Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se à Power Platform recomendação da lista de verificação de segurança bem arquitetada:
| SE:06 | Encripte dados utilizando métodos modernos e padrão da indústria para proteger a confidencialidade e a integridade. Alinhe o âmbito da encriptação com as classificações de dados; priorize os métodos de encriptação da plataforma nativa. |
|---|
Se os seus dados não estiverem protegidos, podem ser modificados de forma maliciosa, o que leva à perda de integridade e confidencialidade.
Este guia descreve as recomendações para encriptar e proteger os seus dados. A encriptação é o processo de utilização de algoritmos de encriptação para tornar os dados ilegíveis e bloqueá-los com uma chave. No estado encriptado, os dados não podem ser decifrados. Só podem ser desencriptados utilizando uma chave que está emparelhada com a chave de encriptação.
Definições
| Termos | Definição |
|---|---|
| Certificados | Ficheiros digitais que possuem as chaves públicas para encriptação ou desencriptação. |
| Desencriptação | O processo no qual os dados encriptados são desbloqueados com um código secreto. |
| Encriptação | O processo pelo qual os dados são tornados ilegíveis e bloqueados com um código secreto. |
| Chaves | Um código secreto utilizado para bloquear ou desbloquear dados encriptados. |
Principais estratégias de design
Mandatos da organização ou requisitos regulamentares podem impor mecanismos de encriptação. Por exemplo, pode haver um requisito de que os dados devem permanecer apenas na região selecionada e cópias dos dados são mantidas nessa região.
Estes requisitos constituem frequentemente o mínimo de base. Esforce-se por um nível de proteção mais elevado. É responsável por impedir fugas de confidencialidade e a adulteração de dados confidenciais, quer sejam dados de utilizadores externos ou dados de colaboradores.
Os dados são o ativo mais valioso e insubstituível de uma organização, e a encriptação serve como a última e mais forte linha de defesa numa estratégia de segurança de dados em várias camadas. Os serviços cloud e produtos empresariais da Microsoft utilizam encriptação para salvaguardar os dados dos clientes e ajudá-lo a manter o controlo esses dados.
Cenários de encriptação
É provável que os mecanismos de encriptação protejam os dados em três fases:
Dados em repouso são todas as informações mantidas em objetos de armazenamento. Por predefinição, a Microsoft armazena e gere a chave de encriptação da base de dados para os seus ambientes utilizando um chave gerida pela Microsoft. No entanto, o Power Platform fornece uma chave de encriptação gerida pelo cliente (CMK) para um controlo de proteção de dados adicionado, onde pode gerir por si próprio a chave de encriptação da base de dados.
Dados em processamento são dados que estão a ser usados como parte de um cenário interativo ou quando um processo em segundo plano, como uma atualização, toca nele. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados que são armazenados na memória não são encriptados.
Dados em trânsito são informações transferidas entre componentes, locais ou programas. O Azure utiliza protocolos de transporte padrão do setor, como o TLS (Transport Layer Security) entre dispositivos de utilizador e centros de dados da Microsoft, bem como dentro dos próprios centros de dados.
Mecanismos de encriptação nativos
Por predefinição, a Microsoft armazena e gere a chave de encriptação da base de dados para os seus ambientes utilizando um chave gerida pela Microsoft. No entanto, o Power Platform fornece uma chave de encriptação gerida pelo cliente (CMK) para um controlo de proteção de dados adicionado, onde pode gerir por si próprio a chave de encriptação da base de dados. A chave de encriptação reside no seu próprio Azure Key Vault, o que lhe permite rodar ou trocar a chave de encriptação a pedido. Também lhe permite impedir o acesso da Microsoft aos dados dos seus clientes quando revoga o acesso-chave aos nossos serviços em qualquer altura.
Chaves de encriptação
Por predefinição, os serviços do Power Platform utilizam chaves de encriptação geridas pela Microsoft para encriptar e desencriptar dados. O Azure é responsável pela gestão das chaves.
Pode optar por chaves geridas pelo cliente. O Power Platform ainda utiliza as suas chaves, mas o utilizador é responsável pelas operações com as chaves.
Facilitação do Power Platform
As seguintes secções descrevem as funcionalidades e capacidades do Power Platform que pode utilizar para encriptar os seus dados.
Chave gerida pelo cliente
Por predefinição, todos os dados de clientes armazenados no Power Platform são encriptados através de uma chave de encriptação gerida pela Microsoft. As organizações com requisitos de privacidade e conformidade de dados para proteger os respetivos dados e gerir as suas próprias chaves podem utilizar a capacidade de chave gerida pelo cliente. A chave gerida pelo cliente fornece uma proteção de dados adicional em que o utilizador gere a chave de encriptação de dados associada ao seu ambiente do Dataverse. A utilização desta capacidade permite-lhe rodar ou trocar chaves de encriptação a pedido. Além disso, impede que a Microsoft possa aceder aos seus dados quando revoga a chave do serviço. Para obter mais informações, consulte Gerir a sua chave de encriptação gerida pelo cliente.
Residência dos dados
Um inquilino do Azure Active Directory (Azure AD) abriga informações relevantes para uma organização e sua segurança. Quando um inquilino do Azure AD se inscreve para serviços do Power Platform, o país ou região selecionado do inquilino é mapeado para a geografia do Azure mais adequada onde existe uma implementação do Power Platform. O Power Platform armazena dados de clientes na geografia do Azure atribuída pelo inquilino, ou geo base, exceto quando as organizações implementam serviços em várias regiões.
Os serviços do Power Platform estão disponíveis em geografias do Azure específicas. Para obter mais informações sobre o local onde os serviços do Power Platform estão disponíveis, onde os seus dados são armazenados e como são utilizados, consulte o Centro de Confiança da Microsoft. Os compromissos relativos à localização dos dados de clientes inativos encontram-se especificados nos Termos do Processamento de Dados dos Termos dos Serviços Online da Microsoft. A Microsoft também fornece datacenters para entidades soberanas.
O acesso a Copilot Studio recursos de IA generativa de regiões fora dos Estados Unidos resulta na movimentação de dados através das fronteiras regionais. Essa movimentação de dados pode ser ativada e desativada Power Platform. Mais informações em Regiões envolvidas com copilotos e caraterísticas de IA generativa. A residência de dados geográficos fornece Microsoft Copilot Studio uma estrutura robusta para garantir a segurança dos dados e a conformidade com as regulamentações locais. Além de seus próprios recursos de segurança nativos, Copilot Studio aproveita a infraestrutura do Azure para fornecer opções de residência de dados seguras e compatíveis. Saiba mais sobre residência de dados e Copilot Studio em Residência de dados geográficos e Copilot Studio Segurança e residência de dados geográficos em Copilot Studio.
Dados inativos
Salvo indicação em contrário na documentação, os dados de clientes permanecem na sua origem original (por exemplo, Dataverse ou SharePoint). Todos os dados persistidos pelo Power Platform são encriptados por predefinição utilizando chaves geridas pela Microsoft.
Dados em processamento
Os dados estão em processamento quando estão a ser utilizados ativamente como parte de um cenário interativo, ou quando um processo de fundo, como a atualização lhes toca. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados que são armazenados na memória não são encriptados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja encriptado utilizando TLS 1.2 ou superior. Os pedidos que tentem utilizar TLS 1.1 ou inferior são rejeitados.
Para obter mais informações, consulte Acerca da encriptação de dados no Power Platform e Armazenamento de dados e governação no Power Platform.
Informações relacionadas
- Sobre a criptografia de dados
- Armazenamento de dados e governação no Power Platform
- FAQs de segurança do Power Platform
- Gerir a sua chave de encriptação gerida pelo cliente
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.