Desactivar una cuenta no basta. Las reglas de reenvío, los buzones compartidos, las delegaciones y los tokens OAuth sobreviven a la salida, fuera de la vista del directorio de Microsoft. Nosotros los detectamos y le entregamos un hallazgo fechado. Sin copiar jamás sus datos.
Usted no elige el calendario: la salida impone la fecha. Lo que queda abierto después no se ve por sí solo.
Una regla de reenvío, una delegación o un token OAuth siguen funcionando después de desactivar la cuenta. Nadie los ve si no va a buscarlos.
Litigio, competencia, datos sensibles: en una salida tensa, saber y poder demostrar que todo está cortado lo cambia todo.
Los cuestionarios de ciberseguro y las obligaciones de la cadena de suministro piden un proceso de revocación de accesos de los salientes. Aquí tiene la prueba.
El directorio de Microsoft muestra la cuenta. El resto vive en otra parte: ahí es donde miramos.
Los mensajes que siguen saliendo hacia una dirección externa, aunque la cuenta esté cerrada.
Los buzones a los que el saliente conservaba acceso, y los derechos de envío en su nombre (Send-As).
Las delegaciones de calendario y de buzón que quedan abiertas a otras cuentas.
Los canales privados y los equipos donde el antiguo miembro sigue figurando.
Los archivos compartidos por enlace, aún abiertos después de su salida.
Las aplicaciones de terceros que había autorizado, cuyo token no está revocado.
Todo esto vive detrás de las API de administración de Exchange, Teams y Purview, no en el directorio. Por eso un simple vistazo a la cuenta no basta.
La medición se realiza en su navegador, sobre su inquilino. No vemos ni sus correos ni sus archivos, solo configuraciones.
La recopilación se ejecuta en su navegador, sobre su Microsoft 365. Ningún dato se copia en nuestros servidores.
Leemos configuraciones, no modificamos nada. Autorización con el mínimo necesario, revocable en cualquier momento.
Cada una de nuestras lecturas aparece en sus propios registros de auditoría de Microsoft. La confianza se verifica, no se promete.
El resultado es un hallazgo fechado, para conservar y presentar. No es un dictamen jurídico: es una pieza factual y verificable sobre el estado de sus accesos.
El perímetro normativo aplicable a su organización, a título indicativo. Cada referencia remite a su fuente oficial.
Autoridad de protección de datos : AEPD (Agencia Española de Protección de Datos) · https://www.aepd.es
Autoridad de ciberseguridad : CCN-CERT (Centro Criptológico Nacional - CERT (part of CNI - Centro Nacional de Inteligencia)) · https://www.ccn-cert.cni.es
Transposición nacional de NIS2
Contenu indicatif, pas un avis juridique. Relecture juriste local obligatoire.