GDPR 規定的 Microsoft 支援服務與專業服務以及外洩通知

Microsoft 支援服務與專業服務很認真看待其在一般資料保護規定 (GDPR) 下所需承擔的責任。Microsoft 支援服務與專業服務很認真看待其在一般資料保護規定 (GDPR) 下所需承擔的責任。

Microsoft 專業服務包括一組多元化的技術結構設計師、工程師、顧問師,以及致力於達成 Microsoft 任務的支援專業人員,以期讓客戶更有能力與成就。我們的專業服務小組總計包括超過 21,000 名顧問師、數位顧問、頂級支援、工程師和專業銷售人員,這些專業人員在全球 191 個國家/地區工作,可支援 46 種不同的語言,每個月管理數百萬件約定,以及透過內部部署、電話、網路、社群和自動化工具參與客戶與合作夥伴互動。該組織具備廣泛的 Microsoft 產品組合專業知識,並運用廣闊的合作夥伴、技術社群、工具、診斷及通道網路來連結我們與企業客戶。

Microsoft 專業服務的全球資料保護事件回應小組的魄力在於 (a) 運用嚴密的作業和程序來預防發生資料保護事件,(b) 在事件發生時以專業且有效率的方式進行管理,以及 (c) 透過定期事後剖析和方案改進,從這些資料保護事件中取得教訓。Microsoft 的專業服務資料保護事件回應小組的程序和結果已經由多項安全性與合規性稽核 (如 ISO/IEC 27001) 進行審查和證實。

資料保護事件回應概觀

Microsoft 專業服務致力於保護其客戶並採取相當多的措施來預防發生資料保護事件,藉以維持客戶的信任感。專業服務組織中的資料保護事件是一個安全性缺口,會導致意外或非法損毀、遺失、變更、未經授權揭露或存取個人資料,或由 Microsoft 處理的支援或諮詢資料。對於已購買頂級支援、整合支援或 Microsoft 諮詢服務的商業客戶,您必須參照專業服務資料保護增補合約 (位於 https://aka.ms/professionalservicesdpa/) 中您的資料保護事件回應語言。

資料保護事件回應程序的範圍與限制

當我們宣告發生 [個人資料外洩] 時,我們的個人資料外洩通知程序就會開始。

為了進行宣告,Microsoft 資料保護事件回應小組必須判斷上述定義的資料保護事件已發生。一旦取得用於判斷是否已發生資料保護事件的所有相關資訊,就會發生宣告。

由於專業服務的性質,某些事件因為是透過客戶的動作發生或在客戶的系統上發生而看似 Microsoft 資料保護事件,實則不是。Microsoft 不會監視或回應客戶責任範圍內的資料保護事件。不過,當 Microsoft 留意到客戶驅動的資料保護事件時,我們會將此事件歸類為客戶驅動的資料保護事件,而資料保護事件回應小組會呼叫一個「事件」,讓客戶得知我們的觀察,以及應要求盡力協助他們應變並與 Microsoft 進行互動。客戶驅動的資料保護事件範例包括不慎將客戶的密碼和其他敏感性資料傳送給 Microsoft、刪除資料要求,以及成為詐騙的受害者。

有些動作完全超出此程序的範圍,包括我們的資料保護原則或標準的一般相關問題、資料當事人權利要求、退出要求、與資料保護無關的產品願望清單或錯誤報告、未涉及客戶資料的資料保護事件,以及針對 Microsoft 的詐騙。

資料保護事件的類型

資料保護事件回應小組已找出一組可能會在專業服務中出現的案例。在遵循基本資料保護事件回應架構的同時,還開發及自訂了一些程序來加速回應程序。舉例來說,誤傳的電子郵件可能需要稍微調查一下。另一方面,識別惡意人員時,可能需要完整的鑑定調查,這是因為違規者的活動通常鬼鬼祟祟。這組案例可為專業服務提供資料保護事件回應程序的見解。

資料保護事件回應程序

當 Microsoft 專業服務找出資料保護事件時,就會進行分級程序,該程序會 (a) 評估活動,(b) 判斷事件是否在此程序的範圍內,(c) 判斷是否為惡意事件,(d) 執行初步調查並指派嚴重性等級,以及 (e) 對 Microsoft 內的相關利害關係人提出警示並進行協調。該小組也會開始記錄詳細資料,以便用於追蹤及事後剖析演練。

偵測

Microsoft 專業服務會持續監視所有資料存放區 (包含個人資料 - 線上和離線) 浮現的資料保護事件。我們會使用不同的方法來偵測資料保護事件,包括自動化警示、客戶報告、外部當事人的報告、異常觀察,以及惡意或駭客活動的指示。

Microsoft 專業服務所用的偵測程序主要用來探索資料保護事件及觸發調查作業。例如:

  • 資訊安全漏洞會回報到整個 Microsoft 的報告系統,以便轉介或直接向專業服務資料保護事件回應小組回報。
  • 客戶可透過客戶支援入口網站提交報告,以描述可疑的活動。
  • 專業服務人員會提交呈報。Microsoft 員工都受過訓練,可找出潛在的安全性問題並向上呈報。
  • 對於在提供專業人員服務的程序中所使用的工具和系統,作業小組會透過內部監視和警示架構使用自動化系統警示。這些警示是以 特徵型警訊 (例如反惡意程式碼、入侵偵測) 的方式提供,或透過設計用來分析預期活動以及在異常時提出警示的演算法提供。

資料保護事件回應演練、資料保護事件回應計劃測試

除了持續訓練,專業服務每年還會執行與相關內部部門合作的演練,以將資料保護事件呈報程序、角色及責任傳達給所有安定小組成員。此訓練可讓重要利害關係人準備好面對真實世界的資料保護事件—不論是屬於安全性、實體或隱私權性質。此訓練包括與資料保護事件回應小組、安全性小組、法務小組和通訊小組的代表進行演練。

在演練之後,我們會記載結果以及我們已決定要使用的補救方法。

資料保護事件回應訓練

資料保護事件回應的重要元件就是人員訓練,以找出並回報資料保護事件。專業服務組織中的人員必須接受訓練,其中涵蓋隱私權基本概念、GDPR 規範,以及如何找出並回報資料保護事件的最佳做法。

所有人員都必須完成一般線上訓練。訓練方案採用測試、持續性問卷、認知,以及為了確保能了解並保持訓練而設計的後續行動。

程序

Microsoft 專業服務組織在識別資料保護事件時,會遵循書面的產業標準回應計劃,首先判斷資料保護事件條件是否符合。當資料保護事件發生時,通常會在「分級」之後立即宣告,但視複雜性而定,宣告可能會發生在取得某個程度的所需資訊時的任何時間點,包括在調查階段之後。另一方面,小組決定只根據合理的懷疑來宣告資料保護事件。在調查過程中,小組也可以在各個階段之間交替。

根據嚴重性等級,Microsoft 也可能會完成資料保護事件的內部事後剖析。在此演練中,會進行充分的回應和作業程序評估,而且會找出並實作 「資料保護事件回應標準作業程序」 所需的任何更新。資料外洩的內部事後剖析是客戶無法取得的極機密記錄。不過,可以將事後剖析摘要並納入客戶事件通知中。在例行稽核週期中,外部稽核者會審查事後剖析程序,以確保會採取後續行動。

通知

當 Microsoft 專業服務在 GDPR 下宣告資料保護事件時,我們會在 72 小時內目標通知告知客戶。

在宣告資料保護事件之後,會儘速進行通知程序,同時還會考量迅速行動的安全性風險。為了確保順利傳送通知,客戶有責任確保每個適用帳戶、訂用帳戶及線上服務入口網站上的管理連絡資訊均正確無誤。其目的是為了替受影響的客戶提供正確、可採取行動且即時的通知,以達成 72 小時通知承諾。由於在資料保護事件的早期階段無法取得所有的詳細資料,因此初次通知可能不包含完整的詳細資料。此外,Microsoft 可能因為資料保護事件的情況而需保留部分的詳細資料。舉例來說,如果提供通知的動作增加其他客戶的風險或妨礙 Microsoft 或執法機構攔截惡意動作項目的能力,則可能需要保留詳細資料。

身為資料處理者,Microsoft 認為客戶有責任判斷通知是否適當,而如果適當,就有責任將任何個人資料外洩情形通知能勝任的資料保護機構 (DPA) 和客戶的自有資料當事人。Microsoft 專業服務會努力提供客戶在這些情況下繼續處理通知所需的資訊。

在提供通知給個人資料外洩的客戶時,Microsoft 會包含下列資訊 (如果適用且知道的話):

  • 外洩的性質
  • Microsoft 目前採取或建議的緩和措施
  • 涉及的產品、服務、應用程式
  • 公開個人資料的時間長度 (如果知道的話)
  • 受影響/公開的個人資料記錄量 (如果知道的話)
  • 子處理器/供應商詳細資訊 (如果其中一項涉及外洩的話)

深入了解

深入了解 Microsoft 專業服務 (https://aka.ms/pstrust)。