符合 GDPR 的 Office 365 泄露通知

作为数据处理者,Office 365将确保我们的客户能够作为数据控制者满足 GDPR 的违规通知要求。 为此,我们承诺执行以下操作:

  • 让客户能够指定专门的隐私联系人,该联系人可在发生泄露时收到通知。 客户可使用消息中心的隐私读取者角色设置来指定此联系人。
  • 在泄露声明后的 72 小时内通知客户发生个人数据泄露。 通知将发布在消息中心,可通过 Microsoft 365 管理中心访问消息中心。 其次,电子邮件通知将发送给指定联系人,说明新的消息中心公告已发布。
  • 初始通知至少包括对违规性质的描述、用户影响的近似值以及 (缓解步骤(如果适用)) 。 如果在初始通知时调查未完成,我们将在初始通知中指示后续通信的后续步骤和时间线

Microsoft 认识到,数据控制者负责进行风险评估并确定违反行为是否需要通知客户的 DPA,我们给客户的通知将提供进行该评估所需的信息。 因此,Microsoft 将通知客户任何个人数据泄露,但确认个人数据不可理解 (的情况除外,例如,已确认密钥完整性的加密数据) 。

Office 365 在数据安全性方面的投资

我们除了承诺提供及时的泄露通知之外,Office 365 还大力投资于系统、流程和人员,以减少个人数据泄露的可能性,并快速检测泄露,如果确实发生,则减轻泄露造成的后果。

以下是我们在此领域的一些投资的说明:

  • 访问控制系统。 Office 365维护“零位置访问”策略,这意味着工程师无权访问服务,除非明确授予该服务以响应需要提升访问权限的特定事件。 每当授予访问权限时,它都是按照最低特权原则完成的:为特定请求授予的权限仅允许为该请求提供服务所需的最小一组操作。 为此,Office 365保持“提升角色”之间的严格隔离,每个角色仅允许执行某些预定义的操作。 “访问客户数据”角色不同于其他角色,这些角色更常用于管理服务,在审批之前会进行最严格的审查。 总之,访问控制方面的这些投资大大降低了Office 365工程师不当访问客户数据的可能性。

  • 安全监视系统和自动化:Office 365维护可靠的实时安全监视系统。 除其他问题外,这些系统会针对尝试非法访问客户数据或试图从我们的服务中非法传输数据发出警报。 与前面提到的访问控制点相关,我们的安全监视系统会保留所发出的提升请求的详细记录,以及针对给定提升请求执行的操作。 Office 365还维护自动解决投资,这些投资会自动应对我们检测到的问题时缓解威胁,并维护专用团队来响应无法自动解决的警报。 为了验证我们的安全监视系统,Office 365定期进行红队练习,其中内部渗透测试团队模拟针对实时环境的攻击者行为。 这些练习可定期改进安全监视和响应功能。

  • 人员和流程:除了前面所述的自动化之外,Office 365还维护流程和团队,负责向更广泛的组织介绍隐私和事件管理流程,并在违规期间执行这些流程。 例如,会维护详细的隐私违规标准操作程序 (SOP) 并与整个组织的团队共享。 此 SOP 详细描述了Office 365和集中式安全事件响应团队中各个团队的角色和职责。 这些职责包括团队需要执行哪些操作来改善自己的安全状况 (进行安全评审、与中心安全监视系统集成,以及) 的其他最佳做法,以及如果实际违规 (快速升级到事件响应,团队需要执行哪些操作,维护并提供用于加快响应过程) 的特定数据源。 团队还定期接受数据分类以及个人数据的正确处理和存储过程方面的培训。

主要要点是,Office 365大力投资,以减少个人数据泄露影响客户的可能性和后果。 如果确实发生个人数据泄露,我们承诺在确认泄露后快速通知客户。

在泄露情况下时会发生什么

以上部分介绍了Office 365为降低数据泄露的可能性而进行的投资。 在不太可能发生的违规事件中,客户应期待以下响应的可预测体验:

  • Office 365内一致的事件响应生命周期。 如上所述,Office 365维护详细的事件响应 SOP,描述团队应如何为违规做好准备以及在发生违规时应如何操作。 这可确保我们的保护和流程在整个服务中应用。

  • 通知客户的一致条件。 我们的通知条件侧重于客户数据的机密性、完整性和可用性。 如果客户数据的机密性或完整性受到影响,Office 365将直接通知客户。 也就是说,如果客户的数据是在未经适当授权的情况下访问的,或者存在不当的破坏或数据丢失,我们将通知客户。 Office 365还会报告影响数据可用性的问题,但此操作通常通过服务运行状况仪表板 (SHD) 完成。

  • 一致的通知详细信息。 当Office 365确实就数据泄露进行沟通时,客户可以期待传达特定详细信息:至少,我们将提供以下详细信息:

    • 泄露时间和获悉泄露的时间
    • 受影响的用户概数
    • 泄露的用户数据类型
    • 控制者或处理者为缓解泄露需要采取的操作

客户还应注意,Office 365作为数据处理者,不会确定数据泄露的风险。 每当检测到个人数据泄露时,我们都会通知客户,并为其提供所需的详细信息,以准确确定受影响用户的风险,并决定是否需要向监管机构进一步报告。 为此,数据控制者应确定有关事件的以下事项:

  • 泄露严重性(即,确定风险)
  • 是否需要通知最终用户
  • 是否需要通知监管机构 (DPA)
  • 控制者为减轻泄露的后果将会采取的具体步骤

联系 Microsoft

在某些情况下,客户可能会意识到违规,并可能希望通知 Microsoft。 当前协议供客户通知Microsoft 支持部门,然后通知工程团队了解详细信息。 在此方案中,Microsoft 工程团队同样致力于通过支持联系人及时提供客户所需的信息。

对客户的行动号召

如前所述,Microsoft 365 承诺在违规声明后的 72 小时内通知客户。 将通知客户的租户管理员。 此外,Microsoft 365 建议客户将一个或多个个人指定为消息中心隐私读取者,这可以在Microsoft 365 管理中心中完成。 如果发生个人数据泄露,分配有消息中心隐私读取者角色的资源将能够访问消息中心以查看相关的隐私通知,并且根据消息中心首选项,可能会收到相关电子邮件。

有关更多信息,请参阅: