Términos de privacidad y seguridad
Aspectos Generales
Los Términos de Seguridad y Privacidad se encontraban anteriormente en el Anexo 1 a los Términos de los Servicios en Línea.
Las partes aceptan que el presente Addendum de Protección de Datos o DPA (definido en el Glosario) establece las obligaciones de las partes con respecto al procesamiento y la seguridad de los Datos del Cliente, Datos de Servicios Profesionales y los Datos Personales por parte de los Productos. El Addendum de Protección de Datos se puede descargar aquí https://aka.ms/DPA. En caso de que se produzca cualquier conflicto o incoherencia entre los el Términos del DPA y cualquiera de los términos del Contrato de licencias del Cliente (incluidos estos términos), prevalecerán los Términos del DPA.
Servicios en Línea que se excluyen del DPA
Salvo lo dispuesto en los Términos Específicos del Producto, los términos del DPA no se aplican a: Plataforma de Administración de Activos Móviles de Mapas de Bing, Transacciones y Usuarios de Mapas de Bing, Servicios de Bing Search, Servicios de Azure AI en contenedores instalados en hardware dedicado del Cliente, Microsoft Copilot con protección de datos comercial (conocida anteriormente como Enterprise del Chat de Bing), GitHub Offerings, LinkedIn Sales Navigator, Microsoft Defender para IoT (excluidas las características relacionadas con la nube), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph Data Connect para ISV, Microsoft Genomics y Prueba de Visual Studio App Center. Cada uno de estos Servicios en Línea se rige por los términos de privacidad y seguridad estipulados en los Términos Específicos del Producto correspondientes.
Productos de Software excluidos del DPA
Salvo lo dispuesto en los Términos Específicos del Producto, los términos del DPA no se aplican a: Características basadas en Internet en Productos de Software, Sistema Operativo de Sobremesa Windows, Windows Server y estos Productos de Software como parte de otros Productos. Cada uno de estos Productos se rige por los términos de privacidad y seguridad estipulados en los Términos Específicos del Producto correspondientes.
Productos que no son de Microsoft
El uso que el Cliente realice de Productos que no son de Microsoft (concepto que se define en los Términos de Licencia Universales para los Servicios en Línea) se regirá por otros términos independientes, que incluyen términos de privacidad y seguridad diferentes.
Exclusiones geográficas de los términos de los DPA
Para los servicios en línea de Dynamics 365 y Power Platform, los términos específicos de los DPA como se indica en el Apéndice A que establece que "Microsoft almacena copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar distinto de donde esté ubicado el equipo informático principal que procesa los Datos del Cliente". no se aplican en las siguientes áreas geográficas: Emiratos Árabes Unidos y Sudáfrica.
Servicios en Línea Principales
El término "Servicios Online Principales" solo se aplica a los servicios que se encuentran en la tabla a continuación, y excluye cualquier Vista Previa.
| Servicios en Línea | |
|---|---|
| Microsoft Dynamics 365 Core Services | Los siguientes servicios, cada uno como un servicio independiente o incluidos en un plan o aplicación de Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations y Dynamics 365 Sales. Dynamics 365 Core Services no incluye (1) Dynamics 365 Services para dispositivos o software compatibles, entre los que se incluyen Dynamics 365 para aplicaciones, tabletas o teléfonos; (2) LinkedIn Sales Navigator; o (3) excepto según se defina expresamente en los términos de licencia para el servicio correspondiente, cualquier otro servicio de marca independiente que esté disponible con o en conexión con Dynamics 365 Core Services. |
| Servicios de Office 365 | Los siguientes servicios, cada uno como un servicio independiente o incluido en un plan o conjunto de aplicaciones de marca Office 365 o Microsoft 365: Cortana, Caja de Seguridad del Cliente, Archivado de Exchange Online, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Clásico), Microsoft Teams, Microsoft To-Do, Microsoft Defender para Office 365, Office para la web, OneDrive para la Empresa, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise y Microsoft Copilot para Microsoft 365. Los Servicios de Office 365 no incluyen Aplicaciones de Microsoft 365 para empresas, ninguna parte de los servicios de RTC que operan fuera del control de Microsoft, ningún software cliente ni ningún otro servicio de marca independiente disponible con un plan o conjunto de aplicaciones de marca Office 365 o Microsoft 365, tales como Bing o un servicio catalogado "para Office 365". |
| Servicios de Cumplimiento de Microsoft 365 | Los siguientes servicios, cada uno como un servicio independiente o incluidos en un conjunto de aplicaciones o plan de Microsoft 365: Caja de seguridad del cliente de Microsoft Purview, Prevención de pérdida de datos de Microsoft Purview, Clave de cliente de Microsoft Purview, Administración del ciclo de vida de Microsoft Purview, Barreras de información de Microsoft Purview, Administración de acceso con privilegios de Microsoft Purview, Administrador de cumplimiento de Microsoft Purview, Microsoft Purview Information Protection, Microsoft Information Governance, Administración de riesgo interno de Microsoft Purview, Cumplimiento de comunicaciones de Microsoft Purview, Administración de registros de Microsoft Purview, Microsoft Purview eDiscovery, Auditoría de Microsoft Purview, Gestión de riesgos de privacidad Microsoft Priva y Solicitudes de datos personales Microsoft Priva. |
| Microsoft Azure Core Services | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network y VPN Gateway. |
| Microsoft Defender for Cloud Apps | La parte del servicio en la nube de Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security). |
| Servicios en Línea de Microsoft Intune | La parte del servicio de nube de Microsoft Intune. |
| Microsoft Power Platform Core Services | Los siguientes servicios, cada uno como un servicio independiente o incluido en un plan o conjunto de aplicaciones de marca Office 365 o Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages y Microsoft Copilot Studio. Microsoft Power Platform Core Services no incluye ningún software cliente, incluidos, entre otros, Power BI Report Server, las aplicaciones móviles de Power BI, PowerApps o Microsoft Power Automate, así como Power BI Desktop o Power Apps Studio. |
| Servicios de Microsoft Defender para punto de conexión | La parte del servicio de nube de Microsoft Defender para punto de conexión. |
| Microsoft Defender for Identity | La parte del servicio de nube de Microsoft Defender for Identity. |
| Microsoft Defender XDR | La parte del servicio de nube de Microsoft Defender XDR. |
| Windows 365 | La parte del servicio en la nube de Windows 365, sin incluir el sistema operativo Windows que se ejecuta en PC en la nube con Windows 365. |
Prácticas y Políticas de Seguridad para los Servicios en Línea Principales.
Además de las prácticas y políticas de seguridad para los Servicios en Línea del DPA, cada Servicio en Línea Principal también cumple con los estándares y marcos de control que se muestran en la siguiente tabla e implementa y mantiene las medidas de seguridad establecidas en el Apéndice A del DPA para la protección de los Datos del Cliente.
| Servicios en Línea | SSAE 18 SOC 1 tipo II | SSAE 18 SOC 2 tipo II |
|---|---|---|
| Servicios de Office 365 | Sí | Sí |
| Servicios de Cumplimiento de Microsoft 365 | Sí | Sí |
| Microsoft Dynamics 365 Core Services | Sí | Sí |
| Microsoft Azure Core Services | Variable* | Variable* |
| Microsoft Defender for Cloud Apps | Sí | Sí |
| Servicios en Línea de Microsoft Intune | Sí | Sí |
| Microsoft Power Platform Core Services | Sí | Sí |
| Servicios de Microsoft Defender para punto de conexión | Sí | Sí |
| Microsoft Defender for Identity | Sí | Sí |
| Microsoft Defender XDR | Sí | Sí |
| Windows 365 | Sí | Sí |
*El alcance actual se detalla en el informe de auditoría y se resume en el Centro de Confianza de Microsoft.
Ubicación de Datos del Cliente en Reposo para los Servicios en Línea Principales
Para los Servicios Online Principales, Microsoft almacenará los Datos del Cliente en reposo dentro de determinadas áreas geográficas importantes (cada una, una Geoárea) como se indica a continuación excepto que se indique los contrario en los términos específicos del Servicio en Línea:
- Servicios de Office 365. Si el Cliente aprovisiona su inquilino en Australia, Brasil, Canadá, la Unión Europea, Francia, Alemania, India, Japón, Noruega, Catar, Sudáfrica, Corea del Sur, Suecia, Suiza, el Reino Unido, Emiratos Árabes Unidos o los Estados Unidos, Microsoft almacenará los siguientes Datos del Cliente en reposo únicamente dentro de esa Geoárea: (1) el contenido del buzón de Exchange Online (cuerpo del correo electrónico, entradas del calendario y contenido de los archivos adjuntos del correo electrónico), (2) el contenido del sitio de SharePoint Online y los archivos almacenados en dicho sitio, (3) los archivos cargados en OneDrive para la Empresa, (4) los mensajes de chat de Microsoft Teams (incluidos los mensajes privados, los mensajes de canal, los mensajes de reuniones y las imágenes utilizadas en los chats) y, para los clientes que utilicen Microsoft Stream (Classic) (en SharePoint), las grabaciones de reuniones, y (5) cualquier contenido almacenado de interacciones con Microsoft Copilot para Microsoft 365 en la medida en que no esté incluido en los compromisos anteriores. Si el Cliente compra una suscripción a Residencia de Datos Avanzada, Microsoft almacenará ciertos Datos del Cliente en reposo en la Geoárea correspondiente de acuerdo con esta sección y la sección "Compromisos avanzados de Data Residency" de la documentación del producto disponible en https://aka.ms/adroverview.
- Servicios en Línea de Microsoft Intune. Cuando el Cliente aprovisiona una cuenta de tenant de Microsoft Intune para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Intune.
- Microsoft Power Platform Core Services. Cuando el Cliente presta un Servicio Básico de Power Platform para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se describe en el Centro de Confianza de Microsoft Power Platform.
- Microsoft Azure Core Services. Si el Cliente configura un concreto servicio para su despliegue dentro de una Geoárea, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de la Geoárea especificada. Determinados servicios podrían impedir que el Cliente configure la implementación en una Geoárea específica del centro de datos y podrían almacenar copias de seguridad en otras ubicaciones. Consulte el Centro de Confianza de Microsoft (el que Microsoft puede actualizar cada cierto tiempo, pero al que Microsoft no agregará excepciones con respecto a los servicios existentes en el lanzamiento general) para obtener más detalles.
- Microsoft Defender for Cloud Apps. Si el Cliente aprovisiona su inquilino en la Unión Europea o los Estados Unidos, Microsoft almacenará los Datos del Cliente en reposo únicamente dentro de esa Geoárea, salvo según se describe en el Centro de Confianza de Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Cuando el Cliente presta un Dynamics 365 Core Service para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se describe en el Centro de Confianza de Microsoft Dynamics 365.
- Servicios de Microsoft Defender para punto de conexión. Cuando el Cliente aprovisiona una cuenta de inquilino de Microsoft Defender para punto de conexión para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender para punto de conexión.
- Microsoft Defender for Identity. Cuando el Cliente aprovisiona una cuenta de inquilino de Microsoft Defender for Identity para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender for Identity.
- Microsoft Defender XDR. Cuando el Cliente aprovisiona un inquilino de Microsoft Defender XDR para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender XDR.
- Windows 365. Cuando se implementa un inquilino de Windows 365 dentro de una Geoárea disponible, para ese inquilino, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea especificada. Si el Cliente aprovisiona PC en la nube Windows 365 dentro del mismo inquilino para distintas Geoáreas disponibles, para cada PC en la nube, Microsoft almacenará los Datos del Cliente de PC en la nube en reposo dentro de esa Geoárea especificada.
Servicios de EU Data Boundary
El término "EU Data Boundary" se refiere a los equipos, el entorno informático y los centros de datos físicos de Microsoft ubicados únicamente en la Unión Europea (UE) y la Asociación Europea de Libre Comercio (AELC). El término "Servicios de EU Data Boundary" solo se aplica a los Servicios en Línea que se encuentran en la tabla siguiente, y excluye cualquier Vista Previa.
| Servicios de EU Data Boundary | |
|---|---|
| Azure | Servicios de Azure que permiten la implementación en una región dentro del EU Data Boundary y los siguientes servicios no regionales: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Caja de seguridad del cliente, Exchange Online, Archivado de Exchange Online para Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Clásico) (en SharePoint), Microsoft Teams, Microsoft To-Do, Office para la web, Servicios online proporcionados como parte de Aplicaciones de Microsoft 365, OneDrive para la Empresa, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot for Microsoft 365, Cumplimiento de las comunicaciones, eDiscovery y Audit, Administración de riesgos internos, Barreras de la información, Prevención de pérdida de datos de Microsoft Purview, Microsoft Intune, Administración de Riesgo de Privacidad de Priva, Administración de Derechos del Interesado de Priva, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot para ventas y Microsoft Viva Topics. |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Ubicación de los Datos del Cliente para los servicios de EU Data Boundary
Para los Servicios de EU Data Boundary, Microsoft almacenará y procesará Datos del Cliente y Datos Personales dentro del EU Data Boundary, tal y como se detalla a continuación.
El Cliente debe configurar los servicios de EU Data Boundary de la siguiente manera:
- Para Azure, el Cliente debe implementar el servicio en una región de Azure ubicada dentro del EU Data Boundary. Consulte Residencia de Datos en Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) para obtener más información. Para los servicios que no permitan la implementación en una región de Azure específica, el Cliente debe seguir las instrucciones en Configuración de servicios no regionales de Azure para EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Para Dynamics 365 y Power Platform, si el Cliente proporciona a un inquilino una dirección de facturación en la UE o EFTA, ese inquilino estará dentro del ámbito del EU Data Boundary si el Cliente también crea todos sus entornos dentro de un área geográfica que esté dentro del EU Data Boundary.
- Para Microsoft 365, si el Cliente proporciona a un inquilino una dirección de facturación en la UE o EFTA, ese inquilino estará dentro del ámbito del EU Data Boundary, excepto en el caso de inquilinos donde el Cliente haya comprado también el complemento. Capacidades Multi-Geo de Microsoft 365 que permite a los clientes expandir la presencia de inquilinos de Microsoft 365 a múltiples regiones geográficas o países (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
El uso de los Servicios de EU Data Boundary puede dar lugar a transferencias limitadas de Datos del Cliente o Datos Personales fuera del EU Data Boundary, como se establece a continuación y se detalla en la documentación de transparencia para el EU Data Boundary que se encuentra en https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn o cualquier ubicación que la reemplace posteriormente. Dichas transferencias se realizarán de acuerdo con el Addendum de Protección de Datos y los Términos de Productos.
- Acceso Remoto. El personal de Microsoft ubicado fuera del EU Data Boundary puede acceder de forma remota a los sistemas de procesamiento de datos en el EU Data Boundary según sea necesario para operar, solucionar problemas y garantizar los Servicios de EU Data Boundary.
- Transferencias Iniciadas por el Cliente. Los clientes pueden iniciar transferencias fuera del EU Data Boundary, ya sea accediendo a los Servicios de EU Data Boundary desde ubicaciones fuera del EU Data Boundary, enviando un correo electrónico a un destinatario ubicado fuera del EU Data Boundary o usando los Servicios de EU Data Boundary en combinación con otros servicios que no estén en el EU Data Boundary.
- Protección de los Clientes. Microsoft transfiere datos limitados fuera del EU Data Boundary según sea necesario para detectar y proteger a los Clientes contra amenazas de seguridad.
- Datos de Directorio. Microsoft puede replicar datos de directorio limitados de Microsoft Entra desde Microsoft Entra ID (incluidos el nombre de usuario y la dirección de correo electrónico) fuera del EU Data Boundary para proporcionar el servicio.
- Tránsito de Red. Para reducir la latencia de enrutamiento y mantener la resiliencia del enrutamiento, Microsoft usa rutas de red variables que ocasionalmente pueden dar lugar al tránsito de datos fuera del EU Data Boundary.
- Administración y Calidad de Servicios y Plataformas. Cuando sea necesario para controlar y mantener la calidad del servicio o para garantizar la exactitud de las medidas estadísticas del uso o rendimiento del servicio, los Datos Personales seudonimizados pueden transferirse fuera de EU Data Boundary.
- Transferencias Específicas del Servicio. Consulte la documentación de transparencia que se ha mencionado anteriormente para obtener información sobre las transferencias aplicables a Servicios de EU Data Boundary específicos.