Centro de confianza: Información sobre seguridad, privacidad y cumplimiento normativo de Office 365 y Microsoft Dynamics CRM Online

Cumplimiento normativo

¿Microsoft emplea prácticas transparentes para ayudar a los clientes a satisfacer sus necesidades regulatorias?

Sí. Nuestros clientes de Office 365 y Microsoft Dynamics CRM Online en todo el mundo deben someterse a múltiples y diversas legislaciones y normativas. Los requisitos legales de un país o sector pueden ser distintos de los que se aplican en otras zonas. En calidad de proveedor de servicios de nube globales, debemos ejecutar nuestros servicios según prácticas y características de funcionamiento comunes que van destinadas a muchos clientes y jurisdicciones. Con el fin de ayudar a nuestros clientes a cumplir con sus propios requisitos, confeccionamos nuestros servicios teniendo en cuenta los requisitos de privacidad y seguridad comunes, y nuestras funcionalidades integradas permiten cumplir con una amplia gama de regulaciones y mandatos relacionados con la privacidad.

Sin embargo, los clientes tienen la última palabra a la hora de evaluar nuestras ofertas con respecto a sus requisitos, de forma que puedan determinar si nuestros servicios satisfacen sus necesidades regulatorias. Nos comprometemos a proporcionar a nuestros clientes información detallada sobre los servicios de nube con el objeto de ayudarlos a efectuar sus propias evaluaciones respecto de la normativa.

La información sobre las certificaciones que pueden facilitar el cumplimiento regulatorio se encuentra en la sección Seguridad, auditorías y certificaciones .

¿Cumplen Office 365 y Microsoft Dynamics CRM Online mis requisitos regulatorios?

Es obligación del usuario cumplir con los requisitos regulatorios. Nosotros le proporcionamos información que lo ayudará a hacerlo.

Tenemos el compromiso de cumplir la legislación en materia de protección y privacidad de datos que se aplica generalmente a los proveedores de servicios de TI. Si debe someterse a requisitos propios del sector o jurisdiccionales, deberá llevar a cabo su propia evaluación respecto de su capacidad para cumplir con tales requisitos, pero los clientes de muchos sectores y ubicaciones geográficas han determinado que pueden utilizar Office 365 y Microsoft Dynamics CRM Online de un modo que respete el cumplimiento de la normativa aplicable, siempre que utilicen los servicios según aquello que resulta apropiado para sus circunstancias particulares.

Por ejemplo, las organizaciones sometidas a la Directiva de protección de datos de la UE deberían contar con sus propias directivas, seguridad y programa de enseñanza con el fin de garantizar que su personal no utilice los servicios de Office 365 o Microsoft Dynamics CRM Online en un modo que infrinja dicha Directiva. Office 365 y Microsoft Dynamics CRM Online harán lo que por su parte les corresponde ateniéndose a sus compromisos contractuales y, por ende, ayudándolo a respetar el cumplimiento normativo.

Por ejemplo, un cliente de la UE puede almacenar un listado de clientes donde se incluya la información de contacto. Office 365 y Microsoft Dynamics CRM Online disponen de procedimientos de seguridad para garantizar que el personal de Microsoft no obtenga acceso indebidamente o revele esta información. Sin embargo, uno de los empleados del cliente, que es usuario de Microsoft Exchange Online, puede utilizar el servicio para enviar dicho listado de clientes a un vendedor sin el consentimiento adecuado. Cualquier infracción resultante de los requisitos de protección de datos de la UE que se derive de un uso tal de Office 365 y Microsoft Dynamics CRM Online por parte del cliente (especialmente, por el envío de un mensaje de correo electrónico en el curso habitual de la prestación de los servicios) será responsabilidad del cliente.

Si resido en Europa, ¿es legal usar Office 365 y Microsoft Dynamics CRM Online?

Según la Directiva de protección de datos de la UE y nuestros compromisos contractuales, Office 365 y Microsoft Dynamics CRM Online actúan en calidad de custodios de los datos, principalmente como subcontratistas (según la terminología legal, "procesador de datos").

Usted, como cliente, es el propietario de los datos y recae sobre usted la responsabilidad legal de asegurarse de que seguimos la normativa y de que el envío por su parte de los datos que nos remita está dentro de la legalidad (la terminología legal se refiere a usted como "controlador de datos"). Debe determinar si, en su situación particular y en su negocio, puede utilizar nuestros servicios para procesar y almacenar sus datos personales.

A la hora de diseñar nuestros servicios y con respecto a su funcionamiento para un uso normal, hemos considerado la Directiva de protección de datos de la UE y la supervisamos de forma continuada para identificar las modificaciones relevantes para la evolución de los servicios.

Asimismo, Microsoft dispone de un certificado a tenor de lo que estipulan los principios de Safe Harbor entre la UE y EE. UU., y de los programas de Safe Harbor entre EE. UU. y Suiza, que son prácticamente idénticos, tal como se ha acordado entre el Departamento de Comercio de EE. UU y la UE y Suiza, respectivamente. Como consecuencia, nos vemos obligados a respetar los requisitos de la Directiva de protección de datos de la UE y la legislación nos permite transferir datos fuera de la UE para la prestación de los servicios de Office 365 y Microsoft Dynamics CRM Online. La certificación de Safe Harbor de Microsoft se puede encontrar en http://safeharbor.export.gov/ . Somos conscientes de que algunos clientes necesitan mayores garantías que las proporcionadas por la certificación de Safe Harbor, motivo por el cual estamos dispuestos a firmar las cláusulas contractuales de la normativa creada por la Unión Europea (denominada “Cláusulas modelo de la UE”) con todos los clientes. Para obtener más información sobre la transferencia de datos fuera de la UE, consulte la sección Mapas de datos en el Centro de confianza.

En algunos países, también observamos los requisitos de seguridad para el almacenamiento de datos personales confidenciales, según se estipula en la legislación. Si tiene dudas sobre las normas en su país o sobre el tipo de datos que almacena, o bien si desea obtener más información sobre las prácticas y características compatibles de Office 365 o Microsoft Dynamics CRM Online, puede ponerse en contacto con el soporte técnico en caso de que no pueda encontrar esa información en la documentación del servicio. En la medida en que nuestra seguridad no se vea afectada al revelar información útil, lo haremos para ayudarlo a tomar su propia determinación en cuanto a la aceptabilidad de la implementación de Office 365 o Microsoft Dynamics CRM Online según sus requisitos.

Se recomienda que lea la sección de preguntas más frecuentes sobre cumplimiento y tenga en cuenta que simplemente porque Office 365 y Microsoft Dynamics CRM Online permitan a su organización cumplir con la legislación en materia de privacidad, no quiere decir que la organización cumpla la normativa; es posible que deba emprender medidas adicionales, como implementar las directivas empresariales adecuadas y entrenar a sus empleados en las prácticas de privacidad apropiadas. Por otra parte, en función del país donde se encuentre, es posible que deba seguir otros pasos para cumplir con la legislación local, como presentar información en la oficina de protección de datos que corresponda.

¿Se encuentran los datos de cliente que procesan Office 365 o Microsoft Dynamics CRM Online registrados con las autoridades de la UE?

No, Office 365 y Microsoft Dynamics CRM Online, en calidad de procesadores de datos, no registran con las autoridades de la UE los datos de cliente que se procesan en nombre de los clientes.

¿Cumplen Office 365 y Microsoft Dynamics CRM Online los requisitos de la Ley de transferencia y responsabilidad de seguros de salud (HIPAA)? ¿Formalizará Microsoft un contrato de asociado comercial (BAA) de HIPAA?

Ayudamos a nuestros clientes a cumplir con HIPAA y estamos dispuestos a firmar un BAA de HIPAA con todos los clientes. Para obtener más información, consulte Preguntas más frecuentes de HIPAA/HITECH .

¿Cumplen Office 365 o Microsoft Dynamics CRM Online la ley Gramm Leach Bliley (GLBA) de modernización de los servicios financieros?

Office 365 y Microsoft Dynamics CRM Online ayudan a los clientes a cumplir con los requisitos de seguridad de GLBA mediante el suministro de medios de protección técnica y organizativa con el fin de ayudar a los clientes a preservar la seguridad y evitar un uso no autorizado.

Microsoft puede suministrar a los clientes, si así se solicita, un informe resumido de certificaciones de terceros otorgadas por auditores independientes.

¿Cumplen Office 365 o Microsoft Dynamics CRM Online las normas de seguridad de datos del sector de las tarjetas de crédito de pago (PCI DSS)? ¿Puedo hospedar datos de tarjetas de crédito en el servicio?

Office 365 y Microsoft Dynamics CRM Online no admiten el procesamiento, la transmisión ni el almacenamiento de datos que rija PCI, como números de tarjetas de crédito.

La norma de PCI no se aplica a Office 365 o Microsoft Dynamics CRM Online porque el procesamiento y almacenamiento de datos de tarjetas de crédito no es una función que ofrezcan estos servicios. Office 365 y Microsoft Dynamics CRM Online aplican las directivas y los controles de seguridad vigentes que se identifican en las prácticas recomendadas del sector, como ISO 27001 y otros.

Tenga en cuenta, sin embargo, que el procesamiento de pedidos, la facturación y los sistemas de pago de Office 365 y Microsoft Dynamics CRM Online que tratan datos de tarjetas de crédito cumplen lo estipulado en PCI y los clientes pueden utilizar tarjetas de crédito para abonar los servicios con toda confianza.

¿Cumple Office 365 con FERPA?

Puesto que las instituciones educativas cuentan con una gran cantidad de obligaciones diversas según FERPA, Microsoft estipula los términos contractuales principales que rigen el uso y la divulgación de registros educativos almacenados en Office 365, a fin de permitir a dichas instituciones utilizar Office 365 como parte de una estrategia de cumplimiento normativo de FERPA más amplia.

FERPA requiere que toda institución o agencia educativa que recibe subsidios del Departamento de Educación de EE. UU. proteja los derechos de privacidad de los estudiantes resguardando los “registros educativos” a fin de evitar el uso o la divulgación sin consentimiento. Las directrices del Departamento de Educación dejan en claro que las comunicaciones por correo electrónico se consideran registros educativos sujetos a FERPA y que los proveedores de correo electrónico basados en la nube deben acatar restricciones similares en cuanto al modo en que utilizan o divulgan la información en correos electrónicos y documentos.

FERPA requiere que los proveedores basados en la nube acepten que los “registros educativos” incluidos en correos electrónicos de estudiantes, profesores y miembros del cuerpo administrativo, así como en otros documentos electrónicos, solo se utilizarán con el fin específico de prestar el servicio basado en la nube, y que esta información no se explorará ni utilizará a efectos de actividades comerciales tales como la publicidad. Microsoft garantiza a las instituciones educativas el cumplimiento de la normativa de FERPA al aceptar ser considerado un “funcionario escolar” sujeto a FERPA con “intereses educativos legítimos” en cuanto a los datos de la institución y al aceptar cumplir con las limitaciones y los requisitos que impone FERPA a los funcionarios escolares, lo que incluye la aceptación de que no explorará documentos ni correos electrónicos institucionales con fines de publicidad.