Partilhar via

Conformidade e privacidade de dados

  • Artigo

Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com padrões e conformidade regulamentar. MicrosoftO amplo conjunto de produtos e serviços em nuvem da é construído desde o início para atender às mais rigorosas demandas de segurança e privacidade de nossos clientes.

Para ajudar sua organização a cumprir os requisitos nacionais, regionais e específicos do setor que regem a coleta e o uso de dados pessoais, Microsoft fornece o conjunto mais abrangente de ofertas de conformidade (incluindo certificações e atestados) de qualquer provedor de serviços em nuvem. Também existem ferramentas para os administradores apoiarem os esforços da sua organização. Nesta parte do documento, abordaremos com mais detalhes os recursos disponíveis para ajudá-lo a determinar e atingir os requisitos da sua própria organização.

Centro de Fidedignidade

A Microsoft Central de Confiabilidade é um recurso centralizado para obter informações sobre Microsoft o portfólio de produtos da empresa. Isto inclui informações sobre segurança, privacidade, conformidade e transparência. Embora esse conteúdo possa conter algum subconjunto dessas informações Power Apps, é importante sempre consultar a Microsoft Central de Confiabilidade para obter as informações oficiais mais atualizadas.

Para referência rápida, pode encontrar a Informação do Centro de Confiança para o Microsoft Power Platform aqui: https://www.microsoft.com/trust-center/product-overview. Isto incluirá informações sobre o Power Apps, o Microsoft Power Automate e o Power BI.

Localização dos Dados

Microsoft opera vários data centers em todo o mundo que suportam os aplicativos da Microsoft plataforma Power. Quando a sua organização estabelece um inquilino, estabelece a localização geográfica (geográfica) predefinida. Além disso, ao criar ambientes para dar suporte a aplicações e conter dados do Microsoft Dataverse, os ambientes podem ser direcionados para uma área geográfica específica. Encontra-se aqui uma lista atual de áreas geográficas para a Microsoft Power Platform https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Para dar suporte à continuidade das operações, Microsoft pode replicar dados para outras regiões dentro de uma área geográfica, mas os dados não serão movidos para fora da área geográfica para oferecer suporte à resiliência de dados. Isto suporta a capacidade de ativação pós-falha ou recuperar mais rapidamente se houver uma interrupção grave. Existem algumas exceções razoáveis para manter os dados na área geográfica específica listados no site principal acima, focados no suporte e suporte jurídico. Também é importante observar que o utilizador ou os seus utilizadores podem executar ações que expõem os dados fora da área geográfica. Outros serviços também podem ser configurados para aceder aos dados e expô-los fora da área geográfica. Por predefinição, os utilizadores autorizados podem aceder à plataforma e às suas aplicações e aos seus dados a partir de qualquer lugar do mundo em que haja conectividade.

Proteção de Dados

Os dados em trânsito entre os dispositivos do utente e os Microsoft datacenters são protegidos. As conexões estabelecidas entre clientes e Microsoft datacenters são criptografadas e todos os pontos de extremidade públicos são protegidos usando TLS padrão do setor. O TLS estabelece efetivamente uma ligação de browser para servidor com segurança avançada para ajudar a garantir a confidencialidade e a integridade dos dados entre ambientes de trabalho e datacenters. O acesso da API do ponto final do cliente ao servidor também é protegido da mesma forma. Atualmente, o TLS 1.2 (ou superior) é necessário para aceder aos pontos finais do servidor.

Os dados transferidos pelo gateway de dados no local também são encriptados. Os dados que os utilizadores carregam geralmente são enviados para o armazenamento de Blobs do Azure e todos os metadados e artefactos do próprio sistema são armazenados numa base de dados SQL do Azure e no armazenamento de Tabelas do Azure.

Todos os ambientes da base de dados do Dataverse utilizam a Encriptação de Dados Transparente (TDE) do SQL Server para proceder à encriptação em tempo real dos dados quando são escritos no disco, também conhecida como encriptação inativa.

Por padrão, Microsoft armazena e gerencia as chaves de criptografia do banco de dados para seus ambientes para que você não precise fazê-lo. A funcionalidade de gestão de chaves no centro de administração do Power Platform permite aos administradores gerir automaticamente as chaves de encriptação de base de dados associadas a ambientes do Dynamics 365 (online). Você pode ler mais sobre como gerenciar suas próprias chaves aqui , mas geralmente é recomendável gerenciar Microsoft as chaves, a menos que você tenha uma necessidade comercial específica para manter suas próprias.

Recursos para gerir a conformidade com o RGPD

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE) concede direitos importantes às pessoas singulares relativamente aos respetivos dados. Consulte o Microsoft Learn Regulamento Geral sobre a Proteção de Dados Resumo para obter uma visão geral da RGPD, incluindo terminologia, um plano de ação e listas de verificação de prontidão para ajudá-lo a cumprir suas obrigações sob RGPD ao usar Microsoft produtos e serviços.

Você pode saber mais sobre RGPD e como Microsoft ajuda a apoiá-lo e aos nossos clientes que são afetados por ele.

  • A Microsoft Central de Confiabilidade fornece informações gerais, práticas recomendadas de conformidade e documentação útil para RGPD responsabilidade, como avaliações de impacto sobre a proteção de dados, solicitações de titulares de dados e notificação de violação de dados.
  • O portal Service Trust fornece informações sobre como Microsoft os serviços ajudam a dar suporte à conformidade com RGPD.

Como administrador, uma das principais atividades de suporte à privacidade estará relacionada com os pedidos de Direitos de Titulares de Dados (DSR). Estes são pedidos formais de um titular de dados a um responsável pelo tratamento de dados (provavelmente a sua organização) para agir sobre os dados pessoais deles nos seus sistemas. Os titulares dos dados têm o direito de obter cópias, pedir correções, restringir o processamento dos dados, eliminar os dados e receber cópias em formato eletrónico para que possam ser movidos para outro responsável pelo tratamento de dados.

As ligações a seguir apontam para informações detalhadas para ajudá-lo a responder aos pedidos de DSR, dependendo das funcionalidades que a sua organização está a utilizar.

Área de Funcionalidades da Plataforma Associar a passos de resposta detalhados
Power Apps Respondendo a solicitações de DSR (Direitos do Titular dos Dados) para exportar Power Apps dados do cliente
Dataverse Respondendo a solicitações de DSR (Direitos do Titular dos Dados) para Dataverse dados de clientes
Power Automate Responder a pedidos de titulares de dados para Power Automate
Microsoft Contas (MSAs) Responder a solicitações de Direitos do Titular dos Dados
Aplicações de interação com os clientes Dynamics 365 Pedidos de privacidade do titular dos dados

Centro de Segurança e Conformidade do Microsoft 365

Use o Microsoft Purview Compliance Manager para gerenciar seus esforços de conformidade em serviços Microsoft de nuvem em um único lugar.

Eventos do Registo de Auditoria do Power Automate

Na Pesquisa de Registos de Auditoria do centro de conformidade, os administradores podem pesquisar e ver eventos do Power Automate. Os eventos incluem Fluxo criado, Fluxo editado, Fluxo eliminado, Permissões editadas, Permissões eliminadas, Iniciou uma avaliação paga, Renovou uma avaliação paga. Utilizando o portal, pode escolher o que pretende procurar e uma janela de tempo.

  1. Faça login no portal de conformidade Purview Microsoft .

  2. Em Soluções, selecione Auditar.

  3. Em Atividades, selecione as atividades do Power Automate a auditar.

    Selecione as atividades do Power Automate a auditar.

  4. Selecionar Procurar.

  5. Quando a pesquisa estiver concluída, selecione-a para ver a lista de atividades relacionadas.

  6. Selecione uma linha na lista para ver os detalhes da atividade.

Os dados de auditoria são mantidos durante 90 dias. Pode fazer exportações de dados CDSV, permitindo movê-los para o Excel ou o PowerBI para análises adicionais. Pode encontrar uma explicação completa sobre a utilização das informações de auditoria aqui: https://flow.microsoft.com/blog/security-and-compliance-center/