Soporte técnico y servicios profesionales de Microsoft, y notificación de infracciones según el RGPD

El Soporte técnico y los servicios profesionales de Microsoft se toman muy en serio sus obligaciones según el Reglamento general de protección de datos (RGPD).

El equipo de Servicios profesionales de Microsoft está formado por un grupo diverso de arquitectos técnicos, ingenieros, consultores y profesionales de soporte técnico dedicados a alcanzar la misión de Microsoft de proporcionar recursos a los clientes para mejorar su productividad. Nuestro equipo de Servicios profesionales está formado por un total de más de 21 000 consultores, asesores digitales, representantes de soporte técnico Premier, ingenieros y profesionales de ventas que trabajan en 191 países, ofrecen asistencia en 46 idiomas, administran varios millones de interacciones al mes, e interactúan con clientes y partners con herramientas automatizadas, locales, telefónicas, web y de la comunidad. La organización ofrece amplia experiencia en toda la cartera de Microsoft, con una extensa red de partners, comunidades técnicas, herramientas, diagnósticos y canales que nos conectan con nuestros clientes empresariales.

Los objetivos del equipo de respuesta ante incidentes de protección de datos global de los Servicios profesionales de Microsoft son (a) usar procesos y operaciones estrictos para evitar que se produzcan incidentes de protección de datos; (b) administrarlos de forma profesional y eficiente cuando se produzcan; y (c) aprender de estos incidentes de protección de datos a través de mejoras del programa y análisis posteriores. Los procesos y los resultados del equipo de respuesta ante incidentes de protección de datos de Servicios profesionales de Microsoft son revisados y evaluados por varias auditorías de seguridad y cumplimiento (por ejemplo, ISO/CEI 27001).

Información general sobre la respuesta ante incidentes de protección de datos

Los Servicios profesionales de Microsoft se comprometen a proteger a sus clientes y toman medidas considerables para impedir que se produzcan incidentes de protección de datos con la finalidad de mantener la confianza del cliente. Un incidente de protección de datos en la organización de Servicios profesionales es una infracción de seguridad que lleva a la destrucción accidental o ilícita, la pérdida, la modificación, la divulgación no autorizada o el acceso a datos personales, o bien a datos de soporte técnico o asesoramiento durante su procesamiento por Microsoft. En el caso de los clientes comerciales que contrataron el soporte técnico Premier, el Soporte técnico unificado o los Servicios de asesoramiento de Microsoft, vea el idioma de respuesta ante incidentes de protección de datos en el Anexo de protección de datos de Servicios profesionales, que está disponible en https://aka.ms/professionalservicesdpa/.

Ámbito y límites del proceso de respuesta ante incidentes de protección de datos

Nuestro proceso de notificación de vulneraciones de datos personales se inicia cuando declaramos que se produce una [vulneración de datos personales].

Para poder declarar, el equipo de respuesta ante incidentes de protección de datos de Microsoft necesita determinar si el incidente de protección de datos se ha producido realmente según la definición mencionada anteriormente. La declaración se producirá en cuanto la información correspondiente se encuentre disponible para determinar que se ha producido un incidente de protección de datos.

Debido a la naturaleza de los servicios profesionales, algunos eventos que parecen incidentes de protección de datos de Microsoft en realidad no lo son, ya que se producen a causa a acciones de clientes o acciones realizadas en los sistemas de clientes. Microsoft no supervisa ni responde ante incidentes de protección de datos en el dominio de responsabilidad del cliente. Pero, cuando Microsoft tenga conocimiento de un incidente de protección de datos producido por el cliente, lo clasificaremos como un incidente de protección de datos originado por el cliente, lo que el equipo de respuesta ante incidentes de protección de datos denomina un “evento”, informaremos al cliente de nuestra observación y, según se solicite, le asistiremos en sus esfuerzos de respuesta, hasta el máximo necesario por su interacción con Microsoft. Algunos ejemplos de incidentes de protección de datos originados por el cliente son el envío por error a Microsoft de contraseñas de cliente y otra información confidencial a Microsoft, solicitudes para eliminar datos y ser la víctima de un fraude.

Algunas acciones están fuera del ámbito de este proceso por completo, como preguntas generales sobre nuestras normas o directivas de protección de datos, solicitudes de derechos de interesados, solicitudes de baja voluntaria, listas de deseos de productos o informes de errores no relacionados con la protección de datos, incidentes de protección de datos no relacionados con los datos de los clientes, y fraude contra Microsoft.

Tipos de incidentes de protección de datos

El equipo de respuesta ante incidentes de protección de datos identificó un conjunto de escenarios que pueden producirse en los servicios profesionales. Al cumplir con el marco de respuesta ante incidentes de protección de datos básicos, se desarrollaron y personalizaron procedimientos para agilizar el proceso de respuesta. Por ejemplo, un correo electrónico dirigido a la persona incorrecta podría necesitar poca investigación. En cambio, para identificar personal malintencionado, puede que sea necesario realizar una investigación forense completa debido a la naturaleza encubierta de las actividades del infractor. Este conjunto de escenarios podría proporcionar información sobre el proceso de respuesta ante incidentes de protección de datos para los servicios profesionales.

Proceso de respuesta ante incidentes de protección de datos

Cuando los Servicios profesionales de Microsoft identifican un incidente de protección de datos, se produce un proceso de evaluación de prioridades en el que (a) se evalúa el evento; (b) se determina si está dentro del ámbito para este proceso; (c) se determina si es malintencionado; (d) se realiza una investigación preliminar y se asigna un nivel de gravedad; (e) y se envían avisos y se coordina con las partes interesadas correspondientes dentro de Microsoft. El equipo también empieza a registrar los datos con fines de seguimiento y para realizar un ejercicio de análisis posterior.

Detección

Los Servicios profesionales de Microsoft supervisan continuamente si se producen incidentes de protección de datos en todos los almacenes de datos que contienen datos personales, tanto en línea como sin conexión. Usamos distintos métodos para detectar incidentes de protección de datos, como alertas automatizadas, informes de clientes, informes de partes externas, observación de anomalías, indicaciones de actividad de hackers o usuarios malintencionados.

Los procesos de detección usados por los Servicios profesionales de Microsoft se diseñaron para descubrir incidentes de protección de datos e iniciar investigaciones. Por ejemplo:

  • Se informa de vulnerabilidades de seguridad en el sistema de informes global de Microsoft como referencia, o bien se informa de estas directamente al equipo de respuesta ante incidentes de protección de datos de los Servicios profesionales.
  • Los clientes envían informes desde el Portal de atención al cliente, donde se describe la actividad sospechosa.
  • El personal de Servicios profesionales envía las escalaciones. Los empleados de Microsoft reciben aprendizaje para identificar y escalar posibles problemas de seguridad.
  • En el caso de las herramientas y sistemas usados en el proceso de prestación de los Servicios profesionales, los equipos de operaciones usan alertas automáticas del sistema con la supervisión interna y marcos de alertas. Estas alertas pueden interferir con alarmas basadas en firmas, como antimalware, detección de intrusiones o mediante algoritmos diseñados para identificar actividades previstas y generar alertas ante anomalías.

Simulacros de respuesta ante incidentes de protección de datos, prueba del plan de respuesta ante incidentes de protección de datos

Además del aprendizaje continuado, los Servicios profesionales ejecutan cada año exploraciones de forma conjunta con los departamentos internos adecuados para comunicar los procedimientos de escalación, los roles y las responsabilidades de los incidentes de protección de datos a todos los miembros del equipo de estabilización. Este entrenamiento prepara a los principales interesados para incidentes de protección de datos reales (ya estén relacionadas con la seguridad, con intrusiones físicas o con la privacidad). Entre estas acciones, se realizan ejercicios con representantes del equipo de respuesta ante incidentes de protección de datos, el equipo de seguridad, los equipos jurídicos y el equipo de comunicaciones.

Después de los ejercicios, documentamos el resultado y los métodos de corrección que decidimos usar.

Aprendizaje de respuesta ante incidentes de protección de datos

Uno de los componentes clave de la respuesta ante incidentes de protección de datos es el aprendizaje del personal para identificar e informar sobre incidentes de protección de datos. El personal de la organización de Servicios profesionales necesita completar un aprendizaje que abarca conceptos básicos de privacidad, el reglamento RGPD y procedimientos recomendados para identificar e informar sobre incidentes de protección de datos.

Hay disponible un aprendizaje en línea básico y todo el personal está obligado a completarlo. En el programa de aprendizaje, se realizan pruebas, encuestas continuadas, reconocimiento y seguimiento diseñados para garantizar que el aprendizaje se comprenda y se retenga.

Proceso

Cuando la organización de Servicios profesionales de Microsoft identifica un incidente de protección de datos, sigue un plan de respuesta estándar del sector documentado, que empieza por determinar si se cumplen los criterios de un incidente de protección de datos. Si se produce un incidente de protección de datos, suele declararse inmediatamente después de la evaluación de prioridades; pero, según su complejidad, la declaración puede producirse en cualquier momento en que haya disponible un nivel de información necesaria, incluido después de la fase de investigación. En cambio, el equipo puede declarar según su criterio un incidente de protección de datos basándose únicamente en una sospecha razonable. El equipo también puede cambiar entre las distintas fases a medida que avance la investigación.

Microsoft también completa un análisis posterior interno de los incidentes de protección de datos basándose en su nivel de gravedad. Como parte de este ejercicio, se evalúa la suficiencia en la respuesta y los procedimientos operativos, y cualquier actualización que pueda ser necesaria para el Procedimiento operativo estándar de respuesta ante incidentes de protección de datos, o procesos relacionados que son identificados e implementados. Los análisis posteriores internos de las infracciones de datos son registros altamente confidenciales que no están disponibles para los clientes. Pero los análisis posteriores se pueden resumir e incluir en notificaciones de eventos para clientes. Como parte de un ciclo de auditoría rutinario, los auditores externos revisan los procesos de análisis posterior para garantizar que se produzca un seguimiento.

Notification

Cuando los Servicios profesionales de Microsoft declaran un incidente de protección de datos en el RGPD, dirigiremos la notificación a nuestros clientes en un plazo de 72 horas.

Después de declararse un incidente de protección de datos, se produce el proceso de notificación lo antes posible, mientras se consideran los riesgos de seguridad de actuar rápidamente. Para garantizar que la notificación se pueda entregar correctamente, es responsabilidad del cliente comprobar que la información del contacto administrativo de cada suscripción, cuenta y portal de servicios en línea correspondiente sea correcta. Aunque el objetivo es ofrecer a los clientes afectados un aviso preciso, procesable y puntual, para cumplir con el compromiso de notificación en un plazo de 72 horas, es posible que en la notificación inicial no se incluyan todos los detalles, ya que puede que no estén disponibles durante las fases iniciales de un incidente de protección de datos. Además, puede que Microsoft necesite retener parte de la información debido a las circunstancias del incidente de protección de datos. Por ejemplo, puede que sea necesario retener detalles si el acto de enviar una notificación aumenta el riesgo para otros clientes o interfiere con la capacidad de Microsoft o de los organismos de seguridad de atrapar a un actor malintencionado.

En su capacidad de encargado del tratamiento, Microsoft reconoce que los clientes son responsables de determinar si la notificación es adecuada y, en ese caso, notificar a la autoridad de protección de datos (DPA) competente y a los propios interesados del cliente de cualquier vulneración de datos personales. Los Servicios profesionales de Microsoft trabajarán para ofrecer a los clientes la información necesaria para continuar con un aviso en estas circunstancias.

Al ofrecer un aviso a los clientes de una vulneración de datos personales, Microsoft incluirá la siguiente información, si corresponde y se conoce:

  • Naturaleza de la infracción
  • Medidas de mitigación que Microsoft realiza o propone
  • Producto, servicio o aplicación relacionada
  • Plazo de tiempo en que se expusieron los datos personales, si se conocen
  • Volumen de los registros de datos personales afectados o expuestos, si se conocen
  • Datos del subencargado o proveedor, si uno de ellos está relacionado con la vulneración

Más información

Obtenga más información en el Centro de confianza de Microsoft sobre los Servicios profesionales de Microsoft (https://aka.ms/pstrust).