Lista de comprobación de preparación de responsabilidad del soporte técnico y los servicios profesionales de Microsoft para RGPD
1. Introducción
Esta lista de comprobación de preparación para la rendición de cuentas proporciona una manera cómoda de acceder a la información que puede necesitar para admitir el RGPD cuando se usan servicios profesionales de Microsoft y servicios de soporte técnico. La lista de comprobación se organiza mediante los títulos y el número de referencia (entre paréntesis para cada artículo de lista de comprobación) de un conjunto de controles de privacidad y seguridad para los procesadores de datos personales extraídos de:
- ISO/IEC 27701 para las técnicas y requisitos en la gestión de la privacidad.
- ISO/IEC 27001 para los requisitos de técnicas de seguridad.
Esta estructura de control también se usa para organizar la presentación de los controles internos que los Servicios profesionales de Microsoft implementan para cumplir el RGPD, que pueden descargarse desde el Portal de confianza de servicios.
2. Condiciones de recopilación y procesamiento
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Identificar y documentar el propósito (7.2.1) | El cliente debe documentar con qué propósito se tratan los datos personales. | Descripción del tratamiento que Microsoft lleva a cabo (y los propósitos de dicho tratamiento) que puede incluirse en la documentación de responsabilidad. - Complemento de protección de datos de productos y servicios de Microsoft [1] |
(5)(1)(b), (32)(4) |
Identificar el fundamento legal (7.2.2) | El cliente debe conocer cualquier requisito relacionado con el fundamento legal del tratamiento, como, por ejemplo, si se debe dar consentimiento en primer lugar. | Descripción del tratamiento de datos personales que realizan los servicios Microsoft para incluirla en la documentación de responsabilidad. - Información clave de Microsoft Professional Services for Professional Services Data Protection Impact Assessments [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
Establecer cuándo se debe obtener consentimiento (7.2.3) | El cliente debe comprender los requisitos legales o normativos para obtener el consentimiento de las personas antes de procesar los datos personales (cuando sea necesario, si el tipo de procesamiento está excluido del requisito, etc.), incluido cómo se recopila el consentimiento. | Microsoft Professional Services no proporciona soporte técnico directo para obtener el consentimiento del usuario. | (6)(1)(a), (8)(1), (8)(2) |
Obtener y registrar el consentimiento (7.2.4) | Cuando se determina que es necesario, el cliente debe obtener el consentimiento adecuadamente. El cliente también debe tener en cuenta los requisitos de cómo se presenta y recopila una solicitud de consentimiento. | Microsoft Professional Services no proporciona soporte técnico directo para obtener el consentimiento del usuario. | (7)(1), (7)(2), (9)(2)(a) |
Evaluación del impacto en la privacidad (7.2.5) | El cliente debe conocer los requisitos para cumplimentar evaluaciones del impacto en la privacidad (cuándo deben realizarse, las categorías de datos que pueden necesitar una, el tiempo necesario para completar una evaluación, etc.). | Los Servicios profesionales de Microsoft proporcionan instrucciones acerca de cómo establecer cuándo es necesario realizar una evaluación del impacto en la protección de datos e información general sobre el programa de evaluaciones del impacto en la protección de datos de Microsoft, incluida la participación de un responsable de protección de datos, que se facilita en la página de evaluaciones del impacto en la protección de datos del portal de confianza de servicios. Para obtener soporte técnico con respecto a las evaluaciones de impacto en la protección de datos, consulte: |
Artículo (35) |
Contratos con encargados de DCP (7.2.6) | El cliente debe asegurarse de que, en sus contratos con los encargados, se contemplen requisitos que ayuden con cualquier obligación legal o reglamentaria correspondiente relativa al tratamiento y protección de datos personales. | Contratos de Microsoft que requieren que le ayudemos con sus obligaciones derivadas del RGPD, incluido el cumplimiento de los derechos del interesado. - Complemento de protección de datos de productos y servicios de Microsoft [1] |
(5)(2), (28)(3)(e), (28)(9) |
Registros relacionados con el tratamiento de DCP (7.2.7) | El cliente debe mantener todos los registros necesarios y obligatorios relacionados con el tratamiento de datos personales (por ejemplo, la finalidad, las medidas de seguridad, etc.). En los casos en los que estos registros los deba facilitar un encargado secundario, el cliente debe asegurarse de que puede obtenerlos. | Los Servicios profesionales de Microsoft conservan los registros necesarios para demostrar el cumplimiento normativo y para apoyar la responsabilidad con respecto al RGPD. Vea la Documentación de seguridad de Servicios profesionales de Microsoft [2] | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Derechos de los titulares de los datos
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Estipular los derechos de las entidades de seguridad de DCP y permitir que se ejerzan (7.3.1) | El cliente debe conocer los requisitos respecto a los derechos de un individuo en relación con el procesamiento de sus datos personales. Entre estos derechos se incluyen aspectos como el acceso, la corrección y la eliminación. Si el cliente usa un sistema de terceros, deberá dilucidar qué partes de ese sistema (si procede) facilitan las herramientas que permiten a los individuos el ejercicio de sus derechos (por ejemplo, para obtener acceso a los datos). En caso de que el sistema proporcione estas funciones, el cliente debe utilizarlas cuando sea necesario. | Funcionalidad que Microsoft facilita para cumplir los derechos del interesado. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] |
(12)(2) |
Determinar la información relativa a las entidades de seguridad de DCP (interesados) (7.3.2) | El cliente debe comprender los requisitos para los tipos de información sobre el procesamiento de datos personales que deben estar disponibles para ser proporcionados a la persona. Esto puede incluir cosas como: • detalles de contacto sobre el controlador o su representante; • información sobre el procesamiento (fines, transferencia internacional y seguridad relacionada, período de retención, etc.); • información sobre cómo la entidad de seguridad puede acceder a sus datos personales o modificarlos; solicitar la eliminación o la restricción del procesamiento; recibir una copia de sus datos personales y la portabilidad de los datos personales • cómo y desde dónde se obtienen los datos personales (si no se obtuvieron directamente de la entidad de seguridad) • información sobre el derecho a presentar una reclamación y a quién; • información sobre las correcciones a los datos personales; • notificación de que la organización ya no está en la posición para identificar al interesado (entidad de seguridad PII), en los casos donde el procesamiento ya no requiere la identificación del interesado; • transferencias o divulgación de datos personales; • la existencia de toma de decisiones automatizada basada únicamente en un tratamiento automatizado de los datos personales; - información sobre la frecuencia con la que la información se actualiza y se proporciona al interesado (por ejemplo, notificación "justo a tiempo", frecuencia definida por la organización, etc.). Cuando el cliente usa sistemas de terceros o encargados de tratamiento, debe determinar qué parte de esta información (si corresponde) deben proporcionar ellos y asegurarse de que puede obtener la información necesaria de dichos terceros. |
Información sobre los servicios Microsoft que puede incluir en los datos que proporcione a los interesados. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
Facilitar información a las entidades de seguridad de DCP (7.3.3) | El cliente debe cumplir cualquier requisito relativo a cómo, cuándo y de qué manera se va a facilitar la información necesaria a un individuo en relación con el procesamiento de sus datos personales. En los casos donde sea un tercero quien proporcione la información necesaria, el cliente debe asegurarse de que lo hace según lo dispuesto en el RGPD. | Información basada en un modelo sobre los Servicios profesionales de Microsoft que puede incluir en los datos que facilita a los interesados. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
Facilitar un mecanismo para modificar o retirar el consentimiento (7.3.4) | El cliente debe comprender los requisitos para informar a los usuarios sobre su derecho a acceder, corregir y/o borrar sus datos personales y para proporcionar un mecanismo para que lo hagan. Si se usa un sistema de terceros y proporciona este mecanismo como parte de su funcionalidad, el cliente debe usar esa funcionalidad según sea necesario. | Información sobre la funcionalidad de servicios Microsoft que se puede usar al definir la información que se facilita a los interesados cuando se solicita consentimiento. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
Facilitar un mecanismo para oponerse al tratamiento (7.3.5) | El cliente debe comprender los requisitos en torno a los derechos de los interesados. Cuando una persona tiene derecho a oponerse al procesamiento, el cliente debe informarle y tener una manera de que el individuo registre su objeción. | Información sobre servicios Microsoft relativos a los objetos que se van a tratar que puede incluir en los datos que facilita a los interesados. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
Compartir el ejercicio de los derechos de las entidades de seguridad de DCP (7.3.6) | El cliente debe conocer los requisitos para informar a los terceros con los que se compartan datos personales de los casos de modificación de datos a raíz del ejercicio de derechos de un individuo (por ejemplo, porque solicite borrar o modificar datos, etc.). | Información sobre la funcionalidad de servicios Microsoft que permite encontrar los datos personales que se han compartido con terceros. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(19) |
Corrección o supresión (7.3.7) | El cliente debe comprender los requisitos para informar a los usuarios sobre su derecho a acceder, corregir y/o borrar sus datos personales y para proporcionar un mecanismo para que lo hagan. Si se usa un sistema de terceros y proporciona este mecanismo como parte de su funcionalidad, el cliente debe usar esa funcionalidad según sea necesario. | Información sobre los servicios Microsoft relativa a su capacidad para acceder a datos personales, corregirlos o eliminarlos que puede incluir en los datos que proporcione a los sujetos de datos. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
|
Facilitar una copia de la DCP tratada (7.3.8) | El cliente debe comprender los requisitos para ofrecer una copia de los datos personales que se procesan al individuo. Estos pueden incluir requisitos en torno al formato de la copia (es decir, que es legible por la máquina), la transferencia de la copia, etc. Cuando el cliente usa un sistema de terceros que proporciona la funcionalidad para proporcionar copias, debe usar esta funcionalidad según sea necesario. | Información sobre las capacidades de los servicios Microsoft que le permiten obtener una copia de los datos personales que pueden ser incluidos en los datos proporcionados a sus titulares.- Solicitudes sobre interesados en los Servicios profesionales de Microsoft para el RGPD [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
Administración de solicitudes (7.3.9) | El cliente debe comprender los requisitos para aceptar y responder a solicitudes legítimas de personas relacionadas con el procesamiento de sus datos personales. Cuando el cliente usa un sistema de terceros, debe saber si ese sistema proporciona las capacidades para este control de solicitudes. Si es así, el cliente debe usar estos mecanismos para controlar las solicitudes, según sea necesario. | Información sobre las capacidades de los servicios Microsoft que pueden ser utilizadas cuando se define la información que es facilitada a los titulares de los datos cuando se administran sus solicitudes.- Solicitudes sobre los interesados en los Servicios profesionales de Microsoft para el RGPD [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
Toma de decisiones automatizada (7.3.10) | El cliente debe comprender los requisitos en torno al procesamiento automatizado de datos personales y dónde se toman decisiones mediante dicha automatización. Ello conlleva facilitar información a un individuo sobre el tratamiento, oponerse a dicho tratamiento u obtener la intervención humana. Si estas características las proporciona un sistema de terceros, el cliente debe asegurarse de que dicho tercero facilita toda la información o asistencia que sean necesarios. | Información sobre las capacidades de servicios Microsoft que dan cabida a la toma de decisiones automatizada que se pueden usar en la documentación de responsabilidad, así como información (en formato de plantilla) dirigida a los titulares de los datos sobre esas capacidades. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Privacidad por diseño y de forma predeterminada
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Limitar la recopilación (7.4.1) | El cliente debe comprender los requisitos sobre los límites establecidos en torno a la recopilación de los datos personales (por ejemplo, que la recopilación deba limitarse a lo estrictamente necesario para una finalidad en concreto). | Descripción de los datos recopilados por los servicios Microsoft. - Complemento de protección de datos de productos y servicios de Microsoft [1] - Información clave sobre los Servicios profesionales de Microsoft en las evaluaciones del impacto en la protección de datos de los clientes [9] |
(5)(1)(b), (5)(1)(c) |
Limitar el tratamiento (7.4.2) | El cliente es responsable de limitar el procesamiento de datos personales para que se limite a lo que sea adecuado para el propósito identificado. | Descripción de los datos recopilados por los servicios Microsoft. - Complemento de protección de datos de productos y servicios de Microsoft [1] - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(25)(2) |
Definir y documentar los objetivos de minimización y desidentificación de DCP (7.4.3) | El cliente debe conocer los requisitos sobre la desidentificación de datos personales, lo que puede englobar cuándo debe usarse, el alcance de esa desidentificación y los casos en los que no se puede usar. | El cliente es responsable de la desidentificación antes de transferir datos a Microsoft. Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. | (5)(1)(c) |
Cumplir con los niveles de identificación (7.4.4) | El cliente debe usar y cumplir con los métodos y objetivos de desidentificación en vigor en su organización. | El cliente es responsable de la desidentificación antes de transferir datos a Microsoft. Microsoft hace uso de la desidentificación y seudonimización de manera interna y cuando proceda para ofrecer más medidas de seguridad de la privacidad de datos personales. | (5)(1)(c) |
Desidentificación y eliminación de DCP (7.4.5) | El cliente debe comprender los requisitos relativos a la retención de datos personales más allá de su uso para los fines identificados. Cuando el sistema proporciona herramientas, el cliente debe usar esas herramientas para borrar o eliminar según sea necesario. | Funcionalidades proporcionadas por servicios Microsoft para cumplir las directivas de retención de datos. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
Archivos temporales (7.4.6) | El cliente debe ser consciente de que es posible que se envíen archivos temporales a Microsoft que podrían llevar a un incumplimiento de las directivas relacionadas con el tratamiento de datos personales (por ejemplo, es posible que se conserven datos personales en un archivo temporal durante más tiempo del permitido o necesario). | Descripción de la funcionalidad facilitada por el servicio para identificar datos personales y comprobar que cumplen con las directivas de archivos temporales. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(5)(1)(c) |
Retención (7.4.7) | El cliente debe decidir durante cuánto tiempo se deben conservar los datos personales, teniendo en cuenta la finalidad en concreto. | Información sobre la retención de datos personales por parte de los servicios Microsoft que se puede incluir en la documentación facilitada a los interesados. - Anexo sobre protección de datos de servicios profesionales de Microsoft [1] |
(13)(2)(a), (14)(2)(a) |
Eliminación (7.4.8) | El cliente debe usar cualquier mecanismo de eliminación existente en el sistema para eliminar datos personales. | Funcionalidades proporcionadas por servicios Microsoft para cumplir las directivas de eliminación de datos. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(5)(1)(f) |
Procedimientos de recopilación (7.4.9) | El cliente debe conocer los requisitos sobre la precisión de los datos personales (por ejemplo, ser precisos a la hora de recopilarlos, mantenerlos actualizados, etc.) y usar cualquier mecanismo existente en ese sistema para acometer esas tareas. | Modo en que los servicios Microsoft contemplan la precisión de los datos personales y la funcionalidad que dichos servicios facilitan para cumplir la directiva de precisión de datos. - Solicitudes de los interesados en los Servicios profesionales de Microsoft para el RGPD y la CCPA [7] |
(5)(1)(d) |
Controles de transmisión (7.4.10) | El cliente debe conocer los requisitos para proteger la transmisión de datos personales, como, por ejemplo, quién tiene acceso a los mecanismos de transmisión, los registros de transmisión, etc. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
Identificar la base para la transferencia de PII (7.5.1) | El cliente debe conocer los requisitos para transferir datos personales (PII) a otra ubicación geográfica, así como documentar las medidas puestas en marcha para satisfacer tales requisitos. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
Artículos (44), (45), (46), (47), (48) y (49) |
Países y organizaciones a los que se puede transferir DCP (7.5.2) | El cliente debe comprender y ser capaz de proporcionar a la persona, los países a los que se transfieren o pueden transferirse datos personales. Cuando un tercero o procesador pueda realizar esta transferencia, el cliente debe obtener esta información del procesador. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(30)(1)(e) |
Registros de transferencias de DCP (datos personales) (7.5.3) | El cliente debe mantener todos los registros necesarios y necesarios relacionados con las transferencias de datos personales. Cuando un tercero o procesador realiza la transferencia, el cliente debe asegurarse de que mantiene los registros adecuados y los obtiene según sea necesario. | Descripción de los tipos de datos personales que los servicios Microsoft transfieren y las ubicaciones a las que se transfieren, además de las medidas de protección legales en vigor para las transferencias. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(30)(1)(e) |
Registros de divulgación de DCP a terceros (7.5.4) | El cliente debe comprender los requisitos relacionados con la grabación a quién se han divulgado los datos personales. Esto puede incluir divulgaciones a las fuerzas del orden, etc. Cuando un tercero o procesador divulga los datos, el cliente debe asegurarse de que mantiene los registros adecuados y los obtiene según sea necesario. | Documentación sobre las categorías de destinatarios de divulgaciones de datos personales, incluidos los registros de divulgación disponibles. - Quién puede acceder a sus datos y en qué condiciones [6] |
(30)(1)(d) |
Responsable asociado (7.5.5) | El cliente debe decidir si se trata de un responsable asociado a cualquier otra organización y, como tal, documentar y asignar las obligaciones convenientemente. | Microsoft no es un controlador conjunto de la información personal proporcionada como parte de los datos de soporte técnico y servicios profesionales. | (26)(1), (26)(2), (26)(3) |
5. Protección y seguridad de los datos
Categoría | Consideración para el cliente | Documentación de Microsoft complementaria | Aborda los artículos del RGPD |
---|---|---|---|
Conocer la organización y su contexto (5.2.1) | Los clientes deben definir su rol en el procesamiento de datos personales (por ejemplo, responsable, encargado o corresponsable) para identificar los requisitos adecuados (reglamentarios, etc.) para el procesamiento de los datos personales. | Forma en la que Microsoft considera cada servicio como encargado o responsable al tratar datos personales. - Complemento de protección de datos de productos y servicios de Microsoft [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
Conocer las necesidades y expectativas de las partes interesadas (5.2.2) | Los clientes deben distinguir las partes que desempeñan un papel o tienen interés en el tratamiento de datos personales (por ejemplo, reguladores, auditores, interesados, encargados del tratamiento de datos personales contratados, etc.), así como conocer los requisitos para que cada parte interactúe cuando proceda. | Modo en que Microsoft incorpora las vistas de todas las partes interesadas en consideración de los riesgos que entraña el tratamiento de datos personales. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
Establecer el ámbito del sistema de administración de seguridad de la información (5.2.3 y 5.2.4) | Como parte de cualquier programa general de privacidad o seguridad que un cliente puede haber puesto en marcha, se debe contemplar en ellos el tratamiento de datos personales y los requisitos relativos a él. | Modo en que los servicios Microsoft incluyen el tratamiento de datos personales en los programas de privacidad y administración de seguridad de la información. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Informe de auditoría ISO 27001 [10] |
(32)(2) |
Planeación (5.3) | Los clientes deben tener en cuenta el tratamiento de los datos personales como parte de cualquier evaluación de riesgos que lleven a cabo, así como aplicar los controles que consideren necesarios para mitigar los riesgos relacionados con los datos personales que controlan. | Modo en que los servicios Microsoft consideran los riesgos específicos del tratamiento de datos personales como parte del programa general de privacidad y administración de seguridad. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] |
(32)(1)(b), (32)(2) |
Directivas de seguridad de la información (6.2) | El cliente debe ampliar cualquier directiva de seguridad de la información existente para que contemple la protección de datos personales, incluidas las directivas necesarias para respetar las leyes vigentes. | Directivas de Microsoft sobre seguridad de la información y medidas específicas para la protección de información personal. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Informe de auditoría ISO 27001 [10] |
24(2) |
Organización de seguridad de la información Consideración para el cliente (6.3) | Dentro de su organización, el cliente debe definir las responsabilidades de seguridad y protección de los datos personales. Esto puede incluir establecer roles específicos para supervisar los asuntos relacionados con la confidencialidad, incluido un DPO. Estos roles requieren un soporte técnico adecuado de aprendizaje y administración. | Microsoft ha publicado información sobre el responsable de la protección de datos de Microsoft, la naturaleza de sus tareas, la estructura jerárquica e información de contacto. - Información sobre el responsable de protección de datos de Microsoft [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
Seguridad de recursos humanos (6.4) | El cliente debe definir y asignar la responsabilidad que facilite el aprendizaje pertinente sobre protección de datos personales. | Información general sobre el rol de responsable de protección de datos de Microsoft, la naturaleza de sus funciones, la estructura de informes y la información de contacto. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Descripción del programa de concienciación y aprendizaje [3] |
(39)(1)(b) |
Clasificación de la información (6.5.1) | El cliente debe considerar los datos personales expresamente como parte de un esquema de clasificación de datos. | Modo en que Microsoft considera los datos personales en la clasificación, la información de seguimiento y el etiquetado de datos. - Información de sobre los Servicios profesionales de Microsoft sobre las evaluaciones del impacto de la protección de datos de clientes [9] |
(39)(1)(b) |
Administración de medios extraíbles (6.5.2) | El cliente debe establecer directivas internas que rijan el uso de un medio extraíble en relación con la protección de datos personales (por ejemplo, dispositivos cifrados). | Modo en que los servicios Microsoft protegen la seguridad de la información personal en un medio extraíble. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
Transferencia de medios físicos (6.5.3) | El cliente debe establecer directivas internas que rijan la protección de los datos personales al transferir medios físicos (por ejemplo, cifrado). | Modo en que los servicios Microsoft protegen los datos personales durante la transferencia de cualquier medio físico. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(32)(1)(a), (5)(1)(f) |
Administración del acceso de usuario (6.6.1) | El cliente debe tener conocimiento de las distintas responsabilidades que tiene para el control de acceso dentro del servicio que esté usando y administrar esas responsabilidades correctamente a través de las herramientas disponibles. | Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(5)(1)(f) |
Registro de usuarios y anulación de registros (6.6.2) | El cliente debe administrar el registro de usuarios, así como la eliminación de registros, en el servicio que use y con las herramientas que tenga a su disposición. | Herramientas que ofrecen los servicios Microsoft para ayudarle a exigir el control de acceso. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(5)(1)(f) |
Aprovisionamiento del acceso de usuario (6.6.3) | El cliente debe administrar los perfiles de usuario, sobre todo en lo tocante al acceso autorizado a datos personales, en el servicio que use y con las herramientas que haya disponibles. | Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles y registro y anulación de registros de usuarios. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(5)(1)(f) |
Administración del acceso con privilegios (6.6.4) | El cliente debe administrar los identificadores de usuario de forma que permita llevar un seguimiento del acceso (sobre todo a los datos personales) en el servicio que use y con las herramientas que haya disponibles. | Modo en que los servicios Microsoft permiten el control de acceso a los datos personales, esto es, identificadores de usuario, roles y registro y anulación de registros de usuarios. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(5)(1)(f) |
Asegurar los procedimientos de inicio de sesión (6.6.5) | El cliente debe emplear los mecanismos facilitados en el servicio para garantizar la funcionalidad de inicio de sesión seguro para sus usuarios cuando proceda. | Modo en que los servicios Microsoft contemplan las directivas de control de acceso internas relacionadas con los datos personales. - Quién puede tener acceso a los datos y en qué condiciones [6] |
(5)(1)(f) |
Criptografía (6.7) | El cliente debe determinar qué datos deben cifrarse y si el servicio que usa ofrece esta funcionalidad. El cliente debe usar el cifrado según sea necesario, con las herramientas disponibles para ellos. | Modo en que los servicios Microsoft aceptan el cifrado y la seudonimización para reducir el riesgo del tratamiento de datos personales. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(32)(1)(a) |
Eliminación segura o reutilización de equipos (6.8.1) | Si el cliente usa servicios de informática en la nube (PaaS, SaaS, IaaS), debe tener conocimiento de cómo el proveedor de nube garantiza que los datos personales se van a eliminar del espacio de almacenamiento antes de que dicho espacio se asigne a otro cliente. | Cómo se aseguran los servicios profesionales de Microsoft de que los datos personales se borran del equipo de almacenamiento antes de que este se transfiera o se reutilice al usar servicios de procesamiento en la nube de Microsoft Azure durante los servicios profesionales. - Documentación de seguridad sobre los Servicios profesionales de Microsoft [2] |
(5)(1)(f) |
Directiva de pantalla y escritorio despejados (6.8.2) | El cliente debe tener en cuenta los riesgos relacionados con el material impreso que muestre datos personales, y puede restringir potencialmente la creación de este material. Cuando el sistema utilizado permita este tipo de restricciones (por ejemplo, una configuración para evitar la impresión, o la copia y pegado de datos confidenciales), el cliente debe considerar su uso. | Qué implementa Microsoft para administrar copias impresas. - Microsoft mantiene estos controles de manera interna, ISO/IEC 27001: 2013 ISMS vea la declaración de aplicación sobre los Servicios profesionales de Microsoft [11] - Conjunto de controles RGPD sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f) |
Separación de los entornos operativos, de desarrollo y de pruebas (6.9.1) | El cliente debe considerar las implicaciones que conlleva el uso de datos personales en los entornos de desarrollo y pruebas de la organización. | Modo en que Microsoft garantiza que los datos personales están protegidos en los entornos de desarrollo y pruebas. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f) |
Copia de seguridad de la información (6.9.2) | El cliente debe asegurarse de usar la funcionalidad que el sistema facilita para crear redundancias de los datos y probarlas según sea necesario. | Modo en que Microsoft garantiza la disponibilidad de los datos entre los que pueda haber datos personales, modo en que se garantiza la precisión de los datos restaurados, y las herramientas y procedimientos que los servicios Microsoft facilitan para hacer copias de seguridad de los datos y restaurarlos. Documentación de administración sobre la continuidad empresarial de Microsoft Enterprise [5] |
(32)(1)(c), (5)(1)(f) |
Registro de eventos (6.9.3) | El cliente debe comprender las funcionalidades de registro que proporciona el sistema y usarlas para garantizar que se puedan registrar las acciones relativas a los datos personales que se consideren necesarias. | Datos que el servicio Microsoft registra de forma automática, como las actividades de usuario, las excepciones, los errores y los eventos de seguridad de información, así como el modo en que se puede tener acceso a esos registros para su uso como parte del mantenimiento de registros. - Documentación de seguridad de servicios profesionales de Microsoft [2] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f) |
Protección de la información de registros (6.9.4) | El cliente debe tener en cuenta los requisitos para proteger la información de registro que puede contener datos personales o que pueden contener registros relacionados con el procesamiento de datos personales. Cuando el sistema en uso proporciona funcionalidades para proteger los registros, el cliente debe usar estas funcionalidades cuando sea necesario. | Modo en que Microsoft protege los registros que pueden contener datos personales. - Documentación de seguridad de servicios profesionales de Microsoft [2] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f) |
Directivas y procedimientos de transferencia de información (6.10) | El cliente debe tener procedimientos para los casos en los que los datos personales se puedan transferir en medios físicos (como un disco duro que se mueve entre servidores o instalaciones). Estos pueden incluir registros, autorizaciones y seguimiento. Cuando un tercero u otro procesador pueda transferir medios físicos, el cliente debe asegurarse de que esa organización tenga procedimientos implementados para garantizar la seguridad de los datos personales. | Modo en que los servicios Microsoft transfieren medios físicos que puedan contener datos personales (incluidas las circunstancias en las que podría producirse una transferencia) y las medidas de protección tomadas para proteger los datos. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f) |
Acuerdos de confidencialidad (6.10.2) | El cliente debe decidir la necesidad de tener acuerdos de confidencialidad (o equivalente) con los usuarios individuales que tienen acceso a los datos personales o responsabilidades al respecto. | Modo en que los servicios Microsoft garantizan que los usuarios individuales con acceso autorizado a los datos personales se han comprometido a no revelarlos. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - Conjunto de controles sobre los Servicios profesionales de Microsoft [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
Proteger los servicios de aplicaciones en redes públicas (6.11.1) | El cliente debe comprender los requisitos para el cifrado de datos personales, especialmente cuando se envían a través de redes públicas. Cuando el sistema proporciona mecanismos para cifrar los datos, el cliente debe usar esos mecanismos cuando sea necesario. | Descripción de las medidas que los servicios Microsoft toman para proteger los datos en tránsito (incluido el cifrado de los datos) y cómo estos servicios protegen los datos que pueden contener datos personales cuando pasan a través de redes públicas de datos (incluida cualquier medida de cifrado). - Documentación de seguridad de servicios profesionales de Microsoft [2] |
(5)(1)(f), (32)(1)(a) |
Proteger los principios de ingeniería del sistema (6.11.2) | A la hora de proteger los datos personales, el cliente debe comprender cómo se han diseñado y ejecutado los sistemas. Cuando un cliente use un sistema diseñado por un tercero, es su responsabilidad asegurarse de que se hayan considerado estas protecciones. | Modo en que los servicios Microsoft contemplan los principios de protección de datos personales como medida obligatoria según nuestros principios de diseño e ingeniería seguros. - ISO/IEC 27001: 2013 ISMS declaración sobre la aplicación de los Servicios profesionales de Microsoft [11] - ¿Qué es el Ciclo de vida de desarrollo de seguridad de Microsoft? |
(25)(1) |
Relaciones con los proveedores (6.12) | El cliente debe asegurarse de que en la información de carácter contractual o en cualquier otro tipo de acuerdo se abordan los requisitos de protección de datos personales y de seguridad de la información que sean responsabilidad de un tercero. Los contratos también deben abordar las instrucciones de procesamiento | El modo en que los servicios Microsoft abordan la protección de datos y la seguridad en nuestros contratos con los proveedores y cómo nos aseguramos de que esos contratos se cumplen de manera eficaz. - Quién puede acceder a sus datos y en qué condiciones [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
Administración de incidentes de seguridad de la información y mejoras (6.13.1) | El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. | Modo en que los servicios Microsoft determinan si un incidente de seguridad es una vulneración de datos personales y cómo comunicamos tal vulneración al usuario. - Servicios profesionales de Microsoft y notificación de incumplimiento según el RGPD [8] |
(33)(2) |
Responsabilidades y procedimientos (durante los incidentes de seguridad de la información) (6.13.2) | El cliente debe comprender y documentar sus responsabilidades durante una vulneración de datos o un incidente de seguridad que implique datos personales. Las responsabilidades pueden incluir la notificación a las partes requeridas, las comunicaciones con procesadores u otros terceros, y las responsabilidades dentro de la organización del cliente. | Modo en que hay que informar a los servicios Microsoft cuando se detecta un incidente de seguridad o infracción de datos personales. - Servicios profesionales de Microsoft y notificación de incumplimiento según el RGPD [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
Respuesta a incidentes de seguridad de la información (6.13.3) | El cliente debe disponer de procesos para distinguir cuándo se ha producido una vulneración de datos personales. | Descripción de la información que los servicios Microsoft facilitan para ayudarle a decidir si se ha producido una infracción de datos personales. - Servicios profesionales de Microsoft y notificación de incumplimiento según el RGPD [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
Protección de los registros (6.15.1) | El cliente debe conocer los requisitos de los registros relacionados con el tratamiento de datos personales que deben mantenerse. | Modo en que los servicios Microsoft almacenan los registros relacionados con el procesamiento de datos personales. - Documentación de seguridad de servicios profesionales de Microsoft [2] |
(5)(2), (24)(2) |
Revisión independiente de seguridad de la información (6.15.2) | El cliente debe conocer los requisitos para evaluar la seguridad del procesamiento de datos personales. Esto puede incluir auditorías internas o externas, u otras medidas para evaluar la seguridad del procesamiento. Si el cliente depende de una organización o un tercero para la totalidad o parte del proceso, entonces debe informarse de las evaluaciones que estos efectúen. | Modo en que los servicios Microsoft prueban y evalúan la eficacia de las medidas técnicas y organizativas de cara a garantizar la seguridad del procesamiento, incluida cualquier auditoría realizada por terceros. - Anexo sobre protección de datos de servicios profesionales de Microsoft [1] |
(32)(1)(d), (32)(2) |
Revisión de cumplimiento técnico (6.15.3) | El cliente debe comprender los requisitos para probar y evaluar la seguridad del procesamiento de datos personales. Esto puede incluir pruebas técnicas como pruebas de penetración. Si el cliente usa un sistema o procesador de terceros, estos deben comprender las responsabilidades que tienen de proteger y evaluar la seguridad (por ejemplo, administrar las configuraciones de protección de datos y evaluar estas configuraciones). Si el tercero es responsable de la totalidad o de una parte de la seguridad del procesamiento, el cliente debe comprender qué pruebas o evaluaciones realiza el tercero para asegurar la seguridad del procesamiento. | El modo en que se prueban los servicios Microsoft basándose en los riesgos identificados, incluye pruebas de terceros, así como tipos de pruebas técnicas. - Para obtener una lista de certificaciones externas, vea Ofertas de cumplimiento del Centro de confianza de Microsoft [12] - Para obtener más información acerca de la prueba de vulnerabilidad de sus aplicaciones, consulte la documentación de seguridad de Servicios profesionales de Microsoft [2] |
(32)(1)(d), (32)(2) |