Como o SharePoint e o OneDrive protegem seus dados na nuvem
Você controla seus dados. Quando coloca os seus dados no SharePoint e no OneDrive para Microsoft 365, continua a ser o proprietário dos dados. Para obter mais informações sobre a propriedade dos seus dados, consulte Privacidade por Design do Microsoft 365.
Como tratamos os seus dados
Os engenheiros da Microsoft administram o SharePoint e o OneDrive através de uma consola do PowerShell que requer autenticação de dois fatores. Executamos tarefas diárias ao executar fluxos de trabalho para que possamos responder rapidamente a novas situações. Os check-ins para o serviço requerem revisão de código e aprovação de gestão.
Nenhum engenheiro tem acesso permanente ao serviço. Quando os engenheiros precisam de acesso, têm de o pedir. A elegibilidade é verificada e, se o acesso de engenheiro for aprovado, é apenas por um período de tempo limitado. Em casos raros em que os engenheiros da Microsoft precisam de acesso ao conteúdo (por exemplo, se submeter um pedido de suporte porque um utilizador não consegue aceder a um ficheiro importante que acreditamos estar danificado), os engenheiros têm de marcar num fluxo de trabalho específico que requer justificação comercial e aprovação do gestor. É gerado um evento de auditoria que pode ver no Centro de administração do Microsoft 365. Também pode ativar uma funcionalidade chamada Sistema de Proteção de Dados do Cliente, pelo que tem de aprovar o pedido. O engenheiro obtém acesso apenas ao ficheiro em questão. Para saber como ativar ou desativar o Sistema de Proteção de Dados do Cliente e aprovar e negar pedidos, consulte Pedidos do Sistema de Proteção de Dados do Cliente do Microsoft Purview.
Como pode salvaguardar os seus dados
Uma das coisas mais importantes que pode fazer para salvaguardar os seus dados é exigir a autenticação de dois fatores para as suas identidades no Microsoft 365. Isto impede que as credenciais sejam utilizadas sem um segundo fator e mitiga o impacto das palavras-passe comprometidas. O segundo fator pode ser feito através de uma chamada telefónica, mensagem de texto ou aplicação. Quando implementar a autenticação de dois fatores, comece com os Administradores Globais e, em seguida, outros administradores e administradores da coleção de sites. Para obter informações sobre como fazê-lo, consulte Configurar a autenticação multifator para utilizadores do Microsoft 365.
Outras coisas que recomendamos para aumentar a segurança:
Utilize Microsoft Entra acesso condicional baseado no dispositivo para bloquear ou limitar o acesso em dispositivos não geridos, como quiosques de aeroportos ou hotéis. Veja Controlar o acesso a partir de dispositivos não geridos.
Crie políticas para terminar a sessão dos utilizadores nas sessões Web do Microsoft 365 após um período de inatividade. Para obter informações, veja Terminar sessão de utilizadores inativos.
Avalie a necessidade de sessões baseadas em IP. Estes simulam o modelo de acesso de uma implementação no local. Leia mais em Controlar o acesso com base na localização de rede ou na aplicação.
Capacite os trabalhadores para partilharem de forma ampla, mas segura. Pode exigir o início de sessão ou utilizar ligações que expirem ou concedam privilégios limitados. Consulte Gerir a partilha externa para o seu ambiente do SharePoint.
Impedir a exposição acidental de conteúdos confidenciais. Crie políticas DLP para identificar documentos e impedir que sejam partilhados. Veja Saiba mais sobre a prevenção de perda de dados.
Protegido em trânsito e inativo
Protegido em trânsito
Quando os dados transitam para o serviço a partir de clientes e entre datacenters, são protegidos através da encriptação da melhor classe. Para obter informações, consulte Encriptação de Dados no OneDrive e SharePoint. Só permitimos acesso seguro. Não faremos ligações autenticadas através de HTTP, mas sim redirecionar para HTTPS.
Protegido inativo
Proteção física: apenas um número limitado de pessoas essenciais pode obter acesso aos datacenters. As respetivas identidades são verificadas com vários fatores de autenticação, incluindo smart cards e biometria. Há agentes de segurança no local, sensores de movimento e videovigilância. Os alertas de deteção de intrusões monitorizam a atividade anómalo.
Proteção de rede: as redes e identidades estão isoladas da rede empresarial da Microsoft. Administramos o serviço com domínios dedicados do Active Directory, temos domínios separados para teste e produção e o domínio de produção está dividido em vários domínios isolados para fiabilidade e segurança. Para obter mais informações sobre a segurança física e lógica incorporada do Microsoft 365, consulte Segurança incorporada do Microsoft 365.
Segurança da aplicação: os engenheiros que criam funcionalidades seguem o ciclo de vida de desenvolvimento de segurança. As análises automatizadas e manuais ajudam a identificar possíveis vulnerabilidades. O centro de resposta de segurança da Microsoft (Centro de Resposta de Segurança da Microsoft) ajuda a fazer a triagem dos relatórios de vulnerabilidades recebidos e a avaliar as mitigações. Através do Microsoft Cloud Bug Bounty, as pessoas em todo o mundo podem ganhar dinheiro ao reportar vulnerabilidades. Leia mais sobre este artigo em Termos do Microsoft Cloud Bug Bounty.
Proteção de conteúdo: os seus dados são encriptados ao nível do disco através da encriptação BitLocker e ao nível do ficheiro através de chaves. Para obter informações, consulte Encriptação de Dados no OneDrive e SharePoint. Para obter informações sobre como utilizar a Chave de Cliente para fornecer e controlar as chaves que são utilizadas para encriptar os seus dados inativos no Microsoft 365, consulte FAQ sobre a Encriptação de serviços com a Chave de Cliente do Microsoft Purview.
O motor antimalware do Microsoft 365 analisa documentos no momento do carregamento para obter conteúdo que corresponda a uma assinatura AV (atualizado à hora). Para obter informações, consulte Deteção de vírus no SharePoint. Para uma proteção mais avançada, utilize o Microsoft 365 Advanced Threat Protection (ATP). A ATP analisa conteúdos partilhados e aplica análises e informações sobre ameaças para identificar ameaças sofisticadas. Para obter informações, consulte Proteção Avançada Contra Ameaças do Microsoft 365.
Para limitar o risco de transferência de conteúdos para dispositivos não fidedignos:
Limitar a sincronização a dispositivos nos domínios que especificar: Permitir a sincronização apenas em computadores associados a domínios específicos.
Utilize Intune para limitar o acesso aos conteúdos nas aplicações oneDrive e SharePoint para dispositivos móveis: controlar o acesso às funcionalidades nas aplicações móveis do OneDrive e do SharePoint.
Para gerir conteúdos inativos:
Configurar políticas IRM nas bibliotecas de documentos do SharePoint para limitar o download do conteúdo. Veja Configurar a Gestão de Direitos de Informação (IRM) no centro de administração do SharePoint.
Avalie a utilização do Azure Proteção de Informações (AIP). A classificação e a etiquetagem permitem-lhe controlar e controlar a forma como os dados são utilizados. Visite a Proteção de Informações do Azure.
Altamente disponível, sempre recuperável
Os nossos datacenters são geograficamente distribuídos na região e tolerantes a falhas. Os dados são espelhados em, pelo menos, dois datacenters para mitigar o impacto de uma falha natural com impacto no serviço ou desastre. Para obter mais informações, consulte Onde estão armazenados os seus dados de cliente do Microsoft 365.
As cópias de segurança de metadados são mantidas durante 14 dias e podem ser restauradas para qualquer ponto no tempo num período de cinco minutos.
No caso de um ataque de ransomware, pode utilizar o Histórico de versões (Ativar e configurar o controlo de versões para uma lista ou biblioteca) para reverter e a reciclagem da reciclagem ou da reciclagem da coleção de sites para restaurar (Restaurar itens eliminados da reciclagem da coleção de sites). Se um item for removido da reciclagem da coleção de sites, pode ligar para o suporte no prazo de 14 dias para aceder a uma cópia de segurança. Para obter informações sobre a nova funcionalidade Restauro de Ficheiros que permite aos utilizadores restaurar um OneDrive inteiro para qualquer ponto nos últimos 30 dias, consulte Restaurar o seu OneDrive.
Validado continuamente
Monitorizamos continuamente os nossos datacenters para mantê-los em bom estado de funcionamento e seguros. Isto começa com o inventário. Um agente de inventário analisa cada sub-rede à procura de vizinhos. Para cada máquina, executamos uma captura de estado.
Depois de termos um inventário, podemos monitorizar e remediar o estado de funcionamento das máquinas. O patch train de segurança aplica patches, atualiza assinaturas antivírus e garante que temos uma boa configuração conhecida guardada. Temos uma lógica específica de função que garante que apenas aplicação de patches ou rotação de uma determinada percentagem de computadores de cada vez.
Temos um fluxo de trabalho automatizado para identificar máquinas que não cumprem as políticas e colocá-las em fila para substituição.
A "Equipa Vermelha" do Microsoft 365 na Microsoft é constituída por especialistas em intrusões. Procuram qualquer oportunidade para obter acesso não autorizado. A "Equipa Azul" é composta por engenheiros de defesa que se concentram na prevenção, deteção e recuperação. Criam tecnologias de deteção e resposta de intrusões. Para acompanhar as aprendizagens das equipas de segurança na Microsoft, consulte Blogue de Segurança, Conformidade e Identidade.
Para monitorizar e observar a atividade na sua subscrição do Microsoft 365:
Se tiver um centro de operações de segurança ou SIEM no local, pode monitorizar a atividade com a API de Atividade de Gestão. Para obter informações, consulte Descrição geral das APIs de Gestão do Microsoft 365. Isto irá mostrar-lhe atividades de todo o SharePoint, Exchange, Microsoft Entra ID, DLP e muito mais. Se não tiver um centro de operações de segurança ou SIEM no local, pode utilizar Cloud App Security. Cloud App Security utiliza a API de Atividade de Gestão. Para obter informações, consulte Descrição geral do Microsoft 365 Cloud App Security. Através de Cloud App Security, pode comunicar, procurar e alertar sobre a atividade.
Utilize Microsoft Entra ID Protection. Isto aplica machine learning para detetar comportamentos suspeitos de contas, por exemplo, inícios de sessão simultâneos do mesmo utilizador em diferentes partes do mundo. Pode configurar a proteção de identidade para tomar medidas para bloquear estes inícios de sessão. Para obter mais informações, consulte Microsoft Entra ID Protection.
Utilize a Classificação de Segurança para avaliar o perfil de segurança da sua subscrição relativamente a uma boa linha de base conhecida e identificar oportunidades para aumentar a proteção. Para obter mais informações, consulte Pontuação de Segurança da Microsoft.
Auditado e em conformidade
A conformidade regulamentar é fundamental para o Microsoft 365. Certificamo-nos de que o serviço está em conformidade com as normas regulamentares e de conformidade. Também o ajudamos a cumprir as suas obrigações de auditoria e conformidade. O Portal de Confiança do Serviço é uma loja única para informações de conformidade e fidedignidade para serviços empresariais da Microsoft. O portal contém relatórios, documentos técnicos, avaliações de vulnerabilidades e guias de conformidade. Para obter mais informações sobre o Portal de Confiança do Serviço, consulte Introdução ao Portal de Confiança do Serviço Microsoft.
Para cumprir os seus requisitos regulamentares:
Auditar a atividade do Microsoft 365 no Centro de Conformidade do & de Segurança: pesquise o registo de auditoria no Centro de Conformidade & de Segurança do Microsoft 365.
Criar casos de Deteção de Dados Eletrónicos: gerir casos de Deteção de Dados Eletrónicos no Centro de Conformidade & de Segurança do Microsoft 365.
Aplicar políticas de retenção: crie e aplique políticas de gestão de informações.