมการทํางานอาจถูกถ่ายโอนไปยังสภาพแวดล้อมการทดสอบหรือการพัฒนาได้ ก็ต่อเมื่อไม่มีการระบุชื่ออย่างสมบูรณ์ก่อนการถ่ายโอน การถ่ายโอนข้อมูลที่ไม่ระบุตัวตนจะต้องได้รับการเข้ารหัสหรือผ่านเครือข่ายที่เชื่อถือได้
-
การแยกเครือข่าย
Globalization Partners แยกเครือข่ายตามงาน เครือข่ายต่อไปนี้ถูกใช้อย่างถาวร: สภาพแวดล้อมการดําเนินงาน (“การผลิต”) สภาพแวดล้อมการทดสอบ (“การแท็ก” “แซนบ็อกซ์”) สภาพแวดล้อมการพัฒนา (“Dev”) เจ้าหน้าที่ IT ของสํานักงาน นอกเหนือจากเครือข่ายเหล่านี้แล้ว เครือข่ายที่แยกต่างหากเพิ่มเติมจะถูกสร้างขึ้นตามความจําเป็น เช่น สําหรับการกู้คืนการทดสอบและการทดสอบการเจาะระบบ ขึ้นอยู่กับความเป็นไปได้ทางเทคนิค เครือข่ายจะถูกแยกออกทั้งทางกายภาพหรือทางเครือข่ายเสมือน
ซ) การควบคุมความพร้อมGlobalization Partners จะดําเนินการตามขั้นตอนดังต่อไปนี้เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการปกป้องจากการทําลายหรือการสูญหายโดยไม่ได้ตั้งใจ
-
ขั้นตอนการปกป้องข้อมูล/การสํารองข้อมูล
เพื่อให้แน่ใจว่ามีความพร้อมใช้งานที่เพียงพอ Globalization Partners ิวัฒน์จะใช้สแนปช็อตประจําวันของฐานข้อมูลที่มีการทําซ้ําไปยังภูมิภาคอื่น นอกจากนี้ ยังมีมาตรการเพื่อให้แน่ใจว่าพนักงานที่มีความจําเป็นต้องตรวจสอบข้อมูลจะได้รับสิทธิ์การเข้าถึงชุดข้อมูลแบบจําลองเท่านั้น
-
การทําซ้ําทางภูมิศาสตร์เกี่ยวกับโครงสร้างพื้นฐานของเซิร์ฟเวอร์ของข้อมูลและการสํารองข้อมูลที่มีประสิทธิภาพ
-
การจัดการเหตุการณ์ด้าน IT (“การจัดการการตอบสนองต่อเหตุการณ์”)
มีแนวคิดและระเบียบวิธีปฏิบัติที่จัดทําเป็นเอกสารไว้สําหรับการจัดการเหตุการณ์และเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงการวางแผนและการเตรียมการตอบสนองต่อเหตุการณ์ ขั้นตอนในการตรวจสอบ ตรวจหาและวิเคราะห์เหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย และคําจํากัดความของความรับผิดชอบที่เกี่ยวข้องและช่องทางการรายงานในกรณีที่มีการละเมิดการคุ้มครองข้อมูลส่วนบุคคลภายในกรอบข้อกําหนดทางกฎหมาย
2) มาตรการขององค์กรเพื่อให้มั่นใจถึงความเป็นส่วนตัวของข้อมูลและการคุ้มครองข้อมูล
Globalization Partnersิวัฒน์ได้วางมาตรการขององค์กรดังต่อไปนี้ เพื่อให้แน่ใจว่าองค์กรดําเนินงานในลักษณะที่สอดคล้องกับข้อกําหนดด้านความเป็นส่วนตัวและการคุ้มครองข้อมูล
ก) คําแนะนําขององค์กร Globalization Partners ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางสําหรับพนักงานที่ต้องปฏิบัติตาม การจัดทําเอกสารรวมถึงวิธีการระบุและจัดการปัญหาด้านความเป็นส่วนตัวของข้อมูล แนวทางปฏิบัติที่ดีที่สุดเพื่อให้มั่นใจว่ามีการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัว และนโยบายในการจัดการกับเหตุการณ์ด้านความเป็นส่วนตัว
ข) ความมุ่งมั่นในการรักษาความลับและการปกป้องข้อมูลGlobalization Partners น์ได้พัฒนาและกําลังพัฒนาโปรแกรมการกํากับดูแลข้อมูล รวมถึงนโยบาย ขั้นตอน และแนวทางสําหรับพนักงานที่ต้องปฏิบัติตาม พนักงานและผู้รับจ้างทุกคนมีข้อผูกพันเป็นลายลักษณ์อักษรในการรักษาความลับและการคุ้มครองข้อมูล ตลอดจนกฎหมายอื่น ๆ ที่เกี่ยวข้อง พนักงานทุกคนได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย การตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและการรักษาความปลอดภัยของข้อมูลจะดําเนินการเป็นประจํา การตรวจสอบจะดําเนินการตามเกณฑ์/แบบแผนการทดสอบทั่วไป พนักงานและผู้รับจ้างของ Globalization Partners จะได้รับคําแนะนําให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่มีกับลูกค้าและผู้เชี่ยวชาญ โดยพิจารณาตามความยินยอมโดยชัดแจ้งใด ๆ ที่ให้หรือระงับโดยเจ้าของข้อมูล และสอดคล้องกับหน้าที่ตามกฎหมายใด ๆ ขององค์กร
ค) การฝึกอบรมด้านการคุ้มครองข้อมูล พนักงานทุกคนจะได้รับการฝึกอบรมด้านความเป็นส่วนตัวและความปลอดภัย ซึ่งยังคงพร้อมสําหรับการทบทวนได้ทุกเมื่อบนแพลตฟอร์มการฝึกอบรม Globalization Partners
ง) การควบคุมการเข้าถึงทางกายภาพGlobalization Partners มีการควบคุมทางกายภาพต่อไปนี้เพื่อปฏิเสธการเข้าถึงอุปกรณ์ระบบไอทีที่ไม่ได้รับอนุญาตที่ใช้สําหรับการประมวลผล
-
การป้องกันประตูแบบอิเล็กทรอนิกส์
ประตูทางเข้าสถานประกอบการของสํานักงาน Globalization Partners จะถูกล็อคและรักษาความปลอดภัยทางอิเล็กทรอนิกส์เสมอ ประตูเปิดผ่านเครื่องส่งสัญญาณอิเล็กทรอนิกส์ส่วนตัว
-
การแจกจ่ายกุญแจที่มีการควบคุม
การจัดสรรกุญแจให้กับพนักงานของ Globalization Partners ที่จัดทําเป็นเอกสารไว้จากส่วนกลางจะเกิดขึ้น ผู้จัดการสํานักงานหรือฝ่ายทรัพยากรบุคคลแต่ละคนสามารถปิดใช้งานเครื่องส่งสัญญาณอิเล็กทรอนิกส์/กุญแจเหล่านี้ได้จากส่วนกลาง
-
การกํากับดูแลและช่วยเหลือบุคคลภายนอก
ผู้ให้บริการภายนอกและบุคคลที่สามอื่น ๆ อาจได้รับอนุญาตให้เข้าถึงสถานที่ผ่านการอนุญาตล่วงหน้าหรือเมื่อมาพร้อมกับพนักงานของ Globalization Partners เท่านั้น Globalization Partnersิวัฒน์ใช้นโยบายของผู้มาติดต่อที่เป็นลายลักษณ์อักษรเมื่อผู้มาติดต่อได้รับเชิญให้เข้ามายังสถานที่
-
การรักษาความปลอดภัยของสถานที่ที่มีความต้องการการปกป้องเพิ่มขึ้น
สถานที่หรือตู้ที่มีข้อกําหนดการป้องกันเพิ่มขึ้น เช่น สํานักงานกฎหมายและสถานที่ปฏิบัติงานบางแห่ง มีตู้และลิ้นชักล็อก ตู้และลิ้นชักที่มีเอกสารทางกฎหมาย สัญญา และเอกสารที่เป็นความลับต้องล็อกไว้ตลอดเวลา ยกเว้นเมื่อมีการใช้งาน
-
ประตูและหน้าต่างที่ปิดอยู่
พนักงานได้รับคําสั่งในองค์กรให้ปิดหรือล็อคหน้าต่างและประตูนอกเวลาทําการ
จ) การกู้คืนGlobalization Partners จะช่วยให้มั่นใจว่าระบบที่ใช้งานจะสามารถกู้คืนได้ในกรณีที่ระบบล้มเหลวทางกายภาพหรือทางเทคนิค
-
การทดสอบการกู้คืนข้อมูลเป็นประจํา (“Restore-Tests”)
ดําเนินการทดสอบการกู้คืนเต็มรูปแบบเป็นประจําเพื่อให้แน่ใจว่าสามารถกู้คืนได้ในกรณีที่เกิดเหตุฉุกเฉิน/ภัยพิบัติ
-
แผนฉุกเฉิน (“แนวคิดการกู้คืนจากความเสียหาย”)
มีแนวคิดสําหรับการรักษาเหตุฉุกเฉิน/ภัยพิบัติและแผนฉุกเฉินที่เกี่ยวข้อง Globalization Partnersิวัฒน์รับรองการกู้คืนระบบทั้งหมดบนพื้นฐานของการสํารองข้อมูล / การสํารองข้อมูล โดยปกติภายใน 48 ชั่วโมง
-
มาตรการตรวจสอบและประเมินผล
การนําเสนอขั้นตอนวิธีการสําหรับการทบทวน การประเมิน และการประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ําเสมอ
ฉ) ทีมความเป็นส่วนตัว องค์กรมีสํานักงานความเป็นส่วนตัวของข้อมูลทั่วโลกที่มีหน้าที่วางแผน ดําเนินการ ประเมิน และปรับใช้มาตรการในด้านการปกป้องข้อมูล
ช) การจัดการความเสี่ยง มีกระบวนการสําหรับการวิเคราะห์ การประเมิน และการจัดสรรความเสี่ยง และสําหรับการได้มาซึ่งมาตรการบนพื้นฐานของความเสี่ยงเหล่านี้
3) การตรวจสอบความปลอดภัยของข้อมูลอย่างเป็นอิสระ
ก) มีการดําเนินการตรวจสอบภายในเกี่ยวกับการคุ้มครองข้อมูลและการรักษาความปลอดภัยของข้อมูลอย่างสม่ําเสมอ การตรวจสอบจะดําเนินการตามเกณฑ์/แบบแผนการทดสอบทั่วไป
ข) การตรวจสอบการปฏิบัติตามนโยบายและมาตรฐานด้านความปลอดภัย การปฏิบัติตามแนวทางปฏิบัติ มาตรฐานและข้อกําหนดด้านความปลอดภัยอื่น ๆ ที่เกี่ยวข้องสําหรับการประมวลผลข้อมูลส่วนบุคคลได้รับการตรวจสอบอย่างสม่ําเสมอ หากเป็นไปได้ การตรวจสอบเหล่านี้จะดําเนินการแบบสุ่มและไม่คาดคิด
ค) การตรวจสอบการปฏิบัติตามข้อกําหนดทางเทคนิค การสแกนช่องโหว่แบบอัตโนมัติและแบบแมนนวลเป็นประจําจะดําเนินการโดยแผนกไอทีหรือบุคลากรที่มีคุณสมบัติเหมาะสมอื่น ๆ เพื่อตรวจสอบความปลอดภัยของแอปพลิเคชันและโครงสร้างพื้นฐาน ตลอดจนการพัฒนาผลิตภัณฑ์อย่างสม่ําเสมอ การทดสอบการเจาะระบบอย่างละเอียดจะดําเนินการโดยผู้ให้บริการภายนอกเพื่อตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานโดยเฉพาะสําหรับช่องโหว่
ง) การประมวลผลตามคําสั่ง พนักงานของ Globalization Partners ได้รับคําแนะนําให้ประมวลผลข้อมูลส่วนบุคคลด้วยเหตุผลที่ชอบด้วยกฎหมายเท่านั้น ตามสัญญาที่มีกับลูกค้าและผู้เชี่ยวชาญ โดยพิจารณาถึงความยินยอมโดยชัดแจ้งใด ๆ ที่ให้หรือระงับโดยเจ้าของข้อมูล และสอดคล้องกับหน้าที่ตามกฎหมายขององค์กร
จ) การเลือกซัพพลายเออร์อย่างระมัดระวังGlobalization Partners ปฏิบัติตามกระบวนการพิจารณาคุณสมบัติเบื้องต้นของซัพพลายเออร์เมื่อเลือกผู้ขายและซัพพลายเออร์ที่อาจเผชิญกับข้อมูลที่ได้รับการคุ้มครอง กระบวนการนี้ประกอบด้วยข้อเสนอแนะจากฝ่ายการเงินและฝ่ายกฎหมาย/ความเป็นส่วนตัว และรวมการประเมินความเสี่ยง การตรวจสอบคุณสมบัติเบื้องต้นด้านการรักษาความปลอดภัย และขั้นตอนการรับรองเอกสาร ซัพพลายเออร์ที่จะประมวลผลข้อมูลที่ได้รับการคุ้มครองจะต้องแสดงให้เห็นถึงการปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูลที่บังคับใช้ รวมถึงข้อบังคับ 28 GDPR สําหรับข้อมูลที่ครอบคลุม