Compartilhar via

Considerações de segurança e conformidade para cargas de trabalho de aplicativos inteligentes

A segurança é fundamental para qualquer arquitetura. O Microsoft Power Platform oferece uma faixa abrangente de ferramentas para proteger efetivamente sua carga de trabalho de aplicativos inteligentes. Este artigo descreve considerações de segurança e recomendações para desenvolver cargas de trabalho de aplicativos inteligentes com o Power Platform.

Os recursos do Copilot para Dynamics 365 e do Power Platform seguem um conjunto de práticas básicas de segurança e privacidade e o Padrão de IA Responsável. Os dados do Dynamics 365 e do Power Platform são protegidos por controles de conformidade, segurança e privacidade abrangentes e líderes do setor. Para obter mais informações sobre o Microsoft Copilot Studio e os recursos de segurança do Power Platform, consulte Segurança e governança do Copilot Studio, Perguntas frequentes sobre segurança e privacidade de dados do Copilot para Dynamics 365 e Power Platform e Segurança no . Microsoft Power Platform

Você deve avaliar periodicamente os serviços e tecnologias que usa para garantir que suas medidas de segurança estejam de acordo com o cenário de ameaças em constante mudança.

Compreenda requisitos de segurança

Entenda os principais requisitos para a carga de trabalho de aplicativo inteligente que você está implementando. Faça a si mesmo as seguintes perguntas para auxiliar na identificação de medidas de segurança a serem abordadas.

Controle de acesso e autenticação

  • Como você implementa mecanismos de controle de acesso e autenticação para garantir que apenas usuários autorizados possam acessar a carga de trabalho do aplicativo inteligente?
  • Como você garante uma autenticação de usuário segura e perfeita?
  • De que forma você controla quais aplicativos podem interagir com a IA generativa (agente) e quais medidas garantem que essas restrições sejam eficazes?

Gerenciamento de segurança e incidente

  • De que forma você gerencia e protege segredos de aplicativos, como chaves de API e senhas?
  • Quais requisitos de segurança de rede afetam a carga de trabalho do aplicativo inteligente? Por exemplo, as APIs internas só podem ser acessadas em uma rede virtual?
  • Como você monitora e audita o acesso e o uso do aplicativo inteligente?
  • Qual é o plano de resposta a incidentes para resolver violações ou vulnerabilidades de segurança?

Conformidade e residência de dados

  • Quais requisitos de residência de dados se aplicam aos dados usados na carga de trabalho do aplicativo inteligente? Você sabe onde seus dados residirão e se o local está alinhado com suas obrigações legais ou regulatórias?
  • Quais requisitos normativos e de conformidade devem ser atendidos para a carga de trabalho do aplicativo inteligente?

Integração do sistema e requisitos de rede

  • Como a carga de trabalho do aplicativo inteligente se integrará com segurança a outros sistemas internos e externos?
  • Quais são os requisitos de rede e integração para sua carga de trabalho? Há necessidade de integração com fontes de dados ou APIs internas ou externas?

Considerações éticas e IA Responsável

  • Como as considerações éticas e as práticas de IA responsável serão incorporadas à carga de trabalho de aplicativos inteligentes?

Implementar medidas robustas de autenticação e controle de acesso

A autenticação permite que os usuários entrem, dando ao seu agente acesso a um recurso ou informação restrita. Os usuários podem entrar com uma conta do Microsoft Entra ID ou com qualquer provedor de identidade OAuth2 como Google ou Facebook.

Implemente medidas robustas de autenticação e controle de acesso para garantir que usuários autorizados possam acessar o agente. Garantir que apenas usuários autorizados possam acessar o agente é a base da segurança. A implementação da autenticação multifatorial adiciona uma camada extra de segurança. Para minimizar o risco de acesso não autorizado, defina funções e permissões para garantir que os usuários tenham acesso apenas aos recursos de que precisam. Implemente políticas de acesso condicional para controlar o acesso com base em condições específicas, como localização do usuário, conformidade do dispositivo ou nível de risco.

Saiba mais:

Entenda como os requisitos normativos afetam seu projeto

Identifique e cumpra requisitos e normas regulatórias aplicáveis ao seu setor, como RGPD (Regulamento Geral sobre a Proteção de Dados), HIPAA (Health Insurance Portability and Accountability Act) ou CCPA (California Consumer Privacy Act). Implemente os controles necessários para garantir a conformidade. Agende auditorias de conformidade regulares para verificar a aderência às normas regulatórias e resolver quaisquer lacunas. Avalie se há requisitos específicos para a localização de dados, como um requisito para que os dados sejam armazenados em um determinado país/região. Verifique se sua estratégia de armazenamento de dados atende a esses requisitos.

Certifique-se de que os dados sejam protegidos e gerenciados em conformidade com os requisitos normativos. Proteger os dados manipulados pela carga de trabalho inteligente do aplicativo é essencial para manter a confiança e a aderência aos padrões legais e regulamentares.

A Microsoft está em conformidade com as leis de privacidade e proteção de dados aplicáveis aos serviços em nuvem. Nossa conformidade com os padrões de classe mundial do setor é verificada. Os ambientes podem ser criados em regiões específicas, mesmo que diferentes da região onde o locatário reside. Por padrão, as transcrições de conversas são mantidas apenas por 30 dias no Dataverse. Você pode ajustar esse período de retenção por ambiente.

Saiba mais:

Proteja todas as integrações

Garanta uma comunicação segura entre a carga de trabalho do aplicativo inteligente e as fontes de dados. Sua carga de trabalho de aplicativo inteligente deve se integrar a outros sistemas para acessar e processar dados. Para simplificar o gerenciamento de identidades e aprimorar a segurança, utilize entidades de serviço para acesso não humano a recursos e identidades gerenciadas para recursos Azure. Proteja APIs usando OAuth2 para autenticação e garantindo que todas as comunicações de API sejam criptografadas. O uso de entidades de serviço garante que as conexões sejam seguras e não dependam de credenciais individuais.

Saiba mais:

Implementar monitoramento e auditoria contínuos

A principal finalidade do monitoramento de segurança é a detecção de ameaça. O objetivo principal é evitar violações de segurança em potencial e manter um ambiente seguro. Monitore e audite continuamente as atividades da carga de trabalho do aplicativo inteligente para detectar e responder de forma proativa. A segurança é um processo contínuo, não uma tarefa de configuração única. O monitoramento e a auditoria regulares do acesso e das interações do usuário são essenciais para manter sua carga de trabalho de aplicativo inteligente segura.

Saiba mais:

Use as ferramentas de segurança do Azure para impor políticas de segurança

Use as ferramentas de segurança internas do Azure, como Microsoft Defender for Cloud (anteriormente conhecido como Azure Security Center) e Azure Policy, para monitorar e aplicar políticas de segurança.

Fornecer treinamento aos funcionários

Treine os funcionários em relação às melhores práticas de proteção de dados e a importância de aderir aos requisitos de residência de dados. Adapte os materiais de treinamento às funções e responsabilidades específicas de diferentes funcionários. As leis e regulamentos de proteção de dados estão em constante evolução. Garanta que os programas de treinamento sejam atualizados regularmente para refletir os requisitos legais e as melhores práticas mais recentes. Use métodos interativos, como workshops, simulações e cenários da vida real para tornar o treinamento envolvente e eficaz. Forneça suporte e recursos contínuos, como acesso a responsáveis pela proteção de dados ou consultores jurídicos, para ajudar os funcionários a se manterem informados e em conformidade.

  • Last updated on