Notifica di violazione di Office 365 secondo il GDPR

In qualità di responsabile del trattamento dei dati, Office 365 garantirà che i nostri clienti siano in grado di soddisfare i requisiti di notifica delle violazioni del GDPR come titolari del trattamento dei dati. A tale scopo, viene eseguito il commit delle azioni seguenti:

  • Garantire ai clienti la possibilità di specificare un contatto responsabile della privacy al quale sarà notificato l'evento di violazione. I clienti potranno specificare questo contatto usando le impostazioni del ruolo di lettore di privacy per il centro messaggi.
  • Informare i clienti riguardo alla violazione dei dati personali entro 72 ore dall'avvenuta violazione. Le notifiche verranno pubblicate nel centro messaggi, accessibile tramite l'interfaccia di amministrazione di Microsoft 365. In secondo luogo, le notifiche tramite posta elettronica vengono inviate a contatti specificati indicando che è stato pubblicato un nuovo post del centro messaggi.
  • La notifica iniziale includerà, almeno, una descrizione della natura della violazione, dell'approssimazione dell'impatto dell'utente e dei passaggi di mitigazione (se applicabile). Se l'indagine non è stata completata al momento della notifica iniziale, verranno indicati i passaggi successivi e le sequenze temporali per la comunicazione successiva nella notifica iniziale

Microsoft riconosce che i titolari del trattamento dei dati sono responsabili di condurre valutazioni dei rischi e determinare se una violazione richiede la notifica del DPA del cliente e la notifica ai clienti fornirà le informazioni necessarie per eseguire tale valutazione. Microsoft informerà pertanto i clienti di eventuali violazioni dei dati personali, ad eccezione dei casi in cui i dati personali sono confermati non comprensibili (ad esempio, dati crittografati in cui viene confermata l'integrità delle chiavi).

Investimenti di Office 365 per la sicurezza dei dati

Oltre a notificare tempestivamente le violazioni, Office 365 investe molto in sistemi, processi e personale per ridurre la probabilità di violazioni di dati personali e per rilevare velocemente le eventuali violazioni e ridurne le conseguenze.

Ecco una descrizione di alcuni dei nostri investimenti in questo spazio:

  • Controllo di accesso Systems. Office 365 mantiene un criterio di "accesso in piedi zero", il che significa che i tecnici non hanno accesso al servizio a meno che non venga concesso in modo esplicito in risposta a un evento imprevisto specifico che richiede l'elevazione dell'accesso. Ogni volta che viene concesso l'accesso viene eseguito in base al principio dei privilegi minimi: l'autorizzazione concessa per una richiesta specifica consente solo un set minimo di azioni necessarie per gestire tale richiesta. A tale scopo, Office 365 mantiene una netta separazione tra i "ruoli di elevazione", con ogni ruolo che consente solo l'esecuzione di determinate azioni predefinite. Il ruolo "Accesso ai dati del cliente" è distinto dagli altri ruoli più comunemente usati per amministrare il servizio e viene esaminato con maggiore attenzione prima dell'approvazione. Nel loro insieme, questi investimenti nel controllo degli accessi riducono notevolmente la probabilità che un tecnico in Office 365 accesa in modo inappropriato ai dati dei clienti.

  • Sistemi di monitoraggio della sicurezza e automazione: Office 365 mantiene sistemi di monitoraggio della sicurezza affidabili e in tempo reale. Tra gli altri problemi, questi sistemi generano avvisi per i tentativi di accesso illecito ai dati dei clienti o per i tentativi di trasferire illecitamente i dati dal servizio. In relazione ai punti relativi al controllo di accesso menzionati in precedenza, i sistemi di monitoraggio della sicurezza mantengono record dettagliati delle richieste di elevazione effettuate e delle azioni eseguite per una determinata richiesta di elevazione. Office 365 gestisce anche gli investimenti automatici per la risoluzione che agiscono automaticamente per mitigare le minacce in risposta ai problemi rilevati e i team dedicati per rispondere agli avvisi che non possono essere risolti automaticamente. Per convalidare i sistemi di monitoraggio della sicurezza, Office 365 esegue regolarmente esercizi red-team in cui un team di test di penetrazione interno simula il comportamento degli utenti malintenzionati rispetto all'ambiente live. Questi esercizi portano a miglioramenti regolari delle funzionalità di monitoraggio e risposta della sicurezza.

  • Personale e processi: Oltre all'automazione descritta in precedenza, Office 365 gestisce i processi e i team responsabili sia dell'istruzione dell'organizzazione più ampia sui processi di privacy e gestione degli eventi imprevisti, sia dell'esecuzione di tali processi durante una violazione. Ad esempio, viene mantenuta e condivisa una procedura operativa standard (SOP) dettagliata per violazione della privacy con i team di tutta l'organizzazione. Questo SOP descrive in dettaglio i ruoli e le responsabilità sia dei singoli team all'interno di Office 365 che dei team di risposta agli eventi imprevisti di sicurezza centralizzati. Queste responsabilità si estendono su ciò che i team devono fare per migliorare il proprio comportamento di sicurezza (condurre revisioni della sicurezza, integrare con i sistemi di monitoraggio della sicurezza centrale e altre procedure consigliate) e quali team dovrebbero fare se una violazione effettiva (escalation rapida alla risposta agli eventi imprevisti, gestire e fornire origini dati specifiche che verranno usate per accelerare il processo di risposta). I team vengono inoltre regolarmente sottoposti a training sulla classificazione dei dati e sulle procedure di gestione e archiviazione corrette per i dati personali.

L'importante è che Office 365 investa fortemente nel ridurre la probabilità e le conseguenze della violazione dei dati personali che interessano i nostri clienti. Se si verifica una violazione dei dati personali, ci impegniamo a notificare rapidamente ai clienti una volta confermata tale violazione.

Cosa succede in caso di effettiva violazione

La sezione precedente descrive gli investimenti necessari Office 365 per ridurre la probabilità di violazione dei dati. Nell'improbabile caso in cui si verifichi una violazione, i clienti devono aspettarsi un'esperienza prevedibile in termini di risposte seguenti:

  • Ciclo di vita coerente della risposta agli eventi imprevisti all'interno di Office 365. Come descritto in precedenza, Office 365 mantiene sop di risposta agli eventi imprevisti dettagliati che descrivono come i team devono prepararsi per la violazione e come devono operare in caso di violazione. Ciò garantisce che le protezioni e i processi vengano applicati in tutto il servizio.

  • Criteri coerenti per la notifica ai clienti. I criteri di notifica sono incentrati su riservatezza, integrità e disponibilità dei dati dei clienti. Office 365 informerà direttamente i clienti in caso di impatto sulla riservatezza o sull'integrità dei dati dei clienti. In questo modo, i clienti verranno avvisati se si accede ai dati senza un'autorizzazione appropriata o se si verificano distruzione o perdita di dati inappropriati. Office 365 segnalerà anche problemi che influiscono sulla disponibilità dei dati, anche se questa azione viene in genere eseguita tramite il dashboard di integrità del servizio (SHD).

  • Dettagli di notifica coerenti. Quando Office 365 comunica in merito alla violazione dei dati, i clienti possono aspettarsi che vengano comunicati dettagli specifici: come minimo, forniremo i dettagli seguenti:

    • Data e orario della violazione e del riconoscimento della violazione
    • Il numero approssimativo di utenti interessati
    • Il tipo di dati utente violati
    • Le azioni necessarie per attenuare la violazione, sia da parte del responsabile sia da parte del titolare del trattamento dei dati

I clienti devono anche notare che Office 365, in qualità di responsabile del trattamento dei dati, non determinerà il rischio di violazione dei dati. Ogni volta che viene rilevata una violazione dei dati personali, informeremo i nostri clienti e forniremo loro i dettagli necessari per determinare accuratamente il rischio per gli utenti interessati e decidere se sono necessarie ulteriori segnalazioni alle autorità di regolamentazione. A tale scopo, si prevede che i titolari del trattamento dei dati determinino quanto segue sull'evento imprevisto:

  • Gravità della violazione (ovvero la determinazione dei rischi)
  • Se comunicare la violazione agli utenti finali
  • Se comunicare la violazione alle autorità competenti (DPA)
  • Le procedure specifiche che il titolare del trattamento dei dati dovrà intraprendere per attenuare le conseguenze della violazione

Contattare Microsoft

In alcuni scenari, un cliente potrebbe venire a conoscenza di una violazione e potrebbe voler notificare a Microsoft. Il protocollo corrente prevede che i clienti informeranno supporto tecnico Microsoft, che si interfacciano con i team di progettazione per altre informazioni. In questo scenario, i team di progettazione Microsoft si impegnano in modo analogo a fornire le informazioni necessarie ai clienti, tramite il contatto di supporto, in modo tempestivo.

Invito all'azione per i clienti

Come indicato in precedenza, Microsoft 365 si impegna a notificare ai clienti entro 72 ore dalla dichiarazione di violazione. L'amministratore del tenant del cliente riceverà una notifica. Inoltre, Microsoft 365 consiglia ai clienti di designare una o più persone come lettori di privacy del Centro messaggi, operazione che può essere eseguita nel interfaccia di amministrazione di Microsoft 365. In caso di violazione dei dati personali, le risorse assegnate al ruolo lettore privacy del Centro messaggi potranno accedere al Centro messaggi per visualizzare le notifiche sulla privacy pertinenti e, a seconda delle preferenze del Centro messaggi, potrebbero ricevere un messaggio di posta elettronica correlato.

Per ulteriori informazioni consulta: