Considerazioni sulla sicurezza e sulla conformità per i carichi di lavoro delle applicazioni intelligenti

La sicurezza è fondamentale per qualsiasi architettura. Microsoft Power Platform offre una gamma completa di strumenti per proteggere efficacemente il carico di lavoro delle applicazioni intelligenti. Questo articolo descrive considerazioni sulla sicurezza e consigli per lo sviluppo di carichi di lavoro di applicazioni intelligenti con Power Platform.

Le funzionalità di Copilot per Dynamics 365 e per Power Platform seguono un set di pratiche di base per la sicurezza e la privacy e lo Standard sull'intelligenza artificiale responsabile Microsoft. I dati di Dynamics 365 e Power Platform sono protetti da controlli di conformità, sicurezza e privacy completi e leader del settore. Per ulteriori informazioni sulle funzionalità di sicurezza di Microsoft Copilot Studio e Power Platform, vedi Sicurezza e governance di Copilot Studio, Domande frequenti su Sicurezza e privacy dei dati Copilot per Dynamics 365 e Power Platform e Sicurezza in Microsoft Power Platform.

È necessario valutare periodicamente i servizi e le tecnologie impiegati per assicurarsi che le misure di sicurezza siano in linea con il mutevole panorama delle minacce.

Informazioni sui requisiti di sicurezza

Comprendi i requisiti chiave per il carico di lavoro dell'applicazione intelligente che stai implementando. Poniti le seguenti domande per identificare le misure di sicurezza da adottare.

Controllo di accesso e autenticazione

• Come implementerai i meccanismi di controllo di accesso e autenticazione per garantire che solo gli utenti autorizzati possano accedere al carico di lavoro dell'applicazione intelligente?
• Come garantire un'autenticazione utente sicura e senza interruzioni?
• Come controlli quali app possono interagire con l'IA generativa (agente) e quali misure garantiscono l'efficacia di queste restrizioni?

Gestione di incidenti e della sicurezza

• In che modo verranno gestiti e protetti i segreti dell'applicazione, ad esempio le chiavi API e le password?
• Quali requisiti di sicurezza di rete influiscono sul carico di lavoro dell'applicazione intelligente? Ad esempio, le API interne sono accessibili solo in una rete virtuale?
• In che modo verranno monitorati e controllati l'accesso e l'utilizzo dell'applicazione intelligente?
• Qual è il piano di risposta agli incidenti per affrontare le violazioni della sicurezza o le vulnerabilità?

Conformità e residenza dei dati

• Quali requisiti di residenza dei dati si applicano ai dati usati nel carico di lavoro dell'applicazione intelligente? Sai dove risiederanno i tuoi dati e se la posizione è in linea con i tuoi obblighi legali o normativi?
• Quali requisiti normativi e di conformità devono essere soddisfatti per il carico di lavoro dell'applicazione intelligente?

Integrazione di sistema e requisiti di rete

• In che modo il carico di lavoro dell'applicazione intelligente si integrerà in modo sicuro con altri sistemi interni ed esterni?
• Quali sono i requisiti di rete e di integrazione per il carico di lavoro? È necessario eseguire l'integrazione con origini dati o API interne o esterne?

Considerazioni etiche e intelligenza artificiale responsabile

• In che modo le considerazioni etiche e le pratiche di intelligenza artificiale responsabili saranno incorporate nel carico di lavoro dell'applicazione intelligente?

Implementare solide misure di autenticazione e controllo degli accessi

L'autenticazione consente agli utenti di accedere, dando all'agente l'accesso a una risorsa o informazioni limitate. Gli utenti possono accedere con Microsoft Entra ID o qualsiasi provider di identità OAuth2 come Google o Facebook.

Implementare solide misure di autenticazione e controllo degli accessi per garantire che gli utenti autorizzati possano accedere all'agente. Garantire che solo gli utenti autorizzati possano accedere al agente è la base della sicurezza. L'implementazione dell'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza. Per ridurre al minimo il rischio di accesso non autorizzato, definisci ruoli e autorizzazioni per garantire che gli utenti abbiano accesso solo alle risorse di cui hanno bisogno. Implementa criteri di accesso condizionale per controllare l'accesso in base a condizioni specifiche, ad esempio la posizione dell'utente, la conformità del dispositivo o il livello di rischio.

Altre informazioni:

• Configurare l'autenticazione utente
• Configurare Single Sign-On
• Configurare la sicurezza del canale Web e Direct Line

Comprendi in che modo i requisiti normativi influiscono sul tuo progetto

Identifica e rispetta i requisiti normativi e le norme applicabili al tuo settore, come GDPR (Regolamento generale sulla protezione dei dati), HIPAA (Health Insurance Portability and Accountability Act) o CCPA (California Consumer Privacy Act). Implementa i controlli necessari per garantire la conformità. Pianifica controlli di conformità regolari per verificare la conformità agli standard normativi e colmare eventuali lacune. Valuta se esistono requisiti specifici per la posizione dei dati, ad esempio un requisito per l'archiviazione dei dati in un determinato paese o area geografica. Assicurati che la tua strategia di archiviazione dei dati soddisfi questi requisiti.

Garantisci che i dati siano protetti e gestiti in conformità ai requisiti normativi. La protezione dei dati gestiti dal carico di lavoro dell'applicazione intelligente è fondamentale per mantenere l'attendibilità e la conformità agli standard legali e normativi.

Microsoft rispetta le leggi sulla protezione dei dati e sulla privacy applicabili ai servizi cloud. La nostra conformità agli standard di settore di livello mondiale è verificata. Gli ambienti possono essere creati in aree specifiche, anche se diverse dall'area in cui risiede il tenant. Per impostazione predefinita, le trascrizioni delle conversazioni vengono conservate solo per 30 giorni in Dataverse. È possibile modificare questo periodo di conservazione in base all'ambiente.

Altre informazioni:

• Residenza dei dati geografica e sicurezza in Copilot Studio
• Residenza dei dati geografica in Copilot Studio
• Offerte di conformità Copilot Studio
• Copilot StudioConformità GDPR
• Posizioni dei dati Copilot Studio
• Gestione della conformità nel cloud
• Service Trust Portal
• Modifica il periodo di conservazione predefinito per le trascrizioni della sessione
• Sposta i dati tra località geografiche per funzionalità di intelligenza artificiale generativa al di fuori degli Stati Uniti
• Progettare per proteggere la riservatezza

Proteggi tutte le integrazioni

Garantisci una comunicazione sicura tra il carico di lavoro dell'applicazione intelligente e le origini dati. Il carico di lavoro dell'applicazione intelligente deve integrarsi con altri sistemi per accedere ai dati ed elaborarli. Per semplificare la gestione delle identità e migliorare la sicurezza, usa le entità servizio per l'accesso non umano alle risorse e le identità gestite per le risorse Azure. Proteggi le API usando OAuth2 per l'autenticazione e assicurandoti che tutte le comunicazioni API siano crittografate. L'uso delle entità servizio garantisce che le connessioni siano sicure e non si basino su credenziali individuali.

Altre informazioni:

• Progettazione per la sicurezza dell'integrazione
• Supporto dell'entità servizio

Implementare il monitoraggio e l'auditing continui

Lo scopo principale del monitoraggio della sicurezza è il rilevamento delle minacce. L'obiettivo principale è prevenire potenziali violazioni della sicurezza e mantenere un ambiente sicuro. Monitora e controlla continuamente le attività del carico di lavoro dell'applicazione intelligente per rilevare e rispondere in modo proattivo. La sicurezza è un processo continuo, non un'attività di configurazione una tantum. Il monitoraggio e il controllo regolari dell'accesso e delle interazioni degli utenti sono essenziali per proteggere il carico di lavoro delle applicazioni intelligenti.

Altre informazioni:

• Raccomandazioni per il monitoraggio e il rilevamento delle minacce
• Visualizzare i log di controllo di Copilot Studio
• Acquisire la telemetria Copilot Studio con Application Insights di Azure

Usare gli strumenti di sicurezza Azure per applicare i criteri di sicurezza

Usare gli strumenti di sicurezza Azure integrati Microsoft Defender per il cloud (in precedenza Centro sicurezza di Azure) e Criteri di Azure, per monitorare e applicare i criteri di sicurezza.

Fornite formazione ai dipendenti

Esecuzione di formazione per i dipendenti sulle procedure consigliate di protezione dei dati e sull'importanza di aderire ai requisiti di residenza dei dati. Personalizza i materiali di formazione in base ai ruoli e alle responsabilità specifici dei diversi dipendenti. Le leggi e i regolamenti sulla protezione dei dati sono in continua evoluzione. Assicurati che i programmi di formazione siano regolarmente aggiornati per riflettere i requisiti legali e le procedure consigliate più recenti. Utilizza metodi interattivi come workshop, simulazioni e scenari di vita reale per rendere la formazione coinvolgente ed efficace. Fornisci supporto e risorse continui, come l'accesso a responsabili della protezione dei dati o consulenti legali, per aiutare i dipendenti a rimanere informati e conformi.