Almacenamiento y gobernanza de datos en Power Platform
En primer lugar, es importante distinguir entre información personal y datos de los clientes.
Información personal es información sobre personas que se puede utilizar para identificarlas.
Los datos del cliente incluyen datos personales y otra información del cliente, como direcciones URL, metadatos e información de autenticación de empleados, como nombres DNS.
Residencia de datos
Un inquilino de Microsoft Entra alberga información que es relevante para una organización y su seguridad. Cuando un inquilino de Microsoft Entra inicia sesión en servicios de Power Platform, el país o región seleccionados del arrendatario se asignan a la geografía de Azure más adecuada donde existe un despliegue de Power Platform. Power Platform almacena los datos del cliente en la geografía de Azure asignada al arrendatario, o ubicación geográfica, excepto cuando las organizaciones implementan servicios en varias regiones.
Algunas organizaciones tienen una presencia global. Por ejemplo, una empresa puede tener su sede en los Estados Unidos pero hacer negocios en Australia. Puede que necesite que ciertos datos de Power Platform se almacenen en Australia para cumplir con las regulaciones locales. Cuándo los servicios de Power Platform se implementan en más de una geografía de Azure, se denomina despliegue multigeo. En este caso, solo los metadatos relacionados con el entorno se almacenan en la geografía local. Todos los metadatos y datos de productos en ese entorno se almacenan en la ubicación geográfica remota.
Microsoft puede replicar datos en otras regiones para la resistencia de datos. Sin embargo, no replicamos ni movemos datos personales fuera de la geo. Los datos replicados en otras regiones pueden incluir datos no personales, como la información de autenticación de los empleados.
Los servicios de Power Platform se encuentran en geografías de Azure específicas. Para obtener más información sobre dónde están disponibles los servicios de Power Platform, dónde se almacenan los datos y cómo se usan, vaya a Microsoft Trust Center. Los compromisos sobre la ubicación de los datos de cliente en reposo se especifican en los Términos de procesamiento de datos de los Términos de Microsoft Online Services. Microsoft también proporciona centros de datos para entidades soberanas.
Manejo de datos
Esta sección describe cómo Power Platform almacena, procesa y transfiere datos de clientes.
Datos en reposo
A menos que se indique lo contrario en la documentación, los datos del cliente permanecen en su fuente original (por ejemplo, Dataverse o SharePoint). Una aplicación de Power Platform se almacena en Azure Storage como parte de un entorno. Los datos usados en aplicaciones móviles se cifran y almacenan en SQL Express. En la mayoría de los casos, las aplicaciones usan Azure Storage para persistir datos de servicio de Power Platform y Azure SQL Database para conservar los metadatos de servicio. Los datos ingresados por los usuarios de aplicaciones se almacenan en el respectivo origen de datos para el servicio, como Dataverse.
Todos los datos conservados por Power Platform se cifran de forma predeterminada con claves administradas por Microsoft. Los datos de los clientes almacenados en Azure SQL Database están totalmente cifrados con tecnología Cifrado de datos transparente (TDE) de Azure SQL. Los datos del cliente almacenados en Azure Blob Storage se cifran mediante Azure Storage Encryption.
Datos en procesamiento
Los datos están en proceso cuando se están utilizando como parte de un escenario interactivo o cuando un proceso en segundo plano, como la actualización, toca estos datos. Power Platform carga datos en procesamiento en el espacio de memoria de una o más cargas de trabajo de servicio. Para facilitar la funcionalidad de la carga de trabajo, los datos que se almacenan en la memoria no se cifran.
Datos en tránsito
Power Platform requiere que todo el tráfico HTTP entrante se cifre con TLS 1.2 o superior. Se rechazan las solicitudes que intentan utilizar TLS 1.1 o inferior.
Características de seguridad avanzadas
Algunas de las características de seguridad avanzadas de Power Platform tienen requisitos de licencia específicos.
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure especificado. Puede usar etiquetas de servicio para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall.
Las etiquetas de servicio ayudan a minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de la red. Puede usar etiquetas de servicio en lugar de direcciones IP específicas cuando crea reglas de seguridad que, por ejemplo, permiten o deniegan el tráfico para el servicio correspondiente.
Microsoft administra los prefijos de dirección incluidos en la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones. Para más información, vea Rangos de IP y etiquetas de servicio de Azure: nube pública.
Prevención de pérdida de datos
Power Platform tiene un amplio conjunto de Funciones de prevención de pérdida de datos (DLP) para ayudarlo a administrar la seguridad de sus datos.
Restricción de IP de firma de acceso compartido (SAS) de almacenamiento
Nota
Antes de activar cualquiera de estas funciones de SAS, los clientes primero deben permitir el acceso al dominio de https://*.api.powerplatformusercontent.com o la mayoría de las funcionalidades de SAS no funcionarán.
Este conjunto de funciones es una funcionalidad específica del arrendatario que restringe los tokens de Firma de acceso compartido (SAS) de almacenamiento y se controla a través de un menú en el Centro de administración de Power Platform. Esta configuración restringe quién, según la IP, puede utilizar tokens SAS empresariales.
Esta característica está actualmente en versión preliminar privada. La vista previa pública está prevista para finales de esta primavera, con disponibilidad general en el verano de 2024. Para obtener más información, consulte Planificador de versiones.
Esta configuración se puede encontrar en la Configuración Privacidad y seguridad de un entorno de Dataverse, en el Centro de administración. Debe activar la opción Habilitar regla de firma de acceso compartido (SAS) de almacenamiento basada en direcciones IP .
Los administradores pueden habilitar una de estas cuatro configuraciones para esta configuración:
| Ajuste | Description |
|---|---|
| Solo vinculación de IP | Esto restringe las claves SAS a la IP del solicitante. |
| Solo cortafuegos IP | Esto restringe el uso de claves SAS para que solo funcione dentro de un rango especificado por el administrador. |
| Enlace de IP y cortafuegos | Esto restringe el uso de claves SAS para que solo funcione dentro de un rango especificado por el administrador y solo para la IP del solicitante. |
| Enlace de IP o cortafuegos | Permite usar claves SAS dentro del rango especificado. Si la solicitud proviene de fuera del rango, se aplica IP Binding. |
Productos que imponen la vinculación de IP cuando están habilitados:
- Dataverse
- Power Automate
- Conectores personalizados
- Power Apps
Impacto en las experiencias de Power App
Tenga en cuenta el siguiente impacto en los usuarios:
Cuando un usuario, que no cumple con las restricciones de dirección IP de un entorno, abre una aplicación: se muestra el siguiente mensaje: "Esta aplicación dejó de funcionar. Intente actualizar su navegador." Hay planes para actualizar esta experiencia para proporcionar más información contextual al usuario sobre por qué no se pudo iniciar la aplicación.
Cuando un usuario que cumple con las restricciones de dirección IP abre una aplicación: ocurren los siguientes eventos:
- Se muestra un banner con el siguiente mensaje: “Su organización configuró restricciones de dirección IP que limitan dónde Power Apps es accesible. Es posible que no se pueda acceder a esta aplicación cuando usa otra red. Póngase en contacto con el administrador para conocer más detalles”. Este banner aparece durante unos segundos y luego desaparece.
- La aplicación puede cargarse más lentamente que si no hubiera restricciones de dirección IP. Las restricciones de dirección IP impiden que la plataforma utilice algunas capacidades de rendimiento que permiten tiempos de carga más rápidos.
Si un usuario abre una aplicación, mientras cumple con los requisitos de la dirección IP y luego se cambia a una nueva red que ya no cumple con los requisitos de la dirección IP, el usuario puede observar que el contenido de la aplicación, como imágenes, medios incrustados y enlaces, puede no cargarse o no ser accesible. .
Registro de llamadas SAS
Esta configuración permite que todas las llamadas SAS dentro de Power Platform se registren en Purview. Este registro muestra los metadatos relevantes para todos los eventos de creación y uso y se puede habilitar independientemente de las restricciones de IP de SAS anteriores. Los servicios de Power Platform están incorporando actualmente llamadas SAS en 2024.
Artículos relacionados
Seguridad en Microsoft Power Platform
Autenticación en los servicios de Power Platform
Conexión y autenticación a orígenes de datos
Preguntas frecuentes sobre seguridad de Power Platform