Como OneDrive protege seus dados
Os engenheiros da Microsoft administram OneDrive usando um console Windows PowerShell que requer autenticação de dois fatores. Executamos tarefas do dia-a-dia executando fluxos de trabalho para que possamos responder rapidamente a novas situações. Nenhum engenheiro tem acesso permanente ao serviço. Quando os engenheiros precisam de acesso, eles devem solicitá-lo. A elegibilidade é verificada, e se o acesso de engenheiro for aprovado, é apenas por um tempo limitado.
Adicionalmente, OneDrive e Office 365, investe fortemente em sistemas, processos e pessoal para reduzir a probabilidade de violação de dados pessoais e para detectar e mitigar rapidamente a consequência da violação se ela ocorrer. Alguns de nossos investimentos neste espaço incluem:
Sistemas de controle de acesso: OneDrive e Office 365 mantêm uma política de “acesso zero”, o que significa que os engenheiros não têm acesso ao serviço, a menos que seja explicitamente concedido em resposta a um incidente específico que exija a elevação do acesso. Sempre que o acesso é concedido, ele é feito sob o princípio do privilégio mínimo: a permissão concedida para um pedido específico permite apenas um conjunto mínimo de ações necessárias para atender a esse pedido. Para fazer isto, OneDrive e Office 365 mantêm uma separação rigorosa entre “funções de elevação”, com cada função apenas permitindo que certas ações pré-definidas sejam tomadas. A função “Acesso aos Dados do Cliente” é distinta de outras funções que são mais comumente usadas para administrar o serviço e é mais escrutinada antes da aprovação. Em conjunto, esses investimentos em controle de acesso reduzem muito a probabilidade de um engenheiro na OneDrive ou Office 365 acessar inadequadamente os dados do cliente.
Sistemas de monitoramento de segurança e automação: A OneDrive e o Office 365 mantêm sistemas de monitoramento de segurança robustos e em tempo real. Entre outros problemas, estes sistemas levantam alertas para tentativas de acesso ilícito a dados de clientes ou para tentativas de transferência ilícita de dados para fora do nosso serviço. Em relação aos pontos sobre controle de acesso mencionados acima, nossos sistemas de monitoramento de segurança mantêm registros detalhados dos pedidos de elevação que são feitos, e as ações tomadas para um determinado pedido de elevação. OneDrive e Office 365 também mantêm investimentos de resolução automática que agem automaticamente para mitigar ameaças em resposta a problemas que detectamos, e equipes dedicadas para responder a alertas que não podem ser resolvidos automaticamente. Para validar nossos sistemas de monitoramento de segurança, a OneDrive e o Office 365 realizam regularmente exercícios de equipe vermelha, nos quais uma equipe interna de testes de penetração simula o comportamento do atacante contra o ambiente ao vivo. Estes exercícios levam a melhorias regulares nas nossas capacidades de monitoramento de segurança e resposta.
Pessoal e processos: Além da automação descrita acima, OneDrive e Office 365 mantêm processos e equipes responsáveis tanto por educar a organização em geral sobre processos de gerenciamento de privacidade e incidentes, quanto por executar esses processos durante uma violação. Por exemplo, um detalhado Procedimento Operacional Padrão (SOP) de violação de privacidade é mantido e compartilhado com as equipes em toda a organização. Este SOP descreve em detalhes as funções e responsabilidades tanto das equipes individuais dentro da OneDrive e Office 365 quanto das equipes de resposta a incidentes de segurança centralizadas. Estes abrangem tanto o que as equipes precisam fazer para melhorar sua própria postura de segurança (conduzir revisões de segurança, integrar com sistemas centrais de monitoramento de segurança e outras melhores práticas), quanto o que as equipes precisariam fazer no caso de uma violação real (rápida escalada para a resposta ao incidente, manter e fornecer fontes de dados específicas que serão usadas para agilizar o processo de resposta). As equipes também são regularmente treinadas em classificação de dados e procedimentos corretos de manuseio e armazenamento de dados pessoais.
A principal vantagem é que a OneDrive e o Office 365, tanto para planos de consumo quanto de negócios, investem fortemente na redução da probabilidade e das conseqüências da violação de dados pessoais que afetam nossos clientes. Se ocorrer uma violação de dados pessoais, estamos empenhados em notificar rapidamente nossos clientes uma vez que essa violação seja confirmada.