Requisitos de protección de datos para proveedores de …³n 4 Julio de 2017 Página | 1 Requisitos...

Versión 4 Julio de 2017 Página | 1

Requisitos de protección de datos para proveedores de

Microsoft

Aplicabilidad Los requisitos de protección de datos (DPR) para proveedores de Microsoft se aplican a todos los proveedores de

Microsoft que procesen información personal o confidencial de Microsoft, o que de algún modo tengan acceso a ella

como parte de la prestación de servicios acordada en virtud de las cláusulas incluidas en el pedido de compra o del

contrato suscrito con Microsoft.

• Si hubiera algún conflicto entre los requisitos que aquí se detallan y los requisitos especificados en los acuerdos contractuales entre el proveedor y Microsoft, los términos del contrato prevalecen.

• Si hubiera algún conflicto entre los requisitos que aquí se detallan y cualquier requisito legal o estatutario, estos últimos serán los que prevalecerán.

Sin limitación de sus otras obligaciones y en los casos en los que Microsoft haya autorizado previamente por escrito la

cesión internacional de información personal de Microsoft, el proveedor deberá cumplir con los requisitos de protección

de datos de cualquiera de los términos contractuales estándares, reglas corporativas vinculantes u otros esquemas

aprobados por cualquier autoridad de protección de datos, el Consejo Europeo de Protección de Datos o la Comisión

Europea y adoptados o aceptados por Microsoft, incluidos, pero sin limitarse a ellos, los acuerdos entre la Unión

Europea y Estados Unidos y los acuerdos entre Suiza y Estados Unidos. Marcos del Escudo de privacidad y Reglamento

General de la Unión Europea relativo a la Protección de Datos. El proveedor acepta la obligación de informar a Microsoft

en el caso de determinar que no puede continuar cumpliendo sus obligaciones con el fin de proporcionar el mismo nivel

de protección que requieren los principios del Escudo de Privacidad. El proveedor también garantizará que todos los

subprocesadores (tal y como se definen en la cláusula 1(d) de las cláusulas contractuales estándar de 2010 publicadas

como anexo a la Decisión de la Comisión Europea C(2010)593) también cumplen dichos requisitos.

La “Información confidencial de Microsoft” es toda aquella información que, de ponerse en riesgo su confidencialidad o

integridad de algún modo, puede suponer una pérdida considerable para Microsoft en términos financieros y de

reputación. Esta incluye, entre otros, los siguientes elementos: productos de hardware y software de Microsoft,

aplicaciones de línea de negocio internas, material de marketing preliminar, claves de licencia de productos y

documentación técnica relacionada con los productos y servicios de Microsoft.

La “Información personal de Microsoft” es toda aquella información personal procesada por Microsoft o en su nombre.

La “Información personal” es toda aquella información relacionada con una persona física identificada o identificable

(“Persona interesada”). Una persona física identificable es aquella a quien se puede identificar de forma directa o

indirecta teniendo en cuenta elementos de identificación como un nombre, un número de identificación, los datos de

ubicación, una identificación electrónica o cualquier otro aspecto relacionado con la identidad física, fisiológica,

genética, psíquica, económica, cultural o social específica de dicha persona física.

El “Incumplimiento relacionado con la información personal” es el incumplimiento de las normas de seguridad que

conlleva, ya sea de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la divulgación o el acceso no

autorizados a la Información personal que se transmite, se almacena o se procesa de cualquier modo.

Por “se procesa” se entiende cualquier operación o conjunto de operaciones que se llevan a cabo en la información

personal o en conjuntos de esta, ya sea de forma automatizada o de cualquier otro modo, como son la recopilación, la

grabación, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la


consulta, el uso, la distribución o la divulgación de esta debida a su transmisión, así como ponerla a disposición de

terceros, su alineación y combinación, su restricción, borrado o destrucción.

Estructura de los DPR Los requisitos de protección de datos (DPR, siglas en inglés) se basan en un marco diseñado por el instituto americano

de contables públicos certificados (AICPA, siglas en inglés) para regular las prácticas de privacidad. Los principios de

privacidad generalmente aceptados (GAPP, siglas en inglés) se dividen en 10 secciones que incluyen criterios que se

pueden medir relacionados con la protección y la administración de la información personal. Este marco de trabajo se ha

mejorado con requisitos de seguridad y privacidad de Microsoft adicionales.

N.º Requisitos de protección de datos para proveedores de Microsoft

Criterios de evaluación propuestos

Respuesta

Sección A: Administración

Para que el proveedor pueda procesar la información personal y confidencial de Microsoft tendrá la obligación de:

1 Haber firmado un contrato, una declaración del trabajo o un pedido de compra válido de Microsoft redactado de modo que se protejan la privacidad y la seguridad de los datos y que establezca el objeto y la duración del procesamiento, su naturaleza y su finalidad, el tipo de información personal de Microsoft y las categorías de las personas interesadas, así como las obligaciones y los derechos de Microsoft.

El proveedor debe presentar un pedido de compra, una declaración del trabajo o un contrato válido de Microsoft que incluya la descripción correspondiente de las actividades de procesamiento.

<Conforme> <No conforme> <No aplicable>

<Conflicto legal> <Conflicto

contractual>

2 Haber asignado a una persona o a un grupo específicos de la compañía la responsabilidad y la obligación de rendir cuentas con respecto al cumplimiento de los requisitos de protección de datos para proveedores de Microsoft.

El proveedor debe identificar a la persona o al grupo que se encarga de velar por su cumplimiento de los requisitos de protección de datos. La autoridad y responsabilidad de dicha persona o dicho grupo deben estar claramente documentadas.



contractual>

3 Haber garantizado que todas las personas autorizadas para procesar la información personal de Microsoft se han comprometido a mantener la confidencialidad o están vinculadas a las obligaciones legales correspondientes de confidencialidad.

Pedido de compra, declaración del trabajo o un contrato válido de Microsoft que incluya las obligaciones de confidencialidad. Pruebas de los modelos de acuerdo estándar del proveedor relacionados con la confidencialidad, el empleo, la consultoría y la subcontratación.



contractual>




Respuesta

Sección A: Administración (cont.)

4 Haber implantado un curso de formación sobre la privacidad para todos aquellos empleados que vayan a tener acceso a la información personal de Microsoft, mantenerlo y llevarlo a cabo todos los años. Si su compañía no dispone de contenidos ya elaborados, póngase en contacto con [email protected] para solicitar un esquema del guion gráfico que podrá adaptar a las necesidades de su compañía.

El proveedor se encarga de formar inicialmente y de forma periódica a sus empleados sobre los principios básicos de seguridad y privacidad. Las pruebas de que tal formación se lleva a cabo pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones (mensajes de correo electrónico, sitios web, boletines, etc.).



contractual>

5 Comunicar anualmente la información relevante sobre los requisitos de protección de datos para proveedores de Microsoft a su personal y a los subcontratistas que presten servicios para Microsoft.

El proveedor instruye a los empleados y subcontratistas que presten algún servicio a Microsoft con respecto a los requisitos de protección de datos para proveedores de Microsoft. Las pruebas de que tal instrucción se lleva a cabo, no solo desde el comienzo, sino también con posterioridad y regularmente, pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados y subcontratistas (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras.



contractual>

6 Procesar la información personal de Microsoft únicamente con arreglo a sus instrucciones documentadas, incluidas las relativas a la transferencia de información personal a un tercer país o a un organismo internacional, a menos que la ley vigente lo requiera, en cuyo caso, la persona encargada de procesar la información deberá comunicar dicha obligación jurídica a su director antes de hacerlo, excepto si la ley lo prohíbe por motivos relevantes de interés público.

Pruebas documentadas de dichas instrucciones, como por ejemplo, la disposición de estas en un contrato, una declaración de trabajo o un pedido de compra o su registro como parte de un sistema electrónico que se utilice para la prestación de los servicios.



contractual>

mailto:[email protected]




Respuesta

Sección A: Administración (cont.)

7 Informar a Microsoft de forma inmediata si cualquiera de las instrucciones incumpliera, bajo su propio criterio, las leyes vigentes.

Obligación contractual del proveedor de comunicar a Microsoft si, atendiendo a su criterio, cualquiera de las instrucciones incumpliera las leyes vigentes.



contractual>

Sección B: Aviso

8 El proveedor deberá utilizar la Declaración de privacidad de Microsoft siempre que recopile información personal en su nombre.

Deberán ponerse a disposición de las personas interesadas avisos de privacidad llamativos con el fin de ayudarles a decidir si quieren o no enviar al proveedor su información personal.

Póngase en contacto con [email protected] si necesita ayuda al respecto.

Los avisos de privacidad deben estar claramente fechados y disponibles tanto en línea como sin conexión, y han de proporcionarse, a lo sumo, en la fecha en que tiene lugar la recopilación de los datos.



contractual>

9 Cuando se recopila información personal de Microsoft a través de una llamada de voz en directo, los proveedores tienen la obligación de estar preparados para tratar con la persona interesada sobre las prácticas de recopilación, procesamiento, uso y conservación de datos.

El proveedor demuestra que la recopilación, el procesamiento, el uso y la conservación de los datos se tratan con la persona interesada cuando se recaba información personal a través del teléfono.



contractual>

Sección C: Elección y consentimiento

10 En caso de que el proveedor se ampare en el consentimiento como fundamento jurídico para el procesamiento de datos, deberá recabar y documentar el consentimiento de la persona interesada antes de recopilar su información personal.

El proveedor explica el proceso para que la persona interesada pueda decidir si acepta o no facilitar la información personal, así como asumir las consecuencias que se deriven de una u otra opción.



contractual>





Respuesta

Sección C: Elección y consentimiento (cont.)

11 El proveedor debe recabar todos los consentimientos necesarios de la persona interesada, a lo sumo, en el momento en que tiene lugar la recopilación de la información personal.

El proveedor documenta y administra las preferencias de contacto y, además, aplica y administra los cambios pertinentes de estas.

Hay sistemas y procedimientos a su alcance para gestionar los consentimientos de la persona interesada y sus preferencias de contacto.



contractual>

12 Documentar y administrar los cambios que se produzcan en las preferencias de contacto de la persona interesada de un modo oportuno.

El proveedor supervisa la gestión de los consentimientos de la persona interesada para garantizar la eficacia de los sistemas y los procesos.



contractual>

13 El proveedor obtiene y documenta el consentimiento de la persona interesada de los nuevos usos que se den a su información personal.

El proveedor garantiza que no se utilizará ni se procesará la información a menos que se cuente con dicho consentimiento.



contractual>

14 Las cookies son pequeños archivos de texto que se almacenan en los dispositivos y que provienen de sitios web y aplicaciones en línea. Contienen información que se utiliza para reconocer a un usuario o a un dispositivo. Los proveedores que se dedican a crear y gestionar los sitios web y las aplicaciones de Microsoft deberán proporcionar con claridad a los usuarios tanto los avisos como la opción de decidir con respecto al uso de las cookies. Los proveedores que se dedican a crear y gestionar los sitios web y las aplicaciones de Microsoft deberán garantizar que el uso de las cookies se ajusta a los compromisos definidos en la Declaración de privacidad de Microsoft y a obligaciones jurídicas locales como las normas establecidas por la Unión Europea.

Se deberá documentar la finalidad de todas las cookies e informar del tipo de cookie que se ha implementado: • Las cookies de sesión deberán

utilizarse cuando sea posible. • Las cookies persistentes

deberán permanecer en el dispositivo únicamente el tiempo necesario y nunca más de 2 años.

Validar que se cumplen las normas de la Unión Europea, entre otras, y de modo no exhaustivo: • El uso de los principios de

clasificación “Privacidad y cookies” de la Declaración de privacidad.

• Garantizar que el usuario ha dado su consentimiento antes de utilizar cookies con fines no esenciales como los de la publicidad.



contractual>




Respuesta

Sección D: Recopilación

15 El proveedor debe supervisar la recopilación de información personal y confidencial de Microsoft para garantizar que la única información que se recopile sea aquella necesaria para prestar los servicios encomendados por Microsoft.

Existen sistemas y procedimientos que permiten especificar la información personal y confidencial necesaria. El proveedor efectúa una supervisión de la recopilación para garantizar la eficacia de los sistemas y de los procedimientos.



contractual>

16 Si el proveedor obtiene información personal de terceros en nombre de Microsoft, está obligado a validar que las directivas y prácticas sobre la protección de datos implantadas por el tercero son conformes a lo estipulado en el contrato del proveedor con Microsoft y a los requisitos de DPR.

El proveedor deberá poder demostrar que practica la diligencia debida con respecto a las prácticas y políticas de protección de datos de terceros.



contractual>

17 Antes de recopilar información personal de Microsoft delicada a través de la instalación o del uso de software ejecutable en el dispositivo de la persona interesada, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft.

El proveedor obtiene y documenta el consentimiento prestado por Microsoft cuando utiliza software ejecutable en el equipo de la persona interesada para recopilar información personal.



contractual>

18 Antes de recopilar información personal de Microsoft delicada (datos que divulguen su raza u origen étnico, su inclinación política, sus creencias religiosas o filosóficas, su pertenencia a un sindicato, sus datos genéticos, biométricos o relacionados con su salud, así como los datos relacionados con sus preferencias o su vida sexual) es obligatorio documentar la necesidad de llevar a cabo tal recopilación en un acuerdo de proveedor registrado con Microsoft.

El proveedor obtiene y documenta el consentimiento prestado por Microsoft antes de recopilar cualquier información personal delicada.



contractual>

Sección E: Conservación

19 Se deberá garantizar que la información personal y confidencial de Microsoft no se va a conservar durante más tiempo del que sea necesario para prestar los servicios, a menos que la legislación vigente requiera una conservación prolongada de la información personal de Microsoft.

El proveedor cumple con los requisitos o las directivas de conservación documentada que Microsoft haya especificado en el contrato, la declaración del trabajo o el pedido de compra.



contractual>




Respuesta

Sección E: Conservación (cont.)

20 Se deberá garantizar que, a la entera discreción de Microsoft, la información personal o confidencial de Microsoft que se halle en manos del proveedor o bajo su control, se devuelve a Microsoft o se destruye tras la finalización de los servicios o a petición de Microsoft. Si así se solicitara, proporcionará a Microsoft un certificado de destrucción firmado por un responsable del proveedor. En caso de ser necesaria la destrucción de la información personal y confidencial de Microsoft, el proveedor tendrá la obligación de quemar, pulverizar o triturar los activos físicos que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. Dentro de las aplicaciones deberán existir procesos para garantizar que se borran de forma totalmente segura aquellos datos que se han eliminado de la aplicación, ya sea por la actuación expresa del usuario o con base en otros elementos desencadenantes como la antigüedad de los datos.

El proveedor conserva registros de la eliminación de la información personal y confidencial de Microsoft (por ejemplo, la devolución a Microsoft para su destrucción).



contractual>

Sección F: Personas interesadas

21 Las personas interesadas tienen derecho a acceder, eliminar, actualizar, exportar, restringir y oponerse al procesamiento de su información personal (“Derechos de la persona interesada”). Si la persona interesada trata de ejercer sus derechos en relación con su información personal de Microsoft de acuerdo con la legislación vigente, el proveedor deberá:



contractual>

22 Ayudar a Microsoft, en la medida de lo posible y por medio de las medidas técnicas y organizativas adecuadas, a cumplir la obligación de dar respuesta a las solicitudes de las personas interesadas que traten de ejercer sus derechos conforme a la legislación vigente.



contractual>

23 Dar respuesta a todas las solicitudes relacionadas con los derechos de las personas interesadas sin demoras injustificadas.

El proveedor deberá llevar a cabo pruebas periódicas para garantizar que puede cubrir las necesidades derivadas de los derechos de las personas interesadas.



contractual>




Respuesta

Sección F: Personas interesadas (cont.)

24 El proveedor remitirá directamente a Microsoft a las personas interesadas que contacten con él para ejercer sus derechos de persona interesada, a menos que Microsoft indique lo contrario. El proveedor informará a la persona interesada de los pasos que debe seguir para obtener acceso a la información personal de Microsoft o para ejercer sus derechos con respecto a esta. Póngase en contacto con [email protected] si necesita ayuda al respecto.

El proveedor comunica los pasos necesarios para tener acceso a la información personal, así como los métodos disponibles para actualizarla.



contractual>

25 Se deberá validar la identidad de la persona interesada que ha presentado la solicitud en caso de responder directamente a esta persona.



contractual>

26 Se deberá obtener un permiso de Microsoft para continuar utilizando en la autenticación números de identificación expedidos por el gobierno (como por ejemplo, el número de afiliación de la seguridad social). Póngase en contacto con [email protected] si necesita ayuda al respecto.



contractual>

Una vez que se ha autenticado a la persona interesada, el proveedor está obligado a lo siguiente:

27 A determinar si conserva o controla información personal de Microsoft sobre la persona interesada.

El proveedor cuenta con procedimientos para determinar la conservación de la información personal.



contractual>

28 A hacer lo posible por localizar la información personal de Microsoft solicitada y registrar las acciones llevadas a cabo que demuestren que se ha efectuado una búsqueda razonable.

El proveedor responde a las solicitudes en el plazo oportuno.



contractual>






Respuesta


29 A registrar la fecha y la hora de las solicitudes de acceso, así como las acciones llevadas a cabo por el proveedor para responder a dichas solicitudes. Si así se le solicita, a proporcionar los registros de las solicitudes de las personas interesadas a Microsoft.

El proveedor conserva registros de las solicitudes de acceso a la información personal y documenta los cambios efectuados en esta.



contractual>

30 Una vez que se ha autenticado a la persona interesada y el proveedor ha validado que tiene la información personal de Microsoft solicitada, el proveedor está obligado a lo siguiente:



contractual>

31 Para las solicitudes cuyo fin es obtener una copia de la información personal, deberá proporcionar a la persona interesada la información personal de Microsoft en un formato adecuado, ya sea de forma impresa, electrónica o verbal.

El proveedor suministra información personal a la persona interesada en un formato comprensible y de un modo adecuado tanto para el proveedor como para la persona interesada en cuestión.



contractual>

32 Si se deniega su solicitud por indicación de Microsoft, se deberá proporcionar a la persona interesada una explicación por escrito conforme a las instrucciones relevantes que pudiera haber indicado previamente Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.

Documentar los casos en los que se deniegan las solicitudes y conservar las pruebas de la revisión y aprobación de Microsoft.



contractual>

33 El proveedor debe adoptar las medidas de precaución que sean razonables para garantizar que la información personal de Microsoft que se facilite a la persona interesada no pueda usarse para identificar a otra persona distinta.

El proveedor debe demostrar que se adoptan las medidas de precaución razonables que impiden identificar a otra persona a partir de la información facilitada (por ejemplo, no se puede fotocopiar la página de datos en su totalidad cuando la información personal solicitada por la persona interesada figura en una sola línea).



contractual>





Respuesta


34 Si la persona interesada y un proveedor discrepan sobre la integridad y la precisión de la información personal de Microsoft, el proveedor debe remitir el problema a Microsoft y prestarle la colaboración necesaria para solucionarlo. Póngase en contacto con [email protected] si necesita ayuda al respecto.

El proveedor documenta los casos de desacuerdo y los remite a Microsoft.



contractual>

Sección G: Divulgación a terceros

En caso de que el proveedor tenga la intención de llevar a cabo el procesamiento de la información personal y confidencial de Microsoft a través de un subcontratista, deberá asegurarse de:

35 Obtener el consentimiento expreso de Microsoft por escrito antes de subcontratar servicios o hacer cambios en cuanto a la incorporación o a la sustitución de subcontratistas. Póngase en contacto con [email protected] si necesita ayuda al respecto.



contractual>

36 Asumir la total responsabilidad de las actividades de todos los subcontratistas ante Microsoft.

Compromiso contractual del proveedor de asumir la total responsabilidad ante Microsoft de las actividades de sus subcontratistas.



contractual>

37 Documentar la naturaleza y el alcance de la información personal y confidencial de Microsoft que van a procesar los subcontratistas y garantizar que la información recopilada es necesaria para llevar a cabo el servicio o los servicios encomendados por Microsoft.

El proveedor conserva un registro documental de la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas.



contractual>

38 Garantizar que el subcontratista usa la información personal de Microsoft con arreglo a las preferencias de contacto indicadas por las personas interesadas.

Existen sistemas y procesos que garantizan que los subcontratistas usan la información personal de Microsoft únicamente con el fin designado y con arreglo a las preferencias de contacto indicadas por la persona interesada.



contractual>





Respuesta

Sección G: Divulgación a terceros (cont.)

39 Restringir el procesamiento de la información personal de Microsoft por parte del subcontratista para aquellos fines que sean necesarios para cumplir con el contrato entre el proveedor y Microsoft.



contractual>

40 Notificar a Microsoft, con la mayor brevedad, sobre las órdenes judiciales en las que se obligue al subcontratista a divulgar información personal de Microsoft y, si la legislación lo permite, dar a Microsoft la oportunidad de intervenir antes de registrar una respuesta a la orden o notificación. Póngase en contacto con [email protected] si necesita ayuda al respecto.

El proveedor puede demostrar la existencia de comunicaciones con Microsoft (en el caso de que estas estén permitidas) previas a la concesión de permiso a un subcontratista para divulgar información personal de Microsoft en respuesta a una orden judicial.



contractual>

41 Revisar las quejas formuladas por el procesamiento de la información personal de Microsoft de forma ilícita o sin autorización.

Existen sistemas y procesos que permiten administrar las quejas relativas a la divulgación o uso no autorizados de la información personal de Microsoft por parte de un subcontratista.



contractual>

42 Notificar a Microsoft, con la mayor brevedad, cuando tenga conocimiento de que un subcontratista ha procesado o divulgado información personal y confidencial de Microsoft para fines distintos del de prestar servicios, a Microsoft o a sus proveedores, relacionados con Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.

El proveedor puede demostrar que se ha informado a Microsoft de aquellos casos en que algún subcontratista ha usado información personal o confidencial de Microsoft con fines no autorizados.



contractual>

43 Adoptar de inmediato medidas para mitigar cualquier daño, real o posible, que cause el procesamiento o la divulgación de forma ilícita o sin autorización por parte de un subcontratista de la información personal y confidencial de Microsoft.

El proveedor puede demostrar que se han adoptado las medidas adecuadas en aquellos casos en que algún subcontratista usa o divulga información personal y confidencial de Microsoft con fines no autorizados.



contractual>





Respuesta

Sección G: Divulgación a terceros (cont.)

44 Comprobar que las prácticas de recopilación de datos llevadas a cabo por un tercero cumplen con los requisitos de DPR antes de aceptar información personal de terceros.

Existen procesos documentados que permiten comprobar las prácticas de recopilación de datos de terceros.



contractual>

45 Confirmar que los terceros solo recopilan aquella información personal que sea necesaria para prestar los servicios encomendados por Microsoft.

Existen procesos documentados para limitar la transferencia de información personal de Microsoft de terceros a aquellos datos estrictamente necesarios para prestar los servicios contratados.



contractual>

Sección H: Calidad

46 El proveedor debe conservar la integridad de toda la información personal de Microsoft y garantizar que es precisa, completa y relevante para los fines indicados para los que se ha procesado.

La información se valida cuando se recopila, crea o actualiza. Existen sistemas y procesos que permiten comprobar sobre la marcha el nivel de precisión y efectuar las correcciones que resulten necesarias.



contractual>

47 El proveedor deberá garantizar que la cantidad de información personal que se recopila es la mínima necesaria para lograr el fin propuesto.



contractual>

Sección I: Supervisión y cumplimiento

48 Informar inmediatamente a Microsoft si se tiene conocimiento de que ha habido un incumplimiento relacionado con la información personal o una vulnerabilidad en la seguridad relacionados con la gestión de la información personal y confidencial de Microsoft por parte del proveedor. Póngase en contacto con [email protected] si necesita ayuda al respecto.



contractual>




Respuesta

Sección I: Supervisión y cumplimiento (cont.)

49 Abstenerse de emitir notas de prensa o avisos públicos relativos al incumplimiento relacionado con la información personal o confidencial de Microsoft sin contar con la aprobación previa de Microsoft, a menos que lo exijan las leyes y normas regulatorias. Póngase en contacto con [email protected] si necesita ayuda al respecto.



contractual>

50 Aplicar un plan encaminado a solventar el problema y supervisar la resolución de incumplimientos o vulnerabilidades relacionados con la información personal de Microsoft con el fin de garantizar que se adoptan las medidas correctivas en un plazo oportuno.



contractual>

51 Establecer un proceso formal de administración de quejas para dar una respuesta adecuada a todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.

El proveedor debe contar con un proceso documentado de administración de quejas y notificación a Microsoft.



contractual>

52 Notificar a Microsoft de todas las quejas recibidas en relación con la información personal de Microsoft. Póngase en contacto con [email protected] si necesita ayuda al respecto.

Registros de las quejas que demuestren su respuesta en el plazo adecuado.



contractual>

53 Registrar todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft y responder a todas ellas en un plazo adecuado, a menos que Microsoft indique otras instrucciones al respecto. Si así se solicitara, proporcionará a Microsoft la documentación de las quejas resueltas y pendientes de resolución.

Documentación de quejas abiertas y cerradas.



contractual>

54 El proveedor deberá tener en cuenta la naturaleza de su información y ayudar a Microsoft a garantizar el cumplimiento de sus obligaciones de acuerdo con la legislación vigente (incluidos, pero sin limitarse a la seguridad de los datos, los incumplimientos relacionados con la información personal, las evaluaciones de impacto sobre la protección de datos y las consultas con los departamentos del gobierno o las autoridades reguladoras y supervisoras).



contractual




Respuesta

Sección I: Supervisión y cumplimiento (cont.)

55 Se deberá poner a disposición de Microsoft toda la información necesaria con el fin de demostrar el cumplimiento de las obligaciones de acuerdo con la legislación vigente, así como facilitar y contribuir a la realización de auditorías e inspecciones que lleve a cabo Microsoft u otros auditores en su nombre.



contractual>

Sección J: Seguridad

56 PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN El proveedor debe establecer, aplicar y mantener un programa de seguridad de la información que incluya políticas y procedimientos para proteger la información personal y confidencial de Microsoft conforme a las buenas prácticas del sector y tal y como lo exija la legislación vigente. El programa de seguridad que utilice el proveedor deberá cumplir con los estándares expuestos más abajo, en los requisitos 56 a 76.

Las medidas de seguridad pueden ser más amplias que las enumeradas si el cumplimiento de las normativas (por ejemplo, HIPPA o GLBA) o las cláusulas contractuales aplicables así lo requiriesen.



contractual>

57 Llevar a cabo evaluaciones de seguridad de la red de forma anual que incluyan:

• La revisión de los cambios importantes realizados en el entorno, como los nuevos componentes del sistema, los llevados a cabo en la topología de la red o las modificaciones en las reglas de los firewalls, etc.

• Realizar análisis de vulnerabilidades.

• Conservar los registros de cambios que lleven a cabo el seguimiento de dichos cambios, proporcionar la información relativa a los motivos para llevarlos a cabo e incluir un aprobador.

Revisar la documentación de las evaluaciones de la red, de los registros de cambios y de los resultados de los análisis.



contractual>

58 El proveedor deberá establecer e implementar una

directiva relacionada con los dispositivos móviles, así como

informar sobre esta, para garantizar y restringir el uso de la

información personal y confidencial de Microsoft que se

utiliza en un dispositivo móvil o a la que se accede desde

este.

Proporcionar una directiva relacionada con los dispositivos móviles y demostrar que se utiliza en los casos en los que sea necesario utilizar un dispositivo móvil para la gestión de datos relativos a la información personal y confidencial de Microsoft.



contractual>




Respuesta

Sección J: Seguridad (cont.)

59 Se deberán contabilizar todos los activos implicados en la

prestación de servicios de Microsoft y deberán contar con

un propietario reconocido. El proveedor asumirá la

responsabilidad de conservar un inventario de estos activos

de información, de demostrar que su uso sea razonable y

esté autorizado y de proporcionar el nivel de protección

oportuno para estos a lo largo de su ciclo de vida.

El inventario de los activos deberá incluir:

- La ubicación del dispositivo - La clasificación de los datos que se encuentran en

el activo - El registro de la recuperación de activos una vez

rescindido el contrato laboral o el acuerdo

comercial - El registro de la eliminación de los sistemas de

almacenamiento de datos una vez dejen de ser

necesarios

La revisión del inventario de los activos (dispositivos. aparatos, etc.) implicados en la prestación de servicios de Microsoft.



contractual>

60 Implantar y mantener los procedimientos correspondientes

a la gestión de los derechos de acceso con el fin de evitar

el acceso no autorizado a la información personal y

confidencial de Microsoft que se encuentra bajo el control

del proveedor.

El plan deberá incluir:

• Los procedimientos de control de acceso

• Los procedimientos de identificación

• Los procedimientos de bloqueo posteriores a los

intentos fallidos

• El restablecimiento de la contraseña siempre que sea

necesario, pero sin superar un periodo de tiempo de

70 días

• Advertencia al usuario de que se protegen sus

credenciales de autenticación

• Unos parámetros sólidos a la hora de seleccionar las

credenciales para la autenticación

• La desactivación de las cuentas de usuario dentro de

un periodo máximo de 48 horas desde la rescisión del

contrato de trabajo

o Esto afecta al acceso tanto interno como

externo, a los soportes físicos, a los

documentos impresos, a las plataformas

tecnológicas y a los soportes físicos de las

copias de seguridad.

Se deben documentar y aplicar sistemáticamente los procedimientos relativos a los derechos de acceso. Verificar que los usuarios incluidos en los roles que tienen acceso a los datos de Microsoft cuentan con una justificación documentada para pertenecer a dichos grupos o roles.



contractual>




Respuesta


El establecimiento de un proceso para revisar el acceso del

usuario a la información personal y confidencial de

Microsoft por medio de la aplicación del principio del

mínimo privilegio.

Este proceso deberá incluir:

• Una definición clara de los roles de usuario

• Los procedimientos dedicados a revisar y justificar la

aprobación del acceso a los roles

• Los procedimientos que se utilizan para cancelar el

acceso del usuario a los roles cuando ya no es

necesario que dispongan de este

61 Establecer y aplicar procedimientos para la gestión de

revisiones que den prioridad a las revisiones de seguridad

para aquellos sistemas que se utilicen para procesar la

información personal y confidencial de Microsoft.

• Fijar el periodo máximo de tiempo que se concede

para aplicar las revisiones, teniendo en cuenta que

para las revisiones de seguridad no puede ser superior

a los 19 días.

• Tener la capacidad de gestionar y aplicar las revisiones

de emergencia.

• La aplicabilidad al sistema operativo y al software de

servidor como en el caso del servidor de aplicaciones y

el software de base de datos.

o Dejar de utilizar Windows XP.

• Documentar el riesgo que mitiga la revisión y llevar a

cabo un seguimiento de todas las excepciones.

Tener la capacidad de demostrar y proporcionar pruebas documentadas de que se aplican las revisiones de seguridad.



contractual>

62 Instalar software antivirus y antimalware en todos los

equipos conectados a la red que se utilicen para procesar

la información personal y confidencial de Microsoft,

incluidos, entre otros, los servidores y los equipos de

sobremesa de producción y aprendizaje. La finalidad es

proteger a los equipos frente a virus y aplicaciones de

software potencialmente malintencionados.

Actualizar diariamente, o cuando lo sugiera el proveedor

del antivirus o del antimalware, las definiciones de

antimalware.



contractual>




Respuesta


63 Aquellos proveedores que desarrollen software para los productos de Microsoft o sus aplicaciones de línea de negocio deberán cumplir la normativa relacionada con el ciclo de vida de desarrollo de seguridad (SDL) de Microsoft u otro estándar análogo del sector. Para obtener más información, diríjase a http://www.microsoft.com/sdl.



contractual>

64 Supervisar los sistemas de información que se utilizan

dentro de la red de la compañía y en los que se gestiona la

información personal y confidencial de Microsoft con el fin

de evitar intrusiones y cualquier otra actividad no

autorizada.

Utilizar sistemas de detección de intrusiones (IDS siglas en

inglés) basados en la red:

• En caso de que se produzca una infracción en el

sistema, se deberá analizar para garantizar que se

tratan también todas las vulnerabilidades

residuales. • Documentar los procedimientos cuyo fin es

supervisar las herramientas de detección de

riesgos en el sistema. • En caso de detectarse una incidencia deberán

ponerse en marcha la respuesta ante incidentes

definida y el proceso de gestión.

Demostrar la eficacia de los

sistemas de supervisión, habiendo

documentación de ayuda

disponible.



contractual>

65 Comunicar de inmediato los resultados de las

investigaciones sobre la respuesta ante incidentes a la

dirección superior del proveedor y a Microsoft.

Póngase en contacto con [email protected] para

informar a Microsoft.

Existen sistemas y procesos para

comunicar a Microsoft los

resultados de las investigaciones

sobre las respuestas ante

incidentes.



contractual>





Respuesta


66 Deberán llevar a cabo cada año un curso de formación

sobre seguridad los administradores de sistemas, los

empleados del departamento de operaciones, la dirección

y terceras partes.

Se deberá crear un programa de

formación sobre seguridad que

incluya:

• Formación anual sobre

respuesta ante incidentes. • Simulaciones de

incidentes y mecanismos

automatizados para

facilitar una respuesta

eficaz ante las situaciones

de crisis. Concienciación sobre la

prevención de incidentes como los

riesgos relacionados con la

descarga de software

malintencionado.



contractual>

67 El proveedor debe garantizar que existen procesos de

planificación de copia de seguridad para proteger la

información personal y confidencial de Microsoft frente al

uso, acceso, divulgación, alteración y destrucción no

autorizados.

Documentar los procedimientos

de respuesta y de recuperación

detallando cómo actuaría la

empresa a la hora de gestionar un

incidente perturbador y cómo

conservaría un nivel de seguridad

predeterminado para la

información basado en los

objetivos de continuidad de la

seguridad de la información

aprobados por la dirección.

Definir y aplicar procedimientos

para crear copias de seguridad de

los datos críticos, almacenarlos de

forma segura y recuperarlos

eficazmente, todo ello de forma

regular.



contractual>




Respuesta


68 Crear y verificar la continuidad del negocio y los planes de

recuperación ante desastres. Los planes de recuperación ante

desastres deberán incluir:

• Los criterios fijados para

decidir si un sistema es vital

para el funcionamiento del

negocio del proveedor. • Una lista con los sistemas que

se consideran vitales según los

criterios fijados y que deberán

ser objeto de la recuperación

en caso de desastre. • Los procedimientos de

recuperación ante desastres

definidos para todos los

sistemas críticos que

garanticen que un ingeniero

que no conozca el sistema

será capaz de recuperar la

aplicación en un plazo

máximo de 72 horas. Verificación y revisión anual (o con

mayor asiduidad) de los planes de

recuperación ante desastres que

garantice que se cumplan los

objetivos de recuperación.



contractual>

69 El proveedor debe autenticar la identidad de una persona antes de concederle acceso a información personal y confidencial de Microsoft.

Se deberá garantizar que los identificadores de usuario son únicos y que todos emplean un método de autenticación estándar del sector, como Azure Active Directory. El acceso con privilegios elevados (privilegios de tipo administrativo o mejoras de cualquier otro tipo) deberá ir acompañado de un segundo factor, como una tarjeta inteligente o un autenticador telefónico.



contractual>

https://azure.microsoft.com/es-es/services/active-directory/?v=17.23h

https://azure.microsoft.com/es-es/services/active-directory/?v=17.23h




Respuesta


70 El proveedor deberá proteger la información personal y confidencial de Microsoft que se transmita entre redes a través de su cifrado por medio de la Seguridad de la capa de transporte (TLS) o del Protocolo de seguridad de Internet (IPsec). Estos métodos están establecidos en las normas NIST 800-52 y NIST 800-57. Existe la posibilidad de ajustarse a otros estándares equivalentes del sector. El proveedor no puede facilitar ninguna información personal transmitida sin el uso del cifrado.

Se deberá establecer y respetar el proceso que se utilice para crear, desplegar y sustituir el certificado TLS o cualquier otro.



contractual>

71 Todos los dispositivos cliente del proveedor (portátiles, estaciones de trabajo, etc.) que vayan a tener acceso o vayan a gestionar información personal y confidencial de Microsoft deberán utilizar el cifrado basado en disco.

Cifrar todos los dispositivos cliente para cumplir los criterios de Bitlocker o de cualquier otra solución de cifrado en disco equivalente del sector, en todos los dispositivos cliente que se empleen para gestionar información personal y confidencial de Microsoft.



contractual>

72 Deben existir sistemas y procedimientos para cifrar la información personal de Microsoft en reposo (cuando se encuentra almacenada), tal y como se expone más abajo, a través de los estándares actuales del sector como los que describe la normativa NIST 800-111. Cifrar los tipos de información personal de Microsoft en reposo que se enumeran a continuación:

• Datos de credenciales (por ejemplo, nombres de usuario o contraseñas)

• Datos de los instrumentos de pago (por ejemplo, los números de las tarjetas de crédito o los números de la cuenta bancaria)

• Datos de historiales médicos (por ejemplo, números de historiales médicos o identificadores biométricos)

• Datos de identificación expedidos por el gobierno (por ejemplo, el número de afiliación de la seguridad social o el del carné de conducir)



contractual>

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57Pt3r1.pdf

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-111.pdf




Respuesta


73 A la hora de procesar tarjetas de crédito en nombre de Microsoft se deberá cumplir con los estándares de procesamiento de tarjetas de crédito aplicables de cada entidad emisora.

Demostrar todos los años el cumplimiento de estos por medio de la certificación del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS siglas en inglés). Enviar las certificaciones PCI DSS al SSPA. Póngase en contacto con [email protected].



contractual>

74 El proveedor deberá almacenar los activos físicos relativos a la información confidencial y personal de Microsoft en un entorno en el que el acceso esté controlado.

Deberán existir sistemas y procesos que permiten administrar el acceso físico a las copias digitales, impresas, de archivo y de copia de seguridad que contienen los datos de Microsoft. Se deberá supervisar la cadena de custodia cuando se realicen movimientos o se destruyan los soportes físicos que contienen datos de Microsoft.



contractual>

75 Para las soluciones de software como servicio (SaaS) que procesan información personal y confidencial de Microsoft, será necesario llevar a cabo de forma anual pruebas independientes de fisuras abiertas en la seguridad y poner los resultados a disposición de Microsoft siempre que lo solicite o permitir que Microsoft lleve a cabo las pruebas de fisuras abiertas de forma regular. Póngase en contacto con [email protected] para enviar el certificado de las pruebas de penetración o solicitar una prueba de Microsoft.



contractual>

76 Dar un tratamiento de anonimato a toda la información personal de Microsoft que se use en entornos de desarrollo o prueba.

La información personal de Microsoft no debe usarse en entornos de desarrollo o prueba; si no existiera otra alternativa, se garantizará suficientemente su anonimato para evitar la identificación de las personas interesadas o el uso inapropiado de la información personal.



contractual>


Requisitos de protección de datos para proveedores de …³n 4 Julio de 2017 Página | 1 Requisitos...

Documents

Transcript of Requisitos de protección de datos para proveedores de …³n 4 Julio de 2017 Página | 1 Requisitos...