Información general sobre la administración del personal

¿Cómo se muestra Microsoft a los posibles empleados?

Microsoft sigue estrictos requisitos de selección de personal para todos los candidatos, incluidos los empleados a tiempo completo, a tiempo parcial y los becantes. Todos los candidatos se examinan antes de comenzar a trabajar en Microsoft.

Las comprobaciones de antecedentes sobre los candidatos a empleo generalmente incluyen la revisión de los siguientes componentes, en la medida permitida por la ley:

  • Comprobación de identidad
  • Verificación de educación
  • Comprobación del empleo
  • Revisión de antecedentes penales
  • Revisión del registro de delincuentes sexuales
  • Revisión de la lista de sanciones globales

¿Qué comprobaciones adicionales se realizan para los empleados que administran servicios en la nube?

Además del examen previo al empleo, los empleados de Microsoft que mantienen Microsoft servicios en línea en el Estados Unidos deben someterse a una comprobación de antecedentes en la nube de Microsoft como requisito previo para el acceso a servicios en línea sistemas. Los requisitos de la comprobación en segundo plano varían para cumplir con las leyes y los modelos de entrega de servicios aplicables. La prueba de la comprobación de antecedentes en la nube de Microsoft se almacena en nuestra base de datos de empleados y debe renovarse cada dos años como mínimo. Si la comprobación en segundo plano de la nube de Microsoft expira y el empleado no la renueva, se revocan los requisitos de acceso hasta que se complete la comprobación en segundo plano de Microsoft Cloud. Del mismo modo, cuando finaliza la relación laboral con Microsoft, todo el acceso se revoca inmediatamente.

¿Cómo garantiza Microsoft que los empleados mantengan aptitudes y conocimientos suficientes para realizar sus responsabilidades y seguir las directivas de Microsoft?

Todos los empleados de Microsoft deben completar la formación básica sobre seguridad y reconocimiento de privacidad. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. La formación está diseñada para proporcionar al empleado una comprensión del enfoque fundamental de Microsoft para la seguridad y la privacidad. También es necesario el entrenamiento basado en roles aplicable antes de conceder cualquier acceso específico necesario para las responsabilidades del trabajo de una persona. El entrenamiento de seguridad de los empleados de Microsoft se actualiza anualmente y cuando los cambios del sistema o de la directiva garantizan un nuevo entrenamiento.

Además de la formación de seguridad y reconocimiento de la privacidad, los empleados de Microsoft deben completar la formación estándares de conducta empresarial. Esta capacitación incluye ética empresarial, seguridad de los empleados, antiacoso y tolerancia cero a comportamientos no éticos. Al final del curso, los empleados deben atestiguar que cumplirán con el código de conducta empresarial de Microsoft, que se realiza un seguimiento a nivel de la organización. La capacitación sobre estándares de conducta empresarial se actualiza anualmente.

¿Cómo revoca Microsoft el acceso para los empleados que abandonan Microsoft?

Microsoft usa directivas y procedimientos claramente definidos para revocar rápidamente el acceso físico y lógico a los sistemas y recursos de Microsoft cuando un empleado deja Microsoft o se termina. El proceso de terminación de Microsoft garantiza que los antiguos empleados de Microsoft no puedan acceder a los datos o sistemas una vez que finalice su empleo.

Cuando el empleo de un miembro del equipo de servicio se marca como finalizado, esta información se propaga a la herramienta de administración de cuentas de Microsoft, que quita automáticamente la cuenta de dominio del empleado terminado. Los distintivos de acceso u otros autenticadores físicos emitidos al empleado terminado se recopilan en el momento de la entrevista de salida o la terminación.

¿Cómo garantiza Microsoft que los proveedores de terceros cumplan los mismos requisitos de personal que los empleados de Microsoft?

Microsoft servicios en línea requerir que los proveedores de terceros tengan un Contrato maestro de servicios de proveedores (MSSA) firmado. Este contrato requiere que el proveedor cumpla con las directivas y procedimientos de Microsoft, incluidas las directivas y procedimientos de seguridad del personal. Microsoft supervisa el cumplimiento de los requisitos de filtrado para el personal de terceros mediante el seguimiento del resultado de la detección directamente. Microsoft requiere que los proveedores realicen pantallas de fondo para todas las personas que necesiten acceso a las instalaciones o a la red de Microsoft. Para roles específicos, es posible que un proveedor tenga que proporcionar atestación como prueba de que la persona completó los requisitos de pantalla en segundo plano de la nube.

Para obtener más información sobre cómo abordar específicamente a los proveedores, consulte Introducción a la administración de proveedores.

Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con los recursos humanos.

Azure y Dynamics 365

Auditorías externas Section Fecha del informe más reciente
ISO 27001

Declaración de aplicabilidad
Certificado
A.7: Seguridad de recursos humanos 8 de abril de 2024
ISO 27017

Declaración de aplicabilidad
Certificado
A.7: Seguridad de recursos humanos 8 de abril de 2024
SOC 1 IS-4: Entrenamiento de seguridad
OA-3: Revocación de la cuenta
16 de agosto de 2024
SOC 2
SOC 3
C5-2: Evaluación del riesgo del proveedor
ELC-6: Código de conducta del proveedor
IS-4: Entrenamiento de seguridad
OA-3: Revocación de la cuenta
SOC2-1: Acciones disciplinarias
SOC2-12: Comprobaciones en segundo plano
SOC2-13: Contratos de empleo
SOC2-14: Acuerdos de confidencialidad y no divulgación
20 de mayo de 2024

Microsoft 365

Auditorías externas Section Fecha del informe más reciente
FedRAMP AT-2: Reconocimiento de la seguridad
AT-3: Entrenamiento de seguridad basado en roles
AT-4: Registros de entrenamiento de seguridad
PS-3: Selección de personal
PS-4: Terminación de personal
PS-5: Transferencia de personal
PS-7: Seguridad del personal de terceros
21 de agosto de 2024
ISO 27001/27017

Declaración de aplicabilidad
Certificación (27001)
Certificación (27017)
A.7: Seguridad de recursos humanos Marzo de 2024
SOC 1 CA-08: comprobaciones en segundo plano
CA-43: Revocación de la cuenta
1 de agosto de 2024
SOC 2 CA-07: Estándares de conducta empresarial (SBC)
CA-08: comprobaciones en segundo plano
CA-43: Revocación de la cuenta
ELC-08/13/14: Contratos de empleo
23 de enero de 2024