Apoye a su programa de RGPD con las listas de comprobación de preparación de responsabilidad

El RGPD añade nuevas normas organizaciones que ofrecen bienes y servicios a los ciudadanos de la Unión Europea (UE), o que recopilen y analicen datos de los residentes de la UE, sin importar donde estén ubicados usted o su empresa. El tema Resumen del RGPD muestra información adicional.

Listas de comprobación de preparación de responsabilidad

Las listas de comprobación de preparación de responsabilidad ofrecen una forma cómoda de acceder a información que tal vez necesite para cumplir el RGPD cuando utilice productos y servicios de Microsoft. En estas listas de comprobación se muestran obligaciones establecidas por el RGPD que le pueden afectar y se le indica cómo puede ayudar a su organización a cumplir con el reglamento.

Hay una guía específica para las siguientes familias de productos y servicios de Microsoft:

• Office 365
• Dynamics 365
• Azure
• Windows
• Soporte técnico y servicios profesionales de Microsoft

Puede administrar los elementos de esta lista de comprobación con el Administrador de cumplimiento haciendo referencia al identificador de control y el título del control en Controles administrados de cliente en el icono RGPD.

Las listas de comprobación incluyen cuatro categorías básicas para un programa de privacidad compatible con el RGPD. Estas se muestran a continuación acompañadas con ejemplos de requisitos.

1. Condiciones de recopilación de datos y procesamiento:

   • ¿Cuándo se obtiene el consentimiento?
   • Identificar y documentar el propósito
   • Evaluación del impacto en la privacidad

2. Derechos del titular de los datos (DSR)

   • Determinar la información relativa a las entidades de seguridad de DCP (titulares)
   • Facilitar un mecanismo para modificar o retirar el consentimiento

3. Privacidad por diseño y de forma predeterminada

   • Limitar la recopilación
   • Cumplir con los niveles de identificación
   • Archivos temporales

4. Protección y seguridad de los datos

   • Conocer la organización y su contexto
   • Planificación
   • Directivas de seguridad de la información

Acuerdos con el cliente

• Términos del servicio en línea: encontrará los compromisos contractuales de Microsoft en lo que respecta al RGPD en los términos del servicio en línea.
• Términos del producto de Microsoft: Microsoft amplía los compromisos de los términos del RGPD a todos los clientes de licencias por volumen.
• Anexo sobre protección de datos: los servicios Microsoft amplían los compromisos a los clientes de los Servicios de consultoría de Microsoft y otros.

Controles de cumplimiento del RGPD

• Usar el Administrador de cumplimiento: revise e incorpore los controles que Microsoft usa para apoyar las obligaciones relativas al RGPD con el Administrador de cumplimiento.
• Asignación de controles del RGPD: obtenga acceso a una asignación detallada de los controles de Microsoft para las obligaciones relativas al GDPR.

Registros de procesamiento para procesadores

Debido a la extensa y amplia variedad de servicios en línea que proporcionamos como procesadores a los clientes responsables, esperamos que los clientes puedan identificar los servicios para buscar los registros de procesamiento y recuperar los registros relevantes en las herramientas en línea que proporcionamos. Un ejemplo de ello son los registros de procesamiento para Azure, en los que se solicitaría los clientes identificar qué tipos de actividad de procesamiento buscarán los registros.

Registros de Azure

Por lo general, los clientes se interesarán en los registros de actividad y, potencialmente, en los registros de diagnóstico:

• Registros de actividad: los registros de actividad proporcionan información sobre las operaciones efectuadas en los recursos de una suscripción. Los registros de actividad pueden ayudar a determinar el iniciador de una operación, el tiempo de la incidencia y su estado.
• Registros de diagnóstico: los registros de diagnóstico son todos los registros emitidos por cada recurso. Entre estos registros se incluyen los del sistema de eventos de Windows, los de Azure Storage, los de la auditoría de Key Vault y los de acceso a la puerta de enlace de aplicaciones y firewall.
• Archivado de registro: todos los registros de diagnóstico se archivan en una cuenta de almacenamiento de Azure centralizada y cifrada. La retención se puede configurar por el usuario hasta por 730 días para cumplir los requisitos de retención específicos de la organización. Estos registros se conectan con los de Azure Monitor para su procesamiento, almacenamiento e informes de panel.

Otros registros

Asimismo, las siguientes soluciones de supervisión se instalan como parte de esta arquitectura. Es responsabilidad del cliente configurar estas soluciones para que se alineen con los controles de seguridad de FedRAMP:

• Evaluación de AD: la solución de comprobación de estado de Active Directory evalúa el riesgo y el estado de los entornos de servidor en un intervalo regular y proporciona una lista de priorizada de las recomendaciones específicas para la infraestructura de servidor implementada.
• Evaluación contra el malware: la solución contra el malware informa sobre el malware, las amenazas y el estado de protección.
• Azure Automation: la solución Azure Automation almacena, ejecuta y administra los runbook.
• Seguridad y auditoría: el panel de seguridad y auditoría proporciona información de alto nivel sobre el estado de seguridad de los recursos al ofrecer métricas en dominios de seguridad, problemas notables, detecciones, inteligencia sobre amenazas y consultas de seguridad comunes.
• Evaluación de SQL: la solución de comprobación de estado de SQL evalúa el riesgo y el estado de los entornos de servidor en un intervalo regular y proporciona a los clientes con una lista de priorizada de las recomendaciones específicas para la infraestructura de servidor implementada.
• Administración de actualizaciones: la solución de administración de actualizaciones permite a los clientes administrar actualizaciones de seguridad del sistema operativo, incluyendo el estado de las actualizaciones disponibles y el proceso de instalación de las actualizaciones necesarias.
• Estado del agente: la solución de estado del agente informa sobre cuántos agentes se han implementado y su distribución geográfica, así como cuántos no responden y el número de los que están enviando datos operacionales.
• Registros de actividad de Azure: la solución de análisis de registros de actividad ayuda a analizar los registros de actividad de Azure en todas las suscripciones de Azure para un cliente.
• Seguimiento de cambios: la solución de seguimiento de los cambios permite a los clientes identificar fácilmente los cambios en el entorno.

Para obtener más información sobre las medidas técnicas y de seguridad para Azure, los clientes responsables deberán visitar la documentación de seguridad de Azure. Como Microsoft no sabe si los datos de los clientes son datos personales o no, Azure procesa todos los datos de los clientes como si fueran datos personales, por lo que es probable que el cliente considere todo el material como relevante.

Información del procesador

Office 365 es otro producto del que es posible que el cliente necesite registros de información de procesamiento para procesadores. Para ver información relacionada con Office 365, consulte el artículo sobre Buscar el registro de auditoría en el centro de seguridad y cumplimiento.

También puede ver información sobre Dynamics 365 gracias al centro de seguridad y cumplimiento. Para ver la página del centro de seguridad y cumplimiento, asegúrese de que tiene la licencia correcta. Obtenga más información sobre las licencias con el artículo sobre la descripción del servicio del centro de seguridad y cumplimiento. Para buscar los eventos de Dynamics 365, visite el registro de auditoría unificado en el centro de seguridad y cumplimiento.

Información de servicios profesionales

En el caso de los servicios profesionales, los datos de soporte de los servicios profesionales los proporciona el cliente al ingeniero de soporte técnico por parte del representante del cliente. Esto puede producirse cuando un cliente envía una solicitud de servicio a través del portal de producto en línea, del centro de servicios o por teléfono.

La información se almacena en los sistemas de CRM y solo se usa para los propósitos siguientes:

• Ofrecer servicios profesionales, incluyendo soporte técnico, planificación profesional, asesoría, orientación, migración de datos, implementación y servicios de desarrollo de soluciones y software.
• Solución de problemas (prevención, detección, investigación, mitigación y reparación de problemas, incluyendo los incidentes de seguridad); y
• La mejora continua (mantenimiento de los servicios profesionales, incluida la instalación de las actualizaciones más recientes, e implementar mejoras a la confiabilidad, la eficacia, la calidad y la seguridad).

Debido a la escala de las operaciones de soporte técnico, Microsoft actúa como sistema CRM basado en grupos de producto. Los registros de procesamiento se incluirán en estos sistemas. El historial de procesamiento se refleja en los registros mantenidos en nuestros sistemas de CRM. En la mayoría de las ocasiones, el historial de solicitud de servicio está disponible en los portales o en el centro de servicios. Para cualquier detalle específico que no esté disponible en los portales o cualquier otra consulta sobre el procesamiento de los datos, póngase en contacto con el administrador técnico de cuentas o contacte con el soporte técnico de Microsoft.

Más información

• Centro de confianza de Microsoft