Descripción del proceso de notificación del cliente
En el diagrama siguiente se muestra el proceso de notificación del cliente después de que se produzca un incidente de seguridad confirmado.
La respuesta a incidentes y el proceso de notificación del cliente son los siguientes: Inicio del evento, Evento detectado, Ingeniero de guardia comprometido, Equipo de respuesta de seguridad comprometido, Incidentes de seguridad confirmados, Determinado impacto del cliente, Clientes afectados determinados y, por último, Clientes afectados notificados.
Responsabilidad de Microsoft
Si en algún momento de la investigación de un incidente de seguridad o privacidad el equipo de respuesta de seguridad detecta que los datos de los clientes han sido objeto de destrucción, pérdida o alteración accidentales o ilegales, divulgación no autorizada o acceso no autorizado, el evento se declara una vulneración de datos del cliente y se inicia el proceso de notificación de incidentes del cliente. Microsoft identifica y notifica a los espacios empresariales afectados en un plazo de 72 horas de acuerdo con las directrices de muchos marcos normativos.
El compromiso de escala de tiempo de notificación comienza cuando se produce la declaración oficial de incidentes de seguridad. Tras declarar un incidente de seguridad, el proceso de notificación se produce lo más rápido posible, sin retrasos innecesarios.
La notificación al cliente de incidentes de seguridad se produce a través de los canales adecuados en función de la naturaleza y el ámbito del incidente. Estos canales pueden incluir una o varias de las siguientes notificaciones:
- Notificación en el Centro de mensajes del Centro de administración de Microsoft 365
- Correo electrónico al administrador del espacio empresarial del cliente
- Correo electrónico al contacto de privacidad global designado por el cliente (si el administrador del inquilino lo ha definido en el Centro de administración de Microsoft Entra)
- Asistencia directa por llamada de teléfono al administrador del espacio empresarial del cliente por parte de un miembro del equipo de soporte especialmente entrenado
Los compromisos de notificación de clientes de Microsoft se detallan en dos secciones del Anexo de protección de datos de productos y servicios de Microsoft.
Notificación de incidentes de seguridad
Las notificaciones de incidentes de seguridad se entregarán a uno o varios administradores del cliente por cualquier medio que Microsoft seleccione, incluso por correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que los administradores del cliente mantienen información de contacto precisa en cada portal de servicios en línea aplicable. El Cliente es el único responsable de cumplir con sus obligaciones en virtud de las leyes de notificación de incidentes aplicables al Cliente y de cumplir las obligaciones de notificación de terceros relacionadas con cualquier incidente de seguridad.
Microsoft realizará esfuerzos razonables para ayudar al Cliente a cumplir la obligación del Cliente en virtud del artículo 33 del RGPD u otra ley o reglamento aplicable para notificar a la autoridad de supervisión y a los interesados pertinentes sobre dicho incidente de seguridad.
La notificación o respuesta de Microsoft a un incidente de seguridad en esta sección no es una confirmación por parte de Microsoft de ningún error o responsabilidad con respecto al incidente de seguridad.
Los clientes deben notificar a Microsoft rápidamente cualquier posible uso indebido de sus cuentas o credenciales de autenticación o cualquier incidente de seguridad relacionado con un servicio en línea.
Apéndice A: medidas de seguridad
Proceso de respuesta a incidentes
Para cada incidente de seguridad que sea una vulneración de datos del cliente, la notificación de Microsoft (como se describe en la sección "Notificación de incidentes de seguridad") se realizará sin retrasos indebidos y, en cualquier caso, en un plazo de 72 horas.
Responsabilidad del cliente
Para asegurarse de que los contactos de cliente correctos reciben las notificaciones rápidamente, el cliente debe mantener la información de contacto precisa en sus perfiles de espacio empresarial.
Los clientes deben asegurarse de que su información de contacto esté actualizada en el Centro de administración de Microsoft 365.
Los administradores de clientes deben configurar las opciones de cómo se muestran los mensajes de privacidad de datos en el Centro de mensajes para garantizar que los administradores de clientes pertinentes sean conscientes de las notificaciones de incidentes.
Si es necesario, los administradores globales pueden configurar más roles con acceso al contenido del Centro de mensajes para evitar conceder derechos administrativos innecesarios a los no administradores que requieran acceso a las notificaciones de incidentes.
Los clientes comparten la responsabilidad con Microsoft de informar de incidentes de seguridad. En el contexto de los servicios comerciales de Microsoft (en lugar de los servicios de consumidor), Microsoft es el procesador de datos, mientras que el cliente es el responsable de los datos. Si se trata de un incidente de seguridad en el que Microsoft actúa como procesador de datos, Microsoft notificará a los clientes afectados, que son responsables de notificar a sus autoridades de protección de datos, organismos reguladores y usuarios afectados según lo requieran las normativas o leyes pertinentes. Además, si un cliente tiene conocimiento de un incidente de seguridad que implique sus propias cuentas de usuario o cualquier servicio en línea de Microsoft, el cliente debe notificar a Microsoft rápidamente como se describe en el Anexo de protección de datos de productos y servicios de Microsoft.