Soporte técnico y servicios profesionales de Microsoft, y notificación de infracciones según el RGPD

Microsoft Professional Services incluye un grupo diverso de arquitectos técnicos, ingenieros, consultores y profesionales de soporte técnico dedicados a cumplir la misión de Microsoft de capacitar a los clientes para que hagan más y logren más. Nuestro equipo de Servicios Profesionales incluye más de 21.000 consultores, asesores digitales, soporte técnico unificado, ingenieros y profesionales de ventas que trabajan en 191 países, apoyando 46 idiomas diferentes, administrando varios millones de compromisos al mes. El equipo se involucra en las interacciones entre clientes y asociados a través de herramientas locales, telefónicas, web, comunitarias y automatizadas. La organización aporta amplia experiencia en toda la cartera de Microsoft, aprovechando una amplia red de asociados, comunidades técnicas, herramientas, diagnósticos y canales que nos conectan con nuestros clientes empresariales.

La unidad del equipo global de respuesta a incidentes de protección de datos de Microsoft Professional Services consiste en (a) emplear operaciones y procesos rigurosos para evitar que se produzcan incidentes de protección de datos, (b) administrarlos de forma profesional y eficaz cuando se produzcan, y (c) aprender de estos incidentes de protección de datos a través de mejoras periódicas posteriores a la muerte y al programa. Los procesos y los resultados del equipo de respuesta a incidentes de protección de datos de Servicios profesionales de Microsoft se revisan y atestiguan mediante varias auditorías de seguridad y cumplimiento (por ejemplo, ISO/IEC 27001).

Información general sobre la respuesta ante incidentes de protección de datos

Microsoft Professional Services se compromete a proteger a sus clientes y toma medidas considerables para evitar que se produzcan incidentes de protección de datos como medio para mantener la confianza del cliente. Un incidente de protección de datos en la organización de Servicios profesionales es una vulneración de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales o datos de servicios profesionales accidentales o ilegales, mientras microsoft los procesa. En el caso de los clientes comerciales que han adquirido soporte técnico unificado o soluciones del sector, debe consultar el lenguaje de respuesta a incidentes de protección de datos en el Anexo de protección de datos (DPA) de productos y servicios de Microsoft.

Ámbito y límites del proceso de respuesta ante incidentes de protección de datos

Nuestro proceso de notificación de vulneraciones de datos personales se inicia cuando declaramos que se produce una [vulneración de datos personales].

Para declararse, el equipo de respuesta a incidentes de protección de datos de Microsoft debe determinar que se ha producido un incidente de protección de datos tal como se definió anteriormente. La declaración se producirá en cuanto esté disponible toda la información pertinente para determinar que se ha producido un incidente de protección de datos.

Debido a la naturaleza de los servicios profesionales, algunos eventos que parecen incidentes de protección de datos de Microsoft no se clasifican necesariamente como tales, ya que se produjeron a través de las acciones del cliente o en los sistemas del cliente. Microsoft Professional Services no supervisa ni responde a incidentes de protección de datos dentro del ámbito de responsabilidad del cliente. Sin embargo, cuando Microsoft se da cuenta de un incidente de protección de datos controlado por el cliente, clasificamos este incidente como un incidente de protección de datos controlado por el cliente, que el equipo de respuesta a incidentes de protección de datos llama un "evento", informamos al cliente de nuestra observación y, según lo solicitado, le ayudamos en su esfuerzo de respuesta, en la medida en que lo requiera su interacción con Microsoft. Algunos ejemplos de incidentes de protección de datos controlados por el cliente incluyen el envío involuntario de las contraseñas del cliente y otros datos confidenciales, las solicitudes para eliminar datos y ser víctima de fraude.

Algunas acciones están fuera del ámbito de este proceso por completo, como preguntas generales sobre nuestras normas o directivas de protección de datos, solicitudes de derechos de interesados, solicitudes de baja voluntaria, listas de deseos de productos o informes de errores no relacionados con la protección de datos, incidentes de protección de datos no relacionados con los datos de los clientes, y fraude contra Microsoft.

Tipos de incidentes de protección de datos

El equipo de respuesta a incidentes de protección de datos ha identificado un conjunto de escenarios que pueden producirse en servicios profesionales. Mientras se adhiere al marco básico de respuesta a incidentes de protección de datos, los procedimientos se han desarrollado y personalizado para acelerar el proceso de respuesta. Por ejemplo, un correo electrónico mal dirigido puede requerir poca investigación. Por otro lado, la identificación de personal malintencionado puede requerir una investigación forense completa debido a la naturaleza subrepticia de las actividades de un delincuente. Este conjunto de escenarios puede proporcionar información sobre el proceso de respuesta a incidentes de protección de datos para servicios profesionales.

Proceso de respuesta ante incidentes de protección de datos

Cuando Microsoft Professional Services identifica un incidente de protección de datos, se produce un proceso de triaje en virtud del cual Microsoft (a) evalúa el evento, (b) determina si está en el ámbito de este proceso, (c) determina si fue malintencionado, (d) realiza una investigación preliminar y asigna un nivel de gravedad, y (e) alertas y coordenadas con las partes interesadas adecuadas dentro de Microsoft. El equipo también comienza a grabar los detalles con fines de seguimiento y el ejercicio posterior a la autopsia.

Detección

Microsoft Professional Services supervisa continuamente el ecosistema de incidentes emergentes de protección de datos en todos los almacenes de datos que contienen datos personales, tanto en línea como sin conexión. Usamos diferentes métodos para detectar incidentes de protección de datos, incluidas alertas automatizadas, informes de clientes, informes de terceros, observación de anomalías e indicaciones de actividad malintencionada o de hacker.

Los procesos de detección utilizados por Microsoft Professional Services están diseñados para detectar incidentes de protección de datos y desencadenar investigaciones. Por ejemplo:

  • Se informa de vulnerabilidades de seguridad en el sistema de informes global de Microsoft como referencia, o bien se informa de estas directamente al equipo de respuesta ante incidentes de protección de datos de los Servicios profesionales.
  • Los clientes envían informes desde el Portal de atención al cliente, donde se describe la actividad sospechosa.
  • El personal de Servicios Profesionales envía escalaciones. Los empleados de Microsoft están preparados para identificar y escalar los posibles problemas de seguridad.
  • En el caso de las herramientas y sistemas que se usan en el proceso de proporcionar servicios profesionales, los equipos de operaciones usan alertas del sistema automatizadas a través de marcos de supervisión y alertas internos. Estas alertas pueden interferir con alarmas basadas en firmas, como antimalware, detección de intrusiones o mediante algoritmos diseñados para identificar actividades previstas y generar alertas ante anomalías.

Simulacros de respuesta ante incidentes de protección de datos, prueba del plan de respuesta ante incidentes de protección de datos

Además de la formación continua, cada año Professional Services ejecuta simulacros en asociación con los departamentos internos adecuados para comunicar los procedimientos, roles y responsabilidades de la escalada de incidentes de protección de datos a todos los miembros del equipo de estabilización. Este entrenamiento prepara a las partes interesadas clave para los incidentes de protección de datos del mundo real, ya sea por motivos de seguridad, físicos o basados en la privacidad. Este entrenamiento incluye ejercicios con representantes del equipo de respuesta a incidentes de protección de datos, el equipo de seguridad, los equipos legales y el equipo de comunicaciones.

Después de los ejercicios, documentamos el resultado y los métodos de corrección que decidimos usar.

Aprendizaje de respuesta ante incidentes de protección de datos

Un componente clave de la respuesta a incidentes de protección de datos es la formación del personal para identificar e informar de incidentes de protección de datos. El personal de la organización De servicios profesionales debe llevar a cabo una formación que cubra los aspectos básicos de privacidad, las regulaciones del RGPD y otros procedimientos recomendados sobre cómo identificar e informar de incidentes de protección de datos.

El entrenamiento en línea regular está disponible y la finalización es obligatoria para todo el personal. El programa de capacitación emplea pruebas, encuestas continuas, reconocimiento y seguimiento diseñados para garantizar que la capacitación se comprenda y conserve.

Proceso

Cuando la organización de Servicios profesionales de Microsoft identifica un incidente de protección de datos, sigue un plan de respuesta estándar del sector documentado, empezando por la determinación de que se cumplen los criterios de incidentes de protección de datos. Cuando se produce un incidente de protección de datos, por lo general se declara inmediatamente después de triaje, pero, en función de la complejidad, la declaración puede producirse en cualquier momento cuando esté disponible un nivel de información necesaria, incluso después de la fase de investigación. Por otro lado, el equipo tiene discreción para declarar un incidente de protección de datos basándose solo en sospechas razonables de aparición. El equipo también puede alternar entre las distintas fases a medida que avanza la investigación.

En función del nivel de gravedad, Microsoft también puede completar un post mortem interno para incidentes de protección de datos. Como parte de este ejercicio, se evalúa la suficiencia de los procedimientos operativos y de respuesta, y se identifican e implementan las actualizaciones que puedan ser necesarias para el procedimiento operativo estándar de respuesta a incidentes de protección de datos o los procesos relacionados. Los análisis finales internos para las vulneraciones de datos son registros muy confidenciales no disponibles para los clientes. Sin embargo, los postmortems pueden resumirse e incluirse en las notificaciones de eventos del cliente. Como parte de un ciclo de auditoría rutinario, los procesos posteriores a la autopsia son revisados por auditores externos para garantizar que se produzca un seguimiento.

Notificación

Cuando los Servicios profesionales de Microsoft declaran un incidente de protección de datos en el RGPD, dirigiremos la notificación a nuestros clientes en un plazo de 72 horas.

Después de la declaración de un incidente de protección de datos, el proceso de notificación se lleva a cabo lo más rápido posible, a la vez que se siguen teniendo en cuenta los riesgos de seguridad de moverse rápidamente. Para asegurarse de que la notificación se puede entregar correctamente, es responsabilidad del cliente asegurarse de que la información de contacto administrativo de cada cuenta, suscripción y portal de servicios en línea aplicable es correcta. Aunque el objetivo es proporcionar a los clientes afectados un aviso preciso, accionable y oportuno, para lograr el compromiso de notificación de 72 horas, es posible que la notificación inicial no incluya detalles completos, ya que es posible que todos los detalles no estén disponibles durante las primeras fases de un incidente de protección de datos. Además, es posible que Microsoft tenga que retener algunos detalles debido a las circunstancias del incidente de protección de datos. Por ejemplo, puede ser necesario retener los detalles si el acto de proporcionar una notificación aumenta el riesgo para otros clientes o interfiere con la capacidad de Microsoft o de la aplicación de la ley para capturar a un actor malintencionado.

En su calidad de procesador de datos, Microsoft reconoce que los clientes son responsables de determinar si la notificación es adecuada y, si es así, notificar a la Autoridad de Protección de Datos (DPA) competente y a los propios interesados del cliente cualquier vulneración de datos personales. Microsoft Professional Services trabajará para proporcionar a los clientes la información necesaria para continuar con la notificación en estas circunstancias.

Al ofrecer un aviso a los clientes de una infracción de datos personales, Microsoft incluirá la siguiente información, si corresponde y se conoce:

  • Naturaleza de la infracción
  • Medidas de mitigación que Microsoft realiza o propone
  • Producto, servicio o aplicación relacionada
  • Plazo de tiempo en que se expusieron los datos personales, si se conocen
  • Volumen de los registros de datos personales afectados o expuestos, si se conocen
  • Datos del subencargado o proveedor, si uno de ellos está relacionado con la vulneración

Más información

Obtenga más información en el Centro de confianza de Microsoft sobre los Servicios profesionales de Microsoft (https://aka.ms/pstrust).