Entender o processo de notificação do cliente
O diagrama seguinte ilustra o processo de notificação do cliente depois de ocorrer um incidente de segurança confirmado.
O processo de resposta a incidentes e notificação do cliente é o seguinte: Início do Evento, Evento Detetado, Engenheiro de chamada Envolvido, Equipa de Resposta de Segurança Envolvida, Incidente de Segurança Confirmado, Impacto do Cliente Determinado, Clientes Afetados Determinados e, por fim, Clientes Afetados Notificados.
Responsabilidades da Microsoft
Se, em algum momento da investigação de um incidente de segurança ou privacidade, a equipa de resposta de segurança descobrir que os dados do cliente foram sujeitos a destruição acidental ou ilegal, perda ou alteração, divulgação não autorizada ou acesso não autorizado, o evento é declarado uma Falha de Dados do Cliente e o processo de notificação de incidentes do cliente é iniciado. A Microsoft identifica e notifica todos os locatários afetados dentro de 72 horas de acordo com as diretrizes de muitas estruturas regulatórias.
O compromisso com a linha do tempo de notificação começa quando ocorre a declaração oficial de incidentes de segurança. Ao declarar um incidente de segurança, o processo de notificação ocorre o mais rápido possível, sem atrasos indevidos.
A notificação do cliente para incidentes de segurança ocorre por meio de canais apropriados com base na natureza e no escopo do incidente. Esses canais podem incluir uma ou mais das seguintes notificações:
- Notificação no Centro de Mensagens do centro de administração do Microsoft 365
- Email para o administrador de locatários do cliente
- Envie um e-mail para o Contacto de Privacidade Global designado pelo cliente (se o Administrador inquilino o tiver definido no Centro de Administração do Microsoft Entra)
- Contato direcionar por chamada telefônica para o administrador de locatários do cliente por um membro da equipe de Suporte especialmente treinado
Os compromissos de notificação do cliente da Microsoft são detalhados em duas secções da Adenda à Proteção de Dados de Produtos e Serviços da Microsoft.
Notificação de incidente de segurança
As notificações de Incidentes de Segurança serão entregues a um ou mais administradores do Cliente através de qualquer meio selecionado pela Microsoft, incluindo por e-mail. É da exclusiva responsabilidade do Cliente garantir que os administradores do Cliente mantêm informações de contacto precisas em cada portal de serviços online aplicável. O cliente é o único responsável por cumprir as suas obrigações ao abrigo das leis de notificação de incidentes aplicáveis ao Cliente e cumprir quaisquer obrigações de notificação de terceiros relacionadas com qualquer Incidente de Segurança.
A Microsoft deve tomar medidas razoáveis para ajudar o Cliente a cumprir a obrigação do Cliente de acordo com o artigo 33 do GDPR ou outra lei ou regulamentação aplicável para notificar a autoridade de supervisão relevante e os titulares de dados sobre esse Incidente de Segurança.
A notificação ou resposta da Microsoft a um Incidente de Segurança nesta seção não é uma confirmação da Microsoft de qualquer falha ou responsabilidade em relação ao Incidente de Segurança.
Os clientes têm de notificar a Microsoft imediatamente sobre qualquer possível utilização indevida das suas contas ou credenciais de autenticação ou qualquer incidente de segurança relacionado com um serviço online.
Apêndice A: medidas de segurança
Procedimentos de resposta a incidentes
Para cada incidente de segurança que seja uma Violação de Dados do Cliente, a notificação da Microsoft (conforme descrito na secção "Notificação de Incidente de Segurança") será efetuada sem atrasos indevidos e, em qualquer caso, dentro de 72 horas.
Responsabilidade do cliente
Para garantir que as notificações sejam recebidas imediatamente pelos contatos corretos do cliente, o cliente deve manter informações de contato precisas em seus perfis de locatário.
Os clientes devem garantir que as informações de contacto estão atualizadas no centro de administração do Microsoft 365.
Os administradores de clientes devem configurar as opções de como as mensagens de Privacidade de Dados são exibidas no Centro de Mensagens para garantir que os administradores de clientes relevantes sejam informados das notificações de incidentes.
Se necessário, os Administradores Globais podem configurar mais funções com acesso ao conteúdo do Centro de Mensagens para evitar conceder direitos administrativos desnecessários a não administradores que necessitem de acesso a notificações de incidentes.
Os clientes compartilham a responsabilidade de relatar incidentes de segurança com a Microsoft. No contexto dos serviços comerciais da Microsoft (em vez dos serviços do Consumidor), a Microsoft é o Processador de Dados, enquanto o cliente é o Controlador de Dados. Se um incidente de segurança em que a Microsoft atua como o Processador de Dados, a Microsoft notificará os clientes afetados, que são responsáveis por notificar suas Autoridades de Proteção de Dados, órgãos regulatórios e usuários afetados, conforme exigido por quaisquer regulamentos ou leis relevantes. Além disso, se um cliente tomar conhecimento de um incidente de segurança que envolva as suas próprias contas de utilizador ou qualquer serviço online da Microsoft, o cliente terá de notificar a Microsoft de imediato, conforme descrito na Adenda de Proteção de Dados dos Produtos e Serviços Microsoft.
Saiba mais
- Visão geral do Gerenciamento de Incidentes
- Adenda à Proteção de Dados de Produtos e Serviços microsoft
- Microsoft Secure Score