Servizi professionali e supporto tecnico di Microsoft e notifica di violazione secondo l'RGPD

  • Articolo

Microsoft Professional Services include un gruppo diversificato di architetti tecnici, ingegneri, consulenti e professionisti del supporto che si dedicano a realizzare la missione Microsoft di consentire ai clienti di fare di più e ottenere di più. Il nostro team di Servizi professionali include oltre 21.000 consulenti totali, consulenti digitali, supporto unificato, ingegneri e professionisti delle vendite che lavorano in 191 paesi, supportando 46 lingue diverse, gestendo diversi milioni di engagement al mese. Il team interagisce con clienti e partner tramite strumenti locali, telefonici, Web, della community e automatizzati. L'organizzazione offre un'ampia esperienza nel portfolio Microsoft, sfruttando una vasta rete di partner, community tecniche, strumenti, diagnostica e canali che ci connettono con i clienti aziendali.

L'obiettivo del team globale di risposta agli eventi imprevisti per la protezione dei dati di Microsoft Professional Services è (a) utilizzare operazioni e processi rigorosi per impedire che si verifichino eventi imprevisti di protezione dei dati, (b) gestirli in modo professionale ed efficiente quando si verificano e (c) imparare da questi eventi imprevisti di protezione dei dati tramite regolari miglioramenti post-mortem e programmi. I processi e i risultati del team di risposta agli eventi imprevisti di Microsoft Professional Services vengono esaminati e attestati da più controlli di sicurezza e conformità (ad esempio, ISO/IEC 27001).

Panoramica sull'intervento in caso di incidenti di protezione dei dati

Microsoft Professional Services si impegna a proteggere i propri clienti e adotta misure considerevoli per evitare che si verifichino incidenti di protezione dei dati come mezzo per mantenere la fiducia dei clienti. Un evento imprevisto di protezione dei dati nell'organizzazione di Professional Services è una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali o ai dati dei servizi professionali, durante l'elaborazione da parte di Microsoft. Per i clienti commerciali che hanno acquistato supporto unificato o soluzioni di settore, è necessario fare riferimento al linguaggio di risposta agli eventi imprevisti per la protezione dei dati nel componente aggiuntivo per la protezione dei dati (DPA) di Prodotti e servizi Microsoft.

Ambito e limiti del processo di intervento in caso di incidenti di protezione dei dati

Il processo di notifica di violazione dei dati personali inizia quando si dichiara che si è verificata una [violazione dei dati personali].

Per essere dichiarato, il team di risposta agli eventi imprevisti della protezione dei dati Microsoft deve determinare che si è verificato un evento imprevisto di protezione dei dati come definito in precedenza. La dichiarazione verrà eseguita non appena saranno disponibili tutte le informazioni pertinenti per determinare che si è verificato un evento imprevisto di protezione dei dati.

A causa della natura dei servizi professionali, alcuni eventi che sembrano incidenti di protezione dei dati Microsoft non sono necessariamente classificati come tali, perché si sono verificati attraverso le azioni del cliente o nei sistemi del cliente. Microsoft Professional Services non monitora né risponde agli eventi imprevisti di protezione dei dati nell'ambito della responsabilità del cliente. Tuttavia, quando Microsoft viene a conoscenza di un evento imprevisto di protezione dei dati guidato dal cliente, questo evento imprevisto viene classificato come evento imprevisto di protezione dei dati guidato dal cliente, che il team di risposta agli eventi imprevisti della protezione dei dati chiama un "evento", informare il cliente dell'osservazione e, come richiesto, assisterlo nell'impegno di risposta, nella misura richiesta dall'interazione con Microsoft. Alcuni esempi di eventi imprevisti di protezione dei dati basati sul cliente includono l'invio accidentale delle password del cliente e di altri dati sensibili, le richieste di eliminazione dei dati e l'essere vittima di frodi.

Alcune azioni non rientrano affatto nell'ambito di questo processo, incluse le domande di carattere generale su standard o criteri di protezione dei dati, le richieste di diritti dell'interessato, le richieste di rifiuto esplicito, gli elenchi di preferenze dei prodotti o i report sui bug non correlati alla protezione dei dati, gli incidenti di protezione dei dati che non coinvolgono dati dei clienti e le frodi nei confronti di Microsoft.

Tipi di incidenti di protezione dei dati

Il team di risposta agli eventi imprevisti per la protezione dei dati ha identificato un set di scenari che possono verificarsi nei servizi professionali. Pur rispettando il framework di risposta agli eventi imprevisti di base per la protezione dei dati, sono state sviluppate e personalizzate procedure per accelerare il processo di risposta. Ad esempio, un messaggio di posta elettronica non reindirizzato potrebbe richiedere un'indagine scarsa. D'altra parte, l'identificazione del personale malintenzionato può richiedere un'indagine forense completa a causa della natura surrettizio delle attività di un trasgressore. Questo set di scenari può fornire informazioni dettagliate sul processo di risposta agli eventi imprevisti di protezione dei dati per i servizi professionali.

Processo di intervento in caso di incidenti di protezione dei dati

Quando Microsoft Professional Services identifica un evento imprevisto di protezione dei dati, viene eseguito un processo di valutazione in base al quale Microsoft (a) valuta l'evento, (b) determina se è incluso nell'ambito di questo processo, (c) determina se è stato dannoso, (d) esegue un'indagine preliminare e assegna un livello di gravità e (e) avvisi e coordinate con gli stakeholder appropriati all'interno di Microsoft. Il team inizia anche a registrare i dettagli per scopi di rilevamento e l'esercizio post-mortem.

Rilevamento

Microsoft Professional Services monitora continuamente l'ecosistema per gli eventi imprevisti di protezione dei dati emergenti in tutti gli archivi dati contenenti dati personali, sia online che offline. Usiamo metodi diversi per rilevare gli eventi imprevisti di protezione dei dati, tra cui avvisi automatizzati, report dei clienti, report di parti esterne, osservazione di anomalie e indicazioni di attività dannose o di hacker.

I processi di rilevamento usati da Microsoft Professional Services sono progettati per individuare gli eventi imprevisti di protezione dei dati e attivare indagini. Ad esempio:

  • Le vulnerabilità di sicurezza vengono segnalate al sistema di segnalazione Microsoft o riportate direttamente al team di intervento in caso di incidenti di protezione dei dati Servizi professionali.
  • I clienti possono inviare segnalazioni tramite il portale di assistenza clienti per descrivere attività sospette.
  • Il personale di Professional Services invia escalation. I dipendenti Microsoft sono addestrati per identificare e inoltrare potenziali problemi riguardanti la sicurezza.
  • Per gli strumenti e i sistemi usati nel processo di fornitura di Servizi professionali, i team operativi usano avvisi di sistema automatizzati tramite framework di monitoraggio e avvisi interni. Questi avvisi potrebbero interferire con avvisi basati su firma come antimalware, rilevamento di intrusioni o tramite algoritmi progettati per tracciare il profilo dell'attività prevista e segnalare anomalie.

Esercitazioni all'intervento in caso di incidenti di protezione dei dati e piano di intervento di prova per intervenire in caso di incidenti di protezione dei dati

Oltre alla formazione in corso, Professional Services esegue ogni anno esercitazioni in collaborazione con i reparti interni appropriati per comunicare le procedure, i ruoli e le responsabilità dell'escalation degli eventi imprevisti di protezione dei dati a tutti i membri del team di stabilizzazione. Questo training prepara gli stakeholder principali per gli eventi imprevisti di protezione dei dati reali, indipendentemente dal fatto che si tratti di sicurezza, fisici o basati sulla privacy in natura. Questa formazione include esercizi con i rappresentanti del team di risposta agli eventi imprevisti per la protezione dei dati, del team di sicurezza, dei team legali e del team di comunicazione.

In seguito alle esercitazioni vengono registrati il risultato e i metodi che si è deciso di utilizzare.

Formazione su come intervenire in caso di incidenti di protezione dei dati

Un componente chiave della risposta agli eventi imprevisti di protezione dei dati è la formazione del personale per identificare e segnalare gli eventi imprevisti di protezione dei dati. Il personale dell'organizzazione Professional Services deve seguire una formazione che copre i concetti fondamentali sulla privacy, le normative GDPR e altre procedure consigliate su come identificare e segnalare gli eventi imprevisti di protezione dei dati.

È disponibile una formazione online regolare e il completamento è obbligatorio per tutto il personale. Il programma di formazione impiega test, sondaggi in corso, consapevolezza e follow-up progettati per garantire che la formazione venga compresa e mantenuta.

Procedura

Quando l'organizzazione di Microsoft Professional Services identifica un evento imprevisto di protezione dei dati, segue un piano di risposta standard del settore documentato, a partire dalla determinazione del rispetto dei criteri degli eventi imprevisti di protezione dei dati. Quando si verifica un evento imprevisto di protezione dei dati, viene in genere dichiarato immediatamente dopo La valutazione, ma, a seconda della complessità, la dichiarazione può verificarsi in qualsiasi momento in cui è disponibile un livello di informazioni necessarie, anche dopo la fase di indagine. D'altra parte, il team ha la discrezione di dichiarare un evento imprevisto di protezione dei dati basato solo su un ragionevole sospetto di occorrenza. Il team può anche alternare le varie fasi man mano che l'indagine procede.

In base al livello di gravità, Microsoft può anche completare un post-mortem interno per gli eventi imprevisti di protezione dei dati. Come parte di questo esercizio, viene valutata l'adeguatezza delle procedure di risposta e operative e vengono identificati e implementati tutti gli aggiornamenti che potrebbero essere necessari per la procedura operativa standard di risposta agli eventi imprevisti di protezione dei dati o i processi correlati. La relazione finale interna per violazioni dei dati è un registro altamente riservato che non è disponibile per i clienti. I postmortem possono tuttavia essere riepilogati e inclusi nelle notifiche degli eventi del cliente. Come parte di un ciclo di controllo di routine, i processi post-mortem vengono esaminati da revisori esterni per garantire che si verifichi il follow-up.

Notifica

Quando Microsoft Professional Services dichiara un incidente relativo alla protezione dei dati ai sensi del GDPR, Microsoft indirizza la notifica ai propri clienti entro 72 ore.

Dopo la dichiarazione di un evento imprevisto di protezione dei dati, il processo di notifica viene eseguito il più rapidamente possibile, tenendo comunque conto dei rischi di sicurezza derivanti dal rapido spostamento. Per garantire che la notifica possa essere recapitata correttamente, è responsabilità del cliente assicurarsi che le informazioni di contatto amministrativo in ogni account, sottoscrizione e portale di Servizi online applicabili siano corrette. Anche se l'obiettivo è fornire ai clienti interessati un preavviso accurato, interattivo e tempestivo, per ottenere l'impegno di notifica di 72 ore, la notifica iniziale potrebbe non includere dettagli completi in quanto tutti i dettagli potrebbero non essere disponibili durante le prime fasi di un evento imprevisto di protezione dei dati. Inoltre, Microsoft potrebbe dover rifiutare alcuni dettagli a causa delle circostanze dell'evento imprevisto di protezione dei dati. Ad esempio, potrebbe essere necessario negare i dettagli se l'azione di notifica aumenta il rischio per altri clienti o interferisce con la capacità di Microsoft o delle forze dell'ordine di catturare un attore dannoso.

In qualità di responsabile del trattamento dei dati, Microsoft riconosce che i clienti sono responsabili di determinare se la notifica è appropriata e, in tal caso, notificare all'autorità competente per la protezione dei dati (DPA) e agli interessati dei dati del cliente eventuali violazioni dei dati personali. Microsoft Professional Services lavorerà per fornire ai clienti le informazioni necessarie per procedere con preavviso in queste circostanze.

Quando si avvisano i clienti dell’avvenuta violazione di dati personali, Microsoft fornisce le informazioni seguenti, se applicabili e note:

  • Natura della violazione
  • Misure di riduzione dei rischi adottate o proposte da Microsoft
  • Prodotto, servizio e applicazione interessati
  • Durata di esposizione dei dati personali, se nota
  • Quantità di record di dati personali interessati/esposti, se nota
  • Dettagli su fornitori/rappresentante responsabile del trattamento, se coinvolti nella violazione

Ulteriori informazioni

Altre informazioni su Microsoft Professional Services (https://aka.ms/pstrust).