GDPR 規定的 Office 365 資料外洩通知

  • 文章

身為資料處理者,Office 365可確保我們的客戶能夠以資料控制者身分符合 GDPR 的缺口通知需求。 為此,我們致力於下列動作:

  • 為客戶提供指定專用隱私權連絡人的能力,一旦出現違規行為,該連絡人將得到通知。 客戶可以使用訊息中心的隱私權讀取者角色設定指定此連絡人。
  • 在宣告個人資料外洩後 72 小時內通知客戶。 通知將發佈到 [訊息中心],該中心可透過 Microsoft 365 系統管理中心存取。 第二,電子郵件通知被傳送到指定的連絡人,表示新訊息中心文章已經發佈。
  • 初始通知至少會包含缺口本質的描述、使用者影響的近似值,以及在適用時 (風險降低步驟) 。 如果我們在初始通知時未完成調查,我們會在初始通知中指出後續通訊的後續步驟和時程表

Microsoft 認為資料控制者負責進行風險評估,並判斷缺口是否需要客戶 DPA 的通知,而我們向客戶的通知會提供進行該評估所需的資訊。 因此,Microsoft 會通知客戶任何個人資料外泄,但確認個人資料無法理解的情況除外 (例如,已確認金鑰完整性的加密資料) 。

Office 365 在資料安全性中的投資

我們除了致力於提供資料外洩的即時通知外,Office 365 在系統、處理程序及人員上也花費許多心思,為求降低個人資料外洩的可能性,以及在資料外洩發生時進行快速偵測,並降低其造成的傷害。

以下是我們在此領域的一些投資描述:

  • 存取控制系統] 。 Office 365維持「零起始存取權」原則,這表示工程師無法存取服務,除非明確授與服務以回應需要提高存取權的特定事件。 每當授與存取權時,都會根據最低許可權原則來完成:授與特定要求的許可權僅允許服務該要求所需的最少動作集。 若要這樣做,Office 365維持「提高許可權角色」之間的嚴格區隔,每個角色只允許採取特定預先定義的動作。 「存取客戶資料」角色不同于其他較常用來管理服務的角色,且在核准之前會最嚴格地加以檢查。 結合在一起,這些對存取控制的投資可大幅降低工程師Office 365不當存取客戶資料的可能性。

  • 安全性監視系統和自動化:Office 365維護健全的即時安全性監視系統。 除了其他問題之外,這些系統會針對嘗試非法存取客戶資料,或是嘗試從我們的服務中非法傳輸資料發出警示。 與先前提到的存取控制點相關,我們的安全性監視系統會維護所提出提高許可權要求的詳細記錄,以及針對指定提高許可權要求所採取的動作。 Office 365也會維護自動解決投資,這些投資會自動採取行動來降低威脅,以回應我們偵測到的問題,以及專用小組來回應無法自動解決的警示。 為了驗證我們的安全性監視系統,Office 365定期執行紅色小組練習,讓內部滲透測試小組模擬即時環境中的攻擊者行為。 這些練習可定期改善我們的安全性監視和回應功能。

  • 人員和程式:除了先前所述的自動化之外,Office 365維護負責教育更廣泛的組織隱私權和事件管理程式,以及在缺口期間執行這些程式的程式和小組。 例如,SOP) (詳細隱私權缺口標準操作程式會維護並與整個組織的小組共用。 此 SOP 詳細說明Office 365和集中式安全性事件回應小組內個別小組的角色和責任。 這些責任涵蓋小組需要執行哪些動作來改善自己的安全性狀態 (進行安全性檢閱、與中央安全性監視系統整合,以及其他最佳做法) ,以及如果實際缺口 (事件回應的快速呈報,則需要執行哪些動作、維護並提供將用來加速回應程式) 的特定資料來源。 小組也會定期訓練資料分類,以及個人資料的正確處理和儲存程式。

重點在於Office 365強烈投資來降低個人資料外泄影響客戶的可能性和後果。 如果確實發生個人資料外泄,我們承諾在確認外泄後快速通知客戶。

發生資料外洩時的預期行為

上述章節說明Office 365為了降低資料外泄可能性所採取的投資。 在發生缺口的不太可能情況下,客戶應該預期下列回應會有可預測的體驗:

  • Office 365內一致的事件回應生命週期。 如上所述,Office 365維護詳細的事件回應 SOP,描述小組應如何準備缺口,以及在發生缺口時應如何運作。 這可確保我們的保護和程式適用于整個服務。

  • 通知客戶的一致準則。 我們的通知準則著重于客戶資料的機密性、完整性和可用性。 如果客戶資料的機密性或完整性受到影響,Office 365會直接通知客戶。 也就是說,我們會在未經適當授權的情況下存取客戶的資料,或資料遭到不當解構或遺失時通知客戶。 Office 365也會回報影響資料可用性的問題,雖然此動作通常是透過服務健康狀態儀表板 (SHD) 來完成。

  • 一致的通知詳細資料。 當Office 365與資料外泄相關通訊時,客戶可以預期會傳達特定詳細資料:我們至少會提供下列詳細資料:

    • 發生資料外洩和發現資料外洩的時間
    • 受影響的大約使用者數目
    • 已外洩的使用者資料類型
    • 降低資料外洩影響的必要動作 (由控制者或處理者執行)

客戶也應該注意,Office 365身為資料處理者,將不會判斷資料外泄的風險。 每當偵測到個人資料外泄時,我們會通知客戶,並提供他們所需的詳細資料,以正確判斷受影響使用者的風險,以及決定是否需要進一步向監管機關報告。 為此,資料控制器應該會判斷下列事件的相關資訊:

  • 資料外洩嚴重性 (也就是風險判斷)
  • 是否需要通知終端使用者
  • 是否需要通知法規機構 (DPA)
  • 控制者為降低資料外洩產生的影響,而採取的特定動作

連絡 Microsoft

在某些情況下,客戶可能會察覺到缺口,並可能想要通知 Microsoft。 目前的通訊協定可供客戶通知Microsoft 支援服務,然後與工程小組介面以取得詳細資訊。 在此案例中,Microsoft 工程團隊同樣致力於透過其支援連絡人及時提供客戶所需的資訊。

建議客戶執行的動作

如先前所述,Microsoft 365 致力於在入侵宣告的 72 小時內通知客戶。 客戶的租使用者系統管理員將會收到通知。 此外,Microsoft 365 建議客戶將一或多個個人指定為訊息中心隱私權讀者,這可以在Microsoft 365 系統管理中心中完成。 發生個人資料外泄時,獲指派訊息中心隱私權讀取者角色的資源將能夠存取訊息中心,以查看相關的隱私權通知,而且根據其訊息中心喜好設定,可能會收到相關電子郵件。

如需詳細資訊,請參閱: