Controles de cumplimiento y seguridad

Este artículo le ayuda a comprender cómo su organización cumple los diversos requisitos de cumplimiento y estándares de seguridad.

Cumplimiento

Cobertura de cumplimiento

Microsoft Managed Desktop ha logrado las siguientes certificaciones de cumplimiento:

• Estándares de gestión de seguridad de la información (ISMS) ISO 27001
• Sistema de gestión de privacidad de la información (PIMS) ISO 27701
• Código de prácticas para los controles de seguridad de la información ISO 27017
• Código de prácticas para proteger la información personal en la nube ISO 27018
• Estándares de los sistemas de gestión de la calidad ISO 9001
• Gestión del servicio de tecnologías de la información ISO 20000-1
• Estándar de gestión de continuidad empresarial ISO 22301
• Certificación STAR de Cloud Security Alliance (CSA)
• Certificación Cloud Security Alliance (CSA) STAR
• Controles de organización de servicios (SOC) 1, 2, 3
• Programa de evaluador registrado de seguridad de la información (IRAP)
• Estándar de seguridad de los datos (DSS) de la industria de tarjetas de pago (PCI)
• Ley de transferencia y responsabilidad de seguros de salud (HIPAA)
• Marco de seguridad común (CSF) de Health Information Trust Alliance (HITRUST)

Informes de auditores y certificados de cumplimiento

Puede encontrar información relevante, incluidos los requisitos técnicos y de control, en el Portal de confianza de servicios (STP). Este portal es el repositorio central para obtener información sobre las ofertas de Microsoft Cloud Service. Puede descargar informes de auditor, certificados de cumplimiento y mucho más en la sección Informes de auditoría de STP.

Nota:

Dado que Microsoft Managed Desktop se ejecuta en Azure, los documentos pertinentes suelen tener nombres de archivo como "Microsoft Azure, Dynamics 365 y otros Servicios en línea". En esos documentos, normalmente Microsoft Managed Desktop se encuentra en la categoría "Microsoft Online Services" o "Supervisión y administración".

Controles de seguridad

Control de dispositivos

Todo el personal de Microsoft Managed Desktop usa dispositivos aprobados para administrar el servicio y acceder a inquilinos administrados. Estos dispositivos están dedicados a operaciones de producción y requieren autenticación multifactor, tienen su propia identidad especializada, supervisión y protección. Además, estos dispositivos de uso especial tienen controles para evitar que los ingenieros compartan los dispositivos.

Control de personas

Microsoft Managed Desktop mantiene y actualiza un registro de acceso del personal autorizado a los sistemas de Microsoft que contienen datos de clientes. Todos los ingenieros de servicio deben cumplir con las directivas y prácticas de seguridad estándar de Microsoft. Estos incluyen entrenamiento obligatorio regular (seguridad, identidad, privacidad y cumplimiento) y comprobaciones periódicas de antecedentes y seguridad.

Los ingenieros no conservan el acceso continuo a los sistemas de producción ni a los datos de los clientes. Todo el acceso tiene un tiempo limitado y el individuo debe renovarlo, con la revisión y aprobación obligatorias de la administración. Todos los derechos están sujetos a una revisión trimestral de acceso.

Microsoft Managed Desktop tiene procesos con los propietarios asignados que usamos para conceder, modificar y cancelar la autorización de acceso a datos y recursos. Por ejemplo, si un miembro del personal de Microsoft Managed Desktop deja el equipo, sus credenciales se revocan oportunamente.

El acceso a cualquiera de las cuentas de servicio interactivas está restringido al contexto de una solicitud de soporte técnico y se limita a los ingenieros de servicio que usan estos dispositivos. Las solicitudes y el uso de estas cuentas solo pueden originarse desde una estación de trabajo de acceso seguro de Microsoft.

Control de administración de acceso con privilegios

Al administrar una solicitud de soporte técnico, es posible que los ingenieros de servicio tengan que acceder a su inquilino. Para ello, se debe solicitar acceso a un rol de directorio específico. Si se aprueba, se conceden esos permisos a una cuenta de invitado durante un máximo de ocho horas. Este enfoque permite la asociación de usuarios específicos con todas las acciones realizadas dentro de un inquilino.

Control de cuenta de servicio

Todas las credenciales de la cuenta de servicio de Microsoft Managed Desktop se almacenan en una instancia protegida de Azure Key Vault. Las credenciales se generan aleatoriamente y giran cada 13 días, o 30 minutos si se usan en el período intermedio. Puede solicitar el registro de auditoría a través de Microsoft Managed Desktop. Todo el uso de "Just-In-Time" se audita y el registro de auditoría contiene los detalles de las solicitudes de servicio del equipo de ingeniería de servicios de Microsoft Managed Desktop y se almacena durante 365 días en Azure.

Para obtener más información, consulte el documento Microsoft Managed Desktop: almacenamiento de datos, uso y prácticas de seguridad en el Portal de confianza de servicios (STP).