Conformidade e privacidade de dados

  • Artigo

A Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com padrões e conformidade regulamentar. O amplo conjunto de produtos e serviços cloud da Microsoft foi criado desde o início para atender às mais rigorosas exigências de segurança e privacidade dos nossos clientes.

Para ajudar a sua organização a cumprir os requisitos nacionais, regionais e específicos do setor que regem a recolha e a utilização de dados de indivíduos, a Microsoft fornece o conjunto mais abrangente de ofertas de conformidade (incluindo certificações e atestados) de qualquer fornecedor de serviços cloud. Também existem ferramentas para os administradores apoiarem os esforços da sua organização. Nesta parte do documento, abordaremos com mais detalhes os recursos disponíveis para ajudá-lo a determinar e atingir os requisitos da sua própria organização.

Centro de Fidedignidade

O Centro de Fidedignidade Microsoft é um recurso centralizado para obter informações sobre o portefólio de produtos da Microsoft. Isto inclui informações sobre segurança, privacidade, conformidade e transparência. Embora este conteúdo possa conter algum subconjunto destas informações para o Power Apps, é importante consultar sempre o Centro de Fidedignidade Microsoft para obter as informações autorizadas mais atualizadas.

Para referência rápida, pode encontrar a Informação do Centro de Confiança para o Microsoft Power Platform aqui: https://www.microsoft.com/trust-center/product-overview. Isto incluirá informações sobre o Power Apps, o Microsoft Power Automate e o Power BI.

Localização dos Dados

A Microsoft opera vários datacenters em todo o mundo que suportam as aplicações da Microsoft Power Platform. Quando a sua organização estabelece um inquilino, estabelece a localização geográfica (geográfica) predefinida. Além disso, ao criar ambientes para dar suporte a aplicações e conter dados do Microsoft Dataverse, os ambientes podem ser direcionados para uma área geográfica específica. Encontra-se aqui uma lista atual de áreas geográficas para a Microsoft Power Platform https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Para suportar a continuidade das operações, a Microsoft pode replicar dados para outras regiões dentro de uma área geográfica, mas os dados não serão movidos para fora da área geográfica para oferecer suporte à resiliência de dados. Isto suporta a capacidade de ativação pós-falha ou recuperar mais rapidamente se houver uma interrupção grave. Existem algumas exceções razoáveis para manter os dados na área geográfica específica listados no site principal acima, focados no suporte e suporte jurídico. Também é importante observar que o utilizador ou os seus utilizadores podem executar ações que expõem os dados fora da área geográfica. Outros serviços também podem ser configurados para aceder aos dados e expô-los fora da área geográfica. Por predefinição, os utilizadores autorizados podem aceder à plataforma e às suas aplicações e aos seus dados a partir de qualquer lugar do mundo em que haja conectividade.

Proteção de Dados

Os dados em trânsito entre os dispositivos do utilizador e os datacenters da Microsoft são protegidos. As ligações estabelecidas entre clientes e datacenters da Microsoft são encriptadas e todos os pontos finais públicos são protegidos utilizando o TLS padrão do setor. O TLS estabelece efetivamente uma ligação de browser para servidor com segurança avançada para ajudar a garantir a confidencialidade e a integridade dos dados entre ambientes de trabalho e datacenters. O acesso da API do ponto final do cliente ao servidor também é protegido da mesma forma. Atualmente, o TLS 1.2 (ou superior) é necessário para aceder aos pontos finais do servidor.

Os dados transferidos pelo gateway de dados no local também são encriptados. Os dados que os utilizadores carregam geralmente são enviados para o armazenamento de Blobs do Azure e todos os metadados e artefactos do próprio sistema são armazenados numa base de dados SQL do Azure e no armazenamento de Tabelas do Azure.

Todos os ambientes da base de dados do Dataverse utilizam a Encriptação de Dados Transparente (TDE) do SQL Server para proceder à encriptação em tempo real dos dados quando são escritos no disco, também conhecida como encriptação inativa.

Por predefinição, a Microsoft armazena e gere as chaves de encriptação da base de dados para os seus ambientes, para não ter de o fazer manualmente. A funcionalidade de gestão de chaves no centro de administração do Power Platform permite aos administradores gerir automaticamente as chaves de encriptação de base de dados associadas a ambientes do Dynamics 365 (online). Pode ler mais informações sobre como gerir as suas próprias chaves aqui, mas, normalmente, é recomendável que a Microsoft gira as chaves, a menos que tenha uma necessidade de uma empresa específica para manter as suas próprias chaves.

Recursos para gerir a conformidade com o RGPD

O Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE) concede direitos importantes às pessoas singulares relativamente aos respetivos dados. Consulte o Resumo do Regulamentos Geral sobre a Proteção de Dados do Microsoft Learn para obter uma descrição geral do RGPD, incluindo terminologia, um plano de ação e listas de verificação de prontidão para o ajudar a cumprir as suas obrigações com o RGPD quando utiliza produtos e serviços da Microsoft.

Pode obter mais informações sobre o RGPD e a forma como a Microsoft o ajuda a suportá-lo e aos nossos clientes que são afetados por ele.

  • O Centro de Confiança da Microsoft fornece informações gerais, melhores práticas de conformidade e documentação útil para a responsabilidade do RGPD, tais como Avaliações do Impacto da Proteção de Dados, Pedidos de Titulares de Dados e notificação de falha de segurança de dados.
  • O Portal de Confiança do Serviço fornece informações sobre como os serviços da Microsoft ajudam a suportar a conformidade com o RGPD.

Como administrador, uma das principais atividades de suporte à privacidade estará relacionada com os pedidos de Direitos de Titulares de Dados (DSR). Estes são pedidos formais de um titular de dados a um responsável pelo tratamento de dados (provavelmente a sua organização) para agir sobre os dados pessoais deles nos seus sistemas. Os titulares dos dados têm o direito de obter cópias, pedir correções, restringir o processamento dos dados, eliminar os dados e receber cópias em formato eletrónico para que possam ser movidos para outro responsável pelo tratamento de dados.

As ligações a seguir apontam para informações detalhadas para ajudá-lo a responder aos pedidos de DSR, dependendo das funcionalidades que a sua organização está a utilizar.

Área de Funcionalidades da Plataforma Associar a passos de resposta detalhados
Power Apps Responder a pedidos de Direitos de Titulares de Dados (DSR) para exportar dados do cliente do Power Apps
Dataverse Responder a pedidos de Direitos de Titulares de Dados (DSR) para dados do cliente do Dataverse
Power Automate Responder aos Pedidos dos Titulares de Dados para o Power Automate
Contas Microsoft (MSAs) Responder a pedidos de Direitos de Titulares de Dados
Aplicações de interação com os clientes Pedidos dos Titulares de Dados do Dynamics 365 para privacidade

Centro de Segurança e Conformidade do Microsoft 365

Utilize o Gestor de Conformidade Purview da Microsoft para gerir os seus esforços de conformidade em todos os serviços cloud da Microsoft num único local.

Eventos do Registo de Auditoria do Power Automate

Na Pesquisa de Registos de Auditoria do centro de conformidade, os administradores podem pesquisar e ver eventos do Power Automate. Os eventos incluem Fluxo criado, Fluxo editado, Fluxo eliminado, Permissões editadas, Permissões eliminadas, Iniciou uma avaliação paga, Renovou uma avaliação paga. Utilizando o portal, pode escolher o que pretende procurar e uma janela de tempo.

  1. Inicie sessão no portal de conformidade do Microsoft Purview.

  2. Em Soluções, selecione Auditar.

  3. Em Atividades, selecione as atividades do Power Automate a auditar.

    Selecione as atividades do Power Automate a auditar.

  4. Selecionar Procurar.

  5. Quando a pesquisa estiver concluída, selecione-a para ver a lista de atividades relacionadas.

    Lista de atividades do Power Automate.

  6. Selecione uma linha na lista para ver os detalhes da atividade.

    Lista de atividades do Power Automate.

Os dados de auditoria são mantidos durante 90 dias. Pode fazer exportações de dados CDSV, permitindo movê-los para o Excel ou o PowerBI para análises adicionais. Pode encontrar uma explicação completa sobre a utilização das informações de auditoria aqui: https://flow.microsoft.com/blog/security-and-compliance-center/