Requisitos y condiciones de cumplimiento

Al seleccionar un proveedor de nube para hospedar las soluciones, debería comprender en qué medida puede ayudarle ese proveedor a cumplir con las normas y estándares. Estas son algunas de las preguntas que se podrían formular sobre un proveedor potencial:

  • ¿Qué cumplimiento ofrece el proveedor de nube cuando se trata de controlar datos confidenciales?
  • ¿Qué cumplimiento ofrecen los servicios del proveedor de nube?
  • ¿Cómo puedo implementar mis propias soluciones basadas en la nube en escenarios que tienen requisitos de cumplimiento o de acreditación?
  • ¿Qué términos forman parte de la declaración de privacidad para el proveedor?

Sugerencia

El conjunto de ofertas de cumplimiento proporcionado por Microsoft (incluidas certificaciones y atestaciones) es el más completo de todos los proveedores de servicios en la nube.

Ofertas de cumplimiento

En la lista siguiente se proporcionan detalles sobre algunas de las ofertas de cumplimiento disponibles.

  • Servicios de información de justicia penal (CJIS). Cualquier agencia local o estatal de los EE. UU. que quiera acceder a la base de datos CJIS del FBI debe cumplir la directiva de seguridad CJIS. Azure es el único gran proveedor de nube que se compromete contractualmente al cumplimiento de la directiva de seguridad CJIS, que obliga a Microsoft a cumplir los mismos requisitos que deben cumplir las fuerzas y entidades de seguridad pública.

  • Certificación STAR de Cloud Security Alliance (CSA). Azure, Intune y Microsoft Power BI han obtenido la certificación STAR, que exige una rigurosa evaluación por parte de un tercero independiente del nivel de seguridad ofrecido por el proveedor de servicios en la nube. Esta certificación STAR se basa en lograr la certificación ISO/IEC 27001 y cumplir los criterios especificados en la Cloud Controls Matrix (CCM). Muestra que un proveedor de servicios en la nube cumple los requisitos aplicables de ISO/IEC 27001, que ha solucionado problemas críticos para la seguridad de la nube como se describe en la CCM y se ha contrastado con el modelo de madurez y capacidad STAR para la administración de actividades en las áreas de control de la CCM.

  • Reglamento general de protección de datos (RGPD). A partir del 25 de mayo de 2018, está en vigor una ley de privacidad Europea de — RGPD —. El RGPD impone nuevas reglas sobre las empresas, agencias gubernamentales, entidades sin ánimo de lucro y otras organizaciones que ofrecen bienes y servicios a personas de la Unión Europea (UE) o que recopilan y analizan datos vinculados a residentes en la UE. El RGPD se aplica con independencia de la ubicación.

  • Cláusulas modelo de la UE. Microsoft ofrece a los clientes cláusulas contractuales estándar de la UE que proporcionan garantías contractuales con respecto a las transferencias de datos personales fuera de la Unión Europea. Microsoft es la primera compañía en recibir la aprobación conjunta del grupo de trabajo del artículo 29 de la UE que avala que las protecciones de seguridad contractuales que Azure ofrece a sus clientes empresariales en la nube cumplen los estándares actuales de la UE para la transferencia internacional de datos. Esto garantiza que los clientes de Azure pueden usar los servicios de Microsoft para mover datos libremente a través de la nube de Microsoft desde Europa al resto del mundo.

  • Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). HIPAA es una ley federal de EE. UU. que regula la información sanitaria protegida (PHI) de los pacientes. Azure ofrece a los clientes un contrato de asociación comercial (BAA), que estipula su adhesión a determinadas disposiciones de seguridad y privacidad de HIPAA y Health Information Technology for Economic and Clinical Health Act (HITECH). Para ayudar a los clientes en sus esfuerzos de cumplimiento individual, Microsoft ofrece un contrato de asociación comercial a los clientes de Azure como un anexo de contrato.

  • Organización internacional de normalización (ISO) y la Comisión electrotécnica internacional (CEI) 27018. Microsoft es el primer proveedor de nube que ha adoptado las normas ISO/IEC 27018, que abarcan el procesamiento de información personal por parte de proveedores de servicios en la nube.

  • Estándar de seguridad en la nube multinivel (MTCS) de Singapur. Tras rigurosas evaluaciones llevadas a cabo por el cuerpo de certificación del MTCS, los servicios en la nube de Microsoft recibieron la certificación MTCS 584:2013 en todas las clasificaciones de tres servicios: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Microsoft fue el primer proveedor de soluciones en la nube (CSP) global en recibir esta certificación en las tres clasificaciones.

  • Controles de organización de servicios (SOC) 1, 2 y 3. Los servicios en la nube cubiertos por Microsoft se auditan al menos anualmente en el marco de informes SOC por parte de auditores independientes de terceros. La auditoría de servicios en la nube de Microsoft abarca los controles de seguridad de los datos, la disponibilidad, la integridad del procesamiento y la confidencialidad, que son aplicables a los principios de confianza incluidos para cada servicio.

  • Marco de ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). El CSF del NIST es un marco voluntario que consta de los estándares, las directrices y los procedimientos recomendados para administrar los riesgos relacionados con la ciberseguridad. Los servicios en la nube de Microsoft se han sometido a auditorías de terceros de nivel alto y moderado del Federal Risk and Authorization Management Program (FedRAMP) y están certificados según los estándares del FedRAMP. Además, a través de una evaluación validada realizada por Health Information Trust Alliance (HITRUST), una organización líder de desarrollo y acreditación de estándares de seguridad y privacidad, Office 365 está certificado para los objetivos especificados en el CSF NIST.

  • G-Cloud del gobierno del Reino Unido. El G-Cloud del gobierno del Reino Unido es una certificación de informática en la nube para los servicios usados por las entidades gubernamentales en el Reino Unido. Azure ha recibido la acreditación oficial del Government Accreditor del gobierno del Reino Unido.