Microsoft diseñó Dynamics 365 con medidas de seguridad líderes en la industria y políticas de privacidad que protegen sus datos en la nube, incluso en las categorías de datos personales identificadas en el RGPD. Dynamics 365 puede ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD.

El control de quién tiene acceso a los datos personales es un factor clave para proteger esos datos, y su seguridad es un requisito fundamental del RGPD. Dynamics 365 le permite administrar y controlar el acceso a los datos de varias maneras:

• La seguridad basada en roles de Microsoft Dynamics 365 le permite agrupar conjuntos de privilegios que limitan las tareas que un usuario determinado puede realizar. Se trata de una función importante, sobre todo cuando las personas asumen distintos roles dentro de una organización.
• La seguridad basada en registros de Dynamics 365 le permite restringir el acceso a determinados registros.
• La seguridad en el nivel de campo de Dynamics 365 le permite restringir el acceso a determinados campos que tienen un gran impacto para el negocio, como la información de identificación personal.
• Azure Active Directory (Azure AD) ayuda a proteger Dynamics 365 contra los accesos no autorizados, ya que simplifica la administración de los usuarios y grupos, y permite asignar y revocar los privilegios fácilmente. Azure AD cuenta con herramientas como Multi-Factor Authentication para conseguir inicios de sesión de alta seguridad. Por otra parte, Azure AD Privileged Identity Management le ayuda a reducir los riesgos que entrañan los privilegios administrativos mediante el control, la administración y la notificación de accesos.

Otro requisito esencial del RGPD es la protección de los datos personales que usted controla o trata. Dynamics 365 se ha diseñado para optimizar la seguridad de los datos:

• El Ciclo de Vida de Desarrollo de Seguridad (SDL, por sus siglas en inglés) es un proceso de Microsoft mandatorio que integra los requisitos de seguridad en cada fase del proceso de desarrollo. Dynamics 365 se ha diseñado aplicando el Ciclo de Vida de Desarrollo de Seguridad.
• El cifrado de los datos en tránsito entre los dispositivos de los usuarios y nuestros centros de datos, así como de los datos en reposo almacenados en las bases de datos de Microsoft, contribuye a proteger la información de Dynamics 365 en todo momento.

Microsoft diseñó Office y Office 365 con medidas de seguridad líderes en la industria y políticas de privacidad que protegen sus datos en la nube, incluso en las categorías de datos personales identificadas en el RGPD. Office y Office 365 pueden ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD.

Un paso esencial para poder ajustarse a las obligaciones del RGPD es detectar y controlar qué datos personales se mantienen y dónde residen. Existen diversas soluciones de Office 365 que pueden ayudarle a identificar o administrar el acceso a los datos personales:

• Prevención de pérdida de datos (DLP) en Office y Office 365 puede identificar más de 80 tipos de datos confidenciales comunes que incluyen información financiera, médica y de identificación personal. Asimismo, la prevención de pérdida de datos permite a las organizaciones configurar las medidas que se adoptarán tras identificar la información confidencial para protegerla e impedir su divulgación accidental.
• Gobierno de datos avanzado usa información y conocimientos asistidos por máquinas para ayudarle a encontrar, clasificar y definir políticas, así como para adoptar medidas que permitan administrar el ciclo de vida de los datos que son más importantes para la organización.
• La búsqueda de Office 365 eDiscovery puede usarse para encontrar texto y metadatos en el contenido de todos los recursos de Office 365: SharePoint Online, OneDrive para la Empresa, Skype Empresarial Online y Exchange Online. Además, gracias a las tecnologías de machine learning que emplea, Office 365 Advanced eDiscovery puede ayudarle a identificar documentos que son pertinentes para un tema concreto (por ejemplo, una investigación de cumplimiento normativo) de forma rápida y con mayor precisión que las búsquedas tradicionales por palabras clave o las revisiones manuales de enormes cantidades de documentos.
• La característica Customer Lockbox de Office 365 puede ayudarle a satisfacer las obligaciones de cumplimiento normativo relativas a la autorización expresa de acceso a los datos durante las operaciones de servicio. Cuando un ingeniero de Microsoft necesita tener acceso a sus datos, el control de acceso se extiende a usted para que pueda aprobar definitivamente dicho acceso. Las acciones emprendidas quedan registradas y tiene acceso a ellas para que se puedan auditar.

Otro requisito esencial del RGPD es la protección de los datos personales contra las amenazas de seguridad. Entre las características actuales de Office 365 que protegen los datos e identifican cuándo se produce un incidente de seguridad de los datos cabe citar:

• La protección contra amenazas avanzada de Exchange Online lo ayuda a proteger el correo electrónico en tiempo real contra los sofisticados ataques de malware nuevos. También permite crear políticas que impidan el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico.
• Threat Intelligence le ayuda a detectar amenazas avanzadas en Office 365 y a protegerse de ellas de manera proactiva. El conocimiento detallado sobre las amenazas, obtenida gracias a la presencia global de Microsoft, el gráfico de seguridad inteligente y las aportaciones de los buscadores de amenazas informáticas, permite habilitar alertas, políticas dinámicas y soluciones de seguridad de forma rápida y eficaz.
• Administración de seguridad avanzada le permite identificar usos anormales y de alto riesgo, que le alertarán de posibles incidentes de seguridad. También permite configurar políticas de actividades para registrar y responder a las operaciones de alto riesgo.
• Por último, con los registros de auditoría de Office 365 puede supervisar y hacer un seguimiento de las actividades de los administradores y usuarios en todas las cargas de trabajo de Office 365, lo que facilita la detección e investigación temprana de problemas de seguridad y cumplimiento normativo.

Asegurar y administrar los datos personales es crítico para usted y sus clientes, y para cumplir con los requisitos que próximamente exigirá el RGPD. Al diseñar Enterprise Mobility + Security, Microsoft incorporó funciones de seguridad líderes en la industria para proteger los datos de los clientes tanto en la nube como en los sistemas locales. Esto incluye todos los datos personales, con independencia de la transferencia entre los usuarios, dispositivos y aplicaciones. Enterprise Mobility + Security cuenta con tecnologías y soluciones innovadoras que pueden ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD. Al diseñar Enterprise Mobility + Security, Microsoft incorporó políticas de seguridad líderes en la industria para proteger los datos en la nube, como las categorías de datos personales especificadas en el RGPD. Enterprise Mobility + Security puede ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD. Entre las obligaciones especificadas en el RGPD está detectar qué datos personales se mantienen y dónde residen, controlar el uso que hacen los usuarios de los datos personales y cómo obtienen acceso a ellos, y establecer controles de seguridad para impedir y detectar vulnerabilidades e incidentes de seguridad de los datos, así como responder a ellos.

Enterprise Mobility + Security emplea tecnologías de seguridad basadas en identidades que le ayudan a detectar, controlar y proteger los datos personales que tiene la organización, desvelar posibles puntos ciegos y descubrir cuándo se producen incidentes de seguridad de los datos:

• Azure Active Directory (Azure AD) lo ayuda a garantizar que únicamente los usuarios autorizados tengan acceso a los entornos informáticos, los datos y las aplicaciones. Cuenta con herramientas como Multi-Factor Authentication para conseguir inicios de sesión de alta seguridad. Por otra parte, Azure AD Privileged Identity Management le ayuda a reducir los riesgos asociados con los privilegios de acceso de administrador mediante el control, la administración y la notificación de estos importantes roles administrativos.
• Microsoft Cloud App Security lo ayuda a detectar todas las aplicaciones en la nube de su entorno, identificar a los usuarios y el uso que hacen de ellas, y obtener una puntuación de riesgos de cada aplicación. Con esos datos, puede decidir si desea que sus usuarios tengan acceso o no a estas aplicaciones. Cloud App Security ofrece visibilidad, control y protección contra amenazas para los datos almacenados en esas aplicaciones en la nube. Puede determinar su postura de seguridad en la nube definiendo políticas y empleándolas en las aplicaciones en la nube de Microsoft y de terceros. Finalmente, cuando Cloud App Security detecta una anomalía, le envía una alerta.Microsoft Intune lo ayuda a proteger los datos que pueden estar almacenados en computadoras y dispositivos móviles. Puede controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales. Intune puede ayudarle a informar a los usuarios sobre sus decisiones de administración publicando una declaración de privacidad y unos términos de uso personalizados. También le ofrece la posibilidad de cambiar el nombre de los dispositivos o desconectarlos.
• Microsoft Azure Information Protection lo ayuda a garantizar que sus datos se puedan identificar y estén seguros, un requisito clave del RGPD, sin importar dónde se almacenan o cómo se comparten. Puede clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de su organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Azure Information Protection incluye también avanzadas funciones de registro y generación de informes para supervisar la distribución de los datos, además de opciones que permiten administrar y controlar las claves de cifrado.
• Microsoft Advanced Threat Analytics ayuda a localizar filtraciones e identifica a los atacantes mediante innovadoras tecnologías de análisis del comportamiento y detección de anomalías. Advanced Threat Analytics se implementa localmente y funciona con la implementación existente de Active Directory. Emplea machine learning y los últimos análisis del comportamiento de usuarios y entidades para ayudarle a encontrar amenazas avanzadas persistentes y detectar actividades sospechosas y ataques malintencionados realizados por delincuentes informáticos a fin de identificar incidentes de seguridad antes de que causen daños a su negocio.

Al diseñar SQL Server y Azure SQL Database, Microsoft incorporó políticas de privacidad y medidas de seguridad líderes en la industria para proteger los datos de las bases de datos, como las categorías de datos personales especificadas en el RGPD. Las funciones de seguridad de SQL integradas pueden ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD.

Uno de los principales requisitos del RGPD es controlar quién tiene acceso a la base de datos y administrar cómo se usan los datos y se obtiene acceso a ellos. SQL Server y Azure SQL Database disponen de controles que permiten administrar el acceso a la base de datos y las autorizaciones en diferentes niveles:

• El firewall de Azure SQL Database limita el acceso a bases de datos específicas del servidor de Azure SQL Database y permite el acceso únicamente a las conexiones autorizadas. Puede crear reglas de firewall en el nivel del servidor y en el nivel de la base de datos en las que se especifiquen los intervalos de IP que tienen permiso para conectarse.
• La autenticación de SQL Server lo ayuda a asegurarse de que solo los usuarios autorizados con credenciales válidas puedan acceder al servidor de bases de datos. SQL Server admite tanto la autenticación de Windows como los inicios de sesión de SQL Server. La autenticación de Windows ofrece seguridad integrada y está recomendada como la opción más segura, ya que el proceso de autenticación está totalmente cifrado. Azure SQL Database admite la autenticación de Azure Active Directory, que cuenta con la funcionalidad de inicio de sesión único y puede usarse en dominios administrados e integrados.
• La autorización de SQL Server permite administrar los permisos de acuerdo con el principio de privilegios mínimos. En SQL Server y SQL Database, la seguridad está basada en roles, lo que permite mantener un control pormenorizado de los permisos de datos a través de la administración de la pertenencia a roles y los permisos de nivel de objeto.
• Enmascaramiento Dinámico de Datos (DDM, por sus siglas en inglés) es una función integrada que puede usarse para limitar la exposición de la información confidencial enmascarando los datos cuando los usuarios o aplicaciones que obtienen acceso no tienen privilegios. Los campos de datos seleccionados se enmascaran sobre la marcha en los resultados de las consultas, mientras que los datos de la base de datos no se modifican. DDM es fácil de configurar y no precisa que se realicen cambios en la aplicación. En el caso de los usuarios de Azure SQL Database, el enmascaramiento de datos dinámico puede detectar automáticamente información que podría ser confidencial y sugerir que se apliquen las máscaras apropiadas.
• La Seguridad a Nivel de Fila (RLS, por sus siglas en inglés) es otra funcionalidad integrada que permite a los clientes de SQL Server y SQL Database implementar restricciones en el acceso a las filas de datos. RLS se puede usar para habilitar accesos específicos a las filas de una tabla de base de datos con el objetivo de tener un mayor control sobre los usuarios que pueden obtener acceso y los datos que son accesibles. Ya que la lógica de restricción de accesos se encuentra en el nivel de la base de datos, esta funcionalidad simplifica considerablemente el diseño y la implementación de la seguridad de las aplicaciones.

Otro requisito esencial del RGPD es la protección de los datos personales contra las amenazas de seguridad. SQL Server y SQL Database cuentan con un avanzado conjunto de funcionalidades integradas que protegen los datos e identifican los incidentes de seguridad cuando se producen:

• El Cifrado de Datos Transparente protege los datos en reposo cifrando la base de datos, las copias de seguridad relacionadas y los archivos del registro de transacciones en el nivel del almacenamiento físico. Este cifrado es transparente para la aplicación y usa la aceleración de hardware para mejorar el rendimiento.
• El protocolo Seguridad de la Capa de Transporte (TLS, por sus siglas en inglés) protege los datos en tránsito de las conexiones de SQL Database.
• Always Encrypted es una característica innovadora en la industria que está diseñada para proteger los datos con un alto grado de confidencialidad en SQL. Always Encrypted permite a los clientes cifrar los datos confidenciales dentro de las aplicaciones cliente sin revelar nunca los claves de cifrado al motor de base de datos. El mecanismo es transparente para las aplicaciones, ya que el cifrado y descifrado de los datos se realiza de manera invisible en un controlador cliente habilitado para Always Encrypted.
• La auditoría de SQL Database y la auditoría de SQL Server permiten hacer un seguimiento de los eventos ocurridos en la base de datos y registrarlos en un registro de auditoría. Con la auditoría, podrá conocer las actividades que se realizan en la base de datos de forma continuada, así como analizar e investigar el historial de actividades para identificar posibles amenazas o presuntos abusos e infracciones de seguridad.
• SQL Database Threat Detection detecta actividades anómalas que podrían indicar posibles amenazas de seguridad en la base de datos. Threat Detection emplea un conjunto avanzado de algoritmos para aprender de forma continuada y generar perfiles de comportamiento en la aplicación, y envía inmediatamente una notificación cuando se detecta una actividad inusual o sospechosa. Threat Detection puede ayudarle a ajustarse a los requisitos de notificación ante incidentes de seguridad de los datos que se especifican en el RGPD.

Microsoft diseñó Windows 10 y Windows Server 2016 con medidas de seguridad líderes en la industria y políticas de privacidad que protegen sus datos en la nube, incluso en las categorías de datos personales identificadas en el RGPD.

Las funciones de seguridad disponibles actualmente en Windows 10 y Windows Server 2016 pueden ayudarle a reducir riesgos y a garantizar el cumplimiento del RGPD. Uno de los requisitos fundamentales del RGPD es la protección de los datos personales. Microsoft considera que una seguridad eficaz tiene que ser integral, desde los sistemas de escritorio hasta los servidores en los que residen los datos. Windows 10 y Windows Server 2016 cuentan con tecnologías de cifrado, tecnologías antimalware y soluciones de identidad y acceso líderes en la industria, que le permiten prescindir de las contraseñas y emplear formas de autenticación más seguras:

• Windows Hello es una cómoda alternativa a las contraseñas de nivel empresarial que emplea un método natural (biométrico) o conocido (PIN) para validar la identidad, lo que brinda las ventajas de seguridad que ofrecen las tarjetas inteligentes sin necesidad de adquirir periféricos adicionales.
• Windows Defender es una sólida solución antimalware que funciona desde el primer momento para ayudarle a estar protegido. Windows Defender detecta rápidamente cualquier malware que pueda surgir y lo protege de este. Además, puede ayudarlo a proteger los dispositivos tan pronto como se detecta una amenaza en cualquier parte del entorno.
• Protección contra Amenazas Avanzada (ATP, por sus siglas en inglés) de Windows Defender ofrece a los equipos de operaciones de seguridad capacidades avanzadas de detección, investigación y respuesta ante filtraciones en todos sus extremos, con hasta seis meses de datos históricos. Windows Defender ATP ayuda a abordar el requisito clave del RGPD que las empresa deben contar con procedimientos claros para detectar, investigar e informar las filtraciones de datos.
• Device Guard le permite bloquear sus dispositivos y servidores para protegerse de variantes nuevas y desconocidas y de amenazas constantes avanzadas. A diferencia de las soluciones que se basan en la detección, como los programas antivirus que necesitan actualizaciones constantes para detectar las amenazas más recientes, Device Guard bloquea los dispositivos para que solo puedan ejecutar las aplicaciones autorizadas que usted elija, lo que supone una forma eficaz de combatir el malware.
• Credential Guard es una funcionalidad que aísla los secretos de un dispositivo, como los tokens de inicio de sesión único, e impide que se obtenga acceso a ellos incluso en el caso de que todo el sistema operativo Windows se vea comprometido. Básicamente, esta solución impide el uso de ataques difíciles de defender como “pass-the-hash”.
• La característica Cifrado de Unidad BitLocker de Windows 10 y Windows Server 2016 ofrece cifrado de nivel empresarial que contribuye a proteger los datos cuando se pierde o se roba un dispositivo. BitLocker cifra totalmente las unidades flash y las unidades de disco de la computadora para impedir el acceso a los datos por parte de usuarios no autorizados.
• Windows Information Protection reanuda las tareas donde BitLocker las deja. Si bien BitLocker protege todo el disco de un dispositivo, Windows Information Protection protege sus datos frente a usuarios no autorizados y aplicaciones que se ejecutan en un sistema. También ayuda a impedir que se filtren datos corporativos a documentos o ubicaciones de Internet que no pertenecen a la empresa.
• Las Máquinas Virtuales Blindadas le permiten usar BitLocker para cifrar discos y máquinas virtuales (VM) que se ejecutan en Hyper-V para impedir que administradores en peligro o malintencionados ataquen el contenido de las VM protegidas.
• Con administración «Just Enough» y «Just in Time», los administradores pueden realizar su trabajo y sus actividades habituales, mientras que usted puede limitar el ámbito de competencias y el tiempo de actuación de los administradores. Si una credencial con privilegios se ve comprometida, la magnitud de los daños es muy limitada. Esta técnica únicamente proporciona a los administradores el nivel de acceso que necesitan durante el tiempo en que trabajan en el proyecto.