Sino viste la parte uno, te la recomendamos.
En la parte uno vimos algunas de las opciones más importantes referentes a la confidencialidad y al manejo de tu activo de información, es decir archivos y documentos que almacenes en tu OneDrive para empresas.
Ahora continuamos con algunos puntos importantes relacionado al cumplimiento de normativas.
Cumplimiento de normas
Si en tu empresa deben cumplir normas estrictas de seguridad de la información, el administrador del Tenant de Office 365 puede configurar políticas complejas de cumplimiento. Por ejemplo, si en tu empresa trabajas con bancos o entidades financieras, seguramente te exijan que tengas cuidado y que “no debes compartir números de tarjeta de crédito o cuentas bancarias “con nadie que esté fuera de tu empresa.
En este caso puedes aplicar una configuración para que, a los documentos de cierto tipo de etiquetas, o de ciertas carpetas, se les aplique normas de seguridad que eviten que alguien suba documentos que adentro contengan los números de cuentas bancarias de las personas o tarjetas de crédito. Así te evitarás sanciones o problemas legales. Esto aplica para evitar que se compartan documentos con números de seguro sociales, RFCs, Passwords, etc. ya se de manera accidental o a propósito.
GPDR
Con OneDrive para empresas, puedes aplicar y cumplir determinadas normas, como la GDPR (General Data Protection Regulation), el cual es el Reglamento General de Protección de Datos. Es una de las regulaciones más severas de la Unión Europea.
Para cumplir con esta y otras normas, Microsoft asegura:
Un control granular sobre los datos personales incluyendo “que” se hace con los datos, “donde” están ubicados los datos y “como” serán utilizados
No se guardan datos más allá del periodo de retención configurado. Una vez que se ha borrado la información, la misma será “totalmente destruida”.
Aplica DPIA, la cual es Evaluación de Impacto de Protección de Datos (DPIA) y es un requisito obligatorio de acuerdo con el Artículo 35 del GDPR.
Sirve para determinar, para nuevos activos o proyectos en la empresa, si se cumple con “privacidad por diseño” y/o “privacidad por defecto”.
Privacidad por defecto significa que la configuración de privacidad más estricta se aplica automáticamente una vez que un cliente adquiere un nuevo producto o servicio. Es decir, no se debe requerir ningún cambio manual a la configuración de privacidad por parte del usuario. También hay un elemento temporal en este principio, ya que, por defecto, la información personal solo debe conservarse durante el tiempo necesario para proporcionar el producto o servicio no más ni menos.
Privacidad por diseño
es que cada nuevo servicio o proceso comercial que utiliza datos personales de los clientes o usuarios debe tener en cuenta la protección de dichos datos. Una empresa debe poder demostrar que cuenta con la seguridad adecuada y que se supervisa el cumplimiento. En la práctica, esto significa que un departamento de TI debe tener en cuenta la privacidad durante todo el ciclo de vida del sistema o desarrollo del proceso.
Otras normas
Los servicios de Microsoft permiten que se cumplan y apliquen más de 50 normas, como las ISO ejemplo: las normas 9001, 27001, 27017 y 27018, etc., así como normas específicas para ciertas industrias como la industria de salud HIPAA/HITECH, o las normas de entidades financieras PCI DSS, SOX, etc.
Referencias:
https://docs.microsoft.com/es-es/.
https://techcommunity.microsoft.com/..
https://docs.microsoft.com/en-us/…
Espero que te haya sido de utilidad lo que te platiqué en este post y en la parte uno.
Hasta la próxima.
ECR365 CLOUD TEAM
team@ecr365.cloud