Compartir a través de


Azure Local y normas de seguridad

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se recoge información sobre las normas de seguridad relacionadas con Azure Local. Los recursos que se describen en este artículos, incluidos las certificaciones y los informes de evaluación, se pueden usar como fuente de ayuda en la planificación del cumplimiento.

En cada sección de este artículo se da información sobre Azure Local y una norma de seguridad específica, junto con las certificaciones completadas.

Estándar federal de procesamiento de información (FIPS) 140

El Estándar federal de procesamiento de información (FIPS) 140 es un estándar de seguridad gubernamental estadounidense que especifica los requisitos mínimos de seguridad para los módulos criptográficos en los productos y sistemas de tecnología de la información. Azure Local viene integrada en Windows Server Datacenter, que cuenta con un dilatado historial de validación de la FIPS 140.

En la siguiente tabla se recoge el estado actual de las validaciones de la FIPS 140 de Azure Local. Para obtener más información sobre la validación fiPS 140 relacionada de los algoritmos y módulos criptográficos de Windows Server Datacenter, consulte Validación de FIPS 140.

Productos Estado de evaluación Detalles
Azure Local, versión 22H2 En proceso enumerados en Módulos NIST en proceso
Azure Local, versión 21H2 En proceso Biblioteca primitivas criptográficas en modo kernel n.º 4766

Common Criteria for Information Technology Security Evaluation (CC) (Criterios comunes para la evaluación de seguridad de tecnologías de la información)

Microsoft tiene el compromiso de optimizar la seguridad de sus productos y servicios. Como parte de ese compromiso, Microsoft admite el programa Common Criteria for Information Technology Security Evaluation (CC), garantiza que los productos incorporen las características y funciones requeridas por los perfiles de protección de criterios comunes pertinentes y complete las certificaciones de criterios comunes de varios productos del sistema operativo.

En la siguiente tabla se recoge el estado de las certificaciones de Criterios comunes de Azure Local, junto con la documentación sobre certificaciones correspondiente. Obtenga más información sobre el enfoque de Microsoft para las certificaciones de Criterios comunes en Certificaciones de Criterios comunes.

Productos Estado de evaluación Detalles
Azure Local, versión 22H2 Completado 17 de enero de 2024 Incluye el perfil de protección de sistemas operativos de uso general, el PP-Module de cliente de VPN, el PP-Module de cliente de red de área local inalámbrica y el PP-Module de Bluetooth. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación
Azure Local, versión 21H2 Completado 21 de noviembre de 2022 Incluye el perfil de protección de sistemas operativos de uso general, el paquete ampliado de clientes WLAN y el PP Module de clientes de VPN. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación
Azure Local, versión 21H2 Completado 12 de enero de 2022 Incluye el perfil de protección de sistemas operativos de uso general, el paquete ampliado de clientes WLAN y el PP Module de clientes de VPN. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación

Organización internacional de normalización International (Organization for Standardization) (ISO)/IEC) 27001:2022

La ISO/IEC 27001 es una norma que detalla de manera formal un sistema de administración de seguridad de la información (Security Management System, ISMS) que tiene como finalidad salvaguardar la información mediante control explícito de su gestión. Esta norma aporta garantía a una organización a la hora de gestionar y proteger los datos según las normativas internacionales y reduce el riesgo de filtraciones de datos. La certificación de la ISO/IEC 27001 permite a las organizaciones cumplir con las diferentes regulaciones y normativas legales en materia de seguridad de la información.

En la siguiente guía se da más información sobre cómo las funcionalidades de seguridad de Azure Local le permiten respetar el cumplimiento de la norma ISO/IEC 27001:2022.

Normas de seguridad de datos (DSS) del sector de tarjetas de pago (PCI)

Los estándares de seguridad de datos (DSS) del sector de tarjetas de pago (PCI) son un estándar de seguridad de la información global diseñado para evitar fraudes mediante un mayor control de los datos de tarjetas de crédito. La PCI DSS es obligatoria en organizaciones de cualquier tamaño si estas almacenan, procesan o mueven datos de titulares de tarjetas de pago. Entre estas organizaciones se incluyen, entre otras, comercios, intermediarios de pagos, entidades emisoras, servicios de pago con tarjeta y proveedores de servicios.

Azure Cloud Services no solo cuenta con la validación de la PCI DSS para Azure Local, sino que también ofrece una serie de funciones en todo el entorno híbrido para reducir la carga de trabajo y los costes de conseguir una validación propia de la PCI DSS. Para obtener más información, consulte la guía siguiente.

Ley de Transferencia y Contabilidad de los Seguros de Salud de 1996 (HIPAA)

La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) es un conjunto de reglas y reglamentos establecidos por el Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos para proteger la privacidad, la seguridad y la integridad de la información de salud confidencial de los pacientes. HIPAA se aplica para cualquier organización o particular que crea, reciba, mantenga o mueva información electrónica sanitaria protegida (PHI), entre los que se incluyen, entre otros, consultas médicas, hospitales, aseguradoras y otras empresas de servicios sanitarios.

Es primordial cumplir con las normas de la HIPAA aunque supone un gran reto para las empresas de soluciones de atención sanitaria. Si elige Azure Local para desarrollar su entorno de TI híbrido, puede hacer uso de sus funcionalidades de serie y los servicios integrados en la nube para automatizar muchos aspectos de las tareas para dar cumplimiento a la HIPAA. Para obtener más información, consulte la guía siguiente.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP ofrece un proceso estandarizado para evaluar, supervisar y aprobar los productos y servicios informáticos basados en la nube. Hace más sencilla la implantación de soluciones seguras en la nube para las agencias federales de EE. UU. y permite a proveedores como Microsoft ofrecer sus servicios a dichas agencias. Es vital contar con la autorización de la FedRAMP, pero implica un esfuerzo importante para los operadores de servicios en la nube que deseen trabajar con agencias federales. Para esto, ofrecemos orientación que permite desentrañar los servicios correspondientes y demás información de interés en sus operaciones para obtener la certificación.