Office 365 y RGPD

El cumplimiento es un proceso continuo y una responsabilidad compartida. Microsoft está invirtiendo en características y funcionalidad adicionales para ayudar a las organizaciones a lograr sus objetivos de cumplimiento del RGPD.

El camino para lograr el cumplimiento del RGPD comienza con el enfoque en cuatro pasos clave:

Detectar

El primer paso hacia el cumplimiento del RGPD es evaluar si el RGPD se aplica a su organización y, de ser así, qué datos bajo su control están sujetos al RGPD. Este análisis incluye entender qué datos tiene y dónde se encuentran. La adopción de un esquema de clasificación que se aplica en toda su organización le ayuda a responder a las solicitudes de un sujeto de datos, ya que le permite identificar y procesar más rápidamente las solicitudes de datos personales.

Administrar

Administrar el acceso y controlar el uso y acceso a los datos personales es fundamental para el cumplimiento del RGPD. Los servicios de Office 365 proporcionan capacidades de administración desde la nube para ayudarle a cumplir con los requisitos de administración de datos.

Proteger

El RGPD requiere que las organizaciones incorporen principios de privacidad y protección de datos en sus productos y servicios.

De forma predeterminada, los datos personales en tránsito y en reposo están cifrados en Exchange Online, OneDrive para la Empresa, SharePoint Online y Skype Empresarial (en voz, video, transferencia de archivos y mensajes instantáneos de Skype a Skype). Para proteger aún más los datos personales, Office 365 emplea un motor de detección de antimalware para proteger los mensajes entrantes, salientes e internos frente a software malintencionado que se transfiere a través del correo electrónico. Además, de forma predeterminada, Exchange Online utiliza la Seguridad de la capa de transporte (TLS) para cifrar las comunicaciones entre los servidores de Office 365 y Exchange Online y entre los clientes de Exchange Online.

Microsoft utiliza controles de seguridad a nivel de plataforma para ayudar a garantizar la confidencialidad, integridad y disponibilidad de los datos de los clientes, incluidos controles físicos, controles lógicos y prácticas de acceso a datos. Todo el acceso a los datos del cliente es supervisado, registrado, auditado y revisado por Microsoft. Para filtraciones de datos en sistemas administrados por Microsoft, Microsoft tiene un proceso de notificación y administración de respuesta a incidentes de seguridad para Office 365.

Office 365 se audita al menos una vez al año según varias normas globales de privacidad de datos y seguridad de redes, incluyendo ISO/IEC 27001 y 27018. Microsoft prueba periódicamente las medidas de seguridad de Office 365 mediante pruebas de penetración y auditorías de seguridad de terceros, así como evaluaciones alineadas con marcos estándar de la industria. Microsoft también opera un Programa de detección de errores en los servicios en línea y proporciona a los usuarios entornos de desarrollo y prueba.

Informar

El RGPD establece nuevas normas en materia de transparencia, responsabilidad y mantenimiento de registros. Las organizaciones que procesan datos personales deberán mantener registros detallados para un cumplimiento satisfactorio.

El RGPD requiere que realice seguimientos y registre los flujos de datos personales que entran y salen de la Unión Europea (UE), así como los flujos de datos personales a terceros proveedores de servicios. Para ayudarle a realizar los seguimientos y registrar los flujos de datos personales dentro y fuera de la UE, y para reducir la exposición de los clientes a transferencias de datos transfronterizas innecesarias, Microsoft utiliza una estrategia de centro de datos regionalizada para los productos de Office 365.

Microsoft también limita el acceso a los datos personales por parte de terceros subcontratistas, y divulga los nombres de los terceros proveedores de servicios que tienen acceso a los datos de los clientes a través de la Lista de subcontratistas de servicios en línea de Microsoft y la Lista de contratistas de Servicios profesionales de Microsoft.

Office 365 es un servicio de alta seguridad que se ha diseñado combinando los procedimientos recomendados en el ámbito físico, lógico y de datos:

Seguridad física

Supervisión de los centros de datos las 24 horas al día.

Autenticación multifactor que incluye la detección biométrica para el acceso a los centros de datos.

La red interna del centro de datos está separada de la red externa.

La separación de roles hace que la ubicación de los datos de clientes específicos sea ininteligible para el personal que tiene acceso físico.

Las unidades y el hardware con errores se desmagnetizan y se destruyen.

Seguridad lógica

Los procesos de Caja de seguridad permiten un proceso de escalado supervisado estrictamente y que limita en gran medida el acceso personal a los datos. Los servidores solo ejecutan procesos permitidos, lo que reduce el riesgo de código malintencionado.

Los equipos dedicados de administración de amenazas trabajan para anticipar, prevenir y mitigar el acceso malintencionado.

El análisis de puertos, así como la detección de vulnerabilidades perimetrales e intrusiones, previenen o detectan los accesos malintencionados.

Seguridad de datos

El cifrado durante el almacenamiento protege los datos en nuestros servidores.

El cifrado en tránsito con SSL/TLS protege los datos que se transmiten entre los clientes y Microsoft.

Exchange Online Protection ofrece seguridad avanzada y confiabilidad contra el correo no deseado y el malware para proteger tu información y el acceso al correo electrónico.

Además, Office 365 ofrece controles de usuarios y administrativos de clase empresarial para proteger aún más tu entorno.

Controles de usuario

Cifrado de mensajes de Office 365 permite a los usuarios enviar mensajes cifrados a cualquier contacto, independientemente del servicio de correo electrónico que usen los destinatarios.

La prevención de pérdida de datos se puede combinar con Rights Management y Cifrado de mensajes de Office 365 para ofrecer a los administradores más controles que les permitan aplicar directivas adecuadas para proteger la información confidencial.

S/MIME proporciona seguridad de mensajes con acceso al correo electrónico basado en certificados.

Azure Rights Management no permite obtener acceso a los archivos sin las credenciales de usuario correctas.

Controles administrativos

La autenticación multifactor protege el acceso al servicio con un segundo factor, como el teléfono.

La prevención de pérdida de datos evita la transferencia no deseada de información confidencial, tanto dentro como fuera de la organización, a la vez que educa y asesora a los usuarios.

Las funciones integradas de administración de dispositivos móviles te permiten administrar el acceso a los datos corporativos.

La administración de aplicaciones móviles en las aplicaciones móviles de Office, con tecnología de Intune, proporciona controles específicos para proteger los datos contenidos en estas aplicaciones.

La protección integrada antivirus y contra correo no deseado, con Protección contra amenazas avanzada, te protege ante amenazas externas.

Office 365 Cloud App Security proporciona una visibilidad y un control mejorados para tu entorno de Office 365.

Adjunto cuadro comparativo de versiones según nivel de cumplimiento:

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
ct_pointer_data	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
apbct_cookies_test	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_page_hits	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_site_landing_ts	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_site_referer	3 days	No description available.
apbct_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_urls	3 days	No description available.
apbct_visible_fields	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_checked_emails	session	No description
ct_checkjs	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_fkp_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_has_scrolled	session	No description
ct_ps_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_screen_info	session	No description
ct_sfw_pass_key	1 month	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.

Cookie	Duración	Descripción
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Office 365 y RGPD

Office 365 y RGPD

Share This Story, Choose Your Platform!

Artículos relacionados

Múltiples vulnerabilidades en productos Fortinet

Las 5 principales preocupaciones sobre ciberseguridad de las pymes españolas

¿Cómo monitorizar un EDR?

‘El pequeño Nicolás’, detenido por usar un carné de conducir falso proporcionado por el hacker ‘Alcasec’ tras su ataque a la DGT

¿Cómo se utiliza un EDR?