Notificación de infracciones en Office 365 según el RGPD

  • Artículo

Como procesador de datos, Office 365 garantizará que nuestros clientes puedan cumplir los requisitos de notificación de infracciones del RGPD como controladores de datos. Para ello, estamos comprometidos con las siguientes acciones:

  • Proporcionar a los clientes la opción de especificar un contacto de privacidad específico que recibirá notificaciones en caso de que se produzca alguna infracción. Los clientes pueden especificar este contacto mediante la configuración de rol de lector de privacidad para el centro de mensajes.
  • Notificar a los clientes acerca de las vulneraciones de datos personales en un plazo de 72 horas después de declararse la vulneración. Las notificaciones se publicarán en el centro de mensajes, al que se puede acceder mediante el Centro de administración de Microsoft 365. De manera secundaria, se envían notificaciones por correo electrónico a los contactos especificados que indiquen que se ha publicado una nueva publicación del centro de mensajes.
  • La notificación inicial incluirá, al menos, una descripción de la naturaleza de la infracción, la aproximación del impacto del usuario y los pasos de mitigación (si procede). Si nuestra investigación no se completa en el momento de la notificación inicial, indicaremos los pasos y escalas de tiempo siguientes para la comunicación posterior en nuestra notificación inicial.

Microsoft reconoce que los controladores de datos son responsables de realizar evaluaciones de riesgos y determinar si una infracción requiere notificación del DPA del cliente, y nuestra notificación a los clientes proporcionará la información necesaria para realizar esa evaluación. Por lo tanto, Microsoft notificará a los clientes cualquier vulneración de datos personales, excepto en aquellos casos en los que se confirme que los datos personales no son ininteligibles (por ejemplo, los datos cifrados donde se confirma la integridad de las claves).

Inversiones de Office 365 en la seguridad de los datos

Además de nuestro compromiso para ofrecer una notificación puntual de las vulneraciones, Office 365 invierte ampliamente en sistemas, procesos y personal para reducir la probabilidad de que se produzcan vulneraciones de datos personales, y para detectar y mitigar rápidamente las consecuencias de una vulneración en caso de que se produzca.

Esta es una descripción de algunas de nuestras inversiones en este espacio:

  • sistemas Access Control. Office 365 mantiene una directiva de "acceso permanente cero", lo que significa que los ingenieros no tienen acceso al servicio a menos que se conceda explícitamente en respuesta a un incidente específico que requiere elevación de acceso. Cada vez que se concede acceso, se realiza bajo el principio de privilegios mínimos: el permiso concedido para una solicitud específica solo permite un conjunto mínimo de acciones necesarias para atender esa solicitud. Para ello, Office 365 mantiene una separación estricta entre "roles de elevación", y cada rol solo permite realizar determinadas acciones predefinidas. El rol "Acceso a los datos del cliente" es distinto de otros roles que se usan más comúnmente para administrar el servicio y se examinan con mayor frecuencia antes de la aprobación. En conjunto, estas inversiones en el control de acceso reducen en gran medida la probabilidad de que un ingeniero de Office 365 acceda inapropiadamente a los datos de los clientes.

  • Sistemas de supervisión de seguridad y automatización: Office 365 mantiene sistemas de supervisión de seguridad sólidos y en tiempo real. Entre otros problemas, estos sistemas generan alertas por intentos de acceso ilícito a los datos del cliente o por intentos de transferencia ilícita de datos fuera de nuestro servicio. En relación con los puntos sobre el control de acceso mencionados anteriormente, nuestros sistemas de supervisión de seguridad mantienen registros detallados de las solicitudes de elevación realizadas y las acciones realizadas para una solicitud de elevación determinada. Office 365 también mantiene inversiones de resolución automática que actúan automáticamente para mitigar las amenazas en respuesta a los problemas que detectamos y equipos dedicados para responder a alertas que no se pueden resolver automáticamente. Para validar nuestros sistemas de supervisión de seguridad, Office 365 realiza periódicamente ejercicios de equipo rojo en los que un equipo de pruebas de penetración interna simula el comportamiento del atacante en el entorno activo. Estos ejercicios conducen a mejoras periódicas en nuestras capacidades de supervisión y respuesta de seguridad.

  • Personal y procesos: Además de la automatización descrita anteriormente, Office 365 mantiene procesos y equipos responsables de educar a la organización en general sobre los procesos de privacidad y administración de incidentes, y de ejecutar esos procesos durante una infracción. Por ejemplo, se mantiene y comparte un procedimiento operativo estándar (SOP) de infracción de privacidad detallada con los equipos de toda la organización. Este SOP describe en detalle los roles y responsabilidades de los equipos individuales dentro de Office 365 y los equipos de respuesta centralizada a incidentes de seguridad. Estas responsabilidades abarcan tanto lo que los equipos deben hacer para mejorar su propia posición de seguridad (realizar revisiones de seguridad, integrarse con sistemas centrales de supervisión de seguridad y otros procedimientos recomendados) como lo que los equipos tendrían que hacer si se produce una infracción real (una rápida escalación a la respuesta a incidentes, mantener y proporcionar orígenes de datos específicos que se usarán para acelerar el proceso de respuesta). Los equipos también se entrenan periódicamente sobre la clasificación de datos y los procedimientos correctos de control y almacenamiento de datos personales.

La principal ventaja es que Office 365 invierte fuertemente en reducir la probabilidad y las consecuencias de la vulneración de datos personales que afectan a nuestros clientes. Si se produce una vulneración de datos personales, nos comprometemos a notificar rápidamente a nuestros clientes una vez que se confirme esa infracción.

Expectativas en caso de una infracción

En la sección anterior se describen las inversiones Office 365 se realizan para reducir la probabilidad de vulneración de datos. En el improbable caso de que se produzca una infracción, los clientes deben esperar una experiencia predecible en términos de las siguientes respuestas:

  • Ciclo de vida de respuesta a incidentes coherente dentro de Office 365. Como se describió anteriormente, Office 365 mantiene sop detallados de respuesta a incidentes que describen cómo deben prepararse los equipos para la vulneración y cómo deben funcionar si se produce una infracción. Esto garantiza que nuestras protecciones y procesos se apliquen en todo el servicio.

  • Criterios coherentes para notificar a los clientes. Nuestros criterios de notificación se centran en la confidencialidad, integridad y disponibilidad de los datos de los clientes. Office 365 notificará directamente a los clientes si la confidencialidad o integridad de los datos del cliente se ve afectada. Es decir, notificaremos a los clientes si se accede a sus datos sin la autorización adecuada o si hay destrucción o pérdida de datos inapropiada. Office 365 también notificará problemas que afectan a la disponibilidad de los datos, aunque esta acción suele realizarse a través del Panel de estado del servicio (SHD).

  • Detalles de notificación coherentes. Cuando Office 365 se comunica con respecto a la vulneración de datos, los clientes pueden esperar que se comuniquen detalles específicos: como mínimo, proporcionaremos los siguientes detalles:

    • Momento de la infracción y momento en que se detectó la infracción.
    • El número aproximado de usuarios afectados.
    • El tipo de datos de usuario a los que se obtuvo acceso con la infracción.
    • Acciones necesarias para mitigar la vulneración, ya sea por el controlador o por el encargado.

Los clientes también deben tener en cuenta que Office 365, como procesador de datos, no determinará el riesgo de vulneración de datos. Cada vez que se detecte una vulneración de datos personales, notificaremos a nuestros clientes y les proporcionaremos los detalles que necesitan para determinar con precisión el riesgo para los usuarios afectados y para decidir si se requiere más informes a las autoridades reguladoras. Para ello, se espera que los controladores de datos determinen lo siguiente sobre el incidente:

  • Gravedad de la vulneración (es decir, determinación de los riesgos).
  • Si es necesario notificar a los usuarios finales.
  • Si es necesario notificar a las autoridades competentes.
  • Pasos específicos que realizará el controlador para mitigar las consecuencias de la vulneración.

Ponerse en contacto con Microsoft

En algunos escenarios, es posible que un cliente tenga conocimiento de una infracción y que desee notificar a Microsoft. El protocolo actual es para que los clientes notifiquen a Soporte técnico de Microsoft, que luego se comunicará con los equipos de ingeniería para obtener más información. En este escenario, los equipos de ingeniería de Microsoft se comprometen de forma similar a proporcionar la información que los clientes necesitan, a través de su contacto de soporte técnico, de forma oportuna.

Llamada a la acción de los clientes

Como se indicó anteriormente, Microsoft 365 se compromete a notificar a los clientes en un plazo de 72 horas después de la declaración de infracción. Se notificará al administrador de inquilinos del cliente. Además, Microsoft 365 recomienda que los clientes designan a una o más personas como lectores de privacidad del Centro de mensajes, lo que se puede hacer en el Centro de administración de Microsoft 365. En caso de vulneración de datos personales, los recursos asignados al rol lector de privacidad del Centro de mensajes podrán acceder al Centro de mensajes para ver las notificaciones de privacidad pertinentes y, en función de sus preferencias del Centro de mensajes, pueden recibir un correo electrónico relacionado.

Para más información, vea: