Conformidade e privacidade dos dados
A Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com padrões e conformidade regulatória. O amplo conjunto de produtos e serviços de nuvem da Microsoft é criado desde o início para atender às demandas mais rigorosas de segurança e de privacidade de nossos clientes.
Para ajudar sua organização a cumprir requisitos nacionais, regionais e específicos do setor que regem a coleta e o uso de dados pessoais, a Microsoft oferece o conjunto mais abrangente de ofertas de conformidade (incluindo certificações e atestados) de qualquer provedor de serviços de nuvem. Também existem ferramentas para administradores para dar suporte aos esforços da organização. Nesta parte do documento, abordaremos mais detalhadamente os recursos disponíveis para ajudá-lo a determinar e alcançar os requisitos de sua própria organização.
Central de Confiabilidade
A Central de Confiabilidade da Microsoft é um recurso centralizado para obter informações sobre o portfólio de produtos da Microsoft. Ela inclui informações sobre segurança, privacidade, conformidade e transparência. Embora esse conteúdo possa conter algum subconjunto dessas informações para o Power Apps, é importante sempre consultar a Central de Confiabilidade da Microsoft para obter as informações autoritativas mais atualizadas.
Para referência rápida, consulte as informações sobre a Central de Confiabilidade da Microsoft Power Platform aqui: https://www.microsoft.com/trust-center/product-overview. Isso incluirá informações sobre o Power Apps, o Microsoft Power Automate e o Power BI.
Localização dos dados
A Microsoft opera vários data centers em todo o mundo que oferecem suporte a aplicativos do Microsoft Power Platform. Quando sua organização estabelece um locatário, ela estabelece a localização geográfica do serviço. Além disso, ao criar ambientes para dar suporte a aplicativos e que contenham dados do Microsoft Dataverse, os ambientes podem ser destinados a uma área geográfica específica. Uma lista atual de áreas geográficas para o Microsoft Power Platform pode ser encontrada aqui: https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
Para apoiar a continuidade das operações, a Microsoft pode replicar dados para outras regiões em uma área geográfica, mas os dados não sairão da área geográfica para dar suporte à resiliência de dados. Isso permite fazer failover ou recuperar mais rapidamente em caso de interrupção grave. Existem algumas exceções razoáveis para manter os dados na área geográfica específica, e elas estão listadas no site acima, que está concentrado principalmente em assuntos jurídicos e de suporte. Também é importante observar que você ou seus usuários podem realizar ações que expõem os dados fora da área geográfica. Outros serviços também podem ser configurados para acessar os dados e os expor fora da área geográfica. Por padrão, usuários autorizados podem acessar a plataforma e seus aplicativos e dados de qualquer parte do mundo em que haja conectividade.
Proteção de dados
Os dados estão protegidos enquanto estão em trânsito entre os dispositivos do usuário e os datacenters da Microsoft. As conexões estabelecidas entre clientes e datacenters da Microsoft são criptografadas, e todos os pontos de extremidade públicos são protegidos usando o TLS padrão do setor. O TLS estabelece efetivamente um navegador com segurança avançada para conexão com o servidor para ajudar a garantir a confidencialidade e a integridade dos dados entre desktops e datacenters. O acesso à API do ponto de extremidade do cliente para o servidor também é igualmente protegido. Atualmente, o TLS 1.2 (ou superior) é obrigatório para acessar os pontos de extremidade do servidor.
Os dados transferidos por meio do gateway de dados local também são criptografados. Os dados que os usuários carregam, geralmente, são enviados ao Armazenamento de blobs do Azure, e todos os metadados e artefatos do próprio sistema são armazenados em um banco de dados SQL do Azure e um Armazenamento de tabelas do Azure.
Todos os ambientes do banco de dados do Dataverse usam a TDE (Transparent Data Encryption) do SQL Server para executar a criptografia em tempo real dos dados quando são gravados em disco, também conhecida como criptografia em repouso.
Por padrão, a Microsoft armazena e gerencia as chaves de criptografia de banco de dados de seus ambientes e, portanto, você não precisa fazer isso. O recurso de gerenciamento de chaves no centro de administração do Power Platform fornece aos administradores a capacidade de gerenciar as chaves de criptografia do banco de dados que estão associadas a ambientes do Dynamics 365 (online). Você pode ler mais sobre como gerenciar suas próprias chaves aqui, mas normalmente é recomendável que a Microsoft gerencie as chaves, a menos que você tenha uma necessidade de negócios específica de manter suas próprias chaves.
Recursos para gerenciar a conformidade com RGPD
O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia (UE) concede direitos significativos aos indivíduos em relação a dados. Consulte o Microsoft Learn Resumo do Regulamento Geral sobre a Proteção de Dados para obter uma visão geral do RGPD, incluindo terminologia, um plano de ação e listas de verificação de preparação para ajudá-lo a cumprir suas obrigações com o RGPD ao usar produtos e serviços da Microsoft.
Você pode saber mais sobre o RGPD e como a Microsoft ajuda a oferecer suporte a ele e a nossos clientes afetados por ele.
- O Microsoft Trust Center fornece informações gerais, práticas recomendadas de conformidade e documentação útil para a responsabilidade com o RGPD, como Avaliações de Impacto da Proteção de Dados, Solicitações do Titular dos Dados e notificação de violação de dados.
- O Portal de Confiança do Serviço fornece informações sobre como os serviços da Microsoft ajudam a dar suporte à conformidade com o RGPD.
Como administrador, uma das principais atividades no suporte de privacidade está relacionada às solicitações de Direitos do Titular dos Dados (DSR). Elas são solicitações formais de um titular dos dados para um controlador de dados (provavelmente, sua organização) para agir em seus dados pessoais nos seus sistemas. Os titulares dos dados concede os direitos para obter cópias, solicitar correções, restringir o processamento dos dados, excluir os dados e receber cópias em formato eletrônico, de modo que possam ser movidos para outro controlador de dados.
Os links a seguir levam a informações detalhadas para ajudar você a responder a solicitações de DSR, de acordo com os recursos usados por sua organização.
| Área do Recurso do Platform | Link para etapas de resposta detalhadas |
|---|---|
| Power Apps | Responder às solicitações de DSR (Direitos do Titular dos Dados) para exportar dados do cliente do Power Apps |
| Dataverse | Responder às solicitações de DSR (Direitos do Titular dos Dados) para dados do cliente do Dataverse |
| Power Automate | Responder às Solicitações do Titular dos Dados do Power Automate |
| MSAs (Contas Microsoft) | Responder às solicitações de Direitos do Titular dos Dados |
| Aplicativos do envolvimento de clientes | Solicitações do Titular dos Dados do Dynamics 365 de privacidade |
Centro de Conformidade e Segurança do Microsoft 365
Use o Gerenciador de Conformidade do Microsoft Purview para gerenciar os esforços de conformidade dos Microsoft Cloud Services em um único local.
Eventos de Log de Auditoria do Power Automate
Na pesquisa de log de auditoria do centro de conformidade, os administradores podem pesquisar e visualizar eventos do Power Automate. Os eventos incluem fluxos criados, editados e excluídos, permissões editadas e excluídas, avaliação paga iniciada e renovada. Ao usar o portal, você pode escolher o que deseja pesquisar e uma janela de tempo.
Em Soluções, selecione Auditoria.
Em Atividades, selecione as atividades do Power Automate para auditoria.
Selecione Pesquisar.
Quando a pesquisa estiver concluída, selecione-a para ver a lista de atividades relacionadas.
Selecione uma linha na lista para ver os detalhes da atividade.
Os dados de auditoria são mantidos por 90 dias. É possível fazer exportações de CDSV dos dados, o que permite a você movê-los para o Excel ou para o PowerBI para análise posterior. Você encontra uma orientação completa de como usar as informações de auditoria aqui: https://flow.microsoft.com/blog/security-and-compliance-center/