Considerações sobre segurança e conformidade para cargas de trabalho de aplicações inteligentes

A segurança é fundamental para qualquer arquitetura. O Microsoft Power Platform oferece uma gama abrangente de ferramentas para proteger eficazmente a sua carga de trabalho de aplicações inteligentes. Este artigo descreve considerações de segurança e recomendações para o desenvolvimento de cargas de trabalho de aplicações inteligentes com o Power Platform.

As caraterísticas do Copilot para Dynamics 365 e do Power Platform seguem um conjunto de práticas básicas de segurança e privacidade e o Padrão de IA Responsável da Microsoft. Os dados do Dynamics 365 e do Power Platform são protegidos por controlos de conformidade, segurança e privacidade completos e líderes do setor. Para mais informações sobre as caraterísticas de segurança do Microsoft Copilot Studio e do Power Platform, consulte Segurança e governação do Copilot Studio, FAQ sobre segurança e privacidade de dados do Copilot para o Dynamics 365 e Power Platform e Segurança no Microsoft Power Platform.

Deve avaliar periodicamente os serviços e as tecnologias que emprega para garantir que as suas medidas de segurança estão alinhadas com o cenário de ameaças em mudança.

Compreender os requisitos de segurança

Compreenda os principais requisitos para a carga de trabalho de aplicações inteligentes que está a implementar. Faça a si mesmo as seguintes perguntas para ajudar a identificar as medidas de segurança a serem abordadas.

Controlo de acesso e autenticação

• Como irá implementar mecanismos de controlo de acesso e autenticação para garantir que apenas os utilizadores autorizados podem aceder à carga de trabalho de aplicações inteligentes?
• Como garante uma autenticação de utilizador segura e totalmente integrada?
• Como controla que aplicações podem interagir com a IA generativa (agente) e que medidas garantem que estas restrições são eficazes?

Segurança e gestão de incidentes

• Como irá gerir e proteger segredos de aplicações, como chaves de API e palavras-passe?
• Que requisitos de segurança de rede afetam a carga de trabalho de aplicações inteligentes? Por exemplo, as APIs internas só são acessíveis numa rede virtual?
• Como irá monitorizar e auditar o acesso e a utilização da aplicação inteligente?
• Qual é o plano de resposta a incidentes para abordar violações à segurança ou vulnerabilidades?

Conformidade e residência de dados

• Que requisitos da residência de dados se aplicam aos dados usados na carga de trabalho de aplicações inteligentes? Sabe onde residirão os seus dados e se a localização está alinhada com as suas obrigações legais ou regulamentares?
• Que requisitos regulamentares e de conformidade têm de ser satisfeitos para a carga de trabalho de aplicações inteligentes?

Integração do sistema e requisitos de rede

• Como é que a carga de trabalho de aplicações inteligentes se integrará com segurança com outros sistemas internos e externos?
• Quais são os requisitos de rede e de integração para a sua carga de trabalho? Há necessidade de integração com origens de dados ou APIs internas ou externas?

Considerações éticas e IA Responsável

• Como é que as considerações éticas e práticas da IA responsável serão incorporadas na carga de trabalho de aplicações inteligentes?

Implementar medidas robustas de autenticação e de controlo de acesso

A autenticação permite que os utilizadores iniciem sessão, dando ao seu agente acesso a um recurso ou informação restrita. Os utilizadores podem iniciar sessão com o Microsoft Entra ID ou com qualquer fornecedor de identidade OAuth2, como a Google ou o Facebook.

Implemente medidas robustas de autenticação e de controlo de acesso para garantir que os utilizadores autorizados podem aceder ao agente. Garantir que só os utilizadores autorizados podem aceder ao agente é a base da segurança. Implementar a autenticação multifator adiciona uma camada adicional de segurança. Para minimizar o risco de acesso não autorizado, defina funções e permissões para garantir que os utilizadores têm acesso apenas aos recursos de que precisam. Implemente políticas de acesso condicional para controlar o acesso com base em condições específicas, como localização do utilizador, conformidade do dispositivo ou nível de risco.

Saber mais:

• Configurar autenticação do utilizador
• Configurar início de sessão único
• Configurar segurança do canal Web e Direct Line

Compreender como os requisitos regulamentares afetam o seu projeto

Identifique e adira aos requisitos e normas regulamentares aplicáveis ao seu setor, como RGPD (Regulamento Geral sobre a Proteção de Dados), HIPAA (Health Insurance Portability and Accountability Act) ou CCPA (California Consumer Privacy Act). Implemente os controlos necessários para garantir a conformidade. Agende auditorias de conformidade regulares para verificar a aderência às normas regulamentares e resolver quaisquer lacunas. Avalie se existem requisitos específicos para a localização dos dados, como um requisito para que os dados sejam armazenados num determinado país/região. Certifique-se de que a sua estratégia de armazenamento de dados satisfaz estes requisitos.

Garanta que os dados estão protegidos e que são geridos em conformidade com os requisitos regulamentares. Proteger os dados processados pela carga de trabalho de aplicações inteligentes é fundamental para manter a confiança e a aderência às normas legais e regulamentares.

A Microsoft cumpre com as leis de proteção de dados e privacidade aplicáveis aos serviços na cloud. A nossa conformidade com as normas de classe mundial do setor é verificada. Os ambientes podem ser criados em regiões específicas, mesmo que diferentes da região onde o inquilino reside. Por predefinição, as transcrições de conversa são mantidas apenas por 30 dias no Dataverse. Pode ajustar este período de retenção por ambiente.

Saber mais:

• Segurança e residência de dados geográfica no Copilot Studio
• Residência de dados geográfica no Copilot Studio
• Ofertas de conformidade do Copilot Studio
• Copilot StudioConformidade com o RGPD
• Localizações de dados do Copilot Studio
• Gerir a conformidade na cloud
• Portal de Confiança do Serviço
• Alterar o período de retenção predefinido das transcrições de conversa
• Mover dados entre localizações geográficas para caraterísticas de IA generativa fora dos Estados Unidos
• Estrutura de proteção da confidencialidade

Proteger todas as integrações

Garanta uma comunicação segura entre a carga de trabalho de aplicações inteligentes e as origens de dados. A sua carga de trabalho de aplicações inteligentes precisa de ser integrada a outros sistemas para aceder a dados e processá-los. Para simplificar a gestão de identidades e aumentar a segurança, use principais de serviço para acesso não humano a recursos e identidades geridas para recursos do Azure. Proteja APIs com OAuth2 para autenticação e ao garantir que todas as comunicações de API são encriptadas. A utilização de principais de serviço garante que as ligações são seguras e não dependem de credenciais individuais.

Saber mais:

• Conceber para segurança da integração
• Suporte do principal de serviço

Implementar monitorização e auditoria contínuas

O principal objetivo da monitorização de segurança é a deteção de ameaças. O objetivo principal é prevenir potenciais violações de segurança e manter um ambiente seguro. Monitorize e audite continuamente as atividades da carga de trabalho de aplicações inteligentes para detetar e responder proativamente. A segurança é um processo contínuo, não uma tarefa única de configuração. A monitorização e a auditoria regulares do acesso e das interações dos utilizadores são essenciais para manter a carga de trabalho de aplicações inteligentes segura.

Saber mais:

• Recomendações para a monitorização e deteção de ameaças
• Ver registos de auditoria do Copilot Studio
• Capturar telemetria do Copilot Studio com o Azure Application Insights

Utilizar ferramentas de segurança do Azure para impor políticas de segurança

Use as ferramentas de segurança do Azure integradas, como o Microsoft Defender para a Cloud (anteriormente conhecido como Centro de Segurança do Azure) e a Azure Policy, para monitorizar e impor políticas de segurança.

Fornecer preparação aos colaboradores

Prepare colaboradores sobre as melhores práticas de proteção de dados e a importância de aderir aos requisitos de residência de dados. Adaptar os materiais de preparação às funções e responsabilidades específicas dos diferentes colaboradores. As leis e regulamentos de proteção de dados estão em constante evolução. Garanta que os programas de preparação são atualizados regularmente para refletir os requisitos legais e as melhores práticas mais recentes. Use métodos interativos, como workshops, simulações e cenários da vida real, para tornar a preparação cativante e eficaz. Forneça suporte e recursos contínuos, como acesso a responsáveis pela proteção de dados ou consultores jurídicos, para ajudar os colaboradores a manterem-se informados e em conformidade.