Centro de confianza: Información sobre seguridad, privacidad y cumplimiento normativo de Office 365 y Microsoft Dynamics CRM Online
Acceso administrativo
Le ofrecemos la capacidad de saber si alguien ha obtenido acceso a sus datos. Somos conscientes de que, en la nube, el acceso a los datos es un asunto de máxima prioridad, ya que no solamente es importante tener acceso a los datos cuando se necesita, sino también saber si alguien ha obtenido acceso a ellos.
¿Cuál es la posición de Office 365 y Microsoft Dynamics CRM Online con respecto al acceso a los datos?
Nuestra posición con respecto al acceso a los datos es la siguiente:
• Siempre le facilitamos el acceso a los datos de cliente.
• El acceso a los datos de cliente está controlado rigurosamente, y Microsoft y terceros efectúan auditorías con registro y auditorías de muestra para dar fe de que el acceso se efectúa únicamente con los fines empresariales correspondientes.
• Somos conscientes de la importancia adicional que supone el contenido de los clientes,1 como los datos del cuerpo de los correos electrónicos de Exchange Online y el contenido del sitio del equipo de SharePoint Online. Si alguna persona (personal de Microsoft, asociados2 o los administradores) tiene acceso al contenido del servicio, podemos facilitarle un informe sobre tal acceso, ya sea mediante la ejecución de un informe de acceso al buzón de correo del que no se es propietario* o un registro de auditoría de administrador externo. Estos dos informes le permiten saber cuándo se obtuvo acceso al contenido.
• El informe de acceso al buzón de correo del que no se es propietario* del Centro de administración de Exchange (EAC) enumera todos los buzones de correo a los que ha tenido acceso otra persona que no es el propietario. Cuando una persona que no es propietaria obtiene acceso a un buzón de correo, Microsoft Exchange registra la información sobre esta acción en un registro de auditoría del buzón de correo que se almacena como un mensaje de correo electrónico en una carpeta oculta en el buzón de correo en el que se lleva a cabo la auditoría. De forma predeterminada, las entradas en el registro de auditoría del buzón de correo se conservan durante 90 días.
*Debe habilitar el registro de auditoría del buzón de correo para cada buzón para el que quiera ejecutar un informe de acceso al buzón de correo del que no se es propietario. Si el registro de auditoría de buzones de correo no se encuentra habilitado, no obtendrá ningún resultado cuando ejecute un informe.
Obtenga más información sobre cómo ejecutar un informe de acceso al buzón de correo del que no se es propietario.
• El proceso de registro de auditoría del administrador registra acciones específicas realizadas por administradores y usuarios que cuentan con privilegios administrativos. Puede usar el EAC para buscar y ver entradas del registro de auditoría del administrador relacionadas con acciones realizadas por administradores de Microsoft y administradores delegados.
Obtenga más información sobre cómo ver el registro de auditoría de administrador externo.
• Azure Active Directory Premium es una plataforma de identidad para Office 365 que ofrece capacidades de administración de identidades y control de acceso. Las capacidades de Azure Active Directory incluyen un almacén basado en la nube para los datos de directorios y un conjunto principal de servicios de identidad, que comprenden procesos de inicio de sesión del usuario, servicios de autenticación y Servicios de federación.
Para obtener más información sobre cómo usar los informes de acceso y uso para adquirir visibilidad en la integridad y la seguridad del inquilino de Azure Active Directory (AD) de la organización, lea este artículo.
¿Cómo se puede ver el acceso administrativo a los datos?
Servicio | Actividades con seguimiento | Instrucciones |
Office 365 y Dynamics CRM Online | Creación de un portal por parte de los usuarios, restablecimientos de contraseñas | |
Exchange Online | Acceso al buzón de Exchange 3 | Visite el Panel de control de Exchange (vínculo disponible desde la página Introducción a la administración del portal de Office 365 Online ; se requiere inicio de sesión) |
SharePoint Online | Sitio de SharePoint, acceso al almacenamiento | |
Microsoft Dynamics CRM Online | Acceso al contenido de CRM |
1 El contenido son datos de cliente sobre los cuales estos pueden tener mayores expectativas de confidencialidad y que, cuando el servicio se usa con normalidad, se transfieren de forma cifrada a través de Internet. Concretamente, el contenido incluye el cuerpo y los datos adjuntos del correo electrónico de Exchange Online, el contenido del sitio y el cuerpo del archivo de SharePoint Online, mensajería instantánea y conversaciones de voz, y los datos empresariales de CRM acerca de las interacciones del cliente final.
2 Los informes reflejan el acceso administrativo al contenido almacenado en el servicio por parte de sus asociados. No se abarcan todos los escenarios de asociados. Por ejemplo, los informes sobre distribuidores (situaciones en que el cliente ha adquirido los servicios de un distribuidor y este le ha facturado), asociados VOIP de servicios de comunicaciones avanzadas y servicios asociados, como Research in Motion (para el servicio BlackBerry® hospedado), no están disponibles debido a la naturaleza de acceso a los datos de estas partes en el proceso habitual de utilización de los servicios.
3 Para clientes de empresa que han habilitado el Centro de administración de Protección en línea de Exchange, no será posible realizar informes sobre el acceso administrativo de correos en cola en el Centro de administración.
¿Quién tiene derechos administrativos en Office 365 o en Microsoft Dynamics CRM Online?
Por definición, los administradores de bases de datos de Microsoft tienen acceso a todos los recursos de una base de datos, incluidos los datos de cliente.
Únicamente usamos estos datos para prestar los servicios, por lo que Microsoft prohíbe terminantemente el acceso a los datos de cliente para cualquier otro fin. Como parte de la tarea de prestar los servicios, los administradores de bases de datos pueden obtener acceso a los datos de cliente para realizar actividades tales como ajustar bases de datos o migrar usuarios de una base de datos a otra.
En la siguiente tabla se describen diversos niveles de acceso para distintos tipos de datos y administradores:
Administrador | Datos de cliente (a excepción del contenido) | Contenido |
Equipo de respuesta de operaciones (limitado al personal principal únicamente) | Sí, según sea necesario. | Sí, por excepción. |
Organización de soporte técnico | Sí, solo según sea necesario como respuesta a una solicitud de soporte técnico. | No. |
Ingeniería | Sin acceso directo. Se puede transferir durante la solución de problemas. | No. |
Asociados | Con el permiso del cliente. Póngase en contacto con su asociado para obtener más información. | Con el permiso del cliente. Póngase en contacto con su asociado para obtener más información. |
Otros en Microsoft | No.1 | No. |
1 Otras personas de Microsoft pueden usar la información de contacto de los usuarios finales especificada en los directorios de los clientes de Office 365 Empresa, Empresa Essentials y Empresa Premium para enviar comunicaciones promocionales a estos usuarios finales.
¿Qué hace Microsoft para respaldar el derecho de los clientes a tener acceso a sus datos? ¿El cliente tiene acceso a sus datos en todo momento?
Los clientes pueden tener acceso a sus datos y controlarlos a través de los protocolos estándar y mecanismos de acceso que se definen en las descripciones del servicio.
Cuando finaliza la suscripción de un cliente o su uso del servicio, este siempre podrá exportar sus datos. La información detallada se incluye en los Derechos de uso de Online Services, que constituye la fuente autorizada de este tema (los clientes de Contrato Enterprise deben consultar los Derechos de uso del producto). Sin embargo, para que resulte más cómodo, se incluyen a continuación las disposiciones de los Derechos de uso de Online Services vigentes a la fecha del lanzamiento de Office 365:
Expiración o rescisión del servicio en línea. Tras la expiración o la rescisión de la suscripción del servicio en línea, debe ponerse en contacto con Microsoft e informarnos si:
•(1) se ha de deshabilitar su cuenta y, a continuación, eliminar los datos de cliente; o
•(2) se han de conservar los datos de cliente en una cuenta con funciones limitadas durante al menos 90 días tras la expiración o la rescisión de la suscripción (el "periodo de retención") de forma que pueda extraer los datos.
•Si señala (1), no podrá extraer los datos de cliente desde su cuenta. Si no señala ninguna de las opciones, conservaremos los datos de cliente según (2).
• Tras la expiración del periodo de retención, deshabilitaremos la cuenta y, a continuación, eliminaremos los datos de cliente. Las copias de seguridad o almacenadas en la memoria caché se purgarán en un plazo de 30 días a partir de la finalización del periodo de retención.
Microsoft envía varios avisos antes de eliminar los datos de cliente, de forma que estos estén informados y reciban recordatorios sobre la próxima eliminación de los datos si no actúan dentro del plazo estipulado.
En la medida en que un cliente necesite ayuda para dar respuesta a una solicitud de privacidad según se requiera por ley, a tenor de multitud de contratos, puede ponerse en contacto con el Servicio de soporte al cliente de Microsoft para obtener ayuda en el acceso, la modificación, la eliminación o el bloqueo de los datos de cliente. Las solicitudes que no se puedan cursar con las herramientas y los procesos habituales podrán estar sujetas a cambios adicionales.
¿Cómo puedo asegurarme de que solamente se ha otorgado acceso administrativo a los usuarios autorizados para llevar a cabo las responsabilidades propias de sus tareas?
Todo el personal de Office 365 y Microsoft Dynamics CRM Online es responsable del tratamiento que realice de los datos de cliente, ya que el acceso a los datos de Office 365 y Microsoft Dynamics CRM Online se concede de forma que se le pueda hacer un seguimiento hasta llegar a un usuario único.
Es decir, la responsabilidad se refuerza a través de un conjunto de controles del sistema, lo cual incluye el uso exclusivo de nombres de usuario, controles de acceso a datos y auditorías. Al contrario de lo que sucede con los nombres genéricos de usuarios, como "Invitado" o "Administrador", los nombres de usuario únicos se usan para implementar un control mediante la identificación de las acciones de los usuarios a una persona en particular (lo cual se denomina "vinculación"). Se utilizan, asimismo, autenticaciones en dos fases, como inicios de sesión de tarjetas inteligentes mediante certificados digitales o tokens de RSA, con el fin de fortalecer esta vinculación.
Microsoft emplea controles estrictos según los cuales se otorga acceso a datos de cliente al personal y a roles del personal. El acceso del personal a los sistemas de TI que almacenan datos de cliente se controla de manera estricta mediante el control de acceso basado en roles (RBAC) y procesos de cuadro de bloqueo [en inglés] . El control de acceso es un proceso automatizado que se ajusta al principio de separación de responsabilidades y al principio de concesión de la menor cantidad de privilegios posible. Este proceso garantiza que el ingeniero que solicita acceso a estos sistemas de TI cumple con los requisitos necesarios, como una pantalla de fondo, huellas digitales, el entrenamiento de seguridad necesario y las aprobaciones de acceso . Además, los niveles de acceso se revisan de forma periódica para garantizar que únicamente tengan acceso a los sistemas los usuarios que disponen de la justificación empresarial correspondiente.
El acceso del usuario a los datos también se restringe según su rol. Por ejemplo, los administradores del sistema no disponen de acceso administrativo a la base de datos.
¿Cuáles son los controles que se utilizan para restringir el acceso físico a los datos?
Todos los centros de datos de Office 365 y Microsoft Dynamics CRM Online disponen de controles de acceso biométricos y, en la mayoría de ellos, que se utilizan para prestar los servicios de Office 365 y Microsoft Dynamics CRM Online, se requieren controles de huellas palmares para poder obtener acceso físico.
El acceso físico a los centros de datos de Office 365 y Microsoft Dynamics CRM Online está controlado mediante la autenticación en dos niveles, que incluye lectores de acceso de tarjetas para proxy (se requiere distintivo con tarjeta para el acceso) y lectores biométricos de geometría de la mano.
Trimestralmente, el responsable de seguridad de Microsoft envía informes al personal autorizado con capacidad para aprobar el acceso a los centros de datos. Los informes contienen la lista de las personas que tienen acceso a los centros en ese momento. El personal autorizado audita la lista a fin de asegurarse de que todas las personas siguen necesitando el acceso y de que cuentan con el menor nivel de acceso con privilegios posible que les permita desempeñar sus funciones.
Para obtener información adicional con respecto al tratamiento de los datos de cliente de Office 365 o Microsoft Dynamics CRM Online, remítase a las notas del producto sobre la directiva de privacidad de Microsoft Online, las directrices de privacidad de Microsoft para el desarrollo de productos y servicios, las notas del producto sobre la seguridad de Office 365 y la Guía de continuidad de los servicios y la seguridad de Microsoft Dynamics CRM Online.
¿Cómo evalúa Microsoft a las personas a las que se les conceden derechos administrativos?
Todos los empleados de Microsoft en EE. UU. deben completar y superar una prueba de verificación estándar que forma parte del proceso de contratación.
Esta prueba incluye la revisión de información relativa a la educación, la experiencia profesional y los antecedentes penales del candidato. Además de esta prueba de verificación estándar que se efectúa al personal nuevo de Microsoft, todo el personal (nuevo y existente) con acceso a los datos de cliente o que administre controles de acceso físicos y lógicos fundamentales debe someterse a pruebas según listados de control de exportación. (Estos listados incluyen la lista de la Oficina de Control de Activos Internacionales (OFAC), la lista de la Agencia de Industria y Seguridad (BIS) y la lista de personas excluidas de la Dirección de Controles de Comercio de Defensa (DDTC)).
Es posible que se realicen pruebas adicionales, como comprobaciones de ciudadanía y de huellas dactilares, si la solicitud de acceso está asociada a los servicios que ofrecemos a clientes con requisitos especializados (por ejemplo, al gobierno federal de EE. UU.).
Con el fin de proteger la privacidad de sus empleados, Microsoft no comparte los resultados de las pruebas de verificación con los clientes.
Recursos adicionales
•Guía de continuidad de los servicios y la seguridad de Microsoft Dynamics CRM Online [en inglés]
•Seguridad de Office 365 (notas del producto ) [en inglés]