Políticas de transferência de dados na gestão de riscos de privacidade
A transferência de dados pessoais apresenta riscos, especialmente quando transferidos para fora da sua organização ou enviados entre determinados departamentos ou localizações geográficas na sua organização. Por exemplo, se os dados forem enviados através de e-mails não encriptados ou para destinatários não autorizados, os dados poderão já não ser seguros. Atividades de transferência de dados como estas podem ter impacto regulamentar ou violar práticas de privacidade organizacionais estabelecidas.
As políticas de transferência de dados no Gerenciamento de risco de privacidade Microsoft Priva permitem-lhe monitorizar transferências de dados pessoais fora da sua organização, bem como transferências internas entre diferentes departamentos ou países ou regiões. Quando é detetada uma correspondência de política, pode enviar notificações de utilizadores no Microsoft Teams ou e-mails com opções de remediação que incluem revogar o acesso, manter ou eliminar itens (ver detalhes no passo 10 do processo de criação da política).
O nosso processo de configuração de políticas facilita a definição de condições de política. Tem controlo total sobre a temporização e frequência de alertas de e-mails e sugestões no Microsoft Teams que trazem a atenção dos utilizadores para práticas seguras de processamento de dados.
Existem duas formas de criar uma política: a partir de um modelo, que é a nossa opção rápida de "configuração inicial" através das predefinições; ou a opção personalizada , que é um processo orientado para definir condições, alertas e notificações.
Configuração rápida: Utilizar um modelo com predefinições
A política de transferência de dados predefinida deteta quando os dados pessoais são enviados para destinatários fora da sua organização. Por exemplo, deteta quando um utilizador na sua organização envia um e-mail do Exchange para um destinatário externo nos campos Para, Cc ou Bcc .
Siga estes passos para criar uma política de transferência de dados predefinida:
Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:
- Novo portal Priva (pré-visualização). Para saber mais, veja Saiba mais sobre o novo portal Priva (pré-visualização).
- portal de conformidade do Microsoft Purview. Para saber mais sobre este portal, veja portal de conformidade do Microsoft Purview.
Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .
Selecione Criar uma política.
Na caixa Transferências de dados , selecione Criar.
Um painel de lista de opções contém detalhes da política. Selecionar Definições de vista mostrará as predefinições. Pode editar as definições a partir daqui, o que o leva ao processo orientado descrito abaixo. Para continuar a criar a política com as predefinições, basta introduzir um nome descritivo e, em seguida, selecionar Criar política.
A sua política será criada e irá encontrá-la listada na sua página Políticas . Começa no modo de teste para que possa monitorizar o seu desempenho antes de o ativar.
Predefinições da política de transferência de dados
Uma política de transferência de dados criada a partir do modelo irá detetar:
Quando os dados pessoais na sua organização são transferidos ou partilhados com um destinatário ou localização fora da sua organização.
Quando os dados pessoais são partilhados externamente a partir de qualquer uma destas localizações na sua organização:
- Exchange. Exemplo: enviar um e-mail com dados pessoais para um endereço de e-mail de destinatário fora da sua organização.
- OneDrive e SharePoint. Exemplos: enviar uma ligação para um ficheiro ou site que contenha dados pessoais para alguém fora da sua organização; copiar ou mover um ficheiro para uma localização do OneDrive ou do SharePoint que esteja fora da sua organização.
- Equipas. Exemplo: enviar uma mensagem de chat do Teams com dados pessoais para um destinatário fora da sua organização.
Tipos de dados com base nos seguintes grupos de classificação:
- Regulamento Geral sobre a Proteção de Dados da UE (RGPD)
- Informações identificativos dos EUA
- Lei Patriota dos EUA
- Lei de Notificação de Violação de Estado dos EUA
- Us Gramm-Leach-Bliley Act (GLBA)
- US Health Insurance Portability and Accountability Act (HIPAA)
- Australia Health Records Act (HRIP)
- Lei de Privacidade da Austrália
- Informações pessoais do Japão
- Proteção de Informações Pessoais do Japão
Configuração personalizada: processo de criação de políticas orientada
A opção de política personalizada é um processo orientado para criar uma nova política ao definir condições, designar a gravidade e a frequência dos alertas e ativar o utilizador notificações por email.
Conclua os passos abaixo para criar uma nova política de transferência de dados:
Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:
- Novo portal Priva (pré-visualização). Para saber mais, veja Saiba mais sobre o novo portal Priva (pré-visualização).
- portal de conformidade do Microsoft Purview. Para saber mais sobre este portal, veja portal de conformidade do Microsoft Purview.
Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .
Selecione Criar uma política.
Na caixa Personalizado , selecione Criar.
Na página Nome e tipo , selecione o modelo de política Transferências de dados . Introduza um nome de política que o ajude a identificá-lo facilmente a partir da sua lista na página Políticas e introduza uma descrição opcional e, em seguida, selecione Seguinte.
Na página Origens de dados, selecione todas as origens de dados no Microsoft 365 que pretende que a política cubra. Escolha entre contas de e-mail do Exchange, contas do OneDrive, mensagens de chat e de canal do Teams e sites do SharePoint.
No SharePoint, pode designar todos os sites ou sites específicos. Se selecionar Sites Específicos do SharePoint, pode introduzir o URL do site no campo URL. Também pode selecionar +Escolher sites e, em seguida, no painel de lista de opções, marcar a caixa à esquerda do nome do site que pretende selecionar.
Saiba mais sobre como escolher origens de dados. Quando terminar, selecione Seguinte.
Na página Dados a monitorizar , selecione o tipo de dados pessoais que pretende que a sua política monitorize. Existem duas opções:
- Grupos de classificação: agrupamentos de tipos de informações confidenciais que são utilizados para detetar conteúdo relacionado com dados pessoais ou regulamentos específicos. Se selecionar esta opção, terá de selecionar +Adicionar grupos de classificação para escolher um ou mais grupos da lista fornecida.
- Tipos de informações confidenciais individuais: selecione esta opção para escolher a partir de uma lista de tipos de informações confidenciais individuais.
Saiba mais sobre como escolher dados a monitorizar. Quando terminar de selecionar dados a monitorizar, selecione Seguinte.
Na página Utilizadores e grupos , escolha a que utilizadores na sua organização a política será aplicada. Pode selecionar todos os utilizadores individuais e todos os grupos de distribuição Office 365 ou pode selecionar utilizadores e grupos específicos. Saiba mais sobre como escolher utilizadores e grupos. Quando terminar, selecione Seguinte.
Na página Condições , selecione o tipo de condição de transferência de dados que a política irá detetar:
- Transferências fora da sua organização: deteta transferências de utilizadores ou grupos dentro da sua organização para utilizadores externos ou convidados fora da sua organização.
- Transferências entre regiões ou limites do país: para esta opção, irá selecionar uma região do remetente e uma região de destinatários. Escolha os países ou regiões designados nos painéis de lista de opções apresentados e, em seguida, selecione Adicionar.
- Transferências entre utilizadores: deteta transferências com base nos atributos Microsoft Entra dos utilizadores, tais como departamentos, código postal ou cargos.
- Transferências entre grupos do Microsoft 365: deteta transferências entre utilizadores de dois grupos do Microsoft 365. Isto inclui caixas de correio do Exchange e sites do SharePoint associados aos grupos.
- Transferências entre sites do SharePoint: deteta quando um item que contém dados pessoais foi copiado ou movido de um site do SharePoint para outro site do SharePoint.
Na página Resultados , decida se deve notificar os utilizadores quando as condições de política são cumpridas. Pode escolher uma ou ambas as seguintes opções ou não ao deixar as caixas de verificação em branco:
Quando o conteúdo corresponde à condição da política, dê recomendações e sugestões de política aos utilizadores: as sugestões de processamento de dados serão apresentadas na instância de um utilizador do Microsoft Teams quando efetuam uma ação que corresponda às condições da política. Tem de fornecer um URL para a sua formação de privacidade preferida, que também será apresentada na sugestão. Obtenha detalhes sobre o comportamento e os alertas das sugestões do Teams.
Enviar um e-mail de notificação aos utilizadores quando ocorrer uma correspondência de política: os utilizadores recebem uma notificação por e-mail quando as ações correspondem às condições da política. Depois de marcar caixa, pode pré-visualizar e editar o e-mail e, em seguida, definir a frequência e fornecer uma ligação para a formação de privacidade (saiba mais sobre os e-mails de notificação). As opções de remediação nos e-mails dependem da origem de dados:
- No SharePoint ou no OneDrive, as opções de remediação são Revogar o acesso e Manter.
- A partir do Teams – as opções de remediação são Lixo e Manter.
- A partir do Exchange – a opção de remediação é Manter.
Quando terminar de definir os resultados, selecione Seguinte.
Na página Alertas , utilize o botão de alternar para ativar os alertas que um administrador verá na página Alertas na secção Políticas da Gestão de Riscos de Privacidade. Irá designar a frequência com que os alertas são gerados, os limiares das correspondências antes de os alertas serem gerados e a gravidade dos alertas. Saiba mais sobre como definir alertas para correspondências de políticas. Quando terminar, selecione Seguinte.
Na página Modo , escolha em que modo colocar a política: teste-a primeiro ou ative-a imediatamente. No modo de teste, não serão enviados alertas ou notificações. Saiba mais sobre recomendações e o que analisar ao testar uma política. Quando terminar, selecione Seguinte.
Na página Concluir , reveja as suas escolhas. Selecione Editar por baixo de qualquer uma das secções para ajustar as definições. Quando estiver satisfeito com as definições da política, selecione Submeter para criar a política.
Após alguns segundos, verá uma confirmação de que a política foi criada. Selecione Concluído na página de confirmação, que irá levá-lo para a página Políticas onde verá a nova política na parte superior da tabela.
Próximas etapas
Visite Políticas de Gestão de Riscos de Privacidade para obter detalhes sobre como editar e gerir políticas.