通过

Microsoft 支持和专业服务与 GDPR 泄露通知

  • 项目

Microsoft专业服务包括一组不同的技术架构师、工程师、顾问和支持专业人员,他们致力于履行Microsoft使命,让客户能够完成更多工作和实现更多目标。 我们的专业服务团队包括 21,000 多名顾问、数字顾问、工程师和销售专业人员,他们分布在 191 个国家/地区,支持 46 种不同的语言,每月管理数百万次参与。 团队通过本地、电话、Web、社区和自动化工具参与客户和合作伙伴的交互。 该组织在Microsoft产品组合中带来了广泛的专业知识,利用广泛的合作伙伴、技术社区、工具、诊断和渠道网络,将我们与企业客户联系起来。

Microsoft专业服务的全球数据保护事件响应团队的动力是 (一个) 采用严格的操作和流程来防止发生数据保护事件, (b) 在发生数据保护事件时进行专业和有效的管理, (c) 通过定期事后和程序改进从这些数据保护事件中学习。 Microsoft的专业服务数据保护事件响应团队的流程和结果由多个安全性和合规性审核 ((例如 ISO/IEC 27001) )审查和证明。

数据保护事件响应概述

Microsoft专业服务致力于保护其客户,并采取大量措施防止发生数据保护事件,以此维护客户信任。 专业服务组织中的数据保护事件是安全漏洞,导致意外或非法销毁、丢失、更改、未经授权披露或访问个人数据或专业服务数据,同时由Microsoft处理。 对于已购买统一支持或行业解决方案交付 (ISD) 的商业客户,应参考 Microsoft产品和服务数据保护附录 (DPA) 中的数据保护事件响应语言。

数据保护事件响应流程的范围和限制

当我们声明已发生个人数据泄露时,我们的个人数据泄露通知流程即开始。

若要进行声明,Microsoft数据保护事件响应团队必须确定发生了前面定义的数据保护事件。 一旦所有相关信息可用,将立即进行声明,以确定已发生数据保护事件。

由于专业服务的性质,某些看似Microsoft数据保护事件的事件不一定归类为此类事件,因为它们是通过客户的操作或客户系统上发生的。 Microsoft专业服务不监视或响应客户责任范围内的数据保护事件。 但是,当Microsoft意识到客户驱动的数据保护事件时,我们会将此事件归类为客户驱动的数据保护事件,数据保护事件响应团队称该事件为“事件”,告知客户我们的观察结果,并根据需要协助他们进行响应工作,以他们与Microsoft交互所需的程度。 客户驱动的数据保护事件的一些示例包括无意中发送Microsoft客户的密码和其他敏感数据、请求删除数据以及成为欺诈的受害者。

某些操作完全在此流程的范围之外,包括有关我们的数据保护策略或标准的常规问题、数据主体权利请求、选择退出请求、与数据保护无关的产品意愿列表或 Bug 报告、不涉及客户数据的数据保护事件以及针对 Microsoft 的欺诈行为。

数据保护事件类型

数据保护事件响应团队已确定在专业服务中可能发生的一组方案。 在遵循基本数据保护事件响应框架的同时,已开发和自定义程序以加快响应过程。 例如,错误的电子邮件可能需要很少的调查。 另一方面,由于罪犯活动的隐秘性质,识别恶意人员可能需要进行彻底的法医调查。 这组方案可以深入了解专业服务的数据保护事件响应过程。

数据保护事件响应流程

当Microsoft专业服务识别到数据保护事件时,将发生会审过程,) (Microsoft评估该事件, (b) 确定它是否在此过程范围内, (c) 确定它是否为恶意, (d) 执行初步调查并分配严重级别, (e) 警报并与Microsoft内的相应利益干系人协调。 该团队还开始记录详细信息,以便进行跟踪和验尸练习。

检测

Microsoft专业服务持续监视生态系统中所有包含个人数据的数据存储(包括联机和脱机)中的新兴数据保护事件。 我们使用不同的方法来检测数据保护事件,包括自动警报、客户报告、来自外部方的报告、异常情况的观察以及恶意或黑客活动的迹象。

Microsoft专业服务使用的检测过程旨在发现数据保护事件并触发调查。 例如:

  • 安全漏洞将报告到整个 Microsoft 范围的报告系统进行转交,或者直接报告给专业服务数据保护事件响应团队。
  • 客户通过客户支持门户提交描述可疑活动的报告。
  • 专业服务人员提交升级。 Microsoft 员工经过培训,可识别和上报潜在安全问题。
  • 对于在提供专业服务过程中使用的工具和系统,运营团队通过内部监视和警报框架使用自动系统警报。 这些警报采用反恶意软件和入侵检测等基于签名的警报的形式提供,或者通过专为分析发生异常时的预期活动和警报而设计的算法来提供。

数据保护事件响应练习,测试数据保护事件响应计划

除了持续培训外,专业服务每年还会与相应的内部部门合作执行演练,向所有稳定团队成员传达数据保护事件上报过程、角色和职责。 此培训使关键利益干系人为实际数据保护事件做好准备,无论是安全、物理还是隐私驱动的事件。 此培训包括与数据保护事件响应团队、安全团队、法律团队和通信团队代表的练习。

在练习完成后,我们会记录成果以及我们决定使用的修正方法。

数据保护事件响应培训

数据保护事件响应的一个关键组成部分是人员培训,以识别和报告数据保护事件。 专业服务组织中的人员必须接受涵盖隐私基础知识、GDPR 法规以及有关如何识别和报告数据保护事件的其他法规和最佳做法的培训。

提供定期在线培训,所有人员必须完成培训。 培训计划采用测试、持续调查、意识和跟进,旨在确保理解和保留培训。

流程

当Microsoft专业服务组织识别到数据保护事件时,它遵循记录的行业标准响应计划,从确定是否满足数据保护事件标准开始。 发生数据保护事件时,通常会在会审后立即声明,但根据复杂性,在提供必要信息级别(包括调查阶段之后)时,可能会随时进行声明。 另一方面,团队有权仅根据合理的怀疑事件来声明数据保护事件。 随着调查的进行,团队还可以在各个阶段之间交替。

根据严重性级别,Microsoft还可以完成数据保护事件的内部事后调查。 在本练习中,将评估响应和操作过程的充分性,并识别并实施数据保护事件响应Standard操作过程或相关流程所需的任何更新。 数据泄露的内部事后分析是高度机密的记录,不会提供给客户。 但是,可以汇总事后数据并将其包含在客户事件通知中。 作为例行审核周期的一部分,外部审计师将审查事后过程,以确保跟进。

通知

当Microsoft专业服务声明数据保护事件时,我们会在 72 小时内向客户发出通知。

在声明数据保护事件后,通知过程将尽可能迅速进行,同时仍然考虑快速移动的安全风险。 为了确保通知能够成功传递,客户有责任确保每个适用的帐户、订阅和联机服务门户的管理联系信息正确无误。 虽然目标是向受影响的客户提供准确、可操作和及时的通知,但为了实现 72 小时通知承诺,初始通知可能不包含完整详细信息,因为所有详细信息在数据保护事件的早期阶段可能不可用。 此外,由于数据保护事件的情况,Microsoft可能需要隐瞒一些详细信息。 例如,如果提供通知的行为增加了其他客户的风险或干扰了Microsoft或执法部门捕获恶意参与者的能力,则可能需要隐瞒详细信息。

作为数据处理者,Microsoft认识到客户有责任确定通知是否合适,如果是,则向主管数据保护机构 (DPA) 以及客户自己的数据主体通知任何个人数据泄露。 Microsoft专业服务将努力为客户提供在这些情况下继续通知所需的信息。

在向客户提供有关个人数据泄露的通知时,Microsoft 将包括以下信息(如果适用且已知):

  • 泄露的性质
  • Microsoft 采取或建议的缓解措施
  • 涉及的产品、服务、应用程序
  • 个人数据的泄露时间长度(如果已知)
  • 受影响/泄露的个人数据记录数量(如果已知)
  • 分处理者/提供者详细信息(如果在泄露中有所涉及)

了解更多

详细了解 Microsoft 专业服务 (https://aka.ms/pstrust)。