Listas de los 10 elementos más importantes

Los clientes necesitan una solución de productividad lista para usar que sea intrínsecamente segura y fiable. Hemos identificado las principales consideraciones sobre privacidad y seguridad en las que su decisión debe basarse para que le sea más fácil determinar el nivel de seguridad y confianza de los servicios de productividad en la nube y elegir un proveedor del servicio en la nube que satisfaga sus expectativas de seguridad.

Usar estas tres listas de los diez elementos más importantes le ayudará a ahorrar tiempo y a tomar una decisión fundamentada.

 

Mostrar todo

1. ¿Quién es el propietario de los datos que almacenamos en su servicio? ¿Se van a usar nuestros datos para crear productos publicitarios?
Como cliente de Office 365, sus datos le pertenecen y posee control sobre ellos. Usamos sus datos única y exclusivamente para prestarle el servicio al que se ha suscrito. Como proveedor de servicios, no analizamos sus correos electrónicos o documentos con fines publicitarios. Para más información, visite Cómo se usan los datos en el Centro de confianza de Office 365.

2. ¿Se ofrecen controles de privacidad con el servicio?
Los controles de privacidad están habilitados de forma predeterminada para todos los clientes del servicio, si bien es posible activar y desactivar las características que afecten a la privacidad para satisfacer las necesidades de su organización.

3. ¿Se puede ver dónde se almacenan los datos en el servicio?
Somos transparentes en relación con la ubicación donde se almacenan los datos. Para más información, visite Dónde están mis datos en el Centro de confianza de Office 365.

4. ¿Cuál es el enfoque en relación con la seguridad y qué características de seguridad se ofrecen para proteger el servicio de ataques externos?
La seguridad es uno de los principios de diseño y una de las características más importantes de Office 365. Nuestro enfoque en la seguridad abarca el hardware, el software, la seguridad física de nuestros centros de datos, las directivas y los controles, además de la verificación por parte de auditores independientes.

En relación con las características de seguridad, en general existen dos tipos de categorías: 1) seguridad integrada y 2) controles de cliente. La seguridad integrada representa todas las medidas que Microsoft adopta en representación de todos los clientes de Office 365 para proteger la información y ejecutar un servicio con alta disponibilidad. Los controles de cliente son características que le permiten personalizar Office 365 para adaptarlo a las necesidades específicas de su organización. Para más información sobre los dos tipos de características de seguridad, vea la sección sobre seguridad del Centro de confianza de Office 365.

5. ¿Se pueden descargar los datos del servicio?
Sus datos le pertenecen y conserva todos los derechos, titularidad e intereses de los datos que almacene en Office 365. Durante la suscripción y 90 días después, puede descargar una copia de todos los datos en cualquier momento y por cualquier motivo sin ayuda de Microsoft. Para más información, visite Son sus datos en el Centro de confianza de Office 365.

6. ¿Nos informarán cuando se produzcan cambios en el servicio y nos avisarán si nuestros datos corren algún riesgo?
Le informaremos en caso de que se efectúen cambios importantes en el servicio con respecto a la seguridad, la privacidad y el cumplimiento normativo. También le notificaremos puntualmente si se ha obtenido acceso indebidamente a sus datos.

7. ¿Son transparentes en la forma en que se usan nuestros datos y se obtiene acceso a ellos?
Compartimos aspectos importantes del almacenamiento de datos, como dónde residen sus datos en términos de ubicación geográfica, quiénes en Microsoft pueden obtener acceso a ellos y qué hacemos internamente con esa información. Para más información, visite la sección Quién puede obtener acceso a sus datos en el Centro de confianza de Office 365.

Nuestra postura sobre el acceso a los datos consiste en lo siguiente:
Siempre le damos acceso a sus datos de cliente. El acceso a los datos del cliente se controla y registra de forma rigurosa y tanto Microsoft como entidades ajenas llevan a cabo auditorías de muestras para constatar que el acceso solo se obtiene con fines empresariales adecuados. Reconocemos la importancia extraordinaria del contenido de nuestros clientes. Si alguien del personal o alguno de los asociados de Microsoft, o los mismos administradores del cliente, obtienen acceso al contenido del servicio, podemos proporcionarle un informe sobre dicho acceso previa petición.

8. ¿Qué clase de compromisos han adoptado con respecto a la seguridad y la privacidad?
En nombre de Office 365, estamos dispuestos a firmar con cada cliente los términos de procesamiento de datos, un contrato de asociación comercial según las normas HIPAA y cláusulas modelo de la UE. También cumplimos con normas como la ISO 27001, ISO 27018, FISMA y FedRAMP. Para más información, visite la sección Cumplimiento continuo del Centro de confianza de Office 365.

9. ¿Cómo garantizan que su servicio es de confianza?
Ponemos en práctica procedimientos recomendados sobre diseño y operaciones, como redundancia, resistencia, servicios distribuidos y supervisión, entre otros. Recientemente, comenzamos a publicar nuestras cifras trimestrales sobre tiempo de actividad del servicio. Las cifras relativas al tiempo de actividad del último trimestre superan el 99,9 %. Para más información, visite la sección Operaciones transparentes del Centro de confianza de Office 365.

10. ¿Cuáles son sus compromisos en relación con la continuidad del servicio?
Ofrecemos un tiempo de actividad del 99,9 % a través de un acuerdo de nivel de servicio con respaldo financiero. Si un cliente experimenta un tiempo de actividad mensual inferior al 99,9 %, le compensaremos con abonos de servicio.

Para más información y para conocer los puntos de prueba sobre las garantías que Microsoft Office 365 ofrece a los clientes en relación con las preguntas anteriores, visite el Centro de confianza de Office 365.

1. Restringimos el acceso a los centros de datos físicos al personal autorizado y, además, hemos implementado varias capas de seguridad física, como lectores biométricos, sensores de movimiento, acceso seguro las 24 horas del día, vigilancia con cámaras de vídeo y alarmas de infracciones de seguridad.

2. Permitimos el cifrado de los datos tanto de manera estática como a través de la red, ya que los datos se transmiten entre un centro de datos y el usuario.

3. No extraemos sus datos ni obtenemos acceso a ellos con fines publicitarios.

4. Solo usamos los datos del cliente para prestar el servicio; no examinamos su buzón de ninguna otra forma sin su permiso.

5. Hacemos copias de seguridad de sus datos periódicamente.

6. No eliminaremos ningún dato de su cuenta al finalizar el plazo de servicio hasta que haya tenido tiempo de aprovechar la portabilidad de datos que ofrecemos.

7. Hospedamos los datos de los clientes en la región.

8. Implantamos contraseñas seguras para aumentar la seguridad de los datos.

9. Permitimos activar y desactivar las características relacionadas con la privacidad para que pueda adaptarlas a sus necesidades.

10. Por contrato, nos comprometemos a cumplir las promesas que ofrecemos aquí con los términos de procesamiento de datos en el contrato de licencias por volumen. Para más información, visite la sección Cumplimiento continuo del Centro de confianza de Office 365.

1. Ley de transferencia y responsabilidad de seguros de salud (HIPAA): de conformidad con la legislación, HIPAA impone a nuestros clientes que puedan ser “entidades afectadas" requisitos de seguridad, privacidad y notificación relativos al procesamiento electrónico de información médica protegida electrónicamente. Microsoft desarrolló Office 365 para ofrecer medidas de seguridad físicas, administrativas y técnicas para que nuestros clientes cumplan con la HIPAA. Ofrecemos un contrato de asociación comercial (BAA) según la norma HIPAA a todos los clientes. Para más información sobre el BAA de HIPAA, visite la sección Preguntas más frecuentes sobre la ley HIPAA/HITECH (solo en inglés).

2. HITRUST (Alianza para la confianza en la información sanitaria): el equipo de Office 365, en asociación con un evaluador independiente, evaluó de nuestro cumplimiento con HITRUST. Considerado un importante estándar por las organizaciones sanitarias de Estados Unidos, HITRUST ha establecido el marco común de seguridad (CSF), un marco certificable que pueden usar todas las organizaciones que tienen acceso a información personal médica o financiera, o bien la crean, almacenan o intercambian. HITRUST cuenta con un esquema de clasificación para evaluar el programa de administración de seguridad de la organización, donde se mide el progreso evolutivo de la misma con uno de cinco grados de madurez. La clasificación es un indicador de la capacidad de una organización para proteger la información de manera sostenible. Un auditor independiente evaluó globalmente el programa de seguridad de Microsoft con una clasificación de nivel 5, que es la máxima posible.

3. Términos de procesamiento de datos: ofrecemos a nuestros clientes garantías contractuales adicionales a través de nuestros términos de procesamiento de datos con respecto al control y la protección de datos de clientes de Microsoft. Al aceptar estos términos, nos comprometemos a realizar a más de 40 comprobaciones específicas sobre seguridad recopiladas de reglamentos internacionales. Los sólidos compromisos en términos de procesamiento de datos están disponibles para los clientes de forma predeterminada.

4. La Ley de administración de seguridad de información federal (FISMA) exige que las agencias federales de Estados Unidos desarrollen, documenten e implementen controles para proteger la información y sus sistemas de información. FedRAMP (Programa federal para la administración de riesgos y autorizaciones) es un programa de administración de riesgos que ofrece un enfoque estándar para evaluar y supervisar la seguridad de productos y servicios en la nube. En las Preguntas más frecuentes sobre FedRAMP/FISMA (solo en inglés) se describe cómo el servicio de Office 365 sigue procesos de seguridad y privacidad relacionados con FedRAMP/FISMA.

5. ISO 27001: ISO 27001 es una de las mejores referencias de seguridad que existen. Se ha comprobado que Office 365 cumple el riguroso conjunto de controles físicos, lógicos, de procesos y de administración definidos por la ISO 27001:2013. Esto también incluye los controles de privacidad de la ISO 27018 en su auditoría más reciente. La inclusión de estos nuevos controles de la ISO 27018 en la evaluación ISO ayudarán a Office 365 a validar ante los clientes el nivel de protección que Office 365 ofrece para proteger la privacidad de los datos de clientes.

6. Cláusulas modelo de la Unión Europea (UE): la Directiva de protección de la información de la Unión Europea, un instrumento fundamental de la legislación sobre derechos humanos y privacidad de la UE, exige a nuestros clientes en la Unión Europea que legitimen la transferencia de datos personales fuera de la UE. Las cláusulas modelo de la UE están reconocidas como el método recomendado para legitimar la transferencia de datos personales fuera de la UE en entornos de informática en la nube. El ofrecimiento de las cláusulas modelo de la UE implica la inversión y la puesta en marcha de los procesos y controles operativos necesarios para cumplir los requisitos exactos de dichas cláusulas. Si un proveedor de servicios en la nube no está dispuesto a aceptar las cláusulas modelo de la UE, es poco probable que un cliente confíe en que pueda cumplir los requisitos de la Directiva de protección de la información de la Unión Europea para la transferencia de datos personales desde la UE a jurisdicciones que no ofrezcan una “protección adecuada” de los datos personales. En las Preguntas más frecuentes sobre las cláusulas modelo de la UE se describe el enfoque avalado por un organismo regulador de Microsoft con respecto a estas cláusulas.

7. ISO 27018: Microsoft es el primer proveedor de servicios en la nube importante que se comprueba de forma independiente como conforme con la ISO 27018, que establece un enfoque internacional e uniforme para proteger la privacidad de la información personal almacenada en la nube. Nuestro cumplimiento con la ISO 27018 significa que solo procesamos información personal conforme a las instrucciones de los clientes, somos transparentes sobre lo que sucede con los datos de clientes, ofrecemos sólidas medidas de seguridad para la información personal en la nube, no usamos los datos de cliente con fines publicitarios e informamos a los clientes sobre el acceso de los organismos gubernamentales a sus datos.

8. Ley de derechos educativos y privacidad de la familia (FERPA): FERPA impone algunos requisitos a organizaciones educativas de EE.UU. en relación con el uso o la divulgación de los expedientes académicos de los alumnos, incluidos el correo electrónico y los datos adjuntos. Microsoft se compromete con estas restricciones de uso y confidencialidad impuestas por FERPA que limitan nuestro uso de los expedientes académicos de los alumnos, incluido el acuerdo de no examinar correos electrónicos o documentos con fines publicitarios.

9. Certificación SSAE 16 (Declaración de normas para trabajos de certificación n.º 16): Office 365 se ha sometido a auditorías realizadas por terceros independientes y puede proporcionar informes de SSAE16 de tipo I y tipo II de SOC 1 y de tipo II de SOC 2 sobre la forma en que el servicio implementa controles.

10. Ley Gramm-Leach-Bliley (GLBA): también conocida como Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras implementen procesos para proteger la información personal no pública de sus clientes. La GLBA implanta directivas para proteger la información de amenazas previsibles sobre la seguridad e integridad de los datos. Los clientes sujetos a la GLBA pueden usar Office 365 y cumplir los requisitos de esta ley.