Privacidad de datos y cumplimiento
Microsoft se compromete a los niveles superiores de confianza, de transparencia, de conformidad de estándares, y de cumplimiento normativo. El amplio conjunto de productos y servicios en la nube de Microsoft se construye desde cero para abordar las demandas de seguridad y privacidad más rigurosas de nuestros clientes.
Para ayudar a su organización a cumplir con los requisitos nacionales, regionales y específicos del sector que rigen la recopilación y el uso de los datos de personas, Microsoft proporciona el conjunto de ofertas de cumplimiento más completo (incluidas certificaciones y atestiguaciones) de cualquier proveedor de servicios de nube. También hay herramientas para que los administradores respalden los esfuerzos de su organización. En esta parte del documento, cubriremos con más detalle los recursos disponibles para ayudarle a determinar y lograr los requisitos de su propia organización.
Centro de confianza
El Centro de confianza de Microsoft es un recurso centralizado para obtener información sobre la cartera de productos de Microsoft. Incluye información de seguridad, privacidad, cumplimiento, y transparencia. Aunque este contenido puede contener algún subconjunto de esta información para Power Apps, es importante consultar siempre el Centro de confianza de Microsoft para obtener la información fidedigna más actualizada.
Para referencia rápida, puede encontrar la información del Centro de confianza para Microsoft Power Platform aquí: https://www.microsoft.com/trust-center/product-overview. Esto incluirá información sobre Power Apps, Microsoft Power Automate y Power BI.
Ubicación de los datos
Microsoft opera varios centros de datos en todo el mundo que admiten aplicaciones de Microsoft Power Platform. Cuando la organización establece un inquilino, establece la ubicación geográfica predeterminada. Además, cuando se crean entornos para dar apoyo a aplicaciones de soporte y contener datos de Microsoft Dataverse se pueden especificar entornos para una ubicación geográfica específica. Una lista actual de las ubicaciones geográficas para Microsoft Power Platform se puede encontrar aquí https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
Para disfrutar de la continuidad de operaciones, Microsoft puede replicar datos a otras regiones dentro de una ubicación geográfica, pero los datos no desplazarán fuera de la ubicación geográfica para permitir la resistencia de datos. Esto respalda la capacidad de conmutar por error o recuperarse más rápidamente si hay una interrupción grave. Hay unas pocas excepciones a mantener los datos en la ubicación geográfica específica que aparecen en el sitio anterior, centrado principalmente en aspectos legales y de soporte. Es igualmente importante notar, que usted o sus usuarios pueden realizar acciones que expongan datos fuera de la ubicación geográfica. Otros servicios también se pueden configurar para obtener acceso a los datos y exponerlos fuera de la ubicación geográfica. De manera predeterminada, los usuarios autorizados pueden acceder a la plataforma y sus aplicaciones y datos desde cualquier lugar del mundo donde haya conectividad.
Protección de datos
Los datos están protegidos mientras están en tránsito entre los dispositivos de usuario y los centros de datos de Microsoft. Las conexiones establecidas entre los clientes y los centros de datos de Microsoft están cifradas y todos los puntos de conexión públicos están protegidos mediante la seguridad TLS estándar del sector. TLS establece efectivamente una conexión de navegador a servidor con seguridad mejorada para ayudar a garantizar la confidencialidad e integridad de los datos entre escritorios y centros de datos. El acceso API desde el extremo del cliente al servidor también está protegido de manera similar. Actualmente, se requiere TLS 1.2 (o superior) para tener acceso a los extremos de servidor.
Los datos transferidos a través de la puerta de enlace de datos local también están cifrados. Los datos que los usuarios cargan se envía normalmente a Almacenamiento de blobs de Azure, y todos los metadatos y artefactos del propio sistema se almacenan en una Azure SQL Database y Azure Table Storage.
Todos los entornos de la base de datos de Dataverse usan cifrado de datos transparente (TDE) de SQL Server para realizar cifrado de datos en tiempo real cuando se escriben en el disco, lo que también se conoce como cifrado en reposo.
De forma predeterminada, Microsoft almacena y administra las claves de cifrado de base de datos para sus entornos para que usted no tenga que hacerlo. La característica de claves de administración del Centro de administración de Power Platform ofrece a los administradores la capacidad de autoadministrar las claves de cifrado de base de datos que están asociados a entornos de Dynamics 365 (online). Puede leer más información acerca de administrar sus propias claves aquí pero por lo general se recomienda que Microsoft administre las claves a menos que tenga una necesidad específica de negocio para mantener la suya.
Recursos para administrar el cumplimiento del RGPD
El Reglamento general de protección de datos (RGPD) de la Unión Europea (UE) otorga derechos importantes a las personas con respecto a sus datos. Referirse a Microsoft Learn Resumen del Reglamento General de Protección de Datos para obtener una descripción general de GDPR, incluida la terminología, un plan de acción y listas de verificación de preparación para ayudarlo a cumplir con sus obligaciones bajo GDPR cuando usa productos y servicios de Microsoft.
Puede obtener más información sobre el RGPD y cómo Microsoft ayuda a respaldarlo y a nuestros clientes que se ven afectados por él.
- El Centro de confianza de Microsoft proporciona información general, mejores prácticas de cumplimiento y documentación útil para la responsabilidad de GDPR, como evaluaciones de impacto de protección de datos, solicitudes de interesados y notificación de violación de datos.
- El Portal de confianza del servicio proporciona información sobre cómo los servicios de Microsoft ayudan a cumplir con el RGPD.
Como administrador una de las actividades principales en apoyo de la privacidad estará relacionada con las solicitudes de los derechos de los interesados (DSR). Éstas son solicitudes formales de interesado a un responsable del tratamiento de datos (probable su organización) para que actúe sobre sus datos personales en sus sistemas. Los interesados tienen el derecho de obtener copias, solicitar correcciones, restringir el tratamiento de sus datos, eliminar datos y recibir copias en formato electrónico para que puedan ser movidos a otro responsable del tratamiento de datos.
Los vínculos siguientes apuntan a información detallada para ayudarle a responder a solicitudes de DSR en función que use su organización.
| Área de características de la plataforma | Vinculo a pasos detallados de respuesta |
|---|---|
| Power Apps | Respuesta a las Solicitudes de derechos del interesado (DSR) para exportar los datos de clientes de Power Apps |
| Dataverse | Respuesta a las Solicitudes de derechos del interesado (DSR) para los datos de clientes de Dataverse |
| Power Automate | Responder a las solicitudes de los titulares de los datos para Power Automate |
| Microsoft Accounts (MSAs) | Responder a las solicitudes de derechos de los interesados |
| Aplicaciones de interacción con el cliente | Solicitudes de sujetos de datos de Dynamics 365 para la privacidad |
Centro de seguridad y cumplimiento de Microsoft 365
Use el Administrador de cumplimiento de Microsoft Purview, a fin de administrar los esfuerzos de cumplimiento a través de los servicios en la nube de Microsoft en un solo lugar.
Power Automate Audit Log Events
En la Búsqueda de registros de auditoría del centro de cumplimiento, los administradores pueden buscar y ver eventos de Power Automate. Los eventos incluyen flujo creado, flujo editado, flujo eliminado, permisos editados, permisos eliminados, iniciada una prueba de pago, Renovada una prueba de pago. Con el portal puede elegir qué desea buscar y un período de tiempo.
Inicie sesión en el portal de cumplimiento de Microsoft Purview.
En Soluciones, seleccione Auditoría.
En Actividades, seleccione las actividades de Power Automate a auditar.
Seleccione Buscar.
Cuando se complete la búsqueda, selecciónela para ver la lista de actividades relacionadas.
Seleccione una fila en la lista para ver los detalles de actividad.
Los datos de auditoría se mantienen durante 90 días. Puede realizar exportaciones de CDSV de los datos permitiendo moverlos a Excel o a PowerBI para un análisis más detallado. Puede encontrar un tutorial completo del uso de la información de auditoría aquí: https://flow.microsoft.com/blog/security-and-compliance-center/