Знакомство с процессом уведомления клиента
На следующей схеме показан процесс уведомления клиента после подтверждения инцидента безопасности.
Процесс реагирования на инциденты и уведомления клиентов выглядит следующим образом: "Начало события", "Обнаружено событие", "Задействован инженер по вызову", "Задействована группа реагирования на безопасность", "Подтвержден инцидент безопасности", "Влияние клиента определено", "Затронутые клиенты определены" и, наконец, уведомление затронутых клиентов.
Ответственность корпорации Майкрософт
Если в какой-либо момент расследования инцидента безопасности или конфиденциальности группа реагирования на вопросы безопасности обнаруживает, что данные клиента являются предметом случайного или незаконного уничтожения, потери или изменения, несанкционированного раскрытия или несанкционированного доступа, то событие объявляется утечкой данных клиента и инициируется процесс уведомления клиента об инциденте. Корпорация Майкрософт определяет и уведомляет все затронутые клиенты в течение 72 часов в соответствии с рекомендациями многих нормативных положений.
Обязательства временной шкалы уведомлений начинаются при официальном объявлении инцидента безопасности. После объявления инцидента безопасности процесс уведомления выполняется как можно быстрее, без необоснованных задержек.
Уведомление клиента об инцидентах безопасности осуществляется по соответствующим каналам в зависимости от характера и области инцидента. Эти каналы могут включать одно или несколько из следующих уведомлений.
- Уведомление в Центре сообщений Центра администрирования Microsoft 365
- Электронное письмо администратору клиента пользователя
- По электронной почте назначенному клиенту глобальному контакту по вопросам конфиденциальности (если администратор клиента определил его в Центре администрирования Microsoft Entra)
- Прямая связь по телефону с администратором клиента пользователя специально обученным сотрудником группы технической поддержки
Обязательства майкрософт по уведомлениям клиентов подробно описаны в двух разделах надстройки по защите данных продуктов и служб Майкрософт.
Уведомление об инциденте безопасности
Уведомления об инцидентах безопасности будут доставляться одному или нескольким администраторам Клиента любым способом, выбранных корпорацией Майкрософт, в том числе по электронной почте. Клиент несет исключительную ответственность за то, чтобы администраторы Клиента поддерживали точные контактные данные на каждом применимом портале веб-служб. Клиент несет полную ответственность за соблюдение своих обязательств в соответствии с законодательством об уведомлении об инцидентах, применимым к Клиенту, и выполнение любых обязательств по уведомлениям третьих лиц, связанных с любым инцидентом безопасности.
Корпорация Майкрософт обязуется предпринимать обоснованные усилия для помощи клиенту в выполнении обязательств клиента по статье 33 GDPR и другим применимым законам и нормам для уведомления соответствующих надзорных органов и субъектов данных об инциденте безопасности.
Отправка корпорацией Майкрософт уведомления об инциденте безопасности или реакция на него в соответствии с данным разделом не является признанием со стороны Майкрософт какой-либо вины или ответственности в связи с инцидентом безопасности.
Клиенты должны незамедлительно уведомить корпорацию Майкрософт о любом возможном неправильном использовании своих учетных записей или учетных данных для проверки подлинности, а также о любом инциденте безопасности, связанном с веб-службой.
Приложение А. Меры безопасности
Процесс реагирования на инциденты
Для каждого инцидента безопасности, который является утечкой данных клиента, уведомление от корпорации Майкрософт (как описано в разделе "Уведомление об инциденте безопасности") будет сделано без неоправданной задержки и в любом случае в течение 72 часов.
Обязанности клиента
Чтобы обеспечить быстрое получение уведомлений нужными контактными лицами клиентов, клиент должен поддерживать точные контактные данные в профилях клиентов.
Клиенты должны убедиться, что их контактные данные актуальны в Центре администрирования Microsoft 365.
Администраторам клиентов следует настроить параметры для отображения сообщений о конфиденциальности данных в Центре сообщений, чтобы соответствующие администраторы клиентов знали об уведомлениях об инцидентах.
При необходимости глобальные администраторы могут настроить дополнительные роли с доступом к содержимому Центра сообщений, чтобы избежать предоставления ненужных административных прав неадминистраторам, которым требуется доступ к уведомлениям об инцидентах.
Клиенты несут ответственность совместно с корпорацией Майкрософт за сообщение об инцидентах безопасности. В контексте коммерческих служб Майкрософт (в отличие от потребительских служб) корпорация Майкрософт является обработчиком данных, а клиент — управляющим данными. В случае инцидента безопасности, когда корпорация Майкрософт выступает в качестве обработчика данных, корпорация Майкрософт обеспечит уведомление затронутых клиентов, которые затем несут ответственность за уведомление своих органов по защите данных, нормативных органов и затронутых пользователей согласно требованиям любых соответствующих нормативных актов или законов. Кроме того, если клиенту становится известно об инциденте безопасности, связанном с его собственными учетными записями пользователей или любой веб-службой Майкрософт, клиент должен незамедлительно уведомить корпорацию Майкрософт, как описано в надстройке по защите данных продуктов и служб Майкрософт.