Información general sobre la administración del personal
¿Cómo se muestra Microsoft a los posibles empleados?
Microsoft sigue estrictos requisitos de selección de personal para todos los candidatos, incluidos los empleados a tiempo completo, a tiempo parcial y los becantes. Todos los candidatos se examinan antes de comenzar a trabajar en Microsoft.
Las comprobaciones de antecedentes sobre los candidatos a empleo generalmente incluyen la revisión de los siguientes componentes, en la medida permitida por la ley:
- Comprobación de identidad
- Verificación de educación
- Comprobación del empleo
- Revisión de antecedentes penales
- Revisión del registro de delincuentes sexuales
- Revisión de la lista de sanciones globales
¿Qué comprobaciones adicionales se realizan para los empleados que administran servicios en la nube?
Además del examen previo al empleo, los empleados de Microsoft que mantienen Microsoft servicios en línea en el Estados Unidos deben someterse a una comprobación de antecedentes en la nube de Microsoft como requisito previo para el acceso a servicios en línea sistemas. Los requisitos de la comprobación en segundo plano varían para cumplir con las leyes y los modelos de entrega de servicios aplicables. La prueba de la comprobación de antecedentes en la nube de Microsoft se almacena en nuestra base de datos de empleados y debe renovarse cada dos años como mínimo. Si la comprobación en segundo plano de la nube de Microsoft expira y el empleado no la renueva, se revocan los requisitos de acceso hasta que se complete la comprobación en segundo plano de Microsoft Cloud. Del mismo modo, cuando finaliza la relación laboral con Microsoft, todo el acceso se revoca inmediatamente.
¿Cómo garantiza Microsoft que los empleados mantengan aptitudes y conocimientos suficientes para realizar sus responsabilidades y seguir las directivas de Microsoft?
Todos los empleados de Microsoft deben completar la formación básica sobre seguridad y reconocimiento de privacidad. El entrenamiento inicial se produce cuando un nuevo empleado comienza a trabajar en Microsoft y, a partir de ese momento, hay un aprendizaje de actualización anual cada año. La formación está diseñada para proporcionar al empleado una comprensión del enfoque fundamental de Microsoft para la seguridad y la privacidad. También es necesario el entrenamiento basado en roles aplicable antes de conceder cualquier acceso específico necesario para las responsabilidades del trabajo de una persona. El entrenamiento de seguridad de los empleados de Microsoft se actualiza anualmente y cuando los cambios del sistema o de la directiva garantizan un nuevo entrenamiento.
Además de la formación de seguridad y reconocimiento de la privacidad, los empleados de Microsoft deben completar la formación estándares de conducta empresarial. Esta capacitación incluye ética empresarial, seguridad de los empleados, antiacoso y tolerancia cero a comportamientos no éticos. Al final del curso, los empleados deben atestiguar que cumplirán con el código de conducta empresarial de Microsoft, que se realiza un seguimiento a nivel de la organización. La capacitación sobre estándares de conducta empresarial se actualiza anualmente.
¿Cómo revoca Microsoft el acceso para los empleados que abandonan Microsoft?
Microsoft usa directivas y procedimientos claramente definidos para revocar rápidamente el acceso físico y lógico a los sistemas y recursos de Microsoft cuando un empleado deja Microsoft o se termina. El proceso de terminación de Microsoft garantiza que los antiguos empleados de Microsoft no puedan acceder a los datos o sistemas una vez que finalice su empleo.
Cuando el empleo de un miembro del equipo de servicio se marca como finalizado, esta información se propaga a la herramienta de administración de cuentas de Microsoft, que quita automáticamente la cuenta de dominio del empleado terminado. Los distintivos de acceso u otros autenticadores físicos emitidos al empleado terminado se recopilan en el momento de la entrevista de salida o la terminación.
¿Cómo garantiza Microsoft que los proveedores de terceros cumplan los mismos requisitos de personal que los empleados de Microsoft?
Microsoft servicios en línea requerir que los proveedores de terceros tengan un Contrato maestro de servicios de proveedores (MSSA) firmado. Este contrato requiere que el proveedor cumpla con las directivas y procedimientos de Microsoft, incluidas las directivas y procedimientos de seguridad del personal. Microsoft supervisa el cumplimiento de los requisitos de filtrado para el personal de terceros mediante el seguimiento del resultado de la detección directamente. Microsoft requiere que los proveedores realicen pantallas de fondo para todas las personas que necesiten acceso a las instalaciones o a la red de Microsoft. Para roles específicos, es posible que un proveedor tenga que proporcionar atestación como prueba de que la persona completó los requisitos de pantalla en segundo plano de la nube.
Para obtener más información sobre cómo abordar específicamente a los proveedores, consulte Introducción a la administración de proveedores.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con los recursos humanos.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificado |
A.7: Seguridad de recursos humanos | 6 de noviembre de 2023 |
| ISO 27017 Declaración de aplicabilidad Certificado |
A.7: Seguridad de recursos humanos | 6 de noviembre de 2023 |
| SOC 1 | IS-4: Entrenamiento de seguridad OA-3: Revocación de la cuenta |
17 de noviembre de 2023 |
| SOC 2 SOC 3 |
C5-2: Evaluación del riesgo del proveedor ELC-6: Código de conducta del proveedor IS-4: Entrenamiento de seguridad OA-3: Revocación de la cuenta SOC2-1: Acciones disciplinarias SOC2-12: Comprobaciones en segundo plano SOC2-13: Contratos de empleo SOC2-14: Acuerdos de confidencialidad y no divulgación |
17 de noviembre de 2023 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP (Office 365) | AT-2: Reconocimiento de la seguridad AT-3: Entrenamiento de seguridad basado en roles AT-4: Registros de entrenamiento de seguridad PS-3: Selección de personal PS-4: Terminación de personal PS-5: Transferencia de personal PS-7: Seguridad del personal de terceros |
31 de julio de 2023 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación (27001/27002) Certificación (27017) |
A.7: Seguridad de recursos humanos | Marzo de 2024 |
| SOC 1 | CA-08: comprobaciones en segundo plano CA-43: Revocación de la cuenta |
23 de enero de 2024 |
| SOC 2 | CA-07: Estándares de conducta empresarial (SBC) CA-08: comprobaciones en segundo plano CA-43: Revocación de la cuenta ELC-08/13/14: Contratos de empleo |
23 de enero de 2024 |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de