了解客戶通知流程
下圖說明已確認的安全性事件之後的客戶通知程式。
事件回應和客戶通知程式如下:事件開始、偵測到的事件、待命工程師參與、安全性回應小組參與、已確認安全性事件、已判斷客戶影響、已決定受影響的客戶,最後,受影響的客戶會收到通知。
Microsoft 責任
如果安全性回應小組在調查安全性或隱私權事件的任何時間點發現客戶數據是意外或非法毀損、遺失或改變、未經授權洩漏或未經授權存取的主體,則會將事件宣告為「客戶數據外洩」,並起始客戶事件通知程式。 Microsoft 根據許多法規架構的指導方針,在 72 小時內識別並通知任何受影響的租用戶。
通知時間軸承諾在正式宣告安全性事件時開始。 宣告安全性事件時,通知程式會盡可能快速進行,而不會過度延遲。
根據事件的性質與範圍,透過適當的管道通知客戶發生安全性事件。 這些管道可能包含下列一或多個通知:
- Microsoft 365 系統管理中心 訊息中心的通知
- 傳送電子郵件給客戶的租用戶系統管理員
- 如果租使用者 管理員 已在 Microsoft Entra 管理員 中心) 定義,Email 客戶指定的全域隱私權聯繫人 (
- 由經過特別訓練的支援團隊成員直接致電客戶的租用戶系統管理員
Microsoft 的客戶通知承諾詳述於 Microsoft 產品和服務數據保護增補章的兩個區段中。
事件事件通知
通知 (的安全性事件) 會透過 Microsoft 選取的任何方式傳遞給一或多個客戶的系統管理員,包括透過電子郵件。 客戶的唯一責任是確保客戶的系統管理員在每個適用的 線上服務 入口網站上維持正確的連絡資訊。 客戶必須完全負責遵守其在適用於客戶的事件通知法律下的義務,並履行與任何安全性事件相關的任何第三方通知義務。
Microsoft 應盡合理努力,協助客戶履行 GDPR 第 33 條或其他適用法律或法規下的客戶義務,以通知相關監督機關和資料主體有關此類安全性事件。
Microsoft 依據本節中安全性事件的通知或回應,並非 Microsoft 對於安全性事件的任何錯誤或責任的確認。
客戶必須立即通知 Microsoft 任何可能誤用其帳戶或驗證認證,或任何與在線服務相關的安全性事件。
附錄 A – 安全性措施
事件回應流程
針對屬於客戶數據外洩的每個安全性事件,Microsoft (如一節中所述,) 將不會造成不必要的延遲,而且在任何事件中,都會在 72 小時內發出。
客戶責任
為了確保正確的客戶連絡人能立即收到通知,客戶必須在租用戶設定檔中維護正確的連絡人資訊。
客戶應該確保其聯繫人資訊在 Microsoft 365 系統管理中心 中是最新的。
客戶系統管理員應為如何在訊息中心中顯示隱私資料訊息設定選項,以確保相關客戶系統管理員知道事件通知。
如有必要,全域管理員可以設定更多具有訊息中心內容存取權的角色,以避免將不必要的系統管理許可權授與需要存取事件通知的非系統管理員。
客戶與 Microsoft 共同負責報告安全性事件。 在 Microsoft 商務服務 (相對於消費者服務) 中,Microsoft 是資料處理者,而客戶是資料控制者。 如果 Microsoft 擔任資料處理者時發生安全性事件,Microsoft 會通知受影響的客戶,而客戶將需要按照相關法規或法律所要求,負責通知資料保護授權單位、法規機構,以及任何受影響使用者。 此外,如果客戶知道涉及自己的用戶帳戶或任何 Microsoft 在線服務的安全性事件,客戶必須立即通知 Microsoft,如 Microsoft 產品和服務數據保護增補中所述。