Notificação de violação do Microsoft Azure, Dynamics 365 e Power Platform ao abrigo do RGPD
A Microsoft leva a sério as suas obrigações de acordo com o RGPD (Regulamento Geral de Proteção de Dados). A Microsoft toma medidas de segurança abrangentes no seu serviços online para proteger contra violações de dados. Estas medidas incluem controlos de segurança físicos e lógicos, bem como processos de segurança automatizados, políticas abrangentes de segurança e privacidade de informações e formação de segurança e privacidade para todo o pessoal.
A segurança está incorporada no Microsoft Azure, no Dynamics 365 e no Power Platform desde o início, começando com o Ciclo de Vida do Desenvolvimento de Segurança, um processo de desenvolvimento obrigatório que incorpora metodologias de privacidade por predefinição e privacidade por predefinição. O princípio orientador da estratégia de segurança da Microsoft é "assumir a violação", que é uma extensão da estratégia de defesa em profundidade. Ao desafiar constantemente as capacidades de segurança do Microsoft Azure, do Dynamics 365 e do Power Platform, a Microsoft pode manter-se à frente das ameaças emergentes. Para obter mais informações sobre a segurança do Azure, veja estes recursos.
A Microsoft tem um serviço de resposta a incidentes 24x7 global dedicado que funciona para mitigar os efeitos dos ataques contra o Microsoft Azure, o Dynamics 365 e o Power Platform. Atestado por várias auditorias de segurança e conformidade (por exemplo, ISO/IEC 27018), a Microsoft utiliza operações e processos rigorosos nos seus datacenters para impedir o acesso não autorizado, incluindo monitorização de vídeo 24 horas por dia, 7 dias por semana, pessoal de segurança preparado, smart cards e controlos biométricos.
Detecção de possíveis violações
Devido à natureza da computação na cloud moderna, nem todas as violações de dados que ocorrem num ambiente de cloud do cliente envolvem os serviços do Microsoft Azure, Dynamics 365 ou Power Platform. A Microsoft emprega um modelo de responsabilidade partilhada para os serviços do Microsoft Azure, Dynamics 365 e Power Platform para definir responsabilidades operacionais e de segurança. A responsabilidade compartilhada é importante ao discutir a segurança de um serviço de nuvem, porque o provedor de serviços de nuvem e o cliente são responsáveis por partes da segurança na nuvem.
A Microsoft não monitoriza nem responde a incidentes de segurança no âmbito da responsabilidade do cliente. Um compromisso de segurança apenas para o cliente não seria processado como um incidente de segurança da Microsoft e exigiria que o inquilino do cliente gerisse o esforço de resposta. A resposta a incidentes do cliente pode envolver a colaboração com o suporte ao cliente do Microsoft Azure, Dynamics 365 suporte ao cliente e/ou suporte ao cliente do Power Platform, tendo em conta os contratos de serviço adequados. A Microsoft também oferece vários serviços (por exemplo, Microsoft Defender para a Cloud) que os clientes podem utilizar para desenvolver e gerir a resposta a incidentes de segurança.
A Microsoft responde a uma possível falha de segurança de dados de acordo com o processo de resposta a incidentes de segurança, que é um subconjunto do plano de gestão de incidentes da Microsoft. A resposta a incidentes de segurança do Azure da Microsoft é implementada através de um processo de cinco fases: Detetar, Avaliar, Diagnosticar, Estabilizar e Fechar. A equipe de Resposta a Incidentes de Segurança pode alternar entre as etapas Diagnóstico e Estabilização à medida que a investigação progride. Abaixo um resumo do processo de resposta a incidentes de segurança:
| Etapa | Descrição |
|---|---|
| 1: Detectar | Primeira indício de um possível incidente. |
| 2: Avaliar | Um membro da equipa de resposta a incidentes em chamada avalia o impacto e a gravidade do evento. Com base em provas, a avaliação pode ou não resultar num novo escalamento para a equipa de resposta de segurança. |
| 3: Diagnosticar | Os peritos em resposta de segurança conduzem a investigação técnica ou forense, identificam a contenção, mitigação e contornam estratégias. Se a equipe de segurança achar que os dados do cliente podem ter sido expostos a um indivíduo criminoso ou não autorizado, a execução do processo de Notificação de Incidente do Cliente começa em paralelo. |
| 4: Estabilizar e Recuperar | A equipa de resposta a incidentes cria um plano de recuperação para mitigar o problema. Os passos de contenção de crises, como a quarentena de sistemas afetados, podem ocorrer imediatamente e em paralelo com o diagnóstico. Podem ser planeadas mitigações a longo prazo que ocorrem após a passagem do risco imediato. |
| 5: Fechamento e Post-mortem | A equipe de resposta a incidentes cria um post-mortem que descreve os detalhes do incidente com a intenção de revisar políticas, procedimentos e processos para evitar a recorrência do evento. |
Os processos de deteção utilizados pelo Microsoft Azure, Dynamics 365 e Power Platform foram concebidos para detetar eventos que arriscam a confidencialidade, integridade e disponibilidade dos serviços do Azure, Dynamics 365 e Power Platform. Vários eventos podem desencadear uma investigação:
- Alertas de sistema automatizados por monitoramento interno e estruturas de alerta. Esses alertas podem vir na forma de alarmes baseados em assinatura, como anti-malware, detecção de invasão ou via algoritmos projetados para analisar a atividade esperada e alertar sobre anomalias.
- Relatórios internos dos Serviços da Microsoft em execução no Microsoft Azure e no Azure Governamental.
- As vulnerabilidades de segurança são relatadas ao Microsoft Security Response Center (MSRC) por meio de Relatar um problema. O MSRC trabalha com parceiros e pesquisadores de segurança do mundo inteiro para ajudar a impedir incidentes de segurança e aprimorar a segurança dos produtos da Microsoft.
- Relatórios de clientes através de portais, incluindo o Portal de Suporte ao Cliente do Microsoft Azure, Dynamics 365 suporte ao cliente, suporte ao cliente do Power Platform, Microsoft portal do Azure e Portal de Gestão do Azure Governamental, que descrevem atividades suspeitas atribuídas à infraestrutura do Azure (por oposição à atividade que ocorre no âmbito da responsabilidade do cliente).
- Atividade de segurança da Equipe Azul e da Equipe Vermelha. Esta estratégia utiliza uma Equipa Vermelha altamente qualificada de especialistas em segurança ofensivos da Microsoft para descobrir e atacar potenciais fraquezas no Microsoft Azure. A equipe Azul de resposta de segurança deve detectar e se defender das atividades da equipe Vermelha. As ações tanto da Equipe Vermelha quanto da Equipe Azul são usadas para verificar se os esforços de resposta de segurança do Azure estão gerenciando com eficiência os incidentes de segurança. As atividades da Equipa Vermelha de Segurança e da Equipa Azul são operadas ao abrigo de regras de cativação para ajudar a garantir a proteção dos dados dos clientes e dos dados pessoais.
- Escalamentos por operadores do Microsoft Azure, Dynamics 365 e Serviços do Power Platform. Os funcionários da Microsoft são treinados para identificar e escalonar possíveis problemas de segurança.
Resposta a violação de dados do Microsoft Azure, Dynamics 365 e Power Platform
A Microsoft atribui a prioridade adequada e os níveis de gravidade ao determinar o impacto funcional, a capacidade de recuperação e o impacto das informações do incidente. A prioridade e a severidade podem mudar durante a investigação, com base nas novas descobertas e conclusões. Os eventos de segurança que envolvem riscos iminentes ou confirmados para os dados dos clientes são tratados como de alta gravidade e trabalham o tempo todo até a resolução.
A Equipa de Resposta a Incidentes de Segurança trabalha com os engenheiros de serviço da Microsoft aplicáveis e especialistas em assuntos para classificar o evento com base em dados factuais das provas. Um evento de segurança pode ser classificado como:
- Falso Positivo: um evento que cumpre os critérios de deteção, mas que faz parte de uma prática comercial normal, pode ter de ser filtrado. As equipas de serviço identificam a causa principal dos falsos positivos e irão abordá-los de forma sistemática para os ajustar conforme necessário.
- Evento de Segurança: uma ocorrência observável em um sistema, serviço e/ou rede para tentativa de ataque, evasão de controles de segurança ou um problema identificado onde os fatos indicam que os dados do cliente ou dados pessoais podem ter sido perdidos, destruídos, alterados, divulgados, ou acessado sem autorização.
- Incidente de Segurança/Incidente de segurança/privacidade relatável pelo cliente (CRSPI): uma violação de segurança confirmada (por exemplo, declarada) que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente ou Dados Pessoais durante o processamento pela Microsoft.
- Evento de Privacidade: um Evento de Segurança que afeta os Dados do Cliente ou os Dados Pessoais ou o processamento de dados que resulta em consequências indesejadas para a privacidade, incluindo não conformidade com políticas de privacidade, normas e controlos da Microsoft.
- Incidente de Privacidade/Segurança Reportável pelo Cliente/Incidente de Privacidade (CRSPI): Um Incidente de Segurança que afeta dados do cliente ou Dados Pessoais, Dados ou processamento de dados que resulta em consequências não intencionais para a privacidade, incluindo não conformidade com políticas de privacidade, normas e controlos da Microsoft.
Para que um CRSPI seja declarado, a Microsoft tem de determinar que o acesso não autorizado aos dados do cliente ocorreu ou provavelmente ocorreu e/ou que existe um compromisso legal ou contratual que a notificação tem de ocorrer. Um incidente geralmente é declarado como CRSI após a conclusão da etapa Diagnosticar um incidente de segurança. No entanto, a declaração pode ocorrer a qualquer momento quando todas as informações pertinentes estiverem disponíveis.
A Microsoft verifica se o risco do cliente e da empresa é contido com êxito e que são implementadas medidas corretivas. Se necessário, são tomadas as medidas de mitigação de emergência para resolve riscos de segurança imediatos associados ao evento.
A Microsoft também concluiu um post-mortem interno para violações de dados. Como parte deste exercício, são avaliadas a suficiência dos procedimentos de resposta e operação e todas as atualizações que possam ser necessárias para o Procedimento operacional (SOP) Standard de Resposta a Incidentes de Segurança ou processos relacionados são identificadas e implementadas. Os postmortems internos para violações de dados são registros altamente confidenciais que não estão disponíveis para os clientes. No entanto, postmortems podem ser resumidos e incluídos nas notificações de evento de outro cliente. Estes relatórios são fornecidos a auditores externos para revisão como parte dos ciclos de auditoria de rotina do Microsoft Azure, Dynamics 365 e Power Platform.
Notificação de cliente
A Microsoft notifica os clientes afetados e as autoridades regulatórias sobre violações de dados, conforme necessário. A Microsoft baseia-se numa forte compartimentação interna no funcionamento do Microsoft Azure, Dynamics 365 e Power Platform. Uma vantagem desse design é que a maioria dos incidentes pode ser filtrada por um escopo para clientes específicos. O objetivo é fornecer aos clientes afetados um aviso preciso, acionável e oportuno quando os dados são violados.
Após a declaração de um CRSPI, o processo de notificação ocorrerá o mais rapidamente possível, considerando os riscos de segurança da mudança rápida. Os avisos do cliente são entregues sem atrasos indevidos e, em qualquer caso, em não mais de 72 horas a partir do momento em que declarámos uma falha de segurança, exceto em algumas circunstâncias limitadas, alguns exemplos são os seguintes:
- A Microsoft acredita que o ato de executar uma notificação aumentará o risco para outros clientes. Por exemplo, o ato de notificar pode desativar um adversário e causar uma incapacidade de remediação.
- O linha do tempo de 72 horas pode deixar alguns detalhes do incidente indisponíveis. Esses detalhes são fornecidos aos clientes e autoridades regulatórias à medida que a investigação avança.
A Microsoft fornece aos clientes afetados informações detalhadas, permitindo-lhes realizar investigações internas e ajudá-los a cumprir os compromissos do usuário final, sem atrasar indevidamente o processo de notificação. A notificação de uma falha de segurança de dados do Azure será entregue no painel de notificações do estado de funcionamento do serviço Microsoft Azure de um cliente como Um Aviso de Segurança. Se for garantido, uma ou mais das seguintes funções podem ser notificadas por e-mail de um incidente de segurança ou privacidade em conjunto com ou em vez de uma notificação do estado de funcionamento do serviço:
- Administradores ou Proprietários de Subscrições do Azure
- Microsoft Entra Administradores Globais de Inquilinos
- Contactos Técnicos do inquilino do Microsoft Entra
A equipa do Microsoft Azure ou Azure Governamental também pode optar por notificar outros funcionários da Microsoft, como membros da equipa do Serviço de Suporte ao Cliente (CSS) da Microsoft e os Gestores de Conta (AM) do cliente ou o Gestor de Contas de Sucesso do Cliente (CSAM). Esses indivíduos geralmente têm um relacionamento próximo com o cliente e podem facilitar uma correção mais rápida.
A notificação de uma falha de segurança de dados do Microsoft Dynamics 365 e do Power Platform é entregue ao Centro de administração do Microsoft 365 em Centro de Mensagens e tem a etiqueta Privacidade de Dados aplicada. Para obter mais informações, consulte as FAQ do Centro de Mensagens. A função de administrador global recebe mensagens de privacidade de dados para uma organização. Além disso, considere atribuir a função de leitor de Privacidade do Centro de Mensagens a outros utilizadores na sua organização que devem ver mensagens de privacidade de dados. Outras funções de administrador com acesso ao Centro de Mensagens não podem ver mensagens de privacidade de dados.
Funcionalidades de segurança incorporadas do Microsoft Dynamics 365 e do Power Platform
O Microsoft Dynamics 365 e o Power Platform tiram partido da infraestrutura de serviço cloud e das funcionalidades de segurança incorporadas para manter os dados seguros através de medidas de segurança e mecanismos para proteger os dados. Além disso, o Dynamics 365 e o Power Platform fornecem acesso a dados eficiente e colaboração com integridade e privacidade de dados nas seguintes áreas: identidade segura, proteção de dados, segurança baseada em funções e gestão de ameaças.
As ofertas do Microsoft Dynamics 365 e do Power Platform seguem as mesmas medidas técnicas e organizacionais que uma ou mais equipas de serviços do Microsoft Azure tomam para proteger contra processos de violação de dados. Por conseguinte, todas as informações documentadas no documento de notificação "Violação de Dados do Microsoft Azure" aqui se aplicam também ao Microsoft Dynamics 365 e ao Power Platform.