Quais são as práticas de privacidade e segurança de dados do Microsoft Cloud App Security?

Aplica-se a: Microsoft Cloud App Security

Importante

Os nomes dos produtos de proteção contra ameaças da Microsoft estão mudando. Leia mais sobre essa e outras atualizações aqui. Em breve, atualizaremos os nomes nos produtos e nos documentos.

Observação

Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Se você estiver buscando informações gerais sobre o GDPR, confira a seção GDPR do portal do serviço de confiança.

O Microsoft Cloud App Security é um componente crítico da pilha do Microsoft Cloud Security. É uma solução abrangente que ajuda sua organização a aproveitar ao máximo as possibilidades de aplicativos em nuvem. O Cloud App Security coloca você no comando por meio de visibilidade, auditoria e controles granulares abrangentes sobre seus dados confidenciais.

O Cloud App Security tem ferramentas que ajudam a descobrir a TI sombra e avaliar os riscos, permitindo que você aplique políticas e investigue atividades. Ele ajuda a controlar o acesso em tempo real e a interromper as ameaças para que sua organização possa se mover na nuvem com mais segurança.

Conformidade do Cloud App Security

Em um mundo no qual ocorrem ataques e violações de dados diariamente, é fundamental que as organizações escolham um agente de segurança de aplicativo na nuvem que faça todos os esforços para proteger seus dados. O Cloud App Security, como todos os produtos e serviços em nuvem da Microsoft, foi desenvolvido para atender às exigências mais rigorosas de privacidade e segurança dos nossos clientes.

Para ajudar as organizações a atender aos requisitos nacionais, regionais e específicos do setor aplicáveis à coleta e ao uso de dados das pessoas, o Cloud App Security fornece um conjunto abrangente de ofertas de conformidade. As ofertas de conformidade incluem certificações e atestados.

Ofertas e estrutura de conformidade

O Cloud App Security atende a muitos padrões de conformidade internacionais e específicos do setor, que incluem, entre outros:

Organização Título Descrição
Logotipo do atestado CSA. Atestado CSA STAR Os serviços Azure e Intune receberam a certificação Cloud Security Alliance STAR Attestation com base em uma auditoria independente.
Logotipo da certificação CSA. Certificação CSA STAR Os serviços Azure, Intune e Power BI receberam a certificação Cloud Security Alliance STAR no nível Ouro.
Logotipo de cláusulas de modelos da EU. Cláusulas de Modelos da UE A Microsoft oferece Cláusulas Contratuais Padrão da EU, garantias para transferências de dados pessoais.
Logotipo HIPAA. HIPAA/HITECH A Microsoft oferece Acordos de Parceiro Comercial HIPAA/HITECH (Health Insurance Portability & Accountability Act).
Logotipo ISO 9001. ISO 9001 A Microsoft é certificada pela implementação de padrões de gerenciamento de qualidade.
Logotipo ISO 27001. ISO/IEC 27001 A Microsoft é certificada pela implementação de padrões de gerenciamento de segurança das informações.
Logotipo ISO 27018. ISO/IEC 27018 A Microsoft foi o primeiro provedor de nuvem a adotar este Código de Conduta para privacidade de nuvem.
Logotipo PCI. PCI DSS O Microsoft Azure está em conformidade com o PCI DSS (Payment Card Industry Data Security Standards) Nível 1, versão 3.1.
Logotipo SOC. Relatórios do SOC 1 e SOC 2 tipo 2 Os serviços em nuvem da Microsoft estão em conformidade com os padrões SOC (Service Organization Controls) para segurança operacional.
Logotipo SOC. SOC 3 Os serviços em nuvem da Microsoft estão em conformidade com os padrões SOC (Service Organization Controls) para segurança operacional.
Logotipo G-Cloud. UK G-Cloud A Crown Commercial Service renovou a classificação dos serviços em nuvem da Microsoft como Government Cloud v6.

Para saber mais, confira Ofertas de conformidade da Microsoft.

Privacidade

Você é o proprietário de seus dados

  • No Cloud App Security, os administradores podem exibir os dados pessoais identificáveis armazenados no serviço por meio do portal usando a barra de Pesquisa.

  • Os administradores podem pesquisar os metadados de um usuário específico ou as atividades do usuário. Clicar em uma entidade abre Usuários e contas. A página Usuários e contas fornece detalhes abrangentes sobre a entidade extraída dos aplicativos de nuvem conectados. Também fornece o histórico de atividades e os alertas de segurança relacionados ao usuário.

  • Você possui seus dados e pode cancelar assinaturas e solicitar a exclusão de seus dados a qualquer momento. Se você não renovar sua assinatura, seus dados serão excluídos dentro da linha do tempo especificada nos Termos dos Serviços Online.

  • Se você optar por encerrar o serviço, poderá levar seus dados com você.

O Cloud App Security é o processador dos seus dados

  • Cloud App Security usa seus dados somente para fins consistentes com o fornecimento dos serviços para os quais você se inscreveu.

  • Se um governo abordar a Microsoft para acessar seus dados, a Microsoft redirecionará a consulta para você, o cliente, sempre que possível. A Microsoft tem desafiado demandas legais que não eram válidas, o que proibiu a divulgação de uma solicitação governamental de dados do cliente. Saiba mais sobre quem pode acessar seus dados e em quais termos.

Controles de privacidade

  • Os controles de privacidade ajudam a configurar quem da sua organização tem acesso ao serviço e o que eles podem acessar.

Atualizando dados pessoais

Os dados pessoais sobre os usuários são derivados do objeto do usuário nos aplicativos SaaS usados. Por isso, todas as alterações feitas no perfil do usuário desses aplicativos se refletem no Cloud App Security.

Localização dos dados

Atualmente, o Cloud App Security opera em datacenters na União Europeia, no Reino Unido e nos Estados Unidos (locais considerados "áreas geográficas"). Os dados coletados do cliente pelo serviço são armazenados em repouso da seguinte maneira: (a) para clientes cujos locatários estão provisionados na União Europeia ou no Reino Unido, em um desses dois locais; (b) ou em um data center na área geográfica mais próxima do local em que o locatário do Azure Active Directory do cliente foi provisionado; ou (c) se o Cloud App Security usar outro serviço online da Microsoft (como o Azure Active Directory ou a CDN do Azure) para processar esses dados, a geolocalização deles será definida pelas regras de armazenamento de dados desse outro serviço online.

Observação

O Cloud App Security usa os data centers do Azure em todo o mundo para fornecer desempenho otimizado por meio de geolocalização. Isso significa que a sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e da localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.

Saiba mais sobre privacidade

Transparência

A Microsoft proporciona transparência sobre suas práticas:

  • Ao compartilhar com você onde os dados são armazenados.
  • Ao afirmar que seus dados são usados apenas para fornecer os serviços combinados.
  • Ao especificar como os engenheiros da Microsoft e os subcontratados aprovados usam esses dados para fornecer serviços.

A Microsoft usa controles estritos para controlar o acesso aos dados de clientes, concedendo o menor nível de acesso necessário para concluir as principais tarefas e revogando o acesso quando ele não for mais necessário.

Proteção de dados

O Cloud App Security impõe a proteção de dados durante a inspeção de conteúdo. O conteúdo do arquivo não é armazenado no datacenter do Cloud App Security. São armazenados somente os metadados dos registros de arquivos e as correspondências identificadas.

Retenção de dados

O Cloud App Security mantém os dados da seguinte maneira:

  • Log de atividades: 180 dias
  • Dados de descoberta: 90 dias
  • Alertas: 180 dias
  • Log de governança: 120 dias

Você pode aprender mais sobre práticas de dados da Microsoft lendo os Termos de Serviço Online.

Saiba mais sobre transparência

Fluxo de dados

O Cloud App Security proporciona a conveniência de trabalhar com alguns dados, como alertas e atividades, sem interromper o fluxo de trabalho de segurança usual. Por exemplo, o SecOps pode optar por exibir alertas em seu produto SIEM preferido, como o Azure Sentinel. Para habilitar esses fluxos de trabalho, ao ser integrado com produtos da Microsoft ou de terceiros, o Cloud App Security expõe alguns dados por meio deles.

A tabela a seguir mostra quais dados são exibidos para cada integração de produto:

Produtos da Microsoft

Produto Dados expostos Configuração
Microsoft 365 Defender Alertas e atividades do usuário Habilitados automaticamente no Microsoft 365 Defender após a integração
Azure Sentinel Alertas e dados de descoberta Habilitado no Cloud App Security e configurado no Azure Sentinel
Centro de Conformidade e Segurança do Office Alertas para o Office 365 Transmitido automaticamente para o Centro de Conformidade e Segurança do Office
Central de Segurança do Azure Alertas para o Azure Habilitado por padrão no Cloud App Security; pode ser desabilitado na Central de Segurança do Azure
API de Segurança do Microsoft Graph Alertas Disponível pela API de Segurança do Microsoft Graph
Microsoft Power Automate Alertas enviados para disparar um fluxo automatizado Configurado no Cloud App Security

Produtos de terceiros

Tipo de integração Dados expostos Configuração
Uso de um agente SIEM Alertas e eventos Habilitado e configurado no Cloud App Security
Uso da API REST do Cloud App Security Alertas e eventos Habilitado e configurado no Cloud App Security
Conector ICAP Arquivo para verificação de DLP Habilitado e configurado no Cloud App Security

Observação

Outros produtos podem não impor as permissões de segurança do Cloud App Security baseadas em função para controlar quem tem acesso a quais dados. Portanto, antes de fazer a integração com outros produtos, entenda quais dados são enviados para o produto que você deseja usar e quem tem acesso a ele.

Excluindo dados pessoais

Depois que os dados são excluídos de um aplicativo de nuvem conectado, o Cloud App Security exclui automaticamente a cópia dos dados em até dois anos.

Exportando dados pessoais

O Cloud App Security proporciona a capacidade de exportar para CSV todas as informações de alertas de segurança e atividades de usuários.

Segurança

Criptografia

A Microsoft usa a tecnologia de criptografia para proteger seus dados em repouso em um banco de dados da Microsoft e quando eles são transferidos entre os dispositivos do usuário e os data centers do Cloud App Security. Além disso, toda a comunicação entre Cloud App Security e aplicativos conectados é criptografada usando HTTPS.

Observação

O Cloud App Security usa protocolos TLS 1.2+ para fornecer a melhor criptografia do setor. Aplicativos cliente nativos e navegadores que não são compatíveis com TLS 1.2+ não estarão acessíveis quando configurados com controle de sessão. No entanto, aplicativos SaaS que usam TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configurados com o Cloud App Security.

Gerenciamento de identidade e acesso

O Cloud App Security permite limitar o acesso de administradores ao portal com base na localização geográfica por meio do Azure Active Directory. É possível exigir autenticação multifator para acessar o portal do Cloud App Security usando o acesso do Azure Active Directory.

Permissões

O Cloud App Security dá suporte a controle de acesso baseado em função. As funções de administrador global e de administrador de segurança do Office 365 e do Azure Active Directory têm acesso completo ao Cloud App Security, e os leitores de Segurança têm acesso de leitura. Para saber mais.

Controles de cliente para a conformidade organizacional

Implantação com escopo

O Cloud App Security permite definir o escopo da implantação. Isso permite que você administre apenas grupos específicos usando o Cloud App Security ou que você exclua grupos específicos da governança do Cloud App Security. Para saber mais, confira Implantação com escopo.

Anonimização

Você pode optar por manter os relatórios do Cloud Discovery como anônimos. Depois que os arquivos de log são carregados no Microsoft Cloud App Security, todas as informações de nomes de usuário são substituídas por nomes de usuário criptografados. Em investigações de segurança específicas, você pode revelar o nome real do usuário. Dados particulares são criptografados usando AES-128 com uma chave dedicada por locatário. Para saber mais.

Segurança e privacidade para clientes do US Government GCC High do Cloud App Security

Para saber mais sobre os padrões de conformidade do Cloud App Security e o local dos dados dos clientes do US Government GCC High, confira a Descrição do serviço Enterprise Mobility + Security para US Government.

Próximas etapas

Obtenha uma avaliação gratuita do Cloud App Security e veja como ele atende aos desafios dos seus negócios.