Políticas de gestão de riscos de privacidade

As políticas microsoft Priva Privacy Risk Management podem ajudá-lo a abordar cenários de risco importantes para a sua organização. Os nossos modelos de política centram-se na promoção de práticas de processamento de dados sonoros. Os alertas informam os administradores quando são detetadas correspondências de políticas e poderão precisar de uma investigação mais aprofundada. As notificações e sugestões de e-mail no Microsoft Teams ajudam os utilizadores a compreender que atividades têm riscos de privacidade, permitem que os utilizadores corrijam imediatamente os problemas e apontam para a formação de privacidade.

Para um guia de introdução, utilize um modelo com predefinições para criar novas políticas de sobreexposição de dados, transferências de dados e minimização de dados e cenários. Também pode personalizar as definições de modelo para criar políticas que se adequam às necessidades da sua organização.

Este artigo explica as definições gerais que se aplicam a todas as políticas. Para ver instruções específicas para cada tipo de política, visite as seguintes páginas:

• Criar uma política de sobreexposição de dados
• Criar uma política de transferência de dados
• Criar uma política de minimização de dados

Nota

As políticas de sobreexposição de dados podem ser configuradas para abranger origens de dados do Microsoft 365 e de várias clouds (pré-visualização). No entanto, determinadas definições de política aplicam-se apenas a origens de dados do Microsoft 365. Obtenha detalhes sobre a seleção de origens de dados multicloud e definições de política que dependem da origem de dados.

Tipos de modelo de política

A Gestão de Riscos de Privacidade tem três modelos de política concebidos para o ajudar a abordar as principais áreas de preocupação relacionadas com a proteção de dados pessoais. Cada modelo tem predefinições que pode aceitar no processo de configuração rápida ou personalizar com um processo guiado. Quando cria uma nova política, a sua primeira tarefa é escolher um dos três modelos:

• Exposição excessiva dos dados: esta política identifica itens de conteúdo que contêm dados pessoais que podem ser demasiado acessíveis por outras pessoas. Quando forem encontradas correspondências, pode configurar notificações que pedem aos proprietários de conteúdos que apliquem rapidamente a proteção. Esta política fornece definições de localização de dados multicloud (pré-visualização) para o Armazenamento do Azure, o SQL do Azure e o Amazon S3. Saiba mais sobre como escolher localizações multicloud.

• Transferências de dados: esta política pode detetar transferências de dados pessoais entre limites que determina, o que pode envolver transferências fora da sua organização ou transferências internas entre departamentos ou regiões geográficas. Quando forem encontradas correspondências, pode configurar notificações que incentivam os remetentes a revogar o acesso ao conteúdo.

• Minimização de dados: esta política identifica itens de conteúdo que contêm dados pessoais que não foram alterados durante longos períodos de tempo. Quando forem encontradas correspondências, pode enviar notificações aos proprietários de conteúdos, solicitando-lhes que tomem medidas rápidas para manter ou eliminar o item.

Configuração rápida: utilizar um modelo com predefinições

Quando cria uma política diretamente a partir de um modelo, a maioria das definições são escolhidas automaticamente para o ajudar a começar a trabalhar rapidamente. Siga estes passos para criar uma política com predefinições através de um dos nossos modelos:

1. Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:

   • Novo portal Priva (pré-visualização). Para saber mais, veja Saiba mais sobre o novo portal Priva (pré-visualização).
   • Portal de conformidade do Microsoft Purview. Para saber mais sobre este portal, veja Portal de conformidade do Microsoft Purview.

2. Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .

3. Selecione Criar uma política no canto superior direito do ecrã, que apresenta um painel de lista de opções com todas as opções de criação de políticas.

4. Localize o tipo de política que pretende criar e, no respetivo cartão, selecione Criar.

5. Um painel de lista de opções contém detalhes da política. Selecionar Definições de vista mostra as predefinições. Pode editar as definições a partir daqui, o que o leva ao processo orientado descrito abaixo. Para continuar a criar a política com as predefinições, introduza um nome descritivo e, em seguida, selecione Criar política.

A sua política é criada e encontra-a listada na sua página Políticas .

A política começa a ser executada no modo de teste, o que significa que não são gerados alertas ou notificações e pode monitorizar o respetivo desempenho. Quando estiver pronto para ativar a política, selecione a sua política e edite-a para ativar.

Configuração personalizada: processo orientado para escolher todas as definições

A opção de política personalizada é um processo orientado para criar uma política. Comece por escolher um modelo e, em seguida, percorra cada definição para personalizar a sua política. As instruções abaixo fornecem detalhes sobre as definições básicas que se aplicam a cada um dos três tipos de política. Quando as definições diferem por tipo de política, ligamos a instruções específicas.

Siga os passos abaixo para criar uma política:

1. Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:

   • Novo portal Priva (pré-visualização). Para saber mais, veja Saiba mais sobre o novo portal Priva (pré-visualização).
   • Portal de conformidade do Microsoft Purview. Para saber mais sobre este portal, veja Portal de conformidade do Microsoft Purview.

2. Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .

3. Selecione Criar uma política.

4. Selecione a opção Personalizada para criar a política com o assistente de criação de políticas na Gestão de Riscos de Privacidade.

5. Escolha o tipo de política: sobreexposição de dados,Transferências de dados ou Minimização de dados.

6. Atribua um nome descritivo à sua política para o ajudar a identificá-la na sua lista de políticas. Forneça uma descrição opcional e, em seguida, selecione Seguinte.

7. Os passos seguintes permitem-lhe definir todas as definições de política. Aceda a uma definição listada abaixo para obter mais detalhes.

   Nota

   As opções de definições de uma política variam consoante escolha uma origem de dados do Microsoft 365 ou de várias clouds; obtenha os detalhes abaixo.

   • Origens de dados: aplique a política a origens de dados selecionadas.
   • Dados a monitorizar: selecione o tipo de dados pessoais que a sua política monitoriza.
   • Utilizadores e grupos: aplique a sua política a todos os utilizadores ou utilizadores selecionados.
   • Condições: defina as condições para a sua política. Estas opções variam consoante o seu tipo de política.
   • Resultados: defina os resultados quando é encontrada uma correspondência de política, como notificações por e-mail do utilizador.
   • Alertas: decida a frequência dos alertas para os administradores quando é encontrada uma correspondência de política.
   • Modo: escolha se testa a política antes de a ativar.

8. Quando todas as definições estiverem concluídas, reveja as suas escolhas, faça as edições pretendidas e, em seguida, selecione Submeter para criar a política.

Após alguns segundos, verá uma confirmação de que a política foi criada. Selecione Concluído na página de confirmação, que irá levá-lo para a página Políticas onde vê a nova política na parte superior da tabela.

As secções imediatamente abaixo fornecem mais detalhes sobre cada definição de política.

Escolher origens de dados

Neste passo, designa onde pretende que a política procure correspondências de dados pessoais. As opções dependem do tipo de política. Pode selecionar mais do que uma origem de dados para uma política. As opções de definições de uma política dependem de escolher uma origem de dados do Microsoft 365 ou de várias clouds. Obtenha detalhes nas secções abaixo.

Origens de dados do Microsoft 365

• Exchange: a política identifica correspondências nas contas do Exchange dos utilizadores, que incluem conteúdo no corpo dos e-mails e nos anexos enviados ou recebidos pelas caixas de correio do Exchange.

• OneDrive: a política identifica correspondências em ficheiros armazenados na conta do OneDrive para Empresas dos utilizadores.

• Equipas: a política identifica correspondências nas mensagens dos utilizadores nos canais e conversas do Teams.

• SharePoint: a política identifica correspondências em ficheiros armazenados nos sites do SharePoint dos utilizadores. Quando seleciona esta opção, escolhe entre as seguintes opções:

  • Todos os sites do SharePoint: esta seleção abrange todos os sites de todos os utilizadores na sua organização.

  • Sites específicos do SharePoint: esta seleção pede-lhe para designar sites específicos a que a política se aplique. Pode introduzir o URL de um site específico diretamente na caixa URL e, em seguida, selecionar o + sinal para adicioná-lo à sua lista de sites. Também pode selecionar Escolher sites e, no painel de lista de opções, procurar e selecionar a partir da lista de sites aos quais tem acesso. Selecione a caixa que é apresentada quando paira o cursor sobre o site que pretende selecionar. Depois de efetuar as suas seleções, selecione Adicionar. Todos os sites escolhidos estão listados na parte inferior da página Localizações .

  Sugestão

  Se precisar de ajuda para identificar os sites do SharePoint na sua organização, visite Gerir sites no centro de administração do SharePoint.

Origens de dados multicloud (pré-visualização)

Nota

As opções de origem de dados multicloud (pré-visualização) estão atualmente disponíveis apenas para o tipo de política de sobreexposição de dados .

O passo Origens de dados do processo de criação de políticas permite-lhe selecionar origens de dados para além do Microsoft 365. Estas origens de dados são recursos configurados pela sua organização no Mapa de Dados do Microsoft Purview. Se ainda não tiver configurado soluções de governação de dados do Microsoft Purview, saiba como começar.

• Armazenamento do Azure (pré-visualização): a política identifica correspondências nas suas contas de Armazenamento do Azure. Selecione a caixa junto a esta opção e, em seguida, selecione Editar. Selecione Todas as contas de armazenamento ou selecione Contas de armazenamento específicas ao selecionar Incluir conta de armazenamento e selecionar a caixa junto ao nome da conta de armazenamento. Quando terminar, selecione Adicionar e, em seguida, selecione Concluído.

• SQL do Azure (pré-visualização): a política identifica correspondências nos servidores. Selecione a caixa junto a esta opção e, em seguida, selecione Editar. Selecione Todos os servidores ou selecione Servidores específicos ao selecionar Incluir servidor e selecionar a caixa junto ao nome do servidor. Quando terminar, selecione Adicionar e, em seguida, selecione Concluído.

• Amazon S3 (pré-visualização): a política identifica correspondências nos seus registos do Amazon S3. Selecione a caixa junto a esta opção e, em seguida, selecione Editar. Selecione Todos os registos ou selecione Grupos específicos ao selecionar Incluir registo e selecionar a caixa junto ao nome do registo. Quando terminar, selecione Adicionar e, em seguida, selecione Concluído.

Depois de concluir a definição de origens de dados, selecione Seguinte.

Como a origem de dados afeta as definições de política

Determinadas definições de política aplicam-se apenas a origens de dados do Microsoft 365. Se a sua política incluir uma origem de dados multicloud, algumas definições aplicam-se apenas parcialmente ou não, conforme explicado aqui:

• Dados a monitorizar: se selecionar o Armazenamento do Azure ou as origens de dados SQL do Azure, existe um número limitado de tipos de informações confidenciais (SITs) que podem ser selecionados. Saiba mais sobre os tipos de classificação suportados, que estão relacionados com a forma como os dados são processados no Mapa de Dados do Microsoft Purview.

• Utilizadores e grupos: esta opção aplica-se apenas a quaisquer origens de dados do Microsoft 365 que selecionar para a política. Se escolher apenas uma origem de dados de várias clouds, esta opção estará desativada. Selecione Seguinte para continuar.

• Condições: esta opção aplica-se apenas às origens de dados do Microsoft 365 que selecionar para a política. Se escolher apenas uma origem de dados de várias clouds, esta opção estará desativada. Quando seleciona uma origem de dados de várias clouds para a política, a intenção deve ser selecionar contas ou registos de armazenamento específicos no passo Localização que sabe que podem conter dados pessoais e que pretende monitorizar para um processamento adequado. Embora a política não consiga distinguir os controlos de acesso dos recursos referenciados no Mapa de Dados do Microsoft Purview, irá detetar quando os dados pessoais das origens de dados multicloud que selecionar são partilhados. Selecione Seguinte para continuar.

• Resultados: esta opção aplica-se apenas a quaisquer origens de dados do Microsoft 365 que selecionar para a política. Se escolher apenas uma origem de dados de várias clouds, esta opção estará desativada. Selecione Seguinte para continuar.

• Alertas: TBD

• Modo: a opção para iniciar uma política no modo de teste aplica-se apenas a quaisquer origens de dados do Microsoft 365 que selecionar para a política. Se selecionar origens de dados do Microsoft 365 e de várias clouds, pode ativar a política no modo de teste primeiro apenas para as origens de dados do Microsoft 365. As políticas que abrangem origens de dados multicloud começarão a ser executadas automaticamente para as origens de dados de várias clouds após a criação da política.

Escolher dados a monitorizar

Ao criar ou editar uma política, é-lhe pedido que selecione os tipos de dados que a política deve monitorizar. Existem duas opções:

• Grupos de classificação: uma lista pesquisável de agrupamentos de tipos de informações confidenciais; por exemplo, um grupo baseado no Australia Health Records Act ou um grupo baseado em dados pessoais dos EUA, como um número de passaporte dos EUA.

• Tipos de informações confidenciais ou classificadores treináveis: pode optar por selecionar entre uma lista pesquisável de tipos de informações confidenciais (por exemplo, números de Segurança Social ou números de carta de condução) ou selecionar entre classificadores treináveis.

Se selecionar a partir dos grupos de classificação existentes, também não pode selecionar tipos individuais ou criar os seus próprios grupos. Para maior flexibilidade, escolha tipos de informações confidenciais individuais ou classificadores treináveis. Para utilizar os padrões mais comuns, escolha entre os grupos de classificação. Saiba mais sobre cada tipo de dados abaixo.

Grupos de classificação

Os grupos de classificação são agrupamentos de tipos de informações confidenciais que são utilizados para detetar conteúdos relacionados com dados pessoais ou regulamentos específicos.

Quando selecionar a opção Grupos de classificação na página Dados a monitorizar , selecione Adicionar grupos de classificação. É apresentado o painel de lista de opções Escolher grupos de classificação . A partir daqui, pode procurar um grupo de classificação na caixa de pesquisa. Em alternativa, pode escolher um ou mais grupos de classificação na lista. Depois de selecionar a caixa junto aos grupos que pretende, selecione Adicionar. O painel de lista de opções é fechado e os grupos que escolheu estão listados na página.

Na linha de cada grupo de classificação na lista, selecione Ver para apresentar os tipos de informações confidenciais incluídos nesse grupo. Para remover um grupo da lista, selecione o ícone do caixote do lixo na respetiva linha.

Tipos de informações confidenciais

Ao escolher tipos de informações confidenciais específicos, como números da Segurança Social ou informações de carta de condução, pode personalizar o seu próprio grupo ou grupos de dados para ter cuidado. Pode selecionar a partir da lista completa de tipos de informações confidenciais na Gestão de Riscos de Privacidade. Cada tipo de informação tem as suas próprias propriedades.

Quando seleciona a opção Tipos de informações confidenciais ou classificadores treináveis na página Dados a monitorizar , é apresentado um seletor com Predefinição listado como um nome para o grupo de tipos de informações confidenciais que selecionar. Mantenha ou edite este nome de grupo.

Em seguida, selecione Adicionar e, em seguida, selecione Tipos de informações confidenciais. É apresentado o painel de lista de opções Tipos de informações confidenciais. A partir daqui, pode procurar um tipo de informações confidenciais na caixa de pesquisa. Em alternativa, pode escolher um ou mais tipos de informações confidenciais na lista. Depois de selecionar a caixa junto aos tipos de informações confidenciais que pretende, selecione Adicionar. O painel de lista de opções é fechado e verá as suas seleções listadas na página.

Cada tipo de informação confidencial tem as suas próprias propriedades e definições recomendadas, que pode detetar ao selecionar o ícone de informações à direita do menu pendente confiança depois de adicionar o tipo de informações. Também pode alterar a contagem de instâncias para cada tipo de informações confidenciais. Esta definição designa o número de instâncias exclusivas de cada tipo de informações confidenciais que pretende que a política detete.

Se criar mais do que um grupo, o seletor permite-lhe escolher a forma como os grupos se devem relacionar (uma relação "e" ou "ou") e definir a respetiva ordem de operações.

Classificadores treináveis

Os classificadores treináveis empregam machine learning para classificar e identificar automaticamente categorias de conteúdo confidencial. Saiba mais sobre classificadores treináveis no Microsoft Purview.

Quando seleciona a opção Tipos de informações confidenciais ou classificadores treináveis na página Dados a monitorizar , é apresentado um seletor na página com Predefinição listado como um nome para o grupo de classificadores treináveis que selecionar. Mantenha ou edite este nome de grupo.

Em seguida, selecione Adicionar e, em seguida, selecione Classificadores treináveis. É apresentado o painel de lista de opções Classificadores treináveis . A partir daqui, pode procurar um classificador treinável por nome na caixa de pesquisa. Em alternativa, pode escolher um ou mais classificadores na lista. Se a sua organização tiver criado os seus próprios classificadores formadores personalizados, esses classificadores estão disponíveis para selecionar. Depois de selecionar a caixa junto aos classificadores que pretende, selecione Adicionar. O painel de lista de opções é fechado e verá o nome do classificador listado na página. Pode continuar a adicionar mais classificadores.

Nota

Um grupo pode conter tipos de informações confidenciais e classificadores treináveis.

Quando um classificador treinável é detetado por uma política de gestão de riscos de privacidade, a correspondência é considerada uma correspondência porque a deteção está numa base por item. Por outro lado, cada instância de um tipo de informação confidencial num item é considerada uma correspondência (saiba mais sobre como os dados pessoais são detetados e visualizados em Priva).

Por exemplo, um item pode ser detetado por um classificador treinável como extrato bancário. Nesse item, podem existir cinco instâncias de um tipo de informações confidenciais. No total, esse item contabilizaria seis correspondências pela política: uma correspondência que representa o classificador treinável e cinco correspondências que representam as instâncias de tipo de informações confidenciais.

Existe uma limitação ao limiar de alerta que pode ser escolhido ao monitorizar por classificadores treináveis. Obtenha os detalhes abaixo em Frequência de alertas e limiares.

Escolher utilizadores e grupos

Tem duas opções para decidir que utilizadores uma política abrange: todos os utilizadores e grupos ou utilizadores e grupos específicos.

• Todos os utilizadores e grupos: esta opção aplica a política a todos os utilizadores e Grupos do Office 365 na sua organização.

• Utilizadores ou grupos específicos: esta opção permite-lhe selecionar utilizadores individuais, Grupos individuais do Office 365 ou uma mistura de ambos.

  • Para escolher utilizadores: selecione Escolher utilizadores e, no painel de lista de opções, procure um utilizador ao introduzir um endereço de e-mail na caixa de pesquisa. Em alternativa, localize o utilizador na lista e selecione a caixa de verificação à esquerda do respetivo nome. Pode selecionar até 100 utilizadores. Quando terminar, selecione Adicionar.
  • Para escolher grupos: selecione Escolher grupos e, no painel de lista de opções, selecione a caixa de verificação à esquerda de cada nome de grupo. Pode selecionar até 10 grupos. Quando terminar, selecione Adicionar.

Depois de designar utilizadores e grupos, selecione Seguinte para avançar para o passo seguinte.

Definir condições

As condições para detetar correspondências de políticas diferem com base no modelo de política.

• Sobreexposição dos dados: veja o passo de condições nas instruções de configuração personalizada da política de exposição de dados.
• Transferências de dados: veja o passo de condições nas instruções de configuração personalizada da política de transferência de dados.
• Minimização de dados: veja o passo de condições nas instruções de configuração personalizada da política de minimização de dados.

Definir resultados: notificações e sugestões por e-mail do utilizador

A página Resultados do assistente de criação de políticas é onde pode optar por enviar uma notificação por e-mail aos utilizadores quando efetuam uma ação que corresponda às condições de uma política. As notificações por e-mail só podem ser enviadas quando uma localização do Microsoft 365 é selecionada como uma localização de dados para a política. Quando seleciona a opção para enviar notificações por e-mail, define uma frequência para a frequência com que um utilizador recebe um e-mail:

• Diariamente: um e-mail que agrega as ações de um utilizador num dia, enviado no prazo de dois dias após as ações.
• Semanalmente: um e-mail que agrega as ações de um utilizador numa semana; selecione o dia da semana em que o e-mail é enviado.
• Mensalmente: um e-mail que agrega as ações de um utilizador num mês; selecione a data de cada mês em que o e-mail é enviado.

Selecione Pré-visualizar e editar o e-mail de notificação para ver uma pré-visualização do e-mail. A partir daqui, pode personalizar o conteúdo do e-mail e inserir a ligação de formação do URL de privacidade necessária. Também pode alterar o e-mail do remetente do endereço de e-mail predefinido da Microsoft para um dos endereços de e-mail da sua organização. Obtenha detalhes sobre as definições de e-mail e a personalização.

As políticas de transferência de dados têm outra opção para mostrar sugestões aos utilizadores no Teams quando as suas ações geram uma correspondência de política. Estas sugestões incluem ligações para a formação de privacidade, que fornece, e incluem mecanismos para remediar potenciais riscos.

Estas notificações podem ser oportunidades úteis para impedir que os problemas se agravem e para criar competências e confiança dos utilizadores na adoção de práticas seguras de processamento de dados.

Nota

As notificações de utilizador no e-mail e no Teams não estão disponíveis para clientes do Departamento de Defesa (DoD) moderado, GCC High ou DaD (Us Government Community).

Definir alertas

Os alertas ajudam os administradores a saber quando um evento de utilizador corresponde às condições de uma política. Controla a frequência com que os alertas são gerados, o limiar que tem de ser atingido antes de um alerta ser gerado e a gravidade do alerta. Os alertas são apresentados no cartão Alertas na página Políticas . Saiba mais sobre como ver, investigar e remediar alertas.

Ativar alertas

Pode ativar os alertas quando criar uma política pela primeira vez ou editar a política mais tarde para os ativar. Na página Alertas do assistente de criação de políticas, defina o botão de alternar Criar alertas para a posição Ativado .

Frequência e limiares de alertas

Depois de ativar os alertas, decida com que frequência serão gerados ao escolher uma das três opções seguintes:

• Alertar sempre que ocorrer uma correspondência de política: selecionar esta opção pode gerar um número elevado de alertas.
• Alertar quando for atingido um limiar específico: define limiares com base no número e frequência de eventos de utilizador detetados.
• Alertar quando uma das condições abaixo for cumprida: a nossa definição recomendada, esta opção pode ajudar a garantir que os alertas são mais relevantes e, portanto, mais fáceis de agir. Se selecionar esta opção, selecione um dos três tipos de limiares para alertas:
  • Elevado volume de dados pessoais: designe o número de instâncias de dados pessoais que causarão o alerta. Lembre-se de que um item de conteúdo, como um ficheiro do Excel ou um e-mail, pode conter uma ou muitas instâncias de dados pessoais.
  • Itens de dados pessoais abrangidos pelos regulamentos: esta opção apresenta a sua escolha a partir do passo Dados a monitorizar . A partir daqui, pode adicionar ou remover grupos de dados com base em regulamentos.
  • Utilizadores de alto risco com remediações pendentes: esta opção é viável se optar por enviar e-mails de notificação no passo Resultados . Aqui, designa o número de remediações pendentes por qualquer utilizador dentro de um determinado período de tempo. Por exemplo, se designar 25 remediações nas últimas 72 horas, significa que um alerta será acionado se um utilizador tiver mais de 25 problemas pendentes sobre os quais foi notificado, mas não tiver agido nas últimas 72 horas.

Nota

A opção Elevado volume de dados pessoais não está disponível para classificadores treináveis que sejam escolhidos como dados a monitorizar. Isto deve-se ao facto de as deteções de classificador treináveis serem contadas numa base por item como uma única correspondência. Veja a secção Classificadores treináveis acima.

Nível de gravidade do alerta

Selecione um nível de gravidade de Baixo, Médio ou Alto. Sugerimos que a sua organização defina o que cada nível representa para si.

Modificar alertas

Para alterar a frequência de alertas de uma política depois de ativar os alertas, siga estes passos:

1. Abra a página de detalhes da política cujos alertas pretende modificar.
2. Selecione Editar no canto superior direito da página.
3. Selecione o botão Seguinte até avançar para o passo Alertas .
4. Faça as alterações pretendidas à frequência ou limiar de alerta e, em seguida, selecione Seguinte.
5. Selecione Seguinte até chegar à fase Rever e concluir e, em seguida, selecione Submeter para guardar as alterações.

Também pode utilizar este processo para desativar os alertas de uma política. No passo 4 acima, alterne a posição Criar alertas para a posição Desativado .

Testar uma política

No passo Decidir modo de política , pode escolher se pretende iniciar a política no modo de teste ou ativar imediatamente. Olhar para uma política no modo de teste significa que assim que a política for criada:

• Não são gerados alertas. No entanto, verá informações na página de detalhes da política quando são detetadas correspondências, incluindo os tipos de dados detetados e as respetivas localizações.

• Não são enviadas notificações por e-mail de utilizador quando são detetadas correspondências de política. No entanto, verá informações na página de detalhes da política que mostra que utilizadores estão associados a correspondências de políticas.

O modo de teste permite-lhe procurar correspondências dos últimos 30 dias de atividade do utilizador. Com estas informações, pode avaliar o comportamento da política e rever os tipos de alertas que podem ser gerados quando a política está ativada.

Recomendamos que teste a sua política durante, pelo menos, cinco dias para o ajudar a compreender o tipo e o volume de correspondências que irá gerar. Pode editar a política enquanto está no modo de teste para que possa monitorizar a forma como as alterações afetam o respetivo desempenho antes de a ativar. Por exemplo, poderá considerar que a política é demasiado ampla e que as condições precisam de ser ajustadas. Em alternativa, poderá perceber, com base na atividade, que deteta que os alertas não serão gerados num período de tempo útil para si.

A página de detalhes da política indica quantos dias o teste está em execução. Verá quantas correspondências foram encontradas por localização, quantos eventos de utilizador que correspondem às condições da política foram detetados e os tipos de dados pessoais que foram detetados por correspondências de política. Quando estiver satisfeito com as definições da sua política, pode ativar a política.

Ativar uma política

Pode definir uma política para ativar assim que terminar de criá-la. Isto não é recomendado, pois é melhor monitorizar o desempenho e as definições ao colocar a política no modo de teste antes de a ativar (consulte Testar uma política).

Se tiver criado a política no modo de teste, pode ativá-la rapidamente ao seguir estes passos:

1. Na página Políticas , localize a política e selecione o respetivo nome para abrir a respetiva página de detalhes.
2. No cartão Estado da política , selecione Ativar política.

A política estará agora ativa e irá gerar todos os alertas e notificações de utilizador que configurou.

Desativar uma política

Pode desativar uma política em qualquer altura ao selecionar Desativar política no canto superior direito da página de detalhes de uma política. Quando uma política está desativada, não deteta correspondências nem gera alertas ou notificações por e-mail. Desativar uma política não eliminará uma política. Pode voltar a ativar uma política ao selecionar Ativar política no canto superior direito da página de detalhes da política.

Ver detalhes e atividade a partir da página de detalhes da política

Cada política tem uma página de detalhes que mostra as atividades detetadas pela política e informações para o ajudar a resolver riscos.

Depois de criar a política, selecione o respetivo nome na tabela na página políticas principal. O separador Descrição geral da página de detalhes da política indica-lhe o estado da sua política, fornece informações sobre os seus dados e realça as correspondências de políticas. Aqui, pode ver detalhes sobre correspondências de políticas específicas e saber mais sobre os próximos passos. Se a política estiver em execução no modo de teste, verá os próximos passos recomendados nesta página e um botão para ativar a política.

Quando a política estiver ativada, pode continuar a rever a respetiva página de detalhes da política para ver informações contínuas sobre áreas problemáticas, gravidade e tendências de alertas e ações corretivas tomadas.

Separador Descrição geral

No separador Descrição geral da página de detalhes da política, encontrará detalhes sobre o que a política está a detetar relativamente a tipos e localizações de dados e atividade do utilizador. As informações na página de detalhes da política estão descritas abaixo. Depois de ativar uma política, os dados podem demorar até 48 horas.

Estado da política

O cartão de estado da política indica se a política está num dos três estados: Teste, Ativado ou Desativado.

Teste: esta secção mostra o número de dias em que a política esteve no modo de teste, o que significa que está à procura de correspondências de políticas com base nas condições que definiu, mas não está a gerar alertas ou notificações do utilizador. Fornecemos uma recomendação quando é uma boa altura para ativar a sua política. Pode ativá-lo em qualquer altura ao selecionar o botão Ativar política neste cartão.

Ativado: quando a política está ativada, o cartão de estado apresenta métricas que realçam quando ocorreu uma ação corretiva após uma correspondência de política gerar alertas e notificações do utilizador.

• Ações do utilizador executadas: esta métrica mostra o número de ações de remediação realizadas pelos utilizadores quando solicitado a partir de um e-mail de notificação do número total de notificações enviadas. Por exemplo, 8/10 representaria que em 10 notificações de utilizador enviadas, os utilizadores executavam uma ação de remediação em oito instâncias.

• Taxa de resolução do utilizador: esta métrica é a taxa a que as ações de remediação são tomadas pelos utilizadores com base no número de notificações geradas. Se a percentagem for baixa, poderá querer editar o conteúdo do e-mail ou examinar atentamente as correspondências para determinar se a política está a detetar a atividade pretendida.

• Ações de administrador executadas: esta métrica mostra o número de ações de remediação executadas pelos administradores quando um alerta é gerado pela política. Saiba mais sobre como efetuar ações em alertas.

• Taxa de resolução do administrador: esta métrica é a taxa a que as ações de remediação são tomadas pelos administradores com base no número de alertas.

Correspondências por localização

O cartão Correspondências por localização apresenta o número de itens de conteúdo detetados pela política de acordo com a localização do Microsoft 365.

Notificações do utilizador

O cartão Notificações do utilizador apresenta um gráfico de barras que mostra o número de e-mails de notificação de utilizador que foram gerados pela política se tiver essas capacidades ativadas.

Correspondências por utilizador

O cartão Correspondências por utilizador lista os principais utilizadores cujas ações acionaram uma correspondência de política. Verá o número de eventos detetados pela política para cada utilizador, juntamente com o número de ações de remediação realizadas a partir de notificações por e-mail. Selecione Ver todos os utilizadores neste cartão para rever a lista completa de utilizadores detetados pela política.

Correspondências por tipo de dados

O cartão Correspondências por tipo de dados apresenta os tipos de dados pessoais detetados pelas correspondências de políticas e a quantidade de cada tipo. O gráfico circular ajuda a demonstrar visualmente se um determinado tipo de dados pessoais, por exemplo números da Segurança Social ou números de cartões de crédito, está predominantemente representado nos cenários de risco que está a tentar identificar.

Sugestão

Ao analisar de forma holística as localizações, os tipos de dados e o número de utilizadores envolvidos em correspondências de políticas, poderá ter uma melhor noção dos tipos de medidas de preparação e proteção de dados necessárias para ajudar a sua organização a proteger os dados pessoais que armazena.

Separador Itens correspondentes

O separador Itens correspondentes apresenta uma lista de todos os itens de conteúdo que correspondem a uma condição definida na política. Nesta vista, pode selecionar um item da respetiva linha para o pré-visualizar na janela à direita da lista de itens.

Na janela de pré-visualização, encontrará os seguintes separadores que fornecem detalhes sobre cada item:

• Origem: apresenta os dados pessoais que acionaram a correspondência.
• Detalhes: apresenta o proprietário do conteúdo (utilizador na sua organização) do item, a localização do Microsoft 365 do item, o número de tipos de dados pessoais no item e os tipos de dados pessoais específicos.
• Atividades de ficheiro: apresenta qualquer etiqueta ou classificação aplicada ao item.
• Histórico de remediação: apresenta informações sobre as ações de remediação realizadas por utilizadores ou administradores no item.

Editar uma política

Pode editar as definições de uma política em qualquer altura, quer esteja no modo de teste ou ativada. Pode atualizar a maioria das definições de política, incluindo voltar a colocar uma política no modo de teste depois de a ativar. As únicas definições que não pode editar são o modelo de política e o nome da política.

Para editar uma política, siga os passos abaixo:

1. Selecione a política que pretende editar a partir da respetiva linha na página Políticas , que apresenta a página de detalhes dessa política.

2. Na página de detalhes da política, selecione Editar no canto superior direito da página. Esta ação encaminha-o para o assistente de criação de políticas.

3. Siga os passos para aceder às definições que pretende alterar. Pode editar todas as definições, exceto o modelo de política e o nome da política. Selecione Seguinte para avançar para cada passo seguinte.

4. Na página Concluir , reveja as suas definições e, em seguida, selecione Submeter para guardar as alterações que efetuou.

Eliminar uma política

Se precisar de remover uma política de Gestão de Riscos de Privacidade existente, localize-a na lista na página Políticas , selecione o menu de ação (reticências verticais) e selecione a ação Eliminar política . Também pode abrir a página de detalhes da política e selecionar Eliminar no canto superior direito.

Ser-lhe-á pedido para confirmar a sua escolha antes de a eliminação ser final e a política ser permanentemente removida. A eliminação de uma política não afetará quaisquer ficheiros previamente avaliados pela política e os problemas e alertas gerados pela política continuarão a ser listados nas páginas Alertas e Problemas .

Próximas etapas

Assim que a política estiver ativada e começar a gerar alertas, deverá começar a compreender os riscos que podem apresentar à sua organização. Saiba como gerir alertas, investigar eventos e tomar medidas de remediação na Gestão de Riscos de Privacidade ao visitar Investigar e remediar alertas.

Exclusão de responsabilidade legal

Exclusão de responsabilidade legal do Microsoft Priva