Obtenemos auditorías y certificados de terceros de forma que pueda confiar en que nuestros servicios se han diseñado y se ejecutan según rígidas medidas de protección.
Nuestros objetivos son ejecutar nuestros servicios con la seguridad y privacidad que usted espera de nosotros, y ofrecerle garantías precisas sobre nuestra seguridad y privacidad. Hemos implementado y vamos a mantener unas medidas técnicas y organizativas adecuadas, así como controles internos y rutinas de protección de la información que están dirigidas a proteger los datos de clientes frente a pérdidas accidentales, destrucción o modificación; divulgación o acceso no autorizados; o destrucción ilegal tal como sigue. Cada año, nos sometemos a auditorías de terceros por parte de auditores de reconocido prestigio internacional con el fin de obtener un testimonio independiente del cumplimiento de las directivas y procedimientos de seguridad, privacidad, continuidad y normativas.
| Buscador de certificaciones y cumplimiento de normativa de MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Centros de datos e infraestructura física de Office 365 y Microsoft Dynamics CRM Online (ofrecido por Microsoft Global Foundation Services) | |
Esta información se destina únicamente a fines informativos y está sujeta a cambios en cualquier momento, además no se deberá considerar un compromiso o garantía por parte de Microsoft.
Statement on Auditing Standards No.70 (SAS 70) es una norma de auditoría que ha establecido el Instituto Americano de Contables Públicos Certificados (AICPA, por sus siglas en inglés) y está orientada a las organizaciones de servicios. Este tipo de organizaciones son, por lo general, entidades que proporcionan servicios de contratación externa con una repercusión sobre el entorno que controla a sus clientes. Entre los ejemplos de organizaciones de servicios se encuentran los procesadores de seguros y reclamaciones médicas, centros de datos alojados, proveedores de servicios de aplicaciones y proveedores de seguridad administrada. Efectiva con fecha del 15 de junio de 2011, la norma SSAE 16 (Statement on Standards for Attestation Engagements No. 16) sustituye a la SAS 70, como la norma para proporcionar una verificación independiente de cumplimiento de los controles de una organización de servicios. Ambas normas de auditoría, SSAE 16 y SAS 70, son verificaciones independientes de cumplimiento de los controles de seguridad y de la eficacia de tales controles.
Una vez se complete la inspección de un auditor de servicios según la norma SSAE 16 o SAS 70 ("auditoría SAS 70 / SSAE 16"), el auditor de servicios presenta una opinión sobre lo siguiente:
1. Si la descripción que da la organización de servicios sobre los controles es adecuada.
2. Si los controles de la organización de servicios se han diseñado eficazmente.
3. Si los controles de la organización de servicios se han puesto en marcha en una fecha específica.
4. Si los controles de la organización de servicios se ejecutan con eficacia durante un periodo de tiempo especificado. (Solo para el Tipo II de SAS 70 o el Tipo II de SSAE 16 SOC 1).
Las auditorías SAS 70 / SSAE 16 de Microsoft las lleva a cabo un tercero (una de las principales cuatro empresas de contabilidad).
Las auditorías SAS 70 / SSAE 16 se llevan a cabo una vez al año. El informe de auditoría generado incluye una opinión sobre los controles según los criterios del tercero. Para obtener más información sobre las normas y tipos de auditoría, consulte www.aicpa.org.
Global Foundation Services (GFS) ofrece servicios de infraestructura (centros de datos y conexión a red) para propiedades de Microsoft Online, como Office 365, BPOS-S, BPOS-D, Dynamics CRM Online y Windows Azure. Los controles de nivel de aplicación para Office 365 y Dynamics CRM Online se han planeado para su evaluación, en primer lugar con el Tipo I de SSAE 16 SOC 1 y, posteriormente, con el Tipo II de SSAE SOC 1. El informe de SSAE 16 de Office 365 y Dynamics CRM Online complementará al informe de GFS para aportar una representación de los controles de un extremo a otro. Actualmente, GFS está certificado según el Tipo II de SAS 70, y se auditará en virtud de la norma SSAE 16 en su próxima auditoría habitual programada.
La Directiva de seguridad de la información de Microsoft Online Services se corresponde con la norma ISO 27002 pero ampliada con requisitos específicos de los servicios en línea. Las organizaciones pueden obtener una certificación ISO 27001 para sus Sistemas de administración de la seguridad de la información (ISMS, por sus siglas en inglés), que por lo general se basa en las Normas de seguridad de la información ISO 27002. ISO ha constituido las bases para los servicios Microsoft Online Services y para la infraestructura que los respalda desde 2009 y ha obtenido la certificación del Instituto de normas británico (BSI, por sus siglas en inglés). Se recomienda a los clientes que consulten la norma ISO que se encuentra a disposición del público.
Todas las certificaciones ISO se encuentran disponibles al público.
El grupo de normas ISO 27000 tienen expresamente un ámbito muy amplio, cubren la privacidad, la confidencialidad y los aspectos de seguridad técnica, además de las "directrices establecidas y principios generales para iniciar, implementar, mantener y mejorar la administración de la seguridad de la información en una organización". En este sentido, la norma describe cientos de posibles controles y mecanismos de control.
Global Foundational Services (GFS) ofrece servicios de infraestructura (centros de datos y conexión a red) para propiedades de Microsoft Online como Office 365, BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 y Windows Azure.
La Unión Europea, por la Directiva de protección de datos de la UE, cuenta con normas de privacidad más rígidas que EE. UU. y la mayoría del resto de países. En el cumplimiento de tales reglas, la UE prohíbe en general el traslado de datos personales fuera de sus fronteras hasta otros países excepto que se den circunstancias en las que la transferencia quede legitimizada mediante un mecanismo reconocido, como la certificación de Safe Harbor que se describe a continuación.
Para hacer posible el flujo continuado de información que necesitan las empresas internacionales, la Comisión Europea llegó a un acuerdo con el Departamento de Comercio de EE.UU. por el cual las organizaciones norteamericanas pueden auto-certificarse con respecto a su cumplimiento de los Principios Safe Harbor, lo cual es muy similar a los requisitos de la Directiva.
Para que una empresa pueda transferir legalmente datos desde la UE a EE. UU., la empresa norteamericana u otra organización debe certificar públicamente que cumplirá los Principios Safe Harbor, que se corresponden con las normas de privacidad de la Unión Europea. Microsoft Online Services puede transferir datos desde la UE a EE. UU. para su procesamiento porque cuenta con la certificación de Safe Harbor.
Se recomienda a los clientes que revisen los principios de la certificación en el vínculo siguiente, junto con la certificación de Microsoft en el sitio web del Departamento de Comercio: Safe Harbor Framework yCertificación.
Microsoft obtuvo la primera certificación según el programa de Safe Harbor en 2001, y nosotros renovamos su certificación del cumplimiento de los Principios Safe Harbor cada doce meses.
Además de los estados miembros de la UE, los miembros de la zona económica europea (Islandia, el Principado de Liechtenstein y Noruega) también reconocen a las organizaciones con la certificación del programa Safe Harbor por su capacidad de proporcionar protección de la privacidad con el fin de justificar las transferencias transfronterizas desde su país a EE. UU. Suiza dispone de un acuerdo prácticamente idéntico (Safe Harbor entre Suiza y EE. UU.) con el Departamento de Comercio estadounidense para legitimizar las transferencias desde Suiza a EE. UU., para el que Microsoft también dispone de certificación.
Otros países, como Canadá y Argentina, han aprobado exhaustivas leyes de privacidad y la UE les ha dado luz verde para la transferencia de datos desde la UE hasta tales países.
Evaluar nuestros procedimientos de seguridad con respecto a sus necesidades.
La seguridad que ofrece Microsoft Online Services es de primera línea. Sin embargo, depende de usted evaluar si dispone de datos particularmente confidenciales o de datos que deben seguir un cierto nivel de seguridad a tenor de la normativa aplicable al sector. Es posible que estos datos necesiten requisitos específicos de seguridad que nosotros no ofrezcamos.
Por ejemplo, puede que su sector requiera contraseñas de 10 caracteres, mientras que las nuestras son, por lo general, de ocho caracteres.
Usted es el responsable de determinar si nuestra seguridad satisface los requisitos de la organización.
Si tiene preguntas sobre si Microsoft Online Services cumple una norma o requisito de seguridad particular que no se trate en el presente documento, puede comprobar la sección dedicada a los recursos o ponerse en contacto con el soporte técnico para que le prestemos asistencia.
No. Microsoft Online Services se basa en los principios de la norma ISO 27001 para evaluar y mejorar de forma continuada las ofertas de nuestros servicios. La Directiva de seguridad de la información de Microsoft Online Services incorpora asimismo otros requisitos que se derivan de las prácticas de seguridad de primera línea y de la correspondencia con los requisitos internacionales, nacionales y estatales o provinciales relevantes.
Una organización podría obtener una certificación ISO 27001 para sus Sistemas de administración de la seguridad de la información (ISMS, por sus siglas en inglés), que se fundamenta, por lo general, en la norma de seguridad de la información ISO 27002. La certificación se puede obtener de diversas agencias acreditadas. Microsoft ha obtenido la certificación del Instituto de normas británico (BSI). Las auditorías basadas en la norma ISO 27001 ofrecen una garantía con respecto a los Sistemas de administración de la seguridad de la información. Microsoft estima que al aportar transparencia, los clientes pueden evaluar nuestros servicios con respecto a sus requisitos y tomar decisiones con conocimiento de causa.
Los siguientes servicios de Office 365 cuentan con certificación ISO: SharePoint Online, Lync Online y Exchange Online. El servicio Microsoft Dynamics CRM Online cuenta con certificación ISO. Global Foundation Services, el nivel de infraestructura de los servicios (red y centros de datos), también dispone de una certificación según la norma ISO 27001. Los clientes de Microsoft Online Services deberían revisar la norma ISO pertinente (disponible para el público en general) para determinar si se satisfacen sus requisitos de seguridad.
Microsoft Online Services aporta diversos recursos para ayudar a los clientes a tomar una determinación y a obtener la comprensión necesaria de las directivas de Microsoft, lo cual incluye los documentos siguientes:
SAS 70 se ha utilizado principalmente en los Estados Unidos para proporcionar auditorías del diseño y efectividad de los controles, y SSAE 16 se utilizará de forma parecida. ISO 27001 es una norma internacional orientada hacia las prácticas de seguridad de una organización. ISO 27001 es habitual en Europa, Japón y algunos países asiáticos, pero esta adquiriendo popularidad en los Estados Unidos de América. La norma ISO 27001 estipula una serie de controles de seguridad y certificados respecto a dichos controles; es mucho más exhaustiva en su cobertura que SAS 70 / SSAE 16, además aborda los tres aspectos relativos a la seguridad: confidencialidad, integridad y disponibilidad. Las organizaciones pueden obtener certificaciones de cumplimiento de la norma ISO 27001 por parte de diversos registradores acreditados de todo el mundo.
Microsoft Online Services no recibe por lo general informes de auditoría SAS 70 en otros idiomas que no sean en lengua inglesa. Sin embargo, la empresa de auditoría SAS 70 de Microsoft Online Services puede traducir el informe de auditoría en la mayoría del resto de lenguas si así se solicita. El costo varía en función de la lengua que se solicite y lo abonaría el cliente que lo solicitara. No todos los idiomas están disponibles. Póngase en contacto con el soporte técnico al cliente de Microsoft Online Services si necesita una traducción.
Consulte la sección Acceso administrativo del Centro de confianza para saber cómo restringe Microsoft el acceso a los datos.
No. Nuestras auditorías independientes y certificaciones se comparten con los clientes en lugar de realizar auditorías por parte de los clientes de forma independiente. Estas certificaciones y pruebas reflejan la forma en que obtenemos y cumplimos los objetivos de seguridad y cumplimiento de la normativa, por otra parte, hacen las veces de mecanismo práctico para confirmar nuestras promesas frente a los clientes. Si se permitiera a miles de clientes realizar auditorías de nuestros servicios, la práctica no sería escalable y se pondría en peligro la seguridad.
Los controles internos de Microsoft Online Services incluyen la supervisión automatizada del cumplimiento de la normativa de la infraestructura (por ejemplo, análisis de vulnerabilidad, pruebas de penetración y pruebas de los procesos y controles de las personas). El programa de confirmación de terceros de Microsoft Online Services incluye auditorías independientes que se realizan anualmente para confirmar el nivel de seguridad de Microsoft Online Services.
No. Microsoft no puede aceptar obligaciones de personalización de auditorías para un cliente en particular. Los costos y potenciales conflictos entres las diversas obligaciones harían impracticable tal personalización.
Para obtener información sobre cómo responde Microsoft a los accesos no autorizados a los datos, consulte el idioma en el contrato de servicios.