Поделиться через

Уведомление о нарушении GDPR

Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в разделе Сводка по GDPR. В этом документе вы сможете получить сведения об уведомлениях о нарушении согласно требованиям GDPR при использовании продуктов и служб Майкрософт.

Что составляет нарушение личных данных в GDPR?

Персональные данные — это любая информация, связанная с физическим лицом, которую вы можете использовать для их прямой или косвенной идентификации. Утечка персональных данных — это "нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию персональных данных, передаваемым, сохраненным или иным образом обработанным, а также доступу к ней".

Терминология

Полезные определения терминов GDPR, используемых в этом документе:

  • Контролер данных (контролер): юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Майкрософт и уведомление о нарушении безопасности

Майкрософт со всей серьезностью относится к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). Инцидент безопасности или утечка данных относится к таким событиям, как незаконный доступ к данным клиента, хранящимся на оборудовании Майкрософт или в помещениях Майкрософт, или несанкционированный доступ к таким данным, которые могут привести к потере, раскрытию или изменению данных клиента.

Корпорация Майкрософт, как обработчик данных, гарантирует, что клиенты служб могут соответствовать требованиям GDPR к уведомлениям о нарушении в качестве контроллеров данных. Наши уведомления предоставляют сведения, необходимые для проведения такой оценки. Майкрософт уведомляет клиентов о любых нарушениях безопасности личных данных, за исключением тех случаев, когда личные данные являются нечитаемыми (например, зашифрованные данные при подтверждении целостности ключей).

Управляющие данными несут ответственность за оценку риска для конфиденциальности данных и определение необходимости уведомления DPA клиента о нарушении безопасности данных. Корпорация Майкрософт предоставляет сведения, необходимые для проведения такой оценки, наряду с политикой соответствия требованиям GDPR.

Начальное уведомление содержит описание характера нарушения, приблизительных последствий для пользователя и, в соответствующих случаях, действий по устранению риска. Если наше исследование не завершено во время первоначального уведомления, мы указываем дальнейшие шаги и сроки для последующего взаимодействия. Дополнительные информацию о том, как Майкрософт обнаруживает нарушения безопасности персональных данных и реагирует на них, см. в статье Уведомление о нарушениях безопасности данных согласно требованиям GDPR на портале Service Trust Portal.

Ниже приведены сведения об уведомлении о нарушении безопасности для определенных продуктов и служб Майкрософт.

  1. Office 365

    Корпорация Майкрософт активно инвестирует в системы, процессы и персонал, чтобы снизить вероятность нарушения безопасности личных данных, а также быстро определять и устранять их последствия. Дополнительные сведения см. в статье Office 365 Инвестиции в безопасность данных.

    Клиент может узнать о нарушении безопасности и обратиться в корпорацию Майкрософт. В этом случае уведомите служба поддержки Майкрософт, который затем взаимодействует с командами инженеров для получения дополнительных сведений.

  2. Azure и Dynamics 365

    В корпорации Майкрософт круглосуточно действует глобальная служба реагирования на инциденты, чьей задачей является смягчение последствий атак на Microsoft Azure и Dynamics 365.

    • Обнаружение нарушений: поскольку и у корпорации Майкрософт, и у клиента есть обязательства по обеспечению безопасности, службы Azure используют модель общей ответственности в отношении безопасности и функционирования в целом. Корпорация Майкрософт не отслеживает и не реагирует на инциденты безопасности в пределах ответственности клиента. Реагирование клиентов на инциденты может включать совместную работу со службой поддержки Azure с учетом соответствующих контрактов на обслуживание. Microsoft Azure также предлагает различные службы (например, Microsoft Defender для облака), которые клиенты могут использовать для разработки и управления реагированием на инциденты безопасности.

      Список событий, которые вызывают анализ нарушений в Microsoft Azure, см. в разделе Обнаружение потенциальных нарушений. В статье Azure и уведомление о нарушениях согласно требованиям GDPR содержится дополнительная информация о том, как Майкрософт анализирует, управляет и реагирует на нарушения безопасности в Azure.

    • Реагирование на нарушения безопасности данных: Корпорация Майкрософт определяет применимые уровни приоритета и серьезности нарушения путем изучения функционального воздействия, возможности восстановления и информационного воздействия инцидента. Приоритет и серьезность могут измениться в ходе расследования на основе новых выводов и выводов. Команда Майкрософт по реагированию на угрозы безопасности тесно сотрудничает с международными консультантами по правовым вопросам, помогая обеспечить проведение судебной экспертизы в соответствии с юридическими обязанностями и обязательствами перед клиентами. Эти процессы описаны в разделе Реагирование на нарушения безопасности данных в Azure.

    • Уведомление клиента: Microsoft Azure уведомляет клиентов и регулирующие органы о нарушении безопасности данных в соответствии с установленными требованиями. Уведомление клиенту доставляется в срок до 72 часов с момента заявления о нарушении, за исключением следующих обстоятельств:

      • Майкрософт считает, что отправка уведомления увеличивает риск для других клиентов.
      • 72-часовой временная шкала может оставить некоторые сведения об инциденте доступными. Эти сведения предоставляются вам по мере продолжения расследования.

      Дополнительные сведения можно найти в разделе Уведомление клиента.

  3. Служба поддержки и профессиональные услуги Майкрософт
    Характер профессиональных услуг означает, что некоторые инциденты защиты данных могут подпадать под сферу ответственности клиента. Когда Профессиональные услуги Майкрософт определяют инцидент, связанный с защитой данных, они действуют согласно документально установленному стандартному производственному плану реагирования, как указано в статье Область и ограничения процесса реагирования на инциденты защиты данных.

  4. Windows

    Конфигурация обработчика диагностических данных Windows использует инфраструктуру облачных служб и встроенные функции безопасности для обеспечения безопасности данных. Корпорация Майкрософт имеет глобальную службу реагирования на инциденты 24x7, которая работает для устранения последствий атак на конфигурацию обработчика диагностических данных Microsoft Azure и Windows.

Средства администрирования уведомлений о нарушении

  • Настройка контакта по вопросам конфиденциальности вашей организации. Администраторы клиентов могут использовать Центр администрирования Microsoft Entra, чтобы задать контакт вашей организации по вопросам конфиденциальности в случае, если корпорации Майкрософт потребуется связаться с ними.

Дополнительные сведения

  • Last updated on