Privacidade e proteção de dados – Proteger e governar dados
Bem-vindo ao Passo 2 da gestão da privacidade dos dados e da proteção de dados com o Microsoft Priva e o Microsoft Purview: proteger e governar os seus dados.
Quando souber que dados pessoais tem, onde estão e os seus requisitos regulamentares, está na altura de implementar itens para proteger esses dados. A Microsoft fornece capacidades abrangentes e robustas para o ajudar a proteger os dados pessoais de duas formas:
- Funcionalidades que os administradores de TI configuram para categorizar itens confidenciais e tomar medidas de proteção e
- Funcionalidades que permitem aos seus funcionários detetar e corrigir rapidamente problemas de privacidade de dados e obter formação sobre práticas de processamento de dados sólidas.
Ações a tomar
| Ação | Descrição | Obter detalhes |
|---|---|---|
| Identifique tipos de informações confidenciais para que saiba o que precisa de proteção. | Identificar e categorizar itens confidenciais geridos pela sua organização é o primeiro passo na disciplina de Information Protection. O Microsoft Purview fornece três formas de identificar itens para que possam ser categorizados a) manualmente pelos utilizadores, b) reconhecimento de padrões automatizados, como tipos de informações confidenciais e c) machine learning. Os tipos de informações confidenciais (SIT) são classificadores baseados em padrões. Detetam informações confidenciais como segurança social, cartão de crédito ou números de contas bancárias para identificar itens confidenciais. |
Saiba mais sobre tipos de informações confidenciais Ver a lista completa de tipos de informações confidenciais |
| Categorize e etiquete os seus conteúdos para que possa aplicar funcionalidades para protegê-lo. | Categorizar e etiquetar conteúdo para que possa ser protegido e processado corretamente é o ponto de partida para a disciplina de proteção de informações. O Microsoft 365 tem três formas de classificar conteúdo. | Saiba mais sobre classificadores treináveis |
| Aplique etiquetas de confidencialidade para proteger os dados, mesmo que sejam transferidas. | Depois de identificar os seus dados confidenciais, deverá protegê-lo. Isso é muitas vezes desafiante quando as pessoas colaboram com outras pessoas dentro e fora da organização. Esses dados podem ser percorridos por todo o lado, entre dispositivos, aplicações e serviços. E quando for percorrido, quer que o faça de uma forma segura e protegida que cumpra as políticas de negócio e conformidade da sua organização. As etiquetas de confidencialidade de Proteção de Informações do Microsoft Purview permitem-lhe classificar e proteger os dados da sua organização, ao mesmo tempo que garante que a produtividade do utilizador e a capacidade de colaboração não são dificultadas. |
Saiba mais sobre etiquetas de confidencialidade |
| Utilize políticas de prevenção de perda de dados para impedir a partilha de dados pessoais. | As organizações têm informações confidenciais sob o seu controlo, como dados financeiros, dados proprietários, números de cartões de crédito, registos de saúde ou números de segurança social. Para ajudar a proteger informações confidenciais e reduzir o risco, precisam de uma forma de impedir que os seus utilizadores as partilhem de forma inadequada com pessoas que não a deveriam ter. Esta prática chama-se prevenção de perda de dados (DLP). Ao utilizar Prevenção de Perda de Dados do Microsoft Purview, implementa a prevenção de perda de dados ao definir e aplicar políticas DLP para identificar, monitorizar e proteger automaticamente itens confidenciais em todos os serviços do Microsoft 365, como o Teams, o Exchange, o SharePoint e o OneDrive; Aplicações do Office, como Word, Excel e PowerPoint; Windows 10, Windows 11 e macOS (a versão atual e as duas versões anteriores do macOS), aplicações na cloud não pertencentes à Microsoft, partilhas de ficheiros no local e SharePoint no local. Esta solução DLP deteta itens confidenciais através da análise de conteúdo aprofundada e não apenas de uma simples análise de texto. O conteúdo é analisado para correspondências de dados principais com palavras-chave, pela avaliação de expressões regulares, pela validação da função interna e por correspondências de dados secundárias que estão próximas da correspondência de dados primária. Além disso, o DLP também utiliza algoritmos de machine learning e outros métodos para detetar conteúdo que corresponda às suas políticas DLP. |
Saiba mais sobre a prevenção de perda de dados |
| Reger os seus dados do Microsoft 365 para requisitos de conformidade ou regulamentação | Os controlos de governação de informações podem ser utilizados no seu ambiente para ajudar a responder às necessidades de conformidade com a privacidade dos dados, incluindo um número específico do Regulamento Geral sobre a Proteção de Dados (RGPD), HIPAA-HITECH (a lei de privacidade dos cuidados de saúde Estados Unidos), California Consumer Protection Act (CCPA) e o Brazil Data Protection Act (LGPD). Gestão do Ciclo de Vida dos Dados do Microsoft Purview e Gestão de Registos do Microsoft Purview fornecem estes controlos sob a forma de políticas de retenção, etiquetas de retenção e capacidades de gestão de registos. | Saiba como implementar uma solução de governação de dados com o Microsoft Purview |
| Configurar o armazenamento seguro de dados pessoais no Microsoft Teams. | Se planear armazenar dados pessoais altamente confidenciais no Teams, pode configurar uma equipa privada e utilizar uma etiqueta de confidencialidade especificamente configurada para proteger o acesso à equipa e aos ficheiros dentro da mesma. | Saiba mais sobre como configurar uma equipa com isolamento de segurança |
| Capacite os utilizadores para detetar potenciais riscos e corrigir problemas. | Crie políticas de processamento de dados no Gestão de Riscos de Privacidade Priva para que os seus utilizadores possam identificar imediatamente os riscos nos dados que criam e gerem. Os e-mails de notificação alertam os utilizadores quando transferem itens com dados pessoais dentro da nossa organização, tornam os conteúdos demasiado acessíveis ou mantêm os dados pessoais durante demasiado tempo. As notificações solicitam aos utilizadores que tomem medidas de remediação imediatas para proteger os dados pessoais e contenham ligações para a formação de privacidade preferencial da sua organização. |
Saiba mais sobre a Gestão de Riscos de Privacidade Criar uma política para impedir transferências de dados, exposição excessiva ou acumulação Configurar notificações para os utilizadores corrigirem problemas com o conteúdo que processam |
| Utilize a gestão de registos para itens de alto valor que têm de ser geridos para requisitos de manutenção de registos empresariais, legais ou regulamentares. | Um sistema de gestão de registos é uma solução para as organizações gerirem registos regulamentares, legais e críticos para a empresa. Gestão de Registos do Microsoft Purview ajuda uma organização a gerir as suas obrigações legais, proporciona a capacidade de demonstrar a conformidade com os regulamentos e aumenta a eficiência com a eliminação regular de itens que já não têm de ser retidos, já não são de valor ou já não são necessários para fins empresariais. |
Saiba mais sobre a gestão de registos |
Configurar a sua estratégia para o sucesso
Identificar tipos de informações confidenciais (SITs), categorizar e etiquetar os seus conteúdos e implementar políticas de prevenção de perda de dados (DLP) são passos fundamentais numa estratégia de proteção de informações. As ligações na tabela acima levam-no a orientações detalhadas para realizar estas tarefas essenciais.
A proteção de dados é também da responsabilidade de todos os utilizadores na sua organização que veem, criam e processam dados pessoais no decurso das tarefas. Cada utilizador tem de conhecer e respeitar as responsabilidades internas e regulamentares da sua organização para proteger os dados pessoais onde quer que existam na sua organização. Para tal, a Priva ajuda-o a capacitar os seus utilizadores a conhecerem as suas responsabilidades, a serem informados quando estão a processar dados de formas arriscadas e a tomar medidas imediatas para minimizar os riscos de privacidade para a organização.
As três políticas de processamento de dados disponíveis no Gestão de Riscos de Privacidade Priva ajudar os seus utilizadores a desempenhar um papel proativo na estratégia de proteção de dados da sua organização. Email notificações com ações de remediação incorporadas solicitam aos utilizadores que apliquem as proteções necessárias e realizem uma formação de privacidade designada pela sua organização. Esta consciência e capacidade de agir podem ajudar a cultivar melhores hábitos para prevenir futuras questões de privacidade.
Recomendações para a sua primeira política de processamento de dados Priva
Recomendamos que implemente políticas numa abordagem faseada para que possa saber como se comportam e otimizá-las de acordo com as suas necessidades. Para a primeira fase, recomendamos a criação de uma política personalizada para servir de base de compreensão. Vamos utilizar o exemplo de criação de uma política de sobreexposição de dados, que identifica itens de conteúdo que contêm dados pessoais que podem ser demasiado acessíveis por outras pessoas. Pode encontrar instruções detalhadas de criação de políticas a partir daqui.
Quando aceder ao passo Escolher dados para monitorizar o assistente de criação de políticas, recomendamos que selecione a opção Tipos de informações confidenciais individuais e escolha os SITs mais relevantes para a sua organização. Por exemplo, se for uma empresa de serviços financeiros com clientes na Europa, é provável que queira incluir o número do cartão de débito da UE como um dos seus SITs. Localize a lista de definições SIT aqui.
No passo Escolher utilizadores e grupos abrangidos por esta política , recomendamos que selecione Utilizadores ou grupos específicos e escolha um pequeno círculo interno de utilizadores no âmbito desta política.
No passo Escolher condições para a política , recomendamos que selecione apenas Externo para que esteja a controlar os dados que poderá considerar mais em risco, mantendo a quantidade total de dados que terá de monitorizar a níveis mais geríveis.
No passo Especificar alertas e limiares , recomendamos ativar os alertas e selecionar a opção frequência de Alerta quando uma das condições abaixo for cumprida. Ativar os alertas ajudará os administradores a avaliar se a gravidade e a frequência dos alertas satisfazem as suas necessidades. Tenha em atenção que as políticas não funcionam retrospectivamente, por isso, se decidir manter os alertas desativados no início e posteriormente os ativar, não verá quaisquer alertas para correspondências que ocorreram antes de ativar os alertas.
No estado Decidir modo de política , recomendamos manter a política no modo de teste e monitorizar o desempenho durante, pelo menos, cinco dias. Isto permite-lhe ver que tipo de correspondência corresponde às condições de política que estão a ser acionados, como os alertas serão acionados.
Configurar gradualmente mais políticas e otimizar o desempenho
Depois de configurar e executar a sua primeira política, poderá querer fazer o mesmo com os outros dois tipos de política. Esta pode ser a sua segunda fase, onde aumenta gradualmente a utilização de funcionalidades à medida que avança e otimiza as respetivas definições. Por exemplo, pode optar por não enviar notificações por e-mail de utilizador no início enquanto vê quantas correspondências a sua política deteta. Em seguida, poderá eventualmente decidir ativar as notificações por e-mail enquanto as políticas ainda estiverem no modo de teste (na fase Definir resultados das definições de política). Se os utilizadores receberem demasiados e-mails, volte às definições de Resultados da política para ajustar a frequência das notificações. Toda esta otimização pode ajudá-lo a avaliar o impacto desejado nos seus utilizadores antes de implementar a política mais amplamente em toda a sua organização.
Definições recomendadas para os outros dois tipos de política
Seguem-se recomendações específicas para definições-chave ao criar as suas primeiras políticas de transferência de dados e sobreexposição de dados .
Transferência de dados:
- Em Dados a monitorizar, selecione SITs específicos.
- Em Escolher utilizadores e grupos abrangidos por esta política, selecione um anel interno de utilizadores.
- Em Escolher condições para a política, escolha a condição mais importante.
- Para Definir resultados quando é detetada uma correspondência de política, ative as notificações por e-mail.
- Para Especificar alertas e limiares, ative os alertas para cada vez que ocorrer uma atividade.
- Para Decidir modo de política, ative o modo de política (que desativa o modo de teste).
Minimização de dados:
- Em Dados a monitorizar, selecione SITs ou grupos de classificação específicos.
- Em Escolher utilizadores e grupos abrangidos por esta política, selecione um anel interno de utilizadores.
- Em Escolher condições para a política, escolha 30, 60, 90 ou 120 dias.
- Para Decidir modo de política, mantenha a política no modo de teste.
Maximizar o desempenho da política para minimizar os riscos de privacidade
Permita que as suas políticas funcionem durante, pelo menos, duas a quatro semanas. Durante este período, deve rever e documentar os seguintes resultados:
- As correspondências geradas por cada tipo de política e as instâncias de falsos positivos e falsos negativos
- O impacto e o feedback dos utilizadores finais e administradores
Com base nas suas conclusões, agora pode otimizar o desempenho da política ao fazer o seguinte:
- Incluir ou excluir grupos de classificação ou SITs personalizados e de configuração
- Criar versões das políticas com condições e grupos de utilizadores para tornar a segmentação mais eficiente
- Otimizar os limiares da política, incluindo a frequência de e-mails para os utilizadores, o número de dias a monitorizar, etc.
Pense nisto como a sua terceira fase. Pode criar mais versões de cada tipo de política e implementá-las em toda a organização em duas rondas: uma primeira ronda que abrange 50% dos seus utilizadores e uma segunda ronda que abrange 100% dos seus utilizadores.
Esta é também a fase em que acumula aprendizagens com base no comportamento do utilizador, conforme indicado em Priva, e cria formação de privacidade específica para os seus utilizadores, que pode incluir nas notificações de e-mail dos utilizadores das suas políticas.
Passo seguinte
Visite o Passo 3. Mantenha-se no caminho certo com os regulamentos de privacidade.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários