Empleamos prácticas transparentes para ayudarle a satisfacer sus necesidades regulatorias.
Nuestros clientes de todo el mundo deben someterse a múltiples y diversas legislaciones y normativa. Los requisitos legales de un país o sector pueden ser distintos de los que son de aplicación en otras zonas. En calidad de proveedor de servicios de nube globales, debemos ejecutar nuestros servicios según unas prácticas y características de funcionamiento comunes que van destinadas a muchos clientes y jurisdicciones. Con el fin de ayudar a nuestros a clientes a cumplir con sus propios requisitos, confeccionamos nuestros servicios teniendo en cuenta unos requisitos de privacidad y seguridad comunes. Sin embargo, los clientes tienen la última palabra a la hora de evaluar nuestras ofertas con respecto a sus requisitos, de forma que puedan determinar si nuestros servicios satisfacen sus necesidades regulatorias. Nos comprometemos a proporcionar a nuestros clientes información detallada sobre los servicios de nube al objeto de ayudarles a efectuar sus propias evaluaciones respecto a la normativa.
La información sobre las certificaciones que pueden facilitar el cumplimiento regulatorio se encuentra en la sección Seguridad, auditorías y certificaciones.
Nuestra obligación es cumplir con los requisitos regulatorios y le proporcionamos información para que usted también lo haga. Tenemos el compromiso de cumplir la legislación en materia de protección y privacidad de datos que se aplica generalmente a los proveedores de servicios de TI. Si debe someterse a requisitos propios del sector o jurisdiccionales, deberá llevar a cabo su propia evaluación respecto a su capacidad para cumplir con tales requisitos, pero los clientes de muchos sectores y ubicaciones geográficas han determinado que pueden utilizar Microsoft Online Services de forma que respeta el cumplimiento de la normativa aplicable, siempre que utilicen los servicios según aquello que resulta apropiado para sus circunstancias particulares.
Por ejemplo, las organizaciones sometidas a la Directiva de protección de datos de la UE deberían contar con sus propias directivas, seguridad y programa de enseñanza con el fin de garantizar que su personal no utilice los servicios de Microsoft Online Services en un modo que infrinja dicha Directiva. Microsoft Online Services hará lo que por su parte le corresponde al atenerse a sus compromisos y, por ende, ayudándole a respetar el cumplimiento normativo.
A modo de ejemplo, un cliente de la Unión Europea puede almacenar un listado de clientes donde se incluya la información de contacto. Microsoft Online Services dispone de procedimientos de seguridad para garantizar que el personal de Microsoft no obtenga acceso indebidamente o revele esta información. Sin embargo, alguno de los empleados del cliente que sea usuario de Microsoft Exchange Online puede utilizar el servicio para enviar dicho listado de clientes a un vendedor sin el consentimiento adecuado. Cualquier infracción resultante de los requisitos de protección de datos de la UE que se derive de un uso tal de Microsoft Online Services por parte del cliente (especialmente, por el envío de un mensaje de correo electrónico en el curso habitual de la prestación de los servicios) será responsabilidad del cliente.
Según la legislación en materia de protección de datos de la UE, Microsoft Online Services actúa en calidad de custodio de los datos, principalmente como subcontratista (según la terminología legal "procesador de datos"). Usted, como cliente, es el propietario en última instancia de los datos y recae sobre usted la responsabilidad legal de asegurarse de que seguimos la normativa y de que el envío por su parte de los datos que nos remita está dentro de la legalidad (la terminología legal se refiere a usted como "controlador de datos"). Debe determinar si en su situación particular y en su negocio puede utilizar nuestros servicios para procesar y almacenar sus datos personales.
A la hora de diseñar nuestros servicios y con respecto a su funcionamiento para un uso normal, hemos considerado la Directiva de protección de datos de la UE y la supervisamos de forma continuada para identificar las modificaciones relevantes para la evolución de los servicios.
Por otra parte, Microsoft es asimismo miembro del programa de Safe Harbor de EE. UU., tal como se ha acordado entre la UE y el Departamento de Comercio de EE. UU. Tal acuerdo nos obliga directamente a respetar los requisitos de la Directiva de protección de datos de la UE y nos permite transferir datos fuera de la UE para la prestación de los servicios de Microsoft Online Services. Microsoft dispone de un certificado a tenor de lo que estipulan los principios de Safe Harbor de la UE por el Departamento de Comercio de EE. UU. y a tenor de los principios de Safe Harbor de Suiza que son prácticamente idénticos. La certificación de Safe Harbor de Microsoft se puede encontrar en http://safeharbor.export.gov/. Para obtener más información sobre la transferencia de datos fuera de la UE, consulte la sección Límites geográficos en el Centro de confianza.
En algunos países, también observamos los requisitos de seguridad para el almacenamiento de datos personales confidenciales, según se estipula en la legislación.
Si tiene dudas sobre las normas en su país o sobre el tipo de datos que almacena o bien, si desea obtener más información sobre las prácticas y características compatibles de Microsoft Online Services, puede ponerse en contacto con el soporte técnico en caso de que no pueda encontrar esa información en la documentación del servicio. En la medida en que nuestra seguridad no se vea afectada al desvelar información útil, lo haremos para ayudarle a tomar su propia determinación en cuanto a la aceptabilidad de la implementación de Microsoft Online Services según sus requisitos.
Se recomienda que lea la sección de Preguntas más frecuentes anterior y tenga en cuenta que simplemente porque Microsoft Online Services permita a su organización cumplir con la legislación en materia de privacidad, no quiere decir que la organización cumpla la normativa; es posible que deba emprender medidas adicionales como implementar las directivas empresariales adecuadas y formar a empleados en las prácticas de privacidad apropiadas. Por otra parte, en función del país donde se encuentre, es posible que deba tomar otros pasos para cumplir con la legislación local, como presentar información en la oficina de protección de datos que corresponda.
Para obtener más información, consulte Preguntas más frecuentes de HIPAA/HITECH.
Microsoft Online Services ayuda a los clientes a cumplir con los requisitos de seguridad de GLBA mediante el suministro de medios de protección técnica y organizativa con el fin de ayudar a los clientes a preservar la seguridad y evitar un uso no autorizado. Microsoft puede suministrar, si así se solicita, un informe resumido de certificaciones de terceros otorgadas por auditores independientes.
Microsoft Online Services no admite el procesamiento, transmisión o almacenamiento de datos que rija PCI, como números de tarjetas de crédito. La norma de PCI no se aplica a Microsoft Online Services porque el procesamiento y almacenamiento de datos de tarjetas de crédito no es una función que ofrezca el servicio. Microsoft Online Services aplica las directivas y controles de seguridad vigentes que se identifican en las prácticas recomendadas del sector como ISO 27001 y otras.
Tenga en cuenta, sin embargo, que el procesamiento de pedidos, facturación y los sistemas de pago de Microsoft Online Services que tratan los datos de tarjetas de crédito cumplen lo estipulado en PCI y los clientes pueden utilizar tarjetas de crédito para abonar los servicios con toda confianza.
No, Microsoft Online Services, en calidad de procesador de datos, no registra con las autoridades de la UE los datos de clientes que se procesan en nombre de los clientes.