Listas de los 10 elementos más importantes

Los clientes necesitan una solución de productividad lista para usar que sea intrínsecamente segura y fiable. Hemos identificado las principales consideraciones sobre privacidad y seguridad en las que debe basarse tu decisión para que le sea más fácil determinar el nivel de seguridad y confianza de los servicios de productividad en la nube y elegir un proveedor del servicio en la nube que satisfaga tus expectativas de seguridad.

Usar estas tres listas de los diez elementos más importantes te ayudará a ahorrar tiempo y a tomar una decisión fundamentada.

 
Mostrar todo

1. ¿Quién es el propietario de los datos que almacenamos en tu servicio? ¿Se usarán nuestros datos para crear productos publicitarios?

Como cliente de Office 365, tus datos te pertenecen y posees control sobre ellos. Solo usamos tus datos para prestarte el servicio al que se suscribió. Como proveedor de servicios, no analizamos tus correos electrónicos o documentos con fines publicitarios. Para obtener más información, visita Cómo se usan los datos en el Centro de confianza de Office 365.

2. ¿Se ofrecen controles de privacidad con el servicio?

Los controles de privacidad están habilitados de forma predeterminada para todos los clientes del servicio, aunque se pueden activar y desactivar las características que afecten a la privacidad para adaptarse a las necesidades de tu organización. Nos comprometemos por contrato a implementar medidas de seguridad y privacidad sólidas en los términos de procesamiento de datos de tu contrato.

3. ¿Se puede ver dónde se almacenan los datos en el servicio?

Somos transparentes en relación con la ubicación donde se encuentran tus datos. Para obtener más información, visita Dónde están mis datos en el Centro de confianza de Office 365.

4. ¿Cuál es el enfoque en relación con la seguridad y qué características de seguridad se ofrecen para proteger el servicio de ataques externos?

La seguridad es uno de los principios de diseño y una de las características más importantes de Office 365. Nuestro enfoque en la seguridad abarca el hardware, el software, la seguridad física de nuestros centros de datos, las directivas y los controles, además de la comprobación por parte de auditores independientes.

En relación con las características de seguridad, en general existen dos tipos de categorías: 1) seguridad integrada y 2) controles de cliente. La seguridad integrada representa todas las medidas que Microsoft adopta en nombre de todos los clientes de Office 365 para proteger la información y ejecutar un servicio con alta disponibilidad. Los controles de cliente son características que te permiten personalizar Office 365 para adaptarlo a las necesidades específicas de tu organización. Para obtener más información sobre los dos tipos de características de seguridad, ve la sección Seguridad del Centro de confianza de Office 365.

5. ¿Se pueden transferir los datos del servicio?

Tus datos te pertenecen y conservas todos los derechos, titularidad e intereses de los datos que almacenen en Office 365. Durante la suscripción y 90 días después, puedes descargar una copia de todos los datos en cualquier momento y por cualquier motivo sin ayuda de Microsoft. Para obtener más información, visita Son tus datos en el Centro de confianza de Office 365.

6. ¿Nos informarán cuando se produzcan cambios en el servicio y nos avisarán si nuestros datos están en peligro?

Te informaremos si se producen cambios importantes en el servicio en relación con la seguridad, la privacidad y el cumplimiento. También te avisaremos de inmediato si se obtuvo acceso de forma incorrecta a tus datos.

7. ¿Son transparentes en la forma en que se usan nuestros datos y se obtiene acceso a ellos?

Compartimos aspectos importantes del almacenamiento de datos, como dónde residen tus datos en términos de ubicación geográfica, quiénes en Microsoft pueden obtener acceso a ellos y qué hacemos internamente con esa información. Para obtener más información, visita la sección Quién puede obtener acceso a tus datos en el Centro de confianza de Office 365.

Nuestra postura sobre el acceso a los datos es la siguiente:
Siempre tendrás acceso a tus datos de cliente. El acceso a los datos del cliente se controla y registra de forma rigurosa y tanto Microsoft como terceros realizan auditorías de muestras para constatar que el acceso solo se obtiene con fines empresariales adecuados. Reconocemos la especial importancia del contenido de nuestros clientes. Si el personal de Microsoft, los asociados o los propios administradores del cliente obtienen acceso al contenido del servicio, podemos proporcionarte un informe sobre dicho acceso a petición.

8. ¿Qué clase de compromisos adoptasteis en relación con la seguridad y la privacidad?

En nombre de Office 365, estamos dispuestos a suscribir los términos de procesamiento de datos del cliente, un contrato de asociación comercial según las normas HIPAA y las cláusulas modelo de la UE. También cumplimos con normas como la ISO 27001, ISO 27018, FISMA y FedRAMP. Para obtener más información, visita la sección Comprobación independiente del Centro de confianza de Office 365.

9. ¿Cómo se garantiza que el servicio es de confianza?

Ponemos en práctica procedimientos recomendados sobre el diseño y las operaciones, como redundancia, resistencia, servicios distribuidos y supervisión, entre otros. Recientemente, empezamos a publicar nuestras cifras trimestrales sobre tiempo de actividad del servicio. Para obtener más información, visita la sección Operaciones transparentes del Centro de confianza de Office 365.

10. ¿Cuáles son vuestros compromisos en relación con la continuidad del servicio?

Ofrecemos un tiempo de actividad del 99,9 % con un contrato de nivel de servicio con respaldo financiero. Si un cliente tiene un tiempo de actividad mensual inferior al 99,9 %, le compensaremos con abonos de servicio.

Para obtener más información y puntos de prueba sobre cómo Microsoft Office 365 ofrece garantías a los clientes en relación con las preguntas anteriores, visita el Centro de confianza de Office 365.

1. Restringimos el acceso a los centros de datos físicos al personal autorizado y, además, implementamos varios niveles de seguridad física, como lectores biométricos, sensores de movimiento, acceso seguro las 24 horas del día, vigilancia con cámaras de vídeo y alarmas de infracciones de seguridad.

2. Permitimos el cifrado de los datos tanto de manera estática como a través de la red, ya que los datos se transmiten entre un centro de datos y el usuario.

3. No extraemos tus datos ni obtenemos acceso a ellos con fines publicitarios.

4. Solo usamos los datos del cliente para prestar el servicio; no examinamos tu buzón de ninguna otra forma sin tu permiso.

5. Hacemos copias de seguridad de tus datos periódicamente.

6. No eliminaremos ningún dato de tu cuenta al finalizar el plazo de servicio hasta que hayas tenido tiempo de aprovechar la portabilidad de datos que ofrecemos.

7. Hospedamos los datos de los clientes en la región.

8. Implantamos contraseñas seguras para aumentar la seguridad de los datos.

9. Permitimos activar y desactivar las características relacionadas con la privacidad para que puedas adaptarlas a tus necesidades.

10. Nos comprometemos por contrato a las promesas realizadas aquí en relación con los términos de procesamiento de datos en tu contrato de licencias por volumen. Para obtener más información, visita la sección Comprobación independiente del Centro de confianza de Office 365.

1. Ley de transferencia y responsabilidad de seguros de salud (HIPAA):

HIPAA afecta a nuestros clientes que puedan ser “entidades afectadas” por ley requisitos de seguridad, privacidad y notificación relacionados con el procesamiento electrónico de información médica protegida. Microsoft desarrolló Office 365 para ofrecer elementos de protección técnicos, administrativos y físicos para que nuestros clientes cumplan con la ley HIPAA. Ofrecemos un contrato de asociación comercial según las normas HIPAA a todos los clientes. Para obtener más información sobre el contrato de asociación comercial de HIPAA, visita las Preguntas más frecuentes sobre la ley HIPAA/HITECH (en inglés).

2. Términos de procesamiento de datos:

ofrecemos a nuestros clientes garantías contractuales adicionales con nuestros términos de procesamiento de datos en relación con el control y la protección de datos de clientes de Microsoft. Al aceptar estos términos, nos comprometemos a realizar más de 40 comprobaciones específicas sobre seguridad recopiladas de reglamentos internacionales. Los sólidos compromisos de nuestros términos de procesamiento de datos están disponibles para los clientes de forma predeterminada.

3. La Ley de Administración de Seguridad de Información Federal (FISMA)

exige que los organismos federales de Estados Unidos desarrollen, documenten e implementen controles para proteger su información y sus sistemas de información. El Programa federal de administración de riesgos y autorizaciones (FedRAMP) es un programa federal de administración de riesgos que ofrece un enfoque estándar para evaluar y supervisar la seguridad de productos y servicios en la nube. En las Preguntas más frecuentes sobre FedRAMP/FISMA (en inglés) se describe cómo el servicio de Office 365 sigue procesos de seguridad y privacidad relacionados con FedRAMP/FISMA.

4. ISO 27001:

ISO 27001 es una de las mejores referencias de seguridad disponibles en todo el mundo. Se comprobó que muchos de los productos de Office 365 cumplen el estricto conjunto de controles físicos, lógicos, de procesos y de administración que se definen en la norma ISO 27001:2013. Esto también incluye los controles de privacidad de la ISO 27018 en la auditoría más reciente. La inclusión de estos nuevos controles de la norma ISO 27018 en la evaluación ISO ayudará a Office 365 a validar ante los clientes el nivel de protección que ofrece Office 365 para proteger la privacidad de los datos de clientes.

5. Cláusulas modelo de la Unión Europea (UE):

la Directiva de protección de la información de la Unión Europea, un instrumento fundamental de la legislación sobre derechos humanos y privacidad de la UE, exige a nuestros clientes en la Unión Europea que legitimen la transferencia de datos personales fuera de la UE. Las cláusulas modelo de la UE están reconocidas como el método preferido para legitimar la transferencia de datos personales fuera de la UE en entornos de informática en la nube. Ofrecer las cláusulas modelo de la UE implica la inversión y creación de los procesos y controles operativos necesarios para cumplir los exigentes requisitos de dichas cláusulas. Si un proveedor de servicios en la nube no está dispuesto a aceptar las cláusulas modelo de la UE, es poco probable que un cliente confíe en que pueda cumplir los requisitos de la Directiva de protección de la información de la Unión Europea para la transferencia de datos personales desde la UE a jurisdicciones que no ofrezcan una “protección adecuada” de los datos personales. En las Preguntas más frecuentes sobre las cláusulas modelo de la UE se describe el enfoque avalado por un organismo regulador de Microsoft en relación con estas cláusulas.

6. ISO 27018:

Microsoft es el primer proveedor de servicios en la nube importante que se comprobó de forma independiente como conforme con la ISO 27018, lo que establece un enfoque internacional e uniforme para proteger la privacidad de la información personal almacenada en la nube. Nuestro cumplimiento de la norma ISO 27018 significa que solo procesamos información personal según las instrucciones de los clientes, somos transparentes sobre lo que sucede con los datos de clientes, ofrecemos sólidas medidas de seguridad para la información personal en la nube, no usamos los datos de cliente con fines publicitarios e informamos a los clientes sobre el acceso de los organismos gubernamentales a sus datos.

7. Ley de Derechos de la Familia en materia de Educación y Privacidad (FERPA):

FERPA impone requisitos a las organizaciones educativas de EE. UU. en relación con el uso o la divulgación de los expedientes académicos de los alumnos, incluidos el correo electrónico y los datos adjuntos. Microsoft se compromete a usar y divulgar las restricciones de uso y confidencialidad impuestas por FERPA que limitan nuestro uso de los expedientes académicos de los alumnos, incluido el acuerdo de no examinar correos electrónicos o documentos con fines publicitarios.

8. Declaración sobre normas de verificación contable n.º 16 (SSAE 16):

Office 365 ha sido auditado por terceros independientes y puede proporcionar los informes SSAE16 SOC 1 (tipos I y II) y SOC 2 (tipo II) sobre cómo el servicio implementa los controles.

9. Ley Gramm-Leach-Bliley (GLBA):

la Ley Gramm-Leach-Bliley exige que las instituciones financieras implementen procesos para proteger la información personal no pública de sus clientes. La GLBA exige directivas para proteger la información ante amenazas previsibles para la seguridad y la integridad de los datos. Los clientes sujetos a la GLBA pueden usar Office 365 y cumplir los requisitos de esta ley.

10. Health Information Trust Alliance (HITRUST):

el equipo de Office 365, en asociación con un evaluador independiente, completó una evaluación de nuestro cumplimiento con el marco HITRUST. Considerada una norma importante por las organizaciones sanitarias de EE. UU., HITRUST estableció un marco común de seguridad (CSF) certificable que puede usar cualquier organización que cree, almacene, intercambie u obtenga acceso a información personal financiera y sanitaria.

Para obtener más información sobre el cumplimiento de Office 365, ve el documento Marco de cumplimiento de normas y reglamentos del sector (en inglés).