ISO/IEC 27018 Código de prácticas para proteger los datos personales en la nube

Introducción a la norma ISO/IEC 27018

La Organización Internacional de Normalización (ISO) es una organización independiente y no gubernamental, y el desarrollador más grande del mundo de estándares internacionales voluntarios. La familia de normas ISO/IEC 27000 ayuda a las organizaciones de todos los tipos y tamaños a mantener seguros los activos de información.

En 2014, la ISO adoptó la ISO/IEC 27018:2014, un anexo a ISO/IEC 27001, el primer código de prácticas internacional para la privacidad en la nube. Basándose en la legislación de protección de datos de la UE, ofrece instrucciones específicas a los proveedores de servicios en la nube (PSN) que actúan como procesadores de información de identificación personal (DCP) para la evaluación de riesgos y la implementación de controles de última generación para proteger la DCP.

Microsoft y la ISO/IEC 27018

Al menos una vez al año, un organismo de certificación de terceros acreditado audita Microsoft Azure y Azure Alemania para garantizar que cumplen las ISO/IEC 27001 e ISO/IEC 27018, lo que permite la validación independiente de que los controles de seguridad aplicables se aplican y funcionan de forma eficaz. Como parte de este proceso de verificación de cumplimiento, los auditores validan en la declaración de aplicabilidad que los servicios de soporte técnico comerciales y los servicios en la nube de Microsoft en ámbito han incorporado controles ISO/IEC 27018 para la protección de DCP en Azure. Para respetar las normativas, los servicios de nube de Microsoft deben estar sujetos a las revisiones anuales de terceros.

Al seguir las normas de la ISO/IEC 27001 y el código de prácticas incluido en la ISO/IEC 27018, Microsoft (el primer proveedor de nube que incorpora este código de prácticas) demuestra que sus directivas y procedimientos de privacidad son sólidos y se corresponden con los estándares más altos.

  • Los clientes de servicios de nube de Microsoft saben dónde se almacenan sus datos. Dado que la ISO/IEC 27018 requiere que los PSN certificados comuniquen a los clientes acerca de los países o regiones en los que se pueden almacenar los datos, los clientes del servicio de nube de Microsoft tienen la visibilidad que necesitan para cumplir las reglas de seguridad de la información que sean aplicables.
  • Los datos de los clientes no se utilizarán para fines de marketing o publicitarios sin consentimiento explícito. Algunos PSN usan los datos de los clientes para sus propios fines comerciales, incluida la publicidad dirigida. Dado que Microsoft ha adoptado la norma ISO/IEC 27018 para los servicios de nube empresariales en ámbito, los clientes pueden tener la seguridad de que sus datos no se usarán nunca para estos propósitos sin consentimiento explícito y dicho consentimiento no puede ser una condición para usar el servicio de nube.
  • Los clientes de Microsoft saben lo que ocurre con su DCP. La ISO/IEC 27018 requiere una política que permita la devolución, transferencia y eliminación segura de información personal en un período de tiempo razonable. Si Microsoft trabaja con otras empresas que necesitan acceder a los datos de los clientes, revelará de forma proactiva las identidades de dichos subprocesadores.
  • Microsoft cumple únicamente las solicitudes vinculantes legalmente para divulgar los datos de los clientes. Si Microsoft debe cumplir alguna de estas solicitudes (como en el caso de una investigación criminal) siempre se lo notificará al cliente, a menos que lo prohíba la legislación.

Servicios y plataformas en la nube dentro del ámbito de Microsoft

  • Azure, Azure Government y Azure Alemania
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 y Dynamics 365 Germany
  • Intune
  • Microsoft Cloud App Security
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Microsoft Graph
  • Bot de Microsoft Healthcare
  • Escritorio administrado por Microsoft
  • Expertos en amenazas de Microsoft
  • Microsoft Stream
  • Office 365, Office 365 Administración Pública para Estados Unidos y Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS Service Map
  • Power Automate (anteriormente conocido como Microsoft Flow): el servicio en la nube como servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio en la nube de PowerApps: como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de Power BI: como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
  • Power BI incrustado
  • Power Virtual Agents
  • Microsoft Defender para punto de conexión: detección y respuesta de puntos de conexión, investigación y corrección automáticas, puntuación de seguridad
  • Windows 365

Azure, Dynamics 365 e ISO/IEC 27018

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta Azure ISO/IEC 27018.

Office 365 e ISO ISO/IEC 27018

Entornos en la nube de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos en la nube de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Access Online, Azure Active Directory, Azure Communications Service, Administrador de cumplimiento, Caja de seguridad del cliente, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Defender para Office 365, Microsoft Teams, MyAnalytics, Complemento de Cumplimiento avanzado de Office 365, Portal de clientes de Office 365, Microservicios de Office 365 (incluidos, entre otros, Kaizala, ObjectStore, Sway, Servicio de documentos de PowerPoint Online, Servicio de anotación de consultas, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, Infraestructura de servicios de Office, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, Project Online, Cifrado de servicio con clave de cliente, SharePoint Online, Skype Empresarial, Stream
GCC Azure Active Directory, Servicio de comunicaciones de Azure, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento de Cumplimiento avanzado de Office 365, Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream
GCC High Azure Active Directory, Servicio de comunicaciones de Azure, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, complemento de Cumplimiento avanzado de Office 365, Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, complemento de Cumplimiento avanzado de Office 365, Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial

Auditorías, informes y certificados de Office 365

Los servicios de soporte técnico comerciales y de nube de Microsoft se auditan una vez al año para certificar que cumplen el código de prácticas de la norma ISO/IEC 27018 como parte del proceso de certificación de la ISO/IEC 27001.

Preguntas más frecuentes

¿A quién se aplica la ISO/IEC 27018?

Este código de prácticas se aplica a los CSP que procesan DCP por contrato para otras organizaciones. En el caso de Microsoft también se aplica al soporte de estos CSP.

¿Cuál es la diferencia entre 'controladores de información personal' y 'procesadores de información personal'?

En el contexto de la ISO/IEC 27018:

  • Los "controladores" controlan la recopilación, posesión, procesamiento o uso de información personal. Se incluyen aquellos que la controlan en nombre de otra empresa.
  • Los 'procesadores' procesan información en nombre de los controladores; no toman decisiones sobre cómo usar la información o el propósito del procesamiento. Para proporcionar los servicios de nube empresariales, Microsoft (como proveedor) es un procesador de información.

¿Dónde puedo ver la información de cumplimiento normativo de Office 365 para la norma ISO/IEC 27018?

  • Puede revisar los certificados ISO/IEC 27018 de BSI (el auditor independiente que validó el cumplimiento de Microsoft con ISO/IEC 27018) para Office 365.

¿Puedo usar el cumplimiento normativo de Microsoft en el proceso de certificación de mi organización?

Sí. Si el cumplimiento normativo de la ISO/IEC 27018 es importante para su empresa y las implementaciones realizadas en cualquiera de los servicios de nube empresariales en el ámbito de Microsoft, puede usar la atestación de que Microsoft cumple la norma ISO/IEC 27018 con la certificación de Microsoft para la norma ISO/IEC 27001 en la evaluación del cumplimiento.

Sin embargo, usted tiene la responsabilidad de contratar un asesor para evaluar la implementación para el cumplimiento normativo y los controles y procesos de su propia organización.

Usar el Administrador de cumplimiento de Microsoft para evaluar el riesgo

El Administrador de cumplimiento de Microsoft es una característica en el Centro de cumplimiento de Microsoft 365 que le ayuda a entender la actitud de su organización en relación con el cumplimiento normativo y a tomar medidas para contribuir a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos