Prepárate para una nueva era en la reglamentación de la privacidad con Microsoft Cloud
Microsoft tiene vastos conocimientos de la protección de datos, el dominio de la privacidad y el cumplimiento de complejas reglamentaciones. Microsoft adhiere a un conjunto de reglamentaciones de privacidad y ofrece modelos de cláusulas de la UE a todos sus clientes. Creemos que el Reglamento General de Protección de Datos (RGPD) es un importante paso adelante para aclarar y habilitar los derechos de privacidad individuales.
A medida que se acerca la implementación del RGPD, tu organización necesita demostrar que tomó las medidas apropiadas para proteger los datos personales de tus clientes mediante la respuesta a auditorías de reglamentación y solicitudes de información.
Implementar los controles de seguridad apropiados es un paso clave para demostrar responsabilidad. Igual de importante es establecer los procesos correctos, como responder la Solicitud de derechos del interesado (DSR) y proporcionar una notificación de incumplimiento, que te ayudarán a cumplir con el RGPD y a ganarte la confianza de tus clientes.
Hoy, anunciamos varios recursos y funcionalidades nuevos para ayudarte a responder a las obligaciones del RGPD con Microsoft Cloud. Estas actualizaciones incluyen:
- Revisión pública de nuevos recursos de privacidad en Microsoft Cloud.
- Nuevas funcionalidades para ayudar con las DSR en todos los servicios en la nube de Microsoft para el RGPD.
- Nuevas funcionalidades de administración con acceso privilegiado y preparadas para auditorías en Office 365.
- Permiso para que un solo espacio empresarial de Office 365 abarque múltiples geografías de centros de datos de Office 365.
Sigue leyendo para obtener más detalles y actualizaciones.
Mejora tu capacidad de cumplimiento con las obligaciones del RGPD con el Portal de confianza de servicios
Para cumplir con el RGPD, hoy anunciamos la revisión pública de las nuevas herramientas y recursos relacionados con el RGPD, incluidas las DSR y las notificaciones de vulneración de datos para Office 365, Dynamics 365, Azure, Windows, Intune y Professional Services en el Portal de confianza de servicios.
Los recursos del RGPD incluyen documentación sobre notificaciones de vulneración de datos, que describe cuándo y cómo Microsoft notificará a todos acerca de las vulneraciones de datos personales, qué información proporcionará Microsoft y las herramientas que puedes usar para garantizar que se notifique a las personas correctas de tu organización.
Centralizamos todos nuestros recursos de DSR en una sola página, que brinda herramientas que puedes usar en el Centro de seguridad y cumplimiento de Office 365 y en el Centro de administración de Azure, junto con documentos que te guiarán a través del proceso de localización, exportación y eliminación de datos del servicio de Microsoft Cloud.
Visita los recursos de privacidad del Portal de confianza de servicios para obtener más información.
Cómo responder a las DSR en los servicios en la nube de Microsoft
Para admitir DSR en los servicios en la nube de Microsoft, estamos implementando nuevas funcionalidades, incluida la pestaña de privacidad de datos en Office 365, un portal de DSR en Azure y nuevas funcionalidades de búsqueda de DSR en Dynamics 365.
- Pestaña de privacidad de datos de Office 365:Para que puedas administrar de forma efectiva y eficiente tus DSR relacionadas con Office 365, agregamos la pestaña Privacidad de datos (en vista previa) al Centro de Seguridad y Cumplimiento de Office 365. En la pestaña Privacidad de datos, encontrarás una sección dedicada al RGPD, que incluye documentación y recursos para ayudarte con lo que implica el RGPD, además de una pestaña dedicada al cumplimiento de una DSR.
La nueva experiencia de DSR está diseñada con el fin de brindarte las herramientas que necesitas para crear un caso de la solicitud del interesado, buscar y filtrar por los datos relevantes en distintas ubicaciones de Office 365, como Exchange, SharePoint, OneDrive, Grupos y ahora Microsoft Teams, y exportar los datos.
Un escenario de DSR que una organización podría encontrar es cuando un empleado que se va solicita que le entreguen todos sus datos. Para ayudar en esta situación y otras similares, la característica de retención basada en eventos de Gobierno de datos avanzado ahora está disponible para clientes de Office 365 E5.
Obtén más información sobre la pestaña Privacidad de datos en Office 365 y sobre la retención basada en eventos en Gobierno de datos avanzado en el blog de Tech Community.
Para ver cómo funciona la experiencia de DSR en Office 365, mira el video de Mechanics:
- Portal de DSR de Azure:Planeamos lanzar la capacidad de procesar DSR de Azure antes de la fecha límite para el cumplimiento del RGPD del 25 de mayo de 2018. Los administradores de inquilinos de Azure tendrán una herramienta simple y poderosa para procesar rápidamente las DSR para el RGPD. Con el portal de DSR de Azure, los administradores de inquilinos pueden identificar información asociada con un usuario y, luego, corregir, enmendar, eliminar o exportar los datos del usuario. Los administradores también pueden identificar información asociada con los derechos del interesado y podrán ejecutar DSR y compararlos con registros generados por el sistema (datos que Microsoft genera para brindar un determinado servicio).
Portal de DSR de Azure para ayudar a procesar una DSR.
Para obtener más información, visita el blog de Azure.
- Funcionalidades de búsqueda de DSR de Dynamics 365:Para ayudar a los clientes a responder a una DSR en Dynamics 365, proporcionamos dos nuevas funcionalidades de búsqueda: Búsqueda por relevancia e informe de búsqueda de persona. La búsqueda por relevancia te ofrece una forma rápida y simple de encontrar lo que buscas y tiene tecnología de Azure Search. El informe de búsqueda de persona ofrece un conjunto armado de entidades ampliables, creado por Microsoft, para identificar datos personales que se usan para definir a una persona y las funciones que se le pueden asignar.
Cómo manejar las vulneraciones de datos con las reglamentaciones nuevas del RGPD
Para el RGPD, las organizaciones deben cumplir con estrictos requisitos en caso de vulneración de datos. Esto incluye notificar tanto a los reguladores como a las personas afectadas por la vulneración, generalmente dentro de las 72 horas posteriores al descubrimiento de la vulneración de datos. Microsoft 365 tiene un sólido conjunto de funcionalidades que pueden ayudar a proteger, detectar y responder a las vulneraciones de datos. Por ejemplo, la Protección contra amenazas avanzada de Office 365 (ATP) protege el ecosistema de Office 365 de la organización al ayudar a evitar que correos malintencionados o archivos críticos para la empresa pongan en peligro una cuenta de usuario. ATP de Windows Defender se centra en brindar protección para evitar que archivos malintencionados basados en la web o malware de dispositivos corrompan una cuenta de usuario.
Adjuntos seguros de ATP que bloquean adjuntos de correo malintencionados.
En caso de que Microsoft identifique una vulneración de datos personales según se define en el RGPD, se lo notificaremos a tu administrador de inquilinos. Además, te recomendamos designar un alias de contacto de privacidad en Azure Active Directory, al que se enviará una notificación además de los administradores.
Recolectar, procesar y revisar el consentimiento del usuario con Azure Active Directory
Con el RGPD, las empresas ahora necesitan encontrar una forma de procesar el consentimiento de un usuario y tener informes listos para la auditoría. Con los términos de uso de Azure Active Directory, ahora las organizaciones tienen una forma sencilla de recoger, procesar y revisar el consentimiento del usuario. Puedes exigirle al usuario que mire y acepte los términos de uso de tu organización antes de poder acceder a una aplicación. Los términos pueden ser cualquier documento relevante para las directivas legales o comerciales de tu organización.
Ejemplo de términos de uso de Azure Active Directory con múltiples idiomas.
Para obtener más información, revisa nuestra documentación de términos de uso de Azure Active Directory.
Aprovecha los controles listos para la auditoría para el acceso privilegiado para administradores
Si bien las organizaciones buscan minimizar el riesgo de vulneración de datos por amenazas a cuentas privilegiadas, también descubren que necesitan responder a los reguladores y proporcionar un seguimiento documentado de acceso privilegiado, que describa cómo se accede a los datos del cliente. Para ayudar a las organizaciones a proteger sus datos y responder a estas obligaciones de cumplimiento, hoy presentamos nuevas funcionalidades de administración de acceso privilegiado en Microsoft 365, que ofrecen controles de acceso listos para auditoría, de tiempo limitado y que pueden limitar el alcance del acceso a los datos.
Con la administración de acceso privilegiado en Office 365, puedes proteger mejor tus datos mediante el seguimiento o cumplimiento de un flujo de trabajo de aprobación que abarca tus tareas de alto riesgo dentro de Office 365. Por ejemplo, los privilegios de administración amplios permiten a los administradores ejecutar tareas que pueden ofrecer acceso irrestricto a los datos de la organización, como una regla de diario, que puede enviar correos a un buzón externo y exfiltrar datos confidenciales no detectados. La administración de acceso privilegiado en Office 365 te permite aplicar directivas que exigen aprobación antes de que alguien pueda ejecutar estas tareas de alto riesgo. Las solicitudes de acceso pueden aprobarse de forma manual o automática, y toda esta actividad se registra y se puede auditar. Mira este video para obtener más información:
Nos complace implementar la versión preliminar pública de la administración de acceso privilegiado en Office 365. Para empezar, visita la página Versiones preliminares de Office (escribe el código PAM044) y, después, lee el blog detallado de Tech Community.
Cómo abordar los requisitos de residencia de datos globales
Cada vez es más frecuente que los gobiernos, reguladores externos y requisitos de cumplimiento corporativo promulguen pautas de residencia de datos para abordar problemas de privacidad. Estas pautas restringen el libre flujo de información transfronterizo y exigen que los datos de una organización se almacenen dentro de geografías definidas. Si bien el RGPD no exige una residencia de datos, muchos clientes nos dicen que necesitan flexibilidad para almacenar sus datos en geografías elegidas para cumplir con requisitos de residencia de datos regionales, específicos de la industria o de la organización.
Multi-Geo Capabilities permite a un solo espacio empresarial de Office 365 abarcar múltiples geografías de centro de datos de Office 365 y ofrecen a los clientes la posibilidad de almacenar sus datos de Office 365 en reposo, por empleado, en las geografías de su elección. Multi-Geo se presentó para Exchange Online y OneDrive para la Empresa. Para obtener más información, lee “Obtener controles de ubicación de datos globales con Multi-Geo Capabilities en Office 365”.
Empieza hoy tu camino hacia el RGPD con Microsoft Cloud
No importa en qué fase del trabajo con el RGPD te encuentres, estamos aquí para ayudarte con el cumplimiento y tenemos varios recursos disponibles para ayudarte a empezar hoy mismo:
- Descarga nuestras notas del producto y los e-books gratuitos.
- Toma nuestra evaluación en línea gratuita de RGPD.
Obtén más información sobre cómo Microsoft te puede ayudar a preparar para el RGPD.
—Alym Rayani, director de Microsoft 365