Microsoft 고객 지원 및 전문 서비스와 GDPR에 따른 위반 알림

Microsoft 고객 지원 및 전문 서비스는 GDPR(일반 데이터 보호 규정)에 따라 의무를 다합니다.

Microsoft 전문 서비스에는 고객이 더 많은 작업을 수행하고 더 많은 성과를 거두도록 지원하려는 Microsoft 임무를 전담하는 다양한 기술 설계자, 엔지니어, 컨설턴트 및 지원 전문가 그룹이 포함되어 있습니다. Microsoft 전문 서비스 팀에는 총 21,000명 이상의 컨설턴트, 디지털 관리자, 프리미어 지원, 엔지니어 및 영업 전문가가 191개국에서 46개의 다른 언어로 온-프레미스, 전화, 웹, 커뮤니티 및 자동 도구를 통해 매월 수백만 개의 계약을 관리하고, 고객 및 파트너 상호 작용에 참여하고 있습니다. 조직은 Microsoft 포트폴리오 전체에서 광범위한 전문 지식을 제공하며 Microsoft를 엔터프라이즈 고객과 연결하는 확장된 파트너, 기술 커뮤니티, 도구, 진단 및 채널 네트워크를 활용합니다.

Microsoft 전문 서비스 전역 데이터 보호 인시던트 대응 팀은 (a) 엄격한 운영 및 프로세스를 통해 데이터 보호 인시던트가 발생하지 않도록 하고, (b) 이러한 인시던트가 발생할 때 전문적이면서 효율적으로 관리하고, (c) 정기적인 사후 평가 및 프로그램 개선을 통해 이러한 데이터 보호 인시던트에서 학습하기 위해 노력합니다. Microsoft의 전문 서비스 데이터 보호 인시던트 대응 팀의 프로세스 및 결과는 여러 보안 및 준수 감사(예: ISO/IEC 27001)를 통해 검토되고 입증됩니다.

데이터 보호 인시던트 대응 개요

Microsoft 전문 서비스는 고객을 보호하기 위해 노력하며, 고객의 신뢰를 유지하는 수단으로서, 데이터 보호 인시던트가 발생하지 않도록 하기 위해 최선을 다합니다. 전문 서비스 조직에서 데이터 보호 인시던트가 발생하면 는 보안을 침해하게 되머 Microsoft에서 개인 데이터나 지원 또는 컨설팅 데이터를 처리하는 동안 이러한 데이터의 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스를 야기합니다. 프리미어 지원, 통합 지원 또는 Microsoft 컨설팅 서비스를 구입한 기업 고객은 https://aka.ms/professionalservicesdpa/에 제공되는 전문 서비스 데이터 보호 부록에서 해당 데이터 보호 인시던트 대응 내용을 참조하세요.

데이터 보호 인시던트 대응 프로세스의 범위 및 제한 사항

[개인 데이터 침해]가 발생했음을 선언한 시점부터 Microsoft의 개인 데이터 침해 알림 프로세스가 시작됩니다.

선언이 진행되려면 Microsoft 데이터 보호 인시던트 대응 팀에서 이전에 정의된 데이터 보호 인시던트가 발생했다는 사실을 확인해야 합니다. 선언은 데이터 보호 인스턴트가 발생했음을 확인하기 위한 모든 관련 정보를 사용할 수 있게 되면 바로 진행됩니다.

전문 서비스의 특성상, 일부 이벤트가 Microsoft 데이터 보호 인시던트처럼 보이는 경우가 고객의 행동을 통해 발생했거나 고객 시스템에서 발생했기 때문은 아닙니다. Microsoft는 고객의 책임 영역 내에서 데이터 보호 인시던트를 모니터링하거나 대응하지 않습니다. 그렇지만 Microsoft에서는 고객 중심 데이터 보호 인시던트를 인식하게 되면, 이를 고객 중심 데이터 보호 인시던트로 분류하게 되므로, 데이터 보호 인시던트 대응 팀에서 ‘이벤트’를 호출하고, 고객에게 확인된 사실을 알리고, 요청이 있을 경우 Microsoft와의 상호 작용에 따라 요청된 범위까지 고객이 대응 노력을 기울이도록 지원할 것입니다. 고객 중심 데이터 보호 인시던트의 몇 가지 예로 고객의 암호 및 기타 중요한 정보를 부주의하게 Microsoft로 전송하는 경우, 데이터 삭제 요청 및 사기 피해 사례 등을 들 수 있습니다.

일부 행위는 이 프로세스의 범위를 완전히 벗어나, 데이터 보호 정책이나 표준, 데이터 주체 권한 요청, 옵트아웃 요청, 데이터 보호와 관련이 없는 제품 위시리스트 또는 버그 보고서, 고객 데이터와 관련이 없는 데이터 보호 인시던트, Microsoft에 대한 사기 행위를 포함합니다.

데이터 보호 인시던트 유형

데이터 보호 인시던트 대응 팀은 전문 서비스에서 발생할 수 있는 시나리오 모음을 식별하고 있습니다. 기본 데이터 보호 인시던트 대응 프레임워크를 따르면서, 대응 프로세스를 신속하게 처리하도록 절차를 개발하고 사용자 지정하고 있습니다. 예를 들어, 잘못 전달될 전자 메일은 별다른 조사가 필요하지 않지만, 악의적인 직원을 식별하려면 범죄자가 은밀히 행동하는 성향이 있으므로 완전한 법정 조시가 필요할 수 있습니다. 이러한 시나리오 모음은 전문 서비스를 위한 데이터 보호 인시던트 대응 프로세스에 인사이트를 제공할 수 있습니다.

데이터 보호 인시던트 대응 프로세스

Microsoft 전문 서비스가 데이터 보호 인시던트를 식별하면, (a) 이벤트를 평가하고, (b) 이 프로세스에 대한 범위 내에 있는지 여부를 확인하고, (c) 악의적인지 여부를 확인하고, (d) 사전 조사를 수행하고 심각도 수준을 할당하고, (e) 경고하고 Microsoft 내의 해당 이해관계자와 협의하여 조정하는 심사 프로세스가 진행됩니다. 또한 팀은 목적 및 사후 평가 연습을 추적하기 위해 세부 사항을 기록하기 시작합니다.

감지

Microsoft 전문 서비스는 온라인 및 오프라인으로 개인 데이터를 포함하는 모든 데이터 저장소에서 새롭게 대두되는 데이터 보호 인시던트를 지속적으로 모니터링합니다. Microsoft는 자동 경고, 고객 보고서, 외부 기관의 보고서, 비정상 상황 관찰 및 악성/해커 활동 지표 등을 포함하는 다양한 방법을 사용하여 데이터 보호 인시던트를 감지합니다.

Microsoft 전문 서비스에서 사용하는 감지 프로세스는 데이터 보호 인시던트를 검색하고 조사를 트리거하도록 디자인되었습니다. 예를 들면 다음과 같습니다.

  • 조회가 가능하도록 Microsoft 전체 보고 시스템으로 보안 취약성이 보고되거나, 전문 서비스 데이터 보호 인시던트 대응 팀으로 직접 보호됩니다.
  • 고객은 고객 지원 포털을 통해 의심스러운 활동을 설명하는 보고서를 제출합니다.
  • 전문 서비스 직원은 에스컬레이션을 제출합니다. Microsoft 직원들은 잠재적인 보안 문제를 식별하고 에스컬레이션하도록 교육을 받습니다.
  • 전문 서비스 제공 프로세스에서 사용되는 도구 및 시스템을 위해, 운영 팀은 내부 모니터링 및 경고 프레임워크를 통한 자동화된 시스템 경고를 사용합니다. 이러한 경고는 맬웨어 방지, 침입 감지와 같은 서명 기반 경보나 비정상 상황 발생 시 예상되는 작업 및 경고를 프로파일링하도록 설계된 알고리즘을 통해 제공됩니다.

데이터 보호 인시던트 대응 드릴, 데이터 보호 인시던트 대응 계획 테스트

지속적인 훈련 외에도, 매년 전문 서비스 팀은 해당 내부 부서와 협의하여 반복 교육을 실시함으로써 데이터 보호 인시던트 에스컬레이션 절차, 역할 및 책임을 모든 안정화 팀 구성원에게 전달합니다. 이러한 교육을 통해 핵심 이해관계자들은 보안, 물리적 또는 개인 정보 보호와 관련된 실제 데이터 보호 인시던트에 대처할 수 있습니다. 이 교육에는 데이터 보호 인시던트 대응 팀, 보안 팀, 법률 팀 및 커뮤니케이션 팀 대표와의 실무 연습이 포함됩니다.

실무 연습을 진행한 후에는 결과 및 사용하기로 결정한 수정 방안을 문서화합니다.

데이터 보호 인시던트 대응 교육

데이터 보호 인시던트 대응의 핵심 구성 요소는 데이터 보호 인시던트를 식별하고 보고하기 위한 직원 교육입니다. 전문 서비스 조직의 직원은 개인 정보 보호 기본 사항, GDPR 규정 및 데이터 보호 인시던트를 식별하고 보고하는 방법에 대한 모범 사례를 포괄하는 교육을 받아야 합니다.

정기적인 온라인 교육을 사용할 수 있으며 모든 직원이 교육을 완료해야 합니다. 교육 프로그램은 교육이 이해되고 유지될 수 있도록 디자인된 테스트, 지속적인 설문 조사, 인식, 후속 작업을 제공합니다.

프로세스

Microsoft 전문 서비스 조직은 데이터 보호 인시던트를 식별할 경우 문서화된 업계 표준 대응 계획을 따르며, 맨 먼저 데이터 보호 인시던트 조건이 충족되는지 확인합니다. 데이터 보호 인시던트가 발생하면 일반적으로 심사 직후에 선언되지만, 복잡성에 따라, 조사 단계 이후를 포함하여 필요한 정보 수준을 사용할 수 있게 될 경우 언제든지 선언이 진행될 수 있습니다. 그렇지만 팀은 적절한 의심이 발생한 경우에만 재량에 따라 데이터 보호 인시던트를 선언합니다. 또한 팀은 조시가 진행되면서 여러 단계를 교대로 진행할 수도 있습니다.

심각도 수준에 따라 Microsoft는 데이터 보호 인시던트에 대한 내부 사후 평가를 완료할 수도 있습니다. 이 과정의 일부로, 대응 및 운영 절차가 충분한지 평가되고, 데이터 보호 인시던트 대응 표준 운영 절차 또는 관련 프로세스에 필요할 수 있는 모든 업데이트가 파악되고 구현됩니다. 데이터 침해에 대한 내부 사후 평가는 고객이 사용할 수 없는 중대한 기밀 기록입니다. 그렇지만 사후 평가를 요약하여 고객 이벤트 알림에 포함할 수 있습니다. 그렇지만 사후 평가를 요약해서 고객 이벤트 알림에 포함할 수 있습니다. 정기적인 감사 주기의 일부로 외부 감사자가 사후 평가를 검토하여 후속 조치가 수행되도록 합니다.

알림

Microsoft 전문 서비스가 GDPR에 따라 데이터 보호 인시던트를 선언할 때 72시간 이내에 고객에게 통지하는 것을 목표로 합니다.

데이터 보호 인시던트의 선언 후에는, 보안 위험이 빠르게 전환될 수 있다는 사실을 인식하면서 가능한 한, 신속하게 알림 프로세스가 진행됩니다. 알림이 성공적으로 전달될 수 있으려면 고객은 해당되는 각 계정, 구독 및 온라인 서비스 포털에 대한 관리 담당자 정보가 올바르게 유지되도록 해야 합니다. 영향을 받는 고객에게 정확하고 실행 가능하고 시기 적절한 공지를 제공하는 것이 목적이지만, 72시간 알림 약정을 준수하려면, 초기 알림에 완전한 세부 정보가 포함되지 못할 수 있습니다. 초기 데이터 보호 인시던트 단계 동안에는 모든 세부 정보를 입수하지 못했을 수 있기 때문입니다. 또한 Microsoft는 데이터 보호 문제의 상황 때문에 일부 세부 정보를 자신이 보유해야 할 수 있습니다. 예를 들어, 알림을 제공하는 행위가 다른 고객에 대한 위험을 높이거나, Microsoft 또는 법 집행 기관에서 악성 범죄자를 잡지 못하도록 방해하는 경우 세부 사항을 제공하지 않아야 할 수 있습니다.

Microsoft는 데이터 처리자로서, 고객이 알림이 적절한지 여부를 결정하고, 알림이 적절한 경우 역량 있는 DPA(데이터 보호 기관) 및 고객의 자체 데이터 주체에게 개인 데이터 침해 사실을 알릴 책임이 있다는 사실을 인식합니다. Microsoft 전문 서비스는 이러한 상황에서 알림을 진행하는 데 필요한 정보를 고객에게 제공하기 위해 노력할 것입니다.

개인 데이터 침해를 알리는 공지를 고객에게 제공할 경우 Microsoft는 다음 정보를 포함합니다(해당되거나 알려진 경우).

  • 침해의 특성
  • Microsoft가 이행하거나 제안하는 완화 조치
  • 관련 제품, 서비스, 응용 프로그램
  • 개인 데이터가 노출된 기간(알려진 경우)
  • 영향을 받았거나 노출된 개인 데이터 레코드의 양(알려진 경우)
  • 하위 프로세서/공급업체 세부 정보(침해에 관련된 경우)

자세한 정보

Microsoft 전문 서비스(https://aka.ms/pstrust)에 대해 자세히 알아봅니다.