Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 1

El enfoque de Microsoft del cumplimiento en la nube Informática de confianza de Microsoft

Resumen ejecutivo Microsoft reconoce que la confianza es necesaria para que las organizaciones y las personas adopten de manera integral y se beneficien de los servicios en la nube. Microsoft tiene el compromiso de proporcionar a los clientes la información de cumplimiento que necesitan para confiar en Microsoft como su proveedor de servicios en la nube (CSP, por sus siglas en inglés) preferido. Si bien la nube puede ser abstracta, el enfoque de Microsoft de ofrecer servicios en la nube confiables no lo es. Este se basa en numerosos años de experiencia, en un compromiso con los principios de seguridad, privacidad y transparencia y en las prácticas líderes del sector. El término “cumplimiento” se ha utilizado con frecuencia a medida que crece la adopción de la nube. Se usa de distintas maneras en relación a los servicios en la nube, particularmente como una herramienta en la evaluación de servicios en la nube y como una manera de describir las expectativas de cómo se utilizan los servicios en la nube. Diversos factores inciden en la importancia del cumplimiento cuando los clientes evalúan los servicios en la nube de Microsoft:

1) Los clientes deben satisfacer sus propias necesidades de cumplimiento: al momento de usar los servicios en la nube, los clientes asumen sus propias obligaciones de cumplimiento. Estas obligaciones pueden tener su origen en mandatos internos o normativas externas y normas de la industria. Esto da como resultado una dependencia de las capacidades del CSP. Las capacidades del CSP se convierten en una parte del conjunto completo de capacidades de cumplimiento que representa el cliente. Esto se confirma mediante la validación de terceros de las capacidades señaladas de Microsoft que se expresan como certificaciones y validaciones. Estas certificaciones y validaciones, junto con los compromisos contractuales, se comparten con los clientes de

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 2

Microsoft y constituyen la base de la dependencia en las afirmaciones sobre su conjunto completo de capacidades de cumplimiento. En este sentido, el cumplimiento es una forma de verificación que Microsoft ha compilado con un conjunto de requisitos normativos, normas de la industria y decisiones de negocios en los que sus clientes pueden confiar a través de declaraciones de cumplimiento.

2) El cumplimiento a menudo es percibido como una evidencia de la declaración de Microsoft sobre la confiabilidad de sus servicios en la nube: los clientes de Microsoft tienen la opción de verificar las declaraciones de servicios en la nube confiables de Microsoft como una manera de tomar decisiones de riesgo informadas en cuanto a la adopción y las operaciones constantes de los servicios en la nube de Microsoft. Esto les permite comprobar que Microsoft cumple sus promesas sobre la seguridad, privacidad y confiabilidad de sus servicios en la nube.

3) Microsoft debe cumplir con los requisitos debido a los mercados e industrias en los que opera: Microsoft debe demostrar su cumplimiento con determinadas normas y regulaciones de la industria debido a los mercados e industrias en los que opera. Las agencias reguladoras, organizaciones de la industria y clientes de Microsoft esperan que la empresa cumpla con estos requisitos. Por ejemplo, los clientes y la industria de tarjetas de crédito esperan que Microsoft cumpla con la norma relativa a la seguridad de los datos para el sector de las tarjetas de pago dado que Microsoft procesa sus tarjetas de crédito cuando adquieren servicios en la nube.

4) Microsoft debe verificar su entorno de acuerdo con la política y los requisitos comerciales: Microsoft utiliza el cumplimiento para fines internos, por ejemplo, para evaluar si la empresa opera de una manera conforme con su propia política y requisitos comerciales. En este sentido, el cumplimiento es una herramienta que Microsoft utiliza para la gestión interna de riesgos.

Este documento describe el enfoque de Microsoft respecto al cumplimiento en la nube para satisfacer las necesidades antes mencionadas. Las prácticas de cumplimiento en la nube de Microsoft se pueden dividir en tres áreas principales, como se muestra en el diagrama a continuación:

1. Creación de una base de cumplimiento

2. Ayuda a los clientes para satisfacer sus necesidades de cumplimiento específicas

3. Asociación con líderes del sector, agencias reguladoras y legisladores

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 3

Introducción La computación en la nube plantea muchos beneficios. Por ejemplo, la investigación de Microsoft evidencia que el 70 % de las pequeñas y medianas empresas que utilizan servicios en la nube han reinvertido el dinero que ahorraron al migrar a la nube en desarrollo de productos, innovación, marketing y expansión. Un 91 % de los encuestados señaló que la adopción de la tecnología en la nube ha favorecido la seguridad. En términos más amplios, la nube permite a las organizaciones incrementar la agilidad, mantenerse actualizadas con la tecnología más reciente, escalar para satisfacer necesidades dinámicas y permitir a una fuerza de trabajo cada vez más móvil trabajar de manera productiva en cualquier momento y lugar. Una amplia variedad de organizaciones del sector público y privado ha adoptado los servicios en la nube de Microsoft a la vez que sigue satisfaciendo sus necesidades de cumplimiento. Estas organizaciones se benefician de las inversiones considerables de Microsoft en seguridad, privacidad y confiabilidad, inversiones que a menudo no pueden realizar por su propia cuenta. Esto permite a las organizaciones que utilizan servicios en la nube de Microsoft reinvertir recursos en áreas estratégicas para sus objetivos. Para organizaciones sujetas a requisitos de cumplimiento internos o externos, la opción de un CSP requiere una cuidadosa consideración. En muchos casos, los servicios del CSP pasan a formar parte de la cadena de cumplimiento del cliente, lo que genera obligaciones de cumplimiento compartidas. El CSP incluso puede proporcionar acuerdos contractuales específicos de cumplimiento, como cuando una organización exige un Acuerdo de sociedad comercial en virtud de la Ley de Responsabilidad y Movilidad del Seguro de Salud (HIPAA-BAA, por sus siglas en inglés).

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 4

Mientras más complejas son las necesidades de cumplimiento de una organización, más importante es que un CSP demuestre su colaboración y ofrezca flexibilidad para permitir a la organización satisfacer dichas necesidades. Teniendo como socio al CSP correcto, prácticamente cualquier organización puede beneficiarse de la computación en nube. Las organizaciones deben utilizar un conjunto amplio de criterios para la evaluación de las capacidades de seguridad, privacidad y cumplimiento del CSP, incluidas las respuestas del CSP a las siguientes preguntas:

• ¿Tiene una trayectoria comprobada en el ofrecimiento de servicios en la nube seguros y confiables creados tomando en cuenta la privacidad y la protección de los datos?

• ¿Obtuvo verificación y validación de terceros independientes que son relevantes para las necesidades de cumplimiento de sus clientes?

• ¿Sus clientes tienen la flexibilidad y las opciones de capacidades para satisfacer sus requisitos específicos de cumplimiento?

• ¿Cuánto invierte en el desarrollo y el mejoramiento de la seguridad, la privacidad y los procesos y las tecnologías de cumplimiento para satisfacer las normas en constante cambio en todo el mundo?

• ¿Es transparente en cuanto a sus capacidades de cumplimiento en la nube y qué responsabilidades comparte con los clientes?

• ¿El CSP ayuda a los clientes a satisfacer sus propios requisitos de cumplimiento?

• ¿Demuestra liderazgo al participar en el desarrollo y el mejoramiento continuo de normas del sector relevantes para el cumplimiento de los servicios en la nube?

En este documento, analizamos cómo el enfoque de Microsoft respecto al cumplimiento en la nube le permite cumplir con estos criterios importantes como un CSP comprometido con la prestación de servicios en la nube confiables. Microsoft aborda la seguridad, la privacidad y el cumplimiento como responsabilidades compartidas con los clientes. Microsoft ayuda a aligerar la carga de seguridad y cumplimiento para los clientes con herramientas internas, procesos y controles extensivos, al invertir de manera continua en una base tecnológica segura y al brindar a los clientes la flexibilidad que necesitan para implementar sus propios enfoques de cumplimiento.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 5

Creación de una base de cumplimiento Los servicios en la nube de Microsoft enfatizan las capacidades de seguridad, privacidad y confiabilidad de su tecnología, sus personas y sus procesos. Al priorizar estas capacidades en todas sus ofertas, Microsoft reduce el riesgo comercial y técnico para todos sus clientes y facilita para sí misma y para sus clientes la obtención de certificaciones y validaciones clave.

Informática de confianza de Microsoft La Informática de confianza (TwC, por sus siglas en inglés) es una iniciativa de colaboración a largo plazo de Microsoft que tiene por fin crear y ofrecer experiencias de informática seguras, privadas y confiables a todas las personas. En esencia, Microsoft cree que los datos y la información personal de los clientes se deben proteger. La empresa se adhiere a prácticas comerciales que promueven la confianza y se concentran en la aplicación de prácticas recomendadas de ingeniería y operaciones sólidas para garantizar continuamente que los productos y servicios sean cada vez más confiables, seguros y que cumplan con los requisitos. Una manera clave en que la Informática de confianza (TwC) afecta directamente la capacidad de cumplimiento de los servicios en la nube es mediante el desarrollo de marcos y herramientas que guíen la forma en que Microsoft diseña, crea y opera sus ofertas, las que incluyen los servicios en la nube. El primero de estos es el Ciclo de vida de desarrollo de seguridad (SDL, por sus siglas en inglés), un requisito obligatorio para toda Microsoft desde hace una década y que se comparte libremente con la industria y los clientes. El SDL incorpora los requisitos de seguridad en el proceso de desarrollo de software de principio a fin. Todos los servicios en la nube de Microsoft utilizan el SDL para optimizar y verificar sus capacidades de seguridad, privacidad y cumplimiento. El SDL se revisa y actualiza en forma regular a medida que se identifican nuevas amenazas y requisitos. A fin de seguir el ritmo acelerado del desarrollo y la implementación basados en la nube, Microsoft desarrolló una versión de la metodología de SDL denominada SDL para Agile. La guía de SDL para Agile está disponible como descarga gratuita para desarrolladores que crean aplicaciones de nube en Microsoft Azure y otras plataformas de nube o en proyectos de desarrollo de software donde se aplica la metodología de desarrollo ágil. Muchas amenazas se focalizan en vulnerabilidades de software, pero otras atacan las debilidades operativas. Es por ello que Microsoft creó el marco Garantía de seguridad operativa (OSA, por sus siglas en inglés). La OSA permite la supervisión continua, identifica los riesgos operativos, ofrece pautas de seguridad operativa y verifica que se cumplan tales pautas. La OSA ayuda a la infraestructura en la nube de Microsoft a ser más resistente a los ataques al reducir la cantidad de tiempo necesario para proteger, detectar y responder a las amenazas de seguridad.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 6

Inversión e innovación en cumplimiento Microsoft invierte de manera considerable en un marco de cumplimiento unificado y basado en el estándar ISO/IEC 27001:2005 así como también en normas de la industria como la SSAE 16/ISAE 3402 SOC 1, la AT 101 SOC 2, PCI-DSS y la FISMA/FedRAMP (basada en NIST SP 800-53). Mediante la utilización de herramientas y procesos, Microsoft asigna elementos de control a responsabilidades de ingeniería y operaciones, identifica y resuelve las brechas y reduce el esfuerzo duplicado cuando es posible que una sola actividad de control se asigne a requisitos similares que contemplan varias normas. Esta asignación modifica el enfoque desde requisitos de auditoría específicos a controles racionalizados, lo que permite a los equipos concentrarse en diseñar actividades de control eficaces. El marco de control permite a Microsoft desarrollar un cronograma de auditoría predecible, prepararse para múltiples auditorías con una sola evaluación anual de preparación para actividades de control y optimizar el cumplimiento de una gran variedad de regulaciones ahora y en el futuro.

Certificaciones de terceros Un CSP se convierte en parte de la cadena de cumplimiento de una organización. Además de certificar a su propio personal, procesos y tecnología, una organización debe verificar que su CSP tenga las certificaciones relevantes. La base de la informática de confianza y la innovación en procesos de cumplimiento de Microsoft le permiten liderar la industria de servicios en la nube en cuanto a la obtención de certificaciones de terceros. Su enfoque optimizado del cumplimiento le permite acelerar la certificación y prestar servicios que cumplen con los requisitos de más clientes y con un rango más amplio de entornos regulatorios. Por ejemplo:

• Microsoft fue el primer proveedor principal de servicios en la nube en recibir la certificación del estándar ISO 27001, un amplio estándar internacional de seguridad de la información.

• La primera certificación de Autoridad para operar (ATO, por sus siglas en inglés) de FISMA fue otorgada a Microsoft el año 2010. Desde entonces, Office 365, Microsoft Azure y Global Foundation Services (GFS) han recibido certificaciones ATO de numerosas agencias federales.

• Con Microsoft Azure y GFS, Microsoft recibió una certificación de Autoridad provisional para operar (P-ATO, por sus siglas en inglés) del Directorio de autorización conjunta del Programa federal de gestión de autorizaciones y riesgos (FedRAMP). La P-ATO del Sistema de soporte general de GFS contempla servicios compartidos en nueve centros de datos de Microsoft ubicados en Estados Unidos, lo que incluye California, Illinois, Iowa, Texas, Virginia y Washington.

• El año 2012, Microsoft se convirtió en uno de los primeros del sector en completar con éxito las certificaciones SOC 2 Tipo 2 y SOC Tipo 3 para GFS. Microsoft Azure obtuvo una certificación SOC 2.

• Microsoft fue el primer CSP de productividad principal en ofrecer un BAA de HIPAA a entidades de cuidado de la salud con acceso a Información de salud protegida (PHI, por sus siglas en inglés).

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 7

• Las Cláusulas modelo de la Unión Europea (UE) documentan el compromiso de Microsoft de manejar los datos conforme con las Directivas de protección de datos de la UE. Microsoft insta a las agencias reguladoras a revisar su enfoque del cumplimiento con las Cláusulas modelo de la UE, algo que pocos proveedores de servicios en la nube están dispuestos a hacer, y Microsoft ha realizado mejoras basándose en los comentarios de las agencias reguladoras. Los servicios en la nube de Microsoft (incluidos Azure, Office 365 y Dynamics CRM Online) se convirtieron en los primeros servicios en la nube importantes en poner las Cláusulas modelo de la UE a disposición de los clientes empresariales.

• Microsoft Azure fue validado por su cumplimiento de PCI-DSS Nivel 1 por parte de un Evaluador de seguridad calificado (QSA, por sus siglas en inglés) independiente.

• Microsoft fue el primer CSP en someterse a una evaluación de terceros realizada conforme con la Matriz de controles para la nube (CCM, por sus siglas en inglés) de Cloud Security Alliance (CSA) como parte de su auditoría de SOC 2 Tipo 2 para Microsoft Azure.

Global Foundation Services de Microsoft La infraestructura de los centros de datos de Microsoft presta servicio a una amplia variedad de industrias en todo el mundo, entre ellas, las que cumplen requisitos estrictos como las normas ISO, PCI-DSS y FedRAMP. El equipo de GFS de Microsoft es responsable de los centros de datos de Microsoft, incluidas las redes, las operaciones, la seguridad y el cumplimiento. Esta infraestructura es utilizada por todos los servicios en la nube de Microsoft y presta servicio a más de 20 millones de empresas en todo el mundo. GFS combina numerosas tecnologías y procesos de seguridad en un enfoque de "defensa completa" unificado que permite ofrecer una base para los servicios en la nube de Microsoft que es segura, confiable, privada y que cumple con todos los requisitos y normas. Una evidencia del éxito de este enfoque es que GFS obtuvo la certificación ISO/IEC 27001:2005, las certificaciones SSAE 16/ISAE 3402 SOC 1, 2 y 3, y la Autoridad provisional para operar del Directorio de autorización conjunta del Programa federal de autorizaciones y riesgos (FedRAMP) y la certificación PCI-DSS como proveedor de infraestructura. GFS opera cientos de controles de seguridad basados en más de 1000 requisitos únicos de auditoría. Los centros de datos de Microsoft están ubicados estratégicamente en todo el mundo para optimizar el rendimiento y ayudar a garantizar la resistencia de los servicios. Estos centros están diseñados para proteger los servicios y la información y para optimizar la disponibilidad. Además, deben ser operados conforme a las prácticas recomendadas, como un control de acceso estricto y supervisión las 24 horas.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 8

Privacidad por diseño Microsoft reconoce que los servicios en la nube están planteando desafíos exclusivos para la privacidad y que el control de datos y la privacidad a menudo constituyen aspectos fundamentales del cumplimiento. Microsoft se destaca por sobre los CSP principales en cuanto a que ofrece declaraciones de privacidad y compromisos contractuales específicos de los servicios en relación con las limitaciones de uso y las protecciones de datos. Con Microsoft, los clientes pueden esperar Privacidad por diseño, lo que garantiza la implementación constante de protecciones de privacidad para todos los productos, servicios, y operaciones y para la organización del equipo de Microsoft. De acuerdo con el principio de Privacidad por diseño, se restringe el acceso del personal de Microsoft a los datos de los clientes. Solo se accede a los datos de los clientes cuando es necesario para la solución de problemas y para mejorar las características que involucran la detección y la protección de amenazas. Para muchos clientes, conocer y controlar la ubicación de sus datos es un elemento importante del cumplimiento. Microsoft permite a las organizaciones elegir el área geográfica en la que residen sus datos. Además, los clientes pueden optar por distribuir la ubicación de sus datos en regiones dentro de un área geográfica para fines como la redundancia o el rendimiento.1

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento Transparencia Las verificaciones de terceros reconocidas por la industria son importantes, pero los clientes también requieren que los CSP sean adecuadamente transparentes en cuanto a sus actividades de cumplimiento. Esto permite a los clientes tomar una decisión más informada sobre si un proveedor es idóneo para satisfacer sus necesidades exclusivas. Microsoft proporciona a los clientes información detallada y actualizada sobre sus servicios en la nube para ayudarles a realizar sus propias evaluaciones de cumplimiento y verificar que los servicios de Microsoft cumplan con los criterios de sus propias certificaciones. Microsoft creó centros de confianza para Microsoft Azure, Office 365, Windows Intune y Dynamics CRM con el fin de ayudar a los clientes a comprender los aspectos de cumplimiento de los servicios en la nube de Microsoft. Los centros de 1 Para obtener información completa sobre la manera en que Microsoft limita el uso de datos de los clientes, consulte el Centro de confianza del servicio en cuestión.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 9

confianza ofrecen acceso a documentación e información de cumplimiento que detallan cómo Microsoft maneja los datos almacenados para sus servicios en la nube, entre ellos, los principios de privacidad, transparencia, verificación independiente y seguridad. Los centros de confianza de Microsoft Azure, Office 365, Windows Intune y Dynamics CRM ofrecen vínculos a paneles para clientes con información actualizada sobre el tiempo de actividad de los servicios y la ubicación de los datos. Además, Microsoft participa en iniciativas de todo el sector, incluida su asociación con Cloud Security Alliance (CSA). La CSA, una organización independiente de la industria, desarrolló un marco de controles denominado Matriz de controles para la nube (CCM) y el Registro de seguridad, confianza y aseguramiento (STAR, por sus siglas en inglés) para registrar las respuestas detalladas a más de 100 preguntas de autoevaluación que se plantean a los CSP sobre los controles de seguridad en la nube. Microsoft también participó en el desarrollo de la CCM y la referencia a la guía de la CSA, y además realizó su propia auditoría detallada basada en la CCM, que está disponible en el registro STAR. Junto con mejorar la confianza a través de la transparencia, Microsoft trabaja para proporcionar a los clientes las herramientas que necesitan para lograr el cumplimiento bajo sus propios términos. Las organizaciones que deseen evaluar su estado de seguridad de TI, evaluar los beneficios de la computación en nube y planificar la adopción y el cumplimiento pueden usar la Herramienta de disponibilidad de seguridad en la nube. Esta herramienta, basada en las respuestas a algunas preguntas breves, genera un informe personalizado de acuerdo con las necesidades de la organización. Para obtener información adicional, consulte el documento "El enfoque de Microsoft para la transparencia en la nube".

Opciones y flexibilidad Considerando que el cumplimiento no es una actividad que se pueda realizar de manera estándar para todas las empresas, Microsoft ofrece opciones y flexibilidad líderes en el sector que permiten a los clientes utilizar servicios en la nube conforme con sus normas de seguridad y cumplimiento. En sectores altamente regulados o que manejan datos delicados de los clientes, es posible que los clientes, los auditores o las políticas internas exijan a las organizaciones mantener ciertos datos en sus instalaciones. Si una oferta de nube no es compatible con la tecnología en las instalaciones, estas organizaciones no pueden usarla o deben mantener los servicios en la nube y en las instalaciones separados entre sí. Microsoft ofrece soluciones híbridas que combinan sin problemas el software en las instalaciones y los servicios en la nube en soluciones unificadas. Esto permite a los clientes migrar a la nube a su propio ritmo y simplifica el cumplimiento con un conjunto unificado de herramientas de administración y auditoría.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 10

Microsoft promueve la interoperabilidad con el fin de facilitar y reducir los costos para que los clientes desarrollen y administren entornos de TI mixtos. En la nube, Microsoft admite normas clave que constituyen los fundamentos para lograr servicios en la nube abiertos e interoperables. Además, ofrece a los desarrolladores opciones de lenguajes de programación, como Java, Android, y Ruby, portabilidad de los datos y propiedad de los datos por parte del cliente sin importar dónde residan los datos.

Funciones de cumplimiento controladas por el cliente Además de los controles sólidos implementados en la infraestructura, Microsoft mantiene su práctica establecida hace mucho tiempo de incorporar funciones de cumplimiento en productos y servicios en la nube específicos. Los ejemplos incluyen:

• Rights Management Services (RMS): RMS, que ahora está disponible en la nube a través de Microsoft Azure, permite la aplicación de políticas de protección en documentos y registros delicados. A diferencia de los enfoques que pretenden interrumpir el flujo de la información en los puntos de salida en una organización, el software de administración de derechos se ejecuta a niveles profundos dentro de las tecnologías de almacenamiento de datos. Los documentos se cifran y el control sobre quién puede descifrarlos utiliza controles de acceso que se definen en una solución de control por autenticación, como un servicio de directorio.

• Controles de identidad y acceso: Microsoft ofrece soluciones integrales y federadas de administración de identidad y acceso que los clientes pueden usar en Microsoft Azure y otros servicios, como Office 365, lo que simplifica la administración de múltiples entornos y aplicaciones y controla el acceso de los usuarios en una amplia gama de aplicaciones.

• eDiscovery y archivado: Con poderosas herramientas que incluyen archivado in situ, retención por juicio, registros de auditoría y búsquedas en múltiples buzones, Office 365 ayuda a las organizaciones a cumplir con las normas de cumplimiento legales, regulatorias y de la industria.

• Prevención de pérdida de datos (DLP): En Exchange Online, se pueden utilizar reglas de transporte para controlar el flujo de mensajes de correo electrónico dentro, a y desde una organización. Por ejemplo, las reglas de transporte se pueden usar para detectar y detener mensajes salientes que contienen información de identificación personal, como números de seguridad social.

• Consejos sobre políticas: Exchange puede detectar en forma automática la información comercial delicada de acuerdo con las políticas de la empresa y advertir a los usuarios de las aplicaciones Outlook y Outlook Web antes de que hagan clic en Enviar.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 11

Asociación con líderes del sector Microsoft se mantiene al tanto de los cambios nuevos e inminentes en los requisitos de cumplimiento clave y participa de manera activa en las conversaciones que los generan con el fin de beneficiar a sus clientes. La empresa ayuda a los encargados de la toma de decisiones y a las agencias reguladoras a elaborar políticas de manera tal que satisfagan las necesidades en constante evolución y que a la vez mantengan las estrictas normas de seguridad, privacidad y confiabilidad. Con el fin de promover un enfoque basado en las normas del cumplimiento en la nube, Microsoft forma parte de organizaciones como la CSA. Allí, Microsoft colabora con otros CSP en el desarrollo de pautas y prácticas recomendadas que informen sobre las normas futuras. Microsoft interactúa de manera proactiva con clientes gubernamentales, desempeñándose como un asesor de confianza en el desarrollo y la implementación de sus políticas y programas de seguridad en la nube. Microsoft posee una vasta experiencia en evaluaciones de seguridad del cumplimiento para sus productos y servicios tanto para los clientes del gobierno de Estados Unidos como para los clientes gubernamentales en todo el mundo. Como arquitectos y guardianes de los sistemas en la nube, los gobiernos dependen de Microsoft para saber cómo la empresa garantiza la confidencialidad, la confiabilidad y la confianza de sus servicios en línea. Microsoft trabaja con socios gubernamentales, como el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés), la Agencia Europea de Seguridad de las Redes y la Información (ENISA) y otros organismos para desarrollar la manera en que se enfrenta a los desafíos de seguridad asociados con la operación en un entorno tradicional basado en el concepto red-a-nube. Microsoft tiene el compromiso de idear una manera constructiva y progresista de lograr un consenso sobre las medidas necesarias para reducir el riesgo y obtener los resultados de seguridad deseados.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 12

Los servicios en la nube de Microsoft ofrecen opciones a los clientes Debido al enfoque integral de Microsoft sobre la seguridad, la privacidad y la confiabilidad, así como sus procesos, tecnologías y certificaciones de cumplimiento, la empresa puede ofrecer un conjunto completo de servicios en la nube confiables. Los clientes pueden optar por adquirir servicios de infraestructura, plataformas y software como un paquete completo a Microsoft, lo que asegura un marco de control común y una consistencia en todos los servicios. Este enfoque reduce el número de dependencias y riesgos de cumplimiento de varios proveedores que deben estar certificados, lo que simplifica el proceso de lograr el cumplimiento y recibir certificaciones. Al mismo tiempo, Microsoft cree que los clientes deben tener opciones y utiliza tecnología estándar de la industria para respaldar la interoperabilidad con soluciones de terceros, así como también ofrece capacidades híbridas avanzadas para que los clientes puedan migrar a la nube a su propio ritmo. Con Microsoft, los clientes obtienen la flexibilidad que necesitan para adoptar los componentes de los servicios en la nube que apoyan sus objetivos de negocios y satisfacen sus requisitos de cumplimiento actuales, con la posibilidad de cambiar la combinación a medida que evolucionan sus necesidades. Los servicios en la nube ofrecen la posibilidad de generar un valor enorme. Con Microsoft, no solo es improbable que se presenten problemas de cumplimiento, sino que muchas organizaciones realmente pueden reducir los riesgos y los costos asociados a las actividades de cumplimiento mientras mejoran la seguridad, la confiabilidad y la privacidad. Microsoft utiliza todos los recursos a su disposición para lograr su propósito de que todos los clientes puedan beneficiarse del poder de la nube.

Contenidos Resumen ejecutivo 1

Introducción 3

Cómo ayudar a los clientes a satisfacer sus necesidades de cumplimiento 8

Asociación con líderes del sector 11

Los servicios en la nube de Microsoft ofrecen opciones a los clientes 12

Informática de confianza | El enfoque de Microsoft del cumplimiento en la nube 13

Reconocimientos Colaboradores y revisores Christine Aguirre Kevin Allison Mark Estberg Sarah Fender Adrienne Hall Carlene Heath Min Hyun Diane McDade Michael Mattmiller Chris Mullaney Paul Nicholas Ben Ravani Tim Rains Mike Reavey Greg Roberts Joe Scalone Frank Simorjay Shawn Veney Stevan Vidich

© 2014 Microsoft Corp. Todos los derechos reservados.

Este documento se proporciona "tal como está". La información y las opiniones en él

expresadas, incluidas las direcciones URL y otras referencias de sitios web en Internet,

pueden cambiar sin previo aviso. Usted asume el riesgo de usar estas referencias. Este

documento no le confiere derecho legal alguno sobre cualquier propiedad intelectual de

cualquier producto Microsoft. Puede copiar y utilizar este documento para fines de

referencia interna.