ISO/IEC 27018 Código de prácticas para proteger los datos personales en la nube

Introducción a la norma ISO/IEC 27018

La Organización Internacional de Normalización (ISO) es una organización independiente y no gubernamental, y el desarrollador más grande del mundo de estándares internacionales voluntarios. La familia de normas ISO/IEC 27000 ayuda a las organizaciones de todos los tipos y tamaños a mantener seguros los activos de información.

En 2014, la ISO adoptó la ISO/IEC 27018:2014, un anexo a ISO/IEC 27001, el primer código de prácticas internacional para la privacidad en la nube. Basándose en la legislación de protección de datos de la UE, ofrece instrucciones específicas a los proveedores de servicios en la nube (PSN) que actúan como procesadores de información de identificación personal (DCP) para la evaluación de riesgos y la implementación de controles de última generación para proteger la DCP.

Microsoft y la ISO/IEC 27018

Al menos una vez al año, Microsoft Azure y Azure Alemania son auditados para el cumplimiento con ISO/IEC 27001 e ISO/IEC 27018 por parte de un organismo de certificación de terceros acreditado. Esta auditoría proporciona una validación independiente de que los controles de seguridad aplicables están en vigor y funcionan de forma eficaz. Como parte de este proceso de verificación de cumplimiento, los auditores validan en la declaración de aplicabilidad que los servicios de soporte técnico comerciales y los servicios en la nube de Microsoft en ámbito han incorporado controles ISO/IEC 27018 para la protección de DCP en Azure. Para respetar las normativas, los servicios de nube de Microsoft deben estar sujetos a las revisiones anuales de terceros.

Siguiendo los estándares de ISO/IEC 27001 y el código de práctica incorporado en ISO/IEC 27018, Microsoft demuestra que sus políticas y procedimientos de privacidad son sólidos y están en consonancia con sus altos estándares.

  • Los clientes de servicios de nube de Microsoft saben dónde se almacenan sus datos. Dado que la ISO/IEC 27018 requiere que los PSN certificados comuniquen a los clientes acerca de los países o regiones en los que se pueden almacenar los datos, los clientes del servicio de nube de Microsoft tienen la visibilidad que necesitan para cumplir las reglas de seguridad de la información que sean aplicables.
  • Los datos de los clientes no se utilizarán para fines de marketing o publicitarios sin consentimiento explícito. Algunos PSN usan los datos de los clientes para sus propios fines comerciales, incluida la publicidad dirigida. Dado que Microsoft ha adoptado ISO/IEC 27018 para sus servicios en la nube empresariales de ámbito, los clientes pueden estar seguros de que sus datos nunca se usarán para tales fines sin consentimiento explícito y que el consentimiento no puede ser una condición para el uso del servicio en la nube.
  • Los clientes de Microsoft saben lo que ocurre con su DCP. La ISO/IEC 27018 requiere una política que permita la devolución, transferencia y eliminación segura de información personal en un período de tiempo razonable. Si Microsoft trabaja con otras empresas que necesitan acceder a los datos de los clientes, revelará de forma proactiva las identidades de dichos subprocesadores.
  • Microsoft cumple únicamente las solicitudes vinculantes legalmente para divulgar los datos de los clientes. Si Microsoft debe cumplir dicha solicitud (como en el caso de una investigación criminal), siempre notificará al cliente a menos que la ley lo prohíba.

Servicios de plataformas & en la nube en el ámbito de Microsoft

  • Azure, Azure Government y Azure Alemania
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 y Dynamics 365 Germany
  • Intune
  • Microsoft Defender for Cloud Apps
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Microsoft Graph
  • Bot de Microsoft Healthcare
  • Escritorio administrado por Microsoft
  • Expertos en amenazas de Microsoft
  • Microsoft Stream
  • Office 365, Office 365 Administración Pública para Estados Unidos y Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS Service Map
  • Power Automate (anteriormente conocido como Microsoft Flow): el servicio en la nube como servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio en la nube de PowerApps: como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de Power BI: como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
  • Power BI incrustado
  • Power Virtual Agents
  • Microsoft Defender para punto de conexión: Detección de puntos de & conexión Respuesta, Corrección de investigación & automática, Puntuación segura
  • Windows 365

Azure, Dynamics 365 e ISO/IEC 27018

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta Azure ISO/IEC 27018.

Office 365 e ISO ISO/IEC 27018

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics , Cumplimiento avanzado de Office 365 complemento, Office 365 Portal de clientes, Office 365 Microservicios (incluidos, entre otros, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Servicio de anotación de consultas, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), seguridad & de Office 365 Centro de cumplimiento, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype Empresarial, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, seguridad & de Office 365 Centro de cumplimiento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream
GCC High Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Centro de cumplimiento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Centro de cumplimiento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial

Auditorías, informes y certificados de Office 365

Los servicios de soporte técnico comerciales y de nube de Microsoft se auditan una vez al año para certificar que cumplen el código de prácticas de la norma ISO/IEC 27018 como parte del proceso de certificación de la ISO/IEC 27001.

Preguntas frecuentes

¿A quién se aplica la ISO/IEC 27018?

Este código de prácticas se aplica a los CSP que procesan DCP por contrato para otras organizaciones. En el caso de Microsoft también se aplica al soporte de estos CSP.

¿Cuál es la diferencia entre 'controladores de información personal' y 'procesadores de información personal'?

En el contexto de la ISO/IEC 27018:

  • Los 'controladores' controlan la recopilación, la retención, el procesamiento o el uso de información personal; incluyen a las partes que lo controlan en nombre de otra empresa.
  • Información del proceso de "procesadores" en nombre de los controladores; no toman decisiones sobre cómo usar la información o los propósitos del procesamiento. Para proporcionar los servicios de nube empresariales, Microsoft (como proveedor) es un procesador de información.

¿Dónde puedo ver la información de cumplimiento normativo de Office 365 para la norma ISO/IEC 27018?

  • Puede revisar los certificados ISO/IEC 27018 de BSI (el auditor independiente que validó el cumplimiento de Microsoft con ISO/IEC 27018) para Office 365.

¿Puedo usar el cumplimiento normativo de Microsoft en el proceso de certificación de mi organización?

Sí. Si el cumplimiento normativo de la ISO/IEC 27018 es importante para su empresa y las implementaciones realizadas en cualquiera de los servicios de nube empresariales en ámbito de Microsoft, puede usar la atestación de que Microsoft cumple la norma ISO/IEC 27018 con la certificación de Microsoft para la ISO/IEC 27001 en la evaluación del cumplimiento.

Sin embargo, es responsable de contratar a un evaluador para evaluar el cumplimiento de la implementación y de los controles y procesos dentro de su propia organización.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos