Considerações de segurança e conformidade para cargas de trabalho inteligentes de aplicativos

A segurança é fundamental para qualquer arquitetura. Microsoft Power Platform oferece uma gama abrangente de ferramentas para proteger eficazmente a carga de trabalho inteligente do seu aplicativo. Este artigo descreve considerações de segurança e recomendações para o desenvolvimento de cargas de trabalho de aplicativos inteligentes Power Platform.

Copilot para Dynamics 365 e Power Platform recursos seguem um conjunto de práticas básicas de segurança e privacidade e o Microsoft Padrão de IA Responsável. Os dados do Dynamics 365 e do Power Platform são protegidos por controlos de conformidade, segurança e privacidade completos e líderes do setor. Para obter mais informações sobre recursos de Copilot Studio segurança, consulte Power Platform segurança e governança Copilot Studio , perguntas frequentes sobre segurança e privacidade de dados do Copilot para Dynamics 365 e Power Platform segurança em . Microsoft Power Platform

Você deve avaliar periodicamente os serviços e tecnologias que emprega para garantir que suas medidas de segurança estejam alinhadas com o cenário de ameaças em mudança.

Compreender os requisitos de segurança

Entenda os principais requisitos para a carga de trabalho inteligente de aplicativos que você está a implementar. Faça a si mesmo as seguintes perguntas para ajudar a identificar as medidas de segurança a serem abordadas.

Controlo de acesso e autenticação

• Como você implementará mecanismos de controle de acesso e autenticação para garantir que apenas usuários autorizados possam acessar a carga de trabalho inteligente do aplicativo?
• Como você garante uma autenticação de utente segura e perfeita?
• Como você controla quais aplicativos podem interagir com o Copilot e quais medidas garantem que essas restrições sejam eficazes?

Segurança e gestão de incidentes

• Como você gerenciará e protegerá segredos de aplicativos, como chaves de API e senhas?
• Quais requisitos de segurança de rede afetam a carga de trabalho inteligente do aplicativo? Por exemplo, as APIs internas só são acessíveis em uma rede virtual?
• Como você monitorará e auditará o acesso e o uso do aplicativo inteligente?
• Qual é o plano de resposta incidente para lidar com violações de segurança ou vulnerabilidades?

Conformidade e residência de dados

• Quais requisitos de residência de dados se aplicam aos dados usados na carga de trabalho do aplicativo inteligente? Sabe onde residirão os seus dados e se a localização está alinhada com as suas obrigações legais ou regulamentares?
• Quais requisitos regulatórios e de conformidade devem ser atendidos para a carga de trabalho de aplicativos inteligentes?

Integração de sistemas e requisitos de rede

• Como a carga de trabalho de aplicativos inteligentes se integrará com segurança com outros sistemas internos e externos?
• Quais são os requisitos de rede e integração para sua carga de trabalho? Há necessidade de integração com fontes de dados ou APIs internas ou externas?

Considerações éticas e IA responsável

• Como considerações éticas e práticas responsáveis de IA serão incorporadas à carga de trabalho de aplicativos inteligentes?

Implementar medidas robustas de autenticação e controle de acesso

A autenticação permite que os usuários façam login, dando ao seu copiloto acesso a um recurso ou informação restrita. Os usuários podem fazer login com Microsoft Entra ID ou com qualquer provedor de identidade OAuth2, como o Google ou Facebook.

Implemente medidas robustas de autenticação e controle de acesso para garantir que os usuários autorizados possam acessar o Copilot. Garantir que apenas usuários autorizados possam acessar o Copilot é a base da segurança. A implementação da autenticação multifator adiciona uma camada extra de segurança. Para minimizar o risco de acesso não autorizado, defina funções e permissões para garantir que os usuários tenham acesso apenas aos recursos de que precisam. Implemente políticas de acesso condicional para controlar o acesso com base em condições específicas, como localização do utente, conformidade do dispositivo ou nível de risco.

Saber mais:

• Configurar autenticação de utente
• Configurar logon único
• Configurar a segurança do canal Web

Compreender como os requisitos regulamentares afetam o seu projeto

Identifique e cumpra os requisitos e normas regulamentares aplicáveis ao seu setor, como RGPD (Regulamento Geral sobre a Proteção de Dados), HIPAA (Health Insurance Portability and Accountability Act) ou CCPA (California Consumer Privacy Act). Implementar os controlos necessários para garantir a conformidade. Agende auditorias de conformidade regulares para verificar a aderência às normas regulamentares e resolver quaisquer lacunas. Avalie se há requisitos específicos para a localização dos dados, como um requisito para que os dados sejam armazenados em um determinado país ou região. Certifique-se de que sua estratégia de armazenamento de dados atenda a esses requisitos.

Garantir que os dados sejam protegidos e gerenciados em conformidade com os requisitos regulamentares. Proteger os dados manipulados pela carga de trabalho inteligente do aplicativo é fundamental para manter a confiança e a aderência às normas legais e regulamentares.

Microsoft Está em conformidade com as leis de proteção de dados e privacidade aplicáveis aos serviços na nuvem. Nossa conformidade com os padrões de classe mundial da indústria é verificada. Os ambientes podem ser criados em regiões específicas, mesmo que diferentes da região onde o locatário reside. Por padrão, as transcrições da conversa são mantidas apenas por 30 dias Dataverse. Você pode ajustar esse período de retenção por ambiente.

Saber mais:

• Segurança e residência de dados geográficos em Copilot Studio
• Residência de dados geográficos em Copilot Studio
• Copilot Studio Ofertas de conformidade
• Copilot Studio RGPD conformidade
• Copilot Studio Locais dos dados
• Gerenciando a conformidade na nuvem
• Portal de Confiança do Serviço
• Alterar o período de retenção padrão para transcrições de conversas
• Mova dados entre locais geográficos para recursos generativos de IA fora dos Estados Unidos
• Design para proteger confidencialidade

Proteja todas as integrações

Garanta uma comunicação segura entre a carga de trabalho inteligente do aplicativo e as fontes de dados. Sua carga de trabalho de aplicativo inteligente precisa se integrar a outros sistemas para acessar e processar dados. Para simplificar o gerenciamento de identidades e aumentar a segurança, use entidades de serviço para acesso não humano a recursos e identidades gerenciadas para recursos do Azure. Proteja APIs usando OAuth2 para autenticação e garantindo que todas as comunicações de API sejam criptografadas. O uso de entidades de serviço garante que as conexões sejam seguras e não dependam de credenciais individuais.

Saber mais:

• Design para segurança de integração
• Suporte da entidade de serviço

Implementar monitoramento e auditoria contínuos

O principal objetivo do monitoramento de segurança é a deteção de ameaças. O objetivo principal é prevenir potenciais violações de segurança e manter um ambiente seguro. Monitore e audite continuamente as atividades da carga de trabalho inteligente do aplicativo para detetar e responder proativamente. A segurança é um processo contínuo, não uma tarefa de configuração única. O monitoramento e a auditoria regulares do acesso e das interações do utente são essenciais para manter a carga de trabalho do aplicativo inteligente segura.

Saber mais:

• Recomendações para monitorização e deteção de ameaças
• Exibir Copilot Studio logs de auditoria
• Capturar Copilot Studio telemetria com o Azure Application Insights

Usar as ferramentas de segurança do Azure para impor políticas de segurança

Use as ferramentas de segurança internas do Azure, como Microsoft o Defender for Cloud (anteriormente conhecido como Central de Segurança do Azure) e a Política do Azure, para monitorar e aplicar políticas de segurança.

Fornecer treinamento de funcionários

Treinar os funcionários sobre as melhores práticas de proteção de dados e a importância de aderir aos requisitos de residência de dados. Adaptar os materiais de formação às funções e responsabilidades específicas dos diferentes colaboradores. As leis e regulamentos de proteção de dados estão em constante evolução. Garantir que os programas de treinamento sejam atualizados regularmente para refletir os requisitos legais e as melhores práticas mais recentes. Use métodos interativos, como workshops, simulações e cenários da vida real, para tornar o treinamento envolvente e eficaz. Fornecer suporte e recursos contínuos, como acesso a agentes de proteção de dados ou consultores jurídicos, para ajudar os funcionários a se manterem informados e em conformidade.