search

Em um cenário em que ocorreu uma violação em um sistema com dados pessoais

1 anos atrás
Comentários: 0
Visualizações: 179

Avançar para o conteúdo principal

Não há mais suporte para esse navegador.

Show

Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.

  • Artigo
  • 09/13/2021
  • 4 minutos para o fim da leitura

Neste artigo

Como um processador de dados, o Office 365 garante que nossos clientes possam atender aos requisitos de notificação de violação de RGPD como controladores de dados. Para essa finalidade, estamos comprometidos com as seguintes ações:

  • Em fornecer aos clientes a capacidade de especificar um contato de privacidade dedicado que será notificado sobre a violação. Os clientes podem especificar esse contato usando as configurações de função do leitor de Privacidade para o Centro de Mensagens.
  • Em notificar os clientes de uma violação de dados em até 72 horas após uma violação ser declarada. As notificações serão publicadas no centro de mensagens, o qual pode ser acessado por meio do Centro de administração do Microsoft 365. Secundariamente, as notificações de email são enviadas para contatos especificados indicando que uma nova postagem foi publicada no Centro de Mensagens.
  • A notificação inicial incluirá ao menos uma descrição da natureza da violação, a aproximação de impacto sobre o usuário e as etapas de mitigação (se aplicável). Se nossa investigação não for concluída até o momento da notificação inicial, podemos indicar as próximas etapas e linhas de tempo para comunicação subsequente em nossa notificação inicial.

A Microsoft reconhece que os controladores de dados são responsáveis por conduzir avaliações de risco e determinar se uma violação requer a notificação de DPA ao cliente e a nossa notificação aos clientes fornece as informações necessárias para executar tal avaliação. Portanto, a Microsoft avisará aos clientes sobre qualquer violação de dados pessoais, exceto nesses casos em que os dados pessoais confirmados sejam incompreensíveis (por exemplo, dados criptografados nos quais a integridade das chaves está confirmada).

Investimentos do Office 365 em segurança de dados

Além do nosso compromisso de fornecer a notificação de violação em tempo hábil, o Office 365 investe fortemente em sistemas, processos e equipes para reduzir a probabilidade de violação de dados pessoais e para rapidamente detectar e reduzir a consequência da violação, caso ocorra.

Veja aqui uma descrição de alguns dos nossos investimentos relacionados:

  • Sistemas de controle do acesso. O Office 365 mantém uma política de "acesso zero", o que significa que os engenheiros não têm acesso ao serviço, a menos que seja concedido explicitamente em resposta a uma ocorrência específica que exija um acesso elevado. Sempre que o acesso for concedido, será feito seguindo o princípio de privilégios mínimos: a permissão é concedida para uma solicitação específica a fim de permitir apenas um conjunto mínimo de ações necessárias para o serviço solicitado. Para isso, o Office 365 mantém uma separação estrita entre "funções de elevação", com cada função permitindo apenas a execução de determinadas ações predefinidas. A função "Acessar dados do cliente" é distinta de outras funções geralmente usadas para administrar o serviço e sua inspeção é considerada com muito mais atenção antes da aprovação. Em conjunto, esses investimentos no controle do acesso reduzem muito a probabilidade de que um engenheiro do Office 365 acesse dados de clientes de forma inadequada.

  • Sistemas de monitoramento de segurança e automação: o Office 365 mantém sistemas de monitoramento de segurança robustos em tempo real. Entre outros problemas, esses sistemas geram alertas por tentativas ilícitas de acessar dados de clientes ou de transferir dados de nosso serviço. Relacionados aos pontos de controle de acesso mencionados anteriormente, nossos sistemas de monitoramento de segurança mantêm registros detalhados das solicitações de elevação realizadas e das ações tomadas para uma determinada solicitação de elevação. O Office 365 também investe em resoluções automáticas que atuam automaticamente para mitigar as ameaças em resposta aos problemas detectados e equipes dedicadas para responder a alertas que não possam ser solucionados automaticamente. Para validar os sistemas de monitoramento de segurança, o Office 365 conduz regularmente exercícios em equipe, nos quais uma equipe de testes de invasão interna simula um comportamento invasor em relação ao ambiente ao vivo. Esses exercícios levam a melhorias regulares dos nossos recursos de resposta e do monitoramento da segurança.

  • Equipe e processos: além da automação descrita anteriormente, o Office 365 mantém os processos e as equipes responsáveis por educar as organizações de forma mais ampla sobre a privacidade e os processos de gerenciamento de incidentes, e por executar esses processos durante uma violação. Por exemplo, o procedimento operacional padrão (SOP) detalhado de uma violação de privacidade é mantido e compartilhado com as equipes por toda a organização. Este SOP descreve detalhadamente as funções e responsabilidades de equipes individuais do Office 365 e das equipes de resposta a incidentes de segurança centralizada. Essas responsabilidades abrangem o que as equipes precisam fazer para melhorar suas próprias condições de segurança (realizar análises de segurança, integração com sistemas de monitoramento de segurança central e outras práticas recomendadas) e o que precisam fazer se houver uma violação real (escalonamento rápido da resposta ao incidente, manter e fornecer fontes de dados específicos a serem usados para acelerar o processo de resposta). As equipes recebem treinamento constante sobre a classificação de dados, procedimentos corretos de armazenamento e manipulação de dados pessoais.

O principal argumento é que o Office 365 investe imensamente na redução da probabilidade e nas consequências de violações de dados pessoais que afetem os clientes. Se ocorrer uma violação de dados pessoais, temos o compromisso de notificar rapidamente os nossos clientes, assim que a violação for confirmada.

O que esperar no caso de violação

A seção acima descreve investimentos que o Office 365 usa para reduzir a probabilidade de violação de dados. No caso improvável de que uma violação ocorra, os clientes devem aguardar uma experiência previsível em termos das seguintes respostas:

  • Um ciclo de vida consistente de respostas a incidentes no Office 365. Como descrito acima, o Office 365 mantém SOPs detalhados de respostas a incidentes que descrevem como as equipes devem se preparar contra violações e como devem operar se ocorrer uma violação, o que garante que nossos processos e proteções sejam aplicados por todos os serviços.

  • Critérios consistentes para notificar os clientes. Nossos critérios de notificação se concentram na confidencialidade, integridade e disponibilidade de dados de clientes. O Office 365 notifica diretamente os clientes se a confidencialidade ou a integridade de seus dados forem afetadas. Ou seja, notificamos os clientes se seus dados forem acessados sem a adequada autorização ou se houver perdas ou destruição de dados inadequadas. O Office 365 também informa problemas que afetem a disponibilidade de dados, embora essa ação geralmente seja feita pelo Painel de Integridade do Serviço (SHD).

  • Detalhes de notificação consistente. Quando o Office 365 faz comunicações sobre violação de dados, os clientes podem esperar que sejam informados detalhes específicos; no mínimo, forneceremos os seguintes detalhes:

    • O momento da violação e o momento em que a violação foi percebida.
    • A quantidade aproximada de usuários afetados.
    • Os tipos de dados do usuário que foram violados.
    • Ações necessárias para reduzir a violação, seja do controlador ou do processador.

Os clientes também devem observar que o Office 365, como um processador de dados, não determina o risco de violação de dados. Sempre que for detectada uma violação de dados pessoais, notificaremos os clientes e forneceremos os detalhes que eles precisam para determinar com precisão o risco para os usuários afetados e para decidir se é necessário reportar às autoridades regulamentares. Para essa finalidade, espera-se que os controladores de dados determinem o seguinte sobre o incidente:

  • Gravidade da violação (ou seja, a determinação do risco).
  • Se é necessário notificar os usuários finais.
  • Se é necessário notificar os reguladores (DPAs).
  • As etapas específicas que o controlador deve tomar para reduzir as consequências da violação.

Em alguns cenários, um cliente pode ficar ciente de uma violação e querer notificar a Microsoft. O protocolo atual é para clientes que queiram notificar o Suporte da Microsoft, que interagirá com equipes de engenharia para saber mais. Nesse cenário, as equipes de engenharia da Microsoft têm, da mesma forma, o compromisso de fornecer em tempo hábil as informações que os clientes precisarem.

Chamada à ação para clientes

Como mencionado anteriormente, o Office 365 está comprometido em notificar os clientes em até 72 horas da declaração de violação. O administrador do locatário do cliente será notificado. Além disso, o Office 365 recomenda que os clientes designem um alias de Contato de Privacidade Global, o que pode ser feito no portal do Azure Active Directory. No caso de violação de dados pessoais, este alias pode ser receber a notificação por email, além da notificação a ser enviada aos administradores.

O contato de privacidade do cliente pode ser uma pessoa da organização, uma lista de distribuição (LD) ou alguém de fora da organização. O Office 365 somente solicita que os clientes forneçam um endereço de email para este contato, que os clientes podem especificar esse endereço do portal do Azure Active Directory, no campo "Contato de Privacidade Global". Esse campo é relacionado, mas distinto do campo "Contato Técnico" existente no Azure Active Directory. Se os clientes optarem por especificar uma LD para este contato, devem garantir que a lista de distribuição esteja configurada para habilitar o recebimento de mensagens de remetentes externos.

Para resumir, o Office 365 solicita que os clientes façam o seguinte para receberem os benefícios de nossos processos de notificação de violações:

  • Escolha um contato para receber notificações por email sobre a violação de dados pessoais. Este contato deve estar ciente dos requisitos de controladores, de acordo com o RGPD, e deve estar preparado para interagir com o Responsável pela proteção de dados da organização e até mesmo com a Autoridade de proteção a dados logo após receber a notificação. Os administradores do locatário também receberão as notificações de violação e, da mesma forma, deverão estar cientes dos requisitos do controlador de acordo com o RGPD.
  • Insira o endereço de email do contato de privacidade no portal do Azure Active Directory. Se nenhuma informação de Contato de Privacidade Global for fornecida, a Microsoft notificará somente o administrador do locatário.

O que fazer caso haja uma suspeita de violação de dados?

O que fazer em caso de um incidente de segurança com dados pessoais?.
Comunicar ao encarregado (Art. ... .
Comunicar ao controlador, se você for o operador, nos termos da LGPD;.
Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art..

Como comunicar a violação de dados pessoais?

As violações de dados pessoais que possam resultar em risco para os seus titulares devem de ser comunicadas à Autoridade de Controlo (CNPD) até 72 horas após terem sido detetadas (RGPD, artigo 33.º). A avaliação do risco deve ser feita em conjunto com o DPO.

O que é considerada violação de dados pessoais?

Uma violação de dados pessoais ou data breach é uma violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento (artigo 4.º, alínea 12), do RGPD ...

Qual resposta representa uma violação de dados pessoais?

Resposta. Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados.

em um cenário em ocorreu uma violação em um sistema dados pessoais LGPD Dados pessoais sensíveis LGPD dados sensíveis ANPD Brasil CertiProf LGPD

Postagens relacionadas

Quem o controlador deve informar em caso de ocorrência de incidente de segurança?
Quem o controlador deve informar em caso de ocorrência de incidente de segurança?

O que diferencia educação especial da educação em geral o tipo de atendimento às pessoas de acordo com sua característica coletiva?
O que diferencia educação especial da educação em geral o tipo de atendimento às pessoas de acordo com sua característica coletiva?

Como fixar um dente mole
Como fixar um dente mole

Quais foram as principais consequências da União Ibérica para a história do Brasil?
Quais foram as principais consequências da União Ibérica para a história do Brasil?

Qual a relação entre a União Ibérica e as invasões holandesas na América portuguesa?
Qual a relação entre a União Ibérica e as invasões holandesas na América portuguesa?

Quais eram os continentes mais populosos no ano de 2022 eles ocuparam a mesma posição em 2050
Quais eram os continentes mais populosos no ano de 2022 eles ocuparam a mesma posição em 2050

O que um homem de 60 anos gosta
O que um homem de 60 anos gosta

Quais as consequências que o crescimento populacional pode trazer em relação ao meio ambiente?
Quais as consequências que o crescimento populacional pode trazer em relação ao meio ambiente?

Como o desenvolvimento científico e tecnológico possibilita a produção de um podcast?
Como o desenvolvimento científico e tecnológico possibilita a produção de um podcast?

Quais aspectos psicológicos O psicólogo deve considerar em sua avaliação?
Quais aspectos psicológicos O psicólogo deve considerar em sua avaliação?

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?

If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes

50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls

20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall

Which group would be most likely to oppose government intervention to improve the tenements
Which group would be most likely to oppose government intervention to improve the tenements

What is the name of the process in which one company studies the processes of another firm?
What is the name of the process in which one company studies the processes of another firm?

Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?

Ferrous sulfate life threatening Considerations
Ferrous sulfate life threatening Considerations

How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?

Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?

Publicidade

ÚLTIMAS NOTÍCIAS

Is defined as two or more interacting and interdependent individuals who come together to achieve specific goals?
1 anos atrás . por InflatedHumility
If 5 men can make 5 flags in 5 minutes how many men are required to make 50 flags in 50 minutes
1 anos atrás . por TropicalPhrasing
50 workers can build 50 walls in 25 days how many days will it take for 25 workers to build 25 walls
1 anos atrás . por DamagedShoplifting
20 workers need 6 hours to build a wall how many hours will 15 workers need to build the same wall
1 anos atrás . por IncredibleLitigation
Which group would be most likely to oppose government intervention to improve the tenements
1 anos atrás . por EscapingAdvice
What is the name of the process in which one company studies the processes of another firm?
1 anos atrás . por PerverseSiding
Which one of these represents a firm that seeks to match the benefits of a successful competitor while maintaining its competitive position?
1 anos atrás . por SatiricalCrossroads
Ferrous sulfate life threatening Considerations
1 anos atrás . por DarkStandpoint
How many liters of water must be added to 21 liters of milk and water contains 20% water to make it 40% water in it?
1 anos atrás . por NostalgicTuesday
Which of the following programs can copy itself and spread from one file to another such as in word processing or spreadsheet programs?
1 anos atrás . por PlanetaryWomanhood

Toplistas

#1
Top 7 remédio para dor de ouvido infantil 6 anos 2022
1 anos atrás
#2
Top 7 folder programa para fazer 2022
1 anos atrás
#3
Top 7 o que é bom para reduzir o colesterol ruim 2022
1 anos atrás
#4
Top 8 o que é cidade local 2022
1 anos atrás
#5
Top 8 distancia entre cidades americanas e canadenses 2022
1 anos atrás
#6
Top 9 o texto apresenta uma relação entre atividade econômica e organização social marcada pelo 2022
1 anos atrás
#7
Top 5 blusas de croche verão 2022
1 anos atrás
#8
Top 6 cha de cordão de frade para que serve 2022
1 anos atrás
#9
Top 8 se a cada hora o planeta percorre 15° de longitude quantos graus ele realiza a cada rotação 2022
1 anos atrás
#10
Top 5 crie um algoritmo que calcule o valor do fatorial de um número fornecido pelo usuário 2022
1 anos atrás

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 comojogaruno Inc.