Compartilhar via


Conformidade e privacidade dos dados

Microsoft está comprometida com os mais altos níveis de confiança, transparência, conformidade com padrões e conformidade regulatória. MicrosoftO amplo conjunto de produtos e serviços de nuvem da foi criado do zero para atender às mais rigorosas demandas de segurança e privacidade de nossos clientes.

Para ajudar sua organização a cumprir com os requisitos nacionais, regionais e específicos do setor que regem a coleta e o uso de dados individuais, a Microsoft oferece o conjunto mais abrangente de ofertas de conformidade (incluindo certificações e atestados) de qualquer provedor de serviços em nuvem. Também existem ferramentas para administradores para dar suporte aos esforços da organização. Nesta parte do documento, abordaremos mais detalhadamente os recursos disponíveis para ajudá-lo a determinar e alcançar os requisitos de sua própria organização.

Central de Confiabilidade

O Microsoft Trust Center é um recurso centralizado para obter informações sobre o portfólio de produtos da Microsoft. Ela inclui informações sobre segurança, privacidade, conformidade e transparência. Embora este conteúdo possa conter algum subconjunto dessas informações para Power Apps, é importante sempre consultar o Microsoft Trust Center para obter as informações confiáveis mais atualizadas.

Para referência rápida, consulte as informações sobre a Central de Confiabilidade da Microsoft Power Platform aqui: https://www.microsoft.com/trust-center/product-overview. Isso incluirá informações sobre o Power Apps, o Microsoft Power Automate e o Power BI.

Localização dos dados

Microsoft opera vários data centers em todo o mundo que oferecem suporte aos aplicativos da plataforma Power. Microsoft Quando sua organização estabelece um locatário, ela estabelece a localização geográfica do serviço. Além disso, ao criar ambientes para dar suporte a aplicativos e que contenham dados do Microsoft Dataverse, os ambientes podem ser destinados a uma área geográfica específica. Uma lista atual de áreas geográficas para o Microsoft Power Platform pode ser encontrada aqui: https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location

Para dar suporte à continuidade das operações, Microsoft pode replicar dados para outras regiões dentro de uma região geográfica, mas os dados não serão movidos para fora da região geográfica para dar suporte à resiliência dos dados. Isso permite fazer failover ou recuperar mais rapidamente em caso de interrupção grave. Existem algumas exceções razoáveis para manter os dados na área geográfica específica, e elas estão listadas no site acima, que está concentrado principalmente em assuntos jurídicos e de suporte. Também é importante observar que você ou seus usuários podem realizar ações que expõem os dados fora da área geográfica. Outros serviços também podem ser configurados para acessar os dados e os expor fora da área geográfica. Por padrão, usuários autorizados podem acessar a plataforma e seus aplicativos e dados de qualquer parte do mundo em que haja conectividade.

Proteção de dados

Os dados em trânsito entre os dispositivos dos usuários e os datacenters são protegidos. Microsoft As conexões estabelecidas entre clientes e datacenters são criptografadas, e todos os endpoints públicos são protegidos usando TLS, padrão do setor. Microsoft O TLS estabelece efetivamente um navegador com segurança avançada para conexão com o servidor para ajudar a garantir a confidencialidade e a integridade dos dados entre desktops e datacenters. O acesso à API do ponto de extremidade do cliente para o servidor também é igualmente protegido. Atualmente, o TLS 1.2 (ou superior) é obrigatório para acessar os pontos de extremidade do servidor.

Os dados transferidos por meio do gateway de dados local também são criptografados. Os dados que os usuários carregam, geralmente, são enviados ao Armazenamento de blobs do Azure, e todos os metadados e artefatos do próprio sistema são armazenados em um banco de dados SQL do Azure e um Armazenamento de tabelas do Azure.

Todos os ambientes do banco de dados do Dataverse usam a TDE (Transparent Data Encryption) do SQL Server para executar a criptografia em tempo real dos dados quando são gravados em disco, também conhecida como criptografia em repouso.

Por padrão, o Microsoft armazena e gerencia as chaves de criptografia do banco de dados para seus ambientes para que você não precise fazer isso. O recurso de gerenciamento de chaves no centro de administração do Power Platform fornece aos administradores a capacidade de gerenciar as chaves de criptografia do banco de dados que estão associadas a ambientes do Dynamics 365 (online). Você pode ler mais sobre como gerenciar suas próprias chaves Here mas geralmente é recomendado ter Microsoft geranciamento de chaves, a menos que você tenha uma necessidade comercial específica de manter as suas.

Recursos para gerenciar a conformidade com RGPD

O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia (UE) concede direitos significativos aos indivíduos em relação a dados. Consulte o Microsoft Learn Resumo do Regulamento Geral sobre a Proteção de Dados para uma visão geral do RGPD, incluindo terminologia, um plano de ação e listas de verificação de prontidão para ajudar você a cumprir suas obrigações sob o RGPD ao usar Microsoft produtos e serviços.

Você pode aprender mais sobre RGPD e como Microsoft ajuda a dar suporte a ele e aos nossos clientes que são afetados por ele.

  • O Microsoft Trust Center fornece informações gerais, melhores práticas de conformidade e documentação útil para a responsabilização do RGPD, como avaliações de impacto de proteção de dados, solicitações de titulares de dados e notificação de violação de dados.
  • O portal Service Trust fornece informações sobre como Microsoft os serviços ajudam a dar suporte à conformidade com RGPD.

Como administrador, uma das principais atividades no suporte de privacidade está relacionada às solicitações de Direitos do Titular dos Dados (DSR). Elas são solicitações formais de um titular dos dados para um controlador de dados (provavelmente, sua organização) para agir em seus dados pessoais nos seus sistemas. Os titulares dos dados concede os direitos para obter cópias, solicitar correções, restringir o processamento dos dados, excluir os dados e receber cópias em formato eletrônico, de modo que possam ser movidos para outro controlador de dados.

Os links a seguir levam a informações detalhadas para ajudar você a responder a solicitações de DSR, de acordo com os recursos usados por sua organização.

Área do Recurso do Platform Link para etapas de resposta detalhadas
Power Apps Respondendo a solicitações de Direitos do Titular dos Dados (DSR) para exportar Power Apps dados do cliente
Dataverse Respondendo a solicitações de Direitos do Titular dos Dados (DSR) para Dataverse dados do cliente
Power Automate Respondendo a solicitações de titulares de dados para Power Automate
Microsoft Contas (MSAs) Responder a solicitações de direitos do titular dos dados
Aplicativos do envolvimento de clientes Solicitações de privacidade do titular dos dados do Dynamics 365

Centro de Conformidade e Segurança do Microsoft 365

Use o Microsoft Purview Compliance Manager para gerenciar seus esforços de conformidade em Microsoft serviços de nuvem em um único lugar.

Eventos de Log de Auditoria do Power Automate

Na pesquisa de log de auditoria do centro de conformidade, os administradores podem pesquisar e visualizar eventos do Power Automate. Os eventos incluem fluxos criados, editados e excluídos, permissões editadas e excluídas, avaliação paga iniciada e renovada. Ao usar o portal, você pode escolher o que deseja pesquisar e uma janela de tempo.

  1. Faça login no portal de conformidade Purview Microsoft .

  2. Em Soluções, selecione Auditoria.

  3. Em Atividades, selecione as atividades do Power Automate para auditoria.

    Selecione as atividades do Power Automate para auditoria.

  4. Selecione Pesquisar.

  5. Quando a pesquisa estiver concluída, selecione-a para ver a lista de atividades relacionadas.

  6. Selecione uma linha na lista para ver os detalhes da atividade.

Os dados de auditoria são mantidos por 90 dias. É possível fazer exportações de CDSV dos dados, o que permite a você movê-los para o Excel ou para o PowerBI para análise posterior. Você encontra uma orientação completa de como usar as informações de auditoria aqui: https://flow.microsoft.com/blog/security-and-compliance-center/