Microsoft 支持和专业服务与 GDPR 泄露通知

Microsoft 支持和专业服务非常重视《一般数据保护条例》(GDPR) 规定的义务。

Microsoft 专业服务包括一组不同的技术架构师、工程师、顾问和支持专业人员,致力于履行 Microsoft 的使命,即让客户能够完成更多工作和实现更多目标。 我们的专业服务团队包括超过 21,000 名顾问、数字顾问、顶级支持、工程师和销售专业人员,他们分布在 191 个国家/地区,支持 46 种不同的语言,每月管理数百万个参与活动,并通过本地、电话、Web、社区和自动化工具参与客户和合作伙伴的互动。 该组织在 Microsoft 产品组合中带来了广泛的专业知识,利用广泛的合作伙伴、技术社区、工具、诊断和渠道网络,将我们与企业客户联系起来。

Microsoft 专业服务全球数据保护事件响应团队的动力是 () 采用严格的操作和流程来防止发生数据保护事件, (b) 在发生数据保护事件时以专业和高效的方式对其进行管理, (c) 通过定期事后和程序改进从这些数据保护事件中学习。 Microsoft 专业服务数据保护事件响应团队的流程和结果由多个安全性和合规性审核 ((例如 ISO/IEC 27001) )审查和证明。

数据保护事件响应概述

Microsoft 专业服务致力于保护其客户,并采取大量措施防止发生数据保护事件,以此维护客户信任。 专业服务组织中的数据保护事件是违反安全性的行为,导致在 Microsoft 处理期间意外或非法销毁、丢失、更改、未经授权披露或访问个人数据或支持或咨询数据。 对于已购买顶级支持、统一支持或 Microsoft 咨询服务的商业客户,应参考位于 https://aka.ms/professionalservicesdpa/的专业服务数据保护附录中的数据保护事件响应语言。

数据保护事件响应流程的范围和限制

当我们声明发生 [个人数据泄露] 时,我们的个人数据泄露通知流程将开始。

若要进行声明,Microsoft 数据保护事件响应团队必须确定已发生之前定义的数据保护事件。 一旦所有相关信息可用,将立即进行声明,以确定已发生数据保护事件。

由于专业服务的性质,某些看似 Microsoft 数据保护事件的事件不是因为它们是通过客户操作或客户系统上发生的。 Microsoft 不会监视或响应客户责任范围内的数据保护事件。 但是,当 Microsoft 发现客户驱动的数据保护事件时,我们会将此事件归类为客户驱动的数据保护事件,数据保护事件响应团队将事件称为“事件”,告知客户我们的观察结果,并按照要求,在他们与 Microsoft 交互所需的范围内帮助他们做出响应。 客户驱动的数据保护事件的一些示例包括无意中将 Microsoft 的客户密码和其他敏感数据发送给 Microsoft、请求删除数据以及成为欺诈的受害者。

某些操作完全在此流程的范围之外,包括有关我们的数据保护策略或标准的常规问题、数据主体权利请求、选择退出请求、与数据保护无关的产品意愿列表或 Bug 报告、不涉及客户数据的数据保护事件以及针对 Microsoft 的欺诈行为。

数据保护事件类型

数据保护事件响应团队已确定在专业服务中可能发生的一组方案。 在遵循基本数据保护事件响应框架的同时,已开发和自定义程序以加快响应过程。 例如,错误的电子邮件可能需要很少的调查。 另一方面,由于罪犯活动的隐秘性质,识别恶意人员可能需要进行彻底的法医调查。 这组方案可以深入了解专业服务的数据保护事件响应过程。

数据保护事件响应流程

当 Microsoft 专业服务识别到数据保护事件时, 发生会审过程, () ) 评估事件, (b) 确定它是否在此过程范围内, (c) 确定它是否为恶意, (d) 执行初步调查并分配严重级别, (e) 警报并与 Microsoft 中的相应利益干系人协调。 该团队还开始记录详细信息,以便进行跟踪和验尸练习。

检测

Microsoft 专业服务持续监视包含个人数据的所有数据存储(包括联机和脱机)中出现的数据保护事件。 我们使用不同的方法来检测数据保护事件,包括自动警报、客户报告、来自外部方的报告、异常情况的观察以及恶意或黑客活动的迹象。

Microsoft 专业服务使用的检测过程旨在发现数据保护事件并触发调查。 例如:

  • 安全漏洞将报告到整个 Microsoft 范围的报告系统进行转交,或者直接报告给专业服务数据保护事件响应团队。
  • 客户通过客户支持门户提交描述可疑活动的报告。
  • 专业服务人员提交升级。 Microsoft 员工经过培训,可识别和上报潜在安全问题。
  • 对于在提供专业服务过程中使用的工具和系统,运营团队通过内部监视和警报框架使用自动系统警报。 这些警报可能以基于签名的警报(例如反恶意软件、入侵检测)的方式出现,或者通过旨在分析预期活动和在异常时发出警报的算法。

数据保护事件响应练习,测试数据保护事件响应计划

除了持续培训外,专业服务每年还会与相应的内部部门合作执行演练,向所有稳定团队成员传达数据保护事件上报过程、角色和职责。 此培训为实际数据保护事件(无论是安全性、物理事件还是隐私)的关键利益干系人做好准备。 此培训包括与数据保护事件响应团队、安全团队、法律团队和通信团队代表的练习。

在练习完成后,我们会记录成果以及我们决定使用的修正方法。

数据保护事件响应培训

数据保护事件响应的一个关键组成部分是人员培训,以识别和报告数据保护事件。 专业服务组织中的人员必须接受涵盖隐私基础知识、GDPR 法规和有关如何识别和报告数据保护事件的最佳做法的培训。

提供定期在线培训,所有人员必须完成培训。 培训计划采用测试、持续调查、意识和跟进,旨在确保理解和保留培训。

流程

当 Microsoft 专业服务组织识别到数据保护事件时,它遵循记录的行业标准响应计划,从确定满足数据保护事件条件开始。 发生数据保护事件时,通常会在会审后立即声明,但根据复杂性,在提供必要信息级别(包括调查阶段之后)时,可能会随时进行声明。 另一方面,团队有权仅根据合理的怀疑事件来声明数据保护事件。 随着调查的进行,团队还可以在各个阶段之间交替。

根据严重性级别,Microsoft 还可以完成数据保护事件的内部事后调查。 在本练习中,将评估响应和操作过程的充分性,并识别并实施数据保护 事件响应标准操作过程 或相关流程所需的任何更新。 数据泄露的内部事后分析是高度机密的记录,不会提供给客户。 但是,可以汇总事后数据并将其包含在客户事件通知中。 作为例行审核周期的一部分,外部审计师将审查事后过程,以确保跟进。

通知

Microsoft 专业服务根据 GDPR 声明数据保护事件时,我们会在 72 小时内向客户发送通知。

在声明数据保护事件后,通知过程将尽可能迅速进行,同时仍然考虑快速移动的安全风险。 为确保通知能够成功传递,客户有责任确保每个适用帐户、订阅和联机服务门户的管理联系信息正确无误。 虽然目标是向受影响的客户提供准确、可操作和及时的通知,但为了实现 72 小时通知承诺,初始通知可能不包含完整详细信息,因为所有详细信息在数据保护事件的早期阶段可能不可用。 此外,由于数据保护事件的情况,Microsoft 可能需要隐瞒一些详细信息。 例如,如果提供通知的行为增加了对其他客户的风险,或者干扰了 Microsoft 或执法部门捕获恶意参与者的能力,则可能需要隐瞒详细信息。

Microsoft 以数据处理者的身份认识到,客户有责任确定通知是否合适,如果是,则向主管数据保护机构 (DPA) 以及客户自己的数据主体通知任何个人数据泄露。 在这些情况下,Microsoft 专业服务将努力为客户提供继续通知所需的信息。

在向客户提供有关个人数据泄露的通知时,Microsoft 将包括以下信息(如果适用且已知):

  • 泄露的性质
  • Microsoft 采取或建议的缓解措施
  • 涉及的产品、服务、应用程序
  • 个人数据的泄露时间长度(如果已知)
  • 受影响/泄露的个人数据记录数量(如果已知)
  • 分处理者/提供者详细信息(如果在泄露中有所涉及)

了解更多

详细了解 Microsoft 专业服务 (https://aka.ms/pstrust)。