Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Regulamentações e padrões de IA estão surgindo em regiões e setores, fornecendo uma estrutura robusta para as organizações avaliarem, implementarem e testarem seus controles para desenvolver e usar IA confiável. Este artigo ajuda as equipes de risco e conformidade a se prepararem para o esforço de conformidade. Descreve como:
- Avalie e fortaleça sua postura de conformidade com as regulamentações.
- Implemente controles para controlar o uso de aplicativos e dados de IA.
Este é o quarto artigo de uma série. Se você ainda não concluiu as tarefas em Preparar-se para a segurança de IA, Descobrir aplicativos e dados de IA e Proteger aplicativos e dados de IA, comece com estes artigos para preparar seu ambiente com os recursos prescritos neste artigo.
Use este artigo juntamente com estes recursos:
- Cenário de negócios da estrutura de adoção do Zero Trust — atenda aos requisitos normativos e de conformidade com o Zero Trust
- Cloud Adoption Framework (CAF) para IA — processo para governar a IA
Quais são as novas considerações para governar aplicativos e dados de IA?
Assim como a IA introduz novas superfícies de ataque que mudam o cenário de risco, a IA também introduz novos métodos de processamento e uso de dados que afetam a conformidade regulamentar. Essas novas características da IA afetam tanto as regulamentações existentes, como as de privacidade, quanto as novas regulamentações voltadas especificamente para o uso da IA.
A ilustração a seguir destaca as regulamentações emergentes de IA, incluindo a Lei de Inteligência Artificial e Dados (AIDA) na América do Norte, a Lei de IA da UE, o Plano de Ação de IA na Austrália e os padrões globais produzidos pela ISO.
De um modo geral, a governança da IA para conformidade regulatória inclui:
- Registro e retenção de interações de IA.
- Deteção de potencial uso não compatível.
- Usando ferramentas, como eDiscovery em interações de IA, quando necessário.
Isso ajuda as organizações a atender aos seus requisitos de conformidade e responder a possíveis litígios de forma eficaz.
Para as organizações que criam IA, as equipes de risco e conformidade precisam permitir que as equipes de desenvolvimento documentem os detalhes de seus projetos, como nome do modelo, versão, finalidade dos sistemas de IA e suas métricas de avaliação para lidar com riscos de qualidade, segurança e proteção. Esse esforço pode ajudar as equipes de risco e conformidade a ter um formato padronizado de informações para se preparar para auditorias e responder a solicitações regulatórias.
Outra boa prática é usar avaliações de impacto de privacidade, um controle que muitas empresas já implementaram para regulamentações como o GDPR, para garantir que os aplicativos de IA tenham todas as avaliações e controles em vigor para proteger a privacidade. A Microsoft fornece recursos como Avaliações de Privacidade Priva que podem ser facilmente integrados ao seu ciclo de vida de desenvolvimento de IA para garantir que os desenvolvedores mantenham a privacidade em primeiro lugar.
Por fim, para criar aplicativos de IA responsáveis e aderir aos novos requisitos regulatórios, as organizações precisam criar barreiras de proteção para detetar e bloquear conteúdo prejudicial, como conteúdo de violência, ódio, sexual e automutilação. Além disso, você quer que seus aplicativos de IA produzam conteúdo confiável. As grades de proteção devem ajudar a detetar e corrigir informações incorretas para reduzir o risco de decisões erradas baseadas em resultados não fundamentados. Devem também identificar conteúdos que violem direitos de autor. Esses guardrails podem ajudar as organizações a construir aplicativos de IA responsáveis e confiáveis.
Recursos para controlar aplicativos e dados de IA
A Microsoft inclui recursos para ajudar as organizações a conectar os pontos entre padrões regulatórios e soluções tecnológicas.
As etapas a seguir descrevem a ilustração e também percorrem as etapas de implementação desses recursos.
| Passo | Tarefa | Âmbito de aplicação |
|---|---|---|
| 1 | Crie e gerencie avaliações no Microsoft Purview Compliance Manager | Em toda a empresa |
| 2 | Use o Defender for Cloud Apps para gerenciar aplicativos de IA com base no risco de conformidade | Aplicativos SaaS AI |
| 3 | Use o CSPM (Gerenciamento de Postura de Segurança na Nuvem) para cargas de trabalho de IA para descobrir e gerenciar aplicativos personalizados com base no risco de conformidade | Aplicações personalizadas de IA construídas com a Azure AI |
| 4 | Configure o Purview Communication Compliance para minimizar os riscos de comunicação, ajudando-o a detetar, capturar e agir sobre mensagens potencialmente inadequadas em sua organização | Aplicações e serviços do Microsoft 365 Aplicativos de IA conectados por conectores de mapa de dados Microsoft Entra ou Microsoft Purview Serviços de IA do Azure |
| 5 | Configure o Purview Data Lifecycle Management para reter o conteúdo que você precisa manter e exclua o conteúdo que você não precisa. | As políticas de retenção para aplicativos de IA incluem perguntas e respostas do utilizador para o Microsoft 365 Copilot e Copilot Studio, bem como comandos e respostas do utilizador para outros Copilots da Microsoft e aplicativos de IA generativa cujos itens de política incluem a captura de conteúdo. Essas mensagens podem ser retidas e excluídas por motivos de conformidade. Para integrar aplicativos de IA desenvolvidos em outros provedores de nuvem, use o SDK do Purview. |
| 6 | Use Descoberta Eletrónica juntamente com logs de auditoria do Microsoft 365 Copilot para investigações, conforme necessário | Os logs de auditoria são gerados automaticamente quando um usuário interage com o Copilot ou um aplicativo de IA. Para integrar aplicativos de IA desenvolvidos em outros provedores de nuvem, use o SDK do Purview. |
| 7 | Use as Avaliações de Privacidade da Priva para iniciar avaliações de impacto de privacidade para aplicativos de IA criados por você | Qualquer aplicativo, qualquer local |
| 8 | Use relatórios de IA no AI Foundry para documentar detalhes do projeto de IA para aplicativos que você desenvolve | Aplicativos de IA no Azure |
| 9 | Implementar o Azure AI Content Safety para bloquear conteúdo nocivo e detetar e corrigir respostas infundadas | Aplicativos de IA no Azure |
Etapa 1 — Criar e gerenciar avaliações no Microsoft Purview Compliance Manager
O Microsoft Purview Compliance Manager é uma solução que ajuda você a avaliar e gerenciar automaticamente a conformidade em seu ambiente multicloud. O Compliance Manager pode ajudá-lo em toda a sua jornada de conformidade, desde o inventário dos riscos de proteção de dados até o gerenciamento das complexidades da implementação de controles, manter-se atualizado com as regulamentações e certificações e relatar aos auditores.
Atualmente, o Compliance Manager inclui modelos regulatórios para as seguintes regulamentações relacionadas à IA:
- Lei da UE relativa à inteligência artificial
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- Estrutura de Gestão de Risco (RMF) NIST AI 1.0
Use os recursos a seguir para começar a usar o Gerenciador de Conformidade.
| Tarefa | Recursos recomendados |
|---|---|
| Conheça e comece já |
Gerente de Conformidade Microsoft Purview Introdução ao Microsoft Purview Compliance Manager Crie e gerencie avaliações no Microsoft Purview Compliance Manager |
| Veja se o Compliance Manager inclui um modelo para uma regulamentação | Lista de regulamentos |
| Crie uma avaliação personalizada | Criar avaliações personalizadas (pré-visualização) no Microsoft Purview Compliance Manager |
Etapa 2 — Utilizar o Defender for Cloud Apps
Use o Defender for Cloud Apps para gerenciar aplicativos de IA com base no risco de conformidade. Os artigos anteriores desta série descrevem como usar o Defender for Cloud Apps para descobrir, gerenciar e proteger o uso de aplicativos de IA. A conformidade regulatória introduz critérios extras para triagem e avaliação do risco desses aplicativos.
Depois de criar uma ou mais avaliações para regulamentos específicos no Purview Compliance Manager, trabalhe com sua equipe do Defender for Cloud Apps para integrar suas obrigações de conformidade aos critérios para avaliar o risco de aplicativos de IA, sancionar ou bloquear esses aplicativos e aplicar políticas de sessão para controlar como esses aplicativos podem ser acessados (por exemplo, apenas com um dispositivo compatível).
Consulte os artigos anteriores desta série para começar e usar o Defender for Cloud Apps.
| Tarefa | Recursos recomendados |
|---|---|
| Descubra, sancione e bloqueie aplicativos de IA com o Microsoft Defender for Cloud Apps | Veja a Etapa 3 em Descobrir aplicativos e dados de IA |
| Use o Defender for Cloud Apps para fazer a triagem e proteger o uso de aplicativos de IA | Consulte Tirar o máximo partido da proteção contra ameaças para IA em Proteger aplicações e dados de IA |
Etapa 3 — Usar o CSPM (Gerenciamento de Postura de Segurança na Nuvem) para cargas de trabalho de IA
Use o plano Defender Cloud Security Posture Management (CSPM) no Microsoft Defender for Cloud para descobrir e gerenciar aplicativos personalizados com base no risco de conformidade. Assim como o Defender for Cloud Apps, a conformidade regulatória introduz critérios extras para triagem e avaliação do risco de seus aplicativos criados sob medida com o CSPM para IA.
Trabalhe com sua equipe do Defender for Cloud para integrar suas obrigações de conformidade aos critérios para avaliar o risco e controlar seus aplicativos personalizados.
Consulte os artigos anteriores desta série para começar e usar o Defender for Cloud.
| Tarefa | Recursos recomendados |
|---|---|
| Descubra cargas de trabalho de IA implantadas em seu ambiente e obtenha informações de segurança com o Microsoft Defender for Cloud | Veja a Etapa 4 em Descobrir aplicativos e dados de IA] |
| Aplique proteções de IA no Defender for Cloud | Consulte a Etapa 2 sobre Como aproveitar ao máximo a proteção contra ameaças para IA em Proteger aplicativos e dados de IA |
Etapa 4 — Configurar a conformidade das comunicações do Purview
Configure o Purview Communication Compliance para minimizar os riscos de comunicação, ajudando-o a detetar, capturar e agir em mensagens potencialmente inadequadas em sua organização. Para IA generativa, você pode usar políticas de conformidade de comunicação para analisar interações (prompts e respostas) inseridas em aplicativos de IA generativa para ajudar a detetar interações inadequadas ou arriscadas ou compartilhamento de informações confidenciais. A cobertura é suportada para Microsoft 365 Copilot, Copilots criados com o Microsoft Copilot Studio, aplicações de IA conectadas por conectores Microsoft Entra ou Microsoft Purview Data Map, entre outros.
Use os seguintes recursos para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba mais e comece. |
Saiba mais sobre a conformidade de comunicações Planejar a conformidade da comunicação Introdução à conformidade de comunicações |
| Configurar políticas |
Configurar uma política de conformidade de comunicação para detetar interações generativas de IA Criar e gerir políticas de conformidade de comunicações |
Etapa 5 — Configurar o gerenciamento do ciclo de vida dos dados do Purview
O Microsoft Purview Data Lifecycle Management fornece ferramentas e recursos para reter o conteúdo que você precisa manter e excluir o conteúdo que você não precisa. A exclusão proativa de conteúdo que você não é mais obrigado a manter ajuda a reduzir o risco de superexposição de dados em ferramentas de IA. As principais funcionalidades incluem:
- Políticas de retenção e rótulos de retenção
- Arquivamento de caixas de correio e caixas de correio inativas—As caixas de correio de usuário incluem uma pasta oculta com prompts e respostas do Copilot
Use os seguintes recursos para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Conheça e comece já |
Saiba mais sobre o Microsoft Purview Data Lifecycle Management Introdução ao gerenciamento do ciclo de vida dos dados |
| Saiba mais sobre retenção para aplicativos Copilot e AI | Saiba como a retenção funciona com aplicativos de IA |
| Para aplicativos de IA desenvolvidos em outros provedores de nuvem, integre-se ao Purview SDK | Saiba mais sobre o SDK do Microsoft Purview |
Etapa 6 — Usar eDiscovery em conjunto com registos de auditoria para Microsoft 365 Copilot
Utilize o Microsoft Purview eDiscovery para pesquisar palavras-chave em prompts do Copilot e as respostas que possam ser consideradas inadequadas. Também pode incluir estas informações num caso de Deteção de Dados Eletrónicos para rever, exportar ou colocar estes dados em espera para uma investigação legal em curso.
Use os logs de auditoria do Microsoft Purview para identificar como, quando e onde as interações do Copilot ocorreram e quais itens foram acessados, incluindo quaisquer rótulos de sensibilidade nesses itens.
| Tarefa | Recursos recomendados |
|---|---|
| Saiba onde os dados de uso do Copilot são armazenados e como auditá-los | Arquitetura de auditoria e proteção de dados do Microsoft 365 Copilot |
| Introdução à Descoberta Eletrônica | Saiba mais sobre as soluções de eDiscovery |
| Saiba mais sobre os logs de auditoria do Purview | Saiba mais sobre as soluções de auditoria no Microsoft Purview |
| Saiba mais sobre logs de auditoria para aplicativos de IA | Saiba quais atividades de administrador e usuário são registradas para aplicativos de IA |
| Para aplicativos de IA desenvolvidos em outros provedores de nuvem, integre-se ao Purview SDK | Saiba mais sobre o SDK do Microsoft Purview |
Etapa 7 — Usar as avaliações de privacidade do Priva
Use as Avaliações de privacidade do Priva (visualização) para iniciar avaliações de impacto de privacidade para aplicativos de IA que você cria. Isso ajuda a garantir que os aplicativos de IA estejam sendo criados de forma a respeitar a privacidade. As Avaliações de Privacidade automatizam a descoberta, a documentação e a avaliação do uso de dados pessoais em todo o seu conjunto de dados.
Use os recursos a seguir para começar a usar as Avaliações de Privacidade da Priva e iniciar uma avaliação de impacto na privacidade.
| Tarefa | Recursos recomendados |
|---|---|
| Conheça e comece já |
Saiba mais sobre as avaliações de privacidade Introdução às avaliações de privacidade |
| Criar uma avaliação | Criar e gerenciar avaliações de privacidade |
Etapa 8 — Usar relatórios de IA no AI Foundry
Os relatórios de IA no Azure AI Foundry podem ajudar os desenvolvedores a documentar os detalhes do projeto. Os desenvolvedores podem criar um relatório que mostra todos os detalhes de um projeto de IA, como cartões de modelo, versões de modelo, configurações de filtro de segurança de conteúdo e métricas de avaliação. Esse relatório pode ser exportado nos formatos PDF ou SPDX, ajudando as equipes de desenvolvimento a demonstrar a prontidão da produção nos fluxos de trabalho de governança, risco e conformidade (GRC) e facilitando auditorias contínuas e mais fáceis de aplicativos em produção.
Use os seguintes recursos para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Leia sobre relatórios de IA no AI Foundry (blog) | Relatórios de IA: melhore a governança de IA e o GenAIOps com documentação consistente |
| Conheça e comece a usar o AI Foundry | O que é o Azure AI Foundry? |
Etapa 9 — Implementar a Segurança de Conteúdo do Azure AI
O Azure AI Content Safety é um serviço de IA que deteta conteúdo prejudicial gerado pelo utilizador e gerado por IA em aplicações e serviços. O Azure AI Content Safety inclui APIs de texto e imagem que permitem detetar material prejudicial. O Content Safety Studio interativo permite visualizar, explorar e experimentar códigos de exemplo para detetar conteúdo nocivo em diferentes modalidades.
Use os seguintes recursos para começar.
| Tarefa | Recursos recomendados |
|---|---|
| Conheça e comece já | O que é a Segurança de Conteúdo do Azure AI? - Serviços de IA do Azure | Microsoft Learn Usar a Segurança de Conteúdo no portal do Azure AI Foundry |
Próximo passo para proteger a IA
Continue a progredir na segurança de ponta a ponta com recursos Zero Trust: