RGPD para SharePoint Server

Se aplica a:

• SharePoint Server 2013
• SharePoint Server 2016
• SharePoint Server 2019
• Versión preliminar de SharePoint Server Edición de Suscripción

Como parte de la protección de información personal, le recomendamos lo siguiente:

• Clasifique sus datos con Azure Information Protection.

• Ejecute SharePoint Server en una configuración con privilegios mínimos. Vea Planear la administración con privilegios mínimos en SharePoint Server y Seguridad para SharePoint Server para obtener más información.

• Habilite el cifrado de BitLocker en sus servidores.

Contenido generado por el usuario

El método recomendado básico para contenido generado por usuarios contenido en bibliotecas y sitios de SharePoint Server es este:

• Use Azure Information Protection para etiquetar la información confidencial.

• Use la búsqueda de SharePoint Server e eDiscovery para recuperar información confidencial.

El método recomendado para recursos compartidos de archivos y bibliotecas y sitios de SharePoint está compuesto por estos pasos:

1. Instale y configure el escáner de Azure Information Protection.

   • Decida qué tipos de información confidencial quiere usar.

   • Especifique qué sitios de SharePoint quiere usar.

2. Complete un ciclo de detección.

   • Ejecute el escáner en el modo de detección y valide los resultados.

   • Si es necesario, optimice las condiciones y los tipos de información confidencial.

   • Evalúe el impacto esperado de aplicar etiquetas automáticamente.

3. Ejecute el analizador de Azure Information Protection para aplicar etiquetas a los documentos necesarios.

4. Para obtener protección:

   a. Configure las reglas de prevención de pérdida de datos de Exchange para proteger los documentos con la etiqueta que desee.

   b. Asegúrese de tener permisos para limitar quién puede acceder a los archivos.

   c. Para SharePoint, use IRM-protection para bibliotecas.

5. Para supervisar, integre los registros de Windows Server con una herramienta SIEM.

   a. Para buscar datos personales para solicitudes del interesado, use el Centro de búsqueda o eDiscovery.

Al aplicar etiquetas a datos confidenciales, asegúrese de usar una etiqueta que no esté configurada con protección. La protección incluye cifrado que impide que los servicios detecten datos confidenciales en los archivos.

Para obtener más información sobre el uso del analizador de Azure Information Protection para buscar y etiquetar datos personales, consulte Microsoft RGPD Data Discovery Toolkit (https://aka.ms/gdprpartners).

Para obtener información sobre cómo configurar el analizador para condiciones y usar los tipos de información confidencial de Prevención de pérdida de datos de Microsoft Purview (DLP), consulte Configuración de condiciones para la clasificación automática y recomendada para Azure Information Protection. Tenga en cuenta que los nuevos tipos de información confidencial Office 365 no estarán disponibles inmediatamente para su uso con el escáner y los tipos de información confidencial personalizados no se pueden usar con el escáner.

Quitar información personal de archivos de Office

La eliminación de información personal (como metadatos o comentarios en un documento de Word) de los archivos de Office almacenados en una biblioteca de documentos de SharePoint debe realizarse manualmente. Siga estos pasos:

1. Descargue una copia del documento desde SharePoint Server en el disco local.

2. Elimine el documento de la biblioteca de documentos de SharePoint.

3. Siga los pasos que se indican en Quitar datos ocultos e información personal al inspeccionar documentos.

4. Vuelva a cargar el documento en la biblioteca de documentos de SharePoint.

Telemetría y archivos de registro

Registros de ULS

El servicio de registro unificado (ULS) y el registro de uso en SharePoint Server realizan un seguimiento de una variedad de funciones del sistema y pueden contener información de usuario. Los registros uls y los registros de uso son archivos de texto y se pueden buscar mediante una variedad de herramientas de búsqueda. El cmdlet de PowerShell Merge-SPLogFile proporciona una manera de devolver registros de los registros ULS en varios servidores de una granja de servidores.

Considere la posibilidad de establecer las directivas de retención de registros en el valor mínimo necesario para su empresa. Para obtener información sobre cómo configurar el registro en SharePoint Server, vea Configurar el registro de diagnóstico en SharePoint Server.

Tenga en cuenta que algunos eventos del sistema también se registran en el Registro de eventos de Windows.

Base de datos de uso

La base de datos de uso de SharePoint Server (nombre predeterminado WSS_Logging) contiene un subconjunto de la información que se encuentra en los registros de ULS. La retención máxima de datos en esta base de datos es de 30 días. Se recomienda configurarlo durante el menor tiempo posible para las necesidades empresariales. Para obtener más información, consulte Configuración del registro de diagnósticos en SharePoint Server.

Información personal y búsqueda

El historial de consultas de búsqueda y los registros de uso contienen referencias a nombres de usuario.

Historial de consultas y consultas favoritas

En SharePoint Server, los historiales de consultas y las consultas "favoritas" expiran automáticamente después de 365 días. Si un usuario deja la organización, es posible quitar las referencias al nombre de un usuario del historial de consultas mediante los pasos siguientes.

Las siguientes consultas SQL son válidas para SharePoint Server y permiten lo siguiente:

• Exportar el historial de consultas de un usuario o sus consultas favoritas

• Quitar referencias a nombres de usuario en el historial de consultas

Nota:

Normalmente no se admite la adición de procedimientos almacenados a una base de datos de SharePoint Server. Microsoft realizará una excepción a esta directiva para admitir la adición y ejecución de los procedimientos almacenados descritos en este artículo en una base de datos de SharePoint Server.

Exportar las consultas de un usuario a partir de una fecha determinada

Use el procedimiento siguiente para exportar consultas desde las tablas de registro de consultas del Almacén de vínculos, realizadas por @UserName desde @StartTime.

[In dbo].[LinkStore_<ID>]:
CREATE PROCEDURE proc_MSS_GetQueryTermsForUser 
( 
    @UserName nvarchar(256), 
    @StartTime datetime 
) 
AS 
BEGIN 
    SET NOCOUNT ON; 
    SELECT searchTime, queryString 
    FROM 
        dbo.MSSQLogPageImpressionQuery 
    WITH 
        (NOLOCK) 
    WHERE 
        userName = @UserName AND 
        searchTime > @StartTime 
END 
GO 

Exportar las consultas de un usuario de los últimos 100 días

DECLARE @FROMDATE datetime 
SET @FROMDATE = DATEADD(day, -100, GETUTCDATE()) 
EXECUTE proc_MSS_GetQueryTermsForUser '0#.w|domain\username', @FROMDATE 

Exportar las consultas favoritas de un usuario

Use el procedimiento siguiente para exportar las consultas favoritas de un usuario desde las tablas de resultados personales de la base de datos Administración search, realizadas por @UserName, desde <DateTime>.

In [dbo].[Search_<ID>]:
CREATE PROCEDURE proc_MSS_GetPersonalFavoriteQueries 
( 
    @UserName nvarchar(256), 
    @SearchTime datetime 
) 
AS 
BEGIN 
    SET NOCOUNT ON; 
    SELECT max(queries.SearchTime) as SearchTime, 
           max(queries.querystring) as queryString, 
           max(url.url) as URL 
    FROM MSSQLogOwner owners WITH(NOLOCK) 
    JOIN MSSQLogPersonalResults results WITH(NOLOCK) on owners.OwnerId = results.OwnerId 
    JOIN MSSQLogUrl url WITH(NOLOCK) on results.ClickedUrlId = url.urlId 
    JOIN MSSQLogPersonalQueries queries WITH(NOLOCK) on results.OwnerId = queries.OwnerId 
    WHERE queries.SearchTime > @SearchTime 
        AND queries.UserName = @UserName 
        GROUP BY queries.QueryString,url.url 
END 
GO 

Exportar las consultas favoritas de un usuario de los últimos 100 días

DECLARE @FROMDATE datetime 
SET @FROMDATE = DATEADD(day, -100, GETUTCDATE()) 
EXECUTE proc_MSS_GetPersonalFavoriteQueries '0#.w|domain\username', @FROMDATE 

Quitar referencias a nombres de usuario que tengan más de X días

Use el procedimiento siguiente para quitar las referencias a todos los nombres de usuario más antiguos @Days de las tablas de registro de consultas del Almacén de vínculos. El procedimiento solo quita las referencias hacia atrás en el tiempo hasta que alcanza .@LastCleanupTime

In [dbo].[LinksStore_<ID>]:  
CREATE PROCEDURE proc_MSS_QLog_Cleanup_Users 
( 
    @LastCleanupTime datetime, 
    @Days int 
) 
AS 
BEGIN 
    DECLARE @TooOld datetime 
    SET @TooOld = DATEADD(day, -@Days, GETUTCDATE()) 
    DECLARE @FromLast datetime 
    SET @FromLast = DATEADD(day, -@Days, @LastCleanupTime) 
    BEGIN TRANSACTION 
         UPDATE MSSQLogPageImpressionQuery 
    SET userName = 'NA' 
    WHERE @FromLast <= searchTime AND searchTime < @TooOld 
    UPDATE MSSQLogO14PageClick 
    SET userName = 'NA' 
    WHERE @FromLast <= searchTime AND searchTime < @TooOld 
    COMMIT TRANSACTION 
END 
GO 

Eliminar las referencias a un nombre de usuario específico que tenga más de X días de antigüedad

Use el procedimiento siguiente para quitar las referencias a un nombre de usuario específico de las tablas de registro de consultas del Almacén de vínculos, donde las referencias son más antiguas @Days . El procedimiento solo quita las referencias hacia atrás en el tiempo hasta que alcanza .@LastCleanupTime

In [dbo].[LinksStore_<ID>]:
CREATE PROCEDURE proc_MSS_QLog_Cleanup_Users 
( 
    @UserName nvarchar(256),
    @LastCleanupTime datetime, 
    @Days int 
) 
AS 
BEGIN 
    DECLARE @TooOld datetime 
    SET @TooOld = DATEADD(day, -@Days, GETUTCDATE()) 
    DECLARE @FromLast datetime 
    SET @FromLast = DATEADD(day, -@Days, @LastCleanupTime) 
    BEGIN TRANSACTION 
         UPDATE MSSQLogPageImpressionQuery 
    SET userName = 'NA' 
    WHERE @FromLast <= searchTime AND searchTime < @TooOld AND userName = @UserName
    UPDATE MSSQLogO14PageClick 
    SET userName = 'NA' 
    WHERE @FromLast <= searchTime AND searchTime < @TooOld AND userName = @UserName
    COMMIT TRANSACTION 
END 
GO 

Quitar referencias a todos los nombres de usuario en el historial de consultas desde una fecha y hasta los 30 días anteriores

EXECUTE proc_MSS_QLog_Cleanup_Users '1-1-2017', 30 

Eliminar registros de uso

SharePoint Server elimina automáticamente los registros de uso después de 3 años. Puede eliminar manualmente dichos registros mediante el procedimiento siguiente:

Para eliminar todos los registros de uso asociados con los documentos eliminados:

1. Asegúrese de que tiene instalada la actualización de SharePoint más reciente. 

2. Inicie un Shell de administración de SharePoint.

3. Detenga y borre el último análisis realizado con Análisis de uso:

   $tj = Get-SPTimerJob -Type Microsoft.Office.Server.Search.Analytics.UsageAnalyticsJobDefinition 
   $tj.DisableTimerjobSchedule()
   $tj.StopAnalysis() 
   $tj.ClearAnalysis() 
   $tj.EnableTimerjobSchedule()
   

4. Espere hasta que vuelva a iniciarse el análisis (este proceso podría tardar hasta 24 horas). 

5. En la siguiente ejecución del análisis, volcará todos los registros de la base de datos de informes de Analytics. Este volcado completo puede tardar un tiempo en una base de datos grande con muchas entradas.

6. Espere 10 días. El análisis se ejecuta diariamente y los registros asociados a documentos eliminados se quitarán después de la ejecución de 10^th^ . Esta ejecución puede tardar más de lo normal si es necesario eliminar muchos registros. 

Información personal y búsqueda en SharePoint Server 2010

FAST Search Server 2010 for SharePoint

Además de almacenar archivos en el índice, FAST Search Server 2010 Add-On también almacena archivos en un formato intermedio denominado FixML. Los archivos FiXML se compactan regularmente, de forma predeterminada entre las 3 am y las 5 am cada noche. La compactación elimina automáticamente los archivos eliminados de los archivos FiXML. Para garantizar la eliminación oportuna de la información que pertenece a los usuarios o documentos eliminados, asegúrese de que la compactación siempre está habilitada.

Búsqueda híbrida

Las acciones recomendadas para las soluciones de búsqueda híbrida son las mismas que para la búsqueda en SharePoint Server o SharePoint Online. Hay dos soluciones de búsqueda híbrida:

La solución de búsqueda híbrida en la nube: Con la solución de búsqueda híbrida en la nube para SharePoint, indexa todo el contenido rastreado, incluido el contenido local, en el índice de búsqueda en Office 365. Cuando los usuarios consultan el índice de búsqueda en Office 365, obtienen resultados de búsqueda del contenido local y Office 365. Cuando se eliminan documentos del entorno de SharePoint Server, también se eliminan del índice de búsqueda en Office 365. Obtenga más información sobre la solución de búsqueda híbrida en la nube y cómo interactúan los componentes de búsqueda y las bases de datos en la búsqueda híbrida en la nube para comprender mejor cómo afecta el RGPD al entorno híbrido.

La solución de búsqueda federada híbrida: Con la solución de búsqueda federada híbrida, se usa el índice en SharePoint Server y el índice en Office 365. Los servicios de búsqueda tanto de SharePoint Server como de SharePoint Online pueden consultar el índice de búsqueda del otro entorno y devolver resultados federados. Cuando los usuarios buscan en un Centro de búsqueda, los resultados de la búsqueda provienen tanto del índice de búsqueda en SharePoint Server como del índice de búsqueda de Office 365. Obtenga más información sobre la solución de búsqueda federada híbrida para comprender mejor cómo afecta el RGPD al entorno híbrido.

Migración de un entorno local a la nube

Al migrar datos de SharePoint Server a SharePoint Online, es posible que existan datos duplicados en ambas ubicaciones durante un tiempo. Si tiene datos que necesita eliminar que están en mitad de la migración, se recomienda completar primero la migración y, a continuación, eliminar los datos de ambas ubicaciones. Puede consultar los datos para exportarlos desde cualquier ubicación.

Datos de perfiles de usuario

El servicio de perfil de usuario permite la importación de datos de perfil desde diversos orígenes externos. Las consultas y la actualización de estos datos de perfil de usuario deben controlarse en los sistemas en los que se dominan los datos. Si realiza actualizaciones en el sistema externo, asegúrese de sincronizar de nuevo los perfiles de usuario en SharePoint Server.

Siga estos pasos básicos para eliminar la información personal de un usuario de su perfil de usuario de SharePoint Server:

1. Quite la información de usuario de cualquier sistema externo que se alimente en el perfil de usuario de SharePoint Server. Si usa la sincronización de directorios, el usuario debe quitarse del entorno de Active Directory local.

2. Ejecute una sincronización de perfiles en SharePoint Server.

3. Elimine el perfil de SharePoint Server. Una vez hecho esto, SharePoint Server quitará completamente el perfil de la base de datos de perfiles de usuario en 30 días. Se eliminarán la página de perfil del usuario y el sitio personal.

Después de eliminar el perfil de un usuario, es posible que se siga registrando información limitada (como el identificador de usuario) en las colecciones de sitios que el usuario ha visitado. Si decide eliminar estos datos de una colección de sitios determinada, esto se puede hacer mediante CSOM. A continuación se proporciona un script de ejemplo:

$username = "<admin@company.sharepoint.com>"
$password = "password"
$url = "<https://site.sharepoint.com>"
$securePassword = ConvertTo-SecureString $Password -AsPlainText -Force

# the path here might need to change if you use the SharePoint Server Client Components SDK in a different location.
Add-Type -Path "$env:CommonProgramFiles\microsoft shared\Web Server Extensions\16\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "$env:CommonProgramFiles\microsoft shared\Web Server Extensions\16\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

# connect/authenticate to SharePoint Online and get ClientContext object.
$clientContext = New-Object Microsoft.SharePoint.Client.ClientContext($url)
$credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $securePassword)
$clientContext.Credentials = $credentials
if (!$clientContext.ServerObjectIsNull.Value)
{
    Write-Host "Connected to SharePoint Online site: '$Url'" -ForegroundColor Green
}

# Get user
$user = $clientContext.Web.SiteUsers.GetByLoginName("i:0#.f|membership|user@company.sharepoint.com")

# Redact user
$user.Email = "Redacted"
$user.Title = "Redacted"
$user.Update()
$clientContext.Load($user)
$clientContext.ExecuteQuery()

# Get users
$users = $clientContext.Web.SiteUsers

# Remove user from site
$users.RemoveById($user.Id)
$clientContext.Load($users)
$clientContext.ExecuteQuery()