Microsoft-Support, Dienstleistungen und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO

Microsoft-Support und Professional Services nimmt seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ernst.

Microsoft Professional Services umfasst eine vielzahl von technischen Architekten, Ingenieuren, Beratern und Supportexperten, die sich der Microsoft-Mission widmen, Kunden zu befähigen, mehr zu tun und mehr zu erreichen. Unser Professional Services-Team umfasst mehr als 21.000+ Berater, Digital Advisors, Premier Support, Ingenieure und Vertriebsexperten, die in 191 Ländern arbeiten, 46 verschiedene Sprachen unterstützen, mehrere Millionen Engagements pro Monat verwalten und über lokale, telefon-, web-, community- und automatisierte Tools an Kunden- und Partnerinteraktionen teilnehmen. Die organization bietet umfassendes Fachwissen im gesamten Microsoft-Portfolio und nutzt ein umfangreiches Netzwerk von Partnern, technischen Communitys, Tools, Diagnose und Kanälen, die uns mit unseren Unternehmenskunden verbinden.

Das Globale Reaktionsteam für Datenschutzvorfälle von Microsoft Professional Services besteht darin, (a) strenge Vorgänge und Prozesse einzusetzen, um Datenschutzvorfälle zu verhindern, (b) sie professionell und effizient zu verwalten, wenn sie auftreten, und (c) aus diesen Datenschutzvorfällen durch regelmäßige Post-Mortem- und Programmverbesserungen zu lernen. Die Prozesse und Ergebnisse des Microsoft Professional Services-Teams zur Reaktion auf Datenschutzvorfälle werden durch mehrere Sicherheits- und Compliance-Audits (z. B. ISO/IEC 27001) überprüft und bestätigt.

Übersicht über die Reaktion auf Datenschutzverletzungen

Microsoft Professional Services verpflichtet sich, seine Kunden zu schützen, und ergreift erhebliche Maßnahmen, um Datenschutzvorfälle zu verhindern, um das Vertrauen der Kunden aufrechtzuerhalten. Ein Datenschutzvorfall im Professional Services-organization ist eine Sicherheitsverletzung, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten oder Support- oder Beratungsdaten führt, während die Verarbeitung durch Microsoft erfolgt. Für kommerzielle Kunden, die Premier Support, Unified Support oder Microsoft Consulting Services erworben haben, sollten Sie ihre Sprache zur Reaktion auf Datenschutzvorfälle im Professional Services-Datenschutz-Nachtrag unter https://aka.ms/professionalservicesdpa/beziehen.

Umfang und Grenzen des Prozesses für die Reaktion auf Datenschutzverletzungen

Unser Benachrichtigungsprozess im Hinblick auf die Verletzung des Schutzes personenbezogener Daten beginnt, wenn wir deklarieren, dass eine [Verletzung des Schutzes personenbezogener Daten] stattgefunden hat.

Um deklariert zu werden, muss das Microsoft-Team zur Reaktion auf Datenschutzvorfälle feststellen, dass ein Datenschutzvorfall wie zuvor definiert aufgetreten ist. Die Erklärung erfolgt, sobald alle relevanten Informationen verfügbar sind, um festzustellen, dass ein Datenschutzvorfall aufgetreten ist.

Aufgrund der Art der professionellen Dienstleistungen sind einige Ereignisse, die wie Microsoft-Datenschutzvorfälle scheinen, nicht darauf zurückzuführen, dass sie über die Aktionen des Kunden oder auf den Systemen des Kunden aufgetreten sind. Microsoft überwacht oder reagiert nicht auf Datenschutzvorfälle im Verantwortungsbereich des Kunden. Wenn Microsoft jedoch von einem kundengesteuerten Datenschutzvorfall Kenntnis erhält, klassifizieren wir diesen Vorfall als kundengesteuerten Datenschutzvorfall, den das Reaktionsteam für Datenschutzvorfälle als "Ereignis" bezeichnet, den Kunden über unsere Beobachtung informiert und wie angefordert bei seiner Reaktion unterstützt, soweit dies für seine Interaktion mit Microsoft erforderlich ist. Einige Beispiele für kundengesteuerte Datenschutzvorfälle sind das versehentliche Senden der Kennwörter des Kunden und anderer vertraulicher Daten an Microsoft, Anforderungen zum Löschen von Daten und das Opfer von Betrug.

Einige Aktionen werden in diesem Prozess überhaupt nicht berücksichtigt, darunter allgemeine Fragen zu unseren Datenschutzrichtlinien oder -standards, Anträge von betroffenen Personen, Kündigungsanträge, Produktwunschlisten oder Fehlerberichte, die nicht im Zusammenhang mit dem Datenschutz stehen, Datenschutzverletzungen, die sich nicht auf Daten des Kunden beziehen, und Betrug gegenüber Microsoft.

Arten von Datenschutzverletzungen

Das Team zur Reaktion auf Datenschutzvorfälle hat eine Reihe von Szenarien identifiziert, die in professionellen Diensten auftreten können. Unter Einhaltung des grundlegenden Frameworks zur Reaktion auf Datenschutzvorfälle wurden Verfahren entwickelt und angepasst, um den Reaktionsprozess zu beschleunigen. Bei instance erfordert eine falsch umgeleitete E-Mail möglicherweise wenig Untersuchung. Andererseits kann die Identifizierung böswilliger Mitarbeiter eine vollständige forensische Untersuchung erfordern, da die Aktivitäten eines Täters schleichend sind. Diese Szenarien bieten möglicherweise Einblicke in den Reaktionsprozess für Datenschutzvorfälle für professionelle Dienstleistungen.

Reaktionsprozess bei Datenschutzverletzungen

Wenn Microsoft Professional Services einen Datenschutzvorfall identifiziert, erfolgt ein Selektierungsprozess, der (a) das Ereignis bewertet, (b) bestimmt, ob es für diesen Prozess nicht gültig ist, (c) bestimmt, ob es böswillig war, (d) eine vorläufige Untersuchung durchführt und einen Schweregrad zuweist, und (e) Warnungen und Abstimmungen mit den entsprechenden Beteiligten innerhalb von Microsoft. Das Team beginnt auch mit der Aufzeichnung von Details für die Nachverfolgung und die Post-Mortem-Übung.

Erkennung

Microsoft Professional Services überwacht kontinuierlich neue Datenschutzvorfälle in allen Datenspeichern, die personenbezogene Daten enthalten – sowohl online als auch offline. Wir verwenden verschiedene Methoden, um Datenschutzvorfälle zu erkennen, einschließlich automatisierter Warnungen, Kundenberichte, Berichte von externen Parteien, Beobachtung von Anomalien und Hinweise auf böswillige oder Hacker-Aktivitäten.

Die von Microsoft Professional Services verwendeten Erkennungsprozesse sind darauf ausgelegt, Datenschutzvorfälle zu ermitteln und Untersuchungen auszulösen. Zum Beispiel:

  • Sicherheitsrisiken werden zur Weiterleitung an das Microsoft-weite Berichtssystem oder direkt an das Professional Services-Team für die Reaktion auf Datenschutzverletzungen gemeldet.
  • Kunden übermitteln Berichte mit der Beschreibung verdächtiger Aktivitäten über das Kundensupport-Portal.
  • Professional Services-Mitarbeiter übermitteln Eskalationen. Microsoft-Mitarbeiter sind dahingehend geschult, potenzielle Sicherheitsprobleme zu identifizieren und zu eskalieren.
  • Für Tools und Systeme, die bei der Bereitstellung von Professional Services verwendet werden, verwenden die Betriebsteams automatisierte Systemwarnungen über interne Überwachungs- und Warnungsframeworks. Diese Warnungen können signaturbasierte Alarme wie Antischadsoftware, Angriffserkennung oder Algorithmen zur Profilerstellung für erwartete Aktivitäten und Warnungen bei Anomalien auslösen.

Übungen zur Reaktion auf Datenschutzverletzungen, Testen des Reaktionsplans für Datenschutzverletzungen

Zusätzlich zu laufenden Schulungen führt Professional Services jedes Jahr Übungen in Zusammenarbeit mit den entsprechenden internen Abteilungen durch, um alle Mitglieder des Stabilisierungsteams die Verfahren, Rollen und Verantwortlichkeiten der Datenschutzvorfälle zu kommunizieren. Diese Schulung bereitet wichtige Projektbeteiligte auf datenschutzrelevante Vorfälle in der Praxis vor – ganz gleich, ob es sich um Sicherheit, physische Oder Datenschutz handelt. Diese Schulung umfasst Übungen mit Vertretern des Teams zur Reaktion auf Datenschutzvorfälle, des Sicherheitsteams, der Rechtsteams und des Kommunikationsteams.

Nach den Übungen dokumentieren wir die Ergebnisse und die gewählten Abhilfemethoden.

Schulung zur Reaktion auf Datenschutzverletzungen

Eine wichtige Komponente der Reaktion auf Datenschutzvorfälle ist die Schulung von Mitarbeitern, um Datenschutzvorfälle zu identifizieren und zu melden. Mitarbeiter der Professional Services-organization müssen Schulungen absolvieren, die Datenschutzgrundlagen, DSGVO-Vorschriften und bewährte Methoden zum Identifizieren und Melden von Datenschutzvorfällen umfassen.

Regelmäßige Onlineschulungen sind verfügbar, und der Abschluss ist für alle Mitarbeiter obligatorisch. Das Schulungsprogramm setzt Tests, laufende Umfragen, Bewusstsein und Nachverfolgung ein, um sicherzustellen, dass das Training verstanden und beibehalten wird.

Prozess

Wenn Microsoft Professional Services organization einen Datenschutzvorfall identifiziert, folgt es einem dokumentierten Branchenstandard-Reaktionsplan, der mit der Feststellung beginnt, dass die Kriterien für Datenschutzvorfälle erfüllt sind. Wenn ein Datenschutzvorfall auftritt, wird er in der Regel sofort nach der Selektierung deklariert, aber je nach Komplexität kann die Erklärung jederzeit erfolgen, wenn eine Ebene der erforderlichen Informationen verfügbar ist, auch nach der Untersuchungsphase. Andererseits hat das Team das Ermessen, einen Datenschutzvorfall nur aufgrund eines begründeten Verdachts des Auftretens zu deklarieren. Das Team kann auch zwischen den verschiedenen Phasen wechseln, während die Untersuchung voranschreitet.

Basierend auf dem Schweregrad kann Microsoft auch ein internes Post mortem für Datenschutzvorfälle abschließen. Im Rahmen dieser Übung wird die Uffizienz von Reaktions- und Betriebsabläufen bewertet, und alle Aktualisierungen, die für das Standardbetriebsverfahren für die Reaktion auf Datenschutzvorfälle oder zugehörige Prozesse erforderlich sein können, werden identifiziert und implementiert. Interne nachträgliche Analysen für Datenschutzverstöße sind streng vertrauliche Datensätze, die Kunden nicht zur Verfügung gestellt werden. Postmortems können jedoch zusammengefasst und in Kundenereignisbenachrichtigungen eingeschlossen werden. Im Rahmen eines routinemäßigen Auditzyklus werden post-mortem-Prozesse von externen Prüfern überprüft, um sicherzustellen, dass die Nachverfolgung erfolgt.

Benachrichtigung

Wenn Microsoft Professional Services ein Datenschutz-Ereignis gemäß DSGVO meldet, sind wir bestrebt, unsere Kunden innerhalb von 72 Stunden zu benachrichtigten.

Nach der Erklärung eines Datenschutzvorfalls erfolgt der Benachrichtigungsprozess so schnell wie möglich unter Berücksichtigung der Sicherheitsrisiken eines schnellen Umzugs. Um sicherzustellen, dass die Benachrichtigung erfolgreich übermittelt werden kann, liegt es in der Verantwortung des Kunden sicherzustellen, dass die Administratorkontaktinformationen für jedes anwendbare Konto, Abonnement und Onlinedienste Portal korrekt sind. Das Ziel besteht darin, betroffenen Kunden eine genaue, umsetzbare und rechtzeitige Benachrichtigung zur Verfügung zu stellen, aber um die 72-Stunden-Benachrichtigungsverpflichtung zu erreichen, enthält die erste Benachrichtigung möglicherweise keine vollständigen Details, da in den frühen Phasen eines Datenschutzvorfalls möglicherweise nicht alle Details verfügbar sind. Darüber hinaus muss Microsoft aufgrund der Umstände des Datenschutzvorfalls möglicherweise einige Details zurückhalten. Für instance kann es erforderlich sein, Details zurückzuhalten, wenn der Akt der Benachrichtigung das Risiko für andere Kunden erhöht oder die Fähigkeit von Microsoft oder Strafverfolgungsbehörden beeinträchtigt, einen böswilligen Akteur zu fangen.

In seiner Eigenschaft als Datenverarbeiter erkennt Microsoft an, dass Kunden dafür verantwortlich sind, zu bestimmen, ob die Benachrichtigung angemessen ist, und wenn dies der Fall ist, die zuständige Datenschutzbehörde (Data Protection Authority, DPA) und die betroffenen Personen des Kunden über jede Verletzung personenbezogener Daten zu informieren. Microsoft Professional Services wird den Kunden die Informationen bereitstellen, die sie benötigen, um unter diesen Umständen mit der Benachrichtigung fortzufahren.

Bei der Benachrichtigung von Kunden über eine Verletzung des Schutzes personenbezogener Daten stellt Microsoft die folgenden Informationen bereit, sofern diese im Einzelfall zutreffend und bekannt sind:

  • Art der Verletzung
  • Von Microsoft ergriffene oder vorgeschlagene Abhilfemaßnahmen
  • Betroffene Produkte, Dienste, Anwendungen
  • Dauer der Gefährdung personenbezogener Daten, sofern bekannt
  • Anzahl der betroffenen/gefährdeten personenbezogenen Datensätze, sofern bekannt
  • Details zu Unterauftragsverarbeiter/Lieferant, sofern ein solcher in die Verletzung involviert ist

Weitere Informationen

Weitere Informationen zu den Microsoft Professional Services (https://aka.ms/pstrust).