BOCM
Pág. 76

BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
MARTES 30 DE MARZO DE 2021

Dominio

B.O.C.M. Núm. 75

Prácticas
Microsoft registra los esfuerzos de restauración de datos, lo que incluye la persona responsable, la descripción
de los datos restaurados y, cuando corresponda, la persona responsable y qué datos (si los hubo) tuvieron
que ingresarse de forma manual en el proceso de recuperación de datos.
Software malicioso. Microsoft cuenta con controles antimalware que ayudan a evitar que un software
malicioso consiga acceso no autorizado a los Datos del Cliente, incluido software malicioso proveniente de
redes públicas.
Datos más allá de los límites
Microsoft cifra (o permite que el Cliente cifre) los Datos del Cliente que se transmiten por redes públicas.
Microsoft restringe el acceso a los Datos del Cliente presentes en soportes físicos que salen de sus
instalaciones.
Registro de eventos. Microsoft registra (o permite que el Cliente registre) el acceso y uso de los sistemas de
información que contienen Datos del Cliente, registrando el identificador de acceso, la hora, la autorización
concedida o denegada y la actividad pertinente.

Control de acceso

Política de acceso. Microsoft mantiene un registro de los privilegios de seguridad de las personas que tienen
acceso a los Datos del Cliente.
Autorización de acceso
Microsoft mantiene y actualiza un registro del personal autorizado a acceder a los sistemas de Microsoft que
contienen Datos del Cliente.
Microsoft desactiva las credenciales de autenticación que no se han utilizado durante un periodo que no
superior a seis meses.
Microsoft identifica al personal que puede conceder, modificar o cancelar el acceso autorizado a los datos y
recursos.
Microsoft se asegura de que, cuando más de una persona tenga acceso a sistemas que contienen Datos del
Cliente, esas personas tienen identificadores o inicios de sesión separados.
Privilegio mínimo
Al personal de soporte técnico solo se le permite tener acceso a los Datos del Cliente cuando sea necesario.
Microsoft restringe el acceso a los Datos del Cliente solo a aquellas personas que necesitan dicho acceso
para desempeñar su trabajo.
Integridad y confidencialidad
Microsoft indica a su personal que debe desactivar las sesiones administrativas cuando salga de las
instalaciones que Microsoft controla o cuando los equipos queden desatendidos.
Microsoft almacena contraseñas de una forma que las hace ininteligibles mientras están vigentes.
Autenticación
Microsoft utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan
acceder a los sistemas de información.
Cuando los mecanismos de autenticación se basan en contraseñas, Microsoft exige que las contraseñas se
renueven de forma periódica.
Cuando los mecanismos de autenticación se basan en contraseñas, Microsoft exige que la contraseña tenga
al menos ocho caracteres de longitud.
Microsoft se asegura de que los identificadores desactivados o expirados no se concedan a otras personas.
Microsoft supervisa (o permite que el Cliente supervise) los intentos reiterados de conseguir acceso al sistema
de información mediante una contraseña inválida.
Microsoft mantiene procedimientos estándares del sector para desactivar las contraseñas que se hayan
dañado o que hayan sido reveladas de forma involuntaria.
Microsoft utiliza prácticas de protección con contraseña estándares del sector, lo que incluye prácticas
diseñadas para mantener la confidencialidad y la integridad de las contraseñas cuando son asignadas y
distribuidas, así como durante el almacenamiento.
Diseño de red. Microsoft cuenta con controles para evitar que las personas asuman derechos de acceso que
no se les han asignado para conseguir acceso a Datos del Cliente para los que no tienen acceso autorizado.

Gestión de incidentes
de seguridad de la información

Proceso de respuesta ante incidentes
Microsoft mantiene un registro de las brechas de seguridad con la correspondiente descripción de la brecha,
el periodo de tiempo, las consecuencias de la brecha, el nombre de la persona que informó de la brecha y de
la persona a la que se informó sobre la brecha y el procedimiento para recuperar los datos.
Para cada brecha de seguridad que constituya un Incidente de Seguridad, Microsoft proporcionará una
notificación (como se describe más arriba en la sección “Notificación de Incidentes de Seguridad”) sin dilación
indebida y, en cualquier caso, en un plazo de 72 horas.
Microsoft hace un seguimiento (o permite que el Cliente haga un seguimiento) de las revelaciones de Datos
del Cliente, incluyendo qué datos que se han revelado, a quién y en qué momento.
Supervisión del servicio. El personal de seguridad de Microsoft verifica los registros al menos cada seis
meses para proponer esfuerzos de corrección, si fuera necesario.

Gestión de la continuidad
del negocio

Microsoft mantiene planes de emergencia y contingencia para las instalaciones en que están ubicados los
sistemas de información de Microsoft que tratan los Datos del Cliente.
El almacenamiento redundante de Microsoft y sus procedimientos para recuperar datos están diseñados para
intentar reconstruir los Datos del Cliente en su estado original o replicado por última vez desde antes del
momento en que se perdieron o destruyeron.


Anexo 1: Notas

Los Servicios Profesionales se prestan sujetos a los “Términos de los Servicios Profesionales” que
se encuentran a continuación. Sin embargo, si los Servicios Profesionales se prestan en virtud de
un contrato independiente, entonces se aplicarán los términos de ese contrato independiente a
dichos Servicios Profesionales.
Los Servicios Profesionales a los que se aplica esta Nota no son Servicios Online y no están sujetos
a las demás disposiciones de los Derechos de Uso o del DPA salvo que se prevea expresamente lo
contrario en los Términos de los Servicios Profesionales establecidos a continuación.

BOCM-20210330-26

Servicios Profesionales