GDPR 規定的 Microsoft 支援服務與專業服務以及外洩通知
Microsoft 專業服務包含各式各樣的技術架構師、工程師、顧問和支援專業人員群組,他們致力於履行 Microsoft 的任務,讓客戶能夠執行更多任務並達成更多目標。 我們的專業服務小組包含超過 21,000 位顧問、Digital Advisors、Unified Support、工程師和銷售專業人員,這些專業人員在 191 個國家/地區工作,支援 46 種不同的語言,每個月管理數百萬次參與。 小組透過內部部署、電話、Web、社群和自動化工具,參與客戶和合作夥伴的互動。 組織在 Microsoft 產品群組中帶來廣泛的專業知識,利用廣泛的合作夥伴、技術社群、工具、診斷和管道網路,將我們與企業客戶連線。
Microsoft 專業服務全域數據保護事件回應小組的驅動力是 () 採用嚴格的作業和程式來防止數據保護事件發生, (b) 在發生這些事件時以專業且有效率的方式加以管理, (c) 透過定期的事後審查和計劃改善,從這些數據保護事件中學習。 Microsoft 專業服務數據保護事件回應小組的程式和結果會由多個安全性與合規性稽核 (檢閱和證明,例如 ISO/IEC 27001) 。
資料保護事件回應概觀
Microsoft 專業服務致力於保護其客戶,並採取大量措施來防止數據保護事件發生,以維護客戶信任。 專業服務組織中的數據保護事件違反安全性,導致 Microsoft 處理時意外或非法毀損、遺失、改變、未經授權洩漏或存取個人資料或專業服務數據。 對於已購買統一支援或產業解決方案的商業客戶,您應該參閱 Microsoft 產品和服務數據保護增補 (DPA) 中的數據保護事件回應語言。
資料保護事件回應程序的範圍與限制
當我們宣告發生 [個人資料外洩] 時,我們的個人資料外洩通知程序就會開始。
若要宣告,Microsoft 數據保護事件回應小組必須判斷先前定義的數據保護事件是否已發生。 一旦所有相關信息都可用來判斷數據保護事件已發生,就會立即進行宣告。
由於專業服務的本質,某些看似 Microsoft 資料保護事件的事件不一定會分類,因為它們是透過客戶的動作或客戶的系統所發生。 Microsoft 專業服務不會監視或回應客戶責任範圍內的數據保護事件。 不過,當 Microsoft 發現客戶驅動的數據保護事件時,我們會將此事件分類為客戶驅動的數據保護事件,數據保護事件回應小組會呼叫「事件」,通知客戶我們的觀察,並依要求協助他們進行回應工作,以符合與 Microsoft 互動所需的程度。 客戶驅動數據保護事件的一些範例包括意外傳送 Microsoft 客戶的密碼和其他敏感數據、刪除數據的要求,以及成為詐騙的犧牲者。
有些動作完全超出此程序的範圍,包括我們的資料保護原則或標準的一般相關問題、資料當事人權利要求、退出要求、與資料保護無關的產品願望清單或錯誤報告、未涉及客戶資料的資料保護事件,以及針對 Microsoft 的詐騙。
資料保護事件的類型
數據保護事件回應小組已識別出一組可能發生在專業服務中的案例。 遵守基本數據保護事件回應架構時,已開發並自定義程式以加速回應程式。 例如,不當導向的電子郵件可能只需要進行一些調查。 另一方面,識別惡意人員可能需要進行完整的鑑識調查,因為犯罪活動的粗體本質。 這組案例可讓您深入瞭解專業服務的數據保護事件響應程式。
資料保護事件回應程序
當 Microsoft 專業服務識別數據保護事件時, 分級程式會依序發生,Microsoft () 評估事件、 (b) 判斷它是否在此程式的範圍內、 (c) 判斷其是否為惡意、 (d) 執行初步調查並指派嚴重性層級, (e) 警示,並與 Microsoft 內的適當專案關係人協調。 小組也會開始錄製詳細數據以進行追蹤和事後練習。
偵測
Microsoft 專業服務會持續監視生態系統,以在包含個人資料的所有數據存放區中進行新興的數據保護事件,包括在線和離線。 我們使用不同的方法來偵測數據保護事件,包括自動化警示、客戶報告、外部合作對象的報告、異常觀察,以及惡意或駭客活動的指示。
Microsoft 專業服務所使用的偵測程式是設計來探索數據保護事件並觸發調查。 例如:
- 資訊安全漏洞會回報到整個 Microsoft 的報告系統,以便轉介或直接向專業服務資料保護事件回應小組回報。
- 客戶可透過客戶支援入口網站提交報告,以描述可疑的活動。
- 專業服務人員提交呈報。 Microsoft 員工都受過訓練,可找出潛在的安全性問題並向上呈報。
- 對於在提供專業服務的過程中使用的工具和系統,作業小組會透過內部監視和警示架構使用自動化系統警示。 這些警示會以病毒碼式警訊 (例如反惡意程式碼軟體、入侵偵測),或透過旨在分析預期活動並在異常時發出警示的演算法等方式提供。
資料保護事件回應演練、資料保護事件回應計劃測試
除了持續訓練之外,每年專業服務都會與適當的內部部門合作執行演練,以將數據保護事件呈報程式、角色和責任傳達給所有穩定小組成員。 此訓練會為真實世界的數據保護事件準備重要項目關係人,無論是安全性、實體或隱私權導向本質。 此訓練包括與數據保護事件回應小組、安全性小組、法律小組和通訊小組的代表進行練習。
在演練之後,我們會記載結果以及我們已決定要使用的補救方法。
資料保護事件回應訓練
數據保護事件回應的一個重要元件是人員訓練,以識別和報告數據保護事件。 專業服務組織中的人員必須接受訓練,以涵蓋隱私權基本概念、GDPR 法規,以及如何識別和報告數據保護事件的其他最佳做法。
定期在線訓練可供使用,而且所有人員都必須完成。 訓練計劃採用測試、進行中問卷調查、認知和後續追蹤,旨在確保能瞭解並保留訓練。
程序
當 Microsoft 專業服務組織識別數據保護事件時,它會遵循記載的業界標準響應計劃,從判斷是否符合數據保護事件準則開始。 發生數據保護事件時,通常會在分級之後立即宣告,但根據複雜度,宣告可能會在任何時間點發生,包括在調查階段之後。 另一方面,小組可自行決定只根據合理的發生懷疑來宣告數據保護事件。 隨著調查的進行,小組也可以在各種階段之間替代。
根據嚴重性層級,Microsoft 也可以完成數據保護事件的內部事後檢查。 在此練習中,會評估回應和操作程序的足夠性,並識別並實作 數據保護事件回應標準操作程式 或相關程式可能需要的任何更新。 資料外洩的內部檢討是不提供給客戶的高度機密記錄。 不過,張貼可能會摘要並包含在客戶事件通知中。 在例行稽核週期中,外部稽核員會檢閱事後處理程式,以確保會進行後續處理。
通知
當 Microsoft 專業服務在 GDPR 下宣告資料保護事件時,我們會在 72 小時內目標通知告知客戶。
在宣告數據保護事件之後,通知程式會儘快執行,同時仍考慮快速移動的安全性風險。 若要確保可以成功傳遞通知,客戶必須負責確保每個適用帳戶、訂用帳戶和 線上服務 入口網站上的系統管理聯繫人資訊正確無誤。 雖然目標是為受影響的客戶提供準確、可採取動作且及時的通知,但為了達到 72 小時的通知承諾,初始通知可能不會包含完整的詳細數據,因為在數據保護事件的早期階段可能無法使用所有詳細數據。 此外,由於數據保護事件的情況,Microsoft 可能需要保留一些詳細數據。 例如,如果提供通知的行為會增加其他客戶的風險,或干擾 Microsoft 或執法機關攔截惡意執行者的能力,則可能需要保留詳細數據。
在身為數據處理者的容量中,Microsoft 會辨識客戶負責判斷通知是否適當,若是如此,請通知合格的數據保護授權單位 (DPA) ,以及客戶自己的數據主體是否有任何個人資料外洩。 Microsoft 專業服務將努力為客戶提供在這些情況下繼續進行通知所需的資訊。
在提供通知給個人資料外洩的客戶時,Microsoft 會包含下列資訊 (如果適用且知道的話):
- 外洩的性質
- Microsoft 目前採取或建議的緩和措施
- 涉及的產品、服務、應用程式
- 公開個人資料的時間長度 (如果知道的話)
- 受影響/公開的個人資料記錄量 (如果知道的話)
- 子處理器/供應商詳細資訊 (如果其中一項涉及外洩的話)
深入了解
深入了解 Microsoft 專業服務 (https://aka.ms/pstrust)。