Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En Microsoft nos tomamos muy en serio nuestras obligaciones relativas al Reglamento general de protección de datos (RGPD). Microsoft toma amplias medidas de seguridad dentro de su servicios en línea para protegerse contra las infracciones de datos. Estas medidas incluyen controles de seguridad físicos y lógicos, así como procesos de seguridad automatizados, directivas completas de privacidad y seguridad de la información, y formación en seguridad y privacidad para todo el personal.
La seguridad está integrada en Microsoft Azure, Microsoft Dynamics 365 y Power Platform desde el principio, empezando por el ciclo de vida de desarrollo de seguridad, un proceso de desarrollo obligatorio que incorpora metodologías de privacidad por diseño y privacidad predeterminadas. El principio rector de la estrategia de seguridad de Microsoft es "asumir la vulneración", que es una extensión de la estrategia de defensa en profundidad. Al desafiar constantemente las funcionalidades de seguridad de Microsoft Azure, Dynamics 365 y Power Platform, Microsoft se mantiene por delante de las amenazas emergentes. Para obtener más información sobre Azure seguridad, revise estos recursos.
Microsoft tiene un servicio de respuesta a incidentes 24/7 global dedicado que funciona para mitigar los efectos de los ataques contra Microsoft Azure, Dynamics 365 y Power Platform. Atestiguado por varias auditorías de seguridad y cumplimiento (por ejemplo, ISO/IEC 27018), Microsoft emplea operaciones y procesos rigurosos en sus centros de datos para evitar el acceso no autorizado, incluida la supervisión de vídeo 24/7, el personal de seguridad entrenado, las tarjetas inteligentes y los controles biométricos.
Para ver las definiciones de terminología del RGPD, consulte Reglamento general de protección de datos. Para obtener información general sobre la notificación de infracción en virtud del RGPD, consulte Notificación de infracción del RGPD.
Detección de posibles vulneraciones
Debido a la naturaleza de la informática en la nube moderna, no todas las infracciones de datos que se producen en un entorno de nube del cliente implican los servicios Microsoft Azure, Dynamics 365 o Power Platform. Microsoft usa un modelo de responsabilidad compartida para los servicios de Microsoft Azure, Dynamics 365 y Power Platform para definir las responsabilidades operativas y de seguridad. La responsabilidad compartida es importante en la seguridad de un servicio en la nube, ya que tanto el proveedor de servicios en la nube como el cliente son responsables de distintos aspectos de la seguridad en la nube.
Microsoft no supervisa ni responde a incidentes de seguridad dentro del ámbito de responsabilidad del cliente. Un riesgo de seguridad solo para el cliente no es un incidente de seguridad de Microsoft y requiere que el inquilino del cliente administre el esfuerzo de respuesta. Dados los contratos de servicio adecuados, la respuesta a incidentes del cliente podría implicar la colaboración con el soporte técnico al cliente de Microsoft Azure, Dynamics 365 soporte al cliente y soporte al cliente de Power Platform. Microsoft también ofrece varios servicios, como Microsoft Defender para la nube, que los clientes pueden usar para desarrollar y administrar la respuesta a incidentes de seguridad.
Microsoft responde a una posible vulneración de datos según el proceso de respuesta a incidentes de seguridad, que es un subconjunto del plan de administración de incidentes de Microsoft. La respuesta a incidentes de seguridad Azure de Microsoft se implementa mediante un proceso de cinco fases: Detectar, evaluar, diagnosticar, estabilizar y cerrar. El equipo de respuesta a incidentes de seguridad podría alternar entre las fases de diagnóstico y estabilización a medida que avanza la investigación. En la tabla siguiente se describe información general sobre el proceso de respuesta a incidentes de seguridad:
| Etapa | Descripción |
|---|---|
| 1: Detección | Primera indicación de un posible incidente. |
| 2: Evaluación | Un miembro del equipo de respuesta a incidentes de llamada evalúa el impacto y la gravedad del evento. En función de las pruebas, la evaluación podría dar lugar a una mayor escalación al equipo de respuesta de seguridad. |
| 3: Diagnóstico | Los expertos en respuesta a la seguridad realizan la investigación técnica o forense, identifican la contención, mitigación y trabajan en torno a estrategias. Si el equipo de seguridad cree que los datos del cliente pueden exponerse a una persona ilegal o no autorizada, la ejecución del proceso de notificación de incidentes del cliente comienza en paralelo. |
| 4: Estabilización y recuperación | El equipo de respuesta a incidentes crea un plan de recuperación para mitigar el problema. Los pasos de contención de crisis, como la cuarentena de los sistemas afectados, pueden producirse inmediatamente y en paralelo con el diagnóstico. Es posible que se planeen mitigaciones a largo plazo que se produzcan después de que pase el riesgo inmediato. |
| 5: Cierre y análisis posterior | El equipo de respuesta ante incidentes crea un análisis posterior que expone los detalles del incidente, con la intención de revisar directivas, procedimientos y procesos para evitar que el evento vuelva a producirse. |
Los procesos de detección que Microsoft Azure, Dynamics 365 y Power Platform usan están diseñados para detectar eventos que arriesgan la confidencialidad, integridad y disponibilidad de los servicios Azure, Dynamics 365 y Power Platform. Varios eventos pueden desencadenar una investigación:
- Alertas automatizadas del sistema mediante marcos internos de monitoreo y alerta. Estas alertas se incluyen en forma de alarmas basadas en firmas, como antimalware, detección de intrusiones o a través de algoritmos diseñados para generar perfiles de actividad y alertas esperadas sobre anomalías.
- Informes internos de los servicios Microsoft ejecutándose en Microsoft Azure y Azure Government.
- Las vulnerabilidades de seguridad notificadas al Centro de respuesta de seguridad de Microsoft (MSRC) a través de Notificar un problema. El Centro de respuestas de seguridad de Microsoft trabaja con asociados e investigadores de seguridad de todo el mundo para impedir que se produzcan incidentes de seguridad y mejorar la seguridad de los productos de Microsoft.
- Informes de clientes a través de portales, incluido el Portal de soporte al cliente de Microsoft Azure, Dynamics 365 soporte al cliente, soporte técnico al cliente de Power Platform, Microsoft Azure Portal y Azure Government Portal de administración, que describen la actividad sospechosa que se atribuye a la Azure infraestructura (en lugar de la actividad que se produce dentro del ámbito de responsabilidad del cliente).
- Actividad de los equipos de seguridad rojo y azul. Esta estrategia usa un equipo rojo altamente cualificado de expertos en seguridad ofensivos de Microsoft para descubrir y atacar posibles debilidades en Microsoft Azure. El equipo Azul de respuesta de seguridad debe detectar la actividad del equipo rojo y defenderse contra ella. Las acciones de los equipos Rojo y Azul se usan para comprobar que los esfuerzos de respuesta de seguridad de Azure son efectivos a la hora de administrar incidentes de seguridad. Las actividades del equipo rojo de seguridad y del equipo azul se realizan bajo reglas de compromiso para ayudar a garantizar la protección de los datos de los clientes y los datos personales.
- Escalaciones por operadores de Microsoft Azure, Dynamics 365 y Power Platform Services. Los empleados de Microsoft están preparados para identificar y escalar los posibles problemas de seguridad.
Respuesta de vulneración de datos de Microsoft Azure, Dynamics 365 y Power Platform
Microsoft asigna los niveles de prioridad y gravedad adecuados investigando el impacto funcional, la capacidad de recuperación y el impacto de la información del incidente. Tanto la prioridad como la gravedad pueden cambiar en el transcurso de la investigación, en función de los nuevos hallazgos y conclusiones. El equipo de respuesta a incidentes de seguridad trata los eventos de seguridad que implican riesgos inminentes o confirmados para los datos del cliente como de gravedad alta y trabaja todo el día para resolverlos.
El equipo de respuesta a incidentes de seguridad trabaja con los ingenieros de servicio de Microsoft y expertos en la materia aplicables para clasificar el evento en función de los datos fácticos de las pruebas. Un evento de seguridad se puede clasificar como:
- Falso positivo: evento que cumple los criterios de detección, pero forma parte de una práctica empresarial normal y es posible que tenga que filtrarse. Los equipos de servicio identifican la causa principal de los falsos positivos y los abordan de forma sistemática para ajustarlos según sea necesario.
- Evento de seguridad: una aparición observable en un sistema, servicio o red por intento de ataque, elusión de controles de seguridad o un problema identificado en el que los hechos indican que los datos del cliente o los datos personales pueden perderse, destruirse, modificarse, revelarse o acceder a ellos sin autorización.
- Incidente de seguridad o Incidente de seguridad/privacidad notificado por el cliente (CRSPI): infracción de seguridad confirmada (por ejemplo, declarada) que conduce a la destrucción (accidental o ilegal), pérdida, modificación, divulgación no autorizada o acceso a los datos de los clientes o datos personales mientras Microsoft los procesa.
- Evento de privacidad: evento de seguridad que afecta a los datos del cliente o a los datos personales o al procesamiento de datos que produce consecuencias no deseadas para la privacidad, incluido el incumplimiento de las directivas, estándares y controles de privacidad de Microsoft.
- Incidente de privacidad/Incidente de seguridad/privacidad informable del cliente (CRSPI): un incidente de seguridad que afecta a los datos del cliente o a los datos personales, los datos o el procesamiento de datos que da lugar a consecuencias no deseadas para la privacidad, incluido el incumplimiento de las directivas de privacidad, los estándares y los controles de Microsoft.
Para que Microsoft declare un CRSPI, debe determinar que el acceso no autorizado a los datos del cliente ocurrió o probablemente ocurrió y/o que un compromiso legal o contractual requiere notificación. Por lo general, Microsoft declara un incidente un CRSPI después de la conclusión de la fase de diagnóstico de un incidente de seguridad. Sin embargo, la declaración puede producirse en cualquier momento cuando toda la información pertinente esté disponible.
Microsoft comprueba que el riesgo empresarial y el cliente están contenidos correctamente y que se implementan medidas correctivas. Si es necesario, Microsoft toma medidas de mitigación de emergencia para resolver los riesgos de seguridad inmediatos asociados al evento.
Microsoft también realiza un análisis final interno para las vulneraciones de datos. Como parte de este ejercicio, el equipo evalúa la suficiencia de los procedimientos operativos y de respuesta, e identifica e implementa las actualizaciones que puedan ser necesarias para el procedimiento operativo de respuesta a incidentes de seguridad Standard (SOP) o los procesos relacionados. Los análisis finales internos para las vulneraciones de datos son registros muy confidenciales no disponibles para los clientes. Sin embargo, los postmortems se pueden resumir e incluir en otras notificaciones de eventos del cliente. Los auditores externos reciben estos informes para su revisión como parte de los ciclos de auditoría rutinaria de Microsoft Azure, Dynamics 365 y Power Platform.
Notificación al cliente
Microsoft envía notificaciones a los clientes y a las autoridades competentes de las vulneraciones de datos, según sea necesario. Microsoft se basa en una gran compartimentación interna en el funcionamiento de Microsoft Azure, Dynamics 365 y Power Platform. Como ventaja de este diseño, puede limitar la mayoría de los incidentes a clientes específicos. El objetivo es proporcionar a los clientes afectados un aviso preciso, accionable y oportuno cuando se infringen sus datos.
Tras la declaración de un CRSPI, el proceso de notificación tiene lugar tan pronto como sea posible, pero hay que considerar los riesgos de seguridad de actuar demasiado rápido. Microsoft envía avisos al cliente sin retrasos indebidos y, en cualquier caso, en un máximo de 72 horas a partir del momento en que declaró una infracción , excepto en algunas circunstancias limitadas. Por ejemplo:
- Microsoft cree que el acto de realizar una notificación aumentará el riesgo para otros clientes. Por ejemplo, el acto de notificación podría dar propina a un adversario y provocar una incapacidad de corrección.
- La escala de tiempo de 72 horas podría dejar algunos detalles del incidente no disponibles. Microsoft proporciona estos detalles a los clientes y las autoridades reguladoras a medida que avanza la investigación.
Microsoft proporciona a los clientes afectados información detallada que les permite realizar investigaciones internas y ayudarles a cumplir los compromisos de los usuarios, sin retrasar indebidamente el proceso de notificación. Microsoft envía una notificación de una vulneración de datos por Azure a la hoja de notificaciones de estado del servicio de Microsoft Azure de un cliente como aviso de seguridad. Si se garantiza, Microsoft puede notificar a uno o varios de los siguientes roles por correo electrónico de un incidente de seguridad o privacidad junto con una notificación de estado del servicio o en su lugar:
- Azure administradores o propietarios de suscripciones
- Microsoft Entra administradores de inquilinos globales
- contactos técnicos de Microsoft Entra inquilino
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Minimizar el número de usuarios con el rol administrador global ayuda a mejorar la seguridad de la organización.
El equipo de Microsoft Azure o Azure Government también puede optar por notificar a otro personal de Microsoft, como los miembros del equipo del Servicio de atención al cliente (CSS) de Microsoft y los administradores de cuentas del cliente (AM) o el Administrador de cuentas de éxito del cliente (CSAM). Por lo general, estas personas suelen tener relaciones estrechas con el cliente y pueden facilitar la reparación más rápida.
Microsoft envía una notificación de una vulneración de datos para Microsoft Dynamics 365 y Power Platform al Centro de administración de Microsoft 365 en el Centro de mensajes y aplica la etiqueta Privacidad de datos. Para obtener más información, consulte las preguntas más frecuentes del Centro de mensajes. El rol de administrador global recibe mensajes de privacidad de datos para una organización. Además, considere la posibilidad de asignar el rol lector de privacidad del Centro de mensajes a otros usuarios de su organización que deberían ver mensajes de privacidad de datos. Otros roles de administrador con acceso al Centro de mensajes no pueden ver los mensajes de privacidad de datos.
características de seguridad integradas de Microsoft Dynamics 365 y Power Platform
Microsoft Dynamics 365 y Power Platform aprovechan la infraestructura de servicios en la nube y las características de seguridad integradas para proteger los datos mediante medidas de seguridad y mecanismos para proteger los datos. Además, Dynamics 365 y Power Platform proporcionan un acceso eficaz a los datos y la colaboración con la integridad y la privacidad de los datos en las siguientes áreas: identidad segura, protección de datos, seguridad basada en roles y administración de amenazas.
Las ofertas de Microsoft Dynamics 365 y Power Platform siguen las mismas medidas técnicas y organizativas que uno o varios equipos de servicio de Microsoft Azure para protegerse frente a procesos de vulneración de datos. Por lo tanto, toda la información documentada en el documento de notificación "Vulneración de datos de Microsoft Azure" aquí se aplica también a Microsoft Dynamics 365 y Power Platform.