Información general sobre la administración del personal
¿Cómo se muestra Microsoft a los posibles empleados?
Microsoft sigue estrictos requisitos de selección de personal para todos los candidatos, incluidos los empleados a tiempo completo, a tiempo parcial y los becantes. Todos los candidatos se examinan antes de comenzar a trabajar en Microsoft.
Las comprobaciones de antecedentes sobre los candidatos a empleo generalmente incluyen la revisión de los siguientes componentes, en la medida permitida por la ley:
- Comprobación de identidad
- Verificación de educación
- Comprobación del empleo
- Revisión de antecedentes penales
- Revisión del registro de delincuentes sexuales
- Revisión de la lista de sanciones globales
¿Qué comprobaciones adicionales se realizan para los empleados que administran servicios en la nube?
Además del examen previo al empleo, los empleados de Microsoft que mantienen Microsoft servicios en línea en el Estados Unidos deben someterse a una comprobación de antecedentes en la nube de Microsoft como requisito previo para el acceso a servicios en línea sistemas. Los requisitos de la comprobación en segundo plano varían para cumplir con las leyes y los modelos de entrega de servicios aplicables. Los resultados de la comprobación en segundo plano de Microsoft Cloud se almacenan en nuestra base de datos de empleados y deben renovarse cada dos años como mínimo. Si la comprobación en segundo plano de la nube de Microsoft expira y el empleado no la renueva, se revoca el acceso a servicios en línea y ya no está disponible hasta que se complete la comprobación de fondo en la nube de Microsoft. Del mismo modo, cuando finaliza la relación laboral con Microsoft, todo el acceso se revoca inmediatamente.
¿Cómo garantiza Microsoft que los empleados mantengan aptitudes y conocimientos suficientes para realizar sus responsabilidades y seguir las directivas de Microsoft?
Todos los empleados de Microsoft deben completar la formación básica de reconocimiento de seguridad. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. Esta formación está diseñada para proporcionar a los empleados una comprensión del enfoque fundamental de Microsoft sobre la seguridad. También se requiere formación de seguridad basada en roles aplicable antes de conceder cualquier acceso específico necesario para las responsabilidades de trabajo de un individuo. El entrenamiento de seguridad de los empleados de Microsoft se actualiza anualmente y cuando los cambios del sistema o de la directiva garantizan un nuevo entrenamiento.
Además de la capacitación en reconocimiento de la seguridad, los empleados de Microsoft deben completar la formación estándares de conducta empresarial. Esta formación incluye ética empresarial, seguridad de los empleados, privacidad, antiacoso y tolerancia cero a comportamientos no éticos. Al final del curso, los empleados deben atestiguar que cumplirán con el código de conducta empresarial de Microsoft, que se realiza un seguimiento a nivel de la organización. Los estándares de formación de conducta empresarial se actualizan anualmente.
¿Cómo revoca Microsoft el acceso para los empleados que abandonan Microsoft?
Microsoft usa directivas y procedimientos claramente definidos para revocar rápidamente el acceso físico y lógico a los sistemas y recursos de Microsoft cuando un empleado deja Microsoft o se termina. El proceso de terminación de Microsoft garantiza que los antiguos empleados de Microsoft no puedan acceder a los datos o sistemas una vez que finalice su empleo.
Cuando el empleo de un usuario del equipo de servicio se marca como finalizado, esta información se propaga a la herramienta de administración de cuentas de Microsoft, que quita automáticamente la cuenta de dominio del empleado terminado. Los distintivos de acceso u otros autenticadores físicos emitidos al empleado terminado se recopilan en el momento de la entrevista de salida o la terminación.
¿Cómo garantiza Microsoft que los proveedores de terceros cumplan los mismos requisitos de personal que los empleados de Microsoft?
Microsoft servicios en línea requerir que los proveedores de terceros tengan un Contrato maestro de servicios de proveedores (MSSA) firmado. Este contrato requiere que el proveedor cumpla con las directivas y procedimientos de Microsoft, incluidas las directivas y procedimientos de seguridad del personal. Microsoft supervisa el cumplimiento de los requisitos de filtrado para el personal de terceros mediante el seguimiento del resultado de la detección directamente. Microsoft requiere que los proveedores realicen pantallas de fondo para todas las personas que necesiten acceso a las instalaciones o a la red de Microsoft. Para roles específicos, es posible que un proveedor tenga que proporcionar atestación como prueba de que la persona completó los requisitos de pantalla en segundo plano de la nube.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con los recursos humanos.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificado |
A.7: Seguridad de recursos humanos | 6 de noviembre de 2023 |
| ISO 27017 Declaración de aplicabilidad Certificado |
A.7: Seguridad de recursos humanos | 6 de noviembre de 2023 |
| SOC 1 | IS-4: Entrenamiento de seguridad OA-3: Revocación de la cuenta |
17 de noviembre de 2023 |
| SOC 2 SOC 3 |
C5-2: Evaluación del riesgo del proveedor ELC-6: Código de conducta del proveedor IS-4: Entrenamiento de seguridad OA-3: Revocación de la cuenta SOC2-1: Acciones disciplinarias SOC2-12: Comprobaciones en segundo plano SOC2-13: Contratos de empleo SOC2-14: Acuerdos de confidencialidad y no divulgación |
17 de noviembre de 2023 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP (Office 365) | AT-2: Reconocimiento de la seguridad AT-3: Entrenamiento de seguridad basado en roles AT-4: Registros de entrenamiento de seguridad PS-3: Selección de personal PS-4: Terminación de personal PS-5: Transferencia de personal PS-7: Seguridad del personal de terceros |
31 de julio de 2023 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación (27001/27002) Certificación (27017) |
A.7: Seguridad de recursos humanos | Marzo de 2024 |
| SOC 1 | CA-08: comprobaciones en segundo plano CA-43: Revocación de la cuenta |
23 de enero de 2024 |
| SOC 2 | CA-07: Estándares de conducta empresarial (SBC) CA-08: comprobaciones en segundo plano CA-43: Revocación de la cuenta ELC-08/13/14: Contratos de empleo |
23 de enero de 2024 |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de