Prácticas de seguridad de datos y privacidad de Defender for Cloud Apps

Nota:

En este artículo se presentan los pasos para eliminar los datos personales del dispositivo o el servicio, y pueden utilizarse para cumplir con sus obligaciones en el marco del RGPD. Si desea obtener información general sobre el RGPD, consulte la sección sobre RGPD del Portal de confianza de servicio.

Microsoft Defender for Cloud Apps es un componente fundamental de la pila de seguridad Microsoft Cloud Security. Es una solución completa que ayuda a la organización a aprovechar el potencial de las aplicaciones en la nube. Defender for Cloud Apps te permite mantener el control mediante visibilidad completa, auditoría y controles detallados sobre la información confidencial.

Defender for Cloud Apps tiene herramientas que ayudan a detectar Shadow IT y evaluar los riesgos, al tiempo que permite aplicar directivas e investigar las actividades. Ayuda a controlar el acceso en tiempo real y detener amenazas, por lo que la organización puede trasladarse de forma más segura a la nube.

Cumplimiento de Defender for Cloud Apps

En un mundo donde los ataques y las vulneraciones de datos se repiten a diario, es esencial que las organizaciones elijan un Broker de Seguridad de Acceso a la Nube (CASB) que haga todo lo posible para proteger sus datos. Defender for Cloud Apps, como todos los productos y servicios de Microsoft en la nube, se ha creado para abordar las rigurosas demandas de seguridad y privacidad de nuestros clientes.

Para ayudar a las organizaciones a cumplir con los requisitos nacionales, regionales y específicos del sector que rigen la recopilación y uso de datos personales, Defender for Cloud Apps ofrece un conjunto completo de ofertas de cumplimiento. Las ofertas de cumplimiento incluyen certificaciones y atestaciones.

Ofertas y marco de cumplimiento

Defender for Cloud Apps cumple muchos estándares de cumplimiento internacionales y específicos del sector, entre otros:

Organización Título Descripción
logo csa attestation. Atestación CSA STAR Azure e Intune han recibido la Atestación Cloud Security Alliance STAR basada en una auditoría independiente.
logo csa certification. Certificación STAR de CSA Azure, Intune y Power BI han recibido la Certificación Cloud Security Alliance STAR de nivel Gold.
logo EU model clauses. Cláusulas modelo de la UE Microsoft ofrece las cláusulas contractuales estándar de la UE, que garantizan las transferencias de datos personales.
logo HIPAA. HIPAA/HITECH Microsoft ofrece contratos de asociación comercial (BAA) según la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).
logo iso 9001. ISO 9001 Microsoft está certificado para la implementación de estos estándares de administración de calidad.
logo iso 27001. ISO/IEC 27001 Microsoft está certificado para la implementación de estos estándares de administración de seguridad de la información.
logo iso 27018. ISO/IEC 27018 Microsoft fue el primer proveedor de nube en observar este código de prácticas de privacidad en la nube.
logo PCI. PCI DSS Azure cumple el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago versión 3.1 de nivel 1.
logo SOC. Informes SOC 1 y SOC 2 de tipo 2 Los servicios en la nube de Microsoft cumplen con los estándares de Service Organization Controls para la seguridad operativa.
logo SOC. SOC 3 Los servicios en la nube de Microsoft cumplen con los estándares de Service Organization Controls para la seguridad operativa.
logo g-cloud. UK G-Cloud El organismo gubernamental Crown Commercial Service ha renovado la clasificación de servicios en la nube de Microsoft en Government Cloud v6.

Para obtener más información, ve a Ofertas de Microsoft Compliance.

Privacidad

Usted tiene la propiedad de los datos

  • En Defender for Cloud Apps, los administradores pueden ver los datos personales identificables almacenados en el servicio del portal con la barra de búsqueda.

  • Los administradores pueden buscar los metadatos de un usuario específico o su actividad. Al seleccionar una entidad, se abre la página Usuarios. La página Usuarios proporciona detalles completos acerca de la entidad extraídos de aplicaciones en la nube conectadas. También presenta el historial de la actividad de un usuario y sus alertas de seguridad.

  • Tiene la propiedad de sus datos y puede cancelar las suscripciones y solicitar la eliminación de los datos cuando quiera. Si no renuevas la suscripción, los datos se eliminarán dentro de la escala de tiempo especificada en el apartado Términos de los Servicios en Línea.

  • Si decide finalizar el servicio, puede llevarse los datos consigo.

Defender for Cloud Apps es el procesador de los datos

  • Defender for Cloud Apps solo usa los datos con fines acordes con la prestación de los servicios a los que estás suscrito.

  • Si un gobierno solicita a Microsoft el acceso a sus datos, Microsoft redirige la solicitud a usted, el cliente, siempre que sea posible. Microsoft ha cuestionado exigencias legales que no eran válidas, que prohibían la divulgación de una solicitud gubernamental de datos del cliente. Obtenga más información sobre quién puede tener acceso a los datos y en qué condiciones.

Controles de privacidad

  • Los controles de privacidad le ayudan a configurar qué usuarios de la organización tienen acceso al servicio y a qué pueden tener acceso.

Actualizar datos personales

Los datos personales acerca de los usuarios se derivan del objeto del usuario en las aplicaciones de SaaS utilizadas. Por este motivo, cualquier cambio realizado en el perfil de usuario en estas aplicaciones se refleja en Defender for Cloud Apps.

Ubicación de datos

Defender for Cloud Apps opera actualmente en centros de datos de la Unión Europea, el Reino Unido y el Estados Unidos (cada uno de ellos es una replicación geográfica).

Defender for Cloud Apps aprovecha los centros de datos de Azure en todo el mundo para proporcionar un rendimiento optimizado a través de la geolocalización. Esto significa que la sesión de un usuario se puede hospedar fuera de una región determinada, en función de los patrones de tráfico y su ubicación. Sin embargo, para proteger tu privacidad, no se almacenan datos de sesión en estos centros de datos.

Para obtener más información, consulte el Centro de confianza de Microsoft.

Ubicaciones de almacenamiento de datos de Defender for Cloud Apps

Los datos del cliente recopilados por el servicio se almacenan en reposo de la siguiente manera:

Ubicación de aprovisionamiento de clientes Ubicación de almacenamiento de datos
Clientes cuyos inquilinos se aprovisionan en la Unión Europea o en el Reino Unido La Unión Europea o el Reino Unido
Ver el resto de los clientes Replicación geográfica más cercana a la ubicación de donde se ha aprovisionado el inquilino de Microsoft Entra del cliente

Si Defender for Cloud Apps usa otro servicio en línea de Microsoft, como Microsoft Entra ID o Azure CDN para procesar dichos datos, la ubicación geográfica de datos se define mediante las reglas de almacenamiento de datos de ese otro servicio en línea.

Ubicaciones de almacenamiento de datos de gobernanza de aplicaciones

Los datos del cliente recopilados por el servicio se almacenan en reposo de la siguiente manera:

Ubicación de aprovisionamiento de clientes Ubicación de almacenamiento de datos
Clientes cuyos inquilinos se aprovisionan en Estados Unidos Estados Unidos
Clientes cuyos inquilinos se aprovisionan en la Unión Europea o en el Reino Unido La Unión Europea o el Reino Unido
Clientes cuyos inquilinos se aprovisionan en Asia Pacífico Asia Pacífico o Estados Unidos
Clientes cuyos inquilinos se aprovisionan en Canadá Canadá o Estados Unidos
Clientes cuyos inquilinos se aprovisionan en India India o Estados Unidos
Clientes cuyos inquilinos se aprovisionan en cualquier otra región Estados Unidos o un centro de datos en la replicación geográfica más cercana a la ubicación de donde se ha aprovisionado el inquilino de Microsoft Entra del cliente

Si la gobernanza de aplicaciones usa otro servicio en línea de Microsoft, como Microsoft Entra ID o Azure CDN para procesar dichos datos, la ubicación geográfica de datos se define mediante las reglas de almacenamiento de datos de ese otro servicio en línea.

La gobernanza de aplicaciones ahora forma parte de Microsoft Defender for Cloud Apps. Para los clientes existentes, en junio de 2024, moveremos los datos para que coincidan con la residencia de datos de Microsoft Defender for Cloud Apps. No se requiere ningún trabajo por tu parte y no habrá interrupciones del servicio. Para obtener más información, consulta Defender para ubicaciones de almacenamiento de datos de Cloud Apps.

Transparencia

Microsoft proporciona transparencia sobre sus prácticas:

  • Uso compartido con usted donde se almacenan los datos.
  • Afirmar que los datos se usan solo para ofrecer servicios acordados.
  • Especificar cómo usan estos datos para proporcionar servicios los ingenieros de Microsoft y los subcontratistas aprobados.

Microsoft usa controles estrictos para determinar el acceso a los datos del cliente, concede el nivel mínimo de acceso necesario para completar tareas clave y revoca el acceso cuando ya no es necesario.

Protección de los datos

Defender for Cloud Apps aplica la protección de datos durante la inspección de contenido. El contenido de los archivos no se almacena en el centro de datos de Defender for Cloud Apps. Únicamente se almacenan los metadatos de los registros de archivos y las coincidencias identificadas.

Retención de datos

Defender for Cloud Apps conserva los datos de la siguiente manera:

  • Registro de actividad: 180 días
  • Datos de detección: 90 días
  • Alertas: 180 días
  • Registro de gobernanza: 120 días

Para obtener más información sobre las prácticas de datos de Microsoft, consulte el apartado Términos de Online Services.

Más información sobre transparencia

Uso compartido de datos

Defender for Cloud Apps comparte datos, incluidos los datos de los clientes, entre los siguientes productos de Microsoft también con licencia del cliente:

  • Microsoft Defender for Cloud

  • Microsoft Sentinel

  • Microsoft Defender para punto de conexión

  • Administración de a exposición de Microsoft Defender (versión preliminar pública)

  • Microsoft Purview

  • Microsoft Purview

Eliminar datos personales

Una vez eliminada la cuenta de un usuario de una aplicación en la nube conectada, Defender for Cloud Apps borrará automáticamente la copia de los datos en un plazo de dos años.

Exportar datos personales

Defender for Cloud Apps proporciona la posibilidad de exportar a CSV toda la actividad del usuario y la información de alertas de seguridad.

Flujo de datos

Defender for Cloud Apps proporciona la comodidad de trabajar con algunos datos, como alertas y actividades, sin interrumpir el flujo de trabajo de seguridad habitual. Por ejemplo, SecOps puede preferir ver las alertas en su producto SIEM preferido, como Microsoft Sentinel. Para habilitar estos flujos de trabajo, al integrar con productos de Microsoft o de terceros, Defender for Cloud Apps expone algunos datos a través de ellos.

En la tabla siguiente se muestran los datos que se muestran para cada integración de productos:

Productos de Microsoft

Producto Datos expuestos Configuración
Microsoft Defender XDR Alertas y actividades de usuario Habilitado automáticamente en Microsoft Defender XDR tras la incorporación
Microsoft Sentinel Alertas y datos de detección Habilitado en Defender for Cloud Apps y configurado en Microsoft Sentinel
Portal de cumplimiento de Microsoft Purview Alertas de Microsoft 365 Se transmite automáticamente al portal de cumplimiento Microsoft Purview
Microsoft Defender for Cloud Alertas para Azure Habilitado de forma predeterminada en Defender for Cloud Apps; se puede deshabilitar en Microsoft Defender for Cloud
API de seguridad de Microsoft Graph Alertas Disponible a través de Microsoft Graph Security API
Microsoft Power Automate Alertas enviadas para desencadenar un flujo automatizado Configurado en Defender for Cloud Apps
Expertos en amenazas de Microsoft Alertas Se transmite automáticamente a Expertos en amenazas de Microsoft
Protección de id. de Microsoft Entra Alertas Se transmite automáticamente a Protección de id. de Microsoft Entra
Protección de id. de Microsoft Entra Subconjunto de alertas para el modelo de riesgo de identidad Habilitado automáticamente en Microsoft Entra ID Protection tras la incorporación

Productos de terceros

Tipo de integración Datos expuestos Configuración
Uso de un agente SIEM Alertas y eventos Habilitado y configurado en Defender for Cloud Apps
Uso de la API de REST de Defender for Cloud Apps Alertas y eventos Habilitado y configurado en Defender for Cloud Apps
Conector ICAP Archivo para el examen DLP Habilitado y configurado en Defender for Cloud Apps

Nota:

Es posible que otros productos no apliquen permisos de seguridad basados en roles de Defender for Cloud Apps para controlar quién tiene acceso a los datos. Por lo tanto, antes de integrar con otros productos, asegúrate de comprender qué datos se envían al producto que deseas usar y quién tiene acceso a él.

Seguridad

Cifrado

Microsoft usa tecnología de cifrado para proteger los datos mientras están en reposo en una base de datos de Microsoft y mientras se desplazan a los dispositivos de usuario y los centros de datos de Defender for Cloud Apps. Asimismo, toda la comunicación entre Defender for Cloud Apps y las aplicaciones conectadas se cifra mediante HTTPS.

Nota:

Defender for Cloud Apps usa protocolos de seguridad de la capa de transporte (TLS) 1.2+ para proporcionar un cifrado de primera clase. Las aplicaciones cliente nativas y los navegadores que no admitan TLS 1.2+ no serán accesibles cuando se configuren con control de sesión. Sin embargo, las aplicaciones SaaS que usan TLS 1.1 o versiones anteriores aparecerán en el explorador como mediante TLS 1.2+ cuando se configuran con Defender for Cloud Apps.

Administración de identidades y acceso

Defender for Cloud Apps permite limitar el acceso de los administradores al portal en función de la geolocalización mediante el identificador de Microsoft Entra. Es posible requerir autenticación multifactor para acceder al portal de Defender for Cloud Apps utilizando Microsoft Entra ID.

Permisos

Defender for Cloud Apps es compatible con el control de acceso basado en roles. Los roles de administrador global y administrador de seguridad de Microsoft 365 y Microsoft Entra tienen acceso completo a Defender for Cloud Apps y los lectores de seguridad tienen acceso de lectura. Para obtener más información.

Controles de cliente de cumplimiento organizativo

Implementación con ámbito

Defender for Cloud Apps te permite definir el ámbito de la implementación. Establecer el ámbito te permite controlar solo grupos específicos con Defender for Cloud Apps o excluir grupos concretos de la regulación de Defender for Cloud Apps. Para obtener más información, consulte Scoped deployment (Implementación con ámbito).

Anonimización

Puede conservar el anonimato de los informes de Cloud Discovery. Una vez cargados los archivos de registro en Microsoft Defender for Cloud Apps, toda la información de nombre de usuario se reemplaza por nombres de usuario cifrados. En el caso de investigaciones de seguridad concretas, puede resolver el nombre de usuario real. Los datos privados se cifran mediante AES-128 con una clave dedicada por inquilino. Para obtener más información.

Seguridad y privacidad de los clientes de GCC High de Defender for Cloud Apps para la Administración Pública de EE. UU.

Para obtener información sobre los estándares de cumplimiento de Defender for Cloud Apps y la ubicación de los datos para los clientes GCC High de la Administración Pública de EE. UU., consulta Enterprise Mobility + Security para la descripción del servicio de administración pública de EE. UU..

Pasos siguientes

Obtén una evaluación gratuita de Defender for Cloud Apps y ve cómo cumple con los desafíos de tu negocio.