Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os regulamentos e os padrões de IA estão surgindo entre regiões e setores, fornecendo uma estrutura robusta para as organizações avaliarem, implementarem e testarem seus controles para desenvolver e usar IA confiável. Este artigo ajuda as equipes de risco e conformidade a se prepararem para o esforço de conformidade. Ele descreve como:
- Avalie e fortaleça sua postura de conformidade em relação às regulamentações.
- Implemente controles para controlar o uso de dados e aplicativos de IA.
Este é o quarto artigo de uma série. Se você ainda não concluiu as tarefas em Preparar-se para a segurança da IA, Descobrir aplicativos e dados de IA e Proteger aplicativos e dados de IA, comece com estes artigos para preparar seu ambiente com os recursos prescritos neste artigo.
Use este artigo junto com estes recursos:
- Cenário de negócios da estrutura de adoção de confiança zero —Atender aos requisitos regulatórios e de conformidade com a Confiança Zero
- CAF (Cloud Adoption Framework) para IA — Processo para governar a IA
Quais são as novas considerações para controlar os dados e aplicativos de IA?
Assim como a IA introduz novas superfícies de ataque que alteram o cenário de risco, a IA também apresenta novos métodos de processamento e uso de dados que afetam a conformidade regulatória. Essas novas características da IA afetam tanto as regulamentações existentes, como as regulamentações de privacidade, quanto as novas regulamentações direcionadas especificamente ao uso da IA.
A ilustração a seguir destaca regulamentos emergentes de IA, incluindo a Inteligência Artificial e a AIDA (AIDA) na América do Norte, a Lei de IA da UE, o Plano de Ação de IA na Austrália e os padrões globais produzidos pela ISO.
Em geral, o controle da IA para conformidade regulatória inclui:
- Registrando e retendo interações de IA.
- Detectando um possível uso não compatível.
- Usar ferramentas, como Descoberta Eletrônica em interações de IA, quando necessário.
Isso ajuda as organizações a atender seus requisitos de conformidade e responder a possíveis litígios efetivamente.
Para as organizações que criam a IA, as equipes de risco e conformidade precisam permitir que as equipes de desenvolvimento documentem seus detalhes do projeto, como nome do modelo, versão, finalidade dos sistemas de IA e suas métricas de avaliação para lidar com riscos de qualidade, segurança e segurança. Esse esforço pode ajudar as equipes de risco e conformidade a ter um formato padronizado de informações para se preparar para auditorias e responder a solicitações regulatórias.
Outra prática recomendada é usar avaliações de impacto de privacidade, um controle que muitas empresas já implementaram para regulamentações como o RGPD, para garantir que os aplicativos de IA tenham todas as avaliações e controles em vigor para proteger a privacidade. A Microsoft fornece recursos como Priva Privacy Assessments que podem ser facilmente integrados ao seu ciclo de vida de desenvolvimento de IA para garantir que os desenvolvedores mantenham a privacidade no topo da mente.
Por fim, para criar aplicativos de IA responsáveis e seguir novos requisitos regulatórios, as organizações precisam criar guardrails para detectar e bloquear conteúdo nocivo, como violência, ódio, sexual e conteúdo de automutilação. Além disso, você deseja que seus aplicativos de IA produzam conteúdo confiável. Os guardrails devem ajudar a detectar e corrigir informações incorretas para reduzir o risco de decisões equivocadas com base em resultados sem fundamento. Eles também devem identificar o conteúdo que viola os direitos autorais. Esses guardrails podem ajudar as organizações a criar aplicativos de IA responsáveis e confiáveis.
Recursos para controlar dados e aplicativos de IA
A Microsoft inclui recursos para ajudar as organizações a conectar os pontos entre padrões regulatórios e soluções tecnológicas.
As etapas a seguir descrevem a ilustração e também percorrem as etapas de implementação dessas funcionalidades.
| Passo | Tarefa | Escopo |
|---|---|---|
| 1 | Criar e gerir avaliações no Gestor de Conformidade do Microsoft Purview | Toda a empresa |
| 2 | Usar o Defender para Aplicativos de Nuvem para gerenciar aplicativos de IA com base no risco de conformidade | Aplicativos SaaS de IA |
| 3 | Usar o CSPM (Gerenciamento de Postura de Segurança de Nuvem) para cargas de trabalho de IA para descobrir e gerenciar aplicativos personalizados com base no risco de conformidade | Aplicativos de IA personalizados construídos com o Azure AI |
| 4 | Configurar a Conformidade de Comunicação do Purview para minimizar os riscos de comunicação, ajudando você a detectar, capturar e agir em mensagens potencialmente inadequadas em sua organização | Aplicativos e serviços do Microsoft 365 Aplicativos de IA conectados pelo Microsoft Entra ou pelos conectores do Mapa de Dados do Microsoft Purview |
| 5 | Configure o Gerenciamento de Ciclo de Vida de Dados do Purview para manter o conteúdo que você precisa manter e exclua o conteúdo que você não tem. | Aplicativos e serviços do Microsoft 365 |
| 6 | Use a Descoberta Eletrônica em conjunto com logs de auditoria no Microsoft 365 Copilot para investigações, conforme necessário. | Microsoft 365 Copilot, Microsoft Copilot |
| 7 | Use as Avaliações de Privacidade do Priva para iniciar avaliações de impacto de privacidade para aplicativos de IA que você desenvolver | Qualquer aplicativo, qualquer local |
| 8 | Usar relatórios de IA no AI Foundry para documentar os detalhes do projeto de IA para aplicativos que você desenvolve | Aplicativos de IA no Azure |
| 9 | Implementar a Segurança de Conteúdo de IA do Azure para bloquear conteúdo prejudicial e detectar e corrigir respostas infundadas. | Aplicativos de IA no Azure |
Etapa 1 – Criar e gerenciar avaliações no Gerenciador de Conformidade do Microsoft Purview
O Gestor de Conformidade do Microsoft Purview é uma solução que o ajuda a avaliar e gerir automaticamente a conformidade em todo o seu ambiente multicloud. O Gerenciador de Conformidade pode ajudá-lo durante todo o percurso de conformidade, incluindo desde fazer um inventário dos riscos de proteção de dados até gerenciar as complexidades de implementação de controles, mantendo-o atualizado quanto aos regulamentos e certificações e enviando relatórios para auditores.
Atualmente, o Gerenciador de Conformidade inclui modelos regulatórios para as seguintes regulamentações relacionadas à IA:
- Lei de Inteligência Artificial da UE
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Use os recursos a seguir para começar a usar o Gerenciador de Conformidade.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais e comece | Gerenciador de conformidade do Microsoft Purview Introdução ao Gerenciador de Conformidade do Microsoft Purview Criar e gerenciar avaliações no Microsoft Purview Compliance Manager |
| Veja se o Gerenciador de Conformidade inclui um modelo para um regulamento | Lista de regulamentos |
| Criar uma avaliação personalizada | Criar avaliações personalizadas (versão prévia) no Gerenciador de Conformidade do Microsoft Purview |
Etapa 2 – Usar o Defender para Aplicativos de Nuvem
Use o Defender para Aplicativos de Nuvem para gerenciar aplicativos de IA com base no risco de conformidade. Artigos anteriores desta série descrevem como usar o Defender para Aplicativos de Nuvem para descobrir, gerenciar e proteger o uso de aplicativos de IA. A conformidade regulatória apresenta critérios extras para triagem e avaliação do risco desses aplicativos.
Depois de criar uma ou mais avaliações para regulamentações específicas no Gerenciador de Conformidade do Purview, trabalhe com sua equipe do Defender para Aplicativos de Nuvem para integrar suas obrigações de conformidade aos critérios para avaliar o risco de aplicativos de IA, sancionar ou bloquear esses aplicativos e aplicar políticas de sessão para controlar como esses aplicativos podem ser acessados (por exemplo, apenas com um dispositivo compatível).
Consulte os artigos anteriores desta série para começar a usar o Defender para Aplicativos de Nuvem.
| Tarefa | Recursos recomendados |
|---|---|
| Descobrir, sancionar e bloquear aplicativos de IA com o Microsoft Defender para Aplicativos de Nuvem | Consulte a Etapa 2 em Descobrir dados e aplicativos de IA |
| Usar o Defender para Aplicativos de Nuvem para fazer a triagem e proteger o uso de aplicativos de IA | Confira Aproveitar ao máximo a proteção contra ameaças para IA em Proteger dados e aplicativos de IA |
Etapa 3 – Usar o CSPM (Gerenciamento de Postura de Segurança de Nuvem) para cargas de trabalho de IA
Use o plano CSPM (Gerenciamento de Postura de Segurança de Nuvem) do Defender no Microsoft Defender para Nuvem para descobrir e gerenciar aplicativos personalizados com base no risco de conformidade. Assim como o Defender para Aplicativos de Nuvem, a conformidade regulatória apresenta critérios extras para a triagem e avaliação do risco de seus aplicativos personalizados desenvolvidos com CSPM e IA.
Trabalhe com sua equipe do Defender para Nuvem para integrar suas obrigações de conformidade aos critérios para avaliar o risco e controlar seus aplicativos personalizados.
Consulte os artigos anteriores nesta série para começar a usar o Defender para Nuvem.
| Tarefa | Recursos recomendados |
|---|---|
| Descubra cargas de trabalho de IA implantadas em seu ambiente e obtenha insights de segurança com o Microsoft Defender para Nuvem | Consulte a Etapa 3 em Descobrir dados e aplicativos de IA] |
| Aplicar proteções de IA no Defender para Nuvem | Consulte a Etapa 2 para obter o máximo da proteção contra ameaças para IA em Proteger dados e aplicativos de IA |
Etapa 4 – Configurar a Conformidade de Comunicação do Purview
Configure a Conformidade de Comunicação do Purview para minimizar os riscos de comunicação, ajudando você a detectar, capturar e agir em mensagens potencialmente inadequadas em sua organização. Para IA generativa, você pode usar políticas de conformidade de comunicação para analisar interações (prompts e respostas) inseridas em aplicativos de IA generativos para ajudar a detectar interações inadequadas ou arriscadas ou compartilhamento de informações confidenciais. Há suporte para o Microsoft 365 Copilot, Copilots criados usando o Microsoft Copilot Studio, aplicativos de IA conectados pelos conectores do Microsoft Entra ou do Mapa de Dados do Microsoft Purview e muito mais.
Use os recursos a seguir para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais sobre e comece. | Saiba mais sobre a conformidade em comunicações Planejar a conformidade de comunicação Introdução à conformidade de comunicação |
| Configurar políticas | Configurar uma política de conformidade de comunicação para detectar interações de IA generativas Criar e gerenciar políticas de conformidade de comunicação |
Etapa 5 – Configurar o Gerenciamento do Ciclo de Vida de Dados do Purview
O Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview fornece ferramentas e recursos para reter o conteúdo que você precisa manter e excluir o conteúdo que não precisa manter. Excluir proativamente o conteúdo que você não precisa mais manter ajuda a reduzir o risco de superexposição de dados nas ferramentas de IA. Os principais recursos incluem:
- Políticas de retenção e rótulos de retenção
- Arquivamento de caixas de correio e caixas de correio inativas — as caixas de correio do usuário incluem uma pasta oculta com prompts e respostas do Copilot
Use os recursos a seguir para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais e comece | Saiba mais sobre o Gerenciamento do Ciclo de Vida de Dados do Microsoft Purview Introdução ao gerenciamento do ciclo de vida de dados |
Etapa 6 – Usar a Descoberta Eletrônica junto com logs de auditoria para o Microsoft 365 Copilot
Use a Descoberta Eletrônica do Microsoft Purview e pesquise palavras-chave em prompts e respostas do Copilot que podem ser inadequadas. Também pode incluir estas informações num caso de Deteção de Dados Eletrónicos para rever, exportar ou colocar estes dados em espera para uma investigação legal em curso.
Use os logs de auditoria do Microsoft Purview para identificar como, quando e onde ocorreram as interações do Copilot e quais itens foram acessados, incluindo quaisquer rótulos de confidencialidade nesses itens.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba onde os dados de uso do Copilot são armazenados e como você pode auditá-los | Arquitetura de auditoria e proteção de dados do Microsoft 365 Copilot |
| Introdução à Descoberta Eletrônica | Saiba mais sobre soluções de Descoberta Eletrônica |
| Saiba mais sobre os logs de auditoria do Purview | Saiba mais sobre soluções de auditoria no Microsoft Purview |
Etapa 7 – Usar avaliações de privacidade do Priva
Use o Priva Privacy Assessments (versão prévia) para iniciar avaliações de impacto de privacidade para aplicativos de IA que você cria. Isso ajuda a garantir que os aplicativos de IA estejam sendo criados de maneira respeitosa com privacidade. As Avaliações de Privacidade automatizam a descoberta, a documentação e a avaliação do uso de dados pessoais em todo o seu patrimônio de dados.
Use os recursos a seguir para começar a usar as Avaliações de Privacidade do Priva e iniciar uma avaliação de impacto de privacidade.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais e comece | Saiba mais sobre avaliações de privacidade Introdução às avaliações de privacidade |
| Criar uma avaliação | Criar e gerenciar avaliações de privacidade |
Etapa 8 – Usar relatórios de IA no AI Foundry
Os relatórios de IA no Azure AI Foundry podem ajudar os desenvolvedores a documentar os detalhes do projeto. Os desenvolvedores podem criar um relatório que mostra todos os detalhes de um projeto de IA, como cartões de modelo, versões de modelo, configurações de filtro de segurança de conteúdo e métricas de avaliação. Este relatório pode ser exportado em formatos PDF ou SPDX, ajudando as equipes de desenvolvimento a demonstrar a preparação de produção dentro de fluxos de trabalho grc (governança, risco e conformidade) e facilitar auditorias contínuas e mais fáceis de aplicativos em produção.
Use os recursos a seguir para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Ler sobre relatórios de IA na AI Foundry (blog) | Relatórios de IA: aprimorar a governança de IA e o GenAIOps com documentação consistente |
| Saiba mais e comece a usar o AI Foundry | o que é o Azure AI Foundry? |
Etapa 9 – Implementar a segurança de conteúdo de IA do Azure
A IA do Azure Content Safety é um serviço de IA que detecta conteúdo prejudicial gerado por usuários e por IA em aplicativos e serviços. A Segurança de Conteúdo de IA do Azure inclui APIs de texto e imagem que permitem detectar material prejudicial. O Content Safety Studio interativo permite que você visualize, explore e experimente códigos de exemplo para detectar conteúdo prejudicial em diferentes modalidades.
Use os recursos a seguir para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais e comece | O que é segurança de conteúdo de IA do Azure? - Serviços de IA do Azure | Microsoft Learn Usar a Segurança de Conteúdo no portal do Azure AI Foundry |
Próxima etapa para proteger a IA
Continue fazendo progressos na segurança de ponta a ponta com recursos de Confiança Zero: