Quais são Microsoft Defender for Cloud Apps práticas de segurança e privacidade de dados?
Nota
Rebaptizámo-Microsoft Cloud App Security. Agora chama-se Microsoft Defender for Cloud Apps. Nas próximas semanas, atualizaremos as imagens e instruções aqui e em páginas relacionadas. Para mais informações sobre a mudança, consulte este anúncio. Para saber mais sobre o recente renomeamento dos serviços de segurança da Microsoft, consulte o blog Microsoft Ignite Security.
Microsoft Defender for Cloud Apps agora faz parte da Microsoft 365 Defender. O portal Microsoft 365 Defender permite que os administradores de segurança executem as suas tarefas de segurança num local. Isto simplificará os fluxos de trabalho e adicionará a funcionalidade dos outros serviços Microsoft 365 Defender. Microsoft 365 Defender será a casa para monitorizar e gerir a segurança através das suas identidades, dados, dispositivos, apps e infraestruturas da Microsoft. Para mais informações sobre estas alterações, consulte Microsoft Defender for Cloud Apps em Microsoft 365 Defender.
Nota
Este artigo mostra os passos para eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para dar apoio às suas obrigações ao abrigo do GDPR. Se estiver à procura de informações gerais sobre o GDPR, veja a secção GDPR do Portal de Confiança do Serviço.
Microsoft Defender for Cloud Apps é um componente crítico da stack microsoft Cloud Security. É uma solução abrangente que ajuda a sua organização a tirar o máximo partido da promessa de aplicações em nuvem. Defender para a Cloud Apps mantém-no no controlo através de controlos abrangentes de visibilidade, auditoria e granular sobre os seus dados sensíveis.
Defender para a Cloud Apps tem ferramentas que ajudam a descobrir a sombra de TI e a avaliar o risco, ao mesmo tempo que lhe permite impor políticas e investigar atividades. Ajuda-o a controlar o acesso em tempo real e a parar ameaças para que a sua organização possa mover-se com mais segurança para a nuvem.
cumprimento de Defender para a Cloud Apps
Num mundo onde as violações de dados e os ataques são ocorrências diárias, é essencial que as organizações escolham um Corretor de Segurança de Acesso à Nuvem (CASB) que faça todos os esforços para proteger os seus dados. Defender para a Cloud Apps, como todos os produtos e serviços na nuvem da Microsoft, foi construído para responder às rigorosas exigências de segurança e privacidade dos nossos clientes.
Para ajudar as organizações a cumprirem os requisitos nacionais, regionais e específicos da indústria que regem a recolha e utilização de dados individuais, Defender para a Cloud Apps fornece um conjunto abrangente de ofertas de conformidade. As ofertas de conformidade incluem certificações e atestados.
Quadro de conformidade e ofertas
Defender para a Cloud Apps cumprem muitos padrões de conformidade internacionais e específicos da indústria, incluindo, mas não se limitando a:
| Organização | Título | Descrição |
|---|---|---|
 |
Atestado CSA STAR | Azure e Intune foram premiados com o Cloud Security Alliance STAR Attestation com base numa auditoria independente. |
 |
Certificação CSA STAR | Azure, Intune e Power BI foram premiados com a Certificação Cloud Security Alliance STAR a nível de Ouro. |
 |
Cláusulas-modelo da UE | A Microsoft oferece cláusulas contratuais padrão da UE, garantias para transferências de dados pessoais. |
 |
HIPAA/HITECH | A Microsoft oferece acordos de associação de negócios (BAAs) de seguros de & saúde. |
 |
ISO 9001 | A Microsoft está certificada para a sua implementação destes padrões de gestão de qualidade. |
 |
ISO/IEC 27001 | A Microsoft está certificada para a implementação destes padrões de gestão da segurança da informação. |
 |
ISO/IEC 27018 | A Microsoft foi o primeiro fornecedor de cloud a aderir a este código de prática para a privacidade na nuvem. |
 |
PCI DSS | O Azure está em conformidade com as normas de segurança de dados da indústria de cartões de pagamento Nível 1 versão 3.1. |
 |
Relatórios SOC 1 e SOC 2 Tipo 2 | Os serviços na nuvem da Microsoft cumprem as normas da Organização de Serviços para a segurança operacional. |
|
SOC 3 | Os serviços na nuvem da Microsoft cumprem as normas da Organização de Serviços para a segurança operacional. |
 |
G-Cloud do Reino Unido | O Serviço Comercial Crown renovou a classificação dos serviços em nuvem da Microsoft para o Government Cloud v6. |
Para mais informações, aceda às Ofertas de Conformidade da Microsoft.
Privacidade
É o proprietário dos seus dados.
Em Defender para a Cloud Apps, os seus administradores podem ver os dados pessoais identificáveis armazenados no serviço a partir do portal utilizando a barra de Pesquisa.
Os administradores podem procurar os metadados de um utilizador específico ou a atividade do utilizador. Clicar numa entidade abre os Utilizadores e contas. A página de Utilizadores e contas fornece-lhe detalhes abrangentes sobre a entidade que são retiradas de aplicações de nuvem conectadas. Também fornece o histórico de atividade do utilizador e alertas de segurança relacionados com o utilizador.
É dono dos seus dados e pode cancelar subscrições e solicitar a eliminação dos seus dados a qualquer momento. Se não renovar a sua subscrição, os seus dados serão eliminados dentro da linha temporal especificada nos Termos dos Serviços Online.
Se alguma vez optar por encerrar o serviço, pode levar os seus dados consigo.
Defender para a Cloud Apps é o processador dos seus dados
Defender para a Cloud Apps utiliza os seus dados apenas para fins consistentes com a prestação dos serviços a que subscreve.
Se um governo se aproximar da Microsoft para aceder aos seus dados, a Microsoft redireciona o inquérito para si, o cliente, sempre que possível. A Microsoft contestou exigências legais que não eram válidas, que proíbem a divulgação de um pedido governamental de dados dos clientes. Saiba mais sobre quem pode aceder aos seus dados e em que termos.
Controlos de privacidade
- Os controlos de privacidade ajudam-no a configurar quem na sua organização tem acesso ao serviço e ao que pode aceder.
Atualizar dados pessoais
Os dados pessoais sobre os utilizadores são derivados do objeto do utilizador nas aplicações SaaS utilizadas. Por isso, quaisquer alterações feitas ao perfil do utilizador nestas aplicações refletem-se em Defender para a Cloud Apps.
Localização dos dados
Defender para a Cloud Apps opera atualmente em datacenters na União Europeia, Reino Unido e Estados Unidos (cada um de "Geo"). Os dados dos clientes recolhidos pelo serviço são armazenados em repouso da seguinte forma a (a) para clientes cujos inquilinos sejam a provisionados na União Europeia ou no Reino Unido, quer na União Europeia, quer no Reino Unido; b Caso contrário, um centro de dados no Geo que esteja mais próximo do local onde o Azure Ative Directory inquilino do cliente foi a provisionado; ou c se Defender para a Cloud Apps utilizar outro serviço online da Microsoft (como Azure Ative Directory ou CDN do Azure ) para o tratamento desses dados, a geolocalização de dados será definida pelas regras de armazenamento de dados desse outro serviço online.
Nota
Defender para a Cloud Apps usa Centros de Dados Azure em todo o mundo para fornecer desempenho otimizado através da geolocalização. Isto significa que a sessão de um utilizador pode ser hospedada fora de uma determinada região, dependendo dos padrões de tráfego e da sua localização. No entanto, para proteger a sua privacidade, nenhum dado de sessão é armazenado nestes centros de dados.
Transparência
A Microsoft fornece transparência sobre as suas práticas:
- Partilhar consigo onde os seus dados estão armazenados.
- Afirmando que os seus dados são utilizados apenas para prestar serviços acordados.
- Especificando como os engenheiros da Microsoft e subcontratados aprovados utilizam estes dados para fornecer serviços.
A Microsoft utiliza controlos rigorosos para reger o acesso aos dados dos clientes, concedendo o nível de acesso mais baixo necessário para completar tarefas-chave e revogando o acesso quando já não é necessário.
Proteção de dados
Defender para a Cloud Apps aplica a proteção de dados durante a inspeção de conteúdos. O conteúdo do ficheiro não é armazenado no datacenter Defender para a Cloud Apps. Apenas os metadados dos registos de ficheiros e quaisquer correspondências identificadas são armazenados.
Retenção de dados
Defender para a Cloud Apps retém os dados da seguinte forma:
- Registo de atividades: 180 dias
- Dados de deteção: 90 dias
- Alertas: 180 dias
- Diário de governo: 120 dias
Pode saber mais sobre as práticas de dados da Microsoft lendo os Termos de Serviço Online.
Saiba mais sobre transparência
Eliminar dados pessoais
Depois de a conta de um utilizador ser eliminada de uma aplicação na nuvem conectada, Defender para a Cloud aplicações eliminarão automaticamente a cópia dos dados dentro de dois anos.
Exportar dados pessoais
Defender para a Cloud Apps fornece-lhe a capacidade de exportar para CSV todas as informações de atividade do utilizador e alerta de segurança.
Fluxo de dados
Defender para a Cloud Apps fornece-lhe a conveniência de trabalhar com alguns dados, tais como alertas e atividades, sem perturbar o seu fluxo de trabalho de segurança habitual. Por exemplo, os SecOps podem preferir visualizar alertas no seu produto SIEM preferido, como o Microsoft Sentinel. Para permitir tais fluxos de trabalho, ao integrar-se com a Microsoft ou produtos de terceiros, Defender para a Cloud Apps expõe alguns dados através dos mesmos.
A tabela a seguir mostra quais os dados apresentados para cada integração do produto:
Produtos Microsoft
| Produto | Dados expostos | Configuração |
|---|---|---|
| Microsoft 365 Defender | Alertas e atividades de utilizadores | Ativado automaticamente no Microsoft 365 Defender após o embarque |
| Microsoft Sentinel | Alertas e dados de descoberta | Ativado em Defender para a Cloud Apps e configurado no Microsoft Sentinel |
| Portal de Conformidade do Microsoft Purview | Alertas para Office 365 | Transmitido automaticamente para Portal de Conformidade do Microsoft Purview |
| Microsoft Defender para a Cloud | Alertas para Azure | Ativado por padrão em Defender para a Cloud Apps; pode ser desativado em Microsoft Defender para a Cloud |
| API de Segurança do Microsoft Graph | Alertas | Disponível via Microsoft Graph API de Segurança |
| Microsoft Power Automate | Alertas enviados para desencadear um fluxo automatizado | Configurado em Defender para a Cloud Apps |
Produtos de terceiros
| Tipo de integração | Dados expostos | Configuração |
|---|---|---|
| Usando um agente SIEM | Alertas e eventos | Ativado e configurado em Defender para a Cloud Apps |
| Usando o Defender para a Cloud Apps REST API | Alertas e eventos | Ativado e configurado em Defender para a Cloud Apps |
| Conector ICAP | Arquivo para digitalização DLP | Ativado e configurado em Defender para a Cloud Apps |
Nota
Outros produtos não podem impor Defender para a Cloud permissões de segurança baseadas em funções da Apps para controlar quem tem acesso a que dados. Portanto, antes de se integrar com outros produtos, certifique-se de que entende quais os dados enviados para o produto que pretende utilizar e quem tem acesso ao mesmo.
Segurança
Encriptação
A Microsoft utiliza tecnologia de encriptação para proteger os seus dados enquanto está em repouso numa base de dados da Microsoft e quando viaja entre dispositivos de utilizador e Defender para a Cloud centros de dados de Apps. Além disso, toda a comunicação entre Defender para a Cloud Apps e aplicações conectadas é encriptada usando HTTPS.
Nota
Defender para a Cloud Apps aproveita os protocolos de Segurança da Camada de Transporte (TLS) 1.2+ para fornecer encriptação de classe mais alta. Aplicações e navegadores nativos de clientes que não suportem TLS 1.2+, não serão acessíveis quando configurados com controlo de sessão. No entanto, as aplicações SaaS que utilizam TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configuradas com Defender para a Cloud Apps.
Gestão de identidades e acessos
Defender para a Cloud Apps permite limitar o acesso dos administradores ao portal com base na geolocalização utilizando Azure Ative Directory. É possível exigir a autenticação de vários fatores para aceder ao portal Defender para a Cloud Apps utilizando Azure Ative Directory.
Permissões
Defender para a Cloud Apps suporta o controlo de acesso baseado em funções. Office 365 e Azure Ative Directory os funções de administração global e de administração de segurança têm acesso total a aplicações de Defender para a Cloud, e os leitores de Segurança leram o acesso. Para mais informações.
Controlos do cliente para a conformidade organizacional
Implementação confinada
Defender para a Cloud Apps permite-lhe estender o âmbito da sua implementação. A deteção permite-lhe governar apenas grupos específicos que usam Defender para a Cloud Apps, ou excluir grupos específicos da governação de Defender para a Cloud Apps. Para mais informações, consulte a implementação do Scoped.
Tornar anónimo
Pode optar por manter os relatórios da Cloud Discovery anónimos. Depois de os seus ficheiros de registo serem enviados para Microsoft Defender for Cloud Apps, todas as informações do nome de utilizador são substituídas por nomes de utilizadores encriptados. Para investigações de segurança específicas, pode resolver o verdadeiro nome de utilizador. Os dados privados são encriptados através de AES-128 com uma chave dedicada por inquilino. Para mais informações.
Segurança e Privacidade para Defender para a Cloud Apps EUA Governo GCC clientes altos
Para obter informações sobre Defender para a Cloud normas de conformidade com apps e a localização de dados para o Governo dos EUA GCC clientes altos, consulte Enterprise Mobility + Security para descrição do serviço do Governo dos EUA.
Passos seguintes
- Visão geral das apps de Defender para a Cloud
- documentação Defender para a Cloud Apps
- Inscreva-se para Defender para a Cloud Apps
Obtenha um teste gratuito de Defender para a Cloud Apps, e veja como ele lida com os desafios do seu negócio.