Notificação de violação do Office 365 segundo o RGPD

  • Artigo

Como processador de dados, Office 365 garantirá que nossos clientes sejam capazes de atender aos requisitos de notificação de violação do GDPR como controladores de dados. Para isso, estamos comprometidos com as seguintes ações:

  • Em fornecer aos clientes a capacidade de especificar um contato de privacidade dedicado que será notificado sobre a violação. Os clientes podem especificar esse contato usando as configurações de função do leitor de Privacidade para o Centro de Mensagens.
  • Em notificar os clientes de uma violação de dados em até 72 horas após uma violação ser declarada. As notificações serão publicadas no centro de mensagens, o qual pode ser acessado por meio do Centro de administração do Microsoft 365. Secundariamente, as notificações de email são enviadas para contatos especificados indicando que uma nova postagem foi publicada no Centro de Mensagens.
  • A notificação inicial incluirá, no mínimo, uma descrição da natureza da violação, aproximação do impacto do usuário e etapas de mitigação (se aplicável). Se nossa investigação não estiver concluída no momento da notificação inicial, indicaremos as próximas etapas e cronogramas para comunicação subsequente em nossa notificação inicial

A Microsoft reconhece que os controladores de dados são responsáveis por realizar avaliações de risco e determinar se uma violação requer notificação da DPA do cliente e nossa notificação aos clientes fornecerá as informações necessárias para fazer essa avaliação. Portanto, a Microsoft notificará os clientes de qualquer violação de dados pessoais, exceto para os casos em que os dados pessoais são confirmados como ininteligíveis (por exemplo, dados criptografados em que a integridade das chaves é confirmada).

Investimentos do Office 365 em segurança de dados

Além do nosso compromisso de fornecer a notificação de violação em tempo hábil, o Office 365 investe fortemente em sistemas, processos e equipes para reduzir a probabilidade de violação de dados pessoais e para rapidamente detectar e reduzir a consequência da violação, caso ocorra.

Aqui está uma descrição de alguns de nossos investimentos neste espaço:

  • Controle de Acesso Sistemas. Office 365 mantém uma política de "acesso zero", o que significa que os engenheiros não têm acesso ao serviço, a menos que seja explicitamente concedido em resposta a um incidente específico que requer elevação de acesso. Sempre que o acesso é concedido, ele é feito sob o princípio de privilégio mínimo: a permissão concedida para uma solicitação específica permite apenas um conjunto mínimo de ações necessárias para atender a essa solicitação. Para fazer isso, Office 365 mantém uma separação estrita entre "funções de elevação", com cada função permitindo apenas que determinadas ações pré-definidas sejam tomadas. A função "Acesso aos Dados do Cliente" é distinta de outras funções que são mais comumente usadas para administrar o serviço e é examinada mais fortemente antes da aprovação. Juntos, esses investimentos no controle de acesso reduzem consideravelmente a probabilidade de um engenheiro em Office 365 acessar inapropriadamente os dados do cliente.

  • Sistemas de Monitoramento de Segurança e Automação: Office 365 mantém sistemas robustos de monitoramento de segurança em tempo real. Entre outros problemas, esses sistemas levantam alertas para tentativas de acessar ilegalmente dados de clientes ou para tentativas de transferir dados ilegalmente para fora de nosso serviço. Relacionados aos pontos sobre o controle de acesso mencionados anteriormente, nossos sistemas de monitoramento de segurança mantêm registros detalhados de solicitações de elevação feitas e as ações tomadas para uma determinada solicitação de elevação. Office 365 também mantém investimentos de resolução automática que atuam automaticamente para mitigar ameaças em resposta a problemas que detectamos e equipes dedicadas para responder a alertas que não podem ser resolvidos automaticamente. Para validar nossos sistemas de monitoramento de segurança, Office 365 realiza regularmente exercícios de equipe vermelha em que uma equipe de teste de penetração interna simula o comportamento do invasor em relação ao ambiente ao vivo. Esses exercícios levam a melhorias regulares em nossos recursos de monitoramento e resposta de segurança.

  • Pessoal e processos: Além da automação descrita anteriormente, Office 365 mantém processos e equipes responsáveis por educar a organização mais ampla sobre processos de privacidade e gerenciamento de incidentes e por executar esses processos durante uma violação. Por exemplo, uma violação de privacidade detalhada do SOP (Procedimento Operacional Padrão) é mantida e compartilhada com equipes em toda a organização. Este SOP descreve detalhadamente as funções e as responsabilidades de equipes individuais dentro de equipes Office 365 e equipes centralizadas de resposta a incidentes de segurança. Essas responsabilidades abrangem tanto o que as equipes precisam fazer para melhorar sua própria postura de segurança (realizar revisões de segurança, integrar com sistemas de monitoramento de segurança central e outras práticas recomendadas) e o que as equipes precisariam fazer se uma violação real (escalonamento rápido para resposta a incidentes, manter e fornecer fontes de dados específicas que serão usadas para acelerar o processo de resposta). As equipes também são regularmente treinadas em classificação de dados e procedimentos corretos de tratamento e armazenamento para dados pessoais.

A principal vantagem é que Office 365 investe fortemente na redução da probabilidade e das consequências da violação de dados pessoais que afetam nossos clientes. Se ocorrer violação de dados pessoais, estamos comprometidos em notificar rapidamente nossos clientes depois que essa violação for confirmada.

O que esperar no caso de violação

A seção acima descreve os investimentos Office 365 necessários para reduzir a probabilidade de violação de dados. No caso improvável de que essa violação ocorra, os clientes devem esperar uma experiência previsível em termos das seguintes respostas:

  • Ciclo de vida consistente da resposta a incidentes no Office 365. Conforme descrito acima, Office 365 mantém SOPs de resposta detalhada a incidentes descrevendo como as equipes devem se preparar para a violação e como devem operar se ocorrer uma violação. Isso garante que nossas proteções e processos se apliquem em todo o serviço.

  • Critérios consistentes para notificar clientes. Nossos critérios de notificação se concentram em Confidencialidade, Integridade e Disponibilidade de dados do cliente. Office 365 notificará diretamente os clientes se a confidencialidade ou integridade dos dados do cliente for afetada. Ou seja, notificaremos os clientes se seus dados forem acessados sem autorização adequada ou se houver destruição inadequada ou perda de dados. Office 365 também relatará problemas que afetam a disponibilidade de dados, embora essa ação geralmente seja feita por meio do SHD (Service Health Dashboard).

  • Detalhes de notificação consistentes. Quando Office 365 se comunica sobre violação de dados, os clientes podem esperar que detalhes específicos sejam comunicados: no mínimo, forneceremos os seguintes detalhes:

    • O momento da violação e o momento em que a violação foi percebida.
    • A quantidade aproximada de usuários afetados.
    • Os tipos de dados do usuário que foram violados.
    • Ações necessárias para reduzir a violação, seja do controlador ou do processador.

Os clientes também devem observar que Office 365, como processador de dados, não determinarão o risco de violação de dados. Sempre que a violação de dados pessoais for detectada, notificaremos nossos clientes e forneceremos a eles os detalhes necessários para determinar com precisão o risco para os usuários afetados e decidir se novos relatórios às autoridades regulatórias são necessários. Para esse fim, espera-se que os controladores de dados determinem o seguinte sobre o incidente:

  • Gravidade da violação (ou seja, a determinação do risco).
  • Se é necessário notificar os usuários finais.
  • Se é necessário notificar os reguladores (DPAs).
  • As etapas específicas que o controlador deve tomar para reduzir as consequências da violação.

Entrar em contato com a Microsoft

Em alguns cenários, um cliente pode tomar conhecimento de uma violação e pode querer notificar a Microsoft. O protocolo atual é que os clientes notifiquem Suporte da Microsoft, que serão interface com equipes de engenharia para obter mais informações. Nesse cenário, as equipes de engenharia da Microsoft estão igualmente comprometidas em fornecer as informações que os clientes precisam, por meio de seu contato de suporte, em tempo hábil.

Chamada à ação para clientes

Conforme observado anteriormente, o Microsoft 365 está comprometido em notificar os clientes dentro de 72 horas após a declaração de violação. O administrador do locatário do cliente será notificado. Além disso, o Microsoft 365 recomenda que os clientes designem um ou mais indivíduos como leitores de Privacidade do Centro de Mensagens, o que pode ser feito no Centro de administração do Microsoft 365. No caso de violação de dados pessoais, os recursos atribuídos à função leitor de privacidade do Centro de Mensagens poderão acessar o Centro de Mensagens para ver notificações de privacidade relevantes e, dependendo das preferências do Centro de Mensagens, poderão receber um email relacionado.

Para saber mais, confira: