Información general sobre seguridad del centros de datos

¿Cómo hospeda Microsoft sus servicios en línea?

Microsoft ofrece más de 200 servicios en la nube, incluidos servicios empresariales como Microsoft Azure, Microsoft 365 y Microsoft Dynamics 365, a los clientes 24x7x365. Estos servicios se hospedan en la infraestructura en la nube de Microsoft formada por centros de datos distribuidos globalmente, nodos de informática perimetral y centros de operaciones de servicio. Son compatibles y conectados por una de las redes globales más grandes del mundo, con una extensa superficie de fibra.

Los centros de datos que proporcionan energía a nuestra nube se centra en ofrecer alta confiabilidad, excelencia operativa, rentabilidad, sostenibilidad ambiental y una experiencia en línea de confianza para los clientes y socios de todo el mundo. Microsoft prueba, de manera periódica, la seguridad de nuestro centro de datos a través de auditorías internas y de terceros. Como resultado, las organizaciones con mayor grado de reglamentación del mundo confían en la nube de Microsoft, la cual cumple con más certificaciones que cualquier otro proveedor de servicios en la nube.

¿Cómo protege Microsoft sus centros de datos frente a accesos no autorizados?

El acceso a las instalaciones del centro de datos físico está estrechamente controlado por perímetros exteriores e internos, lo que aumenta la seguridad en cada nivel, incluidos los cercados perimetrales, los agentes de seguridad, los bastidores de servidores bloqueados, los sistemas de alarma integrados, la vigilancia de vídeo todo el día por parte del centro de operaciones y el control de acceso multifactor. Solo el personal necesario está autorizado para acceder a los centros de datos de Microsoft. El acceso lógico a la infraestructura de Microsoft 365, incluidos los datos de los clientes, está prohibido en los centros de datos de Microsoft.

Nuestros centros de operaciones de seguridad usan la videovigilancia junto con sistemas de control de acceso electrónico integrados para supervisar los sitios y las instalaciones del centro de datos. Las cámaras están colocadas estratégicamente para cubrir eficazmente el perímetro de las instalaciones, las entradas, las zonas de carga, las jaulas de servidores, los pasillos interiores y otros puntos de seguridad confidenciales de interés. Como parte de nuestra posición de seguridad multicapa, los intentos de entrada no autorizados detectados por los sistemas de seguridad integrados generan alertas al personal de seguridad para una respuesta y corrección inmediatas.

¿Cómo protege Microsoft sus centros de datos frente a riesgos ambientales?

Microsoft emplea una variedad de medidas de seguridad para protegerse frente a amenazas ambientales para la disponibilidad del centro de datos. Los sitios del centro de datos se seleccionan estratégicamente para minimizar el riesgo de diversos factores, como inundaciones, terremotos, huracanes y otros desastres naturales. Nuestros centros de datos usan el control climático para supervisar y mantener espacios acondicionados optimizados para el personal, el equipo y el hardware. Los sistemas de detección y extinción de incendios y sensores de agua ayudan a detectar y evitar daños por incendios y agua en los equipos.

Los desastres son imprevisibles, pero los centros de datos de Microsoft y el personal de operaciones se preparan para los desastres con el fin de garantizar la continuidad de las operaciones en caso de que se produzcan eventos inesperados. Una arquitectura resistente y unos planes de continuidad probados y actualizados mitigan los posibles daños y propician una rápida recuperación de las operaciones del centro de datos. Los planes de administración de crisis proporcionan claridad sobre los roles, las responsabilidades y las actividades de mitigación antes, durante y después de una crisis. Los roles y los contactos definidos en estos planes facilitan la remisión eficaz a una instancia superior de la cadena de comandos durante situaciones de crisis.

¿Cómo comprueba Microsoft la eficacia de la seguridad del centro de datos?

Somos conscientes de que, para que nuestros clientes se den cuenta de las ventajas de la nube, deben poder confiar en su proveedor de servicios en la nube. Nuestra infraestructura y nuestro conjunto de servicios de la nube se crean desde cero para satisfacer los requerimientos más estrictos de seguridad y privacidad de nuestros clientes. Ayudamos a nuestros clientes a cumplir los requerimientos nacionales, regionales y específicos del sector que rigen la recopilación y el uso de datos de personas, al proporcionar el conjunto más completo de ofertas de cumplimiento que cualquier proveedor de servicios en la nube.

La infraestructura y las ofertas de la nube cumplen con un amplio conjunto de estándares de cumplimiento internacionales y específicas de la industria, como ISO, HIPAA, FedRAMP y SOC, así como estándares específicos de cada país o región, como IRAP en Australia, G-Cloud en el Reino Unido y MTCS en Singapur. Las rigurosas auditorías de terceros comprueban nuestro cumplimiento de los estrictos controles de seguridad que estos estándares exigen. Los informes de auditoría de nuestra infraestructura de centro de datos y las ofertas en la nube están disponibles en el Portal de confianza de servicios de Microsoft.

Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la seguridad del centro de datos.

Auditorías externas Section Fecha del informe más reciente
ISO 27001 (Azure)

Declaración de aplicabilidad
Certificado
A.11: Seguridad física y ambiental 8 de abril de 2024
SOC 1 (Azure) PE-1: aprovisionamiento de acceso físico del centro de datos
PE-2: Comprobación de la seguridad del centro de datos
PE-3: Revisión del acceso de usuarios del centro de datos
PE-4: Mecanismos de acceso físico del centro de datos
PE-5: Supervisión de la vigilancia física del centro de datos
PE-6: mantenimiento del entorno crítico del centro de datos
PE-7: Controles ambientales del centro de datos
PE-8: respuesta a incidentes del centro de datos
20 de mayo de 2024
SOC 2 (Azure) PE-1: aprovisionamiento de acceso físico del centro de datos
PE-2: Comprobación de la seguridad del centro de datos
PE-3: Revisión del acceso de usuarios del centro de datos
PE-4: Mecanismos de acceso físico del centro de datos
PE-5: Supervisión de la vigilancia física del centro de datos
PE-6: mantenimiento del entorno crítico del centro de datos
PE-7: Controles ambientales del centro de datos
PE-8: respuesta a incidentes del centro de datos
20 de mayo de 2024

Recursos