Notificação de violação do Office 365 segundo o RGPD

Enquanto processador de dados, Office 365 garantirá que os nossos clientes são capazes de cumprir os requisitos de notificação de violação do RGPD como controladores de dados. Para tal, estamos empenhados nas seguintes ações:

• Em fornecer aos clientes a capacidade de especificar um contato de privacidade dedicado que será notificado sobre a violação. Os clientes podem especificar esse contato usando as configurações de função do leitor de Privacidade para o Centro de Mensagens.
• Em notificar os clientes de uma violação de dados em até 72 horas após uma violação ser declarada. As notificações serão publicadas no centro de mensagens, o qual pode ser acessado por meio do Centro de administração do Microsoft 365. Secundariamente, as notificações de email são enviadas para contatos especificados indicando que uma nova postagem foi publicada no Centro de Mensagens.
• A notificação inicial incluirá, no mínimo, uma descrição da natureza da falha, aproximação do impacto do utilizador e passos de mitigação (se aplicável). Se a nossa investigação não estiver concluída no momento da notificação inicial, indicaremos os próximos passos e linhas cronológicas para comunicação subsequente na nossa notificação inicial

A Microsoft reconhece que os controladores de dados são responsáveis por realizar avaliações de risco e determinar se uma falha de segurança requer uma notificação do DPA do cliente, e a nossa notificação aos clientes fornecerá as informações necessárias para fazer essa avaliação. Por conseguinte, a Microsoft notificará os clientes de qualquer violação de dados pessoais, exceto os casos em que os dados pessoais são confirmados como ininteligíveis (por exemplo, dados encriptados em que a integridade das chaves é confirmada).

Investimentos do Office 365 em segurança de dados

Além do nosso compromisso de fornecer a notificação de violação em tempo hábil, o Office 365 investe fortemente em sistemas, processos e equipes para reduzir a probabilidade de violação de dados pessoais e para rapidamente detectar e reduzir a consequência da violação, caso ocorra.

Eis uma descrição de alguns dos nossos investimentos neste espaço:

• Controle de Acesso Systems. Office 365 mantém uma política de "acesso permanente zero", o que significa que os engenheiros não têm acesso ao serviço, a menos que seja explicitamente concedido em resposta a um incidente específico que requer elevação de acesso. Sempre que o acesso é concedido, é feito sob o princípio do menor privilégio: a permissão concedida para um pedido específico só permite um conjunto mínimo de ações necessárias para atender a esse pedido. Para tal, Office 365 mantém uma separação estrita entre "funções de elevação", com cada função a permitir apenas determinadas ações predefinidas. A função "Acesso aos Dados do Cliente" é distinta de outras funções que são mais frequentemente utilizadas para administrar o serviço e que são mais escrutinadas antes da aprovação. Em conjunto, estes investimentos no controlo de acesso reduzem consideravelmente a probabilidade de um engenheiro no Office 365 aceder de forma inadequada aos dados dos clientes.

• Sistemas de Monitorização de Segurança e Automatização: Office 365 mantém sistemas de monitorização de segurança robustos e em tempo real. Entre outros problemas, estes sistemas geram alertas para tentativas de acesso ilícito aos dados dos clientes ou para tentativas de transferência ilícita de dados para fora do nosso serviço. Relacionados com os pontos sobre o controlo de acesso mencionados anteriormente, os nossos sistemas de monitorização de segurança mantêm registos detalhados de pedidos de elevação efetuados e as ações tomadas para um determinado pedido de elevação. Office 365 também mantém investimentos de resolução automática que atuam automaticamente para mitigar ameaças em resposta a problemas que detetamos e equipas dedicadas para responder a alertas que não podem ser resolvidos automaticamente. Para validar os nossos sistemas de monitorização de segurança, Office 365 realiza regularmente exercícios de equipa vermelha em que uma equipa interna de testes de penetração simula o comportamento do atacante contra o ambiente em direto. Estes exercícios levam a melhorias regulares às nossas capacidades de monitorização e resposta de segurança.

• Pessoal e Processos: Além da automatização descrita anteriormente, Office 365 mantém processos e equipas responsáveis por educar a organização mais ampla sobre processos de gestão de privacidade e incidentes e para executar esses processos durante uma falha de segurança. Por exemplo, uma violação de privacidade detalhada do Procedimento Operativo Standard (SOP) é mantida e partilhada com equipas em toda a organização. Este SOP descreve detalhadamente as funções e responsabilidades de ambas as equipas individuais dentro Office 365 e equipas centralizadas de resposta a incidentes de segurança. Estas responsabilidades abrangem o que as equipas precisam de fazer para melhorar a sua própria postura de segurança (realizar revisões de segurança, integrar com sistemas de monitorização de segurança central e outras melhores práticas) e o que as equipas teriam de fazer se uma falha real (escalamento rápido para a resposta a incidentes, manter e fornecer origens de dados específicas que serão utilizadas para agilizar o processo de resposta). As equipas também são regularmente preparadas para classificação de dados e procedimentos de processamento e armazenamento corretos para dados pessoais.

A principal vantagem é que Office 365 investe fortemente na redução da probabilidade e consequências da violação de dados pessoais que afeta os nossos clientes. Se ocorrer uma falha de segurança de dados pessoais, estamos empenhados em notificar rapidamente os nossos clientes assim que essa violação for confirmada.

O que esperar no caso de violação

A secção acima descreve os investimentos Office 365 são necessários para reduzir a probabilidade de violação de dados. No caso improvável de ocorrer uma falha de segurança, os clientes devem esperar uma experiência previsível em termos das seguintes respostas:

• Ciclo de vida de resposta a incidentes consistente no Office 365. Conforme descrito acima, Office 365 mantém SOPs de resposta detalhada a incidentes que descrevem como as equipas devem preparar-se para a violação e como devem operar se ocorrer uma falha de segurança. Isto garante que as nossas proteções e processos se aplicam em todo o serviço.

• Critérios consistentes para notificar os clientes. Os nossos critérios de notificação focam-se na Confidencialidade, Integridade e Disponibilidade dos dados dos clientes. Office 365 notificará diretamente os clientes se a confidencialidade ou a integridade dos dados dos clientes forem afetadas. Ou seja, iremos notificar os clientes se os respetivos dados forem acedidos sem autorização adequada ou se houver destruição inadequada ou perda de dados. Office 365 também comunicará problemas que afetam a disponibilidade dos dados, embora esta ação seja geralmente efetuada através do Dashboard do Service Health (SHD).

• Detalhes de notificação consistentes. Quando Office 365 comunica sobre a falha de segurança de dados, os clientes podem esperar que sejam comunicados detalhes específicos: no mínimo, iremos fornecer os seguintes detalhes:

  • O momento da violação e o momento em que a violação foi percebida.
  • A quantidade aproximada de usuários afetados.
  • Os tipos de dados do usuário que foram violados.
  • Ações necessárias para reduzir a violação, seja do controlador ou do processador.

Os clientes também devem ter em atenção que Office 365, enquanto processador de dados, não determinarão o risco de violação de dados. Sempre que for detetada uma falha de segurança de dados pessoais, iremos notificar os nossos clientes e fornecer-lhes os detalhes necessários para determinar com precisão o risco para os utilizadores afetados e decidir se são necessários mais relatórios às autoridades reguladoras. Para tal, espera-se que os controladores de dados determinem o seguinte sobre o incidente:

• Gravidade da violação (ou seja, a determinação do risco).
• Se é necessário notificar os usuários finais.
• Se é necessário notificar os reguladores (DPAs).
• As etapas específicas que o controlador deve tomar para reduzir as consequências da violação.

Entrar em contato com a Microsoft

Em alguns cenários, um cliente pode tomar conhecimento de uma falha de segurança e pode querer notificar a Microsoft. O protocolo atual destina-se a que os clientes notifiquem Suporte da Microsoft, que, em seguida, irão interagir com as equipas de engenharia para obter mais informações. Neste cenário, as equipas de engenharia da Microsoft estão igualmente empenhadas em fornecer as informações de que os clientes precisam, através do contacto de suporte, em tempo útil.

Chamada à ação para clientes

Conforme indicado anteriormente, o Microsoft 365 está empenhado em notificar os clientes no prazo de 72 horas após a declaração de violação. O administrador inquilino do cliente será notificado. Além disso, o Microsoft 365 recomenda que os clientes designem uma ou mais pessoas como leitores de Privacidade do Centro de Mensagens, o que pode ser feito no Centro de administração do Microsoft 365. Em caso de falha de segurança de dados pessoais, os recursos atribuídos à função de leitor de Privacidade do Centro de Mensagens poderão aceder ao Centro de Mensagens para ver notificações de privacidade relevantes e, dependendo das preferências do Centro de mensagens, poderão receber um e-mail relacionado.

Para saber mais, confira:

• Controlar funcionalidades novas e alteradas no Centro de Mensagens do Microsoft 365
• Leitor de Privacidade do Centro de Mensagens
• Atribuir funções de administrador no Centro de administração do Microsoft 365