Omitir navegación

Residencia de datos en Azure

Azure tiene más regiones en el mundo que cualquier otro proveedor de nube, por eso ofrece las opciones de escala y residencia de los datos que necesita para acercar sus aplicaciones a usuarios de todo el mundo.

Como cliente, usted conserva la propiedad de los datos del cliente, es decir, el contenido y los datos personales y de otra índole que proporcione para su almacenamiento y hospedaje en los servicios de Azure. Usted también tiene el control de las áreas geográficas adicionales en las que decida implementar sus soluciones o replicar sus datos.

A continuación se explica en detalle el proceder cuando la funcionalidad de un servicio requiere la replicación global de los datos.

  • Microsoft protege los datos de los clientes con varias capas de seguridad y protocolos de cifrado. Obtenga información general sobre cómo utiliza Microsoft el cifrado para proteger los datos.

    De forma predeterminada, las claves administradas por Microsoft protegen sus datos, y los datos de los clientes que se conservan en medios físicos se cifran siempre usando protocolos de cifrado conformes con la norma FIPS 140-2. Los clientes pueden usar también claves administradas por ellos mismos (CMK), cifrado doble y módulos de seguridad de hardware (HSM) para aumentar la protección de los datos.

    Todo el tráfico de datos que se mueve entre centros de datos se protege con estándares de seguridad IEEE 802.1AE MAC, para evitar ataques físicos de tipo “Man in the middle”. Para mantener la resistencia, Microsoft utiliza rutas de red variables que, a veces, atraviesan fronteras geográficas, pero la replicación de datos de los clientes entre regiones se transmite siempre a través de conexiones de red cifradas.

    Además, para minimizar el riesgo de privacidad, Microsoft genera “identificadores seudónimos” que permiten a Microsoft ofrecer un servicio global en la nube (incluidas la administración y la mejora de los servicios, la facturación y la protección contra fraudes). Los identificadores seudónimos no se pueden usar en ningún caso para identificar directamente a una persona, y el acceso a los datos del cliente que identifican a personas siempre están protegidos como se ha explicado en los párrafos anteriores.

  • Todos los servicios de Azure se pueden usar de acuerdo con el RGPD. Si los clientes que usan los servicios de Azure deciden transferir contenido que contiene datos personales entre fronteras, deberán tener en cuenta los requisitos legales que se aplican a estas transferencias. Microsoft proporciona a los clientes servicios y recursos para ayudarles a cumplir los requisitos del RGPD que puedan aplicarse a sus operaciones.

    Algunos servicios en línea de Microsoft comparten datos con terceros que actúan como subencargados del tratamiento de los datos. La lista de subencargados del tratamiento de los datos de Microsoft Online Services, que está disponible públicamente, identifica a los subencargados del tratamiento de los datos que están autorizados para tratar datos personales o de clientes. Todos estos subencargados del tratamiento de los datos están obligados contractualmente a cumplir o superar los compromisos contractuales que Microsoft adquiere con sus clientes.

    Microsoft no proporcionará a ningún tercero (a) acceso directo, global ni ilimitado a los datos de los clientes; (b) claves de cifrado de plataforma utilizadas para proteger los datos ni la capacidad para descifrarlos; ni (c) acceso a los datos si Microsoft tiene conocimiento de que los datos se van a utilizar con fines distintos a los indicados en la solicitud del tercero. Aquí puede consultar más información sobre la práctica de Microsoft en relación con la divulgación legal de datos de clientes por exigencia de la Administración pública.

La mayoría de los servicios de Azure permiten especificar la región en la que se almacenarán y procesarán los datos del cliente. Microsoft puede replicar datos en otras regiones con fines de resistencia, pero Microsoft no almacenará ni procesará datos del cliente fuera de la geoárea seleccionada. Usted y sus usuarios pueden mover o copiar los datos del cliente o tener acceso a ellos desde cualquier ubicación del mundo.

Más información sobre la ubicación de los datos de los clientes

Almacenamiento de datos para servicios regionales

La mayor parte de los servicios de Azure se implementa por regiones y permite al cliente especificar la región en la que se implementará el servicio. Algunos ejemplos de estos servicios de Azure son Virtual Machines, Storage y SQL Database. Para obtener una lista completa de los servicios regionales, consulte Productos disponibles por región.

Microsoft no almacenará ni procesará los datos del cliente fuera de la geoárea que este haya especificado sin su autorización.

Microsoft puede copiar datos del cliente entre regiones en una geoárea determinada con fines de redundancia de los datos u otros fines operativos. Por ejemplo, el almacenamiento con redundancia geográfica replica datos de Blob Storage, File Storage, Queue Storage y Table Storage entre dos regiones de la misma geoárea para ofrecer una mayor durabilidad de los datos en el caso de que tuviese lugar un desastre grave en un centro de datos.

El personal de Microsoft (incluidos los subencargados del tratamiento) que se encuentre fuera de la geoárea puede operar los sistemas de procesamiento de datos de la geoárea de forma remota, pero no accederá a los datos del cliente sin su autorización.

Los siguientes servicios pueden almacenar o procesar determinados datos fuera de la geoárea especificada:

  • Azure Cloud Services, que realiza copias de seguridad de paquetes de implementación de software de rol web y rol de trabajo en Estados Unidos independientemente de la geoárea de la implementación.
  • Language Understanding, que puede almacenar datos de aprendizaje activo en Estados Unidos, Europa o Australia en función de las regiones que utilice el cliente para la creación de aplicaciones. Más información
  • Azure Machine Learning puede almacenar texto de forma libre de los nombres de recursos que proporcione el cliente (como nombres de áreas de trabajo, de grupos de recursos, de experimentos, de archivos y de imágenes) y parámetros de ejecución de experimentos (conocidos también como metadatos de experimentos) en Estados Unidos para fines de depuración.
  • Azure Databricks, que almacena los datos de identidad, algunos nombres de tabla y la información de la ruta de acceso a objetos en Estados Unidos.
  • Azure Serial Console, que almacena todos los datos del cliente en reposo en la geoárea seleccionada por el cliente; pero, cuando se usa a través de Azure Portal, puede procesar comandos y respuestas de la consola fuera de la geoárea con el único fin de proporcionar la experiencia de la consola en el portal.
  • Azure Purview, que almacena algunos nombres de tabla, rutas de acceso de archivos e información de la ruta de acceso a objetos en Estados Unidos.
  • Servicios en versión preliminar o beta, que suelen almacenar los datos del cliente en Estados Unidos, pero pueden almacenarlos en todo el mundo.

Los clientes pueden configurar determinados servicios, niveles o planes de Azure para que los datos del cliente se almacenen solo en una región:

1Actualmente, la residencia de los datos en una sola región se proporciona de forma predeterminada solo en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico y en la región Sur de Brasil (Estado de São Paulo) de la geoárea Brasil. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

2Actualmente, la residencia de los datos en una sola región se proporciona de forma predeterminada solo en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

3La característica en vista previa para permitir el almacenamiento de datos de clientes en una única región solo está disponible actualmente en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico y en la región Sur de Brasil (Estado de São Paulo) de la geoárea Brasil. En todas las demás regiones, los datos del cliente se almacenan en la geoárea.

4En Azure Databricks, los datos de identidad, algunos nombres de tabla y la información de la ruta de acceso a objetos se almacenan en Estados Unidos. La funcionalidad para permitir el almacenamiento de todos los demás datos de clientes en una única región solo está disponible actualmente en la región Sudeste Asiático (Singapur) de la geoárea Asia Pacífico y en la región Sur de Brasil (Estado de São Paulo) de la geoárea Brasil. Para todas las demás regiones, los datos del cliente se almacenan en la geoárea (sujetos a la excepción mencionada anteriormente).

5ZRS clásico, GRS/RA-GRS, GZRS/RA-GZRS almacena datos en varias regiones.

6En Azure Purview, algunos nombres de tabla, rutas de acceso de archivos e información de la ruta de acceso a objetos se almacenan en Estados Unidos. Sujeta a la excepción anterior, la funcionalidad para permitir el almacenamiento de todos los demás datos de los clientes en una única región está disponible actualmente en todas las geoáreas.

Almacenamiento de los datos para servicios no regionales

Algunos servicios de Azure no permiten que el cliente especifique la región en la que se implementará el servicio. Estos servicios pueden almacenar o procesar los datos del cliente en cualquier centro de datos de Microsoft, a menos que se especifique otra cosa.

  • Azure Content Delivery Network, que proporciona un servicio de almacenamiento en caché global y almacena datos de los clientes en ubicaciones periféricas de todo el mundo.
  • Azure Active Directory (Azure AD), que puede almacenar datos de Azure AD globalmente. Esto no se aplica a las implementaciones de Azure AD en Estados Unidos (donde los datos de Azure AD se almacenan solamente en Estados Unidos) y en Europa (donde los datos de Azure AD se almacenan en Europa o en Estados Unidos). Más información
  • Multi-Factor Authentication de Azure, que almacena los datos de autenticación en Estados Unidos. Más información
  • Azure Security Center, que puede almacenar una copia de los datos del cliente en materia de seguridad, ya sean recopilados de un recurso del cliente o relacionados con él (por ejemplo, una máquina virtual o un inquilino de Azure AD):

    (a) en la misma geoárea que ese recurso, excepto en las geoáreas donde Microsoft aún tiene que implementar Security Center, en cuyo caso se almacenará una copia de los datos en Estados Unidos.

    (b) donde Security Center utilice otro servicio en línea de Microsoft para procesar estos datos, puede almacenar tales datos conforme a las reglas de geolocalización de ese otro servicio en línea.

  • Servicios que proporcionan funciones de enrutamiento global y no procesan ni almacenan datos del cliente. Esto incluye Azure Traffic Manager, que proporciona equilibrio de carga entre distintas regiones, y Azure DNS, que proporciona servicios de nombres de dominio que redirigen el tráfico a distintas regiones.

Para obtener una lista completa de los servicios no regionales, consulte Productos disponibles por región y seleccione Sin región.