At a minimum, the DLP solution SHALL restrict sharing credit card numbers, U.S. Individual Taxpayer Identification Numbers (ITIN), and U.S. Social Security numbers (SSN) via email.

Por qué es importante

El correo electrónico es un vector principal para la exfiltración de datos, y la información sensible, como números de tarjetas de crédito, números de Seguridad Social y números de identificación fiscal individual, suele ser el objetivo de atacantes o compartida accidentalmente por empleados. Sin una política de Data Loss Prevention (DLP) que restrinja estos tipos de datos, su organización corre el riesgo de sufrir infracciones de cumplimiento, sanciones financieras y daños a la reputación según normativas como el GDPR o HIPAA. Aplicar restricciones DLP sobre estos tipos de datos sensibles comunes es un control de seguridad básico recomendado por CISA y CIS.

Qué verifica Aether365

Esta verificación confirma que su solución de Data Loss Prevention (DLP) de Microsoft 365 incluya políticas que restrinjan el intercambio de números de tarjetas de crédito, números de identificación fiscal individual de EE. UU. (ITIN) y números de Seguridad Social de EE. UU. (SSN) a través del correo electrónico. Aparece en el panel de Aether365 bajo la categoría de servicio microsoft-365 y marca a los inquilinos no conformes como riesgo de gravedad media.

Cómo solucionarlo

1. Inicie sesión en el portal de cumplimiento de Microsoft Purview (https://compliance.microsoft.com) y navegue hasta Data loss prevention y luego Policies.
2. Haga clic en Create policy y seleccione Custom para crear una nueva política DLP. Alternativamente, edite una política existente que cubra el correo electrónico.
3. Asigne un nombre a la política, por ejemplo "CISA Email DLP for Sensitive Data".
4. En Locations, seleccione Exchange email y asegúrese de que todos los buzones estén incluidos.
5. En Define policy settings, elija Create or customize advanced DLP rules.
6. Haga clic en Create rule y asígnele el nombre "Restrict PII Sharing via Email". Haga clic en Add condition y luego en Content contains. Seleccione Sensitive info types y agregue los siguientes tipos:
   • U.S. Social Security Number (SSN)
   • Credit Card Number
   • U.S. Individual Taxpayer Identification Number (ITIN)
7. En Actions, seleccione Restrict access or encrypt the content in Microsoft 365 locations, luego elija Block users from receiving the email y, opcionalmente, notifique al remitente.
8. Establezca la prioridad de la regla y pruébela con Test mode antes de aplicarla. Una vez validada, configure el modo en Enforce.
9. Haga clic en Save y luego en Create para finalizar la política. Puede tardar hasta 24 horas en aplicarse en todo su inquilino.

Cumplimiento

• CIS (Center for Internet Security): CISA.MS.EXO.8.4
• CISA (Cybersecurity and Infrastructure Security Agency): Control de línea base requerido
• Marco: EIDSCA (Exchange Online Data Security Controls Assessment)

Recursos relacionados

• Learn about data loss prevention in Microsoft Purview
• Get started with Data Loss Prevention policies
• Sensitive information type entity definitions