Estándar de Seguridad en la Nube Multinivel (MTCS) para Singapur
Información general sobre el MTCS
El Estándar de Seguridad en la Nube Multinivel (MTCS) para Singapur se preparó en la dirección del Comité de Estándares de Tecnología de la Información (ITSC) de la Autoridad de Desarrollo InfoComm de Singapur (IDA). El ITSC promueve y facilita programas nacionales para normalizar el sector de TI y comunicaciones, y fomentar la participación de Singapur en las actividades de normalización internacionales.
El propósito del MTCS es ofrecer:
- Una norma común que permita a los proveedores de servicios en la nube (CSP) afrontar cuestiones sobre la seguridad y la confidencialidad de los datos en la nube de sus clientes, así como el impacto empresarial que tiene el uso de los servicios en la nube.
- Transparencia operativa verificada y visibilidad hacia los riesgos que tiene para el cliente usar los servicios en la nube.
El MTCS se basa en estándares internacionales reconocidos como ISO/IEC 27001, y abarca áreas como la conservación de datos, la soberanía de datos, la portabilidad de datos, la responsabilidad, la disponibilidad, la continuidad empresarial, la recuperación ante desastres y la administración de incidencias. También incluye un mecanismo para que los clientes realicen pruebas y clasifiquen las funciones de los CSP según un conjunto de requisitos de seguridad básicos.
MTCS es la primera norma de seguridad en la nube con diferentes niveles de seguridad, por lo que los CSP certificados pueden especificar los niveles que ofrecen. MTCS incluye un total de 535 controles que cubren la seguridad básica en el Nivel 1, un control más estricto de la gobernanza y los espacios empresariales en el Nivel 2, y la fiabilidad y resistencia de sistemas de información de gran impacto en el Nivel 3.
Microsoft y MTCS
Tras las evaluaciones rigurosas realizadas por el cuerpo de certificación MTCS, los servicios en la nube de Microsoft recibieron la certificación MTCS 584:2013 en las tres clasificaciones de servicio: Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) y Software como servicio (SaaS). Microsoft fue el primer CSP global en recibir esta certificación en las tres clasificaciones.
Se concedieron certificaciones en el Nivel 3 para servicios de Microsoft Azure (IaaS y PaaS), Microsoft Dynamics 365 (SaaS) y Microsoft Office 365 (SaaS). Una certificación de Nivel 3 significa que los servicios en ámbito en la nube de Microsoft pueden hospedar datos de alto impacto de organizaciones reguladas con los requisitos de seguridad más estrictos. El Gobierno de Singapur requiere ciertas implementaciones para algunas soluciones en la nube.
Servicios y plataformas en la nube dentro del ámbito de Microsoft
- Azure
- Servicios en línea de Dynamics 365 (Business Central, comercio, atención Field Service, Finanzas, Protección contra fraudes, Marketing, Ventas, Gestión de la cadena de suministro)
- Genomics
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Graph
- Bot de Microsoft Healthcare
- Office 365
- OMS Service Map
- PowerApps
- Power BI
Office 365 y MTCS
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, Portal del cliente de Office 365, Office Online, Infraestructura de Servicios de Office, SharePoint Online, Skype Empresarial |
Auditorías, informes y certificados
La certificación es válida durante tres años, con auditorías de vigilancia anuales.
Certificación MTCS de Microsoft
Divulgación a un proveedor de servicios en la nube de Microsoft MTCS
Preguntas más frecuentes
¿A quién se aplica la norma?
Se aplica a las empresas de Singapur que compren servicios en la nube que requieran el cumplimiento del estándar MTCS.
¿Qué diferencias hay entre los niveles de seguridad de MTCS?
MTCS tiene un total de 535 controles que abarcan tres niveles de seguridad:
- El Nivel 1 tiene un precio más reducido y requiere un número mínimo de controles de seguridad básicos. Es adecuado para el hospedaje de sitios web, el trabajo de pruebas y desarrollo, la simulación y las aplicaciones empresariales que no son críticas.
- El Nivel 2 satisface las necesidades de la mayoría de las organizaciones preocupadas por la seguridad de los datos, con un conjunto de controles más estrictos dirigidos a riesgos de seguridad y amenazas de los datos. El Nivel 2 se aplica a la mayoría de los usos en la nube, incluidas las aplicaciones empresariales críticas.
- El Nivel 3 está diseñado para organizaciones reguladas con requisitos específicos y aquellas que quieran pagar más por los requisitos de seguridad más estrictos. El Nivel 3 agrega un conjunto de controles de seguridad para complementar la oferta de los Niveles 1 y 2. Abordan riesgos de seguridad y amenazas en sistemas de información con un alto impacto gracias a los servicios en la nube, como el hospedaje de aplicaciones con información confidencial y en sistemas regulatorios.
¿Cómo puedo empezar con los esfuerzos de cumplimiento normativo de mi organización?
El Esquema de Certificación MTCS ofrece instrucciones sobre controles de auditoría y requisitos de seguridad.
¿Puedo usar el cumplimiento normativo de Microsoft en el proceso de certificación de mi organización?
Sí. Si necesita certificar los servicios que haya creado en los servicios en la nube de Microsoft, puede usar la certificación MTCS para reducir el impacto de las auditorias en su infraestructura de TI, en caso de que las use. Sin embargo, usted tiene la responsabilidad de contratar un asesor para evaluar la implementación para el cumplimiento normativo y los controles y procesos de su propia organización.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.