Términos de privacidad y seguridad

Aspectos Generales

Los Términos de Seguridad y Privacidad se encontraban anteriormente en el Anexo 1 a los Términos de los Servicios en Línea.

Las partes aceptan que el presente Addendum de Protección de Datos o DPA (definido en el Glosario) establece las obligaciones de las partes con respecto al procesamiento y la seguridad de los Datos del Cliente, Datos de Servicios Profesionales y los Datos Personales por parte de los Productos. El Addendum de Protección de Datos se puede descargar aquí https://aka.ms/DPA. En caso de que se produzca cualquier conflicto o incoherencia entre los el Términos del DPA y cualquiera de los términos del Contrato de licencias del Cliente (incluidos estos términos), prevalecerán los Términos del DPA.

Excepciones al DPA

Los Términos de Privacidad y Seguridad que aparecen en la tabla siguiente modifican o complementan el DPA para cada uno de los Servicios en Línea identificados.

Familia de Productos	Servicio en Línea	Términos de Privacidad y Seguridad
Microsoft Azure	Servicios de Azure AI	Servicios en contenedores Dado que el entorno de funcionamiento de los contenedores instalados en el hardware dedicado del Cliente no se encuentra bajo el control de Microsoft, los términos del DPA no se aplican a tales contenedores, excepto en la medida en que a) se recopilen Datos Personales en relación con el punto de conexión de facturación, o b) se proporcionen Datos del Cliente a Microsoft para el entrenamiento sobre el modelo personalizado antes de la descarga del Servicio que funciona en el contenedor.
	Servicios de Azure AI	Configuraciones y modelos personalizados inactivos de los Servicios Para fines de conservación y eliminación de datos, la configuración o el modelo personalizado de los Servicios que ha estado inactivo puede considerarse, a discreción de Microsoft, como un Servicio en Línea cuya suscripción del Cliente ha expirado. Una configuración o un modelo personalizado se considera inactivo si durante noventa (90) días (1) no recibe llamadas; (2) no se ha modificado y no tiene una clave actual asignada; y (3) el Cliente no ha iniciado sesión en dicha configuración o modelo.
	Multi-Cloud Scanning Connectors para Microsoft Purview	Para habilitar la interoperabilidad de las implementaciones del Cliente con otros proveedores de nube, Microsoft podría operar dentro de dichas otras nubes cierta funcionalidad opcional de análisis de datos discretos para los datos del Cliente hospedados en dichas nubes (en adelante, "Multi-Cloud Scanning Connectors para Microsoft Purview"). Microsoft revelará en su documentación cómo el Cliente puede habilitar y usar Multi-Cloud Scanning Connectors para Microsoft Purview. Para mayor claridad, Multi-Cloud Scanning Connectors para Microsoft Purview es un complemento independiente de Microsoft Purview. Multi-Cloud Scanning Connectors para Microsoft Purview no es un Servicio Básico de Microsoft Azure, por lo que las secciones siguientes del DPA no se aplican a Multi-Cloud Scanning Connectors para Microsoft Purview: "Instituciones Educativas", "Contrato del Cliente de CJIS", "Empresa de HIPAA" y "Apéndice A: Medidas de Seguridad". Con respecto únicamente a Multi-Cloud Scanning Connectors para Microsoft Purview, se aplican las siguientes modificaciones al DPA: Acceso a datos: Microsoft empleará mecanismos de acceso de privilegio mínimo para controlar el acceso a los Datos del Cliente (incluyendo los Datos Personales presentes en ellos). Microsoft emplea controles de acceso basados en roles se utilizan para garantizar que el acceso de Microsoft a los Datos del Cliente requerido para operaciones de servicio es para una finalidad adecuada y aprobado con supervisión de la directiva. Auditoría del Cumplimiento: los compromisos de Microsoft descritos en la sección de Auditoría de Cumplimiento del DPA no se extienden a equipos, entornos informáticos ni centros de datos físicos de terceros utilizados por Multi-Cloud Scanning Connectors para Microsoft Purview. Los términos de protección de datos estándar ofrecidos por esos otros proveedores de nube rigen el uso de Multi-Cloud Scanning Connectors para Microsoft Purview mientras el complemento esté hospedado en dichas otras nubes.
	Visual Studio App Center	La declaración de privacidad que se encuentra en https://aka.ms/actestprivacypolicy se aplica al uso que hace el Cliente de Visual Studio App Center Test. El Cliente no puede utilizar Visual Studio App Center Test para almacenar o realizar el tratamiento de Datos Personales.
	SQL Managed Instance habilitado por Azure Arc	Los términos del DPA no se aplican al procesamiento de datos en SQL Managed Instance habilitado por Azure Arc que se ejecuta en un entorno fuera del control de Microsoft, excepto en la medida en que los Datos Personales se recopilen para habilitar los servicios de administración de Azure y para medir el uso con fines de facturación.
	Microsoft Genomics	La Declaración de Privacidad de Microsoft ubicada en https://aka.ms/privacy se aplica al uso que el Cliente hace de Microsoft Genomics y no del DPA, a menos que esta sección de Microsoft Genomics prevalezca en caso de conflicto con la Declaración de Privacidad de Microsoft. Términos Generales de Licencia Microsoft Genomics incluye el acceso al Kit de Herramientas de Análisis Genético (GATK) de Broad Institute, Inc. ("Broad"). El uso de GATK y cualquier documentación relacionada como parte de Microsoft Genomics también está sujeto al Contrato de Licencia para el Usuario Final de GATK de Broad Institute ("EULA de Broad", que se encuentra aquí https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft puede recopilar y compartir con Broad cierta información técnica y estadística relacionada con el uso que el Cliente hace de GATK. El Cliente autoriza a Microsoft para informar a Broad del estado del Cliente como usuario de GATK en Microsoft Genomics.
	Azure SQL Edge	Los términos del DPA no se aplican a Azure SQL Edge instalado en el Dispositivo de IoT del Cliente, excepto en la medida en que los Datos Personales se recopilen para habilitar los servicios de administración de Azure y para medir el uso para fines de facturación, ya que el entorno operativo de dichos Dispositivos de IoT no está bajo el control de Microsoft.
	Azure Stack HCI	Microsoft será responsable del tratamiento de Datos Personales cuando los clientes activen la recopilación de datos de diagnóstico de Windows como se describe en la documentación del producto. Cuando Microsoft actúe como responsable del tratamiento, gestionará estos Datos Personales de acuerdo con la Declaración de Privacidad de Microsoft en aka.ms/privacy y no se aplicarán los términos del DPA.
	Azure Stack Hub	Microsoft será responsable del tratamiento de Datos Personales cuando los clientes activen la recopilación de datos de diagnóstico de Windows como se describe en la documentación del Producto. Cuando Microsoft actúe como responsable del tratamiento, gestionará estos Datos Personales de acuerdo con la Declaración de Privacidad de Microsoft en aka.ms/privacy y no se aplicarán los términos del DPA. Si un Cliente del Contrato de la Nube de Microsoft o del Contrato del Cliente de Microsoft utiliza software o servicios de Azure Stack Hub hospedados por un Revendedor, dicho uso estará sujeto a las prácticas de privacidad del Revendedor, las que pueden diferir de las de Microsoft.
	Azure VMware Solution	Transferencia de Datos de Servicios Profesionales a VMware Si el Cliente se pone en contacto con Microsoft para solicitar soporte técnico en relación con Azure VMware Solution (AVS) y Microsoft debe contratar a VMware para brindar asistencia con el problema, Microsoft transferirá a VMware los Datos de Servicios Profesionales y los Datos Personales incluidos en el caso de soporte técnico. La transferencia se realiza conforme a los términos del Contrato de Transferencia de Soporte Técnico celebrado entre VMware y Microsoft, que designa a Microsoft y VMware como responsables independientes de los Datos de Servicios Profesionales. Antes de que se realice una transferencia de Datos de Servicios Profesionales a VMware, Microsoft deberá obtener y registrar el consentimiento del cliente para dicha transferencia. Contrato de Procesamiento de Datos de VMware Una vez transferidos los Datos de Servicios Profesionales a VMware (de conformidad con la sección anterior), el procesamiento de los Datos de Servicios Profesionales, incluidos los Datos Personales que figuran en el caso de soporte técnico, por parte de VMware como responsable independiente se regirá por el Contrato de Procesamiento de Datos de VMware para los Clientes de Microsoft AVS Transferidos para Soporte Técnico de Nivel 3 (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). Asimismo, el Cliente autoriza a sus representantes que soliciten soporte técnico para Azure VMware Solution a otorgar el consentimiento en su nombre a Microsoft para que realice la transferencia de los Datos de Servicios Profesionales a VMware.
Bing	Bing	El Addendum de Protección de Datos no se aplica al uso de los Servicios de Bing Search o cualquier otro uso de Bing dentro de un Producto. Para todo componente de un Producto que funcione con Bing, como se indica en la documentación del producto, se aplica la Declaración de privacidad de Microsoft (https://privacy.microsoft.com/privacystatement).
GitHub	Ofertas de GitHub	Con independencia de lo estipulado en sentido contrario en el contrato de licencias por volumen del Cliente (incluidos estos Términos de Productos y el DPA), la Declaración de Privacidad de GitHub disponible en https://aka.ms/github_privacy y el Contrato de Protección de Datos de GitHub en https://aka.ms/github_dpa se aplicarán al uso que el Cliente haga de las Ofertas de GitHub, incluida la licencia independiente de GitHub Enterprise o como Visual Studio Enterprise o Professional con GitHub Enterprise.
Servicios de Office 365	Office 365 Educación	Si el Cliente está aprovisionado fuera de la UE o de la AELC y tiene una suscripción a Office 365 Educación pero no ha adquirido un complemento de Residencia de Datos Avanzada para Educación, no obstante lo dispuesto en la sección "Ubicación de los datos del cliente en reposo para los Servicios principales en línea" de los Términos del Producto, Microsoft puede aprovisionar el inquilino de Office 365 Educación del Cliente, transferir los Datos del Cliente y almacenar los Datos del Cliente en reposo en cualquier lugar de la Unión Europea o Norteamérica. Si el Cliente está aprovisionado en la UE o la AELC y tiene una suscripción a Office 365 Educación pero no ha adquirido un complemento de Residencia de Datos Avanzada para Educación, no obstante lo dispuesto en la sección "Ubicación de los datos del cliente en reposo para los Servicios principales en línea" de los Términos del Producto, Microsoft puede aprovisionar el inquilino de Office 365 Educación del Cliente, transferir los Datos del Cliente y almacenar los Datos del Cliente en reposo en cualquier lugar de la Unión Europea.
Microsoft Dynamics 365 Services	Dynamics 365 Business Central y Dynamics 365 Finance en Dinamarca	Leyes y reglamentos de contabilidad Estos términos se aplican únicamente a Clientes con una empresa en Dinamarca según lo exige la Ley de Contabilidad. El DPA regula cómo trata Microsoft los datos del cliente en Dynamics 365 Business Central y Dynamics 365 Finance, excepto la retención, eliminación y revelación de Materiales Contables. En caso de que se produzca cualquier conflicto o incoherencia entre los Términos del DPA y cualquiera de los términos del Contrato de licencias del Cliente, prevalecerán estos términos. Definiciones "Materiales Contables" hace referencia a todos los documentos que componen la contabilidad, incluidas las transacciones y recibos registrados y otros datos (incluidos Datos Personales) para una empresa que el Cliente proporciona o se proporciona en nombre del Cliente en un Sistema de Contabilidad Digital Estándar, según lo exige la Ley de Contabilidad. "Ley de Contabilidad" hace referencia a la Ley de Contabilidad de Dinamarca del 24 de mayo de 2022 y cualquier orden ejecutiva emitida que regule las obligaciones contables y de teneduría de libros de las empresas, así como de los proveedores de Sistemas de Contabilidad Digital Estándar, en Dinamarca. "Autoridad Danesa" hace referencia a cualquier (i) autoridad pública danesa que tenga el derecho legal necesario a inspeccionar una empresa y solicitar sus materiales contables en virtud de la Ley de Contabilidad u otras leyes pertinentes; o (ii) liquidador, administrador concursal o reorganizador que haya asumido la gestión de la empresa. "Sistema de Contabilidad Digital Estándar" hace referencia a un servicio digital o software que contiene funciones que permiten a las empresas registrar y almacenar Materiales Contables, o al menos una copia de seguridad completa de los mismos en un servidor alojado por el proveedor u otro tercero de acuerdo con las regulaciones y normas de la Ley de Contabilidad. Retención de Datos y Eliminación de Materiales Contables Al utilizar Dynamics 365 Business Central o Dynamics 365 Finance, el Cliente acepta que Microsoft o sus filiales, de acuerdo con su obligación legal, pueden copiar, almacenar y conservar los Materiales Contables del Cliente durante 5 años a partir del final del año financiero del año financiero de las transacciones y recibos ("Período de Retención") relacionados, incluso si el Cliente cambia su sistema de contabilidad, quiebra o se liquida, según lo exige la Ley de Contabilidad. Microsoft almacenará los Materiales Contables del Cliente en reposo en un almacenamiento administrado por Microsoft en la misma ubicación que el equipo informático principal que trata los Datos del Cliente para estos servicios o la Unión Europea. Durante el Período de Retención, el Cliente no puede acceder, extraer, corregir ni eliminar ninguno de sus Materiales Contables de este almacenamiento. Microsoft usará las mismas medidas de seguridad para proteger los Materiales de Contabilidad del Cliente que usa para proteger otros Datos del Cliente. Una vez finalizado el Período de Retención, Microsoft eliminará los Materiales Contables del Cliente. Microsoft no tiene ninguna responsabilidad por la eliminación de los Materiales Contables del Cliente. Revelación de Materiales Contables Microsoft revelará o proporcionará acceso a los Materiales de Contabilidad del Cliente a las Autoridades Danesas según sea necesario para atender una solicitud que obligue a dicha revelación según lo exige la Ley de Contabilidad. Otros datos que un Cliente almacena en estos Sistemas de Contabilidad Estándar Digital no están sujetos a revelación. Las Autoridades Danesas solo están autorizadas a solicitar Materiales Contables a los proveedores de Sistemas de Contabilidad Digital Estándar si no es posible obtener la información directamente de la empresa. Microsoft no tiene ninguna responsabilidad por la revelación de los Materiales Contables del Cliente a ninguna Autoridad Danesa.
Microsoft Dynamics 365 Services	Microsoft Relationship Sales	LinkedIn Sales Navigator LinkedIn Corporation proporciona LinkedIn Sales Navigator. El Cliente puede utilizar el Servicio LinkedIn Sales Navigator solo para generar oportunidades de ventas. Cada usuario de LinkedIn Sales Navigator debe ser miembro de LinkedIn y aceptar estar obligado por el Contrato de Usuario de LinkedIn disponible en https://www.linkedin.com/legal/preview/user-agreement. Aunque se establezca lo contrario en el contrato de licencias por volumen del Cliente (incluidos estos Términos de Productos), la Política de Privacidad de LinkedIn disponible enhttps://www.linkedin.com/legal/privacy-policy se aplicará al uso por parte del Cliente del servicio LinkedIn Sales Navigator. LinkedIn Corporation (como procesador de datos) y el Cliente (como controlador de datos) cumplirán con los términos del Contrato de Procesamiento de Datos de LinkedIn que se encuentra en https://legal.linkedin.com/dpa.
Microsoft 365	Servicios Heredados de Glint	El acceso y uso de los Servicios Heredados de Glint por parte del Cliente se rigen por los términos establecidos en los Formularios de Pedidos de LinkedIn activos más recientes del Cliente para los Servicios Heredados de Glint. No se aplicarán a los Servicios Heredados de Glint los términos de Microsoft, incluidos, entre otros, los Términos de Productos de Microsoft, DPA ni ningún otro contrato entre el Cliente y Microsoft.
Otros Servicios en Línea	Microsoft Intune	Si se usa la Aplicación Intune Company Portal para administrar dispositivos, los términos del OST que se aplican a los Servicios en Línea de Microsoft Intune (tal como se define en los Términos de Privacidad y Seguridad de los Servicios en Línea) se aplican al uso de la Aplicación Intune Company Portal. Los compromisos de Microsoft relativos a la Aplicación Intune Company Portal no se extienden al procesamiento de datos, políticas o prácticas de proveedores de terceros de plataformas móviles en las que opera la Aplicación Intune Company Portal (p. ej., Apple, Google).
Otros Servicios en Línea	Dispositivos y Aplicaciones Administrados	Microsoft Managed Desktop (MMD) integra datos (incluidos Datos del Cliente) entre otros Productos de Microsoft, incluidos Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender para punto de conexión, Office y otros Servicios en Línea configurados por el Cliente, si los hubiera (colectivamente para los fines de la presente disposición los "Servicios integrados MMD"). Una vez que los datos se transfieren entre los Servicios Integrados de MMD, dichos datos se rigen por los Términos de Productos correspondientes al servicio en el que residen.

Productos de Software excluidos del DPA

Salvo lo dispuesto en los Términos Específicos del Producto, los términos del DPA no se aplican a: Características basadas en Internet en Productos de Software, Sistema Operativo de Sobremesa Windows, Windows Server y estos Productos de Software como parte de otros Productos. Cada uno de estos Productos se rige por los términos de privacidad y seguridad estipulados en los Términos Específicos del Producto correspondientes.

Productos que no son de Microsoft

El uso que el Cliente realice de Productos que no son de Microsoft (concepto que se define en los Términos de Licencia Universales para los Servicios en Línea) se regirá por otros términos independientes, que incluyen términos de privacidad y seguridad diferentes.

Exclusiones geográficas de los términos de los DPA

Para los servicios en línea de Dynamics 365 y Power Platform, los términos específicos de los DPA como se indica en el Apéndice A que establece que "Microsoft almacena copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar distinto de donde esté ubicado el equipo informático principal que procesa los Datos del Cliente". no se aplican en las siguientes áreas geográficas: Emiratos Árabes Unidos y Sudáfrica.

Servicios en Línea Principales

El término "Servicios Online Principales" solo se aplica a los servicios que se encuentran en la tabla a continuación, y excluye cualquier Vista Previa.

Servicios en Línea
Microsoft Dynamics 365 Core Services	Los siguientes servicios, cada uno como un servicio independiente o incluidos en un plan o aplicación de Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations y Dynamics 365 Sales. Dynamics 365 Core Services no incluye (1) Dynamics 365 Services para dispositivos o software compatibles, entre los que se incluyen Dynamics 365 para aplicaciones, tabletas o teléfonos; (2) LinkedIn Sales Navigator; o (3) excepto según se defina expresamente en los términos de licencia para el servicio correspondiente, cualquier otro servicio de marca independiente que esté disponible con o en conexión con Dynamics 365 Core Services.
Servicios de Office 365	Los siguientes servicios, cada uno como un servicio independiente o incluido en un plan o conjunto de aplicaciones de marca Office 365 o Microsoft 365: Caja de Seguridad del Cliente, Archivado de Exchange Online, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Clásico), Microsoft Teams, Microsoft To-Do, Microsoft Defender para Office 365, Office para la web, OneDrive para la Empresa, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage y Microsoft 365 Copilot. Los Servicios de Office 365 no incluyen Aplicaciones de Microsoft 365 para empresas, ninguna parte de los servicios de RTC que operan fuera del control de Microsoft, ningún software cliente ni ningún otro servicio de marca independiente disponible con un plan o conjunto de aplicaciones de marca Office 365 o Microsoft 365, tales como Bing o un servicio catalogado "para Office 365".
Servicios de Cumplimiento de Microsoft 365	Los siguientes servicios, cada uno como un servicio independiente o incluidos en un conjunto de aplicaciones o plan de Microsoft 365: Caja de seguridad del cliente de Microsoft Purview, Prevención de pérdida de datos de Microsoft Purview, Clave de cliente de Microsoft Purview, Administración del ciclo de vida de Microsoft Purview, Barreras de información de Microsoft Purview, Administración de acceso con privilegios de Microsoft Purview, Administrador de cumplimiento de Microsoft Purview, Microsoft Purview Information Protection, Microsoft Information Governance, Administración de riesgo interno de Microsoft Purview, Cumplimiento de comunicaciones de Microsoft Purview, Administración de registros de Microsoft Purview, Microsoft Purview eDiscovery, Auditoría de Microsoft Purview, Gestión de riesgos de privacidad Microsoft Priva y Solicitudes de datos personales Microsoft Priva.
Microsoft Azure Core Services	Azure AI, Seguridad del contenido de Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Clásico), Microsoft Purview Data Catalog (Clásico), Microsoft Purview Data Estate Insights (Clásico), Microsoft Purview Data Policies (Clásico), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network y VPN Gateway.
Servicios en Línea de Microsoft Intune	La parte del servicio de nube de Microsoft Intune.
Microsoft Power Platform Core Services	Los siguientes servicios, cada uno como un servicio independiente o incluido en un plan o conjunto de aplicaciones de marca Office 365 o Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages y Microsoft Copilot Studio. Microsoft Power Platform Core Services no incluye ningún software cliente, incluidos, entre otros, Power BI Report Server, las aplicaciones móviles de Power BI, PowerApps o Microsoft Power Automate, así como Power BI Desktop o Power Apps Studio.
Microsoft Copilot	Microsoft Copilot, utilizado con una cuenta profesional o educativa.
Expertos de Microsoft Defender	La parte del servicio de nube de Expertos de Microsoft Defender.
Microsoft Defender for Cloud Apps	La parte del servicio en la nube de Microsoft Defender for Cloud Apps (anteriormente Microsoft Cloud App Security).
Servicios de Microsoft Defender para punto de conexión	La parte del servicio de nube de Microsoft Defender para punto de conexión.
Microsoft Defender for Identity	La parte del servicio de nube de Microsoft Defender for Identity.
Microsoft Defender XDR	La parte del servicio de nube de Microsoft Defender XDR.
Microsoft Sentinel	La parte del servicio de nube de Microsoft Sentinel.
Windows 365	La parte del servicio en la nube de Windows 365, sin incluir el sistema operativo Windows que se ejecuta en PC en la nube con Windows 365.

Prácticas y Políticas de Seguridad para los Servicios en Línea Principales.

Además de las prácticas y políticas de seguridad para los Servicios en Línea del DPA, cada Servicio en Línea Principal también cumple con los estándares y marcos de control que se muestran en la siguiente tabla e implementa y mantiene las medidas de seguridad establecidas en el Apéndice A del DPA para la protección de los Datos del Cliente.

Servicios en Línea	SSAE 18 SOC 1 tipo II	SSAE 18 SOC 2 tipo II
Servicios de Office 365	Sí	Sí
Servicios de Cumplimiento de Microsoft 365	Sí	Sí
Microsoft Dynamics 365 Core Services	Sí	Sí
Microsoft Azure Core Services	Variable*	Variable*
Servicios en Línea de Microsoft Intune	Sí	Sí
Microsoft Power Platform Core Services	Sí	Sí
Microsoft Copilot	Sí	Sí
Expertos de Microsoft Defender	Variable*	Variable*
Microsoft Defender for Cloud Apps	Sí	Sí
Servicios de Microsoft Defender para punto de conexión	Sí	Sí
Microsoft Defender for Identity	Sí	Sí
Microsoft Defender XDR	Sí	Sí
Microsoft Sentinel	Sí	Sí
Windows 365	Sí	Sí

*El alcance actual se detalla en el informe de auditoría y se resume en el Centro de Confianza de Microsoft.

Ubicación de Datos del Cliente en Reposo para los Servicios en Línea Principales

Para los Servicios Online Principales, Microsoft almacenará los Datos del Cliente en reposo dentro de determinadas áreas geográficas importantes (cada una, una Geoárea) como se indica a continuación excepto que se indique los contrario en los términos específicos del Servicio en Línea:

Servicios de Office 365. Si el Cliente aprovisiona su inquilino en Australia, Brasil, Canadá, la Unión Europea, Francia, Alemania, India, Japón, Noruega, Catar, Sudáfrica, Corea del Sur, Suecia, Suiza, el Reino Unido, Emiratos Árabes Unidos o los Estados Unidos, Microsoft almacenará los siguientes Datos del Cliente en reposo únicamente dentro de esa Geoárea: (1) el contenido del buzón de Exchange Online (cuerpo del correo electrónico, entradas del calendario y contenido de los archivos adjuntos del correo electrónico), (2) el contenido del sitio de SharePoint Online y los archivos almacenados en dicho sitio, (3) los archivos cargados en OneDrive para la Empresa, (4) los mensajes de chat de Microsoft Teams (incluidos los mensajes privados, los mensajes de canal, los mensajes de reuniones y las imágenes utilizadas en los chats) y, para los clientes que utilicen Microsoft Stream (Classic) (en SharePoint), las grabaciones de reuniones, y (5) cualquier contenido almacenado de interacciones con Microsoft 365 Copilot en la medida en que no esté incluido en los compromisos anteriores. Si el Cliente compra una suscripción a Residencia de Datos Avanzada, Microsoft almacenará ciertos Datos del Cliente en reposo en la Geoárea correspondiente de acuerdo con esta sección y la sección "Compromisos avanzados de Data Residency" de la documentación del producto disponible en https://aka.ms/adroverview.
Servicios en Línea de Microsoft Intune. Cuando el Cliente aprovisiona una cuenta de tenant de Microsoft Intune para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Intune.
Microsoft Power Platform Core Services. Cuando el Cliente presta un Servicio Básico de Power Platform para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se describe en el Centro de Confianza de Microsoft Power Platform.
Microsoft Azure Core Services. Si el Cliente configura un concreto servicio para su despliegue dentro de una Geoárea, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de la Geoárea especificada. Determinados servicios podrían impedir que el Cliente configure la implementación en una Geoárea específica del centro de datos y podrían almacenar copias de seguridad en otras ubicaciones. Consulte el Centro de Confianza de Microsoft (el que Microsoft puede actualizar cada cierto tiempo, pero al que Microsoft no agregará excepciones con respecto a los servicios existentes en el lanzamiento general) para obtener más detalles.
Microsoft Defender for Cloud Apps. Si el Cliente aprovisiona su inquilino en la Unión Europea o los Estados Unidos, Microsoft almacenará los Datos del Cliente en reposo únicamente dentro de esa Geoárea, salvo según se describe en el Centro de Confianza de Microsoft Defender for Cloud Apps.
Microsoft Dynamics 365 Core Services. Cuando el Cliente presta un Dynamics 365 Core Service para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se describe en el Centro de Confianza de Microsoft Dynamics 365.
Servicios de Microsoft Defender para punto de conexión. Cuando el Cliente aprovisiona una cuenta de inquilino de Microsoft Defender para punto de conexión para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender para punto de conexión.
Microsoft Defender for Identity. Cuando el Cliente aprovisiona una cuenta de inquilino de Microsoft Defender for Identity para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender for Identity.
Microsoft Defender XDR. Cuando el Cliente aprovisiona un inquilino de Microsoft Defender XDR para que se implemente en una Geoárea disponible, entonces, para ese servicio, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea específica, salvo según se especifique en el Centro de Confianza de Microsoft Defender XDR.
Windows 365. Cuando se implementa un inquilino de Windows 365 dentro de una Geoárea disponible, para ese inquilino, Microsoft almacenará los Datos del Cliente en reposo dentro de esa Geoárea especificada. Si el Cliente aprovisiona PC en la nube Windows 365 dentro del mismo inquilino para distintas Geoáreas disponibles, para cada PC en la nube, Microsoft almacenará los Datos del Cliente de PC en la nube en reposo dentro de esa Geoárea especificada.

Servicios de EU Data Boundary

El término "EU Data Boundary" se refiere a los equipos, el entorno informático y los centros de datos físicos de Microsoft ubicados únicamente en la Unión Europea (UE) y la Asociación Europea de Libre Comercio (AELC). El término "Servicios de EU Data Boundary" solo se aplica a los Servicios en Línea que se encuentran en la tabla siguiente, y excluye cualquier Vista Previa.

Servicios de EU Data Boundary
Azure	Servicios de Azure que permiten la implementación en una región dentro del EU Data Boundary y los siguientes servicios no regionales: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Caja de seguridad del cliente, Exchange Online, Archivado de Exchange Online para Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Clásico) (en SharePoint), Microsoft Teams, Microsoft To-Do, Office para la web, Servicios online proporcionados como parte de Aplicaciones de Microsoft 365, OneDrive para la Empresa, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Cumplimiento de las comunicaciones, eDiscovery y auditoría, Administración de Riesgos Interno, Barreras de la información, Prevención de pérdida de datos de Microsoft Purview, Microsoft Intune, Administración de Riesgo de Privacidad de Priva, Administración de Derechos del Interesado de Priva, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot para ventas y Microsoft Viva Topics
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Ubicación de los Datos del Cliente para los servicios de EU Data Boundary

Para los Servicios de EU Data Boundary, Microsoft almacenará y procesará Datos del Cliente y Datos Personales dentro del EU Data Boundary, tal y como se detalla a continuación.

El Cliente debe configurar los servicios de EU Data Boundary de la siguiente manera:

Para Azure, el Cliente debe implementar el servicio en una región de Azure ubicada dentro del EU Data Boundary. Consulte Residencia de Datos en Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) para obtener más información. Para los servicios que no permitan la implementación en una región de Azure específica, el Cliente debe seguir las instrucciones en Configuración de servicios no regionales de Azure para EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
Para Dynamics 365 y Power Platform, si el Cliente proporciona a un inquilino una dirección de facturación en la UE o EFTA, ese inquilino estará dentro del ámbito del EU Data Boundary si el Cliente también crea todos sus entornos dentro de un área geográfica que esté dentro del EU Data Boundary.
Para Microsoft 365, si el Cliente proporciona a un inquilino una dirección de facturación en la UE o EFTA, ese inquilino estará dentro del ámbito del EU Data Boundary, excepto en el caso de inquilinos donde el Cliente haya comprado también el complemento. Capacidades Multi-Geo de Microsoft 365 que permite a los clientes expandir la presencia de inquilinos de Microsoft 365 a múltiples regiones geográficas o países (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

El uso de los Servicios de EU Data Boundary puede dar lugar a transferencias limitadas de Datos del Cliente o Datos Personales fuera del EU Data Boundary, como se establece a continuación y se detalla en la documentación de transparencia para el EU Data Boundary que se encuentra en https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn o cualquier ubicación que la reemplace posteriormente. Dichas transferencias se realizarán de acuerdo con el Addendum de Protección de Datos y los Términos de Productos.

Acceso Remoto. El personal de Microsoft ubicado fuera del EU Data Boundary puede acceder de forma remota a los sistemas de procesamiento de datos en el EU Data Boundary según sea necesario para operar, solucionar problemas y garantizar los Servicios de EU Data Boundary.
Transferencias Iniciadas por el Cliente. Los clientes pueden iniciar transferencias fuera del EU Data Boundary, ya sea accediendo a los Servicios de EU Data Boundary desde ubicaciones fuera del EU Data Boundary, enviando un correo electrónico a un destinatario ubicado fuera del EU Data Boundary o usando los Servicios de EU Data Boundary en combinación con otros servicios que no estén en el EU Data Boundary.
Protección de los Clientes. Microsoft transfiere datos limitados fuera del EU Data Boundary según sea necesario para detectar y proteger a los Clientes contra amenazas de seguridad.
Datos de Directorio. Microsoft puede replicar datos de directorio limitados de Microsoft Entra desde Microsoft Entra ID (incluidos el nombre de usuario y la dirección de correo electrónico) fuera del EU Data Boundary para proporcionar el servicio.
Tránsito de Red. Para reducir la latencia de enrutamiento y mantener la resiliencia del enrutamiento, Microsoft usa rutas de red variables que ocasionalmente pueden dar lugar al tránsito de datos fuera del EU Data Boundary.
Administración y Calidad de Servicios y Plataformas. Cuando sea necesario para controlar y mantener la calidad del servicio o para garantizar la exactitud de las medidas estadísticas del uso o rendimiento del servicio, los Datos Personales seudonimizados pueden transferirse fuera de EU Data Boundary.
Transferencias Específicas del Servicio. Consulte la documentación de transparencia que se ha mencionado anteriormente para obtener información sobre las transferencias aplicables a Servicios de EU Data Boundary específicos.