Saltar al contenido principal

Residencia de datos en Azure

Azure tiene más regiones en el mundo que cualquier otro proveedor de nube, por eso ofrece las opciones de escala y residencia de los datos que necesita para acercar sus aplicaciones a usuarios de todo el mundo.

Como cliente, usted conserva la propiedad de los datos del cliente, es decir, el contenido y los datos personales y de otra índole que proporcione para su almacenamiento y hospedaje en los servicios de Azure. Usted también tiene el control de las áreas geográficas adicionales en las que decida implementar sus soluciones o replicar sus datos.

A continuación se explica en detalle el proceder cuando la funcionalidad de un servicio requiere la replicación global de los datos.

  • Microsoft protege los datos de los clientes con varias capas de seguridad y protocolos de cifrado. Obtenga información general sobre cómo utiliza Microsoft el cifrado para proteger sus datos.

    De forma predeterminada, las claves administradas por Microsoft protegen sus datos, y los datos de los clientes que se conservan en medios físicos se cifran siempre usando protocolos de cifrado conformes con la norma FIPS 140-2. Los clientes pueden usar también claves administradas por ellos mismos (CMK), cifrado doble y módulos de seguridad de hardware (HSM) para aumentar la protección de los datos.

    Todo el tráfico de datos que se mueve entre centros de datos se protege con estándares de seguridad IEEE 802.1AE MAC, para evitar ataques físicos de intermediarios que puedan intentar captar el tráfico de red. Para mantener la resiliencia, Microsoft utiliza rutas de red variables que, a veces, atraviesan fronteras geográficas, pero la replicación de datos de los clientes entre regiones se transmite siempre a través de conexiones de red cifradas.

    Además, para minimizar el riesgo de la privacidad, Microsoft genera “identificadores seudónimos” que permiten a Microsoft ofrecer un servicio global en la nube (incluidas la administración y la mejora de los servicios, la facturación y la protección contra fraudes). Los identificadores seudónimos no se pueden usar en ningún caso para identificar directamente a una persona, y el acceso a los datos del cliente que identifican a personas siempre está protegido como se ha descrito.

  • Todos los servicios de Azure se pueden usar de acuerdo con la RGPD. Si los clientes que usan los servicios de Azure deciden transferir entre fronteras contenido que incluya datos personales, deberán tener en cuenta los requisitos legales que se aplican a estas transferencias. Microsoft proporciona a los clientes servicios y recursos para ayudarles a cumplir los requisitos de la RGPD que puedan aplicarse a sus operaciones.

    Algunos servicios en línea de Microsoft comparten datos con terceros que actúan como subencargados del tratamiento de los datos. La lista de subencargados del tratamiento de datos de Microsoft Online Services, que está disponible públicamente, identifica a los subencargados del tratamiento de datos que están autorizados para tratar datos personales o de clientes. Todos estos subencargados del tratamiento de datos están obligados contractualmente a cumplir o superar los compromisos contractuales que Microsoft adquiere con sus clientes.

    Microsoft no proporcionará a ningún tercero (a) acceso directo, global ni ilimitado a los datos de los clientes; (b) claves de cifrado de plataforma utilizadas para proteger los datos ni la capacidad para descifrarlos; ni (c) acceso a los datos si Microsoft tiene conocimiento de que los datos se van a utilizar con fines distintos a los indicados en la solicitud del tercero. Aquí puede consultar más información sobre la práctica de Microsoft en relación con la divulgación legal de datos de clientes por exigencia de la Administración pública.

La mayoría de los servicios de Azure permiten especificar la región en la que se almacenarán y procesarán los datos del cliente. Microsoft puede replicar datos en otras regiones con fines de resistencia, pero Microsoft no almacenará ni procesará datos del cliente fuera de la geoárea seleccionada. Usted y sus usuarios pueden mover o copiar los datos del cliente o tener acceso a ellos desde cualquier ubicación del mundo.

Más información sobre la ubicación de los datos de los clientes

Almacenamiento de datos para servicios regionales

La mayor parte de los servicios de Azure se implementa por regiones y permite al cliente especificar la región en la que se implementará el servicio. Algunos ejemplos de estos servicios de Azure son Virtual Machines, Storage y SQL Database. Para obtener una lista completa de los servicios regionales, consulte Productos disponibles por región.

Microsoft no almacenará ni procesará los datos del cliente fuera de la geoárea que este haya especificado sin su autorización.

Microsoft puede copiar datos del cliente entre regiones en una geoárea determinada con fines de redundancia de los datos u otros fines operativos. Por ejemplo, el almacenamiento con redundancia geográfica replica datos de Blob Storage, File Storage, Queue Storage y Table Storage entre dos regiones de la misma geoárea para ofrecer una mayor durabilidad de los datos en el caso de que tuviese lugar un desastre grave en un centro de datos.

El personal de Microsoft (incluidos los subencargados del tratamiento) que se encuentre fuera de la geoárea puede operar los sistemas de procesamiento de datos de la geoárea de forma remota, pero no accederá a los datos del cliente sin su autorización.

Los siguientes servicios pueden almacenar o procesar determinados datos fuera de la geoárea especificada:

  • Azure Cloud Services, que realiza copias de seguridad de paquetes de implementación de software de rol web y rol de trabajo en Estados Unidos independientemente de la geoárea de la implementación.
  • Azure Data Explorer (ADX) almacena datos de uso parcial y seguimientos de servicios en un clúster central ubicado en la UE durante un tiempo limitado.
  • Language Understanding, que puede almacenar datos de aprendizaje activo en Estados Unidos, Europa o Australia en función de las regiones que utilice el cliente para la creación de aplicaciones. Más información
  • Azure Machine Learning puede almacenar texto de forma libre de los nombres de recursos que proporcione el cliente (como nombres de áreas de trabajo, de grupos de recursos, de experimentos, de archivos y de imágenes) y parámetros de ejecución de experimentos (conocidos también como metadatos de experimentos) en Estados Unidos para fines de depuración.
  • Azure Databricks almacena la siguiente información de identidad en Estados Unidos para proporcionar una funcionalidad de administración de cuentas y acceso a los clientes: nombre de usuario, nombre de pila, apellidos y dirección de correo electrónico. Estos datos se almacenan en Estados Unidos para admitir la plataforma de Azure Databricks global.
  • Azure Serial Console, que almacena todos los datos del cliente en reposo en la geoárea seleccionada por el cliente; pero, cuando se usa a través de Azure Portal, puede procesar comandos y respuestas de la consola fuera de la geoárea con el único fin de proporcionar la experiencia de la consola en el portal.
  • Servicios en versión preliminar o beta, que suelen almacenar los datos del cliente en Estados Unidos, pero pueden almacenarlos en todo el mundo.

Los clientes pueden configurar los siguientes servicios, niveles o planes de Azure para almacenar los datos de los clientes solo en una sola región de Singapur, Hong Kong o Sur de Brasil:

1Actualmente, la residencia de los datos en una sola región se proporciona de forma predeterminada solo en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico y en la región Sur de Brasil (Estado de São Paulo) de la geoárea Brasil. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

2Actualmente, la residencia de los datos en una sola región se proporciona de forma predeterminada solo en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

3La característica en vista previa para permitir el almacenamiento de datos de clientes en una única región solo está disponible actualmente en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico y en la región Sur de Brasil (Estado de São Paulo) de la geoárea Brasil. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

4Azure Databricks almacena la siguiente información de identidad en el Estados Unidos para proporcionar funcionalidad de administración de cuentas y acceso a los clientes: nombre de usuario, nombre de pila, apellidos y dirección de correo electrónico. Estos datos se almacenan en Estados Unidos para admitir la plataforma de Azure Databricks global. La capacidad de habilitar el almacenamiento de todos los demás datos de clientes en una sola región está disponible actualmente en la región del Sudeste Asiático (Singapur) de la geoárea de Asia Pacífico y sur de Brasil (estado de Sao Paulo) de la geoárea de Brasil. Para el resto de regiones, los datos del cliente se almacenan en la geoárea (sujeto a la excepción mencionada).

5ZRS clásico, GRS/RA-GRS, GZRS/RA-GZRS almacena datos en varias regiones.

Almacenamiento de los datos para servicios no regionales

Algunos servicios de Azure no permiten que el cliente especifique la región en la que se implementará el servicio. Estos servicios pueden almacenar o procesar los datos del cliente en cualquier centro de datos de Microsoft dentro de las regiones públicas de Azure, a menos que se especifique lo contrario.

  • Azure Content Delivery Network, que proporciona un servicio de almacenamiento en caché global y almacena datos de los clientes en ubicaciones periféricas de todo el mundo. Ubicaciones POP de CDN de Azure según región.
  • Microsoft Entra ID (anteriormente Azure Active Directory) funciona como un servicio no regional y, en función de los requisitos del cliente, incluida la disponibilidad y la escalabilidad, puede almacenar datos de directorio de Microsoft Entra de forma global. Más información.
  • Microsoft Defender for Cloud, que puede almacenar una copia de los datos del cliente relacionados con la seguridad, recopilados de un recurso de cliente (como una máquina virtual o un inquilino de Azure AD):

    (a) en la misma geolocalización que ese recurso, excepto en aquellas geolocalizaciones en las que Microsoft aún tiene que implementar Microsoft Defender for Cloud; en ese caso, se almacenará una copia de esos datos en los Estados Unidos; y

    (b) cuando Microsoft Defender for Cloud usa otro servicio en línea de Microsoft para procesar dichos datos, puede almacenar dichos datos de acuerdo con las reglas de geolocalización de ese otro servicio en línea.

    (c) si un cliente aprovisiona su espacio empresarial en la Unión Europea o los Estados Unidos, Microsoft almacenará los datos del cliente en reposo solo dentro de esa geoárea.

    (d) Los compromisos geográficos de (a) y (c) no se aplican a las siguientes características: Security-Solution (WAF).

  • Microsoft Defender para IoT puede usar otros servicios en línea de Microsoft para procesar datos de clientes relacionados con la seguridad; estos datos pueden almacenarse de acuerdo con las reglas de geolocalización de ese otro servicio en línea.
  • Microsoft Fabric permite seleccionar una región de Azure donde se almacenan los datos del cliente al crear una nueva capacidad de Microsoft Fabric. La opción predeterminada que aparece es la región principal del inquilino del usuario; si un usuario selecciona esa región, todos los datos asociados, incluidos los datos del cliente, se almacenarán en esa ubicación geográfica. Si un usuario selecciona una región diferente, algunos datos de cliente seguirán estando en la geoárea principal. Más información.
  • Servicios que proporcionan funciones de enrutamiento global y no procesan ni almacenan datos del cliente. Esto incluye Azure Traffic Manager, que proporciona equilibrio de carga entre distintas regiones, y Azure DNS, que proporciona servicios de nombres de dominio que redirigen el tráfico a distintas regiones.

Para obtener una lista completa de los servicios no regionales, consulte Productos disponibles por región y seleccione Sin región.

¿Podemos ayudarle?