Información general sobre privacidad y administración de datos
¿Cómo aborda Microsoft la privacidad para los clientes?
El compromiso de Microsoft para proteger los datos de los clientes se establece en los Términos del producto y el Anexo de protección de datos (DPA). La base del enfoque de privacidad de Microsoft se basa en los siguientes principios: control del cliente, transparencia, seguridad, defensa de datos desde el acceso de terceros, sin segmentación basada en contenido y cumplimiento con las leyes y regulaciones pertinentes. Para obtener más información, consulte Privacidad en Microsoft y el Informe de privacidad de Microsoft para obtener más información sobre el enfoque de Microsoft para proteger la privacidad.
¿Cómo implementa Microsoft sus compromisos de privacidad?
Microsoft mantiene la Directiva de privacidad corporativa de Microsoft y el Estándar de privacidad de Microsoft para garantizar que cumplimos nuestros compromisos de privacidad en toda la empresa. Microsoft tiene consejos de gobernanza, consejos y comités para respaldar la adopción y la implementación coherentes y conformes de nuestros requisitos de privacidad corporativa. El programa de privacidad de Microsoft comienza con un modelo de gobernanza "hub and spoke", donde la responsabilidad por el cumplimiento se comparte en toda la empresa, algunas se centralizan y otras se distribuyen. El "centro" del equipo de privacidad corporativa de Microsoft es el grupo CELA (asuntos corporativos, externos y legales). Los "radios" residen dentro de los grupos funcionales y de ingeniería de la empresa.
Microsoft también tiene establecidos estándares de control de datos que proporcionan instrucciones sobre cómo administrar cada tipo de clasificación de datos dentro de actividades o escenarios específicos, incluidos los requisitos para cumplir las obligaciones descritas en los Términos de producto y DPA.
¿Cómo recopila y procesa Microsoft los datos de los clientes?
El ciclo de vida de los datos describe cómo Microsoft procesa los datos según la guía del cliente y en cumplimiento con las leyes de seguridad y privacidad aplicables, como se indica en los Términos de producto y DPA. Las fases del ciclo de vida de los datos incluyen la recopilación, el procesamiento, el almacenamiento, el uso compartido de terceros (si procede), la retención, la transferencia y la eliminación. El enfoque de privacidad de Microsoft informa a cada fase del ciclo de vida de los datos para proteger la privacidad de nuestros clientes.
Microsoft limita la recopilación de datos de clientes a tres categorías de datos: Datos de cliente, Datos personales y Datos de servicios profesionales, tal como se define en el DPA. Microsoft usa y procesa datos de estas categorías para proporcionar productos y servicios de acuerdo con las instrucciones documentadas de sus clientes y para incidentes de operaciones empresariales para proporcionar los productos y servicios. Las descripciones específicas de estas actividades de uso y procesamiento se definen en el DPA en las secciones "Procesamiento para proporcionar al cliente los productos y servicios" y "Procesamiento de incidentes de operaciones empresariales para proporcionar los productos y servicios al cliente", respectivamente.
¿Cómo controla Microsoft el uso compartido de terceros?
El uso compartido de terceros es el uso compartido o la divulgación posterior de datos a terceros. Microsoft solo compartirá datos cuando el cliente lo autorice o lo requiera la legislación aplicable. Microsoft no concede a ningún gobierno (incluidas las autoridades judiciales u otras entidades gubernamentales) acceso directo o ilimitado a los datos de los clientes. Para obtener más información, consulte el Informe de solicitudes de cumplimiento de la ley y el Informe de orden de seguridad nacional de Ee. UU. para obtener información sobre cómo Microsoft responde a las solicitudes gubernamentales para acceder a los datos.
¿Usa Microsoft subprocesadores o subcontratistas?
Para obtener información sobre cómo Microsoft administra a los proveedores, consulte la página Administración de proveedores .
¿Quién tiene acceso a los datos del cliente en Microsoft?
Para obtener información sobre cómo Microsoft administra el acceso a los datos del cliente, consulte la página Administración de identidades y acceso .
¿Dónde se encuentran los datos del cliente?
Para Core Online Services, consulte nuestros compromisos descritos en los Términos del producto y el DPA para encontrar la información más actualizada sobre la ubicación de los datos del cliente.
Tal como se describe en el DPA de Core Online Services, Microsoft almacena los datos de cliente en reposo dentro de determinadas áreas geográficas principales (cada una, una geográfica) tal como se establece en los Términos del producto. En el caso de los servicios comerciales en el ámbito del límite de datos de Microsoft EU, Microsoft almacena y procesa datos de clientes dentro de la Unión Europea, tal como se establece en los Términos del producto. Microsoft no controla ni limita las regiones desde las que los usuarios finales del cliente o del cliente pueden acceder a los datos del cliente o moverlos.
Visite Privacidad de Microsoft: dónde se encuentran sus datos para obtener más información.
Para los servicios de Azure y M365, visite Residencia de datos de Azure y ubicaciones de datos M365.
Otras ubicaciones de datos de servicios:
- Azure DevOps Services
- Microsoft Entra ID
- Microsoft Commerce
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Defender for Identity directiva de datos personales
- Microsoft Dynamics 365
- Microsoft Intune
- Microsoft Power Platform
- Servicios profesionales de Microsoft
- Protección contra amenazas de Microsoft
Límite de datos de Microsoft EU
El 6 de mayo de 2021, Microsoft anunció el límite de datos de la UE para Microsoft Cloud, el nuevo compromiso de Microsoft con los clientes de Europa. El límite de datos de la UE es un límite definido geográficamente dentro del cual Microsoft se ha comprometido a almacenar y procesar datos de clientes para nuestros principales servicios en línea, incluidos Azure, Dynamics 365, Power Platform y Microsoft 365, sujeto a circunstancias limitadas en las que los datos de los clientes seguirán transfiriendo fuera del límite de datos de la UE.
Más información en:
¿Cómo elimina Microsoft los datos de clientes cuando un cliente deja el servicio?
Microsoft Data Handling Standard especifica cuánto tiempo se conservan los datos del cliente después de la eliminación. Cuando un cliente finaliza su suscripción, Microsoft conserva los datos de los clientes en una cuenta de función limitada durante 90 días para permitir que el cliente extraiga los datos. Una vez que finalice el período de retención de 90 días, Microsoft eliminará los datos de los clientes a menos que esté autorizado para retenerlos o que la ley lo requiera. No más de 180 días después de la expiración o finalización de una suscripción a Microsoft servicios en línea, Microsoft deshabilita la cuenta y elimina todos los datos del cliente de la cuenta. Una vez transcurrido el período de retención máximo de los datos, los datos se representan comercialmente como irrecuperables.
Microsoft también elimina todos los datos de diagnóstico y generados por el servicio como parte del ciclo de vida estándar de los datos de Microsoft, a menos que los datos sean necesarios para mantener la seguridad y la estabilidad del servicio. Para cualquier suscripción, un suscriptor puede ponerse en contacto con Soporte técnico de Microsoft y solicitar el desaprovisionamiento rápido de la suscripción. Cuando un cliente usa este proceso, todos los datos de usuario se eliminan 3 días después de que el administrador escriba el código de bloqueo proporcionado por Microsoft. Esta eliminación incluye datos en SharePoint Online y Exchange Online en espera o almacenados en buzones inactivos.
Microsoft sigue las directrices de NIST SP-800-88 para la destrucción de dispositivos que son capaces de contener datos, como se describe en el artículo Destrucción de dispositivos con rodamientos de datos .
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la privacidad.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27018 Declaración de aplicabilidad Certificado |
A-2.1: Propósito del procesador de PII en la nube pública | 6 de noviembre de 2023 |
| ISO 27701 Declaración de aplicabilidad Certificado |
Todos los controles | 6 de noviembre de 2023 |
| SOC 1 | DS-15: finalización o expiración de la suscripción del cliente SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL) LA-4: Protección de datos confidenciales del cliente |
17 de noviembre de 2023 |
| SOC 2 SOC 3 |
DS-15: finalización o expiración de la suscripción del cliente SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL) LA-4: Protección de datos confidenciales del cliente SOC2-1: Clasificación de recursos SOC2-7: Obligaciones de confidencialidad y seguridad publicadas |
17 de noviembre de 2023 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27018 Declaración de aplicabilidad Certificado |
A-2.1: Propósito del procesador de PII en la nube pública | Marzo de 2024 |
| ISO 27701 Declaración de aplicabilidad Certificado |
Todos los controles | Marzo de 2024 |
| SOC 2 | CA-12: Contratos de nivel de servicio (SLA) CA-17: Directiva de seguridad de Microsoft CA-25: Actualizaciones del marco de control |
23 de enero de 2024 |
Recursos
- Centro de confianza de Microsoft: Principios de privacidad: Principios de privacidad
- Cumplimiento de los requisitos de transferencia de la UE para datos personales en Microsoft Cloud
- Información de privacidad y protección de datos de Microsoft Professional Services
- Preguntas más frecuentes sobre la evaluación de impacto de transferencia de datos
- Data Residency, soberanía de datos y cumplimiento en la nube de Microsoft
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de