Compartilhar via


Como o SharePoint e o OneDrive protegem seus dados na nuvem

Você controla seus dados. Ao colocar seus dados no SharePoint e no OneDrive para o Microsoft 365, você continuará sendo o proprietário dos dados. Para obter mais informações sobre a propriedade de seus dados, consulte Privacidade por Design do Microsoft 365.

Como tratamos seus dados

Engenheiros da Microsoft administram o SharePoint e o OneDrive usando um console do PowerShell que requer autenticação de dois fatores. Executamos tarefas diárias executando fluxos de trabalho para que possamos responder rapidamente a novas situações. Os check-ins no serviço exigem a revisão de código e a aprovação de gerenciamento.

Nenhum engenheiro tem acesso permanente ao serviço. Quando os engenheiros precisam de acesso, eles devem solicitá-lo. A elegibilidade é verificada e, se o acesso do engenheiro for aprovado, será apenas por tempo limitado. Em casos raros em que os engenheiros da Microsoft precisam de acesso ao conteúdo (por exemplo, se você enviar um tíquete de suporte porque um usuário não pode acessar um arquivo importante que acreditamos estar danificado), os engenheiros devem marcar em um fluxo de trabalho específico que requer justificativa comercial e aprovação do gerente. Um evento de auditoria é gerado que você pode exibir no Centro de administração do Microsoft 365. Você também pode ativar um recurso chamado Customer Lockbox, portanto, você precisa aprovar a solicitação. O engenheiro obtém acesso apenas ao arquivo em questão. Para saber como ativar ou desativar o Customer Lockbox e aprovar e negar solicitações, consulte Solicitações de Caixa de Bloqueio do Cliente do Microsoft Purview.

Como você pode proteger seus dados

Uma das coisas mais importantes que você pode fazer para proteger seus dados é exigir autenticação de dois fatores para suas identidades no Microsoft 365. Isso impede que as credenciais sejam usadas sem um segundo fator e atenua o impacto das senhas comprometidas. O segundo fator pode ser feito por meio de uma chamada telefônica, mensagem de texto ou aplicativo. Quando você implantar a autenticação de dois fatores, comece com seus Administradores Globais e, em seguida, outros administradores e administradores da coleção de sites. Para obter informações sobre como fazer isso, consulte Configurar autenticação multifator para usuários do Microsoft 365.

Outras coisas que recomendamos para aumentar a segurança:

Protegido em trânsito e em repouso

Protegido em trânsito

Quando os dados transitam para o serviço de clientes e entre datacenters, eles são protegidos usando a criptografia mais recomendada da classe. Para obter informações, consulte Criptografia de Dados no OneDrive e no SharePoint. Só permitimos acesso seguro. Não faremos conexões autenticadas por HTTP, mas, em vez disso, redirecionamos para HTTPS.

Protegido em repouso

Proteção física: apenas um número limitado de pessoal essencial pode obter acesso a datacenters. Suas identidades são verificadas com vários fatores de autenticação, incluindo cartões inteligentes e biometria. Há agentes de segurança locais, sensores de movimento e vigilância por vídeo. Alertas de detecção de intrusão monitoram atividades anômalas.

Proteção de rede: as redes e identidades são isoladas da rede corporativa da Microsoft. Administramos o serviço com domínios dedicados do Active Directory, temos domínios separados para teste e produção e o domínio de produção é dividido em vários domínios isolados para confiabilidade e segurança. Para obter mais informações sobre a segurança física e lógica interna do Microsoft 365, confira Segurança interna do Microsoft 365.

Segurança do aplicativo: engenheiros que criam recursos seguem o ciclo de vida do desenvolvimento de segurança. Análises automatizadas e manuais ajudam a identificar possíveis vulnerabilidades. A Central de Resposta de Segurança da Microsoft (Centro de Resposta à Segurança da Microsoft) ajuda a triagem de relatórios de vulnerabilidades recebidos e a avaliar mitigações. Por meio do Microsoft Cloud Bug Bounty, pessoas em todo o mundo podem ganhar dinheiro relatando vulnerabilidades. Leia mais sobre isso no Microsoft Cloud Bug Bounty Terms.

Proteção de conteúdo: seus dados são criptografados no nível do disco usando a criptografia BitLocker e no nível do arquivo usando chaves. Para obter informações, consulte Criptografia de Dados no OneDrive e no SharePoint. Para obter informações sobre como usar a Chave do Cliente para fornecer e controlar as chaves usadas para criptografar seus dados em repouso no Microsoft 365, consulte Criptografia de serviço com perguntas frequentes sobre a Chave do Cliente do Microsoft Purview.

O mecanismo anti malware do Microsoft 365 verifica documentos no momento do upload para obter conteúdo que corresponda a uma assinatura de AV (atualizada por hora). Para obter informações, consulte Detecção de vírus no SharePoint. Para proteção mais avançada, use a ATP (Proteção Avançada contra Ameaças) do Microsoft 365. A ATP analisa o conteúdo compartilhado e aplica inteligência e análise de ameaças para identificar ameaças sofisticadas. Para obter informações, consulte Proteção Avançada contra Ameaças do Microsoft 365.

Para limitar o risco de o conteúdo ser baixado para dispositivos não confiáveis:

Para gerenciar o conteúdo em repouso:

Altamente disponível, sempre recuperável

Nossos datacenters são distribuídos geograficamente na região e tolerantes a falhas. Os dados são espelhados em pelo menos dois datacenters para mitigar o impacto de um desastre natural ou uma interrupção que afeta o serviço. Para obter mais informações, confira Onde os dados do cliente do Microsoft 365 são armazenados.

Os backups de metadados são mantidos por 14 dias e podem ser restaurados a qualquer ponto no tempo dentro de uma janela de cinco minutos.

No caso de um ataque de ransomware, você pode usar o histórico de versões (Habilitar e configurar a versão para uma lista ou biblioteca) para reverter e a lixeira ou a lixeira da coleção de sites para restaurar (Restaurar itens excluídos da lixeira da coleção do site). Se um item for removido da lixeira do conjunto de sites, você poderá chamar o suporte dentro de 14 dias para acessar um backup. Para obter informações sobre o novo recurso de Restauração de Arquivos que permite que os usuários restaurem um OneDrive inteiro a qualquer ponto nos últimos 30 dias, consulte Restaurar seu OneDrive.

Validado continuamente

Monitoramos continuamente nossos datacenters para mantê-los saudáveis e seguros. Isso começa com o inventário. Um agente de inventário examina cada sub-rede procurando vizinhos. Para cada computador, executamos uma captura de estado.

Depois que tivermos um inventário, podemos monitorar e corrigir a integridade das máquinas. O trem de patch de segurança aplica patches, atualiza assinaturas antivírus e garante que tenhamos uma boa configuração conhecida salva. Temos uma lógica específica de função que garante que apenas patch ou gire uma determinada porcentagem de computadores por vez.

Temos um fluxo de trabalho automatizado para identificar computadores que não atendem às políticas e as filas para substituição.

O Microsoft 365 "Red Team" dentro da Microsoft é composto por especialistas em intrusão. Eles buscam qualquer oportunidade para obter acesso não autorizado. A "Equipe Azul" é composta por engenheiros de defesa que se concentram na prevenção, detecção e recuperação. Eles criam tecnologias de detecção e resposta de intrusão. Para acompanhar os aprendizados das equipes de segurança na Microsoft, confira Blog de Segurança, Privacidade e Conformidade.

Para monitorar e observar a atividade em sua assinatura do Microsoft 365:

  • Se você tiver uma central de operações de segurança local ou SIEM, poderá monitorar a atividade com a API de Atividade de Gerenciamento. Para obter informações, confira Visão geral das APIs de Gerenciamento do Microsoft 365. Isso mostrará atividades do SharePoint, Exchange, Microsoft Entra ID, DLP e muito mais. Se você não tiver uma central de operações de segurança local ou SIEM, poderá usar o Cloud App Security. O Cloud App Security usa a API de Atividade de Gerenciamento. Para obter informações, consulte Visão geral do Microsoft 365 Cloud App Security. Por meio do Cloud App Security, você pode relatar, pesquisar e alertar sobre a atividade.

  • Use Microsoft Entra ID Protection. Isso aplica o machine learning para detectar o comportamento suspeito da conta, por exemplo, entradas simultâneas do mesmo usuário em diferentes partes do mundo. Você pode configurar a proteção de identidade para tomar medidas para bloquear essas entradas. Para obter mais informações, consulte Microsoft Entra ID Protection.

  • Use a Pontuação Segura para avaliar o perfil de segurança da sua assinatura em relação a uma boa linha de base conhecida e identificar oportunidades para aumentar a proteção. Para obter mais informações, confira Pontuação segura da Microsoft.

Auditado e em conformidade

A conformidade regulatória é fundamental para o Microsoft 365. Certificamos que o serviço esteja em conformidade com as normas regulatórias e de conformidade. Também ajudamos você a cumprir suas obrigações de auditoria e conformidade. O Portal de Confiança do Serviço é uma parada única para informações de conformidade e confiança para serviços empresariais da Microsoft. O portal contém relatórios, whitepapers, avaliações de vulnerabilidade e guias de conformidade. Para obter mais informações sobre o Portal de Confiança do Serviço, consulte Introdução ao Portal de Confiança do Serviço da Microsoft.

Para atender aos seus requisitos regulatórios: