Proteger la información sujeta a la regulación de privacidad de datosProtect information subject to data privacy regulation

Se pueden usar varios controles de protección de la información en la suscripción para ayudar a solucionar las necesidades y normativas de cumplimiento de privacidad de datos.A number of information protection controls can be employed in your subscription to help address data privacy compliance needs and regulations. Entre ellas se incluyen el Reglamento general de protección de datos (RGPD), HIPAA-HITECH (la ley de privacidad del cuidado de la salud de Estados Unidos), la Ley de protección de consumidores de California (CCPA) y la Ley de protección de datos de Brasil (LGPD).These include General Data Protection Regulation (GDPR), HIPAA-HITECH (the United States health care privacy act), California Consumer Protection Act (CCPA), and the Brazil Data Protection Act (LGPD).

Estos controles se encuentran dentro de las siguientes áreas de solución:These controls are within following solution areas:

  • Etiquetas de confidencialidadSensitivity labels
  • Prevención de pérdida de datos (DLP)Data loss prevention (DLP)
  • Cifrado de mensajes de Office (OME)Office message encryption (OME)
  • Teams y los controles de acceso a sitiosTeams and sites access controls

Servicios clave para proteger la información personal sujeta a la regulación de privacidad de datos

Nota

Esta solución describe las características de seguridad y cumplimiento para proteger la información sujeta a las normativas de privacidad de datos.This solution describes security and compliance features to protect information subject to data privacy regulations. Para obtener una lista completa de las características de seguridad en Microsoft 365, vea Microsoft 365 de seguridad.For a complete list of security features in Microsoft 365, see Microsoft 365 security documentation. Para obtener una lista completa de las características de cumplimiento en Microsoft 365, vea Microsoft 365 documentación de cumplimiento.For a complete list of compliance features in Microsoft 365, see Microsoft 365 compliance documentation.

Normativas de privacidad de datos que afectan a los controles de protección de la informaciónData privacy regulations that impact information protection controls

Esta es una lista de ejemplo de las normativas de privacidad de datos que pueden estar relacionadas con los controles de protección de la información:Here is a sample list of data privacy regulations that may relate to information protection controls:

  • Artículo 5(1)(f)del RGPD)GDPR Article 5(1)(f))
  • Artículo del RGPD (32)(1)(a)GDPR Article (32)(1)(a)
  • Artículo 46 de LGPDLGPD Article 46
  • HIPAA-HITECH (45 CFR 164.312(e)(1))HIPAA-HITECH (45 CFR 164.312(e)(1))
  • HIPAA-HITECH (45 C.F.R.HIPAA-HITECH (45 C.F.R. 164.312(e)(2)(ii))164.312(e)(2)(ii))

Consulte el artículo evaluar los riesgos de privacidad de datos e identificar elementos confidenciales para obtener más información sobre cada uno de los anteriores.See the assess data privacy risks and identify sensitive items article for more information on each of the above.

Las normativas de privacidad de datos para la protección de la información recomiendan:Data privacy regulations for information protection recommend:

  • Protección contra pérdida o acceso no autorizado, uso y/o transmisión.Protection against loss or unauthorized access, usage and/or transmission.
  • Aplicación basada en riesgos de mecanismos de protección.Risk-based application of protective mechanisms.
  • Uso del cifrado cuando corresponda.Use of encryption where appropriate.

Es posible que su organización también desee proteger Microsoft 365 contenido para otros fines, como otras necesidades de cumplimiento o por motivos empresariales.Your organization may also want to protect Microsoft 365 content for other purposes, such as other compliance needs or for business reasons. El establecimiento del esquema de protección de la información para la privacidad de datos debe realizarse como parte de la planeación, implementación y administración generales de la protección de la información.Establishing your information protection scheme for data privacy should be done as part of overall information protection planning, implementation, and management.

Para ayudarle a empezar con un esquema de protección de la información en Microsoft 365, la siguiente sección incluye una breve lista de funciones relacionadas y acciones de mejora para Microsoft 365.To help you get started with an information protection scheme in Microsoft 365, the following section includes a short list of related capabilities and improvement actions for Microsoft 365. La lista incluye funcionalidades y acciones de mejora que se aplican a las normativas de privacidad de datos.The list includes capabilities and improvement actions that are applicable to data privacy regulations. Sin embargo, la lista no incluye tecnologías anteriores si hay una funcionalidad más reciente que reemplaza en gran medida a la anterior.However, the list doesn't include older technologies if there's a newer capability that largely supersedes the older one. Por ejemplo, Information Rights Management (IRM) para SharePoint y OneDrive no se incluye en la lista, pero se incluyen etiquetas de confidencialidad.For example, Information Rights Management (IRM) for SharePoint and OneDrive is not included in the list but sensitivity labels are included.

Administración de la protección de la información en Microsoft 365Managing information protection in Microsoft 365

Las soluciones de Protección de la información de Microsoft incluyen una serie de funcionalidades integradas en Microsoft 365, Microsoft Azure y Microsoft Windows.Microsoft information protection solutions include a number of integrated capabilities across Microsoft 365, Microsoft Azure, and Microsoft Windows. En Microsoft 365, las soluciones de protección de la información incluyen:In Microsoft 365, information protection solutions include:

Además, la protección del nivel de sitio y biblioteca son mecanismos importantes que deben incluirse en cualquier esquema de protección.In addition, site and library level protection are important mechanisms to include in any protection scheme.

Para obtener información sobre otras capacidades de protección de información fuera de Microsoft 365, vea:For information on other information protection capabilities outside of Microsoft 365, see:

Etiquetas de confidencialidadSensitivity labels

Las etiquetas de confidencialidad del marco Microsoft Information Protection permiten clasificar y proteger los datos de la organización sin obstaculizar la productividad de los usuarios y su capacidad de colaboración.Sensitivity labels from the Microsoft Information Protection framework let you classify and protect your organization's data without hindering the productivity of users and their ability to collaborate.

Etiquetas de confidencialidad en Microsoft 365Sensitivity labels in Microsoft 365

Requisitos previos para etiquetas de confidencialidadPrerequisites for sensitivity labels

Complete estas actividades antes de implementar cualquiera de las funciones basadas en etiquetas de confidencialidad que se destacan a continuación:Complete these activities prior to implementing any of the sensitivity label-based capabilities highlighted below:

  1. Comprenda lo siguiente:Understand the following:

    • Requisitos empresariales.Business requirements. Establecer las razones de negocio para aplicar etiquetas de confidencialidad en su empresa.Establish the business reasons for applying sensitivity labels in your enterprise. Por ejemplo, los requisitos de privacidad de datos para la protección de la información.For example, your data privacy requirements for information protection.
    • Capacidades de etiqueta de confidencialidad.Sensitivity label capabilities. El etiquetado de confidencialidad puede ser complejo, por lo que asegúrate de leer la documentación de etiquetas de confidencialidad antes de empezar.Sensitivity labeling can get complex, so make sure to read the sensitivity labels documentation before getting started.
    • Cosas clave que debe recordar Las etiquetas de confidencialidad se administran en el Centro de administración de Cumplimiento de Microsoft, pero las opciones de destino y aplicación varían considerablemente.Key things to remember Sensitivity labels are managed in the Microsoft Compliance admin center but the targeting and application options vary significantly.
      • Hay etiquetas de confidencialidad para sitios, grupos y Teams en el nivel de contenedor (la configuración no se aplica al contenido dentro del contenedor).There are sensitivity labels for sites, groups, and Teams at the container level (the settings do not apply to content inside the container). Se publican para usuarios y grupos que los aplican cuando se aprovisiona un sitio, un grupo o un equipo.These are published to users and groups who apply them when a site, group or Team is provisioned.
      • Hay etiquetas de confidencialidad para el contenido activo.There are sensitivity labels for active content. También se publican en usuarios o grupos, que los aplican manualmente o se aplican automáticamente cuando:These are also published to user or groups, who either manually apply them, or they get applied automatically when:
        • El archivo se abre, edita o guarda, ya sea en el escritorio del usuario o en un SharePoint web.The file is opened/edited/saved, either to the user’s desktop or a SharePoint site.
        • Se redacta y se envía un correo electrónico.An email is drafted and sent.
      • Hay etiquetas de confidencialidad para la aplicación automática a los archivos en reposo en SharePoint y OneDrive además de correos electrónicos en tránsito a través de Exchange.There are sensitivity labels for automatic application to files at rest in SharePoint and OneDrive in addition to emails in transit through Exchange. Estos están dirigidos a todos los sitios o específicos y se aplican automáticamente a los archivos en reposo en estos entornos.These are targeted to either all sites or specific ones and automatically apply to the files at rest in these environments.
  2. Racionalizar el etiquetado de confidencialidad actual con métodos anteriores o alternativosRationalize current sensitivity labeling with past or alternative methods

    • Azure Information ProtectionAzure Information Protection

      Es posible que el esquema de etiquetado de confidencialidad actual deba conciliarse con cualquier implementación de etiquetado existente de Azure Information Protection.The current sensitivity labeling scheme may need to be reconciled with any existing Azure Information Protection labeling implementation.

    • OMEOME

      Si está planeando usar el etiquetado de confidencialidad moderno para la protección de correo electrónico y los métodos de cifrado de correo electrónico existentes, como OME, pueden coexistir, pero debe comprender los escenarios en los que se debe aplicar cualquiera de los dos.If you are planning to use modern sensitivity labeling for email protection and existing email encryption methods like OME are in place, they can co-exist, but you should understand the scenarios in which either should be applied. Consulte Cifrado de mensajes de Office 365 nuevas funcionalidades (OME),que incluye una tabla que compara la protección de tipo de etiqueta de confidencialidad moderna con la protección basada en OME.See Office 365 Message Encryption new capabilities (OME), which includes a table comparing modern sensitivity label-type protection with OME-based protection.

  3. Planear la integración en un esquema de protección de la información más amplio.Plan for integration into a broader information protection scheme. Además de la coexistencia con OME, las etiquetas de confidencialidad se pueden usar en paralelo, como Microsoft 365 prevención de pérdida de datos (DLP) y Microsoft Cloud App Security.On top of coexistence with OME, sensitivity labels can be used along-side capabilities like Microsoft 365 data loss prevention (DLP) and Microsoft Cloud App Security. Vea Microsoft Information Protection en Microsoft 365 para lograr sus objetivos de protección de la información relacionados con la privacidad de datos.See Microsoft Information Protection in Microsoft 365 to achieve your data privacy-related information protection goals.

  4. Desarrollar un esquema de clasificación y control de etiquetas de confidencialidad.Develop a sensitivity label classification and control scheme. Vea Clasificación de datos y Taxonomía de etiquetas de confidencialidad.See Data Classification and Sensitivity Label Taxonomy.

Instrucciones generalesGeneral guidance

  1. Definición de esquema.Schema definition. Antes de usar funcionalidades técnicas para aplicar etiquetas y protección, trabaje en toda la organización para definir un esquema de clasificación.Before using technical capabilities to apply labels and protection, work across your organization to define a classification schema. Es posible que ya tenga un esquema de clasificación, lo que facilita la adición de datos personales.You might already have a classification schema, which makes it easier to add personal data.

  2. Introducción.Getting started. Comience por decidir el número y los nombres de las etiquetas que se implementarán.Begin by deciding on the number and names of labels to implement. Realice esta actividad sin preocuparse por qué tecnología usar y cómo se aplicarán las etiquetas.Do this activity without worrying about which technology to use and how labels will be applied. Aplique este esquema de forma universal en toda la organización, incluidos los datos que residen en el entorno local y en otros servicios en la nube.Apply this schema universally throughout your organization, including data that resides on premises and in other cloud services.

  3. Recomendaciones adicionales Al diseñar e implementar directivas, etiquetas y condiciones, considere la posibilidad de seguir estas recomendaciones:Additional recommendations When designing and implementing policies, labels, and conditions, consider following these recommendations:

    • Use el esquema de clasificación existente (si existe).Use existing classification schema (if any). Muchas organizaciones ya usan la clasificación de datos de alguna forma.Many organizations already are using data classification in some form. Evalúe cuidadosamente el esquema de etiqueta existente y, si es posible, úselo tal como está.Carefully evaluate the existing label schema and if possible, use it as is. El uso de etiquetas conocidas que son reconocibles para los usuarios finales impulsará la adopción.Using familiar labels that are recognizable to your end-users will drive adoption.
    • Inicie pequeño.Start small. Prácticamente no hay ningún límite en el número de etiquetas que puede crear.There is virtually no limit to the number of labels that you can create. Sin embargo, un gran número de etiquetas y subetiquetas puede ralentizar la adopción.However, large numbers of labels and sub-labels can slow adoption.
    • Use escenarios y casos de uso.Use scenarios and use cases. Identifique casos de uso comunes dentro de su organización y use escenarios derivados de las normativas de privacidad de datos a las que está sujeto.Identify common use cases within your organization and use scenarios derived from the data privacy regulations to which you are subject. Compruebe si la etiqueta y la configuración de clasificación previstos funcionarán en la práctica.Verify if the envisioned label and classification configuration will work in practice.
    • Pregunta cada solicitud de una nueva etiqueta.Question every request for a new label. ¿Cada escenario o caso de uso realmente necesita una nueva etiqueta o puede usar lo que ya tiene?Does every scenario or use case really need a new label or can you use what you already have? Mantener el número de etiquetas al mínimo mejora la adopción.Keeping the number of labels to a minimum improves adoption.
    • Use subetiquetas para departamentos clave.Use sub-labels for key departments. Algunos departamentos tendrán necesidades específicas que requieren etiquetas específicas.Some departments will have specific needs that require specific labels. Defina estas etiquetas como subetiquetas en una etiqueta existente y considere la posibilidad de usar directivas de ámbito asignadas a grupos de usuarios en lugar de globalmente.Define these labels as sub-labels to an existing label and consider using scoped policies that are assigned to user groups instead of globally.
    • Considere las directivas de ámbito.Consider scoped policies. Las directivas dirigidas a subconjuntos de usuarios evitarán la sobrecarga de etiquetas.Policies targeted at subsets of users will prevent label overload. Una directiva de ámbito permite asignar etiquetas o subetiquetas específicas del departamento o roles a solo los empleados que trabajan para ese departamento específico.A scoped policy enables assigning role or department specific labels or sub-labels to just employees that work for that specific department.
    • Use nombres de etiqueta significativos.Use meaningful label names. Intente no usar jerga, estándares o acrónimos como nombres de etiqueta.Try not to use jargon, standards, or acronyms as label names. Intente usar nombres que resonen con el usuario final para mejorar la adopción.Try to use names that resonate with the end user to improve adoption. En lugar de usar etiquetas como PII, PCI, HIPAA, LBI, MBI y HBI, considera nombres como Non-Business, Public, General, Confidential y Highly Confidential.Instead of using labels like PII, PCI, HIPAA, LBI, MBI and HBI, consider names like Non-Business, Public, General, Confidential and Highly Confidential.

Crear e implementar etiquetas de confidencialidad para sitios, grupos y equiposCreate and deploy sensitivity labels for sites, groups, and teams

Al crear etiquetas de confidencialidad en el Centro de cumplimiento de Microsoft 365, ahora puede aplicarlas a estos contenedores:When you create sensitivity labels in the Microsoft 365 compliance center, you can now apply them to these containers:

  • Microsoft Teams webMicrosoft Teams sites
  • Microsoft 365 (anteriormente Office 365 grupos)Microsoft 365 groups (formerly Office 365 groups)
  • Sitios de SharePointSharePoint sites

Use la siguiente configuración de etiqueta para ayudar a proteger el contenido de estos contenedores:Use the following label settings to help protect the content in those containers:

  • Privacidad (pública o privada) de Microsoft 365 sitios de Teams conectados Teams grupoPrivacy (public or private) of Microsoft 365 group-connected Teams sites
  • Acceso de usuarios externosExternal user access
  • Acceso desde dispositivos no administradosAccess from unmanaged devices

Para la privacidad de datos, para evitar el uso compartido externo de contenedores que se usarán para almacenar contenido con datos personales confidenciales, marque los archivos que contienen los datos como privados y requiera dispositivos administrados.For data privacy, to prevent external sharing for containers that will be used for storing content with sensitive personal data, mark the files containing the data as private, and require managed devices.

Crear e implementar etiquetas de confidencialidad para el contenidoCreate and deploy sensitivity labels for content

Las etiquetas de confidencialidad aplicadas a los archivos permiten cifrar su contenido, marca de agua el contenido y definir otros controles para el contenido de aplicaciones Office, incluidos Outlook y Office en la Web.Sensitivity labels applied to files allow you to encrypt their content, watermark the content, and define other controls for Office applications content, including Outlook and Office on the web.

Cuando esté listo para empezar a proteger los datos de su organización con etiquetas de confidencialidad:When you're ready to start protecting your organization's data with sensitivity labels:

  1. Creación de las etiquetas.Create the labels. Cree y asigne un nombre a las etiquetas de confidencialidad en función de la taxonomía de clasificación de su organización para distintos niveles de confidencialidad de contenido.Create and name your sensitivity labels according to your organization's classification taxonomy for different sensitivity levels of content. Para obtener más información sobre el desarrollo de una taxonomía de clasificación, vea las white paper Data Classification and Sensitivity Label Taxonomy.For more information on developing a classification taxonomy, see the Data Classification and Sensitivity Label Taxonomy white paper.
  2. Defina la función de cada etiqueta.Define what each label can do. Configure los ajustes de protección que desea asociar a cada etiqueta.Configure the protection settings you want associated with each label. Por ejemplo, es posible que desee que el contenido de menor confidencialidad (como una etiqueta "General") tenga solo un encabezado o pie de página aplicado, mientras que el contenido de mayor confidencialidad (como una etiqueta "Confidencial") debe tener una marca de agua y tener cifrado habilitado.For example, you might want lower sensitivity content (such as a "General" label) to have just a header or footer applied, while higher sensitivity content (such as a "Confidential" label) should have a watermark and have encryption enabled.
  3. Publique las etiquetas.Publish the labels. Una vez configuradas las etiquetas de sensibilidad, publíquelas mediante una directiva de etiqueta.After your sensitivity labels are configured, publish them by using a label policy. Decida qué usuarios y grupos deben tener las etiquetas y qué configuración de directiva usar.Decide which users and groups should have the labels and what policy settings to use. Una sola etiqueta es reutilizable.A single label is reusable. Se define una vez y, a continuación, se puede incluir en varias directivas de etiquetas asignadas a diferentes usuarios.You define it once and then you can include it in several label policies assigned to different users.

Una vez que publiques etiquetas de confidencialidad desde el Centro de cumplimiento de Microsoft 365, empezarán a aparecer en aplicaciones de Office para que los usuarios clasifiquen y protejan el contenido a medida que se crea o edita.Once you publish sensitivity labels from the Microsoft 365 compliance center, they start to appear in Office apps for users to classify and protect content as it's created or edited.

Flujo de implementación de etiquetas de confidencialidad en Microsoft 365

Para la privacidad de datos, se aplica manualmente una etiqueta de confidencialidad con cifrado y otras reglas al correo electrónico o al contenido que contiene información personal confidencial.For data privacy, you manually apply a sensitivity label with encryption and other rules to email or content containing sensitive personal information.

Nota

Las etiquetas de confidencialidad con cifrado habilitado aplicado al correo electrónico tienen cierta funcionalidad superpuesta con OME.Sensitivity labels with encryption enabled applied to email have some overlapping functionality with OME. Consulte Secure email scenarios comparison with OME and sensitivity labels.See Secure email scenarios comparison with OME and sensitivity labels.

Etiquetado automático del lado cliente cuando los usuarios editan documentos o redactan correos electrónicosClient-side auto-labeling when users edit documents or compose emails

Al crear una etiqueta de confidencialidad, puede asignarla automáticamente al contenido, incluido el correo electrónico, cuando coincida con las condiciones especificadas.When you create a sensitivity label, you can automatically assign that label to content including email when it matches conditions that you specify.

La capacidad de aplicar automáticamente etiquetas de confidencialidad al contenido es importante por estos motivos:The ability to apply sensitivity labels to content automatically is important because:

  • No es necesario enseñar a los usuarios cuándo usar cada una de las clasificaciones.You don't need to train your users when to use each of your classifications.
  • No es necesario depender de los usuarios para clasificar todo el contenido correctamente.You don't need to rely on users to classify all content correctly.
  • Los usuarios ya no necesitan conocer las directivas de gobierno de datos; en su lugar, pueden centrarse en su trabajo.Users no longer need to know about your policies—they can instead focus on their work.

El etiquetado automático admite la recomendación de una etiqueta a los usuarios, así como la aplicación automática de una etiqueta.Auto-labeling supports recommending a label to users, as well as automatically applying a label. Pero en ambos casos, el usuario decide si acepta o rechaza la etiqueta, para ayudar a garantizar el etiquetado correcto del contenido.But in both cases, the user decides whether to accept or reject the label, to help ensure the correct labeling of content.

Este etiquetado del lado del cliente tiene un retraso mínimo para los documentos porque la etiqueta se puede aplicar incluso antes de que se guarde el documento.This client-side labeling has minimal delay for documents because the label can be applied even before the document is saved. Sin embargo, no todas las aplicaciones cliente son compatibles con el etiquetado automático.However, not all client apps support auto-labeling. Esta funcionalidad es compatible con el cliente de etiquetado unificado de Azure Information Protection y algunas versiones de Office aplicaciones.This capability is supported by the Azure Information Protection unified labeling client, and some versions of Office apps.

Para obtener instrucciones de configuración, consulte How to configure auto-labeling for Office apps.For configuration instructions, see How to configure auto-labeling for Office apps.

Para la privacidad de datos, se aplican automáticamente etiquetas de confidencialidad para el contenido que contiene información personal confidencial.For data privacy, you auto-apply sensitivity labels for content containing sensitive personal information.

Etiquetado automático del lado del servicio cuando el contenido ya está guardadoService-side auto-labeling when content is already saved

Este método se conoce como clasificación automática con etiquetas de confidencialidad.This method is referred to as auto classification with sensitivity labels. También puede oir que se conoce como etiquetado automático de datos en reposo (para documentos de SharePoint y OneDrive) y datos en tránsito (para el correo electrónico enviado o recibido por Exchange).You might also hear it referred to as auto-labeling for data at rest (for documents in SharePoint and OneDrive) and data in transit (for email that is sent or received by Exchange). Por Exchange, no incluye correos electrónicos en buzones en reposo.For Exchange, it doesn't include emails in mailboxes at rest.

Dado que este etiquetado se aplica por el propio servicio en lugar de por la aplicación de usuario, no es necesario preocuparse por las aplicaciones que tienen los usuarios y qué versión.Because this labeling is applied by the service itself rather than by user application, you don't need to worry about what apps users have and what version. Por lo tanto, esta funcionalidad está disponible inmediatamente en toda la organización y es adecuada para aplicar las etiquetas a cualquier escala.As a result, this capability is immediately available throughout your organization and suitable for labeling at scale. Las directivas de etiquetado automático no admiten el etiquetado recomendado, ya que el usuario no interactúa con el proceso de etiquetado.Auto-labeling policies don't support recommended labeling because the user doesn't interact with the labeling process. En su lugar, el administrador ejecuta las directivas en el modo de simulación para ayudarle a garantizar el etiquetado correcto del contenido antes de aplicar la etiqueta.Instead, the administrator runs the policies in simulation mode to help ensure the correct labeling of content before actually applying the label.

Para obtener instrucciones de configuración, vea How to configure auto-labeling policies for SharePoint, OneDrive, and Exchange.For configuration instructions, see How to configure auto-labeling policies for SharePoint, OneDrive, and Exchange.

Para la privacidad de datos dentro de los sitios de interés, presione etiquetas de confidencialidad para el cifrado automático del contenido que contiene información personal confidencial.For data privacy within sites of concern, push sensitivity labels for automatic encryption of content containing sensitive personal information.

Prevención de pérdida de datosData loss prevention

Puede usar la prevención de pérdida de datos (DLP) en Microsoft 365 para detectar, advertir y bloquear el uso compartido peligroso, involuntario o inadecuado, como el uso compartido de datos que contienen información personal, tanto interna como externamente.You can use data loss prevention (DLP) in Microsoft 365 to detect, warn, and block risky, inadvertent, or inappropriate sharing, such as sharing of data containing personal information, both internally and externally.

DLP le permite:DLP allows you to:

  • Identificar y supervisar actividades de uso compartido arriesgadas.Identify and monitor risky sharing activities.
  • Educar a los usuarios con instrucciones en contexto para tomar las decisiones correctas.Educate users with in-context guidance to make the right decisions.
  • Aplicar directivas de uso de datos sobre el contenido sin inhibir la productividad.Enforce data use policies upon content without inhibiting productivity.
  • Integre con clasificación y etiquetado para detectar y proteger los datos cuando se comparten.Integrate with classification and labeling to detect and protect data when it is shared.

Cargas de trabajo admitidas para DLPSupported workloads for DLP

Con una directiva DLP en el Centro de cumplimiento de Microsoft 365, puede identificar, supervisar y proteger automáticamente elementos confidenciales en muchas ubicaciones de Microsoft 365, como Exchange Online, SharePoint, OneDrive y Microsoft Teams.With a DLP policy in the Microsoft 365 compliance center, you can identify, monitor, and automatically protect sensitive items across many locations in Microsoft 365, such as Exchange Online, SharePoint, OneDrive, and Microsoft Teams.

Por ejemplo, puede identificar cualquier documento que contenga un número de tarjeta de crédito almacenado en cualquier sitio de OneDrive o puede supervisar solo los sitios OneDrive de personas específicas.For example, you can identify any document containing a credit card number that's stored in any OneDrive site, or you can monitor just the OneDrive sites of specific people.

También puede supervisar y proteger elementos confidenciales en las versiones instaladas localmente de Excel, PowerPoint y Word, que incluyen la capacidad de identificar elementos confidenciales y aplicar directivas DLP.You can also monitor and protect sensitive items in the locally-installed versions of Excel, PowerPoint, and Word, which include the ability to identify sensitive items and apply DLP policies. DLP proporciona supervisión continua cuando las personas comparten contenido de estas Office aplicaciones.DLP provides continuous monitoring when people share content from these Office apps.

Cargas de trabajo admitidas para DLPSupported workloads for DLP

En esta figura se muestra un ejemplo de DLP que protege los datos personales.This figure shows an example of DLP protecting personal data.

Ejemplo de protección de datos personales con DLPExample of protecting personal data using DLP

DLP se usa para identificar un documento o correo electrónico que contiene un registro de mantenimiento y, a continuación, bloquea automáticamente el acceso a ese documento o bloquea el envío del correo electrónico.DLP is used to identify a document or email containing a health record and then automatically blocks access to that document or blocks the email from being sent. A continuación, DLP notifica al destinatario con una sugerencia de directiva y envía una alerta al usuario final y al administrador.DLP then notifies the recipient with a policy tip and sends an alert to the end-user and admin.

Planeación de DLPPlanning for DLP

Planee las directivas dlp para:Plan your DLP policies for:

  • Requisitos empresariales.Your business requirements.

  • Una evaluación basada en riesgos de la organización, tal como se describe en el artículo evaluar los riesgos de privacidad de datos e identificar elementos confidenciales.A risk-based assessment of the organization as described in the assess data privacy risks and identify sensitive items article.

  • Otros mecanismos de protección de la información y gobierno en su lugar o en la planeación de la privacidad de datos.Other information protection and governance mechanisms in place or in planning for data privacy.

  • Los tipos de información confidencial que ha identificado para los datos personales en función del trabajo de evaluación que se describe en el artículo evaluar los riesgos de privacidad de datos e identificar elementos confidenciales.The sensitive information types that you’ve identified for personal data based on your assessment work as described in the assess data privacy risks and identify sensitive items article. Las condiciones de directiva DLP pueden basarse en tipos de información confidencial y etiquetas de retención.DLP policy conditions can be based on both sensitive information types and retention labels.

  • Las etiquetas de retención que necesitarás para especificar condiciones DLP.The retention labels you'll need to specify DLP conditions. Vea el artículo sobre la información de gobierno sujeta a la regulación de privacidad de datos en su organización para obtener más información.See the govern information subject to data privacy regulation in your organization article for more information.

  • Administración continua de directivas DLP, que requiere que alguien de la organización funcione y ajuste las directivas para los cambios en tipos de información confidencial, etiquetas de retención, reglamentos y directivas de cumplimiento.Ongoing DLP policy management, which requires someone in the organization to operate and tune policies for changes in sensitive information types, retention labels, regulations, and compliance policies.

Aunque las etiquetas de confidencialidad no se pueden usar en condiciones de directiva DLP, ciertos escenarios de protección para impedir el acceso pueden lograrse con solo etiquetas de confidencialidad que se pueden aplicar automáticamente en función de tipos de información confidencial.Although sensitivity labels can’t be used in DLP policy conditions, certain protection scenarios to prevent access may be achievable with just sensitivity labels that can be auto-applied based on sensitive information types. Si hay un etiquetado de confidencialidad sólido, considere si DLP debe usarse para aumentar la protección porque:If robust sensitivity labeling is in place, consider whether DLP should be used to augment protection because:

  • DLP puede impedir el uso compartido de archivos.DLP can prevent sharing of files. Las etiquetas de confidencialidad solo pueden impedir el acceso.Sensitivity labels can just prevent access.

  • DLP tiene niveles de control más granulares en términos de reglas, condiciones y acciones.DLP has more granular levels of control in terms of rules, conditions, and actions.

  • Las directivas DLP se pueden aplicar a Teams chat y mensajes de canal.DLP policies can be applied to Teams chat and channel messages. Las etiquetas de confidencialidad solo se pueden aplicar a documentos y correo electrónico.Sensitivity labels can only be applied to documents and email.

Directivas DLPDLP policies

Las directivas DLP se configuran en el Centro de administración de Cumplimiento de Microsoft y especifican el nivel de protección, el tipo de información confidencial que está buscando la directiva y las cargas de trabajo de destino.DLP policies are configured in the Microsoft Compliance admin center and specify the level of protection, the sensitive information type the policy is looking for, and the target workloads. Sus componentes básicos consisten en identificar la protección y los tipos de datos.Their basic components consist of identifying the protection and the types of data.

Configuración de directiva DLP en Microsoft 365DLP policy configuration in Microsoft 365

A continuación se muestra una directiva DLP de ejemplo para conocer el RGPD.Here is an example DLP policy for awareness of GDPR.

Ejemplo de directiva DLP para el reconocimiento del RGPD

Vea este artículo para obtener más información sobre cómo crear y aplicar directivas DLP.See this article for more information about creating and applying DLP policies.

Niveles de protección para la privacidad de datosProtection levels for data privacy

En la tabla siguiente se enumeran tres configuraciones de aumento de la protección mediante DLP.The following table lists three configurations of increasing protection using DLP.

Niveles de protección de privacidad de datos con DLP

La primera configuración, Awareness, se puede usar como punto de partida y nivel mínimo de protección para satisfacer las necesidades de cumplimiento de las normativas de privacidad de datos.The first configuration, Awareness, can be used as a starting point and minimum level of protection to address compliance needs for data privacy regulations.

Nota

A medida que aumenten los niveles de protección, la capacidad de los usuarios para compartir y acceder a la información disminuirá en algunos casos y podría afectar su productividad o capacidad para completar tareas diarias.As the levels of protection increase, the ability of users to share and access information will decrease in some cases and could potentially impact their productivity or ability to complete daily tasks.

To help your employees continue to be productive in a more secure environment when increasing protection levels, take the time to train and educate them on new security policies and procedures.To help your employees continue to be productive in a more secure environment when increasing protection levels, take the time to train and educate them on new security policies and procedures.

Ejemplo de uso de etiquetas de confidencialidad con DLPExample of using sensitivity labels with DLP

Las etiquetas de confidencialidad pueden funcionar junto con DLP para proporcionar privacidad de datos en un entorno altamente regulado.Sensitivity labels can work together with DLP to provide data privacy in a highly regulated environment. Estos son los pasos clave de la implementación integrada:Here are the key steps of the integrated deployment:

  1. Se documentan los requisitos normativos y empresariales para la privacidad de datos.Regulatory and otherwise business requirements for data privacy are documented.
  2. Los orígenes de datos de destino, los tipos y la propiedad se caracterizan por cuestiones de privacidad de datos.Target data sources, types, and ownership are characterized relative to data privacy concerns.
  3. Se establece una estrategia general para abordar los requisitos y proteger y regular los puntos de acceso a la privacidad de datos.An overall strategy to address requirements and protect and govern data privacy hotspots is established.
  4. Se pone en marcha un plan de acción por fases para abordar la estrategia de control de privacidad de datos.A phased action plan to address the data privacy control strategy is put into place.

Una vez determinados estos elementos, puede usar los tipos de información confidencial, la taxonomía de etiquetado de confidencialidad y las directivas DLP juntas.Once these elements are determined, you can use sensitive information types, your sensitivity labeling taxonomy, and DLP policies together. En esta figura se muestra un ejemplo.This figure shows an example.

Ejemplo de etiquetas de confidencialidad que funcionan con DLPExample of sensitivity labels working with DLP

Ver una versión más grande de esta imagenSee a larger version of this image

Estos son algunos escenarios de protección de datos que usan dlp y etiquetas de confidencialidad juntos, como se muestra en la figura.Here are some data protection scenarios using DLP and sensitivity labels together as shown in the figure.

EscenarioScenario ProcesoProcess
AA
  1. Un administrador publica etiquetas de confidencialidad para contenido para usuarios y grupos para aplicaciones manuales o automáticas en el contenido y el correo electrónico.Sensitivity labels for content are published by an administrator to users and groups for manual or automatic application to content and email.
  2. El usuario A aplica las etiquetas de forma manual o automática al interactuar con el contenido, con el cifrado u otra configuración aplicada.User A applies the labels manually or automatically when interacting with content, with encryption or other settings applied.
  3. El usuario A envía un correo electrónico o archivo protegido al usuario B, un usuario invitado.User A sends a protected email or file to User B, a guest user.
NB La directiva DLP publicada por un administrador en el usuario A impide que el usuario A envíe el correo electrónico o el archivo al usuario B.DLP policy published by an administrator to User A blocks User A from sending the email and/or file to User B.
CC La etiqueta de confidencialidad con la configuración "el propietario no puede invitar invitados" se publica en el usuario A, que aprovisiona un Teams equipo o SharePoint sitio.Sensitivity label with “owner can’t invite guests” setting is published to User A, who provisions a Teams team or SharePoint site. Otro usuario del sitio intenta compartir selectivamente un archivo con el usuario B, pero DLP lo bloquea.Another user of the site selectively tries sharing a file with User B, but DLP blocks it.
DD La etiqueta de confidencialidad para la aplicación automática al contenido del sitio se publica en uno o varios sitios, lo que proporciona otra capa de protección, lo que da como resultado un sitio protegido.Sensitivity label for auto-application to site content is published to one or more sites, providing another layer of protection, resulting in a protected site.

Cifrado de mensajes de Office 365 nuevas funcionalidades (OME)Office 365 Message Encryption (OME) new capabilities

Las personas suelen usar el correo electrónico para intercambiar elementos confidenciales, como información de salud del paciente o información de clientes y empleados.People often use email to exchange sensitive items, such as patient health information or customer and employee information. El cifrado de mensajes de correo electrónico ayuda a garantizar que solo los destinatarios previstos puedan ver el contenido del mensaje.Email message encryption helps ensure that only intended recipients can view message content.

Con OME,puede enviar y recibir mensajes cifrados entre personas dentro y fuera de la organización.With OME, you can send and receive encrypted messages between people inside and outside your organization. OME funciona con Outlook.com, Yahoo!, Gmail y otros servicios de correo electrónico.OME works with Outlook.com, Yahoo!, Gmail, and other email services. OME ayuda a garantizar que solo los destinatarios previstos puedan ver el contenido del mensaje.OME helps ensure that only intended recipients can view message content.

Para la privacidad de datos, se usa OME para proteger los mensajes internos que contienen elementos confidenciales.For data privacy, you use OME to protect internal messages containing sensitive items. Cifrado de mensajes de Office 365 es un servicio en línea que se basa en Microsoft Azure Rights Management (Azure RMS) que forma parte de Azure Information Protection.Office 365 Message Encryption is an online service that's built on Microsoft Azure Rights Management (Azure RMS) which is part of Azure Information Protection. Esto incluye directivas de cifrado, identidad y autorización para ayudar a proteger el correo electrónico.This includes encryption, identity, and authorization policies to help secure your email. Puede cifrar mensajes mediante plantillas de administración de derechos, la opción No reenviar y la opción de solo cifrado.You can encrypt messages by using rights management templates, the Do Not Forward option, and the encrypt-only option.

También puede definir reglas de flujo de correo para aplicar esta protección.You can also define mail flow rules to apply this protection. Por ejemplo, puede crear una regla que requiera el cifrado de todos los mensajes dirigidos a un destinatario específico, o que contenga palabras clave específicas en la línea de asunto, y también especifique que los destinatarios no pueden copiar ni imprimir el contenido del mensaje.For example, you can create a rule that requires the encryption of all messages addressed to a specific recipient, or that contains specific keywords words in the subject line, and also specify that recipients can't copy or print the contents of the message.

Además, el cifrado avanzado de mensajes de OME le ayuda a cumplir las obligaciones de cumplimiento que requieren controles más flexibles sobre los destinatarios externos y su acceso a correos electrónicos cifrados.In addition, OME Advanced Message Encryption helps you meet compliance obligations that require more flexible controls over external recipients and their access to encrypted emails. Con OME Advanced Message Encryption en Microsoft 365, puede controlar los correos electrónicos confidenciales compartidos fuera de la organización con directivas automáticas que detectan tipos de información confidencial.With OME Advanced Message Encryption in Microsoft 365, you can control sensitive emails shared outside the organization with automatic policies that detect sensitive information types.

Para la privacidad de datos, si necesita compartir correo electrónico con un tercero externo, puede especificar una fecha de expiración y revocar mensajes.For data privacy, if you need to share email with an external party, you can specify an expiration date and revoke messages. Solo puede revocar y establecer una fecha de expiración para los mensajes enviados a destinatarios externos.You can only revoke and set an expiration date for messages sent to external recipients.

Comparación de escenarios de correo electrónico seguro con etiquetas de confidencialidad y OMESecure email scenarios comparison with OME and sensitivity labels

Las etiquetas de confidencialidad y OME aplicadas al correo electrónico con cifrado tienen cierta superposición, por lo que es importante comprender a qué escenarios se pueden aplicar, como se muestra en esta tabla.OME and sensitivity labels applied to email with encryption have some overlap, so it’s important to understand which scenarios that either might apply to, as shown in this table.

EscenarioScenario Etiquetas de confidencialidadSensitivity Labels OMEOME
Interno + partnersInternal + partners
Comunicarse y colaborar de forma segura entre usuarios internos y socios de confianzaSecurely communicate and collaborate between internal users and trusted partners
Recomendamos: etiquetas con clasificación y protección totalmente personalizadasRecommend – labels with fully customized classification and protection Sí: cifrar solo o no reenviar la protección sin clasificaciónYes – Encrypt only or Do Not Forward protection with no classification
Partes externasExternal parties
Comunicarse y colaborar de forma segura con cualquier usuario externo o consumidorSecurely communicate and collaborate with any external/consumer users
Sí: predefine a los destinatarios en la etiquetaYes – predefine recipients in label Recomendado: protección just-in-time basada en destinatariosRecommend – just-in-time protection based on recipients
Interno + partners, con expiración/revocaciónInternal + partners, with expiration/revocation
Controlar el acceso de correo y contenido con usuarios internos y socios de confianza con expiración y revocaciónControl access of mail and content with internal users and trusted partners with expiration and revocation
Recomendado: protección totalmente personalizada con duración de acceso, el usuario puede realizar un seguimiento manual y revocar archivosRecommend - fully customized protection with access duration, user can manually track and revoke files No: no hay revocación o expiración para el correo internoNo – no revocation or expiration for internal mail
Partes externas con expiración/revocaciónExternal parties with expiration/revocation
Controlar el acceso de correo y contenido con usuarios externos/consumidores con caducidad y revocaciónControl access of mail and content with external/consumer users with expiration and revocation
Sí: el usuario puede realizar un seguimiento manual de los archivosYes – user can manually track files Recomendado (E5): el administrador puede revocar el correo del Centro de seguridad & cumplimientoRecommend (E5) – admin can revoke mail from Security & Compliance Center
Etiquetado automáticoAuto-labeling
La organización quiere proteger automáticamente el correo o los datos adjuntos con contenido confidencial específico o con destinatarios específicosOrganization wants to automatically protect mail/attachments with specific sensitive content and/or specific recipients
Recomendado (E5): el etiquetado automático en Exchange y Outlook, aumenta las reglas de flujo de correo y la directiva DLPRecommend (E5) - Auto-labeling in Exchange and Outlook clients, augments mail flow rules and DLP policy Sí: reglas de flujo de correo y directiva DLP con solo cifrar o no reenviar protecciónYes - mail flow rules and DLP policy with Encrypt only or Do Not Forward protection

También habrá diferencias en las experiencias de usuario final y administrador entre estos dos métodos.There will also be differences in end-user and admin experiences between these two methods.

Teams con protección para datos altamente confidencialesTeams with protection for highly sensitive data

Para las organizaciones que planean almacenar datos personales sujetos a las normativas de privacidad de datos en Teams, vea Configure a team with security isolation, que proporciona instrucciones detalladas y pasos de configuración para:For organizations that plan to store personal data subject to data privacy regulations in Teams, see Configure a team with security isolation, which provides detailed guidance and configuration steps for:

  • Acceso de dispositivos e identidadesIdentity and device access
  • Creación de un equipo privadoCreation of a private team
  • Bloqueo de permisos de sitio de grupo subyacentesLockdown of underlying team site permissions
  • Una etiqueta de confidencialidad basada en grupos con cifradoA group-based sensitivity label with encryption