Consideraciones de seguridad y cumplimiento para cargas de trabajo de aplicaciones inteligentes

La seguridad es fundamental para cualquier arquitectura. Microsoft Power Platform ofrece una amplia gama de herramientas para proteger eficazmente la carga de trabajo de sus aplicaciones inteligentes. Este artículo describe consideraciones de seguridad y recomendaciones para desarrollar cargas de trabajo de aplicaciones inteligentes con Power Platform.

Copilot para Dynamics 365 y Power Platform presenta seguir un conjunto de prácticas básicas de seguridad y privacidad y el Estándar de IA Responsable de Microsoft. Los datos de Dynamics 365 y Power Platform están protegidos por controles de seguridad, privacidad y cumplimiento integrales y líderes del sector. Para obtener más información sobre las funciones de seguridad, consulte Copilot Studio Seguridad y gobernanza Power Platform , Copilot Studio Preguntas frecuentes sobre la seguridad y privacidad de los datos de Copilot para Dynamics 365 y, y Seguridad en Power Platform. Microsoft Power Platform

Debe evaluar periódicamente los servicios y las tecnologías que emplea para asegurarse de que sus medidas de seguridad se adapten al cambiante panorama de amenazas.

Comprender los requisitos de seguridad

Comprenda los requisitos clave para la carga de trabajo de la aplicación inteligente que está implementando. Hazte las siguientes preguntas para ayudar a identificar las medidas de seguridad a abordar.

Control de acceso y autenticación

• ¿Cómo implementará mecanismos de control de acceso y autenticación para garantizar que solo los usuarios autorizados puedan acceder a la carga de trabajo de la aplicación inteligente?
• ¿Cómo garantizar una autenticación de usuario segura y fluida?
• ¿Cómo se controla qué aplicaciones pueden interactuar con Copilot y qué medidas garantizan que estas restricciones sean efectivas?

Gestión de seguridad e incidentes

• ¿Cómo gestionará y protegerá los secretos de la aplicación, como claves API y contraseñas?
• ¿Qué requisitos de seguridad de red impactan la carga de trabajo de las aplicaciones inteligentes? Por ejemplo, ¿las API internas sólo son accesibles en una red virtual?
• ¿Cómo supervisará y auditará el acceso y uso de la aplicación inteligente?
• ¿Cuál es el plan del incidente respuesta para abordar las brechas de seguridad o vulnerabilidades?

Cumplimiento y residencia de datos

• ¿Qué requisitos de residencia de datos se aplican a los datos utilizados en la carga de trabajo de la aplicación inteligente? ¿Sabe dónde residirán sus datos y si la ubicación se ajusta a sus obligaciones legales o reglamentarias?
• ¿Qué requisitos regulatorios y de cumplimiento deben cumplirse para la carga de trabajo de la aplicación inteligente?

Integración del sistema y requisitos de red

• ¿Cómo se integrará de forma segura la carga de trabajo de la aplicación inteligente con otros sistemas internos y externos?
• ¿Cuáles son los requisitos de red e integración para su carga de trabajo? ¿Es necesario integrarse con fuentes de datos o API internas o externas?

Consideraciones éticas e IA responsable

• ¿Cómo se incorporarán consideraciones éticas y prácticas de IA responsables en la carga de trabajo de aplicaciones inteligentes?

Implementar medidas robustas de autenticación y control de acceso

La autenticación permite a los usuarios iniciar sesión, lo que le da a su copiloto acceso a un recurso o información restringidos. Los usuarios pueden iniciar sesión con Microsoft Entra ID o con cualquier proveedor de identidad OAuth2r, como Google o Facebook.

Implemente medidas sólidas de autenticación y control de acceso para garantizar que los usuarios autorizados puedan acceder a Copilot. Garantizar que sólo los usuarios autorizados puedan acceder a Copilot es la base de la seguridad. La implementación de la autenticación multifactor agrega un nivel de seguridad adicional. Para minimizar el riesgo de acceso no autorizado, defina roles y permisos para garantizar que los usuarios tengan acceso solo a los recursos que necesitan. Implemente políticas de acceso condicional para controlar el acceso en función de condiciones específicas, como la ubicación del usuario, la conformidad del dispositivo o el nivel de riesgo.

Más información:

• Configurar la autenticación de usuario
• Configurar el inicio de sesión único
• Configurar la seguridad del canal web

Comprenda cómo los requisitos regulatorios afectan su proyecto

Identifique y cumpla con los requisitos y normas regulatorias aplicables a su industria, como RGPD (alinear), HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) o CCPA (Ley de Privacidad del Consumidor de California). Implementar los controles necesarios para garantizar el cumplimiento. Programe auditorías de cumplimiento periódicas para verificar el cumplimiento de los estándares regulatorios y abordar cualquier brecha. Evaluar si existen requisitos específicos para la ubicación de los datos, como por ejemplo que los datos deban almacenarse en un país o región en particular. Asegúrese de que su estrategia de almacenamiento de datos cumpla con estos requisitos.

Asegúrese de que los datos estén protegidos y gestionados de conformidad con los requisitos reglamentarios. Proteger los datos manejados por la carga de trabajo de la aplicación inteligente es fundamental para mantener la confianza y el cumplimiento de los estándares legales y regulatorios.

Microsoft cumple con las leyes de protección de datos y privacidad aplicables a los servicios en la nube. Nuestro cumplimiento con los estándares industriales de clase mundial está verificado. Se pueden crear entornos en regiones específicas, incluso si son diferentes de la región donde reside el inquilino. De forma predeterminada, las transcripciones de conversaciones solo se conservan durante 30 días en Dataverse. Puede limitar este período de retención según el entorno.

Más información:

• Seguridad y residencia de datos geográficos en Copilot Studio
• Residencia de datos geográficos en Copilot Studio
• Copilot Studio ofertas de cumplimiento
• Copilot Studio Cumplimiento de RGPD
• Copilot Studio Ubicaciones de datos
• Gestión del cumplimiento normativo en la nube
• Portal de confianza del servicio
• Cambiar el período de retención predeterminado para las transcripciones de conversaciones
• Trasladar datos a través de ubicaciones geográficas para funciones de IA generativa fuera de los Estados Unidos
• Diseño para proteger confidencialidad

Proteger todas las integraciones

Garantice una comunicación segura entre la carga de trabajo de su aplicación inteligente y las fuentes de datos. Su carga de trabajo de aplicación inteligente debe integrarse con otros sistemas para acceder y procesar datos. Para simplificar la administración de identidades y mejorar la seguridad, utilice entidades de servicio para el acceso no humano a los recursos e identidades administradas para los recursos de Azure. Proteja las API utilizando OAuth2 para la autenticación y garantizando que todas las comunicaciones de API estén encriptadas. El uso de entidades de servicio garantiza que las conexiones sean seguras y no dependan de credenciales individuales.

Más información:

• Diseño para la seguridad de la integración
• Soporte principal de servicio

Implementar un seguimiento y una auditoría continuos

El objetivo principal de la monitorización de seguridad es la detección de amenazas. El objetivo principal es prevenir posibles violaciones de seguridad y mantener un entorno seguro. Supervise y audite continuamente las actividades de la carga de trabajo de la aplicación inteligente para detectar y responder de forma proactiva. La seguridad es un proceso continuo, no una configuración única tarea. La supervisión y la auditoría periódicas del acceso y las interacciones de los usuarios son esenciales para mantener segura la carga de trabajo de su aplicación inteligente.

Más información:

• Recomendaciones para el monitoreo y detección de amenazas
• Vista Copilot Studio registros de auditoría
• Captura Copilot Studio telemetría con Azure Application Insights

Utilice las herramientas de seguridad de Azure para aplicar políticas de seguridad

Utilice las herramientas de seguridad integradas de Azure, como Microsoft Defensor para la nube (anteriormente conocido como Azure Security Center) y Política de Azure, para supervisar y hacer cumplir las políticas de seguridad.

Proporcionar capacitación a los empleados

Capacitar a los empleados sobre las mejores prácticas de protección de datos y la importancia de cumplir con los requisitos de residencia de datos. Adapte los materiales de capacitación a las funciones y responsabilidades específicas de los diferentes empleados. Las leyes y regulaciones de protección de datos están en constante evolución. Asegúrese de que los programas de capacitación se actualicen periódicamente para reflejar los últimos requisitos legales y las mejores prácticas. Utilice métodos interactivos como talleres, simulaciones y escenarios de la vida real para que la capacitación sea atractiva y efectiva. Brindar apoyo y recursos continuos, como acceso a oficiales de protección de datos o asesores legales, para ayudar a los empleados a mantenerse informados y en cumplimiento.