Política de privacidad de F‑Secure Elements for Microsoft 365

Mayo de 2021

 

En resumen

F‑Secure Elements for Microsoft 365 es un servicio de seguridad basado en la nube diseñado para mitigar los riesgos de correos electrónicos comerciales en organizaciones proporcionando protección contra amenazas efectiva para mensajes de correo electrónico de Microsoft 365 contra amenazas internas de correo electrónico, ataques avanzados de suplantación de identidad y contenido y URL maliciosos. Además de los mensajes de correo electrónico también se inspeccionan otros elementos de Exchange como tareas, citas del calendario, contactos y notas adhesivas en busca de contenido y URL maliciosos.

  • El objetivo de la recopilación de datos es encontrar contenido malicioso en las casillas de correo de los usuarios y no en la información personal sobre los individuos
  • Gran parte de los datos procesados y recopilados permanece en el inquilino de Microsoft O365 de la empresa del cliente

En general

Esta política específica del servicio se centra en los elementos que creemos que son más importantes para usted. Dichos elementos son en particular 1) el tipo de datos personales y privados que recopila el servicio, 2) el motivo por el que los usamos, 3) nuestra justificación, 4) las divulgaciones típicas, y 5) por cuánto tiempo los almacenamos. También se dispone de más información sobre dichos temas y otros aspectos (derechos del sujeto de datos, información de contacto, etc.) del procesamiento de sus datos personales en los enlaces integrados.

Qué datos se procesan y para qué se utilizan

Seguridad

F‑Secure Elements for Microsoft 365 procesa contenido como mensajes de correo electrónico, citas del calendario, tareas, contactos y grupos en casillas de correo de Microsoft 365 de empleados del cliente, definidos en la política de seguridad con una licencia válida asignada.

Durante el procesamiento de los datos, la solución analiza los adjuntos de archivos, los enlaces web (URL) incluidos en el cuerpo de los mensajes y algunas partes de los encabezados de mensajes. Para identificar las amenazas de seguridad, los adjuntos de archivos y las URL se envían a la Nube de seguridad de F‑Secure para realizar comprobaciones de reputación y análisis avanzado de amenazas.

La Nube de seguridad de F‑Secure es un sistema de reputación y análisis de amenazas basado en la nube que analiza los datos en busca de contenido malicioso o dañino. Los datos que se envían a la nube de seguridad siempre se anonimizan y no se pueden conectar con ningún usuario individual de ninguna manera.

Si se detecta contenido dañino (como adjuntos o URL maliciosos), la solución mueve o copia todo el objeto o las partes afectadas a una carpeta de cuarentena oculta ubicada en el inquilino de Microsoft 365 del cliente. Las propiedades relevantes de los elementos en cuarentena, como la casilla de correo del usuario, las direcciones del emisor y el destinatario, el asunto del elemento, el nombre de la carpeta y el nombre del adjunto dañino o la URL se guardan en la base de datos de cuarentena.

Para los usuarios que administran la solución a través del portal de F‑Secure Elements for Microsoft 365, la información de contacto (dirección de correo electrónico) y las credenciales (nombre de usuario y contraseña) se almacenan y utilizan para gestionar el acceso del administrador al portal.

De los datos recopilador por la actividad de análisis, los resultados estarán disponibles para los usuarios que administran la solución a través del portal de F‑Secure Elements for Microsoft 365. Los resultados pueden incluir:

  • nombre de la casilla de correo del usuario donde se encontró el mensaje o elemento con contenido dañino
  • dirección de correo electrónico del emisor (metadatos de mensajería)
  • direcciones de correo electrónico de los destinatarios (metadatos de mensajería)
  • asunto del mensaje o elemento (metadatos de mensajería)
  • encabezados de mensajes de correo electrónico (metadatos de mensajería)
  • nombre de la carpeta donde se encontró el contenido dañino (metadatos de mensajería)
  • nombres de los archivos donde se encontró contenido dañino
  • enlaces web (URL) que se detectaron como dañinos

F‑Secure procesa los datos para proteger las redes de destino, los dispositivos y los datos contenidos. En particular:

  • bloquear contenido dañino real o potencial en el tráfico de correo electrónico interno, entrante o saliente
  • detectar actividad maliciosa y sospechosa en las casillas de correo de los usuarios
  • detectar otras amenazas y ataques de seguridad contra o a través de los servicios de Microsoft Office 365
  • analizar los datos de servicio y seguridad recopilados con el objetivo de mejorar la capacidad de detección de los servicios de F‑Secure, con énfasis en la mejora de la funcionalidad, la estabilidad y la capacidad de detección de este servicio

El portal de F‑Secure Elements for Microsoft 365 recopila datos de telemetría no identificables sobre el uso de sus funciones por motivos de mejora del servicio, y el administrador puede optar por dejar de enviarlos en la configuración de la política.

F‑Secure revisa sus direcciones de correo electrónico habitualmente en busca de brechas de datos. F‑Secure colabora con un proveedor externo para detectar y recopilar información sobre brechas de datos que esté relacionada con la dirección de correo electrónico que F‑Secure revisa por usted.

Contacto

Los datos de contacto de las personas de contacto de la empresa del cliente se explican en la Política de privacidad para empresas corporativas.

Fundamentos legales

Tanto F‑Secure como la empresa del cliente operan como controladores independientes en sus respectivas áreas de procesamiento de datos que se lleva a cabo en el contexto de sus servicios.

Cuando los datos procesados por F‑Secure en los servicios sean identificables de un individuo, los servicios procesan los datos a fin de proteger los siguientes intereses legítimos;

  • para proporcionar los servicios de F‑Secure a fin de proteger la red y los dispositivos de nuestros clientes, así como la confiabilidad y disponibilidad de los datos;
  • para que F‑Secure pueda detectar amenazas emergentes y tendencias relevantes con la seguridad entre todos sus clientes, de manera que nuestros servicios puedan estar actualizados con las amenazas constantes;
  • permitir que F‑Secure proporcione un marco de servicio de seguridad centralizado en varios continentes para un gran número de clientes y socios.

El procesamiento de datos llevado a cabo por el servicio es obligatorio para la protección eficiente de los datos de la empresa del cliente en su organización de Microsoft Office 365. Si bien la configuración del servicio individual puede permitir que un administrador de TI/Microsoft Office 365 limite el procesamiento de datos de seguridad por parte de F‑Secure, dichos ajustes no son recomendables, ya que ponen en riesgo el logro de los objetivos propuestos de los servicios descritos anteriormente.

Transferencias y divulgaciones

Los datos presentados en el portal del servicio son visibles para el administrador de TI de su empresa, ya sean internos o externos. Si la administración de TI de la empresa es administrada por terceros, los datos también están disponibles para ellos (el “socio distribuidor/revendedor” de F‑Secure) para que pueda proporcionarle soporte técnico y servicios de TI correspondientes a su empresa.

Más información

Ventas y entrega

Intercambiamos (tanto al divulgar como al recibir) algunos de sus datos personales con nuestros socios distribuidores (revendedores de servicios de TI empresariales, operadores, tiendas en línea, etc.), que comercializan, distribuyen, administran y ofrecen soporte para nuestros servicios. Proporcionamos a dichas empresas acceso a los datos personales necesarios para las actividades acordadas. La lógica de compartir dichos datos es proporcionar una experiencia del cliente excelente. Esto incluye actividades tales como administración de clientes, soporte, administración de incidentes y resolución de problemas para los servicios, marketing directo y facturación.

Es probable que nuestros socios de distribución tengan una relación preexistente de cliente con usted o, en el caso de nuestros servicios corporativos, con su empleador. Dichos socios y clientes corporativos procesan sus datos personales como una entidad independiente, según las políticas de privacidad aplicables. Independientemente de eso, nuestros socios de distribución y clientes corporativos deben también cumplir con los acuerdos y legislaciones cuando gestionen sus datos personales. Cada entidad es de manera predeterminada responsable por su propio tratamiento de los datos personales, para sus propios fines.

Subcontratación

Podemos transferir o divulgar algunos de sus datos personales a las empresas del grupo de F‑Secure y a nuestros subcontratistas que nos ayudan a crear los servicios.

Cuando tenemos que transferir o divulgar datos personales de nuestros clientes a nuestros subcontratistas, requerimos en los contratos que poseemos con ellos que usen dicha información solamente para proporcionar los servicios acordados (por ejemplo, para solucionar un caso de soporte, para enviarlos a socios de logística para la entrega de productos, o bien para enviar correos de marketing de parte nuestra). Requerimos que dichos subcontratistas procesen los datos relacionados con usted de una manera acorde con las declaraciones enunciadas aquí.

Transferencias internacionales

F‑Secure opera a nivel global. En consecuencia, algunas de nuestras filiales, subcontratistas, distribuidores y socios están ubicados fuera del Espacio Económico Europeo a fin de garantizar la comunicación y disponibilidad globales de nuestros servicios. Puede ver las ubicaciones de las filiales de F‑Secure en las páginas web públicas de F‑Secure

Cuando transferimos datos personales fuera del Espacio Económico Europeo, nos aseguramos de que dichas transferencias de datos personales se hagan según los requisitos de la ley. Hacemos esto imponiendo las protecciones técnicas y contractuales adecuadas sobre los subcontratistas relevantes y empresas del grupo de F‑Secure, por ejemplo, usando cláusulas de transferencia de datos aprobadas por la Unión Europea. El contenido fijo de dichas cláusulas está disponible aquí.

Solo realizamos transferencias globales o internacionales por un buen motivo y después de evaluar el riesgo de privacidad resultante.

Almacenamos los datos de clientes más confidenciales dentro de Finlandia y EEA, y los mantenemos bajo nuestro control.

Otros usos y divulgaciones

Existen circunstancias que no se encuentran cubiertas por esta política de privacidad en las que el uso o la divulgación de datos personales puede ser justificado o permitido, o en las que nos podremos ver obligados según las leyes aplicables a divulgar información sin obtener su permiso o de manera independiente de la prestación de los servicios.

Un ejemplo incluye el cumplimiento con una orden judicial o una garantía emitida por las autoridades en la jurisdicción relevante para complir con la producción de información.

En forma similar, pueden existir circunstancias donde exista un interés legítimo justificable para divulgar conjuntos limitados de información a terceros. Entre los ejemplos de dichas divulgaciones, se incluyen los casos donde debemos protegernos contra la responsabilidad o evitar actividades fraudulentas, donde necesitemos analizar su uso de nuestros productos a fin de garantizar que funcionen de la forma que usted espera y que podamos reaccionar ante experiencias adversas, donde sea necesario resolver o contener un problema en curso, o donde debamos cumplir con los requisitos legítimos de la información para nuestras aseguradoras o agencias gubernamentales de reglamentaciones. En cualquiera de estas acciones, actuaremos según las leyes aplicables.

También necesitamos transferir sus datos personales como parte de una transacción corporativa, como una venta, fusión, escisión u otra reorganización corporativa de F‑Secure, donde la información se proporciona a la nueva entidad controladora en el curso normal de los negocios. El grupo de F‑Secure divulga y transfiere los datos de manera interna según lo requerido por el modelo operativo en vigencia. Sin embargo, limitamos las divulgaciones en forma interna solo a empresas del grupo, unidades, equipos e individuos que deban conocer dicha información para los fines adecuados de procesamiento.

Ponderamos cada requisito de divulgación con cuidado y tenemos en cuenta las solicitudes de divulgación al decidir dónde y cómo almacenamos sus datos personales.

Fuentes

Si bien recopilamos la mayor parte de los datos antes mencionados directamente de usted o su dispositivo, también recibimos datos de nuestras filiales, socios de distribución (tales como operadores o minoristas) y entidades corporativas de los cuales haya adquirido los servicios. Tales entidades pueden ser revendedores, pero también incluir socios externos de tiendas web. También adquirimos algunos datos personales básicos (solicitamos datos de compras) y datos analíticos generales de las tiendas de aplicaciones en las que se venden nuestros servicios. Estas otras fuentes pueden además incluir subcontratistas que le hayan prestado servicios de asistencia técnica o socios publicitarios que nos hayan prestado su asistencia durante nuestras actividades de comercialización.

Lo hacemos para generar una experiencia sin dificultades para el cliente y para contar con la información necesaria para resolver casos de asistencia técnica.

Los ejemplos típicos de fuentes externas son los siguientes:

  • información sobre sus compras realizadas en nuestra tienda en línea externa,
  • adquirimos sus credenciales a partir de datos de inicio de sesión anteriores de nuestro socio revendedor operador, para poder ofrecerle el servicio a usted directamente.
  • adquirimos sus datos de contacto de registros de tomadores de decisiones corporativas para fines de marketing y
  • cuando usa su cuenta de medios sociales para registrarse en nuestros servicios, recopilamos la dirección de correo electrónico de la cuenta para poder autenticar el registro y ponernos en contacto con usted.

Terceros

Nuestros servicios se proporcionan en conjunto con nuestros socios, y nuestros servicios y sitos web pueden integrarse o interoperar con servicios externos. Este documento de privacidad solo se aplica a los datos personales siempre que estos estén bajo el control de F‑Secure. Cuando otras entidades procesen sus datos personales para sus fines independientes, dicha parte será responsable del procesamiento de sus datos personales de una forma justificada según sus políticas, y de respetar sus derechos acorde a las leyes de protección de datos.

Los más comunes de dichos casos son los siguientes:

  • Tienda en línea. Nuestra tienda en línea es administrada parcialmente por un revendedor terciarizado. Aunque los datos que ingresa en la fase de registro se manejan según las políticas de F‑Secure, se aplicarán las políticas de los proveedores de nuestra tienda en línea para la compra en sí y las actividades relacionadas.
  • Consultas acerca de la ubicación del dispositivo. Cuando consulta la ubicación de su dispositivo mediante el uso de nuestros servicios, el proveedor de los mapas necesita procesar los datos geográficos relacionados. A la fecha de publicación de esta política, F‑Secure utiliza Google Maps en sus características de búsqueda y ubicación de dispositivos. Las políticas de privacidad de Google se aplicarán en función del uso que usted haga de las características.

Conservación

Datos controlados por el cliente

Los elementos en cuarentena y las propiedades relacionadas se eliminan según la política definida por el cliente..

Datos controlados por F‑Secure

Los datos se almacenan por la duración del servicio proporcionado al cliente y se pueden ver en el portal de F‑Secure Elements for Microsoft 365 durante el mismo período de tiempo. Después de la terminación del acuerdo de servicio o la licencia con el cliente, estos datos se conservan en el almacenamiento de F‑Secure durante 4 meses, antes de la eliminación o disociación finales.

Los datos de seguridad anonimizados y los datos estadísticos se almacenan en los servidores de F‑Secure sin una fecha de finalización establecida siempre que los datos sigan siendo de utilidad para el objetivo para el que se recopilaron..

Los otros tipos de datos (por ejemplo, datos de soporte técnico, información de contacto) mencionados arriba se almacenan durante el período establecido en las respectivas políticas de privacidad, después del cual se eliminan o anonimizan.

Más información

Este texto es un complemento de los tiempos de conservación específicos del servicio. La regla predeterminada según la ley establece que los datos personales deben eliminarse o anonimizarse cuando ya no sean necesarios para su propósito.

Sin embargo, ciertos datos personales deben almacenarse irremediablemente por períodos de tiempo más extensos de longitudes variables debido a diversos motivos.

Entre los motivos típicos por los que nos desviamos de los tiempos de conservación principales, se incluyen los siguientes ejemplos:

  • períodos de gracia y copias de seguridad (por ejemplo, mantener sus datos personales almacenados por un tiempo designado después de finalizar su suscripción, de manera de poder proteger los datos contra la eliminación errónea);
  • las leyes aplicables nos exigen que almacenemos los datos (por ejemplo: para realizar un seguimiento de su compra y el pago de nuestros servicios);
  • para aplicar las reparaciones disponibles o limitar los daños que podamos sufrir (por ejemplo, debido a un litigio o una investigación en curso);
  • para solucionar o contener un problema recurrente o para poseer información suficiente a fin de poder responder ante incidentes futuros (por ejemplo, su ticket de soporte relacionado con un problema que no se solucionó de manera definitiva mientras usted era un cliente);
  • para evitar actividades fraudulentas (por ejemplo, para aplicar una prohibición en nuestra comunidad);
  • sus datos personales se incorporan a otros datos por motivos secundarios (por ejemplo, registros de conservación);
  • otras circunstancias similares, donde sigue existiendo una necesidad legítima para el almacenamiento continuo de los datos personales.

La eliminación final de su cuenta puede demorarse para evitar la interrupción de otras interacciones que tengamos con usted. Este es el caso cuando tiene una cuenta de F‑Secure (por ejemplo, se suscribió a nuestros servicios al consumidor con si dirección de correo electrónico) y además i) tiene una cuenta de la Comunidad de F‑Secure o ii) continúa suscribiéndose a nuestros servicios de mensajería de marketing. La política de eliminación de la cuenta de la Comunidad de F‑Secure se establece en sus condiciones del servicio. Puede dejar de recibir mensajes de marketing en cualquier momento.

Si compró el servicio a través de uno de nuestros socios operadores, el socio operador controla la eliminación de la cuenta. Cuando el socio nos notifica que se ha cancelado su suscripción, F‑Secure elimina en forma subsiguiente la cuenta. En consecuencia, se borran o anonimizan los datos personales relacionados con dicha cuenta.

Si recibimos su información al proporcionarle soporte técnico, la información se almacena tanto tiempo como demore la resolución del caso de soporte respectivo. Una vez resuelto, la información se elimina o anonimiza gradualmente en un plazo de dos años a partir del cierre del caso.

Los datos de análisis recopilados con el consentimiento del usuario se conservan por motivos estadísticos, y no se eliminan al borrar los datos personales y la cuenta del usuario. No se pueden vincular con un usuario personalmente identificable después de la cancelación de la cuenta.

Los datos que no contengan datos personales (por ejemplo, datos analíticos agregados) se conservarán mientras sigan siendo útiles para el propósito por el cual fueron recopilados.

Seguridad

Información sobre las prácticas de seguridad que empleamos para mantener nuestros datos seguros.

Más información

Aplicamos rigurosas medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de sus datos personales al transferirlos, almacenarlos o procesarlos.

Empleamos medidas de seguridad físicas, administrativas y técnicas para reducir los riesgos de pérdida, uso inadecuado o acceso no autorizado, divulgación o modificación de sus datos personales.

Todos sus datos personales se almacenan en servidores seguros que mantienen F‑Secure o nuestros socios con acceso limitado solo al personal autorizado.

Sus derechos

Información sobre los derechos legales y la forma de comunicarse con nosotros.

Más información

Usted tiene derecho de posesión sobre los datos que tenemos sobre usted. En particular, usted tiene los siguientes derechos sobre los datos personales que mantenemos sobre usted:

  • Acceso y rectificación. Usted tiene el derecho de preguntarnos qué datos personales tenemos sobre usted y de obtener una copia de los datos con los que podamos identificarlo en relación a este contexto. Si encuentra errores (por ejemplo, información obsoleta) en dichos datos, le solicitamos que se comunique con atención al cliente para resolver el problema. Algunos portales de nuestro servicio le permiten actualizar su información del cliente. En tal caso, deberá actualizar todos los cambios en sus datos personales, por ejemplo, cambio de dirección o de dirección de correo electrónico. Si no puede actualizar los cambios usted mismo, puede informarnos sobre los cambios necesarios.
  • Objeción. Usted tiene el derecho de objetar cierto procesamiento de datos personales, incluido, por ejemplo, el procesamiento de sus datos personales para propósitos de marketing, o cuando basamos nuestro procesamiento en un interés legítimo. En el último caso, deberá establecer una justificación legalmente válida para su objeción.
  • Derecho a ser olvidado. También tiene el derecho de solicitarnos que dejemos de almacenar sus datos personales y borrarlos. En este caso, deberá establecer una justificación legalmente válida para su solicitud.
  • Portabilidad. También tiene el derecho de solicitar datos personales que usted mismo proporcionó, bajo un contrato con su consentimiento. Puede solicitar los datos en un formato estructurado, usado con frecuencia y legible en máquina y también que se transmitan a otro controlador, cuando sea técnicamente viable.
  • Retiro del consentimiento. En los casos en los que el procesamiento se base en su consentimiento, usted tiene el derecho de retirar su consentimiento en cualquier momento mediante la configuración relevante. Para los datos de análisis de productos identificables, puede encontrar la configuración en la interfaz de usuario del servicio. También tiene el derecho de dejar de recibir comunicaciones de marketing a través del centro de preferencias, al que puede acceder desde el enlace.
  • Restricción. Si establece que los datos que tenemos sobre usted son incorrectos o que no tenemos derecho legal para usarlos, puede solicitarnos que dejemos de procesar sus datos personales, y solo mantenerlos almacenados hasta que el problema se resuelva.

Usted puede ejercitar sus derechos a través de la función de atención al cliente. Los enlaces para comunicarse con nosotros se encuentran en la sección "Información de contacto".

Tenga en cuenta que pueden existir situaciones donde nuestras obligaciones de confidencialidad, nuestro derecho de secreto profesional y/o nuestras obligaciones en la oferta de nuestros servicios (por ejemplo, a su empleador) nos prohíban divulgar o eliminar sus datos personales o le impidan ejercer sus derechos. Sus derechos antes mencionados también dependen de los fundamentos legales sobre los cuales procesamos sus datos personales.

Si tiene algún reclamo sobre la forma en que procesamos sus datos personales, o desea obtener más información, comuníquese con nosotros en cualquier momento. Si cree que no estamos respetando sus derechos legales, usted tiene el derecho de presentar un reclamo en la autoridad de supervisión. En la mayoría de los casos, esta autoridad es el Defensor de protección de los datos de Finlandia (www.tietosuoja.fi).

Información de contacto

Si tiene preguntas o inquietudes sobre los temas analizados en nuestras políticas de privacidad, comuníquese con:

F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlandia

Cómo comunicarse con nosotros:

  • Si usted es un cliente de nuestra línea de productos para el consumidor, comuníquese con nosotros a través de nuestros canales de soporte al cliente.
  • Si usted es un cliente de nuestra línea de productos corporativos, comuníquese con nosotros a través de los canales de soporte corporativo.
  • Puede comunicarse con el Ejecutivo de protección de datos de F‑Secure enviándole un mensaje a privacy-office@f-secure.com. Si desea ejercitar sus derechos como usuario de datos, utilice los enlaces de arriba en su lugar.

General

Información sobre definiciones y administración de cambios.

Más información

Definiciones

De esto hablamos cuando hacemos determinadas referencias dentro de esta política.

"Cliente" y "usted" hacen referencia al usuario privado o corporativo, o bien a todo otro sujeto de datos que compre, registre para su uso o use nuestros servicios, cuyos dispositivos y tráficos de datos estén protegidos por nuestros servicios y que puedan habernos enviado información personal identificable. Esta información pudo enviarse a través del uso que se haga de nuestros servicios, los sitios web, teléfonos, mensajes de correo electrónico, formularios de registro u otros canales similares.

"Datos personales" hace referencia a toda información sobre particulares mediante la cual puedan ser identificados ellos, sus familiares o los miembros de sus hogares. Esta información puede incluir nombres, direcciones postales y de correo electrónico, números de teléfono, información de facturación o cuentas, y cualquier otra información más técnica que pueda vincularse a usted, a su dispositivo o al comportamiento de cualquiera de ellos, que nosotros procesamos al proporcionar nuestros servicios.

"Servicios" hace referencia a todo servicio o producto que F‑Secure fabrique o distribuya, incluidos software, soluciones web y servicios relacionados de asistencia técnica.

"Sitio web" hace referencia al sitio web f-secure.com o a todo otro sitio web que F‑Secure modere o controle, incluidos los subsitios y los portales de servicio basados en navegador.

Cambios

Esta versión de la política clarifica, actualiza y reemplaza a la versión anterior. A fin de continuar manteniendo este documento actualizado, realizaremos cambios y agregados en este formulario de vez en cuando también en el futuro.

Publicaremos el documento de la política modificado en nuestro sitio web o en cualquier otro punto de interacción donde haya estado disponible anteriormente. Si las modificaciones son de importancia, es posible que le notifiquemos por otro medio. Las modificaciones entrarán en vigor a partir de la fecha en que publiquemos el documento de la política enmendado.