Consideraciones de seguridad y cumplimiento para cargas de trabajo de aplicaciones inteligentes

La seguridad es fundamental para cualquier arquitectura. Microsoft Power Platform ofrece una amplia gama de herramientas para proteger eficazmente la carga de trabajo de sus aplicaciones inteligentes. En este artículo se describen las consideraciones de seguridad y las recomendaciones para desarrollar cargas de trabajo de aplicaciones inteligentes Power Platform.

Las características de Copilot para Dynamics 365 y Power Platform siguen un conjunto de prácticas de seguridad y privacidad básicas y el Estándar de IA responsable de Microsoft. Los datos de Dynamics 365 y Power Platform están protegidos por controles de seguridad, privacidad y cumplimiento integrales y líderes del sector. Para obtener más información sobre las funciones de seguridad de Microsoft Copilot Studio y Power PlatformBB, consulte Seguridad y gobernanza de Copilot Studio, Preguntas frecuentes sobre seguridad y privacidad de datos de Copilot para Dynamics 365 y Power Platform, y Seguridad en Microsoft Power Platform.

Debe evaluar periódicamente los servicios y las tecnologías que emplea para asegurarse de que sus medidas de seguridad se alinean con el cambiante panorama de amenazas.

Comprender los requisitos de seguridad

Comprenda los requisitos clave para la carga de trabajo de aplicaciones inteligentes que está implementando. Hágase las siguientes preguntas para ayudar a identificar las medidas de seguridad que se deben abordar.

Control de acceso y autenticación.

• ¿Cómo implementará los mecanismos de autenticación y control de acceso para garantizar que solo los usuarios autorizados puedan acceder a la carga de trabajo de las aplicaciones inteligentes?
• ¿Cómo se garantiza una autenticación de usuario segura y sin problemas?
• ¿Cómo se controla qué aplicaciones pueden interactuar con la IA generativa (agente) y qué medidas garantizan que estas restricciones sean efectivas?

Administración de la seguridad y gestión de roles

• ¿Cómo administrará y protegerá los secretos de las aplicaciones, como las claves de API y las contraseñas?
• ¿Qué requisitos de seguridad de red afectan a la carga de trabajo de las aplicaciones inteligentes? Por ejemplo, ¿solo se puede acceder a las API internas en una red virtual?
• ¿Cómo supervisará y auditará el acceso y el uso de la aplicación inteligente?
• ¿Cuál es el plan de respuesta a incidentes para abordar brechas de seguridad o vulnerabilidades?

Cumplimiento y residencia de datos

• ¿Qué requisitos de residencia de datos se aplican a los datos utilizados en la carga de trabajo de la aplicación inteligente? ¿Sabe dónde residirán sus datos y si la ubicación se ajusta a sus obligaciones legales o reglamentarias?
• ¿Qué requisitos normativos y de cumplimiento deben cumplirse para la carga de trabajo de aplicaciones inteligentes?

Integración del sistema y requisitos de red

• ¿Cómo se integrará de forma segura la carga de trabajo de las aplicaciones inteligentes con otros sistemas internos y externos?
• ¿Cuáles son los requisitos de red e integración para su carga de trabajo? ¿Es necesario integrarse con API o orígenes de datos internos o externos?

Consideraciones éticas e IA responsable

• ¿Cómo se incorporarán las consideraciones éticas y las prácticas de IA responsables en la carga de trabajo de las aplicaciones inteligentes?

Implemente medidas sólidas de autenticación y control de acceso

La autenticación permite a los usuarios iniciar sesión, lo que le da a su agente acceso a un recurso o información restringidos. Los usuarios pueden iniciar sesión con Microsoft Entra ID o con cualquier proveedor de identidades OAuth2 como Google o Facebook.

Implemente medidas sólidas de autenticación y control de acceso para garantizar que los usuarios autorizados puedan acceder al agente. Garantizar que solo los usuarios autorizados puedan acceder al agente es la base de la seguridad. La implementación de la autenticación multifactor añade una capa extra de seguridad. Para minimizar el riesgo de acceso no autorizado, defina roles y permisos para garantizar que los usuarios tengan acceso solo a los recursos que necesitan. Implemente directivas de acceso condicional para controlar el acceso en función de condiciones específicas, como la ubicación del usuario, el cumplimiento de los dispositivos o el nivel de riesgo.

Más información:

• Configurar autenticación de usuario
• Configuración del inicio de sesión único
• Configurar la seguridad de la web y el canal Direct Line

Entienda cómo afectan los requisitos normativos a su proyecto

Identifique y cumpla con los requisitos y normas reglamentarios aplicables a su industria, como RGPD (Reglamento general de protección de datos), HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) o CCPA (Ley de Privacidad del Consumidor de California). Implemente los controles necesarios para garantizar el cumplimiento. Programe auditorías periódicas de cumplimiento para verificar el cumplimiento de las normas reglamentarias y abordar cualquier brecha. Evalúe si existen requisitos específicos para la ubicación de los datos, como el requisito de que los datos se almacenen en un país o región determinados. Asegúrese de que su estrategia de almacenamiento de datos cumpla con estos requisitos.

Asegúrese de que los datos estén protegidos y gestionados de conformidad con los requisitos normativos. La protección de los datos gestionados por la carga de trabajo de las aplicaciones inteligentes es fundamental para mantener la confianza y el cumplimiento de las normas legales y reglamentarias.

Microsoft cumple con las leyes de privacidad y protección de datos aplicables a los servicios en la nube. Se verifica nuestro cumplimiento con los estándares de clase mundial de la industria. Los entornos se pueden crear en regiones específicas, aunque sean diferentes de la región en la que reside el inquilino. De forma predeterminada, las transcripciones de las conversaciones solo se conservan durante 30 días en Dataverse. Puede ajustar este período de retención por entorno.

Más información:

• Seguridad y residencia geográfica de datos en Copilot Studio
• Residencia geográfica de datos en Copilot Studio
• Ofertas de cumplimiento de Copilot Studio
• Copilot StudioCumplimiento del RGPD
• Ubicaciones de datos de Copilot Studio
• Administración del cumplimiento en la nube
• Portal de confianza de servicios
• Cambiar el período predeterminado de retención de transcripciones de conversación
• Mover datos a través de ubicaciones geográficas para características de IA generativa fuera de Estados Unidos
• Diseñar para proteger la confidencialidad

Asegure todas las integraciones

Garantice una comunicación segura entre la carga de trabajo de su aplicación inteligente y los orígenes de datos. La carga de trabajo de las aplicaciones inteligentes debe integrarse con otros sistemas para acceder a los datos y procesarlos. Para simplificar la administración de identidades y mejorar la seguridad, use entidades de servicio para el acceso no humano a los recursos e identidades administradas para recursos de Azure. Proteja las API mediante el uso de OAuth2 para la autenticación y asegurándose de que todas las comunicaciones de la API estén cifradas. El uso de entidades de servicio garantiza que las conexiones sean seguras y no dependan de credenciales individuales.

Más información:

• Diseño para la seguridad de la integración
• Soporte de entidad de servicio

Implementar la supervisión y las auditorías continuas

El objetivo principal de la supervisión de seguridad es la detección de amenazas. El objetivo principal es prevenir posibles violaciones de seguridad y mantener un entorno seguro. Supervise y audite continuamente las actividades de la carga de trabajo de la aplicación inteligente para detectar y responder de forma proactiva. La seguridad es un proceso continuo, no una tarea de configuración única. La supervisión y la auditoría periódicas del acceso y las interacciones de los usuarios son esenciales para mantener segura la carga de trabajo de las aplicaciones inteligentes.

Más información:

• Recomendaciones para supervisar y detectar amenazas
• Ver registros de auditoría de Copilot Studio.
• Capturar telemetría de Copilot Studio con Azure Application Insights

Utilizar las herramientas de seguridad de Azure para aplicar las políticas de seguridad

Utilice las herramientas de seguridad integradas de Azure, como Microsoft Defender for Cloud (anterior Azure Security Center) y Azure Policy, para supervisar y aplicar directivas de seguridad.

Proporcionar formación a los empleados

Entrenar a los empleados sobre las mejores prácticas de protección de datos y la importancia de cumplir con los requisitos de residencia de datos. Adapte los materiales de capacitación a las funciones y responsabilidades específicas de los diferentes empleados. Las leyes y regulaciones de protección de datos están en constante evolución. Asegúrese de que los programas de capacitación se actualicen periódicamente para reflejar los últimos requisitos legales y las mejores prácticas. Utilice métodos interactivos como talleres, simulaciones y escenarios de la vida real para que la formación sea atractiva y eficaz. Proporcione apoyo y recursos continuos, como acceso a responsables de protección de datos o asesores legales, para ayudar a los empleados a mantenerse informados y en cumplimiento.