Práticas de segurança e privacidade de dados para o Defender para Aplicativos de Nuvem
Observação
Este artigo mostra as etapas de como excluir dados pessoais do dispositivo ou serviço e pode ser usado para dar suporte às suas obrigações de acordo com o GDPR. Se você estiver buscando informações gerais sobre o GDPR, confira a seção GDPR do portal do serviço de confiança.
O Microsoft Defender para Aplicativos na Nuvem é um componente crítico do conjunto do Microsoft Cloud Security. É uma solução abrangente que ajuda sua organização a aproveitar totalmente a promessa dos aplicativos na nuvem. O Defender para Aplicativos de Nuvem mantém você no controle por meio da visibilidade abrangente, auditoria e controles granulares sobre seus dados confidenciais.
O Microsoft Defender para Aplicativos de Nuvem traz ferramentas que ajudam a descobrir a TI sombra e avaliar riscos, permitindo que você imponha políticas e investigue atividades. Ele ajuda você a controlar o acesso em tempo real e a impedir ameaças, para que sua organização possa migrar com mais segurança para a nuvem.
Conformidade com o Defender para Aplicativos de Nuvem
Em um mundo em que violações a dados e ataques são ocorrências diárias, é essencial que as organizações escolham um Agente de segurança de acesso à nuvem (CASB) que empreenda todos os esforços para proteger seus dados. O Microsoft Defender para Aplicativos de Nuvem, como todos os produtos e serviços de nuvem da Microsoft, foi criado com o objetivo de atender às rigorosas demandas de segurança e privacidade de nossos clientes.
Para ajudar as organizações a atender aos requisitos regionais, nacionais e específicos do setor que controlam a coleta e o uso de dados de indivíduos, o Microsoft Defender para Aplicativos de Nuvem fornece um conjunto abrangente de ofertas de conformidade. As ofertas de conformidade incluem certificações e atestados.
Estrutura e ofertas de conformidade
O Microsoft Defender para Aplicativos de Nuvem atende a vários padrões de conformidade internacional e específicos do setor, incluindo, mas não limitado a:
| Organização | Título | Descrição |
|---|---|---|
 |
Atestado CSA STAR | O Azure e o Intune receberam o atestado Cloud Security Alliance STAR com base em uma auditoria independente. |
|
Certificação CSA STAR | O Azure, o Intune e o Power BI receberam a certificação Cloud Security Alliance STAR no nível Gold. |
 |
Cláusulas de modelo da UE | A Microsoft oferece Cláusulas Contratuais Padrão da UE, que são garantias para transferências de dados pessoais. |
 |
HIPAA/HITECH | A Microsoft oferece Health Insurance Portability e Accountability Act Business Associate Agreements (BAAs). |
 |
ISO 9001 | A Microsoft recebeu o certificado por sua implementação desses padrões de gerenciamento de qualidade. |
 |
ISO/IEC 27001 | A Microsoft recebeu o certificado por sua implementação desses padrões de gerenciamento de segurança da informação. |
 |
ISO/IEC 27018 | A Microsoft foi a primeira provedora de nuvem a aderir a esse código de prática para privacidade na nuvem. |
 |
PCI DSS | O Azure está em conformidade com o padrão Payment Card Industry Data Security Standards nível 1, versão 3.1. |
 |
Relatórios tipo 2 de SOC 1 e SOC 2 | Os serviços em nuvem da Microsoft estão em conformidade com os padrões de Controles de Organização de Serviços para segurança operacional. |
|
SOC 3 | Os serviços em nuvem da Microsoft estão em conformidade com os padrões de Controles de Organização de Serviços para segurança operacional. |
 |
G-Cloud do Reino Unido | O Crown Commercial Service renovou a classificação dos serviços de nuvem da Microsoft para Government Cloud v6. |
Para obter mais informações, acesse Ofertas de conformidade da Microsoft.
Privacidade
Você é o proprietário de seus dados
No Microsoft Defender para Aplicativos de Nuvem, seus administradores podem exibir dados de identificação pessoal armazenados no serviço do portal usando a barra de Pesquisa.
Os administradores podem pesquisar metadados de um usuário específico ou a atividade do usuário. A seleção de uma entidade abre a página Usuários. A página Usuários fornece detalhes abrangentes sobre a entidade, extraídos de aplicativos de nuvem conectados. Ela também fornece o histórico de atividades e alertas de segurança do usuário.
Você é proprietários dos seus dados e pode cancelar assinaturas e solicitar a exclusão dos dados a qualquer momento. Se você não renovar sua assinatura, seus dados serão excluídos dentro do prazo especificado nos Termos de Serviços Online.
Se optar por encerrar o serviço, você poderá levar seus dados consigo.
O Defender para Aplicativos de Nuvem é o processador dos seus dados
O Defender para Aplicativos de Nuvem usa seus dados apenas para fins consistentes com o fornecimento dos serviços que você assina.
Se um governo entrar em contato com a Microsoft para obter acesso aos seus dados, a Microsoft redirecionará a consulta a você, o cliente, sempre que possível. A Microsoft desafiou exigências legais que não eram válidas, que proibiam a divulgação de informações de uma solicitação de governo por dados do cliente. Saiba mais sobre quem pode acessar seus dados e sob quais condições.
Controles de privacidade
- Os controles de privacidade ajudam você a definir quem em sua organização tem acesso ao serviço e o que eles podem acessar.
Atualizando dados pessoais
Os dados pessoais sobre usuários derivam do objeto do usuário nos aplicativos SaaS usados. Por isso, qualquer alteração feita no perfil do usuário nesses aplicativos é refletida no Microsoft Defender para Aplicativos de Nuvem.
Localização dos dados
Atualmente, o Defender para Aplicativos de Nuvem opera em datacenters na União Europeia, no Reino Unido e nos Estados Unidos (cada um deles um "Geo").
O Defender para Aplicativos de Nuvem usa os Data Centers do Azure em todo o mundo para fornecer desempenho otimizado por meio da geolocalização. Isso significa que a sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e da sua localização. No entanto, para proteger sua privacidade, dados de sessão não são armazenados nesses data centers.
Para obter mais informações, consulte o Microsoft Trust Center.
Locais de armazenamento de dados do Defender para Aplicativos de Nuvem
Os dados do cliente coletados pelo serviço são armazenados em repouso da seguinte maneira:
| Local de provisionamento do cliente | Local de armazenamento de dados |
|---|---|
| Clientes cujos inquilinos são provisionados na União Europeia ou no Reino Unido | Ou a União Europeia ou o Reino Unido |
| Todos os outros clientes | A região geográfica mais próxima do local onde o locatário do Microsoft Entra do cliente foi provisionado |
Se o Defender para Aplicativos de Nuvem usar outro serviço online da Microsoft, como a ID do Microsoft Entra ou a CDN do Azure para processar esses dados, a localização geográfica dos dados será definida pelas regras de armazenamento de dados desse outro serviço online.
Locais de armazenamento de dados de governança de aplicativos
Os dados do cliente coletados pelo serviço são armazenados em repouso da seguinte maneira:
| Local de provisionamento do cliente | Local de armazenamento de dados |
|---|---|
| Clientes cujos locatários são provisionados nos Estados Unidos | Estados Unidos |
| Clientes cujos inquilinos são provisionados na União Europeia ou no Reino Unido | Ou a União Europeia ou o Reino Unido |
| Clientes cujos locatários são provisionados na Ásia-Pacífico | Ásia-Pacífico ou Estados Unidos |
| Clientes cujos locatários são provisionados no Canadá | Canadá ou Estados Unidos |
| Clientes cujos locatários são provisionados na Índia | Ou Índia ou Estados Unidos |
| Clientes cujos locatários são provisionados em qualquer outra região | Os Estados Unidos ou um data center na região geográfica mais próximo do local onde o locatário do Microsoft Entra do cliente foi provisionado |
Se a governança de aplicativos usar outro serviço online da Microsoft, como a ID do Microsoft Entra ou a CDN do Azure para processar esses dados, a localização geográfica dos dados será definida pelas regras de armazenamento de dados desse outro serviço online.
A governança de aplicativos agora faz parte do Microsoft Defender para Aplicativos de Nuvem. Para clientes existentes, até junho de 2024, moveremos seus dados para corresponder à sua residência de dados do Microsoft Defender para Aplicativos de Nuvem. Não há necessidade de trabalho do seu lado e não haverá interrupções no serviço. Para obter mais informações, consulte Locais de armazenamento de dados do Defender para Aplicativos de Nuvem.
Transparência
A Microsoft fornece transparência sobre suas práticas:
- Compartilhando com você o local em que os dados são armazenados.
- Afirmando que seus dados são usados apenas para fornecer os serviços acordados.
- Especificando como os engenheiros da Microsoft e os subcontratados aprovados usam esses dados para fornecer serviços.
A Microsoft usa os controles rígidos para controlar o acesso a dados do cliente, concedendo o menor nível de acesso necessário para concluir tarefas importantes e revogando o acesso quando não for mais necessário.
Proteção de dados
O Defender para Aplicativos de Nuvem impõe a proteção de dados durante a inspeção de conteúdo. O conteúdo dos arquivos não é armazenado no datacenter do Defender para Aplicativos de Nuvem. Apenas os metadados dos registros de arquivo e as correspondências identificadas são armazenados.
Retenção de dados
O Defender para Aplicativos de Nuvem retém os dados da seguinte maneira:
- Log de atividades: 180 dias
- Dados de descoberta: 90 dias
- Alertas: 180 dias
- Log de governança: 120 dias
Você pode aprender mais sobre práticas de dados da Microsoft lendo os Termos de Serviço Online.
Saiba mais sobre transparência
Compartilhamento de dados
O Defender para Aplicativos de Nuvem compartilha dados, incluindo dados de clientes, entre os seguintes produtos da Microsoft também licenciados pelo cliente:
Microsoft Defender para Nuvem
Microsoft Sentinel
Microsoft Defender para ponto de extremidade
Gerenciamento de exposição de segurança da Microsoft (visualização pública)
Microsoft Purview
Microsoft Purview
Exclusão de dados pessoais
Depois que a conta de um usuário for excluída de um aplicativo de nuvem conectado, o Defender para Aplicativos de Nuvem excluirá automaticamente a cópia dos dados dentro de dois anos.
Exportação de dados pessoais
O Defender para Aplicativos de Nuvem fornece a capacidade de exportar para CSV todas as atividades do usuário e informações de alerta de segurança.
Fluxo de dados
O Defender para Aplicativos de Nuvem oferece a conveniência de trabalhar com alguns dados, como alertas e atividades, sem interromper seu fluxo de trabalho de segurança habitual. Por exemplo, o SecOps pode preferir visualizar alertas em seu produto SIEM preferido, como o Microsoft Sentinel. Para habilitar esses fluxos de trabalho, ao se integrar com produtos da Microsoft ou de terceiros, o Defender para Aplicativos de Nuvem expõe alguns dados por meio deles.
A tabela a seguir mostra quais dados são exibidos para cada integração de produto:
Produtos da Microsoft
| Product | Dados expostos | Configuração |
|---|---|---|
| Microsoft Defender XDR | Alertas e atividades dos usuários | Habilitado automaticamente no Microsoft Defender XDR na integração |
| Microsoft Sentinel | Alertas e dados de descoberta | Habilitado no Defender para Aplicativos de Nuvem e configurado no Microsoft Sentinel |
| Portal de conformidade do Microsoft Purview | Alertas para o Microsoft 365 | Transmitido automaticamente para o portal de conformidade do Microsoft Purview |
| Microsoft Defender para Nuvem | Alertas do Azure | Habilitado por padrão no Defender para Aplicativos de Nuvem; pode ser desativado no Microsoft Defender for Cloud |
| API de Segurança do Microsoft Graph | Alertas | Disponível por meio da API de segurança do Microsoft Graph |
| Microsoft Power Automate | Alertas enviados para acionar um fluxo automatizado | Configurado no Defender para Aplicativos de Nuvem |
| Microsoft Threat Experts | Alertas | Transmitido automaticamente para especialistas em ameaças da Microsoft |
| Proteção do Microsoft Entra ID | Alertas | Transmitido automaticamente para o Microsoft Entra ID Protection |
| Proteção do Microsoft Entra ID | Subconjunto de alertas para o modelo de risco de identidade | Habilitado automaticamente no Microsoft Entra ID Protection na integração |
Produtos de terceiros
| Tipo de integração | Dados expostos | Configuração |
|---|---|---|
| Usando um agente SIEM | Alertas e eventos | Habilitado e configurado no Defender para Aplicativos de Nuvem |
| Usando a API REST do Defender para Aplicativos de Nuvem | Alertas e eventos | Habilitado e configurado no Defender para Aplicativos de Nuvem |
| Conector ICAP | Arquivo para varredura DLP | Habilitado e configurado no Defender para Aplicativos de Nuvem |
Observação
Outros produtos podem não impor permissões de segurança baseadas em função do Defender para Aplicativos de Nuvem para controlar quem tem acesso a quais dados. Portanto, antes de integrar com outros produtos, certifique-se de entender quais dados são enviados para o produto que você deseja utilizar e quem tem acesso a eles.
Segurança
Criptografia
A Microsoft usa a tecnologia de criptografia para proteger seus dados em repouso em um banco de dados da Microsoft, e quando são transmitidos entre dispositivos de usuário e data centers do Defender para Aplicativos de Nuvem. Além disso, toda a comunicação entre o Defender para Aplicativos de Nuvem e aplicativos conectados é criptografada usando HTTPS.
Observação
O Defender para Aplicativos de Nuvem aproveita os protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria. Aplicativos cliente nativos e navegadores que não oferecem suporte ao TLS 1.2+ não ficarão acessíveis quando configurados com controle de sessão. No entanto, os aplicativos SaaS que usam TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configurados com o Defender para Aplicativos de Nuvem.
Gerenciamento de identidade e de acesso
O Defender para Aplicativos de Nuvem permite limitar o acesso de administradores ao portal com base na geolocalização usando o Microsoft Entra ID. É possível exigir autenticação multifator para acessar o portal do Defender para Aplicativos de Nuvem usando o Microsoft Entra ID.
Permissões
O Defender para Aplicativos de Nuvem oferece suporte ao controle de acesso baseado em função. As funções de administrador e administrador de segurança do Microsoft 365 e do Microsoft Entra Global têm acesso total ao Defender para Aplicativos de Nuvem, e os leitores de segurança têm acesso de leitura. Para saber mais.
Controles de cliente para conformidade organizacional
Implantação com escopo
O Defender para Aplicativos de Nuvem permite que você defina o escopo de sua implantação. A definição de escopo permite que você controle apenas grupos específicos usando o Defender para Aplicativos de Nuvem ou exclua grupos específicos da governança do Defender para Aplicativos de Nuvem. Para saber mais, confira Implantação com escopo.
Anonimização
Você pode optar por manter os relatórios do Cloud Discovery anônimos. Após o upload dos arquivos de log no Microsoft Defender para Aplicativos de Nuvem, todas as informações de nome de usuário são substituídas por nomes de usuário criptografados. Para investigações de segurança específicas, você pode resolver o nome de usuário real. Dados particulares são criptografados usando AES-128 com uma chave dedicada por locatário. Para saber mais.
Segurança e privacidade para aplicativos do Defender for Cloud Clientes GCC High do governo dos EUA
Para obter informações sobre os padrões de conformidade do Defender para Aplicativos de Nuvem e a localização dos dados para clientes GCC High do governo dos EUA, consulte Descrição do serviço Enterprise Mobility + Security for US Government.
Próximas etapas
- Visão geral do Defender para Aplicativos de Nuvem
- Documentação do Defender para Aplicativos de Nuvem
- Inscrever-se no Defender para Aplicativos dw Nuvem
Obtenha uma avaliação gratuita do Defender para Aplicativos de Nuvem e veja como ele atende aos seus desafios comerciais.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de