Compartir a través de

Establecer controles de privacidad y protección de datos

En el panorama digital actual, proteger los datos y garantizar la privacidad son fundamentales para las organizaciones que utilizan Power Platform para crear e implementar aplicaciones comerciales. Garantizar la seguridad y confidencialidad de los datos sensibles es un requisito reglamentario y un factor crítico para mantener la confianza del cliente y salvaguardar los activos de la organización.

Este artículo explica las estrategias clave y las mejores prácticas para la protección de datos y la privacidad en Power Platform.

Protección de datos

La protección de datos implica la implementación de medidas para proteger los datos contra accesos no autorizados, violaciones y otras amenazas. La privacidad se centra en garantizar que la información personal y confidencial se maneje de conformidad con los requisitos legales y reglamentarios y que se respeten los derechos de las personas a la privacidad.

Residencia de datos

Un inquilino almacena información relevante para una organización y su seguridad. Microsoft Entra Cuando un inquilino de Microsoft Entra inicia sesión en servicios de Power Platform, el país o región seleccionados del arrendatario se asignan a la geografía de Azure más adecuada donde existe un despliegue de Power Platform. Power Platform almacena datos de clientes en la geografía de Azure asignada al inquilino (geografía local), a menos que las organizaciones implementen servicios en varias regiones. Obtenga más información sobre el almacenamiento y la gobernanza de datos en . Power Platform

Para compañías multinacionales con empleados y clientes distribuidos por todo el mundo, podrá crear y administrar entornos específicos de sus áreas globales. Puede crear un entorno en una región diferente a aquella donde reside su inquilino. ... Los entornos pueden proporcionar un acceso más rápido a los datos para usuarios de esa área. Obtenga más información sobre las características de múltiples entornos en una implementación de múltiples entornos. ...

Segregación de datos

Power Platform Se ejecuta en Azure, por lo que es un servicio multiinquilino por naturaleza. Las implementaciones y máquinas virtuales de varios clientes comparten el mismo hardware físico. Azure utiliza aislamiento lógico para separar los datos de cada cliente. Este enfoque proporciona los beneficios económicos y de escala de los servicios multiinquilino y al mismo tiempo garantiza que los clientes no puedan acceder a los datos de los demás.

Más información: Protección de datos de clientes de Azure

Cifrado de datos

Los datos son el activo más valioso de una organización, y el cifrado es la línea de defensa más sólida en una estrategia de seguridad de datos en capas. Los productos y servicios en la nube empresarial de Microsoft utilizan el cifrado para proteger los datos de los clientes y ayudarlo a mantener el control sobre ellos.

Power Platform cifra los datos tanto en reposo como en tránsito con una clave segura administrada por Microsoft de forma predeterminada.

Más información:

Para las organizaciones que necesitan más control sobre la seguridad y el cumplimiento de los datos, las claves administradas por el cliente (CMK) protegen los datos en tránsito y en reposo al tiempo que brindan a las organizaciones control sobre sus claves de cifrado para mejorar la seguridad de los datos. Todos los datos de los clientes almacenados en Power Platform se cifran en reposo con claves de cifrado seguras administradas por Microsoft de forma predeterminada. Microsoft almacena y administra la clave de cifrado de la base de datos de sus datos para que usted no tenga que hacerlo. Sin embargo, Power Platform proporciona esta clave de cifrado administrada por el cliente (CMK) para su control de protección de datos agregado donde puede administrar usted mismo la clave de cifrado de la base de datos asociada con su entorno Microsoft Dataverse. Esto le permite rotar o intercambiar la clave de cifrado a pedido y evitar el acceso de Microsoft a sus datos de cliente revocando el acceso a la clave a nuestros servicios en cualquier momento.

Más información:

Directivas de datos

Las directivas de datos de Power Platform son reglas y directrices diseñadas para proteger los datos confidenciales en el entorno de Power Platform. Estas políticas ayudan a prevenir el uso compartido y la transferencia no autorizados de datos al controlar cómo pueden fluir los datos entre diferentes conectores y entornos.

Establecer una estrategia de directiva de datos de Power Platform es fundamental para proteger la información confidencial, garantizar el cumplimiento normativo y mitigar los riesgos de infracciones de datos y el uso compartido de datos no autorizado:

Más información:

Restricciones cruzadas entrantes y salientes de inquilinos

El aislamiento de inquilinos es una función de seguridad que le ayuda a controlar y restringir cómo los conectores que usan la autenticación de ID pueden acceder a los datos de otros inquilinos. Microsoft Entra Esta función es útil para las organizaciones que necesitan mantener límites de datos estrictos entre varias subsidiarias o socios externos.

De forma predeterminada, el aislamiento de inquilinos está desactivado y los conectores pueden acceder a datos entre inquilinos a menos que existan otras políticas de datos establecidas. El aislamiento de inquilinos se aplica a todos los conectores que utilizan autenticación de ID. Microsoft Entra

Al configurar el aislamiento de inquilinos, tenga en cuenta los requisitos de acceso a datos específicos y las necesidades de colaboración de cada inquilino. Asegúrese de que la configuración de aislamiento se alinee con las políticas de seguridad y los requisitos de cumplimiento de su organización. Revise y actualice periódicamente las configuraciones de aislamiento para adaptarse a las necesidades comerciales cambiantes y a las amenazas de seguridad. Configurar correctamente el aislamiento de inquilinos ayuda a evitar el acceso no autorizado a los datos, reduce el riesgo de violaciones de datos y garantiza que la información confidencial permanezca dentro de los límites previstos.

Seguridad de red

Power Platform La arquitectura de servicios le permite crear soluciones de aplicaciones comerciales de extremo a extremo que utilizan datos de servicios internos y externos con conectores. Muchas soluciones también se conectan a los recursos locales y en la nube de su organización. En esta sección, exploramos las características de seguridad de red y lo ayudamos a aprender cómo incorporar servicios y soluciones en el diseño de seguridad de su red. Power Platform Power Platform

Etiquetas de servicio de red

Power Platform Es un servicio basado en la nube que requiere conectividad a Internet. Microsoft publica un conjunto de direcciones IP, nombres de host y etiquetas de servicio que representan servicios a los que puede permitir el acceso. Power Platform Para reducir el riesgo de ataques, configure estos valores en los firewalls o agréguelos a la configuración de proxy del navegador para acceder a los puntos finales respectivos.

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de dirección incluidos en la etiqueta de servicio y actualiza automáticamente la etiqueta de servicio a medida que cambian las direcciones, lo que minimiza la complejidad de las actualizaciones frecuentes de las reglas de seguridad de la red.

Consulte la lista completa de etiquetas de servicio disponibles para configurar sus reglas de seguridad de red.

Los conectores requieren acceso a las direcciones IP salientes en la región de su centro de datos. Si su entorno o firewall bloquea estas direcciones, los conectores no funcionarán. Si bien la mayoría de los conectores utilizan el puerto HTTPS 443, algunos pueden usar otros protocolos. Consulte los requisitos específicos de los conectores que utiliza. Las direcciones IP y las etiquetas de servicio varían según la región y el entorno donde se encuentra la aplicación o el flujo. Consulte la lista completa de Power Platform direcciones IP y etiquetas de servicio para configurar correctamente su lista blanca.

Conexión a fuentes de datos

Power Platform Se conecta y autentica a fuentes de datos utilizando varios conectores que facilitan una integración perfecta con sistemas y servicios externos.

Más información: Cómo conectarse y autenticarse con fuentes de datos

Soporte de Virtual Network

Con el soporte de Azure Virtual Network para Power Platform, puede integrar Power Platform con recursos de su red virtual sin exponerlos a través del Internet público. La compatibilidad con Virtual Network utiliza la delegación de subred de Azure para administrar el tráfico saliente en tiempo de ejecución desde Power Platform. El uso de la delegación de subred de Azure evita la necesidad de que los recursos protegidos estén disponibles en Internet para integrarse con Power Platform. Con el soporte de red virtual, los componentes de Power Platform pueden llamar a recursos que pertenecen a su empresa dentro de la red, ya sea que estén hospedados en Azure o locales, y usar complementos y conectores para realizar llamadas salientes.

Para mitigar el riesgo de exfiltración de datos a través de complementos y conectores, puede utilizar la seguridad de la red para proteger tanto el tráfico entrante como el saliente. Power Platform Admite la integración de red virtual (vNet) tanto para conectores como para complementos, incluidas las integraciones, y proporciona conectividad privada y saliente desde los recursos dentro de su vNet. Dataverse Microsoft Copilot Studio Power Platform

Cortafuegos IP para entornos Power Platform

La función de firewall IP proporciona una capa adicional de seguridad al controlar el tráfico entrante a sus entornos. Power Platform Power Platform Esta función permite a los administradores definir y aplicar controles de acceso basados en IP, garantizando que solo las direcciones IP autorizadas puedan acceder al entorno. Cuando está habilitado, el firewall IP evalúa la dirección IP de cada solicitud en tiempo real y permite o deniega el acceso según los rangos de IP configurados.

Por ejemplo, si habilita el firewall de IP y restringe el acceso solo a las direcciones IP de la red de su oficina, los usuarios no podrán acceder desde otras ubicaciones. Dataverse Dataverse El firewall de IP también evita ataques de repetición de tokens, lo que garantiza que los tokens de acceso no puedan usarse desde ubicaciones de red no autorizadas. Cualquier solicitud de este tipo fracasa. Dado que el firewall de IP opera en la capa de red, afecta tanto a las aplicaciones como a las API que lo utilizan. Dataverse Puede configurar el firewall IP para cada entorno, lo que le permitirá determinar qué entornos requieren una protección más estricta. Por ejemplo, puede permitir el acceso sin restricciones a sus entornos de desarrollo y al mismo tiempo limitar el acceso a sus entornos de prueba y producción.

Prevenir exploits de secuestro de sesiones en Dataverse

Evite ataques de secuestro de sesiones en Dataverse con el enlace de cookies basado en direcciones IP. Digamos que un usuario malintencionado copia una cookie de sesión válida desde una computadora autorizada que tiene habilitada la vinculación de IP de cookies. Luego, el usuario intenta usar la cookie en una computadora diferente para obtener acceso no autorizado a Dataverse. En tiempo real, Dataverse compara la dirección IP de origen de la cookie con la dirección IP del ordenador que realiza la solicitud. Si los dos son diferentes, el intento se bloquea y se muestra un mensaje de error.

Conectarse a recursos locales

La puerta de enlace local permite que las aplicaciones y automatizaciones en la nube utilicen recursos locales de forma segura. Power Platform Puede utilizar una puerta de enlace para conectarse a datos locales desde fuentes como un sistema de archivos, DB2, Oracle, SAP ERP, SQL Server y SharePoint. La puerta de enlace utiliza Azure Relay para permitir el acceso a los recursos locales de forma segura. Azure Relay puede exponer de forma segura servicios dentro de su red a la nube pública sin tener que abrir un puerto en su firewall. La puerta de enlace utiliza estos puertos de salida: TCP 443, 5671, 5672 y 9350–9354. La puerta de enlace no requiere puertos de entrada.

Una puerta de enlace puede permitir que múltiples usuarios accedan a múltiples fuentes de datos. Puede controlar quién puede instalar una puerta de enlace de datos local en su inquilino, pero no a nivel de entorno.

Los siguientes roles de puerta de enlace administran la seguridad de la puerta de enlace y sus conexiones:

  • Administrador: a cualquier usuario que instale una puerta de enlace se le asigna automáticamente el rol de administrador. Un administrador puede gestionar y actualizar la puerta de enlace, crear conexiones a fuentes de datos, administrar el acceso a todas las conexiones y administrar otros usuarios en la puerta de enlace.
  • Creador de conexiones: puede crear y probar conexiones en la puerta de enlace, pero no puede administrarla ni actualizarla ni agregar o eliminar otros usuarios.
  • Creador de conexión con uso compartido: tienes los mismos permisos que un creador de conexión, además puedes compartir la puerta de enlace con otros usuarios.

Para las conexiones que cree para Power Apps y Power Automate, puede limitar los tipos de conexión que están disponibles para los usuarios cuando asigna el rol. Utilice controles de red estándar en el servidor de puerta de enlace para limitar las fuentes de datos a las que puede acceder la puerta de enlace. Las puertas de enlace de clústeres pueden hacer que las instancias sean más confiables y rápidas para necesidades comerciales críticas. Utilice distintos clústeres para distintos propósitos, como respaldar el ciclo de vida de las aplicaciones, dividir su organización o aislar servicios. Este enfoque le ayuda a cumplir distintos requisitos de cumplimiento o seguridad para distintas fuentes de datos.

Con las puertas de enlace de datos de red virtual, Power BI y Power Platform los flujos de datos pueden conectarse a servicios de datos en una red virtual de Azure sin necesidad de una puerta de enlace de datos local en una máquina virtual dentro de la red virtual. Encuentre servicios de datos compatibles con conjuntos de datos y fuentes de datos compatibles con flujos de datos. Power BI Power Platform

Azure ExpressRoute ofrece una forma avanzada de conectar su red local a los servicios de nube de Microsoft mediante conectividad privada. Puede usar una conexión ExpressRoute para acceder a varios servicios en línea, como Power Platform, Dynamics 365, Microsoft 365 y Azure, sin atravesar Internet público. ExpressRoute requiere una planificación y configuración cuidadosas, y cuesta más para el servicio ExpressRoute y el proveedor de conectividad.

Administre el acceso de Microsoft a los datos de los clientes con Customer Lockbox

Customer Lockbox le permite brindar acceso temporal y en tiempo real a sus entornos para que los ingenieros de Microsoft ayuden a resolver solicitudes de soporte críticas.

Lockbox tiene estas capacidades principales:

  • Los administradores pueden elegir qué bases de datos deben protegerse mediante caja de seguridad. Microsoft Dataverse
  • En las raras ocasiones en que Microsoft necesita acceder temporalmente a los datos de una base de datos protegida por una caja de seguridad para resolver un problema crítico, se notifica a los administradores y pueden visitar el centro de administración para aprobar o rechazar la solicitud. Power Platform

Una vez que se concede acceso a Microsoft, cualquier acción que tenga lugar en la base de datos protegida por la caja de seguridad durante el período de acceso temporal se registra y se pone a disposición de su organización como registros de auditoría de SQL. Puede exportar estos registros a un lago de datos de Azure para realizar análisis adicionales.

Controla qué aplicaciones están permitidas en tu entorno

Protéjase contra la filtración de datos controlando qué aplicaciones se pueden ejecutar en su entorno de Dataverse. Estas medidas de seguridad evitan la eliminación no autorizada de información confidencial, lo que ayuda a su empresa a mantener la continuidad y cumplir con las regulaciones. Obtenga más información sobre el control de acceso a aplicaciones.

Proteja la información confidencial con enmascaramiento de datos

Para los escenarios que utilizan información de identificación personal (PII), como números de tarjetas de crédito o números de seguro social, cree reglas de enmascaramiento de datos para proteger los datos confidenciales de su organización y sus clientes. ... Con el enmascaramiento de datos, también conocido como desidentificación u ofuscación, los datos confidenciales se reemplazan con cadenas enmascaradas para ocultar los valores originales que permanecen ocultos. Sólo los usuarios autorizados pueden acceder a los datos no enmascarados, un registro a la vez, lo que garantiza que los datos se traten con la máxima sensibilidad. Proteja sus datos utilizando una regla predefinida existente o cree la suya propia como solución.

Utilice Microsoft Purview para el descubrimiento y la clasificación de datos

La integración de Microsoft Purview con Microsoft Dataverse permite potentes capacidades de seguridad. Con Microsoft Purview Data Map, usted se beneficia del descubrimiento automatizado de datos y la clasificación de datos confidenciales, obtiene una comprensión más profunda del patrimonio de datos de sus aplicaciones comerciales, protege sus datos y mejora su postura frente a riesgos y cumplimiento.

Con Microsoft Purview, puede crear una vista actualizada de todas sus fuentes de datos, incluidos los datos de sus entornos. Power Platform Dataverse Microsoft Purview clasifica sus activos de datos mediante categorías integradas o personalizadas para ayudarlo a comprender qué datos tienen sus creadores en sus entornos. Dataverse Por ejemplo, Microsoft Purview le informa si un fabricante ha agregado datos confidenciales, como identificaciones gubernamentales o números de tarjetas de crédito. Luego puedes indicarle al fabricante cómo cambiar los datos para seguir tus políticas o usar medidas de seguridad para protegerlos.

Seguridad de Dataverse

Una característica clave de Dataverse es su modelo de seguridad flexible, que puede adaptarse a diversas necesidades comerciales. El modelo de seguridad solo está disponible cuando tiene una base de datos en su entorno. Dataverse Dataverse Como profesional de seguridad, es posible que usted mismo cree todo el modelo de seguridad, pero es posible que deba verificar que cumpla con los requisitos de seguridad de datos de su organización.

Dataverse utiliza roles de seguridad para agrupar privilegios. ... Puede asignar estos roles a usuarios o a equipos y unidades de negocio. Dataverse Los usuarios que pertenecen a un equipo o una unidad de negocio heredan el rol de ese grupo. Un concepto clave de la seguridad es que los privilegios son acumulativos y aditivos. Dataverse Si concede acceso amplio a algunos datos, no podrá restringir el acceso a una parte específica de ellos más adelante. Dataverse Los equipos pueden asociarse con grupos de seguridad de ID o grupos. Microsoft Entra Microsoft 365 Una vez establecida la asociación, el sistema gestiona automáticamente los miembros del equipo. Dataverse La primera vez que un usuario utiliza una aplicación que depende de esta seguridad, el sistema lo agrega al equipo. Dataverse

Dataverse Los roles de seguridad pueden actuar como si estuvieran asignados directamente al usuario. Esta configuración otorga al usuario privilegios a nivel de usuario a través de su membresía en un equipo. Dataverse Para simplificar la configuración, comparta una aplicación de lienzo con un grupo de seguridad de ID y seleccione los roles de seguridad necesarios para usar la aplicación. Microsoft Entra Dataverse El sistema crea un equipo para usted y lo asocia con el grupo de seguridad de ID. Dataverse Microsoft Entra El nuevo equipo también obtiene los roles de seguridad que usted seleccione. Dataverse Este enfoque simplifica la experiencia del administrador y le ayuda a gestionar la seguridad del usuario con menos trabajo manual.

Dataverse La seguridad es compleja y requiere la colaboración entre los creadores de la aplicación, el equipo de seguridad y el equipo de administración de usuarios. Debe planificar y comunicar cualquier cambio importante antes de aplicarlo a su entorno.

Obtenga más información sobre los conceptos de seguridad en . Dataverse

Privacidad

Sus datos son su negocio y usted puede acceder a ellos, modificarlos o eliminarlos en cualquier momento. Microsoft no utilizará sus datos sin su consentimiento. Con su consentimiento, utilizamos sus datos para proporcionar únicamente los servicios que usted elija. Procesamos sus datos en base a su acuerdo y de acuerdo con nuestras estrictas políticas y procedimientos. No compartimos sus datos con servicios respaldados por publicidad, ni los utilizamos para ningún propósito como investigación de marketing o publicidad. Obtenga más información sobre cómo Microsoft categoriza los datos en la prestación de servicios en línea.

Creemos que usted debe tener control sobre sus datos. Conozca cómo manejamos las solicitudes de datos de agencias gubernamentales y policiales. ...

Como cliente, usted es responsable de la clasificación de datos, la gestión de identidades y la asignación de roles de seguridad adecuados para proteger los datos.

Obtenga más información: Privacidad de Microsoft.

Conclusión

En conclusión, garantizar una protección de datos sólida es una responsabilidad compartida entre los clientes y Microsoft. Power Platform Implica una evaluación exhaustiva de todas las características de seguridad disponibles y la selección de configuraciones que se alineen con las políticas de seguridad y los requisitos de cumplimiento de su organización. Al evaluar las necesidades y los riesgos específicos asociados con su entorno, puede implementar medidas de seguridad personalizadas que protejan los datos confidenciales, eviten el acceso no autorizado y mantengan el cumplimiento normativo. Se necesitan revisiones y actualizaciones periódicas de las configuraciones de seguridad para adaptarse a las amenazas cambiantes y a las necesidades comerciales cambiantes.

Pasos siguientes

Revise los artículos detallados de esta serie para mejorar aún más su postura de seguridad:

Después de revisar los artículos, revise la lista de verificación de seguridad para asegurarse de que las implementaciones sean sólidas, resilientes y estén alineadas con las mejores prácticas. Power Platform

Revise la lista de verificación de seguridad

  • Last updated on