Notificação de violação e Serviços Profissionais e de Suporte da Microsoft no RGPD
Os Serviços Profissionais da Microsoft incluem um grupo diversificado de arquitetos técnicos, engenheiros, consultores e profissionais de suporte que se dedicam a cumprir a missão da Microsoft de capacitar os clientes para fazerem mais e alcançarem mais. A nossa equipa de Serviços Profissionais inclui mais de 21.000 consultores totais, Consultores Digitais, engenheiros e profissionais de vendas que trabalham em 191 países, suportando 46 idiomas diferentes, gerindo vários milhões de compromissos por mês. A equipa interações entre clientes e parceiros através de ferramentas no local, no telemóvel, na Web, na comunidade e automatizadas. A organização oferece uma vasta experiência em todo o portefólio da Microsoft, tirando partido de uma extensa rede de parceiros, comunidades técnicas, ferramentas, diagnóstico e canais que nos ligam aos nossos clientes empresariais.
A motivação da equipa global de resposta a incidentes de proteção de dados dos Serviços Profissionais da Microsoft é (a) utilizar operações e processos rigorosos para impedir a ocorrência de incidentes de proteção de dados, (b) geri-los de forma profissional e eficiente quando ocorrem, e (c) aprender com estes incidentes de proteção de dados através de melhorias regulares de pós-morte e programas. Os processos e os resultados da equipa de resposta a incidentes de proteção de dados dos Serviços Profissionais da Microsoft são revistos e atestados por várias auditorias de segurança e conformidade (por exemplo, ISO/IEC 27001).
Visão geral de resposta a incidentes de proteção de dados
O Microsoft Professional Services está empenhado em proteger os seus clientes e toma medidas consideráveis para impedir que incidentes de proteção de dados ocorram como forma de manter a confiança dos clientes. Um incidente de proteção de dados na organização dos Serviços Profissionais é uma falha de segurança que conduz à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais ou Dados de Serviços Profissionais, enquanto processado pela Microsoft. Para clientes comerciais que tenham comprado Suporte Unificado ou Entrega de Soluções do Setor (ISD), deve consultar o idioma de resposta a incidentes de proteção de dados na Adenda à Proteção de Dados (DPA) dos Produtos e Serviços microsoft.
Escopo e limites do processo de resposta a incidentes de proteção de dados
O nosso processo de notificação de violação de dados pessoais começa quando declaramos que ocorreu uma falha de segurança de dados pessoais.
Para ser declarado, a equipa de resposta a incidentes de proteção de dados da Microsoft tem de determinar que ocorreu um incidente de proteção de dados, conforme definido anteriormente. A declaração ocorrerá assim que todas as informações pertinentes estiverem disponíveis para determinar que ocorreu um incidente de proteção de dados.
Devido à natureza dos serviços profissionais, alguns eventos que parecem incidentes de proteção de dados da Microsoft não são necessariamente classificados como tal, porque ocorreram através das ações do cliente ou nos sistemas do cliente. Os Serviços Profissionais da Microsoft não monitorizam nem respondem a incidentes de proteção de dados no âmbito da responsabilidade do cliente. No entanto, quando a Microsoft tomar conhecimento de um incidente de proteção de dados orientado pelo cliente, classificamos este incidente como um incidente de proteção de dados orientado pelo cliente, que a equipa de resposta a incidentes de proteção de dados chama de "evento", informamos o cliente da nossa observação e, conforme pedido, ajudamo-lo no seu esforço de resposta, na medida necessária pela interação com a Microsoft. Alguns exemplos de incidentes de proteção de dados orientados pelo cliente incluem o envio inadvertida de palavras-passe do cliente e outros dados confidenciais da Microsoft, pedidos para eliminar dados e ser vítima de fraude.
Algumas ações estão completamente fora do escopo desse processo, incluindo perguntas gerais sobre nossas políticas ou normas de proteção de dados, solicitações de direitos do titular dos dados, solicitações de recusa, lista de desejos de produtos ou relatórios de bug não relacionados à proteção de dados, incidentes de proteção não relacionados aos dados do cliente e fraudes contra a Microsoft.
Tipos de incidentes de proteção de dados
A equipa de resposta a incidentes de proteção de dados identificou um conjunto de cenários que podem ocorrer em serviços profissionais. Embora aderindo ao framework básico de resposta a incidentes de proteção de dados, os procedimentos foram desenvolvidos e personalizados para agilizar o processo de resposta. Por exemplo, um e-mail mal direcionado pode exigir pouca investigação. Por outro lado, identificar pessoal malicioso pode exigir uma investigação forense completa devido à natureza sub-reptícia das atividades de um agressor. Este conjunto de cenários pode fornecer informações sobre o processo de resposta a incidentes de proteção de dados para serviços profissionais.
Processo de resposta a incidentes de proteção de dados
Quando os Serviços Profissionais da Microsoft identificam um incidente de proteção de dados, ocorre um processo de triagem nos termos do qual a Microsoft (a) avalia o evento, (b) determina se está no âmbito deste processo, (c) determina se foi malicioso, (d) realiza uma investigação preliminar e atribui um nível de gravidade e (e) alertas e coordenadas com intervenientes adequados na Microsoft. A equipa também começa a gravar detalhes para fins de controlo e o exercício pós-morte.
Detecção
Os Serviços Profissionais da Microsoft monitorizam continuamente o ecossistema para incidentes de proteção de dados emergentes em todos os arquivos de dados que contêm dados pessoais, tanto online como offline. Utilizamos diferentes métodos para detetar incidentes de proteção de dados, incluindo alertas automatizados, relatórios de clientes, relatórios de entidades externas, observação de anomalias e indicações de atividade maliciosa ou hacker.
Os processos de deteção utilizados pelos Serviços Profissionais da Microsoft foram concebidos para detetar incidentes de proteção de dados e acionar investigações. Por exemplo:
- As vulnerabilidades de segurança são relatadas ao sistema de relatórios de toda a Microsoft para serem verificadas ou relatadas diretamente à equipe de resposta a incidentes de proteção de dados dos Serviços profissionais.
- Os clientes enviam relatórios pelo Portal do suporte ao cliente nos quais descrevem as atividades suspeitas.
- O pessoal dos Serviços Profissionais submete escalamentos. Os funcionários da Microsoft são treinados para identificar e escalonar possíveis problemas de segurança.
- Para ferramentas e sistemas utilizados no processo de fornecimento de Serviços Profissionais, as equipas de operações utilizam alertas de sistema automatizados através de arquiteturas de monitorização interna e alertas. Esses alertas podem vir na forma de alarmes baseados em assinatura, como anti-malware, detecção de invasão ou via algoritmos projetados para analisar a atividade esperada e alertar sobre anomalias.
Análises de resposta a incidentes de proteção de dados, teste do plano de resposta a incidentes de proteção de dados
Além da formação contínua, todos os anos os Serviços Profissionais executam exercícios em parceria com departamentos internos adequados para comunicar os procedimentos, funções e responsabilidades de escalamento de incidentes de proteção de dados a todos os membros da equipa de estabilização. Esta formação prepara os principais intervenientes para incidentes reais de proteção de dados, quer sejam de natureza física, física ou de privacidade. Esta formação inclui exercícios com representantes da equipa de resposta a incidentes de proteção de dados, equipa de segurança, equipas legais e equipa de comunicações.
Após os exercícios, documentamos o resultado e os métodos de reparação que decidimos usar.
Treinamento de resposta a incidentes de proteção de dados
Um componente fundamental da resposta a incidentes de proteção de dados é a formação de pessoal para identificar e comunicar incidentes de proteção de dados. O pessoal da organização de Serviços Profissionais tem de realizar formações que abranjam princípios fundamentais de privacidade, regulamentos do RGPD e outros regulamentos e melhores práticas sobre como identificar e comunicar incidentes de proteção de dados.
Está disponível formação online regular e a conclusão é obrigatória para todo o pessoal. O programa de formação emprega testes, inquéritos em curso, sensibilização e seguimento concebidos para garantir que a formação está a ser compreendida e retida.
Processo
Quando a organização dos Serviços Profissionais da Microsoft identifica um incidente de proteção de dados, segue um plano de resposta padrão da indústria documentado, começando com a determinação de que os critérios de incidentes de proteção de dados são cumpridos. Quando ocorre um incidente de proteção de dados, este é geralmente declarado imediatamente após a Triagem, mas, dependendo da complexidade, a declaração pode ocorrer em qualquer altura em que esteja disponível um nível de informações necessárias, incluindo após a fase de investigação. Por outro lado, a equipa tem a discrição de declarar um incidente de proteção de dados com base apenas numa suspeita razoável de ocorrência. A equipa também pode alternar entre as várias fases à medida que a investigação progride.
Com base no nível de gravidade, a Microsoft também pode concluir uma autópsia interna para incidentes de proteção de dados. Como parte deste exercício, são avaliadas as sufixos de resposta e procedimentos operacionais e todas as atualizações que possam ser necessárias para a Resposta a Incidentes de Proteção de Dados Standard Procedimento Operacional ou processos relacionados são identificadas e implementadas. Os postmortems internos para violações de dados são registros altamente confidenciais que não estão disponíveis para os clientes. No entanto, as autópsias podem ser resumidas e incluídas nas notificações de eventos do cliente. Como parte de um ciclo de auditoria de rotina, os processos pós-morte são revistos por auditores externos para garantir que ocorre o seguimento.
Notificação
Quando os Serviços Profissionais da Microsoft declaram um incidente de proteção de dados, direcionamos a notificação para os nossos clientes no prazo de 72 horas.
Após a declaração de um incidente de proteção de dados, o processo de notificação ocorre o mais rapidamente possível, ao mesmo tempo que considera os riscos de segurança de movimentação rápida. Para garantir que a notificação pode ser entregue com êxito, é da responsabilidade do cliente garantir que as informações de contacto administrativas em cada conta, subscrição e portal serviços online aplicáveis estão corretas. Embora o objetivo seja fornecer aos clientes afetados um aviso preciso, acionável e oportuno, para alcançar o compromisso de notificação de 72 horas, a notificação inicial pode não incluir detalhes completos, uma vez que todos os detalhes podem não estar disponíveis durante as fases iniciais de um incidente de proteção de dados. Além disso, a Microsoft poderá ter de reter alguns detalhes devido às circunstâncias do incidente de proteção de dados. Por exemplo, poderá ser necessário reter detalhes se o ato de fornecer notificação aumentar o risco para outros clientes ou interferir com a capacidade da Microsoft ou da aplicação da lei de capturar um ator malicioso.
Na sua capacidade de processador de dados, a Microsoft reconhece que os clientes são responsáveis por determinar se a notificação é adequada e, em caso afirmativo, notificar a Autoridade competente de Proteção de Dados (DPA) e os próprios titulares dos dados do cliente de qualquer violação de dados pessoais. Os Serviços Profissionais da Microsoft trabalharão para fornecer aos clientes as informações necessárias para avançar com o aviso nestas circunstâncias.
Ao notificar os clientes sobre uma violação de dados pessoais, a Microsoft incluirá as informações a seguir, se aplicáveis e se as souber:
- Natureza da violação
- Medidas de atenuação que a Microsoft está tomando ou propondo
- Produto, serviço, aplicativo envolvidos
- Quanto tempo os dados pessoais foram expostos, se souber
- Volume de registros de dados pessoais afetados/expostos, se conhecido
- Detalhes de subprocessador/fornecedor, se houver um envolvido na violação
Saiba mais
Saiba mais sobre os Serviços Profissionais da Microsoft (https://aka.ms/pstrust).