Exploración de los requisitos de los controles de acceso de subprocesador
Si un subprocesador tiene "potencial para acceder" a los datos personales o a los datos confidenciales de Microsoft, ¿significa eso que pueden procesar esos datos cuando y como quieran? Microsoft permite a los subprocesadores procesar datos, solo para entregar los servicios que Microsoft los ha retenido para proporcionar y se les prohíbe usar los datos para cualquier otro propósito. Los datos personales procesados por subprocesadores a menudo se seudonimizan o se desincronizan, lo que permite a los subprocesadores cumplir sus responsabilidades de trabajo sin tener acceso a atributos identificables. Microsoft requiere que cada tipo de subprocesador use los controles de acceso adecuados para proteger los datos que procesan.
Tipos de subencargados
Microsoft ha designado tres categorías de subprocesadores:
- Tecnología: Subprocesadores de terceros que potencian tecnologías que se integran sin problemas con Microsoft Online Services y, en parte, potencian las funciones en la nube de Microsoft. Si implementa uno de estos servicios, los subprocesadores identificados para ese servicio pueden procesar, almacenar o acceder a datos de cliente o datos personales mientras ayudan a proporcionar ese servicio.
- Auxiliares: Subprocesadores de terceros que proporcionan servicios complementarios que ayudan a admitir, operar y mantener los Servicios en línea. En tales casos, los subencargados identificados pueden procesar, almacenar o acceder a datos de clientes o datos personales limitados mientras proporcionan sus servicios auxiliares.
- Personal del contrato: Organizaciones que proporcionan personal de contrato que trabaja en paralelo con los empleados de tiempo completo de Microsoft para apoyar, operar y mantener Microsoft Online Services. En todos estos casos, los datos de cliente o los datos personales residen solo en las instalaciones de Microsoft, en los sistemas de Microsoft y están sujetos a las directivas y supervisión de Microsoft.
Además, las entidades del centro de datos de Microsoft proporcionan la infraestructura del centro de datos en la que se ejecuta Microsoft Online Services. Los datos dentro de los centros de datos se cifran y ningún personal de los centros de datos puede acceder a ellos.
Controles de acceso de subencargado
Cada tipo de subencargado de Microsoft aplica los controles de acceso adecuados para proteger los datos personales y del cliente. Todos los subencargados deben mantener la seguridad y la confidencialidad de los datos personales y del cliente, y están obligados contractualmente a cumplir los estrictos requisitos de privacidad y seguridad. Estos requisitos son equivalentes o más fuertes que los compromisos contractuales que Microsoft realiza con sus clientes en el Anexo de protección de datos de productos y servicios de Microsoft.
El personal del contrato está sujeto a los mismos controles de acceso implementados para los empleados a tiempo completo de Microsoft, incluida la autenticación multifactor (MFA), el acceso permanente cero (ZSA) y Just-In-Time (JIT) con Just-Enough-Access (JEA). Además, los subcontratistas que trabajan en instalaciones o usan equipos controlados por Microsoft están obligados contractualmente a seguir nuestros estándares de privacidad y a realizar cursos de privacidad con regularidad.
La tecnología y los subprocesadores auxiliares son responsables de implementar controles de acceso de acuerdo con los requisitos de protección de datos (DPR) de Microsoft. Estos requisitos cumplen o superan los compromisos contractuales que Microsoft realiza con sus clientes en nuestros Términos de producto. Estos subprocesadores pueden tener la posibilidad de acceder a determinados datos restringidos, como los datos personales o del cliente, para ofrecer funciones en soporte técnico de Microsoft Online Services. Los contratos de subprocesador prohíben específicamente el uso de datos personales para cualquier otro propósito. Además, los controles aplicables de dpr ayudan a proteger los datos personales y del cliente frente al acceso o uso no autorizados. En muchos casos, las tareas que realizan los subprocesadores se pueden realizar con datos seudonimizados o anonimizados.
Los subencargados también están obligados a cumplir los requisitos de privacidad y seguridad, incluidos los relacionados con la aplicación de medidas técnicas y organizativas adecuadas para proteger los datos personales.