Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Servicios profesionales de Microsoft incluye un grupo diverso de arquitectos técnicos, ingenieros, consultores y profesionales de soporte técnico dedicados a cumplir la misión de Microsoft de capacitar a los clientes para que hagan más y logren más. Nuestro equipo de Servicios Profesionales incluye más de 21 000 consultores, asesores digitales, ingenieros y profesionales de ventas que trabajan en 191 países y regiones, respaldan 46 idiomas diferentes y administran varios millones de compromisos al mes. El equipo se involucra en las interacciones entre clientes y asociados a través de herramientas locales, telefónicas, web, comunitarias y automatizadas. La organización aporta amplia experiencia en toda la cartera de Microsoft, aprovechando una amplia red de asociados, comunidades técnicas, herramientas, diagnósticos y canales que nos conectan con nuestros clientes empresariales.
El objetivo del equipo global de respuesta a incidentes de protección de datos de Servicios profesionales de Microsoft es (a) emplear operaciones y procesos rigurosos para evitar que se produzcan incidentes de protección de datos, (b) administrarlos de forma profesional y eficaz cuando se produzcan, y (c) aprender de estos incidentes de protección de datos a través de mejoras periódicas posteriores a la mortem y al programa. Varias auditorías de seguridad y cumplimiento, como ISO/IEC 27001, revisan y atestiguan los procesos y resultados del equipo de respuesta a incidentes de protección de datos de Servicios profesionales de Microsoft.
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos. Para obtener información general sobre la notificación de infracción en virtud del RGPD, consulte Notificación de infracción del RGPD.
Introducción a la respuesta a incidentes de protección de datos
Servicios profesionales de Microsoft se compromete a proteger a sus clientes y toma medidas considerables para evitar incidentes de protección de datos como medio para mantener la confianza del cliente. Un incidente de protección de datos en la organización de Servicios profesionales es una vulneración de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales o datos de servicios profesionales accidentales o ilegales, mientras microsoft los procesa. Para los clientes comerciales que compran soporte técnico unificado o entrega de soluciones del sector (ISD), consulte el lenguaje de respuesta a incidentes de protección de datos en el anexo de protección de datos de productos y servicios de Microsoft (DPA).
Ámbito y límites del proceso de respuesta a incidentes de protección de datos
Nuestro proceso de notificación de vulneración de datos personales comienza cuando declaramos que se ha producido una vulneración de datos personales.
Para declarar una vulneración de datos personales, el equipo de respuesta a incidentes de protección de datos de Microsoft debe determinar que se ha producido un incidente de protección de datos tal como se definió anteriormente. La declaración se produce en cuanto toda la información pertinente está disponible para determinar que se ha producido un incidente de protección de datos.
Debido a la naturaleza de los servicios profesionales, algunos eventos que parecen incidentes de protección de datos de Microsoft no se clasifican necesariamente como tales, ya que se produjeron a través de las acciones del cliente o en los sistemas del cliente. Servicios profesionales de Microsoft no supervisa ni responde a incidentes de protección de datos dentro del ámbito de responsabilidad del cliente. Sin embargo, cuando Microsoft tiene conocimiento de un incidente de protección de datos controlado por el cliente, clasificamos este incidente como un incidente de protección de datos controlado por el cliente. El equipo de respuesta a incidentes de protección de datos llama a este incidente un "evento". Microsoft informa al cliente de nuestra observación y, según lo solicitado, le ayuda en su esfuerzo de respuesta, en la medida en que lo requiera su interacción con Microsoft. Algunos ejemplos de incidentes de protección de datos controlados por el cliente incluyen el envío involuntario de las contraseñas del cliente y otros datos confidenciales, solicitudes para eliminar datos y ser víctima de fraude.
Algunas acciones están fuera del ámbito de este proceso por completo, como preguntas generales sobre nuestras normas o directivas de protección de datos, solicitudes de derechos de interesados, solicitudes de baja voluntaria, listas de deseos de productos o informes de errores no relacionados con la protección de datos, incidentes de protección de datos no relacionados con los datos de los clientes, y fraude contra Microsoft.
Tipos de incidentes de protección de datos
El equipo de respuesta a incidentes de protección de datos identificó un conjunto de escenarios que pueden producirse en servicios profesionales. Mientras se adhiere al marco básico de respuesta a incidentes de protección de datos, el equipo desarrolló y personalizó procedimientos para acelerar el proceso de respuesta. Por ejemplo, un correo electrónico mal dirigido podría requerir poca investigación. Por otro lado, la identificación de personal malintencionado podría requerir una investigación forense completa debido a la naturaleza subrepticia de las actividades de un delincuente. Este conjunto de escenarios podría proporcionar información sobre el proceso de respuesta a incidentes de protección de datos para servicios profesionales.
Proceso de respuesta ante incidentes de protección de datos
Cuando Servicios profesionales de Microsoft identifica un incidente de protección de datos, se produce un proceso de triaje en virtud del cual Microsoft (a) evalúa el evento, (b) determina si está en el ámbito de este proceso, (c) determina si fue malintencionado, (d) realiza una investigación preliminar y asigna un nivel de gravedad, y (e) alertas y coordenadas con las partes interesadas adecuadas dentro de Microsoft. El equipo también comienza a grabar los detalles con fines de seguimiento y el ejercicio posterior a la autopsia.
Detección
Servicios profesionales de Microsoft supervisa continuamente el ecosistema de incidentes emergentes de protección de datos en todos los almacenes de datos que contienen datos personales, tanto en línea como sin conexión. El equipo usa diferentes métodos para detectar incidentes de protección de datos, incluidas alertas automatizadas, informes de clientes, informes de terceros, observación de anomalías e indicaciones de actividad malintencionada o de hacker.
Los procesos de detección utilizados por Servicios profesionales de Microsoft están diseñados para detectar incidentes de protección de datos y desencadenar investigaciones. Por ejemplo:
- Se informa de vulnerabilidades de seguridad en el sistema de informes global de Microsoft como referencia, o bien se informa de estas directamente al equipo de respuesta ante incidentes de protección de datos de los Servicios profesionales.
- Los clientes envían informes desde el Portal de atención al cliente, donde se describe la actividad sospechosa.
- El personal de Servicios Profesionales envía escalaciones. Los empleados de Microsoft están preparados para identificar y escalar los posibles problemas de seguridad.
- En el caso de las herramientas y sistemas que se usan en el proceso de proporcionar servicios profesionales, los equipos de operaciones usan alertas del sistema automatizadas a través de marcos de supervisión y alertas internos. Estas alertas pueden aparecer en forma de alarmas basadas en firmas, como antimalware, detección de intrusiones o a través de algoritmos diseñados para generar perfiles de actividad y alertas esperadas sobre anomalías.
Simulacros de respuesta a incidentes de protección de datos y pruebas del plan de respuesta a incidentes de protección de datos
Además de la formación continua, cada año Professional Services ejecuta simulacros en asociación con los departamentos internos adecuados para comunicar los procedimientos, roles y responsabilidades de la escalada de incidentes de protección de datos a todos los miembros del equipo de estabilización. Este entrenamiento prepara a las partes interesadas clave para incidentes de protección de datos del mundo real, ya sea por motivos de seguridad, físicos o basados en la privacidad. Este entrenamiento incluye ejercicios con representantes del equipo de respuesta a incidentes de protección de datos, el equipo de seguridad, los equipos legales y el equipo de comunicaciones.
Después de los ejercicios, el equipo documenta el resultado y los métodos de corrección que decidió usar.
Aprendizaje de respuesta ante incidentes de protección de datos
Un componente clave de la respuesta a incidentes de protección de datos es la formación del personal para identificar e informar de incidentes de protección de datos. El personal de la organización De servicios profesionales debe realizar cursos de formación que cubran los aspectos básicos de privacidad, las regulaciones del RGPD y otras regulaciones y procedimientos recomendados sobre cómo identificar e informar de incidentes de protección de datos.
El entrenamiento en línea regular está disponible y la finalización es obligatoria para todo el personal. El programa de capacitación emplea pruebas, encuestas continuas, reconocimiento y seguimiento diseñados para garantizar que la capacitación se comprenda y conserve.
Proceso
Cuando la organización de Servicios profesionales de Microsoft identifica un incidente de protección de datos, sigue un plan de respuesta estándar del sector documentado, empezando por la determinación de que se cumplen los criterios de incidentes de protección de datos. Cuando se produce un incidente de protección de datos, el equipo generalmente lo declara inmediatamente después de la evaluación de prioridades. Sin embargo, en función de la complejidad, la declaración puede producirse en cualquier momento cuando esté disponible un nivel de información necesaria, incluso después de la fase de investigación. Por otro lado, el equipo tiene discreción para declarar un incidente de protección de datos basándose solo en sospechas razonables de aparición. El equipo también puede alternar entre las distintas fases a medida que avanza la investigación.
En función del nivel de gravedad, Microsoft también podría completar un post mortem interno para incidentes de protección de datos. Como parte de este ejercicio, el equipo evalúa la suficiencia de los procedimientos operativos y de respuesta, e identifica e implementa las actualizaciones que puedan ser necesarias para la respuesta a incidentes de protección de datos Standard procedimiento operativo o procesos relacionados. Los análisis finales internos para las vulneraciones de datos son registros muy confidenciales no disponibles para los clientes. Sin embargo, es posible que los postmortems se resuman e incluyan en las notificaciones de eventos del cliente. Como parte de un ciclo de auditoría rutinario, los auditores externos revisan los procesos posteriores a la autopsia para asegurarse de que se produce un seguimiento.
Notificación
Cuando Servicios profesionales de Microsoft declara un incidente de protección de datos, se dirige a la notificación a los clientes en un plazo de 72 horas.
Después de la declaración de un incidente de protección de datos, Servicios profesionales de Microsoft inicia el proceso de notificación lo más rápido posible, al tiempo que sigue teniendo en cuenta los riesgos de seguridad de moverse rápidamente. Para asegurarse de que la notificación se puede entregar correctamente, los clientes deben asegurarse de que la información de contacto administrativo de cada cuenta, suscripción y portal de servicios en línea aplicable es correcta. Aunque el objetivo es proporcionar a los clientes afectados un aviso preciso, accionable y oportuno, es posible que la notificación inicial no incluya detalles completos para lograr el compromiso de notificación de 72 horas. Es posible que todos los detalles no estén disponibles durante las primeras fases de un incidente de protección de datos. Además, es posible que Microsoft tenga que retener algunos detalles debido a las circunstancias del incidente de protección de datos. Por ejemplo, podría ser necesario retener los detalles si el acto de proporcionar una notificación aumenta el riesgo para otros clientes o interfiere con la capacidad de Microsoft o de la aplicación de la ley de capturar a un actor malintencionado.
Como procesador de datos, Microsoft reconoce que los clientes son responsables de determinar si la notificación es adecuada y, si es así, notificar a la Autoridad de Protección de Datos (DPA) competente y a los propios interesados del cliente cualquier vulneración de datos personales. Servicios profesionales de Microsoft trabaja para proporcionar a los clientes la información necesaria para continuar con la notificación en estas circunstancias.
Al notificar a los clientes una vulneración de datos personales, Microsoft incluye la siguiente información, si procede y se conoce:
- Naturaleza de la infracción
- Medidas de mitigación que Microsoft realiza o propone
- Producto, servicio o aplicación relacionada
- Plazo de tiempo en que se expusieron los datos personales, si se conocen
- Volumen de registros de datos personales afectados o expuestos, si se conocen
- Detalles del subprocesador o proveedor, si uno está implicado en la infracción
Más información
Obtenga más información sobre Los servicios profesionales de Microsoft en https://aka.ms/pstrust.