Centro de confianza: información sobre seguridad, privacidad y cumplimiento de la normativa de Microsoft Online Services.

Acceso administrativo

Le ofrecemos la capacidad de saber si alguien ha obtenido acceso a sus datos básicos.

Somos conscientes de que en la nube, el acceso a los datos es un asunto de máxima prioridad, donde no solamente es importante tener acceso a los datos cuando se necesita sino también saber si alguien ha tenido acceso a los mismos.

Nuestra posición respecto al acceso a los datos es como sigue:

Siempre le facilitamos el acceso a los datos de clientes.
El acceso a los datos de clientes está controlado rigurosamente y Microsoft y terceros efectúan auditorías con registro y auditorías de muestra para dar fe de que el acceso se efectúa únicamente con fines empresariales apropiados.
Somos conscientes de la gran importancia de los datos básicos de los clientes,¹ como el cuerpo de los correos electrónicos de Exchange Online y el contenido del sitio del equipo de SharePoint Online. Si alguna persona (personal de Microsoft, partners² o los administradores) tiene acceso a los datos básicos de los usuarios en el servicio, podemos facilitarle un informe sobre tal acceso si así lo solicita. De esta forma, sabrá cuándo se habrá obtenido acceso a sus datos.

Cómo ver el acceso de los administradores a los datos

	Tipos de datos de los que se va a llevar un seguimiento	Instrucciones
Microsoft Online Services	Creación de un portal por parte de los usuarios, restablecimientos de contraseñas	Ponerse en contacto con el servicio de soporte técnico de Microsoft Online Services
Exchange Online	Acceso al buzón de correo de Exchange³	Visite el panel de control de Exchange (vínculo disponible desde la página Descripción general de Administrador del portal de Microsoft Online Services[se requiere inicio de sesión]).
SharePoint Online	Sitio de SharePoint, acceso al almacenamiento	Ponerse en contacto con el servicio de soporte técnico de Microsoft Online Services
Microsoft Dynamics CRM Online	Acceso a los datos básicos de clientes de CRM	Ponerse en contacto con el servicio de soporte técnico de Microsoft Online Services

Notas:

¹Los datos básicos son datos para los que los clientes pueden tener mayores expectativas de confidencialidad y que, cuando el servicio se utiliza con normalidad, se transfieren de forma cifrada a través de Internet. En dicha categoría se incluyen, en particular, el cuerpo del correo electrónico de Exchange Online y los datos adjuntos, el contenido del sitio de SharePoint Online y el cuerpo del archivo, la mensajería instantánea y las conversaciones de voz, así como los datos empresariales de CRM acerca de las interacciones del cliente final.

²Partners: los informes sobre distribuidores (cuando el cliente ha adquirido los servicios en un distribuidor y este le haya facturado), partners VOIP de CS y servicios asociados como Research in Motion (para el servicio Hosted BlackBerry®) no están disponibles debido a la naturaleza de acceso a los datos de estas partes en el proceso habitual de utilización de los servicios.

³Para clientes que sean empresas y que hayan habilitado el centro de administración de FOPE, no será posible realizar informes sobre el acceso administrativo de correos en cola en el centro de administración.

Preguntas más frecuentes

Pregunta: ¿Quién dispone de derechos administrativos para Microsoft Online Services? ¿Se trata de empleados a tiempo total o de contratistas? ¿Cómo evita Microsoft que los administradores tengan acceso a los datos de clientes?

Por definición, los administradores de bases de datos tienen acceso a todos los recursos de una base de datos (incluso los datos de clientes). Sin embargo, Microsoft prohíbe estrictamente el acceso a los datos de clientes para fines que no sean necesidades empresariales como, el ajuste de bases de datos o la migración de clientes de una base de datos a otra.

En la siguiente tabla se describen diversos niveles de acceso para distintos tipos de datos:

	Datos de uso	Datos de la Libreta de direcciones	Datos de clientes (salvo datos básicos de clientes^*)	Datos básicos de clientes
Equipo de respuesta de operaciones (limitado al personal principal únicamente)	Sí.	Sí, según sea necesario.	Sí, según sea necesario.	Sí, por excepción.
Organización del soporte técnico	Sí, solo según sea necesario como respuesta a una solicitud de soporte técnico.	Sí, solo según sea necesario como respuesta a una solicitud de soporte técnico.	Sí, solo según sea necesario como respuesta a una solicitud de soporte técnico.	No.
Ingeniería	Sí.	No hay acceso directo. Se puede transferir durante la resolución de problemas.	No hay acceso directo. Se puede transferir durante la resolución de problemas.	No.
Partners	Con permiso del cliente. Vea Partner para obtener más información.	Con permiso del cliente. Vea Partner para obtener más información.	Con permiso del cliente. Vea Partner para obtener más información.	Con permiso del cliente. Vea Partner para obtener más información.
Otros en Microsoft	No.	No (Sí para clientes de Office 365 para la pequeña empresa con fines de marketing).	No.	No.

^*En los datos básicos de clientes se incluyen el cuerpo del correo electrónico de Exchange Online y los datos adjuntos, el contenido del sitio de SharePoint Online y el cuerpo del archivo, la mensajería instantánea y las conversaciones de voz, así como los datos empresariales de CRM acerca de las interacciones del cliente final.

Pregunta: ¿Qué hace Microsoft para respaldar el derecho de los clientes a tener acceso a sus datos? ¿Tiene el cliente acceso a sus datos en todo momento?

Los clientes pueden tener acceso y controlar sus datos a través de los protocolos estándar y mecanismos de acceso que se definen en las descripciones del servicio.

Cuando finaliza la suscripción de un cliente o su uso del servicio, el cliente siempre podrá exportar sus datos. La información detallada se incorpora en los Derechos de uso del producto (que constituye la fuente autorizada de este tema), sin embargo, para que resulte más cómodo, se incluyen a continuación las disposiciones vigentes a fecha del lanzamiento de Office 365:

Vencimiento o rescisión del servicio en línea. Tras el vencimiento o rescisión de la suscripción del servicio en línea, debe ponerse en contacto con Microsoft e informarnos de si:

(1) se ha de deshabilitar su cuenta y, a continuación, eliminar los datos de cliente; o
(2) se han de conservar los datos de cliente en una cuenta con funciones limitadas durante al menos 90 días tras el vencimiento o rescisión de la suscripción (el "periodo de retención") de forma que pueda extraer los datos.

Si señala (1), no podrá extraer los datos del cliente desde su cuenta. Si señala (2), deberá reembolsarnos los costos aplicables. Si no señala ninguna de las opciones, conservaremos los datos de clientes según (2).
Tras el vencimiento del periodo de retención, deshabilitaremos la cuenta y, posteriormente, eliminaremos los datos de clientes. Las copias almacenadas en memoria caché de seguridad se purgarán en un plazo de 30 días a partir de la finalización del periodo de retención.

Ausencia de responsabilidad por la eliminación de datos de clientes. Está conforme, salvo según se describa en las presentes condiciones, con que no tenemos obligación alguna de conservar, exportar o devolver los datos de clientes. Asimismo, acuerda que no tenemos obligación alguna respecto a la eliminación de los datos de clientes de acuerdo a estas condiciones.

Microsoft envía diversos avisos antes de eliminar datos de clientes, de forma que los clientes estén informados y reciban recordatorios sobre la próxima eliminación de los datos si no actúan dentro del plazo estipulado.

En la medida en que un cliente necesite ayuda para dar respuesta a una solicitud de privacidad según se requiera por ley, a tenor de multitud de contratos, los clientes pueden ponerse en contacto con el Servicio de soporte al cliente de Microsoft para obtener ayuda en el acceso, modificación, eliminación o bloqueo de los datos de clientes. Las solicitudes que no se puedan cursar con las herramientas y procesos habituales podrán estar sujetas a cambios adicionales.

Pregunta: ¿Cómo puedo asegurarme de que solamente se ha otorgado acceso administrativo a los usuarios autorizados para llevar a cabo las responsabilidades propias de sus tareas?

Todo el personal de Microsoft Online Services es responsable del tratamiento que hagan de los datos de clientes, lo cual conlleva que el acceso a los datos de Microsoft Online Services se concede de forma que se pueda hacer un seguimiento hasta llegar a un usuario único. Es decir, la responsabilidad se refuerza a través de un conjunto de controles del sistema, lo cual incluye el uso exclusivo de nombres de usuario, controles de acceso a datos y auditorías. Al contrario de lo que sucede con los nombres genéricos de usuarios como "Invitado" o "Administrador", los nombres de usuario únicos se utilizan para implementar un control mediante la asignación de las acciones de los usuarios a una persona en particular (lo cual se denomina "vinculación"). Se utilizan asimismo autenticaciones en dos fases, como inicios de sesión de tarjetas inteligentes mediante certificados digitales o tokens de RSA, con el fin de fortalecer esta vinculación.

El acceso de usuarios a datos también queda restringido según la función del usuario, por ejemplo, los administradores del sistema no disponen de acceso administrativo a la base de datos.

Microsoft utiliza controles estrictos según los cuales se otorga acceso a datos de clientes a funciones de usuario y a usuarios. Los usuarios deben cumplimentar un formulario junto con una justificación empresarial para solicitar el acceso. Todo ello lo debe aprobar el superior del usuario antes de obtener acceso. Por otra parte, los niveles de acceso se revisan periódicamente para garantizar que solamente los usuarios con la justificación empresarial apropiada puedan tener acceso a los sistemas.

Pregunta: ¿Cuáles son los controles que se utilizan para restringir el acceso físico a los datos?

Todos los centros de datos de Microsoft Online Services disponen de controles de acceso biométricos, y en la mayoría de los centros de datos que se utilizan para prestar los servicios de Microsoft Online Services hay controles de huellas palmares para poder obtener acceso físico a los mismos. El acceso físico a los centros de datos de Microsoft Online Services está controlado mediante autenticación en dos niveles, lo cual incluye lectores de acceso de tarjetas para proxy (se requiere distintivo con tarjeta para el acceso) y lectores biométricos de geometría de la mano.

Para obtener información adicional con respecto al tratamiento de los datos de clientes de Microsoft Online Services, remítase a la Directiva de privacidad de Microsoft Online, Directrices de privacidad de Microsoft para el desarrollo de productos y servicios, Descripción de los servicios de seguridad de Office 365 y las notas del producto sobre privacidad de Microsoft Online.

Trimestralmente, el responsable de seguridad de Microsoft envía informes al personal autorizado con capacidad para aprobar el acceso a centros de datos. Los informes contienen la lista de las personas que tienen acceso en esos momentos a los centros de datos. El personal autorizado audita la lista con el fin de asegurarse de que todas las personas siguen necesitando el acceso y de que cuentan con el acceso con el menor número de privilegios posibles que les permita desempeñar sus funciones. El personal autorizado debe responder al responsable de seguridad de Microsoft con los cambios que se han de implementar o con la confirmación de que no es necesario realizar cambios.

Pregunta: ¿Cómo evalúa Microsoft a las personas a las que se les concede derechos administrativos?

Todos los empleados de Microsoft en EE. UU. deben completar y superar una prueba de verificación estándar que forma parte del proceso de contratación. Esta prueba incluye la revisión de información relativa a la educación, experiencia profesional y antecedentes penales del candidato.

Además de esta prueba de verificación estándar que se efectúa al personal nuevo de Microsoft, todo el personal de Microsoft (nuevo y existente) con acceso a los datos de clientes o que administren controles de acceso físicos y lógicos fundamentales, deben someterse a pruebas según listados de control de exportación (estos listados incluyen la lista de la Oficina de Control de Activos Internacionales (OFAC, por sus siglas en inglés), la lista de la Agencia de Industria y Seguridad (BIS, por sus siglas en inglés) y la lista de personas excluidas de la Dirección de Controles de Comercio de Defensa (DDTC, por sus siglas en inglés)).

Los empleados nuevos también pasan por un proceso de filtrado al mismo tiempo que hacen la prueba estándar de Microsoft.
Todo el personal con acceso a datos de clientes se somete a esta prueba de verificación de Microsoft y se efectúan otras pruebas de verificación de forma regular.

Es posible que se realicen pruebas adicionales, como comprobaciones de ciudadanía y de huellas dactilares si la solicitud de acceso está asociada al ámbito federal.

Con el fin de proteger la privacidad de sus empleados, Microsoft no comparte los resultados de las pruebas de verificación con los clientes.