Como o SharePoint e o OneDrive protegem seus dados na nuvem

Você controla seus dados. Ao colocar seus dados no SharePoint e no OneDrive para Microsoft 365, você permanece o proprietário dos dados. Para obter mais informações sobre a propriedade de seus dados, consulte Privacidade do Microsoft 365 por Design.

Como tratamos seus dados

Os engenheiros da Microsoft administram o SharePoint e o OneDrive usando um console do PowerShell que requer autenticação de dois fatores. Executamos tarefas diárias executando fluxos de trabalho para que possamos responder rapidamente a novas situações. Os check-ins no serviço exigem revisão de código e aprovação de gerenciamento.

Nenhum engenheiro tem acesso permanente ao serviço. Quando os engenheiros precisam de acesso, eles devem solicitá-lo. A qualificação é verificada e, se o acesso de engenheiro for aprovado, será apenas por um tempo limitado. Em casos raros em que os engenheiros da Microsoft precisam de acesso ao conteúdo (por exemplo, se você enviar um tíquete de suporte porque um usuário não pode acessar um arquivo importante que acreditamos estar danificado), os engenheiros deverão fazer check-in de um fluxo de trabalho específico que exija justificativa comercial e aprovação do gerente. Um evento de auditoria é gerado que você pode exibir no Centro de administração do Microsoft 365. Você também pode ativar um recurso chamado Sistema de Proteção de Dados do Cliente, portanto, precisa aprovar a solicitação. O engenheiro obtém acesso apenas ao arquivo em questão. Para saber como ativar ou desativar o Sistema de Proteção de Dados do Cliente e aprovar e negar solicitações, consulte Solicitações do Sistema de Proteção de Dados do Cliente do Microsoft Purview.

Como você pode proteger seus dados

Uma das coisas mais importantes que você pode fazer para proteger seus dados é exigir a autenticação de dois fatores para suas identidades no Microsoft 365. Isso impede que as credenciais sejam usadas sem um segundo fator e reduz o impacto das senhas comprometidas. O segundo fator pode ser feito por meio de uma chamada telefônica, mensagem de texto ou aplicativo. Quando você implantar a autenticação de dois fatores, comece com seus Administradores Globais e, em seguida, outros administradores e administradores do conjunto de sites. Para obter informações sobre como fazer isso, consulte Configurar a autenticação multifator para usuários do Microsoft 365.

Outras coisas que recomendamos para aumentar a segurança:

Protegido em trânsito e em repouso

Protegido em trânsito

Quando os dados transitam para o serviço de clientes e entre datacenters, eles são protegidos usando a melhor criptografia da classe. Para obter informações, consulte Criptografia de Dados no OneDrive e no SharePoint. Só permitimos acesso seguro. Não faremos conexões autenticadas por HTTP, mas, em vez disso, redirecionamos para HTTPS.

Protegido em repouso

Proteção física: apenas um número limitado de pessoal essencial pode obter acesso aos datacenters. Suas identidades são verificadas com vários fatores de autenticação, incluindo cartões inteligentes e biometria. Há agentes de segurança locais, sensores de movimento e vigilância de vídeo. Os alertas de detecção de intrusão monitoram a atividade anômala.

Proteção de rede: as redes e identidades são isoladas da rede corporativa da Microsoft. Administramos o serviço com domínios dedicados do Active Directory, temos domínios separados para teste e produção e o domínio de produção é dividido em vários domínios isolados para confiabilidade e segurança. Para obter mais informações sobre a segurança física e lógica interna do Microsoft 365, consulte Segurança interna do Microsoft 365.

Segurança do aplicativo: os engenheiros que criam recursos seguem o ciclo de vida de desenvolvimento de segurança. As análises automatizadas e manuais ajudam a identificar possíveis vulnerabilidades. O Centro de Resposta de Segurança da Microsoft (Microsoft Security Response Center) ajuda a triagem de relatórios de vulnerabilidade de entrada e a avaliar mitigações. Por meio da Recompensa de Bugs do Microsoft Cloud, as pessoas em todo o mundo podem ganhar dinheiro relatando vulnerabilidades. Leia mais sobre isso nos Termos de Recompensa do Microsoft Cloud Bug.

Proteção de conteúdo: seus dados são criptografados no nível do disco usando a criptografia BitLocker e no nível do arquivo usando chaves. Para obter informações, consulte Criptografia de Dados no OneDrive e no SharePoint. Para obter informações sobre como usar a Chave do Cliente para fornecer e controlar as chaves usadas para criptografar seus dados inativos no Microsoft 365, consulte a Criptografia de serviço com as perguntas frequentes sobre a Chave do Cliente do Microsoft Purview.

O mecanismo antimalware do Microsoft 365 verifica os documentos no momento do carregamento em busca de conteúdo correspondente a uma assinatura av (atualizado por hora). Para obter informações, consulte Detecção de vírus no SharePoint. Para obter uma proteção mais avançada, use a ATP (Proteção Avançada contra Ameaças) do Microsoft 365. A ATP analisa o conteúdo compartilhado e aplica a inteligência e a análise de ameaças para identificar ameaças sofisticadas. Para obter informações, consulte Proteção Avançada contra Ameaças do Microsoft 365.

Para limitar o risco de o conteúdo ser baixado para dispositivos não confiáveis:

Para gerenciar o conteúdo em repouso:

Altamente disponível, sempre recuperável

Nossos datacenters são distribuídos geograficamente dentro da região e tolerantes a falhas. Os dados são espelhados em pelo menos dois datacenters para reduzir o impacto de um desastre natural ou interrupção que afeta o serviço. Para obter mais informações, consulte Onde os dados do cliente do Microsoft 365 estão armazenados.

Os backups de metadados são mantidos por 14 dias e podem ser restaurados para qualquer ponto no tempo dentro de uma janela de cinco minutos.

No caso de um ataque de ransomware, você pode usar o histórico de versões (habilitar e configurar o controle de versão para uma lista ou biblioteca) para reverter e a lixeira ou a lixeira do conjunto de sites a ser restaurada (restaurar itens excluídos da lixeira do conjunto de sites). Se um item for removido da lixeira do conjunto de sites, você poderá chamar o suporte dentro de 14 dias para acessar um backup. Para obter informações sobre o novo recurso restauração de arquivos que permite aos usuários restaurar um OneDrive inteiro para qualquer ponto nos últimos 30 dias, consulte Restaurar seu OneDrive.

Validado continuamente

Monitoramo continuamente nossos datacenters para mantê-los íntegros e seguros. Isso começa com o inventário. Um agente de inventário examina cada sub-rede procurando vizinhos. Para cada computador, executamos uma captura de estado.

Depois de ter um inventário, podemos monitorar e corrigir a integridade dos computadores. O treinamento de patch de segurança aplica patches, atualiza assinaturas antivírus e garante que temos uma boa configuração conhecida salva. Temos uma lógica específica de função que garante que só corrigimos ou giramos um determinado percentual de computadores por vez.

Temos um fluxo de trabalho automatizado para identificar computadores que não atendem às políticas e enfileira-los para substituição.

A "Equipe Vermelha" do Microsoft 365 na Microsoft é composta por especialistas em intrusão. Eles procurarão qualquer oportunidade para obter acesso não autorizado. A "Equipe Azul" é composta por engenheiros de defesa que se concentram na prevenção, detecção e recuperação. Eles criam tecnologias de detecção e resposta de intrusão. Para acompanhar os aprendizados das equipes de segurança da Microsoft, consulte o Blog de Segurança , Privacidade e Conformidade.

Para monitorar e observar a atividade em sua assinatura do Microsoft 365:

  • Se você tiver um centro de operações de segurança local ou SIEM, poderá monitorar a atividade com a API da Atividade de Gerenciamento. Para obter informações, consulte a visão geral das APIs de Gerenciamento do Microsoft 365. Isso mostrará a atividade de todo o SharePoint, Exchange, Azure Active Directory, DLP e muito mais. Se você não tiver um centro de operações de segurança local ou SIEM, poderá usá-lo Cloud App Security. Cloud App Security usa a API da Atividade de Gerenciamento. Para obter informações, consulte Visão geral do Microsoft 365 Cloud App Security. Por Cloud App Security, você pode relatar, pesquisar e alertar sobre a atividade.

  • Use a proteção de identidade do Azure Active Directory. Isso se aplica ao aprendizado de máquina para detectar comportamentos suspeitos de conta, por exemplo, entradas simultâneas do mesmo usuário em diferentes partes do mundo. Você pode configurar a proteção de identidade para tomar medidas para bloquear essas entradas. Para obter mais informações, consulte o Azure Active Directory Identity Protection.

  • Use o Secure Score para avaliar o perfil de segurança de sua assinatura em relação a uma linha de base boa conhecida e identificar oportunidades para aumentar a proteção. Para obter mais informações, consulte o Microsoft Secure Score.

Auditado e em conformidade

A conformidade regulatória é fundamental para o Microsoft 365. Verificamos se o serviço está em conformidade com os padrões regulatórios e de conformidade. Também ajudamos você a atender às suas obrigações de auditoria e conformidade. O Portal de Confiança do Serviço é um ponto de extremidade único para informações de conformidade e confiança para os serviços corporativos da Microsoft. O portal contém relatórios, white papers, avaliações de vulnerabilidade e guias de conformidade. Para obter mais informações sobre o Portal de Confiança do Serviço, consulte Introdução ao Portal de Confiança do Serviço da Microsoft.

Para atender aos seus requisitos regulatórios: