Notificação de violação do Microsoft Azure, Dynamics 365 e Power Platform sob o GDPR
A Microsoft leva a sério as suas obrigações de acordo com o RGPD (Regulamento Geral de Proteção de Dados). A Microsoft adota amplas medidas de segurança em seu serviços online para proteger contra violações de dados. Essas medidas incluem controles de segurança físicos e lógicos, bem como processos de segurança automatizados, políticas abrangentes de segurança e privacidade de informações e treinamento de segurança e privacidade para todos os funcionários.
A segurança é incorporada ao Microsoft Azure, Dynamics 365 e Power Platofrm desde o início, começando com o Ciclo de Vida do Desenvolvimento de Segurança, um processo de desenvolvimento obrigatório que incorpora metodologias de privacidade por design e privacidade por padrão. O princípio norteador da estratégia de segurança da Microsoft é "assumir a violação", que é uma extensão da estratégia de defesa detalhada. Ao desafiar constantemente as funcionalidades de segurança do Microsoft Azure, Dynamics 365 e do Power Platofrm, a Microsoft pode ficar à frente de ameaças emergentes. Para obter mais informações sobre segurança do Azure, examine esses recursos.
A Microsoft tem um serviço global dedicado de resposta a incidentes 24x7 que trabalha para mitigar os efeitos dos ataques contra o Microsoft Azure, Dynamics 365 e Power Platform. Atestada por várias auditorias de segurança e conformidade (por exemplo, ISO/IEC 27018), a Microsoft emprega operações e processos rigorosos em seus data centers para impedir o acesso não autorizado, incluindo monitoramento de vídeo 24x7, pessoal de segurança treinado, cartões inteligentes e controles biométricos.
Detecção de possíveis violações
Devido à natureza da computação em nuvem moderna, nem todas as violações de dados que ocorrem em um ambiente de nuvem de cliente envolvem serviços microsoft Azure, Dynamics 365 ou Power Platform. A Microsoft emprega um modelo de responsabilidade compartilhada para os serviços microsoft Azure, Dynamics 365 e Power Platform para definir as contas operacionais e de segurança. A responsabilidade compartilhada é importante ao discutir a segurança de um serviço de nuvem, porque o provedor de serviços de nuvem e o cliente são responsáveis por partes da segurança na nuvem.
A Microsoft não monitora nem responde a incidentes de segurança dentro do domínio de responsabilidade do cliente. Um compromisso de segurança somente para o cliente não seria processado como um incidente de segurança da Microsoft e exigiria que o locatário do cliente gerenciasse o esforço de resposta. A resposta a incidentes do cliente pode envolver colaboração com o suporte ao cliente do Microsoft Azure, Dynamics 365 suporte ao cliente e/ou suporte ao cliente do Power Platform, dado os contratos de serviço apropriados. A Microsoft também oferece vários serviços (por exemplo, Microsoft Defender para Nuvem) que os clientes podem usar para desenvolver e gerenciar a resposta a incidentes de segurança.
A Microsoft responde a uma possível violação de dados de acordo com o processo de resposta a incidentes de segurança, que é um subconjunto do plano de gerenciamento de incidentes da Microsoft. A resposta a incidentes de segurança do Azure da Microsoft é implementada usando um processo de cinco estágios: Detectar, avaliar, diagnosticar, estabilizar e fechar. A equipe de Resposta a Incidentes de Segurança pode alternar entre as etapas Diagnóstico e Estabilização à medida que a investigação progride. Abaixo um resumo do processo de resposta a incidentes de segurança:
Etapa | Descrição |
---|---|
1: Detectar | Primeira indício de um possível incidente. |
2: Avaliar | Um membro da equipe de resposta a incidentes de chamada avalia o impacto e a gravidade do evento. Com base em evidências, a avaliação pode ou não resultar em um novo escalonamento para a equipe de resposta à segurança. |
3: Diagnosticar | Os especialistas em resposta de segurança realizam a investigação técnica ou forense, identificam estratégias de contenção, mitigação e solução alternativa. Se a equipe de segurança achar que os dados do cliente podem ter sido expostos a um indivíduo criminoso ou não autorizado, a execução do processo de Notificação de Incidente do Cliente começa em paralelo. |
4: Estabilizar e Recuperar | A equipe de resposta a incidentes cria um plano de recuperação para atenuar o problema. Etapas de contenção de crise, como a quarantining de sistemas afetados, podem ocorrer imediatamente e em paralelo com o diagnóstico. Podem ser planejadas mitigações de longo prazo que ocorrem após a aprovação do risco imediato. |
5: Fechamento e Post-mortem | A equipe de resposta a incidentes cria um post-mortem que descreve os detalhes do incidente com a intenção de revisar políticas, procedimentos e processos para evitar a recorrência do evento. |
Os processos de detecção usados pelo Microsoft Azure, Dynamics 365 e Power Platform foram projetados para descobrir eventos que arriscam a confidencialidade, integridade e disponibilidade dos serviços do Azure, Dynamics 365 e Power Platform. Vários eventos podem desencadear uma investigação:
- Alertas de sistema automatizados por monitoramento interno e estruturas de alerta. Esses alertas podem vir na forma de alarmes baseados em assinatura, como anti-malware, detecção de invasão ou via algoritmos projetados para analisar a atividade esperada e alertar sobre anomalias.
- Relatórios internos dos Serviços da Microsoft em execução no Microsoft Azure e no Azure Governamental.
- As vulnerabilidades de segurança são relatadas ao Microsoft Security Response Center (MSRC) por meio de Relatar um problema. O MSRC trabalha com parceiros e pesquisadores de segurança do mundo inteiro para ajudar a impedir incidentes de segurança e aprimorar a segurança dos produtos da Microsoft.
- Relatórios de clientes por meio de portais, incluindo o Portal de Suporte ao Cliente do Microsoft Azure, Dynamics 365 suporte ao cliente, suporte ao cliente do Power Platform, Portal do Microsoft Azure e Portal de Gerenciamento de Azure Governamental, que descrevem atividades suspeitas atribuídas à infraestrutura do Azure (em oposição à atividade que ocorre no escopo de responsabilidade do cliente).
- Atividade de segurança da Equipe Azul e da Equipe Vermelha. Essa estratégia usa uma Equipe Vermelha altamente qualificada de especialistas em segurança ofensivos da Microsoft para descobrir e atacar possíveis fraquezas no Microsoft Azure. A equipe Azul de resposta de segurança deve detectar e se defender das atividades da equipe Vermelha. As ações tanto da Equipe Vermelha quanto da Equipe Azul são usadas para verificar se os esforços de resposta de segurança do Azure estão gerenciando com eficiência os incidentes de segurança. As atividades da Equipe Vermelha de Segurança e da Equipe Azul são operadas sob regras de engajamento para ajudar a garantir a proteção dos dados do cliente e dos dados pessoais.
- Escalonamentos por operadores do Microsoft Azure, Dynamics 365 e Power Platform Services. Os funcionários da Microsoft são treinados para identificar e escalonar possíveis problemas de segurança.
Resposta de violação de dados do Microsoft Azure, Dynamics 365 e Power Platform
A Microsoft atribui a prioridade adequada e os níveis de gravidade ao determinar o impacto funcional, a capacidade de recuperação e o impacto das informações do incidente. A prioridade e a severidade podem mudar durante a investigação, com base nas novas descobertas e conclusões. Os eventos de segurança que envolvem riscos iminentes ou confirmados para os dados dos clientes são tratados como de alta gravidade e trabalham o tempo todo até a resolução.
A Equipe de Resposta a Incidentes de Segurança trabalha com os engenheiros de serviços da Microsoft aplicáveis e especialistas no assunto para classificar o evento com base em dados factuais das evidências. Um evento de segurança pode ser classificado como:
- False Positive: um evento que atende aos critérios de detecção, mas que é considerado parte de uma prática comercial normal e pode precisar ser filtrado. As equipes de serviço identificarão a causa raiz de falsos positivos e abordarão-os de forma sistemática para ajustá-los conforme necessário.
- Evento de Segurança: uma ocorrência observável em um sistema, serviço e/ou rede para tentativa de ataque, evasão de controles de segurança ou um problema identificado onde os fatos indicam que os dados do cliente ou dados pessoais podem ter sido perdidos, destruídos, alterados, divulgados, ou acessado sem autorização.
- Incidente de Segurança/Incidente de segurança/privacidade relatável pelo cliente (CRSPI): uma violação de segurança confirmada (por exemplo, declarada) que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente ou Dados Pessoais durante o processamento pela Microsoft.
- Evento de privacidade: um evento de segurança que afeta dados do cliente ou dados pessoais ou processamento de dados que resulta em consequências não intencionais para a privacidade, incluindo a não conformidade com políticas de privacidade, padrões e controles da Microsoft.
- Incidente de privacidade/incidente de privacidade reportável de cliente/incidente de privacidade (CRSPI): um incidente de segurança que afeta dados do cliente ou dados pessoais, dados ou processamento de dados que resulta em consequências não intencionais para privacidade, incluindo não conformidade com políticas de privacidade, padrões e controles da Microsoft.
Para um CRSI ser declarado, a Microsoft deve determinar que o acesso não autorizado aos dados do cliente ocorreu ou muito provavelmente ocorreu e/ou que há um compromisso jurídico ou contratual exigindo a notificação. Um incidente geralmente é declarado como CRSI após a conclusão da etapa Diagnosticar um incidente de segurança. No entanto, a declaração pode ocorrer a qualquer momento quando todas as informações pertinentes estiverem disponíveis.
A Microsoft verifica se o risco de cliente e de negócios está contido com êxito e que medidas corretivas são implementadas. Se necessário, serão tomadas etapas de mitigação de emergência para resolve riscos imediatos de segurança associados ao evento.
A Microsoft também concluiu um post-mortem interno para violações de dados. Como parte deste exercício, a suficiência dos procedimentos operacionais e de resposta é avaliada e todas as atualizações necessárias para o SOP (Procedimento Operacional Padrão de Resposta a Incidentes de Segurança) ou processos relacionados são identificadas e implementadas. Os postmortems internos para violações de dados são registros altamente confidenciais que não estão disponíveis para os clientes. No entanto, postmortems podem ser resumidos e incluídos nas notificações de evento de outro cliente. Esses relatórios são fornecidos a auditores externos para revisão como parte dos ciclos de auditoria de rotina do Microsoft Azure, Dynamics 365 e Power Platform.
Notificação de cliente
A Microsoft notifica os clientes afetados e as autoridades regulatórias sobre violações de dados, conforme necessário. A Microsoft depende de compartimentalização interna pesada na operação do Microsoft Azure, Dynamics 365 e Power Platform. Uma vantagem desse design é que a maioria dos incidentes pode ser filtrada por um escopo para clientes específicos. O objetivo é notificar os clientes afetados de forma precisa, acionável e em tempo hábil quando seus dados forem violados.
Após a declaração de um CRSPI, o processo de notificação ocorrerá o mais rapidamente possível, considerando os riscos de segurança da mudança rápida. Os avisos do cliente são entregues sem atrasos indevidos e, em qualquer caso, em no máximo 72 horas a partir do momento em que declaramos uma violação , exceto em algumas circunstâncias limitadas, alguns exemplos são os seguintes:
- A Microsoft acredita que o ato de executar uma notificação aumentará o risco para outros clientes. Por exemplo, o ato de notificar pode avisar um adversário e causar uma incapacidade de correção.
- O linha do tempo de 72 horas pode deixar alguns detalhes do incidente indisponíveis. Esses detalhes são fornecidos aos clientes e autoridades regulatórias à medida que a investigação avança.
A Microsoft fornece aos clientes afetados informações detalhadas, permitindo-lhes realizar investigações internas e ajudá-los a cumprir os compromissos do usuário final, sem atrasar indevidamente o processo de notificação. A notificação de uma violação de dados para o Azure será entregue à folha de notificações de integridade do serviço Microsoft Azure de um cliente como um Aviso de Segurança. Se for garantido, uma ou mais das seguintes funções poderão ser notificadas por email de um incidente de segurança ou privacidade em conjunto com ou em vez de uma notificação de integridade do serviço:
- Administradores ou proprietários de assinatura do Azure
- Microsoft Entra administradores globais de locatários
- Microsoft Entra contatos técnicos do locatário
A equipe do Microsoft Azure ou Azure Governamental também pode optar por notificar outros funcionários da Microsoft, como membros da equipe do CSS (Serviço de Suporte ao Cliente) da Microsoft e os Gerentes de Conta do cliente (AM) ou CSAM (Customer Success Account Manager). Esses indivíduos geralmente têm um relacionamento próximo com o cliente e podem facilitar uma correção mais rápida.
A notificação de uma violação de dados para a Microsoft Dynamics 365 e o Power Platform será entregue ao Centro de administração do Microsoft 365 em "Central de Mensagens" e "Integridade do serviço dashboard". Mais detalhes podem ser encontrados em Políticas e Comunicações para o Power Platform e serviços de Dynamics 365.
Recursos de segurança internos do Microsoft Dynamics 365 e do Power Platform
A Microsoft Dynamics 365 e o Power Platform aproveitam a infraestrutura do serviço de nuvem e os recursos de segurança internos para manter os dados seguros usando medidas e mecanismos de segurança para proteger dados. Além disso, Dynamics 365 e o Power Platform fornecem acesso eficiente aos dados e colaboração com integridade e privacidade de dados nas seguintes áreas: identidade segura, proteção de dados, segurança baseada em função e gerenciamento de ameaças.
As ofertas do Microsoft Dynamics 365 e do Power Platform seguem as mesmas medidas técnicas e organizacionais que uma ou mais equipes de serviço do Microsoft Azure tomam para proteger contra processos de violação de dados. Portanto, todas as informações documentadas no documento de notificação 'Violação de Dados do Microsoft Azure' aqui também se aplicam ao Microsoft Dynamics 365 e ao Power Platform.