Microsoft 고객 지원 및 전문 서비스와 GDPR에 따른 위반 알림

Microsoft Professional Services에는 고객이 더 많은 작업을 수행하고 더 많은 성과를 달성할 수 있도록 하는 Microsoft 사명을 제공하는 데 전념하는 다양한 기술 설계자, 엔지니어, 컨설턴트 및 지원 전문가 그룹이 포함되어 있습니다. 전문 서비스 팀에는 191개국에서 근무하는 21,000명 이상의 총 컨설턴트, 디지털 어드바이저, 통합 지원, 엔지니어 및 영업 전문가가 포함되어 있으며, 46개 언어를 지원하고 매월 수백만 개의 계약을 관리합니다. 팀은 온-프레미스, 전화, 웹, 커뮤니티 및 자동화된 도구를 통해 고객 및 파트너 상호 작용에 참여합니다. 이 organization Microsoft 포트폴리오 전반에 걸쳐 광범위한 전문 지식을 제공하며, 파트너, 기술 커뮤니티, 도구, 진단 및 엔터프라이즈 고객과 연결하는 채널의 광범위한 네트워크를 활용합니다.

Microsoft Professional Services의 글로벌 데이터 보호 인시던트 대응 팀의 드라이브는 (a) 엄격한 작업 및 프로세스를 사용하여 데이터 보호 인시던트가 발생하지 않도록 방지하고, (b) 발생 시 전문적이고 효율적으로 관리하고, (c) 정기적인 사후 평가 및 프로그램 개선을 통해 이러한 데이터 보호 인시던트에서 학습하는 것입니다. Microsoft의 Professional Services 데이터 보호 인시던트 대응 팀의 프로세스 및 결과는 여러 보안 및 규정 준수 감사(예: ISO/IEC 27001)에 의해 검토되고 검증됩니다.

데이터 보호 인시던트 대응 개요

Microsoft Professional Services는 고객을 보호하기 위해 최선을 다하고 있으며 고객 신뢰를 유지하기 위한 수단으로 데이터 보호 인시던트가 발생하지 않도록 상당한 조치를 취합니다. 전문 서비스 organization 데이터 보호 사고는 Microsoft에서 처리하는 동안 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 개인 데이터 또는 전문 서비스 데이터에 대한 액세스로 이어지는 보안 위반입니다. 통합 지원 또는 산업 솔루션을 구매한 상용 고객의 경우 Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에서 데이터 보호 인시던트 대응 언어를 참조해야 합니다.

데이터 보호 인시던트 대응 프로세스의 범위 및 제한 사항

[개인 데이터 침해]가 발생했음을 선언한 시점부터 Microsoft의 개인 데이터 침해 알림 프로세스가 시작됩니다.

선언하려면 Microsoft 데이터 보호 인시던트 대응 팀이 이전에 정의된 데이터 보호 인시던트가 발생했음을 확인해야 합니다. 선언은 데이터 보호 인시던트가 발생했음을 확인하기 위해 모든 관련 정보를 사용할 수 있는 즉시 발생합니다.

전문 서비스의 특성으로 인해 Microsoft 데이터 보호 인시던트처럼 보이는 일부 이벤트는 고객의 작업이나 고객 시스템에서 발생했기 때문에 반드시 분류되지는 않습니다. Microsoft Professional Services는 고객의 책임 영역 내에서 데이터 보호 인시던트에 대해 모니터링하거나 대응하지 않습니다. 그러나 Microsoft에서 고객 기반 데이터 보호 인시던트를 알게 되면 이 인시던트를 고객 기반 데이터 보호 인시던트로 분류합니다. 이 인시던트를 데이터 보호 인시던트 대응 팀이 '이벤트'라고 부르며, 고객에게 관찰을 알리고, 요청된 대로 Microsoft와의 상호 작용에 필요한 범위까지 대응 노력을 지원합니다. 고객 기반 데이터 보호 인시던트의 몇 가지 예로는 실수로 Microsoft에 고객의 암호 및 기타 중요한 데이터를 보내고, 데이터 삭제 요청을 보내고, 사기의 희생자가 되는 것이 있습니다.

일부 행위는 이 프로세스의 범위를 완전히 벗어나, 데이터 보호 정책이나 표준, 데이터 주체 권한 요청, 옵트아웃 요청, 데이터 보호와 관련이 없는 제품 위시리스트 또는 버그 보고서, 고객 데이터와 관련이 없는 데이터 보호 인시던트, Microsoft에 대한 사기 행위를 포함합니다.

데이터 보호 인시던트 유형

데이터 보호 인시던트 대응 팀은 전문 서비스에서 발생할 수 있는 일련의 시나리오를 식별했습니다. 기본 데이터 보호 인시던트 대응 프레임워크를 준수하는 동안 응답 프로세스를 신속하게 처리하기 위해 프로시저가 개발되고 사용자 지정되었습니다. instance 경우 잘못 전달된 전자 메일에는 조사가 거의 필요하지 않을 수 있습니다. 한편, 악의적인 인력을 식별하려면 가해자 활동의 은밀한 특성으로 인해 완전한 포렌식 조사가 필요할 수 있습니다. 이 시나리오 집합은 전문 서비스에 대한 데이터 보호 인시던트 대응 프로세스에 대한 인사이트를 제공할 수 있습니다.

데이터 보호 인시던트 대응 프로세스

Microsoft Professional Services에서 데이터 보호 인시던트를 식별하면 Microsoft(a)가 이벤트를 평가하고(b) 이 프로세스에 대해 scope 있는지 여부를 결정하는 심사 프로세스가 발생합니다. (c)는 악의적인지 여부를 확인하고(d) 예비 조사를 수행하고 심각도 수준을 할당하며 (e) Microsoft 내의 적절한 이해 관계자와 경고 및 조정합니다. 팀은 또한 추적 목적과 사후 연습을 위해 세부 정보를 기록하기 시작합니다.

감지

Microsoft Professional Services는 온라인 및 오프라인 모두에서 개인 데이터를 포함하는 모든 데이터 저장소에서 새로운 데이터 보호 인시던트에 대한 에코시스템을 지속적으로 모니터링합니다. Microsoft는 자동화된 경고, 고객 보고서, 외부 당사자의 보고서, 변칙 관찰, 악의적 또는 해커 활동 표시 등 다양한 방법으로 데이터 보호 인시던트 검색을 수행합니다.

Microsoft Professional Services에서 사용하는 검색 프로세스는 데이터 보호 인시던트 검색 및 조사 트리거를 위해 설계되었습니다. 예시:

• 조회가 가능하도록 Microsoft 전체 보고 시스템으로 보안 취약성이 보고되거나, 전문 서비스 데이터 보호 인시던트 대응 팀으로 직접 보호됩니다.
• 고객은 고객 지원 포털을 통해 의심스러운 활동을 설명하는 보고서를 제출합니다.
• 전문 서비스 담당자가 에스컬레이션을 제출합니다. Microsoft 직원은 잠재적인 보안 문제를 식별하고 에스컬레이션하도록 교육을 받았습니다.
• 전문 서비스를 제공하는 과정에서 사용되는 도구 및 시스템의 경우 운영 팀은 내부 모니터링 및 경고 프레임워크를 통해 자동화된 시스템 경고를 사용합니다. 이러한 경고는 맬웨어 방지, 침입 감지와 같은 서명 기반 경보나 비정상 상황 발생 시 예상되는 작업 및 경고를 프로파일링하도록 설계된 알고리즘을 통해 제공됩니다.

데이터 보호 인시던트 대응 드릴, 데이터 보호 인시던트 대응 계획 테스트

진행 중인 교육 외에도 매년 Professional Services는 적절한 내부 부서와 협력하여 훈련을 실행하여 데이터 보호 인시던트 에스컬레이션 절차, 역할 및 책임을 모든 안정화 팀 구성원에게 전달합니다. 이 교육은 보안, 물리적 또는 개인 정보 보호 기반의 실제 데이터 보호 인시던트에 대한 주요 이해 관계자를 준비합니다. 이 교육에는 데이터 보호 인시던트 대응 팀, 보안 팀, 법률 팀 및 커뮤니케이션 팀의 담당자와 함께 하는 연습이 포함됩니다.

실무 연습을 진행한 후에는 결과 및 사용하기로 결정한 수정 방안을 문서화합니다.

데이터 보호 인시던트 대응 교육

데이터 보호 인시던트 대응의 핵심 구성 요소는 데이터 보호 인시던트를 식별하고 보고하는 직원 교육입니다. 전문 서비스 organization 직원은 개인 정보 보호 기본 사항, GDPR 규정 및 데이터 보호 인시던트 식별 및 보고 방법에 대한 기타 모범 사례를 다루는 교육을 받아야 합니다.

정기적인 온라인 교육을 사용할 수 있으며 모든 직원에게는 완료가 필수입니다. 교육 프로그램은 교육이 이해되고 유지되도록 설계된 테스트, 지속적인 설문 조사, 인식 및 후속 작업을 사용합니다.

프로세스

Microsoft Professional Services organization 데이터 보호 인시던트가 식별되면 데이터 보호 인시던트 기준이 충족된다는 결정부터 시작하여 문서화된 업계 표준 대응 계획을 따릅니다. 데이터 보호 인시던트가 발생하는 경우 일반적으로 심사 직후에 선언되지만 복잡성에 따라 조사 단계 이후를 포함하여 필요한 정보 수준을 사용할 수 있는 시점에 선언이 발생할 수 있습니다. 반면, 팀은 합리적인 발생 의혹에 따라 데이터 보호 인시던트만 선언할 재량권을 가합니다. 또한 팀은 조사가 진행됨에 따라 다양한 단계를 번갈아 가며 진행할 수 있습니다.

심각도 수준에 따라 Microsoft는 데이터 보호 인시던트에 대한 내부 사후 평가를 완료할 수도 있습니다. 이 연습의 일부로 응답 및 운영 절차의 충분성이 평가되고 데이터 보호 인시던트 대응 표준 운영 절차 또는 관련 프로세스에 필요할 수 있는 모든 업데이트가 식별되고 구현됩니다. 데이터 유출에 대한 내부 사후 평가는 고객이 이용할 수 없는 극비 기록입니다. 그러나 사후 시스템은 요약되어 고객 이벤트 알림에 포함될 수 있습니다. 일상적인 감사 주기의 일환으로 사후 평가 프로세스는 외부 감사자가 검토하여 후속 조치가 수행되도록 합니다.

알림

Microsoft 전문 서비스가 GDPR에 따라 데이터 보호 인시던트를 선언할 때 72시간 이내에 고객에게 통지하는 것을 목표로 합니다.

데이터 보호 인시던트가 선언된 후 알림 프로세스는 신속하게 이동하는 보안 위험을 고려하면서 최대한 신속하게 수행됩니다. 알림이 성공적으로 전달되도록 하려면 해당하는 각 계정, 구독 및 온라인 서비스 포털의 관리 연락처 정보가 올바른지 확인하는 것은 고객의 책임입니다. 목표는 영향을 받은 고객에게 정확하고 실행 가능하며 시기 적절한 알림을 제공하는 것이지만, 72시간 알림 약정을 달성하기 위해서는 데이터 보호 인시던트의 초기 단계에서 모든 세부 정보를 사용할 수 없으므로 초기 알림에 전체 세부 정보가 포함되지 않을 수 있습니다. 또한 Microsoft는 데이터 보호 인시던트 상황으로 인해 일부 세부 정보를 보류해야 할 수 있습니다. instance 경우 알림을 제공하는 행위가 다른 고객에게 위험을 증가하거나 악의적인 행위자를 포착하는 Microsoft 또는 법 집행기관의 기능을 방해하는 경우 세부 정보를 보류해야 할 수 있습니다.

데이터 프로세서로서의 용량에서 Microsoft는 고객이 알림이 적절한지 여부를 결정할 책임이 있음을 인식하고, 그렇다면 관할 DPA(데이터 보호 기관) 및 개인 데이터 위반에 대한 고객의 자체 데이터 주체에게 알립니다. Microsoft Professional Services는 이러한 상황에서 알림을 진행하는 데 필요한 정보를 고객에게 제공하기 위해 노력할 것입니다.

개인 데이터 침해를 알리는 공지를 고객에게 제공할 경우 Microsoft는 다음 정보를 포함합니다(해당되거나 알려진 경우).

• 침해의 특성
• Microsoft가 이행하거나 제안하는 완화 조치
• 관련 제품, 서비스, 응용 프로그램
• 개인 데이터가 노출된 기간(알려진 경우)
• 영향을 받았거나 노출된 개인 데이터 레코드의 양(알려진 경우)
• 하위 프로세서/공급업체 세부 정보(침해에 관련된 경우)

자세한 정보

Microsoft 전문 서비스(https://aka.ms/pstrust)에 대해 자세히 알아봅니다.