El cumplimiento es un proceso continuo y una responsabilidad compartida. Microsoft está invirtiendo en características y funcionalidad adicionales para ayudar a las organizaciones a lograr sus objetivos de cumplimiento del RGPD.
El camino para lograr el cumplimiento del RGPD comienza con el enfoque en cuatro pasos clave:
Detectar
El primer paso hacia el cumplimiento del RGPD es evaluar si el RGPD se aplica a su organización y, de ser así, qué datos bajo su control están sujetos al RGPD. Este análisis incluye entender qué datos tiene y dónde se encuentran. La adopción de un esquema de clasificación que se aplica en toda su organización le ayuda a responder a las solicitudes de un sujeto de datos, ya que le permite identificar y procesar más rápidamente las solicitudes de datos personales.
Administrar
Administrar el acceso y controlar el uso y acceso a los datos personales es fundamental para el cumplimiento del RGPD. Los servicios de Office 365 proporcionan capacidades de administración desde la nube para ayudarle a cumplir con los requisitos de administración de datos.
Proteger
El RGPD requiere que las organizaciones incorporen principios de privacidad y protección de datos en sus productos y servicios.
De forma predeterminada, los datos personales en tránsito y en reposo están cifrados en Exchange Online, OneDrive para la Empresa, SharePoint Online y Skype Empresarial (en voz, video, transferencia de archivos y mensajes instantáneos de Skype a Skype). Para proteger aún más los datos personales, Office 365 emplea un motor de detección de antimalware para proteger los mensajes entrantes, salientes e internos frente a software malintencionado que se transfiere a través del correo electrónico. Además, de forma predeterminada, Exchange Online utiliza la Seguridad de la capa de transporte (TLS) para cifrar las comunicaciones entre los servidores de Office 365 y Exchange Online y entre los clientes de Exchange Online.
Microsoft utiliza controles de seguridad a nivel de plataforma para ayudar a garantizar la confidencialidad, integridad y disponibilidad de los datos de los clientes, incluidos controles físicos, controles lógicos y prácticas de acceso a datos. Todo el acceso a los datos del cliente es supervisado, registrado, auditado y revisado por Microsoft. Para filtraciones de datos en sistemas administrados por Microsoft, Microsoft tiene un proceso de notificación y administración de respuesta a incidentes de seguridad para Office 365.
Office 365 se audita al menos una vez al año según varias normas globales de privacidad de datos y seguridad de redes, incluyendo ISO/IEC 27001 y 27018. Microsoft prueba periódicamente las medidas de seguridad de Office 365 mediante pruebas de penetración y auditorías de seguridad de terceros, así como evaluaciones alineadas con marcos estándar de la industria. Microsoft también opera un Programa de detección de errores en los servicios en línea y proporciona a los usuarios entornos de desarrollo y prueba.
Informar
El RGPD establece nuevas normas en materia de transparencia, responsabilidad y mantenimiento de registros. Las organizaciones que procesan datos personales deberán mantener registros detallados para un cumplimiento satisfactorio.
El RGPD requiere que realice seguimientos y registre los flujos de datos personales que entran y salen de la Unión Europea (UE), así como los flujos de datos personales a terceros proveedores de servicios. Para ayudarle a realizar los seguimientos y registrar los flujos de datos personales dentro y fuera de la UE, y para reducir la exposición de los clientes a transferencias de datos transfronterizas innecesarias, Microsoft utiliza una estrategia de centro de datos regionalizada para los productos de Office 365.
Microsoft también limita el acceso a los datos personales por parte de terceros subcontratistas, y divulga los nombres de los terceros proveedores de servicios que tienen acceso a los datos de los clientes a través de la Lista de subcontratistas de servicios en línea de Microsoft y la Lista de contratistas de Servicios profesionales de Microsoft.
Office 365 es un servicio de alta seguridad que se ha diseñado combinando los procedimientos recomendados en el ámbito físico, lógico y de datos:
Seguridad física
Supervisión de los centros de datos las 24 horas al día.
Autenticación multifactor que incluye la detección biométrica para el acceso a los centros de datos.
La red interna del centro de datos está separada de la red externa.
La separación de roles hace que la ubicación de los datos de clientes específicos sea ininteligible para el personal que tiene acceso físico.
Las unidades y el hardware con errores se desmagnetizan y se destruyen.
Seguridad lógica
Los procesos de Caja de seguridad permiten un proceso de escalado supervisado estrictamente y que limita en gran medida el acceso personal a los datos. Los servidores solo ejecutan procesos permitidos, lo que reduce el riesgo de código malintencionado.
Los equipos dedicados de administración de amenazas trabajan para anticipar, prevenir y mitigar el acceso malintencionado.
El análisis de puertos, así como la detección de vulnerabilidades perimetrales e intrusiones, previenen o detectan los accesos malintencionados.
Seguridad de datos
El cifrado durante el almacenamiento protege los datos en nuestros servidores.
El cifrado en tránsito con SSL/TLS protege los datos que se transmiten entre los clientes y Microsoft.
Exchange Online Protection ofrece seguridad avanzada y confiabilidad contra el correo no deseado y el malware para proteger tu información y el acceso al correo electrónico.
Además, Office 365 ofrece controles de usuarios y administrativos de clase empresarial para proteger aún más tu entorno.
Controles de usuario
Cifrado de mensajes de Office 365 permite a los usuarios enviar mensajes cifrados a cualquier contacto, independientemente del servicio de correo electrónico que usen los destinatarios.
La prevención de pérdida de datos se puede combinar con Rights Management y Cifrado de mensajes de Office 365 para ofrecer a los administradores más controles que les permitan aplicar directivas adecuadas para proteger la información confidencial.
S/MIME proporciona seguridad de mensajes con acceso al correo electrónico basado en certificados.
Azure Rights Management no permite obtener acceso a los archivos sin las credenciales de usuario correctas.
Controles administrativos
La autenticación multifactor protege el acceso al servicio con un segundo factor, como el teléfono.
La prevención de pérdida de datos evita la transferencia no deseada de información confidencial, tanto dentro como fuera de la organización, a la vez que educa y asesora a los usuarios.
Las funciones integradas de administración de dispositivos móviles te permiten administrar el acceso a los datos corporativos.
La administración de aplicaciones móviles en las aplicaciones móviles de Office, con tecnología de Intune, proporciona controles específicos para proteger los datos contenidos en estas aplicaciones.
La protección integrada antivirus y contra correo no deseado, con Protección contra amenazas avanzada, te protege ante amenazas externas.
Office 365 Cloud App Security proporciona una visibilidad y un control mejorados para tu entorno de Office 365.
Adjunto cuadro comparativo de versiones según nivel de cumplimiento: