Notificação de violação e Serviços Profissionais e de Suporte da Microsoft no RGPD
Os Serviços Profissionais da Microsoft incluem um grupo diversificado de arquitetos técnicos, engenheiros, consultores e profissionais de suporte dedicados a entregar a missão da Microsoft de capacitar os clientes a fazer mais e alcançar mais. Nossa equipe de Serviços Profissionais inclui mais de 21.000 consultores totais, Consultores Digitais, Suporte Unificado, engenheiros e profissionais de vendas que trabalham em 191 países, dando suporte a 46 idiomas diferentes, gerenciando vários milhões de compromissos por mês. A equipe se envolve em interações de cliente e parceiro por meio de ferramentas locais, telefônicas, web, comunidade e automatizadas. A organização traz ampla experiência em todo o portfólio da Microsoft, aproveitando uma extensa rede de parceiros, comunidades técnicas, ferramentas, diagnóstico e canais que nos conectam com nossos clientes corporativos.
A unidade da equipe global de resposta a incidentes de proteção de dados dos Serviços Profissionais da Microsoft é (a) empregar operações e processos rigorosos para impedir que incidentes de proteção de dados ocorram, (b) gerenciá-los profissional e eficientemente quando eles ocorrem, e (c) aprender com esses incidentes de proteção de dados por meio de melhorias regulares pós-morte e do programa. Os processos e os resultados da equipe de resposta a incidentes de proteção de dados dos Serviços Profissionais da Microsoft são revisados e atestados por várias auditorias de segurança e conformidade (por exemplo, ISO/IEC 27001).
Visão geral de resposta a incidentes de proteção de dados
Os Serviços Profissionais da Microsoft estão comprometidos em proteger seus clientes e adota medidas consideráveis para impedir que incidentes de proteção de dados ocorram como um meio de manter a confiança do cliente. Um incidente de proteção de dados na organização dos Serviços Profissionais é uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais ou Dados de Serviços Profissionais, enquanto processado pela Microsoft. Para clientes comerciais que compraram o Suporte Unificado ou Soluções do Setor, você deve se referir à linguagem de resposta a incidentes de proteção de dados no DPA (Microsoft Products and Services Data Protection).
Escopo e limites do processo de resposta a incidentes de proteção de dados
O nosso processo de notificação de violação de dados pessoais começa quando declaramos que ocorreu uma violação de dados pessoais.
Para ser declarada, a equipe de resposta a incidentes de proteção de dados da Microsoft deve determinar que ocorreu um incidente de proteção de dados conforme definido anteriormente. A declaração ocorrerá assim que todas as informações pertinentes estiverem disponíveis para determinar se ocorreu um incidente de proteção de dados.
Devido à natureza dos serviços profissionais, alguns eventos que parecem incidentes de proteção de dados da Microsoft não são necessariamente classificados como tal, pois ocorreram por meio das ações do cliente ou nos sistemas do cliente. Os Serviços Profissionais da Microsoft não monitoram ou respondem a incidentes de proteção de dados dentro do domínio de responsabilidade do cliente. No entanto, quando a Microsoft se torna ciente de um incidente de proteção de dados controlado pelo cliente, classificamos esse incidente como um incidente de proteção de dados controlado pelo cliente, que a equipe de resposta a incidentes de proteção de dados chama de "evento", informa o cliente de nossa observação e, conforme solicitado, os auxilia em seu esforço de resposta, na medida necessária por sua interação com a Microsoft. Alguns exemplos de incidentes de proteção de dados controlados pelo cliente incluem o envio inadvertido das senhas do cliente e outros dados confidenciais, solicitações para excluir dados e ser vítima de fraude.
Algumas ações estão completamente fora do escopo desse processo, incluindo perguntas gerais sobre nossas políticas ou normas de proteção de dados, solicitações de direitos do titular dos dados, solicitações de recusa, lista de desejos de produtos ou relatórios de bug não relacionados à proteção de dados, incidentes de proteção não relacionados aos dados do cliente e fraudes contra a Microsoft.
Tipos de incidentes de proteção de dados
A equipe de resposta a incidentes de proteção de dados identificou um conjunto de cenários que podem ocorrer em serviços profissionais. Ao aderir à estrutura básica de resposta a incidentes de proteção de dados, os procedimentos foram desenvolvidos e personalizados para agilizar o processo de resposta. Por exemplo, um email mal direcionado pode exigir pouca investigação. Por outro lado, identificar pessoal mal-intencionado pode exigir uma investigação forense completa devido à natureza sub-repticia das atividades de um criminoso. Esse conjunto de cenários pode fornecer informações sobre o processo de resposta a incidentes de proteção de dados para serviços profissionais.
Processo de resposta a incidentes de proteção de dados
Quando os Serviços Profissionais da Microsoft identificam um incidente de proteção de dados, um processo de triagem ocorre de acordo com o qual a Microsoft (a) avalia o evento, (b) determina se ele está no escopo desse processo, (c) determina se ele foi mal-intencionado, (d) executa uma investigação preliminar e atribui um nível de severidade e (e) alertas e coordenadas com os stakeholders apropriados dentro da Microsoft. A equipe também começa a gravar detalhes para fins de acompanhamento e o exercício pós-morte.
Detecção
Os Serviços Profissionais da Microsoft monitoram continuamente o ecossistema para incidentes emergentes de proteção de dados em todos os armazenamentos de dados que contêm dados pessoais, online e offline. Usamos métodos diferentes para detectar incidentes de proteção de dados, incluindo alertas automatizados, relatórios de clientes, relatórios de partes externas, observação de anomalias e indicações de atividade mal-intencionada ou hacker.
Os processos de detecção usados pelos Serviços Profissionais da Microsoft são projetados para descobrir incidentes de proteção de dados e disparar investigações. Por exemplo:
- As vulnerabilidades de segurança são relatadas ao sistema de relatórios de toda a Microsoft para serem verificadas ou relatadas diretamente à equipe de resposta a incidentes de proteção de dados dos Serviços profissionais.
- Os clientes enviam relatórios pelo Portal do suporte ao cliente nos quais descrevem as atividades suspeitas.
- O pessoal dos Serviços Profissionais envia escalonamentos. Os funcionários da Microsoft são treinados para identificar e escalonar possíveis problemas de segurança.
- Para ferramentas e sistemas usados no processo de fornecimento de Serviços Profissionais, as equipes de operações usam alertas automatizados do sistema por meio de estruturas internas de monitoramento e alerta. Esses alertas podem vir na forma de alarmes baseados em assinatura, como anti-malware, detecção de invasão ou via algoritmos projetados para analisar a atividade esperada e alertar sobre anomalias.
Análises de resposta a incidentes de proteção de dados, teste do plano de resposta a incidentes de proteção de dados
Além do treinamento contínuo, todos os anos os Serviços Profissionais executam exercícios em parceria com departamentos internos apropriados para comunicar os procedimentos, funções e responsabilidades de escalonamento de incidentes de proteção de dados a todos os membros da equipe de estabilização. Esse treinamento prepara os principais stakeholders para incidentes reais de proteção de dados, seja de segurança, física ou de privacidade. Este treinamento inclui exercícios com representantes da equipe de resposta a incidentes de proteção de dados, equipe de segurança, equipes jurídicas e equipe de comunicação.
Após os exercícios, documentamos o resultado e os métodos de reparação que decidimos usar.
Treinamento de resposta a incidentes de proteção de dados
Um componente fundamental da resposta a incidentes de proteção de dados é o treinamento de pessoal para identificar e relatar incidentes de proteção de dados. Os funcionários da organização Serviços Profissionais são obrigados a realizar treinamentos que abrangem fundamentos de privacidade, regulamentos de GDPR e outras práticas recomendadas sobre como identificar e relatar incidentes de proteção de dados.
O treinamento online regular está disponível e a conclusão é obrigatória para todos os funcionários. O programa de treinamento emprega testes, pesquisas contínuas, conscientização e acompanhamento projetados para garantir que o treinamento esteja sendo compreendido e mantido.
Processo
Quando a organização dos Serviços Profissionais da Microsoft identifica um incidente de proteção de dados, ela segue um plano de resposta padrão do setor documentado, começando com a determinação de que os critérios de incidente de proteção de dados são atendidos. Quando ocorre um incidente de proteção de dados, geralmente é declarado imediatamente após a Triagem, mas, dependendo da complexidade, a declaração pode acontecer a qualquer momento quando um nível de informações necessárias estiver disponível, inclusive após a fase de investigação. Por outro lado, a equipe tem discrição para declarar um incidente de proteção de dados com base apenas na suspeita razoável de ocorrência. A equipe também pode alternar entre as várias etapas à medida que a investigação progride.
Com base no nível de gravidade, a Microsoft também pode concluir uma post-mortem interna para incidentes de proteção de dados. Como parte deste exercício, a suficiência dos procedimentos operacionais e de resposta é avaliada e todas as atualizações necessárias para o Procedimento Operacional Padrão de Resposta a Incidentes de Proteção de Dados ou processos relacionados são identificadas e implementadas. Os postmortems internos para violações de dados são registros altamente confidenciais que não estão disponíveis para os clientes. No entanto, as postmortems podem ser resumidas e incluídas em notificações de evento do cliente. Como parte de um ciclo de auditoria de rotina, os processos pós-morte são revisados por auditores externos para garantir que o acompanhamento ocorra.
Notificação
Quando os Serviços Profissionais da Microsoft declaram um incidente de proteção de dados no RGPD, direcionamos uma notificação para os nossos clientes em 72 horas.
Após a declaração de um incidente de proteção de dados, o processo de notificação ocorre o mais rapidamente possível, considerando os riscos de segurança de se mover rapidamente. Para garantir que a notificação possa ser entregue com êxito, é responsabilidade do cliente garantir que as informações de contato administrativo em cada conta, assinatura e serviços online portal aplicáveis estejam corretas. Embora o objetivo seja fornecer aos clientes afetados um aviso preciso, acionável e oportuno, para alcançar o compromisso de notificação de 72 horas, a notificação inicial pode não incluir detalhes completos, pois todos os detalhes podem não estar disponíveis durante os estágios iniciais de um incidente de proteção de dados. Além disso, a Microsoft pode precisar reter alguns detalhes devido às circunstâncias do incidente de proteção de dados. Por exemplo, talvez seja necessário reter detalhes se o ato de fornecer notificação aumentar o risco para outros clientes ou interferir na capacidade da Microsoft ou da aplicação da lei de capturar um ator mal-intencionado.
Em sua capacidade como processador de dados, a Microsoft reconhece que os clientes são responsáveis por determinar se a notificação é apropriada e, se for o caso, notificar a DPA (Autoridade competente de Proteção de Dados) e os próprios titulares de dados do cliente de qualquer violação de dados pessoais. Os Serviços Profissionais da Microsoft trabalharão para fornecer aos clientes as informações necessárias para prosseguir com a notificação nessas circunstâncias.
Ao notificar os clientes sobre uma violação de dados pessoais, a Microsoft incluirá as informações a seguir, se aplicáveis e se as souber:
- Natureza da violação
- Medidas de atenuação que a Microsoft está tomando ou propondo
- Produto, serviço, aplicativo envolvidos
- Quanto tempo os dados pessoais foram expostos, se souber
- Volume de registros de dados pessoais afetados/expostos, se conhecido
- Detalhes de subprocessador/fornecedor, se houver um envolvido na violação
Saiba mais
Saiba mais sobre os Serviços Profissionais da Microsoft (https://aka.ms/pstrust).