Listas de los 10 elementos más importantes

Los clientes necesitan una solución de productividad lista para usar que sea intrínsecamente segura y fiable. Hemos identificado las principales consideraciones sobre privacidad y seguridad en las que su decisión debe basarse para que le sea más fácil determinar el nivel de seguridad y confianza de los servicios de productividad en la nube y elegir un proveedor del servicio en la nube que satisfaga sus expectativas de seguridad.

Usar estas tres listas de los diez elementos más importantes le ayudará a ahorrar tiempo y a tomar una decisión fundamentada.

 
Mostrar todo

1. ¿Quién es el propietario de los datos que almacenamos en su servicio? ¿Se usarán nuestros datos para crear productos publicitarios?

Como cliente de Office 365, sus datos le pertenecen y posee control sobre ellos. Solo usamos sus datos para prestarle el servicio al que se suscribió. Como proveedor de servicios, no analizamos sus correos electrónicos o documentos con fines publicitarios. Para obtener más información, visite Cómo se usan los datos en el Centro de confianza de Office 365.

2. ¿Se ofrecen controles de privacidad con el servicio?

Los controles de privacidad están habilitados de forma predeterminada para todos los clientes del servicio, aunque se pueden activar y desactivar las características que afecten a la privacidad para adaptarse a las necesidades de su organización. Nos comprometemos por contrato a implementar sólidas medidas de seguridad y privacidad en los términos de procesamiento de datos de su contrato.

3. ¿Se puede ver dónde se almacenan los datos en el servicio?

Somos transparentes en relación con la ubicación donde se encuentran sus datos. Para obtener más información, visite Dónde están mis datos en el Centro de confianza de Office 365.

4. ¿Cuál es el enfoque en relación con la seguridad y qué características de seguridad se ofrecen para proteger el servicio de ataques externos?

La seguridad es uno de los principios de diseño y una de las características más importantes de Office 365. Nuestro enfoque en la seguridad abarca el hardware, el software, la seguridad física de nuestros centros de datos, las directivas y los controles, además de la comprobación por parte de auditores independientes.

En relación con las características de seguridad, en general existen dos tipos de categorías: 1) seguridad integrada y 2) controles de cliente. La seguridad integrada representa todas las medidas que Microsoft adopta en nombre de todos los clientes de Office 365 para proteger la información y ejecutar un servicio con alta disponibilidad. Los controles de cliente son características que le permiten personalizar Office 365 para adaptarlo a las necesidades específicas de su organización. Para obtener más información sobre los dos tipos de características de seguridad, vea la sección Seguridad del Centro de confianza de Office 365.

5. ¿Se pueden transferir los datos del servicio?

Sus datos le pertenecen y conserva todos los derechos, titularidad e intereses de los datos que almacene en Office 365. Durante la suscripción y 90 días después, puede descargar una copia de todos los datos en cualquier momento y por cualquier motivo sin ayuda de Microsoft. Para obtener más información, visite Son sus datos en el Centro de confianza de Office 365.

6. ¿Nos informarán cuando se produzcan cambios en el servicio y nos avisarán si nuestros datos están en peligro?

Le informaremos si se producen cambios importantes en el servicio en relación con la seguridad, la privacidad y el cumplimiento. También le avisaremos de inmediato si se obtuvo acceso de forma incorrecta a sus datos.

7. ¿Son transparentes en la forma en que se usan nuestros datos y se obtiene acceso a ellos?

Compartimos aspectos importantes del almacenamiento de datos, como dónde residen sus datos en términos de ubicación geográfica, quiénes en Microsoft pueden obtener acceso a ellos y qué hacemos internamente con esa información. Para obtener más información, visite la sección Quién puede obtener acceso a sus datos en el Centro de confianza de Office 365.

Nuestra postura sobre el acceso a los datos es la siguiente:
Siempre tendrá acceso a sus datos de cliente. El acceso a los datos del cliente se controla y registra de forma rigurosa y tanto Microsoft como terceros realizan auditorías de muestras para constatar que el acceso solo se obtiene con fines empresariales adecuados. Reconocemos la especial importancia del contenido de nuestros clientes. Si el personal de Microsoft, los asociados o los propios administradores del cliente obtienen acceso al contenido del servicio, podemos proporcionarle un informe sobre dicho acceso a petición.

8. ¿Qué clase de compromisos adoptó en relación con la seguridad y la privacidad?

En nombre de Office 365, estamos dispuestos a suscribir los términos de procesamiento de datos del cliente, un contrato de asociación comercial según las normas HIPAA y las cláusulas modelo de la UE. También cumplimos con normas como la ISO 27001, ISO 27018, FISMA y FedRAMP. Para obtener más información, visite la sección Comprobación independiente del Centro de confianza de Office 365.

9. ¿Cómo se garantiza que el servicio es de confianza?

Ponemos en práctica procedimientos recomendados sobre el diseño y las operaciones, como redundancia, resistencia, servicios distribuidos y supervisión, entre otros. Recientemente, empezamos a publicar nuestras cifras trimestrales sobre tiempo de actividad del servicio. Para obtener más información, visite la sección Operaciones transparentes del Centro de confianza de Office 365.

10. ¿Cuáles son sus compromisos en relación con la continuidad del servicio?

Ofrecemos un tiempo de actividad del 99,9 % con un contrato de nivel de servicio con respaldo financiero. Si un cliente tiene un tiempo de actividad mensual inferior al 99,9 %, le compensaremos con abonos de servicio.

Para obtener más información y puntos de prueba sobre cómo Microsoft Office 365 ofrece garantías a los clientes en relación con las preguntas anteriores, visite el Centro de confianza de Office 365.

1. Restringimos el acceso a los centros de datos físicos al personal autorizado y, además, implementamos varios niveles de seguridad física, como lectores biométricos, sensores de movimiento, acceso seguro las 24 horas del día, vigilancia con cámaras de vídeo y alarmas de infracciones de seguridad.

2. Permitimos el cifrado de los datos tanto de manera estática como a través de la red, ya que los datos se transmiten entre un centro de datos y el usuario.

3. No extraemos sus datos ni obtenemos acceso a ellos con fines publicitarios.

4. Solo usamos los datos del cliente para prestar el servicio; no examinamos su buzón de ninguna otra forma sin su permiso.

5. Hacemos copias de seguridad de sus datos periódicamente.

6. No eliminaremos ningún dato de su cuenta al finalizar el plazo de servicio hasta que haya tenido tiempo de aprovechar la portabilidad de datos que ofrecemos.

7. Hospedamos los datos de los clientes en la región.

8. Implantamos contraseñas seguras para aumentar la seguridad de los datos.

9. Permitimos activar y desactivar las características relacionadas con la privacidad para que pueda adaptarlas a sus necesidades.

10. Nos comprometemos por contrato a las promesas realizadas aquí en relación con los términos de procesamiento de datos en su contrato de licencias por volumen. Para obtener más información, visite la sección Comprobación independiente del Centro de confianza de Office 365.

1. Ley de transferencia y responsabilidad de seguros de salud (HIPAA):

HIPAA impone a nuestros clientes que puedan ser “entidades afectadas” por ley requisitos de seguridad, privacidad y notificación relacionados con el procesamiento electrónico de información médica protegida. Microsoft desarrolló Office 365 para ofrecer elementos de protección técnicos, administrativos y físicos para que nuestros clientes cumplan con la ley HIPAA. Ofrecemos un contrato de asociación comercial según las normas HIPAA a todos los clientes. Para obtener más información sobre el contrato de asociación comercial de HIPAA, visite las Preguntas más frecuentes sobre la ley HIPAA/HITECH (en inglés).

2. Términos de procesamiento de datos:

ofrecemos a nuestros clientes garantías contractuales adicionales con nuestros términos de procesamiento de datos en relación con el control y la protección de datos de clientes de Microsoft. Al aceptar estos términos, nos comprometemos a realizar a más de 40 comprobaciones específicas sobre seguridad recopiladas de reglamentos internacionales. Los sólidos compromisos de nuestros términos de procesamiento de datos están disponibles para los clientes de forma predeterminada.

3. La Ley de Administración de Seguridad de Información Federal (FISMA)

exige que los organismos federales de Estados Unidos desarrollen, documenten e implementen controles para proteger su información y sus sistemas de información. El Programa federal de administración de riesgos y autorizaciones (FedRAMP) es un programa federal de administración de riesgos que ofrece un enfoque estándar para evaluar y supervisar la seguridad de productos y servicios en la nube. En las Preguntas más frecuentes sobre FedRAMP/FISMA (en inglés) se describe cómo el servicio de Office 365 sigue procesos de seguridad y privacidad relacionados con FedRAMP/FISMA.

4. ISO 27001:

ISO 27001 es una de las mejores referencias de seguridad disponibles en todo el mundo. Se comprobó que muchos de los productos de Office 365 cumplen el estricto conjunto de controles físicos, lógicos, de procesos y de administración que se definen en la norma ISO 27001:2013. Esto también incluye los controles de privacidad de la ISO 27018 en la auditoría más reciente. La inclusión de estos nuevos controles de la norma ISO 27018 en la evaluación ISO ayudará a Office 365 a validar ante los clientes el nivel de protección que ofrece Office 365 para proteger la privacidad de los datos de clientes.

5. Cláusulas modelo de la Unión Europea (UE):

la Directiva de protección de la información de la Unión Europea, un instrumento fundamental de la legislación sobre derechos humanos y privacidad de la UE, exige a nuestros clientes en la Unión Europea que legitimen la transferencia de datos personales fuera de la UE. Las cláusulas modelo de la UE están reconocidas como el método preferido para legitimar la transferencia de datos personales fuera de la UE en entornos de informática en la nube. Ofrecer las cláusulas modelo de la UE implica la inversión y creación de los procesos y controles operativos necesarios para cumplir los exigentes requisitos de dichas cláusulas. Si un proveedor de servicios en la nube no está dispuesto a aceptar las cláusulas modelo de la UE, es poco probable que un cliente confíe en que pueda cumplir los requisitos de la Directiva de protección de la información de la Unión Europea para la transferencia de datos personales desde la UE a jurisdicciones que no ofrezcan una “protección adecuada” de los datos personales. En las Preguntas más frecuentes sobre las cláusulas modelo de la UE se describe el enfoque avalado por un organismo regulador de Microsoft en relación con estas cláusulas.

6. ISO 27018:

Microsoft es el primer proveedor de servicios en la nube importante que se comprobó de forma independiente como conforme con la ISO 27018, lo que establece un enfoque internacional e uniforme para proteger la privacidad de la información personal almacenada en la nube. Nuestro cumplimiento de la norma ISO 27018 significa que solo procesamos información personal según las instrucciones de los clientes, somos transparentes sobre lo que sucede con los datos de clientes, ofrecemos sólidas medidas de seguridad para la información personal en la nube, no usamos los datos de cliente con fines publicitarios e informamos a los clientes sobre el acceso de los organismos gubernamentales a sus datos.

7. Ley de Derechos de la Familia en materia de Educación y Privacidad (FERPA):

FERPA impone requisitos a las organizaciones educativas de EE. UU. en relación con el uso o la divulgación de los expedientes académicos de los alumnos, incluidos el correo electrónico y los datos adjuntos. Microsoft se compromete a usar y divulgar las restricciones de uso y confidencialidad impuestas por FERPA que limitan nuestro uso de los expedientes académicos de los alumnos, incluido el acuerdo de no examinar correos electrónicos o documentos con fines publicitarios.

8. Declaración sobre normas de verificación contable n.º 16 (SSAE 16):

Office 365 ha sido auditado por terceros independientes y puede proporcionar los informes SSAE16 SOC 1 (tipos I y II) y SOC 2 (tipo II) sobre cómo el servicio implementa los controles.

9. Ley Gramm-Leach-Bliley (GLBA):

la Ley Gramm-Leach-Bliley exige que las instituciones financieras implementen procesos para proteger la información personal no pública de sus clientes. La GLBA exige directivas para proteger la información ante amenazas previsibles para la seguridad y la integridad de los datos. Los clientes sujetos a la GLBA pueden usar Office 365 y cumplir los requisitos de esta ley.

10. Health Information Trust Alliance (HITRUST):

el equipo de Office 365, en asociación con un evaluador independiente, completó una evaluación de nuestro cumplimiento con el marco HITRUST. Considerada una norma importante por las organizaciones sanitarias de EE. UU., HITRUST estableció un marco común de seguridad (CSF) certificable que puede usar cualquier organización que cree, almacene, intercambie u obtenga acceso a información personal financiera y sanitaria.

Para obtener más información sobre el cumplimiento de Office 365, vea el documento Marco de cumplimiento de normas y reglamentos del sector (en inglés).