Notificação de violação e Serviços Profissionais e de Suporte da Microsoft no RGPD

O Suporte da Microsoft e os Serviços Profissionais levam a sério as suas obrigações concernentes ao Regulamento Geral sobre a Proteção de Dados (RGPD).

Os Serviços profissionais da Microsoft incluem um grupo diverso de arquitetos, engenheiros, consultores técnicos e profissionais de suporte dedicados ao cumprimento da missão da Microsoft de capacitar os clientes a produzirem mais e conquistarem mais. Nossa equipe de Serviços profissionais tem mais de 21.000 consultores, Orientadores Digitais, Suporte Premier, engenheiros e profissionais de vendas trabalhando em 191 países, com suporte a 46 idiomas diferentes, gerenciando milhões de compromissos por mês e participando de interações com clientes e parceiros por meio de ferramentas locais, por telefone, na Web, na comunidade e automatizadas. A organização oferece uma ampla experiência no portfólio da Microsoft, utilizando uma ampla rede de parceiros, comunidades técnicas, ferramentas, diagnósticos e canais que nos conectam com nossos clientes corporativos.

A equipe de resposta a incidentes de proteção de dados globais dos Serviços Profissionais da Microsoft se esforça para (a) utilizar operações e processos rigorosos para evitar a ocorrência de incidentes de proteção de dados, (b) gerenciá-los de forma profissional e eficiente ao ocorrerem e (c) aprender com esses incidentes de proteção de dados por meio de post-mortem regulares e melhorias de programa. Os processos e resultados da equipe de resposta a incidentes de proteção de dados dos Serviços Profissionais da Microsoft são analisados e certificados por várias auditorias de segurança e de conformidade (por exemplo, ISO/IEC 27001).

Visão geral de resposta a incidentes de proteção de dados

Os Serviços profissionais da Microsoft estão comprometidos com a proteção dos seus clientes e com a tomada de medidas consideráveis para impedir que os incidentes de proteção de dados ocorram, como um meio de manter a confiabilidade do cliente. Um incidente de proteção de dados na organização de Serviços profissionais é uma violação de segurança que leva à acidental ou criminosa destruição, perda, alteração, divulgação não autorizada de ou o acesso a dados pessoais, de suporte ou de consultoria, enquanto processados pela Microsoft. Para clientes comerciais que adquiriram o Suporte Premier, o Suporte Unificado ou os Serviços de Consultoria da Microsoft, consulte o idioma de resposta a incidentes de proteção de dados no Adendo de proteção de dados de Serviços profissionais localizado em https://aka.ms/professionalservicesdpa/.

Escopo e limites do processo de resposta a incidentes de proteção de dados

O nosso processo de notificação de violação de dados pessoais começa quando declaramos que ocorreu uma violação de dados pessoais.

Para que isso seja declarado, a equipe de resposta a incidentes de proteção de dados da Microsoft deve determinar que houve a ocorrência de um incidente de proteção de dados conforme definido anteriormente. A declaração é feita assim que todas as informações pertinentes estiverem disponíveis determinando que um incidente de proteção de dados ocorreu.

Devido à natureza dos Serviços Profissionais, alguns eventos que parecem incidentes de proteção de dados da Microsoft não o são, pois ocorreram por meio de ações do cliente ou em sistemas do cliente. A Microsoft não monitora ou responde a incidentes de proteção de dados na área de responsabilidade do cliente. No entanto, quando a Microsoft fica sabendo de um incidente de proteção de dados realizado pelo cliente, classificamos esse incidente como um incidente de proteção de dados realizado pelo cliente, que a equipe de resposta a incidentes de proteção de dados chama de 'evento', informamos ao cliente a nossa observação e, conforme solicitado, ajudamos o cliente na resposta, dentro da extensão necessária à sua interação com a Microsoft. Alguns exemplos de incidentes de proteção de dados realizados pelo cliente são o envio acidental das senhas do cliente e outros dados confidenciais à Microsoft, solicitações para excluir dados e quando são vítimas de fraudes.

Algumas ações estão completamente fora do escopo desse processo, incluindo perguntas gerais sobre nossas políticas ou normas de proteção de dados, solicitações de direitos do titular dos dados, solicitações de recusa, lista de desejos de produtos ou relatórios de bug não relacionados à proteção de dados, incidentes de proteção não relacionados aos dados do cliente e fraudes contra a Microsoft.

Tipos de incidentes de proteção de dados

A equipe de resposta a incidentes de proteção de dados identificou um conjunto de cenários que podem ocorrer nos Serviços Profissionais. Embora adiram à estrutura de resposta a incidentes de proteção de dados básica, os procedimentos foram desenvolvidos e personalizados para acelerar o processo de resposta. Por exemplo, um email enviado para o endereço errado pode precisar de pouca investigação. Por outro lado, identificar funcionários mal-intencionados pode exigir uma investigação forense completa devido à natureza das atividades do criminoso. Esse conjunto de cenários pode fornecer informações sobre o processo de resposta a incidentes de proteção de dados para Serviços Profissionais.

Processo de resposta a incidentes de proteção de dados

Quando os Serviços profissionais da Microsoft identificam um incidente de proteção de dados, ocorre um processo de triagem que (a) avalia o evento, (b) determina se ele está no escopo desse processo, (c) determina se ele foi mal-intencionado, (d) executa uma investigação preliminar e atribui um nível de gravidade e (e) alerta e coordena com os stakeholders adequados dentro da Microsoft. A equipe também começa a registrar detalhes para fins de rastreamento e atividades post-mortem.

Detecção

Os Serviços profissionais da Microsoft monitoram continuamente os incidentes de proteção de dados emergentes em todos os repositórios de dados que contêm dados pessoais, tanto online quanto offline. Usamos diferentes métodos para detectar incidentes de proteção de dados, incluindo alertas automáticos, relatórios de cliente, relatórios de parceiros externos, observação de anomalias e indicações de atividade mal-intencionada ou de hacker.

Os processos de detecção usados pelos Serviços profissionais da Microsoft são desenvolvidos para descobrir os incidentes de proteção de dados e acionar as investigações. Por exemplo:

  • As vulnerabilidades de segurança são relatadas ao sistema de relatórios de toda a Microsoft para serem verificadas ou relatadas diretamente à equipe de resposta a incidentes de proteção de dados dos Serviços profissionais.
  • Os clientes enviam relatórios pelo Portal do suporte ao cliente nos quais descrevem as atividades suspeitas.
  • Os funcionários dos Serviços profissionais enviam os escalonamentos. Os funcionários da Microsoft fazem treinamentos para identificar e escalonar problemas de segurança possíveis.
  • Para ferramentas e sistemas usados no processo de fornecimento dos Serviços profissionais, as equipes de operações usam alertas de sistema automáticos por monitoramento interno e estruturas de alerta. Esses alertas podem vir na forma de alarmes baseados em assinatura, como antimalware, detecção de invasão ou via algoritmos projetados para analisar a atividade esperada e alertar sobre anomalias.

Análises de resposta a incidentes de proteção de dados, teste do plano de resposta a incidentes de proteção de dados

Além do treinamento contínuo, todo ano os Serviços Profissionais executam análises em parceria com os departamentos internos apropriados para comunicar os procedimentos, funções e responsabilidades de escalonamento de incidentes de proteção de dados para todos os membros da equipe de estabilização. Esse treinamento prepara os principais participantes para incidentes de proteção de dados do mundo real, seja de natureza física, de segurança ou de privacidade. Esse treinamento inclui exercícios com os representantes da equipe de resposta a incidentes de proteção de dados, a equipe de segurança, as equipes legais e a equipe de comunicações.

Após os exercícios, documentamos o resultado e os métodos de reparação que decidimos usar.

Treinamento de resposta a incidentes de proteção de dados

Um componente essencial da resposta a incidentes de proteção de dados é o treinamento dos funcionários sobre a identificação e o relato de incidentes de proteção de dados. Os funcionários da organização dos Serviços profissionais precisam fazer treinamentos sobre os conceitos básicos de privacidade, o RGPD e as práticas recomendadas de como identificar e relatar incidentes de proteção de dados.

Está disponível um treinamento online regular e a conclusão é obrigatória para toda a equipe. O programa de treinamento aplica testes, pesquisas contínuas, reconhecimento e acompanhamento criados para garantir que o treinamento está sendo compreendido e mantido.

Processo

Quando a organização de Serviços profissionais da Microsoft identifica um incidente de proteção de dados, ela segue um plano de resposta padrão da indústria documentado, começando com a determinação de que os critérios de incidentes de proteção de dados foram atendidos. Sempre que ocorre um incidente de proteção de dados, normalmente ele é declarado imediatamente após a triagem mas, dependendo da complexidade, a declaração pode acontecer a qualquer momento quando estiver disponível um nível de informações necessárias, inclusive após o estágio de investigação. Por outro lado, a equipe tem como critério declarar um incidente de proteção de dados apenas com base em qualquer suspeita razoável de ocorrência. A equipe também pode alternar entre as várias etapas conforme o andamento da investigação.

A Microsoft também realiza um post-mortem interno para incidentes de proteção de dados. Como parte desse exercício, analisa-se a suficiência da resposta e dos procedimentos operacionais, e quaisquer atualizações que podem ser necessárias para o Procedimento Operacional Padrão de Resposta a Incidentes de Proteção de Dados ou processos relacionados são identificados e implementados. Post-mortem internos para violações de dados são registros altamente confidenciais não disponíveis para clientes. Os postmortems podem, no entanto, ser resumidos e incluídos nas notificações de eventos do cliente. Como parte de um ciclo de auditoria de rotina, os processos de post-mortem são revisados por auditores externos para garantir o acompanhamento.

Notificação

Quando os Serviços Profissionais da Microsoft declaram um incidente de proteção de dados no RGPD, direcionamos uma notificação para os nossos clientes em 72 horas.

Após a declaração de um incidente de proteção de dados, o processo de notificação ocorrerá da forma mais eficiente possível, levando em conta os riscos de segurança de um trabalho agilizado. Para garantir que a notificação possa ser entregue com êxito, é responsabilidade do cliente garantir que as informações de contato administrativas em cada conta, assinatura e portal de serviços online aplicáveis estejam corretas. Embora o objetivo seja fornecer aos clientes afetados um aviso preciso, acionável e oportuno, para atender ao compromisso de notificação dentro de 72 horas, a notificação inicial pode não incluir detalhes completos, pois todos os detalhes podem não estar disponíveis durante as etapas iniciais de um incidente de proteção de dados. Além disso, talvez a Microsoft precise reter alguns detalhes devido às circunstâncias do incidente de proteção de dados. Por exemplo, poderá ser necessário reter detalhes se o envio da notificação aumentar o risco de outros clientes ou prejudicar a capacidade da Microsoft ou do devido processo legal de capturar um criminoso.

Na qualidade de processador de dados, a Microsoft reconhece que os clientes são responsáveis por determinar se a notificação é apropriada e, nesse caso, notificar à Autoridade de Proteção de Dados (DPA) e aos próprios titulares dos dados do cliente sobre a violação de dados pessoais. Os Serviços Profissionais da Microsoft cumprirão a sua tarefa para fornecer aos clientes as informações necessárias para dar procedimento à notificação nesses casos.

Ao notificar os clientes sobre uma violação de dados pessoais, a Microsoft incluirá as informações a seguir, se aplicáveis e se as souber:

  • Natureza da violação
  • Medidas de atenuação que a Microsoft está tomando ou propondo
  • Produto, serviço, aplicativo envolvidos
  • Quanto tempo os dados pessoais foram expostos, se souber
  • Volume de registros de dados pessoais afetados/expostos, se conhecido
  • Detalhes de subprocessador/fornecedor, se houver um envolvido na violação

Saiba mais

Saiba mais sobre os Serviços Profissionais da Microsoft (https://aka.ms/pstrust).