Segurança do Dynamics 365

O Microsoft Dynamics 365 e o Microsoft Power Platform são serviços de software como serviço (SaaS) baseados em subscrições alojados em datacenters do Microsoft Azure. Estes serviços online são concebidos para fornecer desempenho, escalabilidade, segurança, capacidades de gestão e níveis de serviço necessários para aplicações e sistemas de essenciais para a missão utilizados por organizações comerciais.

Na Microsoft, a confiança é um ponto focal para a prestação de serviços, compromissos contratuais e acreditação do setor, por isso abraçámos a Trusted Cloud Initiative. A Trusted Cloud Initiative é um programa do grupo industrial da Cloud Security Alliance (CSA), criado para ajudar os fornecedores de serviços cloud a desenvolver identidade e práticas recomendadas pelo setor, seguras e interoperáveis, bem como configurações e práticas de gestão de acesso e conformidade. Este conjunto de requisitos, diretrizes e processos controlados garante que ofereçamos os nossos serviços cloud com os mais altos padrões em relação ao suporte de engenharia, legal e conformidade. O nosso foco é manter a integridade dos dados na nuvem, que é regida pelos seguintes três princípios chave:

Segurança: Protegê-lo contra ciberameaças. Privacidade: Dar-lhe controlo sobre o acesso aos seus dados. Conformidade: Investimento incomparável no cumprimento da normas globais.

Na Microsoft, a nossa abordagem para proteger as informações dos nossos clientes envolve uma estrutura de tecnologias de controlo de segurança, procedimentos operacionais e políticas que cumpram as mais recentes normas globais e possam adaptar-se rapidamente às tendências de segurança e às necessidades específicas do setor. Além disso, fornecemos um conjunto de ferramentas geridas pelos clientes que se adaptam à organização e às suas necessidades de segurança. Utilize o Centro de Segurança e Conformidade da Microsoft 365 para controlar as atividades dos utilizadores e administradores, ameaças de malware, incidentes de perda de dados e muito mais. O dashboard Relatórios é utilizado para relatórios atualizados relacionados com as funcionalidades de segurança e conformidade na sua organização. Pode utilizar os relatórios do Microsoft Entra para se manter informado sobre atividades de início de sessão invulgares ou suspeitas.

Nota

O Azure Active Directory é agora Microsoft Entra ID. Saber mais

A nossa política de segurança define as regras e requisitos de segurança da informação para o ambiente de serviços. A Microsoft realiza revisões periódicas do sistema de gestão de segurança da informação (ISMS) e os resultados são analisados com os gestores de TI. Este processo envolve monitorizar a eficácia contínua e o melhoramento do ambiente de controlo do ISMS, ao rever problemas de segurança, auditar resultados e monitorizar o estado e ao planear e monitorizar as ações corretivas necessárias.

Estes controlos incluem:

• Limites de rede físicos e lógicos com políticas de controlo de mudança rigorosamente aplicadas.
• A separação de funções exigida por uma empresa tem de aceder a um ambiente.
• Acesso físico e lógico altamente restrito ao ambiente da cloud.
• Controlos rigorosos baseados nas práticas do Ciclo de Vida de Desenvolvimento Centrado na Segurança da Microsoft e da Garantia de Segurança Operacional que definem práticas de codificação, testes de qualidade e promoção de códigos.
• Segurança contínua, privacidade e práticas seguras de codificação, conscientização e formação.
• Registo contínuo e auditoria do acesso ao sistema.
• Auditorias regulares de conformidade para garantir a eficácia do controlo.

Para ajudar a combater ameaças emergentes e em evolução, a Microsoft emprega uma estratégia inovadora de "assumir a violação" e utiliza grupos altamente especializados de especialistas em segurança (conhecidos como Red Team) para fortalecer a deteção, resposta e defesa de ameaças para os seus serviços cloud empresarial. A Microsoft usa a Red Team e testes aos sites em direto contra a infraestrutura da cloud gerida pela Microsoft para simular violações no mundo real, efetuar uma monitorização da segurança contínua e praticar a resposta a incidentes de segurança para validar e melhorar a segurança dos serviços online.

A equipa de segurança do Microsoft Cloud realiza análises internas e externas frequentes para identificar vulnerabilidades e avaliar a eficácia do processo de gestão de patches. Os serviços são analisados para verificar a existência de vulnerabilidades conhecidas; os novos serviços são adicionados à próxima análise trimestral marcada, com base na respetiva data de inclusão e seguem um plano trimestral de análise a partir daí. Estas análises são utilizadas para garantir a conformidade com modelos de configuração de base, validar a instalação de patches relevantes e identificar vulnerabilidades. Os relatórios de análise são revistos por pessoal apropriado e os esforços de correção são prontamente realizados.

Todas as portas de E/S não utilizadas nos servidores de produção de ponta são desativadas por configurações ao nível do sistema operativo, definidas na configuração de segurança de base. As verificações contínuas de verificação de configuração são ativadas para detetar desfasamento nas configurações ao nível do sistema operativo. Além disso, os parâmetros de deteção de intrusões são ativados para detetar quando um servidor é acedido fisicamente.

Estabelecemos procedimentos para investigar e responder a eventos maliciosos detetados pelo sistema de monitorização da Microsoft atempadamente.

A Microsoft emprega os princípios da separação de deveres e menos privilégios em todas as operações da Microsoft. Para fornecer suporte ao cliente para serviços selecionados, o pessoal de suporte da Microsoft só pode aceder aos dados do cliente com a permissão explícita do mesmo. A permissão é concedida numa base "just-in-time" que é registada e auditada, e depois revogada após a conclusão do contrato. Na Microsoft, engenheiros de operações e pessoal de suporte que acedam aos seus sistemas de produção utilizam PCs de estação de trabalho reforçados com máquinas virtuais para acesso interno à rede da empresa e aplicações (como e-mail e intranet). Todos os computadores de estação de trabalho de gestão possuem TPMs (Trusted Platform Modules), as suas unidades de arranque anfitriãs são criptografadas com o BitLocker e estão unidas a uma unidade organizacional especial no domínio empresarial principal da Microsoft.

O reforço do sistema é aplicado através da utilização da política de grupo, com atualização centralizada de software. Para auditoria e análise, os registos de eventos (como segurança e AppLocker) são recolhidos de estações de trabalho de gestão e guardados num local central seguro. Além disso, são utilizadas áreas de segurança dedicadas na rede da Microsoft que requerem autenticação de dois fatores para se ligarem a uma rede de produção.

Passos seguintes

Estratégia de segurança em implementações do Dynamics 365
Documentação sobre segurança doMicrosoft Power Platform Centro de Confiança da Microsoft
Modelo de segurança no Dynamics 365 Customer Engagement (on-premises)
Dados de auditoria e atividade dos utilizadores para segurança e conformidade