Notificación de infracción de Microsoft Azure, Dynamics 365 y Power Platform en virtud del RGPD

En Microsoft nos tomamos muy en serio nuestras obligaciones relativas al Reglamento general de protección de datos (RGPD). Microsoft toma amplias medidas de seguridad dentro de su servicios en línea para protegerse contra las infracciones de datos. Estas medidas incluyen controles de seguridad físicos y lógicos, así como procesos de seguridad automatizados, directivas completas de privacidad y seguridad de la información, y formación en seguridad y privacidad para todo el personal.

La seguridad está integrada en Microsoft Azure, Dynamics 365 y Power Platofrm desde cero, empezando por el ciclo de vida de desarrollo de seguridad, un proceso de desarrollo obligatorio que incorpora metodologías de privacidad por diseño y privacidad predeterminadas. El principio rector de la estrategia de seguridad de Microsoft es "asumir la vulneración", que es una extensión de la estrategia de defensa en profundidad. Al desafiar constantemente las capacidades de seguridad de Microsoft Azure, Dynamics 365 y Power Platofrm Microsoft pueden adelantarse a las amenazas emergentes. Para obtener más información sobre la seguridad de Azure, revise estos recursos.

Microsoft tiene un servicio de respuesta a incidentes 24x7 global dedicado que funciona para mitigar los efectos de los ataques contra Microsoft Azure, Dynamics 365 y Power Platform. Atestiguado por varias auditorías de seguridad y cumplimiento (por ejemplo, ISO/IEC 27018), Microsoft emplea operaciones y procesos rigurosos en sus centros de datos para evitar el acceso no autorizado, incluida la supervisión de vídeo 24x7, el personal de seguridad entrenado, las tarjetas inteligentes y los controles biométricos.

Detección de posibles vulneraciones

Debido a la naturaleza de la informática en la nube moderna, no todas las infracciones de datos que se producen en un entorno en la nube del cliente implican los servicios Microsoft Azure, Dynamics 365 o Power Platform. Microsoft emplea un modelo de responsabilidad compartida para los servicios Microsoft Azure, Dynamics 365 y Power Platform para definir las responsabilidades operativas y de seguridad. La responsabilidad compartida es importante en la seguridad de un servicio en la nube, ya que tanto el proveedor de servicios en la nube como el cliente son responsables de distintos aspectos de la seguridad en la nube.

Microsoft no supervisa ni responde a incidentes de seguridad dentro del ámbito de responsabilidad del cliente. Un riesgo de seguridad solo para el cliente no se procesaría como un incidente de seguridad de Microsoft y requeriría que el inquilino del cliente administrara el esfuerzo de respuesta. La respuesta a incidentes del cliente puede implicar la colaboración con el soporte al cliente de Microsoft Azure, Dynamics 365 soporte al cliente o soporte al cliente de Power Platform, dados los contratos de servicio adecuados. Microsoft también ofrece varios servicios (por ejemplo, Microsoft Defender for Cloud) que los clientes pueden usar para desarrollar y administrar la respuesta a incidentes de seguridad.

Microsoft responde a una posible vulneración de datos según el proceso de respuesta a incidentes de seguridad, que es un subconjunto del plan de administración de incidentes de Microsoft. La respuesta a incidentes de seguridad de Azure de Microsoft se implementa mediante un proceso de cinco fases: Detectar, evaluar, diagnosticar, estabilizar y cerrar. El equipo de respuesta a incidentes de seguridad puede alternar entre las fases de diagnóstico y estabilización a medida que avanza la investigación. A continuación, se muestra una descripción general del proceso de respuesta a incidentes de seguridad:

Fase Descripción
1: Detección Primera indicación de un posible incidente.
2: Evaluación Un miembro del equipo de respuesta a incidentes de llamada evalúa el impacto y la gravedad del evento. En función de las pruebas, la evaluación puede dar lugar o no a una mayor escalación al equipo de respuesta de seguridad.
3: Diagnóstico Los expertos en respuestas de seguridad llevan a cabo la investigación técnica o forense, la identificación de estrategias de contención, la mitigación y la aplicación de soluciones alternativas. Si el equipo de seguridad cree que los datos del cliente pueden haberse expuesto a una ejecución individual ilegal o no autorizada, se inicia el proceso de notificación de incidentes del cliente de forma paralela.
4: Estabilización y recuperación El equipo de respuesta a incidentes crea un plan de recuperación para mitigar el problema. Los pasos de contención de crisis, como la cuarentena de los sistemas afectados, pueden producirse inmediatamente y en paralelo con el diagnóstico. Se pueden planear mitigaciones a largo plazo que se produzcan después de que haya pasado el riesgo inmediato.
5: Cierre y análisis posterior El equipo de respuesta ante incidentes crea un análisis posterior que expone los detalles del incidente, con la intención de revisar directivas, procedimientos y procesos para evitar que el evento vuelva a producirse.

Los procesos de detección utilizados por Microsoft Azure, Dynamics 365 y Power Platform están diseñados para detectar eventos que arriesgan la confidencialidad, integridad y disponibilidad de los servicios Azure, Dynamics 365 y Power Platform. Varios eventos pueden desencadenar una investigación:

  • Alertas automatizadas del sistema mediante marcos internos de monitoreo y alerta. Estas alertas pueden interferir con alarmas basadas en firmas, como antimalware, detección de intrusiones o mediante algoritmos diseñados para identificar actividades previstas y generar alertas ante anomalías.
  • Informes internos de los servicios Microsoft ejecutándose en Microsoft Azure y Azure Government.
  • Las vulnerabilidades de seguridad se notifican al Centro de respuestas de seguridad de Microsoft (MSRC) a través de Informa un problema. El Centro de respuestas de seguridad de Microsoft trabaja con asociados e investigadores de seguridad de todo el mundo para impedir que se produzcan incidentes de seguridad y mejorar la seguridad de los productos de Microsoft.
  • Los informes de clientes a través de portales, incluido el Portal de soporte al cliente de Microsoft Azure, Dynamics 365 soporte al cliente, soporte técnico al cliente de Power Platform, Microsoft Azure Portal y Azure Government Portal de administración, que describen la actividad sospechosa que se atribuye a la infraestructura de Azure (en lugar de la actividad que se produce dentro del ámbito de responsabilidad del cliente).
  • Actividad de los equipos de seguridad rojo y azul. Esta estrategia usa un equipo rojo altamente cualificado de expertos en seguridad ofensivos de Microsoft para descubrir y atacar posibles debilidades en Microsoft Azure. El equipo Azul de respuesta de seguridad debe detectar la actividad del equipo rojo y defenderse contra ella. Las acciones de los equipos Rojo y Azul se usan para comprobar que los esfuerzos de respuesta de seguridad de Azure son efectivos a la hora de administrar incidentes de seguridad. Las actividades del equipo rojo de seguridad y del equipo azul se realizan bajo reglas de compromiso para ayudar a garantizar la protección de los datos de los clientes y los datos personales.
  • Escalaciones por operadores de Microsoft Azure, Dynamics 365 y Power Platform Services. Los empleados de Microsoft están preparados para identificar y escalar los posibles problemas de seguridad.

Respuesta de vulneración de datos de Microsoft Azure, Dynamics 365 y Power Platform

Microsoft asigna los niveles de prioridad y gravedad adecuados investigando el impacto funcional, la capacidad de recuperación y el impacto de la información del incidente. Tanto la prioridad como la gravedad pueden cambiar a lo largo de la investigación, en función de nuevos resultados y conclusiones. Los eventos de seguridad que impliquen un riesgo inminente o confirmado para los datos de los clientes se tratan como muy graves y se trabaja de forma urgente para su resolución.

El equipo de respuesta a incidentes de seguridad trabaja con los ingenieros de servicio de Microsoft y expertos en la materia aplicables para clasificar el evento en función de los datos fácticos de las pruebas. Se puede clasificar un evento de seguridad como:

  • Falso positivo: evento que cumple los criterios de detección, pero que se encuentra como parte de una práctica empresarial normal y es posible que tenga que filtrarse. Los equipos de servicio identificarán la causa principal de los falsos positivos y los abordarán de forma sistemática para ajustarlos según sea necesario.
  • Evento de seguridad: una actividad repetida observable en un sistema, servicio o red de intento de ataque, eliminación de los controles de seguridad o problema identificado en el que los hechos indican que los datos del cliente o los datos personales pueden haberse perdido, destruido, modificado, divulgado o accedido sin autorización.
  • Incidente de seguridad o Incidente de seguridad/privacidad notificado por el cliente (CRSPI): infracción de seguridad confirmada (por ejemplo, declarada) que conduce a la destrucción (accidental o ilegal), pérdida, modificación, divulgación no autorizada o acceso a los datos de los clientes o datos personales mientras Microsoft los procesa.
  • Evento de privacidad: evento de seguridad que afecta a los datos del cliente o a los datos personales o al procesamiento de datos que da lugar a consecuencias no deseadas para la privacidad, incluido el incumplimiento de las directivas, estándares y controles de privacidad de Microsoft.
  • Incidente de privacidad/Incidente de seguridad/privacidad notificable del cliente (CRSPI): un incidente de seguridad que afecta a los datos del cliente o a los datos personales, los datos o el procesamiento de datos que da lugar a consecuencias no deseadas para la privacidad, incluido el incumplimiento de las directivas, estándares y controles de privacidad de Microsoft.

Para que se declare una CRSPI, Microsoft debe determinar que el acceso no autorizado a los datos del cliente se ha producido, o es probable que lo haya hecho, o existe un compromiso legal o contractual que fuerce la notificación. Un incidente se declara, en general, como CRSPI después de la conclusión de la fase de diagnóstico de un incidente de seguridad. Sin embargo, la declaración puede producirse en cualquier momento en el que esté disponible toda la información pertinente.

Microsoft comprueba que el riesgo empresarial y del cliente está contenido correctamente y que se implementan medidas correctivas. Si es necesario, se toman los pasos de mitigación de emergencia para resolver los riesgos de seguridad inmediatos asociados al evento.

Microsoft también realiza un análisis final interno para las vulneraciones de datos. Como parte de este ejercicio, se evalúa la suficiencia de los procedimientos operativos y de respuesta, y se identifican e implementan las actualizaciones que puedan ser necesarias para el procedimiento operativo estándar de respuesta a incidentes de seguridad (SOP) o los procesos relacionados. Los análisis finales internos para las vulneraciones de datos son registros muy confidenciales no disponibles para los clientes. Pero los análisis posteriores pueden resumirse e incluirse en otras notificaciones de eventos del cliente. Estos informes se proporcionan a auditores externos para su revisión como parte de los ciclos de auditoría rutinaria de Microsoft Azure, Dynamics 365 y Power Platform.

Notificación al cliente

Microsoft envía notificaciones a los clientes y a las autoridades competentes de las vulneraciones de datos, según sea necesario. Microsoft se basa en una gran compartimentación interna en el funcionamiento de Microsoft Azure, Dynamics 365 y Power Platform. Una de las ventajas de este diseño es que permite determinar a qué clientes específicos se aplican la mayoría de los incidentes. El objetivo es notificar a los clientes afectados a la mayor brevedad y de manera precisa y útil que se ha producido una vulneración de sus datos.

Tras la declaración de un CRSPI, el proceso de notificación tiene lugar tan pronto como sea posible, pero hay que considerar los riesgos de seguridad de actuar demasiado rápido. Los avisos del cliente se entregan sin retrasos indebidos y, en cualquier caso, en no más de 72 horas a partir del momento en que declaramos una infracción excepto en algunas circunstancias limitadas, algunos ejemplos son los siguientes:

  • Microsoft cree que el acto de realizar una notificación aumentará el riesgo para otros clientes. Por ejemplo, el acto de notificación puede dar propina a un adversario y provocar una incapacidad de corrección.
  • La escala de tiempo de 72 horas puede dejar algunos detalles del incidente no disponibles. Estos se proporcionan a los clientes y a las autoridades de reglamentación mientras avanza la investigación.

Microsoft Azure proporciona a los clientes información detallada, lo que les permite realizar investigaciones internas y ayudar a cumplir los compromisos de usuario final, mientras no retrase indebidamente el proceso de notificación. La notificación de una vulneración de datos para Azure se entregará en la hoja de notificaciones de estado del servicio de Microsoft Azure de un cliente como aviso de seguridad. Si se garantiza, uno o varios de los siguientes roles pueden recibir notificaciones por correo electrónico de un incidente de seguridad o privacidad junto con una notificación de estado del servicio o en su lugar:

El equipo de Microsoft Azure o Azure Government también puede optar por notificar a otro personal de Microsoft, como los miembros del equipo del Servicio de atención al cliente (CSS) de Microsoft y los administradores de cuentas del cliente (AM) o el Administrador de cuentas de éxito del cliente (CSAM). Por lo general, estas personas suelen tener relaciones estrechas con el cliente y pueden facilitar la reparación más rápida.

La notificación de una vulneración de datos para Microsoft Dynamics 365 y Power Platform se enviará al Centro de administración de Microsoft 365 en "Centro de mensajes" y "panel de Estado del servicio". Puede encontrar más detalles en Directivas y comunicaciones para Power Platform y Dynamics 365 servicios.

Características de seguridad integradas de Microsoft Dynamics 365 y Power Platform

Microsoft Dynamics 365 y Power Platform aprovechan la infraestructura de servicios en la nube y las características de seguridad integradas para proteger los datos mediante medidas de seguridad y mecanismos para proteger los datos. Además, Dynamics 365 y Power Platform proporcionan un acceso eficaz a los datos y la colaboración con la integridad y la privacidad de los datos en las siguientes áreas: identidad segura, protección de datos, seguridad basada en roles y administración de amenazas.

Las ofertas de Microsoft Dynamics 365 y Power Platform siguen las mismas medidas técnicas y organizativas que uno o varios equipos de servicio de Microsoft Azure para protegerse frente a procesos de vulneración de datos. Por lo tanto, toda la información documentada en el documento de notificación "Vulneración de datos de Microsoft Azure" aquí se aplica también a Microsoft Dynamics 365 y Power Platform.

Más información

Centro de confianza de Microsoft