GDPR 規定的外洩通知
Office 365 將以資料處理者的身分,確保身為資料控制者的客戶可符合 GDPR 資料外洩通知的要求。為此,我們致力於完成以下動作:
- 為客戶提供指定專用隱私權連絡人的能力,一旦出現違規行為,該連絡人將得到通知。 客戶可以使用訊息中心的隱私權讀取者角色設定指定此連絡人。
- 在宣告個人資料外洩後 72 小時內通知客戶。 通知將發佈到 [訊息中心],該中心可透過 Microsoft 365 系統管理中心存取。 第二,電子郵件通知被傳送到指定的連絡人,表示新訊息中心文章已經發佈。
- 初次通知至少會包含外洩性質的描述、使用者的影響估計及降低風險的步驟 (如果適用的話)。如果在發出初次通知時,我們尚未完成調查,初次通知中會指出後續步驟及與您連絡的時間表
Microsoft 認可資料控制者要負責進行風險評估並判斷資料外洩是否需要通知客戶 DPA,而我們傳送給客戶的通知中會提供此評估所需的資訊。因此,Microsoft 會將所有個人資料外洩事件通知客戶,除了確定無法辨識的個人資料以外 (例如,已確認金鑰完整性的加密資料)。
Office 365 在資料安全性中的投資
我們除了致力於提供資料外洩的即時通知外,Office 365 在系統、處理程序及人員上也花費許多心思,為求降低個人資料外洩的可能性,以及在資料外洩發生時進行快速偵測,並降低其造成的傷害。
以下是一些我們在此方面的投資說明:
存取控制系統。 Office 365 會持續維持「無常設存取」原則,亦即,工程師只有在回應需要提高權限的特定事件而被明確授與存取權時,才會擁有服務的存取權。無論何時授與存取權,皆須遵循最低權限原則:針對特定要求授與的權限,僅允許服務執行該要求的最小一組必要動作。為了做到這一點,Office 365 會持續嚴格地區隔「提高權限角色」,每個角色僅允許採取預先定義的特定動作。不同於其他角色,「存取客戶資料」角色通常用來管理服務,並且會在核准前進行最嚴格的檢查。綜合來看,這些在存取控制上的投資,會大幅降低工程師在 Office 365 中不當存取客戶資料的可能性。
安全性監視系統與自動化: Office 365 會持續維護穩固的即時安全性監視系統。在其他問題上,若有人試圖非法存取客戶資料,或試圖非法將我們服務的資料轉送出去時,這些系統會發出警告。對於與上述存取控制相關的部分,我們的安全性監視系統會詳細記錄提高權限的要求,及針對指定提高權限要求採取的動作,並維護這些記錄。Office 365 也會持續維護自動解決問題的能力,以針對我們偵測到的問題,在回應時自動採取動作來降低威脅,並指定團隊來回應無法自動解決的警訊。為了驗證我們的安全性監視系統,Office 365 會定期進行紅隊演練 (red-team exercises),也就是內部滲透測試團隊會針對實際環境模擬攻擊者的行為。這些演練可讓我們的安全性監視和回應能力持續進化。
人員與處理程序: 除了上述的自動化作業,Office 365 也會持續維護處理程序和團隊,以負責較大型組織的隱私權和事件管理程序訓練,以及在資料外洩時執行這些程序。例如,維護詳細的隱私權外洩標準作業程序 (SOP),並分享給整個組織中的團隊。此 SOP 會詳細說明 Office 365 中個別團隊與中央安全性事件回應團隊的角色與責任。這些責任包括哪些團隊需要改善他們自己的安全性狀態 (進行安全性檢閱、與中央安全性監視系統整合和其他最佳做法),以及哪些團隊需要在發生實際資料外洩時執行動作 (針對事件回應進行快速升級、維護並提供用來加速回應程序的特定資料來源)。團隊也須定期在資料分類及個人資料的正確處理和儲存程序上接受訓練。
最重要的是,Office 365 致力於降低因個人資料外洩而影響客戶的可能性與結果。如果發生個人資料外洩,我們會在確認資料外洩後盡速通知客戶。
發生資料外洩時的預期行為
上一節說明 Office 365 為降低資料外洩可能性所做的投資。但若是真的發生罕見的資料外洩事件時,客戶應預期在以下回應有可預測的經驗:
在 Office 365 中有一致的事件回應週期。如前面所述,Office 365 會維護詳細的事件回應 SOP,其中說明團隊應如何為資料外洩作好準備,以及發生資料外洩時他們應如何應對。這可確保我們的保護作業和程序可套用到整個服務。
用一致的準則通知客戶。我們的通知準則著重於客戶資料的機密性、完整性和可用性。如果客戶資料的機密性和完整性受到影響,Office 365 會直接通知客戶。也就是說,當有人未經適當授權而存取客戶的資料時,或資料發生不適當的損毀或遺失時,我們會向客戶發出通知。Office 365 也會報告影響資料可用性的問題,即使此動作通常是透過「服務健康狀態儀表板 (SHD)」來完成。
一致的通知詳細資料。當 Office 365 因為資料外洩而發生通知時,客戶可以預期收到特定的詳細資料:至少我們會提供下列詳細資料:
- 發生資料外洩和發現資料外洩的時間
- 受影響的大約使用者數目
- 已外洩的使用者資料類型
- 降低資料外洩影響的必要動作 (由控制者或處理者執行)
同時,客戶應注意作為資料處理者的 Office 365,並不會判斷資料外洩的風險。每當偵測到個人資料外洩時,我們會通知客戶並提供所需的詳細資料,讓他們正確判斷影響使用者的風險,並決定是否需要進一步向法規主管機關報告。為此,資料控制者預期可判斷以下事件相關項目:
- 資料外洩嚴重性 (也就是風險判斷)
- 是否需要通知終端使用者
- 是否需要通知法規機構 (DPA)
- 控制者為降低資料外洩產生的影響,而採取的特定動作
連絡 Microsoft
在某些情況下,客戶可能會發現資料外洩,而想要通知 Microsoft。目前的通訊協定是讓客戶可通知 Microsoft 支援服務,然後其與工程團隊連絡以取得詳細資訊。在此狀況下,Microsoft 工程團隊會即時且竭盡所能地提供客戶所需的資訊 (透過支援連絡方式)。
建議客戶執行的動作
如上所述,Office 365 會盡力在宣告資料外洩後的 72 小時內通知客戶。客戶的租用戶系統管理員將會收到通知。此外,Office 365 建議客戶透過 Azure Active Directory 入口網站指定「全域隱私權連絡人」別名。發生個人資料外洩時,除了系統管理員外,此別名也可以收到以電子郵件傳送的通知。
客戶的隱私權連絡人可以是組織內的個人、通訊群組清單 (DL),或是完全與組織沒關係的某人。Office 365 只會要求客戶提供此連絡人的電子郵件地址,而且客戶可以在 Azure Active Directory 入口網站中的 [全域隱私權連絡人] 欄位下,指定此電子郵件地址。此欄位與 Azure Active Directory 中的 [技術連絡人] 欄位相關 (但不同)。如果客戶選擇指定 DL 作為此連絡人,應確認 DL 是否已設定為可接收來自外部寄件者的郵件。
總之,Office 365 會要求客戶執行下列項目,以享有資料外洩通知程序的好處:
- 決定在發生個人資料外洩時接收電子郵件通知的連絡人。連絡人應了解 GDPR 規定中的控制者需求,並準備好在收到通知的短時間內,與組織的 DPO 或可能是 DPA 進行通訊。租用戶系統管理員也會收到資料外洩通知,同樣地,他也應了解 GDPR 規定中的控制者需求。
- 在 Azure Active Directory 入口網站中輸入隱私權連絡人的電子郵件地址。如果未提供「全域隱私權連絡人」資訊,則 Microsoft 只會通知租用戶系統管理員