Información general sobre privacidad
¿Cómo aborda Microsoft la privacidad de los clientes?
La base del enfoque de Microsoft sobre la privacidad se basa en los siguientes seis principios: control del cliente, transparencia, seguridad, protección legal sólida para la privacidad, sin segmentación basada en contenido y ventajas para los clientes de los datos que recopilamos. El Ciclo de vida de desarrollo de seguridad (SDL) y la Declaración de privacidad proporcionan detalles sobre nuestro proceso de desarrollo como parte de nuestras prácticas de privacidad transparentes para proteger a nuestros clientes. Además, Microsoft realiza compromisos contractuales amplios en los Términos de servicio en línea (OST) y detalla nuestras respectivas obligaciones en relación con el procesamiento de datos en el Addendum de Protección de datos de Servicios en línea (DPA).
¿Cómo implementa Microsoft sus compromisos de privacidad?
Microsoft mantiene la Directiva de privacidad corporativa de Microsoft y Microsoft Privacy Standard para garantizar que cumplamos con nuestros compromisos de privacidad en toda la empresa. Para admitir estos compromisos, el Microsoft Customer Data Governance Board (CDBG) mantiene una taxonomía y un marco para garantizar la categorización adecuada de los datos y especificar requisitos de seguridad y privacidad para cada categorización de datos. Los estándares de tratamiento de datos relacionados proporcionan instrucciones sobre cómo administrar cada tipo de clasificación de datos dentro de actividades o escenarios específicos, incluidos los requisitos para cumplir las obligaciones descritas en la OST/DPA y otros estándares y reglamentos.
¿Cómo recopila y procesa Microsoft los datos de los clientes?
El ciclo de vida de los datos describe cómo Microsoft procesa los datos en función de la guía del cliente y del cumplimiento de la legislación de seguridad y privacidad aplicable. Las fases del ciclo de vida de los datos incluyen la recopilación, el procesamiento, el uso compartido de terceros (cuando corresponda), la retención y la destrucción. El enfoque de Privacidad de Microsoft informa a cada fase del ciclo de vida de los datos para proteger la privacidad de nuestros clientes.
Microsoft limita la recopilación de datos de clientes a cuatro categorías de datos específicas:datos de clientes, datos generados por el servicio, datos de diagnóstico y Professional de servicios. Microsoft usa datos de estas categorías para realizar un conjunto limitado de operaciones empresariales legítimas (LBO) necesarias para proporcionar servicios a nuestros clientes. Cuando los datos se recopilan y procesan para realizar LPO, Microsoft protege a clientes y usuarios individuales mediante el seudónimo de datos de diagnóstico y la agregación de datos antes de su uso. No accedemos al contenido de los datos de los clientes para determinar qué partes específicas de datos pueden considerarse personales. En su lugar, se supone que todos los datos de clientes y todos los datos de servicios profesionales contienen datos personales y protegen los datos en consecuencia.
¿Cómo administra Microsoft el uso compartido de terceros?
El uso compartido de terceros es el uso compartido o la divulgación posterior de datos a terceros. Microsoft solo compartirá datos cuando el cliente lo autorice o lo requiera la legislación aplicable. Microsoft no concede a ningún gobierno (incluidas las autoridades judiciales u otras entidades gubernamentales) acceso directo o ilimitado a los datos de los clientes. Microsoft cumple con las leyes internacionales de protección de datos relativas a las transferencias de datos de clientes a través de las fronteras.
¿Cómo elimina Microsoft los datos de los clientes cuando un cliente deja el servicio?
Microsoft Data Handling Standard especifica cuánto tiempo se conservan los datos del cliente después de la eliminación. Cuando un cliente finaliza su suscripción, Microsoft conserva los datos de los clientes en una cuenta de función limitada durante 90 días para permitir que el cliente extraiga los datos. Una vez que finalice el período de retención de 90 días, Microsoft eliminará los datos de los clientes a menos que esté autorizado para retenerlos o que la ley lo requiera. No más de 180 días después de la expiración o finalización de una suscripción a los servicios en línea de Microsoft, Microsoft deshabilita la cuenta y elimina todos los datos de clientes de la cuenta. Una vez transcurrido el período de retención máximo de los datos, los datos se representan comercialmente como irrecuperables.
Microsoft también elimina todos los datos de diagnóstico y generados por el servicio como parte del ciclo de vida de datos estándar de Microsoft, a menos que los datos sean necesarios para mantener la seguridad y estabilidad del servicio. Para cualquier suscripción, un suscriptor puede ponerse en contacto con Soporte técnico de Microsoft y solicitar el desaprovisionamiento rápido de la suscripción. Cuando un cliente usa este proceso, todos los datos de usuario se eliminan tres días después de que el administrador escriba el código de bloqueo proporcionado por Microsoft. Esta eliminación incluye datos en SharePoint Online y Exchange Online en espera o almacenados en buzones inactivos.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con la privacidad.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27018 Declaración de aplicabilidad Certificación |
A-2.1: Propósito del procesador PII de nube pública | 2 de diciembre de 2020 |
| SOC 1 | DS-15: Terminación/expiración de suscripción de cliente SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL) LA-4: Protección de datos confidenciales de clientes |
21 de marzo de 2021 |
| SOC 2 SOC 3 |
DS-15: Terminación/expiración de suscripción de cliente SDL-1: metodología de ciclo de vida de desarrollo de seguridad (SDL) LA-4: Protección de datos confidenciales de clientes SOC2-1: Clasificación de activos SOC2-7: Obligaciones de confidencialidad y seguridad publicadas |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27018 Declaración de aplicabilidad Certificación |
A-2.1: Propósito del procesador PII de nube pública | 20 de abril de 2021 |
| SOC 2 | CA-12: Acuerdos de nivel de servicio (SLA) CA-17: directiva de seguridad de Microsoft CA-25: Actualizaciones del marco de control |
24 de diciembre de 2020 |
Recursos
- Centro de confianza de Microsoft:Principios de privacidad