Información general sobre privacidad y administración de datos

¿Cómo aborda Microsoft la privacidad para los clientes?

Microsoft se compromete a proteger los datos de los clientes como se describe en los Términos del producto y el Anexo de protección de datos (DPA). La base del enfoque de privacidad de Microsoft para clientes comerciales se basa en los siguientes principios: controlar los datos, saber dónde se encuentran los datos y cómo se usan, la seguridad de los datos en reposo y en tránsito, y defender los datos del acceso de terceros.

¿Cómo implementa Microsoft sus compromisos de privacidad?

Microsoft mantiene sus compromisos de privacidad a través de la Directiva de privacidad corporativa de Microsoft y el Estándar de privacidad de Microsoft. Para garantizar la adopción coherente y conforme de estos requisitos, Microsoft ha establecido consejos de gobernanza, consejos y comités. Nuestro programa de privacidad usa un modelo de gobernanza "hub and spoke", donde las responsabilidades de cumplimiento se comparten en toda la empresa. El "hub" es el grupo CELA (Asuntos Corporativos, Externos y Jurídicos), que incluye al Director de Privacidad, responsable de la gobernanza de la privacidad. Además, tenemos un responsable de protección de datos (DPO) designado de la Unión Europea (UE) para cumplir los requisitos de privacidad específicos de la UE. Los "radios" están dentro de nuestros grupos de ingeniería y funcionales y son responsables de implementar los requisitos de privacidad.

Microsoft cumple sus requisitos de privacidad a través de auditorías y certificaciones de terceros, como ISO 27018 e ISO 27701.

¿Cómo recopila y procesa Microsoft los datos de los clientes?

El DPA define tres categorías de datos: Datos de cliente, Datos personales y Datos de servicios profesionales.

Microsoft procesa los datos de estas categorías para proporcionar productos y servicios según las instrucciones documentadas de los clientes y para las operaciones empresariales. En pocas palabras, Microsoft procesa los datos para la entrega de servicios, la solución de problemas, el mantenimiento y la mejora. Los datos no se usan para la generación de perfiles de usuario, la publicidad o la investigación de mercado.

Las descripciones detalladas de estas actividades se encuentran en las secciones de DPA "Procesamiento para proporcionar al cliente los productos y servicios" y "Procesamiento de incidentes de operaciones empresariales para proporcionar los productos y servicios al cliente".

¿Cómo garantiza Microsoft la confidencialidad de los datos de los clientes?

El modelo de gobernanza de privacidad de Microsoft garantiza que los controles de privacidad protejan la confidencialidad de los datos de los clientes. Estos controles se detallan en nuestros informes de terceros, como ISO 27001 y 27701, accesibles a través del Portal de confianza de servicios. Estos informes cubren los controles sobre minimización de datos, retención/eliminación, ubicación y transferencia, y uso compartido, entre otros.

Algunas medidas clave a tener en cuenta son:

  • Acceso a los datos: Microsoft asume que todos los datos del cliente incluyen datos personales y aplica las medidas de seguridad adecuadas sin acceder a los datos para comprobar su contenido.
  • Procesamiento de datos: Microsoft se pseudonimiza y agrega datos para proteger la confidencialidad. Consulte el DPA para obtener más detalles.
  • Aislamiento de datos: Microsoft usa técnicas de aislamiento de datos para separar los inquilinos en la nube, lo que garantiza que los clientes solo puedan acceder a sus propios datos. Para obtener información sobre cómo el contenido del cliente está aislado o segregado, visite el artículo Introducción a la arquitectura . Además, Microsoft prohíbe el uso de datos de clientes en entornos de prueba.

¿Qué hace Microsoft para proteger los datos de los clientes?

Como se describe en el DPA, Microsoft tiene medidas de seguridad para proteger los datos de los clientes. Varios artículos de Service Assurance proporcionan información general sobre estas medidas de seguridad. Consulte secciones como Cifrado, Administración de acceso, Centro de datos y seguridad de red , Administración de personal y proveedores y Administración de vulnerabilidades.

¿Cómo controla Microsoft el uso compartido de datos de terceros?

El uso compartido de terceros es el uso compartido o la divulgación posterior de datos a terceros. Microsoft solo compartirá datos cuando el cliente lo autorice o lo requiera la legislación aplicable. Microsoft no concede a ningún gobierno (incluidas las autoridades judiciales u otras entidades gubernamentales) acceso directo o ilimitado a los datos de los clientes. Para obtener más información, consulte el Informe de solicitudes de cumplimiento de la ley y el Informe de orden de seguridad nacional de Ee. UU. para obtener información sobre cómo Microsoft responde a las solicitudes gubernamentales para acceder a los datos.

¿Usa Microsoft subprocesadores o subcontratistas?

Para obtener información sobre cómo Microsoft administra a los proveedores, consulte la página Administración de proveedores .

¿Quién tiene acceso a los datos del cliente en Microsoft?

Para obtener información sobre cómo Microsoft administra el acceso a los datos del cliente, consulte la página Administración de identidades y acceso .

¿Dónde se encuentran los datos del cliente?

Para Core Online Services, consulte nuestros compromisos descritos en los Términos del producto y el DPA para encontrar la información más actualizada sobre la ubicación de los datos del cliente.

Tal como se describe en el DPA de Core Online Services, Microsoft almacena los datos de cliente en reposo dentro de determinadas áreas geográficas principales (cada una, una geográfica) tal como se establece en los Términos del producto. En el caso de los servicios comerciales en el ámbito del límite de datos de Microsoft EU, Microsoft almacena y procesa datos de clientes dentro de la Unión Europea, tal como se establece en los Términos del producto. Microsoft no controla ni limita las regiones desde las que los usuarios finales del cliente o del cliente pueden acceder a los datos del cliente o moverlos.

Visite Privacidad de Microsoft: dónde se encuentran sus datos para obtener más información.

Para los servicios de Azure y M365, visite Residencia de datos de Azure y ubicaciones de datos M365.

Otras ubicaciones de datos de servicios:

¿Qué es el límite de datos de Microsoft EU?

El límite de datos de la UE es un compromiso de Microsoft Online Services que proporciona a los clientes de la UE y la AELC un mayor control y transparencia sobre dónde se almacenan y procesan sus datos. A partir del 1 de enero de 2023, Microsoft ofrecerá a los clientes la capacidad de almacenar y procesar sus datos de clientes dentro del límite de datos de la UE para los servicios Microsoft 365, Azure, Power Platform y Dynamics 365. Con esta versión, Microsoft amplía los compromisos de almacenamiento y procesamiento locales existentes, lo que reduce considerablemente los flujos de datos fuera de Europa y se basa en nuestras soluciones de residencia de datos líderes del sector.

En las próximas fases del límite de datos de la UE, Microsoft ampliará la solución límite de datos de la UE para incluir el almacenamiento y el procesamiento de categorías adicionales de datos personales, incluidos los datos proporcionados al recibir soporte técnico.

Más información en:

¿Cómo elimina Microsoft los datos de clientes cuando un cliente deja el servicio?

Cuando un cliente finaliza su suscripción, Microsoft conserva los datos del cliente en una cuenta de función limitada durante 90 días, lo que permite al cliente extraer los datos. Después de este período, Microsoft elimina los datos a menos que la retención esté autorizada o requerida por la ley. No más de 180 días después de que finalice una suscripción, Microsoft deshabilita la cuenta y elimina todos los datos, lo que la hace irrecuperable.

Microsoft también elimina los datos personales en los registros generados por el sistema. Para cualquier suscripción, un suscriptor puede ponerse en contacto con Soporte técnico de Microsoft y solicitar el desaprovisionamiento rápido de la suscripción. Cuando un cliente usa este proceso, todos los datos de usuario se eliminan 3 días después de que el administrador escriba el código de bloqueo proporcionado por Microsoft. Esta eliminación incluye datos en SharePoint Online y Exchange Online en espera o almacenados en buzones inactivos.

Microsoft sigue las directrices de NIST SP-800-88 para la destrucción de dispositivos que son capaces de contener datos, como se describe en el artículo Destrucción de dispositivos con rodamientos de datos .

¿Proporciona Microsoft instrucciones a los clientes sobre el cumplimiento del RGPD?

Microsoft mantiene la documentación de orientación para ayudar a los clientes en su rol como controlador de datos. A continuación se pueden encontrar algunos recursos clave del RGPD que se deben tener en cuenta; sin embargo, los clientes deben consultar a sus propios profesionales legales y de cumplimiento para comprender e implementar sus obligaciones de RGPD.

Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la privacidad.

Azure y Dynamics 365

Auditorías externas Section Fecha del informe más reciente
ISO 27018

Declaración de aplicabilidad
Certificado
A-2.1: Propósito del procesador de PII en la nube pública 8 de abril de 2024
ISO 27701

Declaración de aplicabilidad
Certificado
Todos los controles 8 de abril de 2024
SOC 1 DS-15: finalización o expiración de la suscripción del cliente
SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL)
LA-4: Protección de datos confidenciales del cliente
16 de agosto de 2024
SOC 2
SOC 3
DS-15: finalización o expiración de la suscripción del cliente
SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL)
LA-4: Protección de datos confidenciales del cliente
SOC2-1: Clasificación de recursos
SOC2-7: Obligaciones de confidencialidad y seguridad publicadas
20 de mayo de 2024

Microsoft 365

Auditorías externas Section Fecha del informe más reciente
ISO 27018

Declaración de aplicabilidad
Certificado
A-2.1: Propósito del procesador de PII en la nube pública Marzo de 2024
ISO 27701

Declaración de aplicabilidad
Certificado
Todos los controles Marzo de 2024
SOC 2 CA-12: Contratos de nivel de servicio (SLA)
CA-17: Directiva de seguridad de Microsoft
CA-25: Actualizaciones del marco de control
23 de enero de 2024

Recursos