Información general sobre los recursos humanos
¿Cómo proyecta Microsoft a los posibles empleados?
Microsoft cumple rigurosos requisitos de filtrado de personal para todos los empleados, internos y personal contingente. Todos los candidatos se preselección antes de empezar a trabajar en Microsoft.
Las comprobaciones en segundo plano de los candidatos de empleo generalmente incluyen la revisión de los siguientes componentes, en la medida permitida por la ley:
- Comprobación de identidad
- Verificación educativa
- Verificación de empleo
- Revisión de registros penales
- Revisión del Registro de ofensores sexuales
- Revisión de lista global de sanciones
¿Qué comprobaciones adicionales se realizan para los empleados que administran servicios en la nube?
Además del examen previo al empleo, los empleados de Microsoft que mantienen servicios en línea de Microsoft en los Estados Unidos deben someterse a una comprobación de antecedentes de Microsoft Cloud como requisito previo para el acceso a los sistemas de servicios en línea. Los requisitos de comprobación en segundo plano varían para cumplir con las leyes y los modelos de entrega de servicios aplicables. Los resultados de la comprobación en segundo plano de Microsoft Cloud se almacenan en nuestra base de datos de empleados y deben renovarse cada dos años como mínimo. Si la comprobación en segundo plano de Microsoft Cloud expira y el empleado no la renueva, se revoca el acceso a los servicios en línea y ya no está disponible hasta que se complete la comprobación en segundo plano de Microsoft Cloud. Asimismo, cuando finaliza la relación laboral con Microsoft, se revoca inmediatamente todo el acceso.
¿Cómo garantiza Microsoft que los empleados mantengan suficientes conocimientos y aptitudes para desempeñar sus responsabilidades y seguir las directivas de Microsoft?
Se requiere que todos los empleados de Microsoft completen la formación básica de reconocimiento de seguridad. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. Esta formación está diseñada para proporcionar a los empleados una comprensión del enfoque fundamental de Microsoft sobre la seguridad. También se requiere formación en seguridad basada en roles aplicable antes de conceder cualquier acceso específico necesario para las responsabilidades laborales de un individuo. La formación de seguridad de los empleados de Microsoft se actualiza anualmente y cuando los cambios en el sistema o la directiva justifican una nueva formación.
Además de la formación de concienciación sobre la seguridad, los empleados de Microsoft deben completar la formación estándares de conducta empresarial. Esta formación incluye ética empresarial, seguridad de los empleados, privacidad, contra el acoso y tolerancia cero para comportamientos no éticos. Al final del curso, los empleados deben dar fe de que cumplirán el código de conducta empresarial de Microsoft, que se monitoriza a nivel de organización. La formación sobre estándares de conducta empresarial se actualiza anualmente.
¿Cómo revoca Microsoft el acceso para los empleados que dejan Microsoft?
Microsoft usa directivas y procedimientos claramente definidos para revocar rápidamente el acceso físico y lógico a los sistemas y recursos de Microsoft cuando un empleado abandona Microsoft o finaliza. El proceso de terminación de Microsoft garantiza que los antiguos empleados de Microsoft no puedan acceder a los datos o sistemas una vez que finalice su trabajo.
Cuando el empleo de un usuario del equipo de servicio se marca como terminado, esta información se propaga a la herramienta de administración de cuentas de Microsoft, que quita automáticamente la cuenta de dominio del empleado terminado. Cualquier distintivo de acceso u otros autenticadores físicos emitidos al empleado terminado se recopilan en el momento de la entrevista de salida o finalización.
¿Cómo garantiza Microsoft que los proveedores de terceros cumplan los mismos requisitos de personal que los empleados de Microsoft?
Los servicios en línea de Microsoft requieren que los proveedores de terceros tengan un Contrato de servicios de proveedores maestros (MSSA) firmado. Este contrato requiere que el proveedor cumpla con las directivas y procedimientos de Microsoft, incluidas las directivas y procedimientos de seguridad del personal. Microsoft supervisa el cumplimiento de los requisitos de filtrado para el personal de terceros mediante el seguimiento directo del resultado del filtrado. Microsoft requiere que los proveedores envíen resultados de filtrado para el personal de terceros directamente a Microsoft.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con los recursos humanos.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.7: Seguridad de recursos humanos | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.7: Seguridad de recursos humanos | 2 de diciembre de 2020 |
| SOC 1 | IS-4: Formación de seguridad OA-3: Revocación de cuentas |
31 de marzo de 2021 |
| SOC 2 SOC 3 |
C5-2: Evaluación de riesgos del proveedor ELC-6: Código de conducta del proveedor IS-4: Formación de seguridad OA-3: Revocación de cuentas SOC2-1: Acciones disciplinarias SOC2-12: Comprobaciones en segundo plano SOC2-13: Contratos de empleo SOC2-14: Acuerdos de confidencialidad y no divulgación |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | AT-2: Reconocimiento de seguridad AT-3: Formación de seguridad basada en roles AT-4: Registros de aprendizaje de seguridad PS-3: Filtrado de personal PS-4: terminación de personal PS-5: Transferencia de personal PS-7: Seguridad del personal de terceros |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.7: Seguridad de recursos humanos | 20 de abril de 2021 |
| SOC 1 | CA-08: comprobaciones en segundo plano CA-43: Revocación de cuenta |
24 de diciembre de 2020 |
| SOC 2 | CA-07: Standards of Business Conduct (SBC) CA-08: comprobaciones en segundo plano CA-43: Revocación de cuenta ELC-08/13/14: Contratos de trabajo |
24 de diciembre de 2020 |