Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se à recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:06 | Criptografe dados usando métodos modernos padrão do setor para proteger a confidencialidade e a integridade. Alinhe o escopo da criptografia com classificações de dados; priorize métodos de criptografia de plataforma nativa. |
|---|
Se não estiverem protegidos, os dados poderão ser modificados de maneira mal-intencionada, o que acarreta perda de integridade e confidencialidade.
Esse guia descreve as recomendações para criptografar e proteger os dados. Criptografia é o processo de usar algoritmos de criptografia para deixar os dados ilegíveis e bloquear os dados com uma chave. No estado criptografado, os dados não podem ser decifrados. Eles só podem ser descriptografados usando uma chave emparelhada com a chave de criptografia.
Definições
| Terms | Definição |
|---|---|
| Certificados | Arquivos digitais que contêm as chaves públicas de criptografia ou descriptografia. |
| Descriptografia | O processo no qual os dados criptografados são desbloqueados com um código secreto. |
| Criptografia | O processo pelo qual os dados são tornados ilegíveis e bloqueados com um código secreto. |
| Teclas | Um código secreto usado para bloquear ou desbloquear dados criptografados. |
Estratégias-chave de design
Mandatos organizacionais ou requisitos regulatórios podem impor mecanismos de criptografia. Por exemplo, talvez haja um requisito de que os dados só permaneçam na região selecionada e as cópias dos dados sejam mantidas nessa região.
Esses requisitos costumam ser o mínimo básico. Busque um nível mais alto de proteção. Você é responsável por evitar vazamentos de confidencialidade e adulteração de dados confidenciais, sejam dados de usuários externos ou dados de funcionário.
Os dados são o ativo mais valioso e insubstituível de uma organização, e a criptografia serve como a última e mais forte linha de defesa em uma estratégia de segurança de dados em várias camadas. Os produtos e serviços de nuvem de negócios da Microsoft usam a criptografia para proteger os dados do cliente e ajudá-lo a manter o controle sobre eles.
Cenários de criptografia
É possível que os mecanismos de criptografia precisem proteger os dados em três estágios:
Dados em repouso são todas as informações mantidas em objetos de armazenamento. Por padrão, a Microsoft armazena e gerencia a chave de criptografia de banco de dados de seus ambientes usando uma chave gerenciada da Microsoft. No entanto, o Power Platform fornece uma chave de criptografia gerenciada pelo cliente (CMK) tendo em vista mais controle da proteção de dados, em que você pode autogerenciar a chave de criptografia do banco de dados.
Dados em processamento são dados que estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como uma atualização, os afeta. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito são informações transferidas entre componentes, locais ou programas. O Azure usa protocolos de transporte padrão do setor, como protocolo TLS, entre dispositivos de usuário e data centers da Microsoft, e nos próprios data centers.
Mecanismos de criptografia nativos
Por padrão, a Microsoft armazena e gerencia a chave de criptografia de banco de dados de seus ambientes usando uma chave gerenciada da Microsoft. No entanto, o Power Platform fornece uma chave de criptografia gerenciada pelo cliente (CMK) para maior controle de proteção de dados, onde você pode autogerenciar a chave de criptografia do banco de dados. A chave de criptografia reside em seu próprio cofre de chaves do Azure, o que permite que você gire ou troque a chave de criptografia sob demanda. Ela também permite que você impeça o acesso da Microsoft aos dados de seus clientes quando você revogar a chave de acesso aos nossos serviços a qualquer momento.
Chaves de criptografia
Por padrão,os serviços do Power Platform usam chaves de criptografia gerenciadas pela Microsoft para criptografar e descriptografar dados. O Azure é responsável pelo gerenciamento de chaves.
Você pode optar por chaves gerenciadas pelo cliente. O Power Platform continua usando as chaves, mas você é responsável pelas operações-chave.
Facilitação do Power Platform
As seções a seguir descrevem recursos e capacidades do Power Platform que você pode usar para criptografar os dados.
Chave gerenciada pelo cliente
Todos os dados armazenados do cliente no Power Platform são criptografados usando-se uma chave de criptografia gerenciada pela Microsoft forte por padrão. As organizações com requisitos de privacidade de dados e conformidade para proteger os dados e gerenciar as próprias chaves podem usar a capacidade-chave gerenciada pelo cliente. A chave gerenciada pelo cliente oferece proteção de dados adicional na qual você autogerencia a chave de criptografia de dados associada ao ambiente do Dataverse. O uso dessa capacidade permite a você fazer a rotação ou trocar as chaves de criptografia sob demanda. Além disso, isso impede que a Microsoft possa acessar os dados quando você revogar a chave do serviço. Para obter mais informações, consulte Gerenciar sua chave de criptografia gerenciada pelo cliente.
Residência de dados
O locatário do Azure Active Directory (Azure AD) hospeda informações relevantes para uma organização e sua segurança. Quando um locatário do Azure AD se inscreve para serviços do Power Platform, o país ou a região selecionada do locatário é mapeada para a geografia do Azure mais adequada onde uma implantação do Power Platform existe. O Power Platform armazena dados do cliente na geografia do Azure atribuída ao locatário ou localização geográfica, exceto quando as organizações implantam serviços em várias regiões.
Os serviços do Power Platform estão disponíveis em geografias específicas do Azure. Para obter mais informações sobre onde os serviços do Power Platform estão disponíveis, onde os dados são armazenados e como são usados, consulte Central de Confiabilidade da Microsoft. Compromissos sobre o local dos dados em repouso do cliente são especificados nos Termos de Processamento de Dados dos Termos do Microsoft Online Services. A Microsoft também fornece data centers para entidades soberanas.
O acesso a Copilot Studio recursos generativos de IA de regiões fora dos Estados Unidos resulta em movimentação de dados através de fronteiras regionais. Essa movimentação de dados pode ser habilitada e desabilitada no Power Platform. Para saber mais em Regiões envolvidas com copilotos e recursos de IA generativa. A residência de dados geográficos no Microsoft Copilot Studio fornece uma estrutura robusta para garantir a segurança dos dados e a conformidade com as regulamentações locais. Além de seus próprios recursos de segurança nativos, Copilot Studio aproveita a infraestrutura do Azure para fornecer opções de residência de dados seguras e compatíveis. Saiba mais sobre residência de dados e Copilot Studio em Residência de dados geográficos em Copilot Studio e Segurança e residência de dados geográficos em Copilot Studio.
Dados inativos
Salvo indicação em contrário na documentação, os dados do cliente permanecem em sua fonte original (por exemplo, Dataverse ou SharePoint). Todos os dados persistidos pelo Power Platform são criptografados por padrão usando chaves gerenciadas pela Microsoft.
Dados em processamento
Os dados estão em processamento quando estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como atualização, toca esses dados. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja criptografado usando TLS 1.2 ou superior. As solicitações que tentam usar o TLS 1.1 ou inferior são rejeitadas.
Para obter mais informações, consulte Sobre criptografia de dados no Power Platform e Armazenamento de dados e governança no Power Platform.
Informações relacionadas
- Sobre criptografia de dados
- Armazenamento de dados e governança no Power Platform
- Perguntas frequentes sobre segurança na Power Platform
- Gerenciar sua chave de criptografia gerenciada pelo cliente
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.