Microsoft-Support, Dienstleistungen und Benachrichtigungen bei Sicherheitsverletzungen im Rahmen der DSGVO
Microsoft Professional Services umfasst eine vielfältige Gruppe von technischen Architekten, Ingenieuren, Beratern und Supportexperten, die sich dafür engagieren, die Microsoft-Mission zu erfüllen, Kunden in die Lage zu versetzen, mehr zu tun und mehr zu erreichen. Unser Professional Services-Team umfasst mehr als 21.000+ Berater, Digital Advisors, Unified Support, Ingenieure und Vertriebsexperten, die in 191 Ländern arbeiten, 46 verschiedene Sprachen unterstützen und mehrere Millionen Engagements pro Monat verwalten. Das Team beteiligt sich an Kunden- und Partnerinteraktionen über lokale, telefonische, Web-, Community- und automatisierte Tools. Die organization bietet umfassendes Fachwissen im gesamten Microsoft-Portfolio und nutzt ein umfangreiches Netzwerk von Partnern, technischen Communitys, Tools, Diagnose und Kanälen, die uns mit unseren Unternehmenskunden verbinden.
Das Globale Reaktionsteam für Datenschutzvorfälle von Microsoft Professional Services besteht darin, (a) strenge Vorgänge und Prozesse einzusetzen, um Datenschutzvorfälle zu verhindern, (b) sie professionell und effizient zu verwalten, wenn sie auftreten, und (c) aus diesen Datenschutzvorfällen durch regelmäßige Post-Mortem- und Programmverbesserungen zu lernen. Die Prozesse und Ergebnisse des Microsoft Professional Services-Teams zur Reaktion auf Datenschutzvorfälle werden durch mehrere Sicherheits- und Compliance-Audits (z. B. ISO/IEC 27001) überprüft und bestätigt.
Übersicht über die Reaktion auf Datenschutzverletzungen
Microsoft Professional Services verpflichtet sich, seine Kunden zu schützen, und ergreift erhebliche Maßnahmen, um Datenschutzvorfälle zu verhindern, um das Vertrauen der Kunden aufrechtzuerhalten. Ein Datenschutzvorfall in der Professional Services-organization ist eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, verlust, Änderung, unbefugte Offenlegung oder zum zugriff auf personenbezogene Daten oder Professional Services-Daten führt, während die Verarbeitung durch Microsoft erfolgt. Für kommerzielle Kunden, die Unified Support oder Branchenlösungen erworben haben, sollten Sie ihre Sprache zur Reaktion auf Datenschutzvorfälle im Datenschutz-Nachtrag (DPA) von Microsoft-Produkten und -Diensten lesen.
Umfang und Grenzen des Prozesses für die Reaktion auf Datenschutzverletzungen
Unser Benachrichtigungsprozess im Hinblick auf die Verletzung des Schutzes personenbezogener Daten beginnt, wenn wir deklarieren, dass eine [Verletzung des Schutzes personenbezogener Daten] stattgefunden hat.
Um deklariert zu werden, muss das Microsoft-Team zur Reaktion auf Datenschutzvorfälle feststellen, dass ein Datenschutzvorfall wie zuvor definiert aufgetreten ist. Die Erklärung erfolgt, sobald alle relevanten Informationen verfügbar sind, um festzustellen, dass ein Datenschutzvorfall aufgetreten ist.
Aufgrund der Art der professionellen Dienstleistungen werden einige Ereignisse, die wie Microsoft-Datenschutzvorfälle scheinen, nicht unbedingt als solche klassifiziert, da sie durch Aktionen des Kunden oder auf den Systemen des Kunden aufgetreten sind. Microsoft Professional Services überwacht oder reagiert nicht auf Datenschutzvorfälle im Verantwortungsbereich des Kunden. Wenn Microsoft jedoch auf einen kundengesteuerten Datenschutzvorfall aufmerksam wird, klassifizieren wir diesen Vorfall als kundengesteuerten Datenschutzvorfall, den das Datenschutz-Incident-Reaktionsteam als "Ereignis" bezeichnet, den Kunden über unsere Beobachtung informiert und bei bedarfsgesteuerten Reaktionsbemühungen unterstützt, soweit dies für seine Interaktion mit Microsoft erforderlich ist. Beispiele für kundengesteuerte Datenschutzvorfälle sind das versehentliche Senden von Kennwörtern des Kunden und anderer vertraulicher Daten durch Microsoft, Anforderungen zum Löschen von Daten und das Opfer von Betrug.
Einige Aktionen werden in diesem Prozess überhaupt nicht berücksichtigt, darunter allgemeine Fragen zu unseren Datenschutzrichtlinien oder -standards, Anträge von betroffenen Personen, Kündigungsanträge, Produktwunschlisten oder Fehlerberichte, die nicht im Zusammenhang mit dem Datenschutz stehen, Datenschutzverletzungen, die sich nicht auf Daten des Kunden beziehen, und Betrug gegenüber Microsoft.
Arten von Datenschutzverletzungen
Das Team zur Reaktion auf Datenschutzvorfälle hat eine Reihe von Szenarien identifiziert, die in professionellen Diensten auftreten können. Unter Einhaltung des grundlegenden Frameworks zur Reaktion auf Datenschutzvorfälle wurden Verfahren entwickelt und angepasst, um den Reaktionsprozess zu beschleunigen. Bei instance erfordert eine falsch umgeleitete E-Mail möglicherweise wenig Untersuchung. Andererseits kann die Identifizierung böswilliger Mitarbeiter eine vollständige forensische Untersuchung erfordern, da die Aktivitäten eines Täters schleichend sind. Diese Szenarien bieten möglicherweise Einblicke in den Reaktionsprozess für Datenschutzvorfälle für professionelle Dienstleistungen.
Reaktionsprozess bei Datenschutzverletzungen
Wenn Microsoft Professional Services einen Datenschutzvorfall identifiziert, findet ein Selektierungsprozess statt, bei dem Microsoft (a) das Ereignis bewertet, (b) bestimmt, ob es für diesen Prozess nicht gültig ist, (c) bestimmt, ob es böswillig war, (d) eine vorläufige Untersuchung durchführt und einen Schweregrad zuweist, und (e) Warnungen und Abstimmungen mit den entsprechenden Beteiligten innerhalb von Microsoft durchführt. Das Team beginnt auch mit der Aufzeichnung von Details für die Nachverfolgung und die Post-Mortem-Übung.
Erkennung
Microsoft Professional Services überwacht kontinuierlich das Ökosystem auf neue Datenschutzvorfälle in allen Datenspeichern, die personenbezogene Daten enthalten – online und offline. Wir verwenden verschiedene Methoden, um Datenschutzvorfälle zu erkennen, einschließlich automatisierter Warnungen, Kundenberichte, Berichte von externen Parteien, Beobachtung von Anomalien und Hinweise auf böswillige oder Hacker-Aktivitäten.
Die von Microsoft Professional Services verwendeten Erkennungsprozesse sind darauf ausgelegt, Datenschutzvorfälle zu ermitteln und Untersuchungen auszulösen. Zum Beispiel:
- Sicherheitsrisiken werden zur Weiterleitung an das Microsoft-weite Berichtssystem oder direkt an das Professional Services-Team für die Reaktion auf Datenschutzverletzungen gemeldet.
- Kunden übermitteln Berichte mit der Beschreibung verdächtiger Aktivitäten über das Kundensupport-Portal.
- Professional Services-Mitarbeiter übermitteln Eskalationen. Microsoft-Mitarbeiter sind dahingehend geschult, potenzielle Sicherheitsprobleme zu identifizieren und zu eskalieren.
- Für Tools und Systeme, die bei der Bereitstellung von Professional Services verwendet werden, verwenden die Betriebsteams automatisierte Systemwarnungen über interne Überwachungs- und Warnungsframeworks. Diese Warnungen können in Form von signaturbasierten Alarmen eingehen wie Antischadsoftware oder Angriffserkennung bzw. über Algorithmen, die ein Profil der erwarteten Aktivität erstellen und bei Anomalien Warnungen ausgeben sollen.
Übungen zur Reaktion auf Datenschutzverletzungen, Testen des Reaktionsplans für Datenschutzverletzungen
Zusätzlich zu laufenden Schulungen führt Professional Services jedes Jahr Übungen in Zusammenarbeit mit den entsprechenden internen Abteilungen durch, um alle Mitglieder des Stabilisierungsteams die Verfahren, Rollen und Verantwortlichkeiten der Datenschutzvorfälle zu kommunizieren. Diese Schulung bereitet wichtige Projektbeteiligte auf reale Datenschutzvorfälle vor – unabhängig davon, ob es sich um Sicherheits-, physische oder datenschutzbezogene Vorfälle handelt. Diese Schulung umfasst Übungen mit Vertretern des Teams zur Reaktion auf Datenschutzvorfälle, des Sicherheitsteams, der Rechtsteams und des Kommunikationsteams.
Nach den Übungen dokumentieren wir die Ergebnisse und die gewählten Abhilfemethoden.
Schulung zur Reaktion auf Datenschutzverletzungen
Eine wichtige Komponente der Reaktion auf Datenschutzvorfälle ist die Schulung von Mitarbeitern, um Datenschutzvorfälle zu identifizieren und zu melden. Mitarbeiter in den Professional Services-organization müssen Schulungen absolvieren, die Datenschutzgrundlagen, DSGVO-Vorschriften und andere bewährte Methoden zum Identifizieren und Melden von Datenschutzvorfällen umfassen.
Regelmäßige Onlineschulungen sind verfügbar, und der Abschluss ist für alle Mitarbeiter obligatorisch. Das Schulungsprogramm setzt Tests, laufende Umfragen, Bewusstsein und Nachverfolgung ein, um sicherzustellen, dass das Training verstanden und beibehalten wird.
Prozess
Wenn Microsoft Professional Services organization einen Datenschutzvorfall identifiziert, folgt es einem dokumentierten Branchenstandard-Reaktionsplan, der mit der Feststellung beginnt, dass die Kriterien für Datenschutzvorfälle erfüllt sind. Wenn ein Datenschutzvorfall auftritt, wird er in der Regel sofort nach der Selektierung deklariert, aber je nach Komplexität kann die Deklaration jederzeit erfolgen, wenn eine Ebene der erforderlichen Informationen verfügbar ist, einschließlich nach der Untersuchungsphase. Andererseits hat das Team das Ermessen, einen Datenschutzvorfall nur aufgrund eines begründeten Verdachts des Auftretens zu deklarieren. Das Team kann auch zwischen den verschiedenen Phasen wechseln, während die Untersuchung voranschreitet.
Basierend auf dem Schweregrad kann Microsoft auch ein internes Post mortem für Datenschutzvorfälle abschließen. Im Rahmen dieser Übung wird die Uffizienz von Reaktions- und Betriebsabläufen bewertet, und alle Aktualisierungen, die für das Standardbetriebsverfahren für die Reaktion auf Datenschutzvorfälle oder zugehörige Prozesse erforderlich sein können, werden identifiziert und implementiert. Interne nachträgliche Analysen für Datenschutzverstöße sind streng vertrauliche Datensätze, die Kunden nicht zur Verfügung gestellt werden. Postmortems können jedoch zusammengefasst und in Kundenereignisbenachrichtigungen eingeschlossen werden. Im Rahmen eines routinemäßigen Auditzyklus werden post-mortem-Prozesse von externen Prüfern überprüft, um sicherzustellen, dass die Nachverfolgung erfolgt.
Benachrichtigung
Wenn Microsoft Professional Services ein Datenschutz-Ereignis gemäß DSGVO meldet, sind wir bestrebt, unsere Kunden innerhalb von 72 Stunden zu benachrichtigten.
Nach der Erklärung eines Datenschutzvorfalls erfolgt der Benachrichtigungsprozess so schnell wie möglich unter Berücksichtigung der Sicherheitsrisiken eines schnellen Umzugs. Um sicherzustellen, dass die Benachrichtigung erfolgreich übermittelt werden kann, liegt es in der Verantwortung des Kunden, sicherzustellen, dass die Administratorkontaktinformationen für jedes anwendbare Konto, Abonnement und Onlinedienste Portal korrekt sind. Das Ziel besteht darin, betroffenen Kunden eine genaue, umsetzbare und rechtzeitige Benachrichtigung zur Verfügung zu stellen, aber um die 72-Stunden-Benachrichtigungsverpflichtung zu erreichen, enthält die erste Benachrichtigung möglicherweise keine vollständigen Details, da in den frühen Phasen eines Datenschutzvorfalls möglicherweise nicht alle Details verfügbar sind. Darüber hinaus muss Microsoft aufgrund der Umstände des Datenschutzvorfalls möglicherweise einige Details zurückhalten. Für instance kann es erforderlich sein, Details zurückzuhalten, wenn der Akt der Benachrichtigung das Risiko für andere Kunden erhöht oder die Fähigkeit von Microsoft oder Strafverfolgungsbehörden beeinträchtigt, einen böswilligen Akteur zu fangen.
In seiner Eigenschaft als Datenverarbeiter erkennt Microsoft an, dass Kunden dafür verantwortlich sind, zu bestimmen, ob die Benachrichtigung angemessen ist, und wenn dies der Fall ist, die zuständige Datenschutzbehörde (Data Protection Authority, DPA) und die betroffenen Personen des Kunden über jede Verletzung personenbezogener Daten zu informieren. Microsoft Professional Services wird den Kunden die Informationen bereitstellen, die sie benötigen, um unter diesen Umständen mit der Benachrichtigung fortzufahren.
Bei der Benachrichtigung von Kunden über eine Verletzung des Schutzes personenbezogener Daten stellt Microsoft die folgenden Informationen bereit, sofern diese im Einzelfall zutreffend und bekannt sind:
- Art der Verletzung
- Von Microsoft ergriffene oder vorgeschlagene Abhilfemaßnahmen
- Betroffene Produkte, Dienste, Anwendungen
- Dauer der Gefährdung personenbezogener Daten, sofern bekannt
- Anzahl der betroffenen/gefährdeten personenbezogenen Datensätze, sofern bekannt
- Details zu Unterauftragsverarbeiter/Lieferant, sofern ein solcher in die Verletzung involviert ist
Weitere Informationen
Weitere Informationen zu den Microsoft Professional Services (https://aka.ms/pstrust).