Informazioni sul processo di notifica al cliente
Il diagramma seguente illustra il processo di notifica del cliente dopo che si è verificato un evento imprevisto di sicurezza confermato.
Il processo di risposta agli eventi imprevisti e di notifica dei clienti è il seguente: Avvio evento, Evento rilevato, Coinvolgimento del tecnico di chiamata, Coinvolgimento del team di risposta alla sicurezza, Evento imprevisto di sicurezza confermato, Impatto determinato dal cliente, Clienti interessati determinati e infine Clienti interessati notificati.
Responsabilità di Microsoft
Se in qualsiasi momento dell'indagine su un evento imprevisto per la sicurezza o la privacy il team di risposta alla sicurezza rileva che i dati dei clienti sono stati oggetto di distruzione, perdita o alterazione accidentali o illecite, divulgazione non autorizzata o accesso non autorizzato, l'evento viene dichiarato violazione dei dati del cliente e viene avviato il processo di notifica degli eventi imprevisti del cliente. Microsoft identifica e notifica tutti i tenant interessati entro 72 ore in conformità alle linee guida di molti framework normativi.
L'impegno relativo alla sequenza temporale delle notifiche inizia quando si verifica la dichiarazione ufficiale dell'incidente di sicurezza. Quando si dichiara un incidente di sicurezza, il processo di notifica viene eseguito il più rapidamente possibile, senza indebiti ritardi.
La notifica dei clienti per gli incidenti di sicurezza avviene tramite canali appropriati in base alla natura e all'ambito dell'incidente. Questi canali possono includere una o più delle notifiche seguenti:
- Notifica nel Centro messaggi del interfaccia di amministrazione di Microsoft 365
- E-mail all'amministratore tenant del cliente
- Email al contatto globale per la privacy designato dal cliente (se il tenant Amministrazione lo ha definito nel centro Microsoft Entra Amministrazione)
- Assistenza diretta tramite telefonata all'amministratore tenant del cliente da parte di un membro del team di assistenza con formazione speciale
Gli impegni di notifica dei clienti di Microsoft sono descritti in dettaglio in due sezioni dell'addendum per la protezione dei dati dei prodotti e dei servizi Microsoft.
Notifica degli incidenti di sicurezza
Le notifiche degli eventi imprevisti di sicurezza verranno recapitate a uno o più amministratori del cliente con qualsiasi mezzo selezionato da Microsoft, anche tramite posta elettronica. È responsabilità esclusiva del cliente assicurarsi che gli amministratori del cliente mantengano informazioni di contatto accurate su ogni portale di Servizi online applicabile. Il cliente è l'unico responsabile del rispetto degli obblighi previsti dalle leggi sulle notifiche degli eventi imprevisti applicabili al cliente e dell'adempimento di eventuali obblighi di notifica di terze parti relativi a qualsiasi evento imprevisto di sicurezza.
Microsoft si impegna in modo ragionevole ad assistere il cliente nell'adempimento agli obblighi del cliente ai sensi dell'articolo 33 del GDPR o di altre leggi o normative applicabili per informare l'autorità di supervisione e gli interessati rilevanti in merito all'incidente di sicurezza.
La notifica o la risposta di Microsoft per un incidente di sicurezza in questa sezione non rappresenta un riconoscimento da parte di Microsoft di eventuali errori o responsabilità in relazione all'incidente di sicurezza.
I clienti devono notificare tempestivamente a Microsoft qualsiasi possibile uso improprio dei propri account o credenziali di autenticazione o di qualsiasi evento imprevisto di sicurezza correlato a un servizio online.
Appendice A: misure di protezione
Procedura di risposta a un incidente
Per ogni evento imprevisto di sicurezza che rappresenta una violazione dei dati del cliente, la notifica da parte di Microsoft (come descritto nella sezione "Notifica degli eventi imprevisti di sicurezza") verrà effettuata senza ritardi indebiti e, in ogni caso, entro 72 ore.
Responsabilità del cliente
Per garantire che le notifiche vengano ricevute tempestivamente dai contatti corretti del cliente, quest'ultimo deve mantenere informazioni di contatto accurate nei profili del tenant.
I clienti devono assicurarsi che le informazioni di contatto siano aggiornate nel interfaccia di amministrazione di Microsoft 365.
Gli amministratori dei clienti devono configurare le opzioni per la modalità di visualizzazione dei messaggi sulla privacy dei dati nel Centro messaggi al fine di garantire che gli amministratori dei clienti pertinenti siano informati delle notifiche degli incidenti.
Se necessario, gli amministratori globali possono configurare più ruoli con accesso al contenuto del Centro messaggi per evitare di concedere diritti amministrativi non necessari a non amministratori che richiedono l'accesso alle notifiche degli eventi imprevisti.
I clienti condividono la responsabilità con Microsoft in merito alla segnalazione di incidenti di sicurezza. Nell'ambito dei servizi commerciali Microsoft (anziché i servizi consumer), Microsoft è il responsabile del trattamento dei dati, mentre il cliente è il titolare del trattamento dei dati. In caso di incidente di sicurezza in cui Microsoft funge da responsabile del trattamento dei dati, Microsoft invierà una notifica ai clienti interessati, che saranno quindi responsabili della notifica alle autorità di protezione dei dati, agli enti normativi e agli utenti interessati in base alle normative o alle leggi pertinenti. Inoltre, se un cliente viene a conoscenza di un evento imprevisto di sicurezza che interessa i propri account utente o qualsiasi servizio online Microsoft, il cliente deve notificare tempestivamente a Microsoft come descritto nel Componente aggiuntivo per la protezione dei dati di Prodotti e servizi Microsoft.