了解客户通知过程
下图演示了发生确认的安全事件后的客户通知过程。
事件响应和客户通知过程如下:事件启动、检测到事件、待命工程师参与、安全响应团队参与、安全事件确认、客户影响确定、受影响的客户确定,最后,受影响的客户通知。
Microsoft 职责
如果在调查安全或隐私事件时,安全响应团队发现客户数据受到意外或非法破坏、丢失或更改、未经授权的披露或未经授权的访问,则事件被声明为客户数据泄露,并启动客户事件通知流程。 Microsoft 根据众多法规框架准则,在 72 小时内识别并通知所有受影响的租户。
通知日程表承诺从正式安全事件声明发生时开始。 在声明发生安全事件后,通知流程将尽快进行,不要出现不当的延迟。
安全事件的客户通知是根据事件的性质和范围,通过适当的渠道进行的。 这些渠道可能包含以下一个或多个通知:
- Microsoft 365 管理中心的消息中心中的通知
- 向客户的租户管理员发送电子邮件
- 如果租户管理员已在Microsoft Entra 管理员中心) 定义,Email客户指定的全局隐私联系人 (
- 由经过专门培训的支持团队成员通过电话直接与客户的租户管理员取得联系
Microsoft 产品和服务数据保护附录的两个部分详细介绍了 Microsoft 的客户通知承诺。
安全事件通知
(安全事件) 通知将通过 Microsoft 选择的任何方式(包括通过电子邮件)发送给一个或多个客户管理员。 客户有责任确保客户管理员在每个适用的联机服务门户上保持准确的联系信息。 客户独自负责遵守适用于客户的事件通知法律规定的义务,并履行与任何安全事件相关的任何第三方通知义务。
Microsoft 应做出合理努力,协助客户履行 GDPR 第 33 条或其他适用法律或法规规定的客户义务,将此类安全事件通知相关监管机构和数据主体。
Microsoft 根据本节对安全事件的通知或响应并不表示 Microsoft 承认与安全事件有关的任何错误或责任。
客户必须及时通知 Microsoft 有关其帐户或身份验证凭据的任何可能滥用或与联机服务相关的任何安全事件。
附录 A - 安全措施
事件响应流程
对于每个属于客户数据泄露的安全事件,Microsoft (将发出通知,如“安全事件通知”部分中所述,) 将在 72 小时内毫不拖延地发出通知。
客户责任
为确保正确的客户联系人及时收到通知,客户必须在其租户配置文件中确保准确的联系信息。
客户应确保其联系信息在Microsoft 365 管理中心中是最新的。
客户管理员应配置消息中心如何显示数据隐私消息的选项,以确保相关客户管理员了解事件通知。
如有必要,全局管理员可以配置更多有权访问消息中心内容的角色,以避免向需要访问事件通知的非管理员授予不必要的管理权限。
客户与 Microsoft 共同负责报告安全事件。 在 Microsoft 商业服务(与消费者服务截然相反)的背景下,Microsoft 是数据处理者,而客户是数据控制者。 如果发生了 Microsoft 作为数据处理者的安全事件,Microsoft 将通知受影响的客户,然后由客户负责通知其数据保护机构、监管机构以及任何相关法规或法律所要求的受影响用户。 此外,如果客户意识到涉及其自己的用户帐户或任何 Microsoft 在线服务的安全事件,客户必须立即通知 Microsoft,如 Microsoft 产品和服务数据保护附录中所述。