Práticas de segurança e privacidade de dados para o Defender for Cloud Apps
Nota
Este artigo mostra os passos para eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para dar apoio às suas obrigações ao abrigo do GDPR. Se estiver à procura de informações gerais sobre o GDPR, veja a secção GDPR do Portal de Confiança do Serviço.
O Microsoft Defender for Cloud Apps é um componente crítico da pilha do Microsoft Cloud Security. É uma solução abrangente que ajuda a sua organização a tirar o máximo partido da promessa das aplicações na nuvem. O Defender for Cloud Apps mantém você no controle por meio de visibilidade abrangente, auditoria e controles granulares sobre seus dados confidenciais.
O Defender for Cloud Apps tem ferramentas que ajudam a descobrir a TI sombra e a avaliar riscos, ao mesmo tempo que lhe permitem aplicar políticas e investigar atividades. Ele ajuda você a controlar o acesso em tempo real e impedir ameaças para que sua organização possa migrar para a nuvem com mais segurança.
Conformidade com o Defender for Cloud Apps
Em um mundo onde violações de dados e ataques são ocorrências diárias, é essencial que as organizações escolham um Cloud Access Security Broker (CASB) que faça todos os esforços para proteger seus dados. O Defender for Cloud Apps, como todos os produtos e serviços de nuvem da Microsoft, foi criado para atender às rigorosas demandas de segurança e privacidade de nossos clientes.
Para ajudar as organizações a cumprir os requisitos nacionais/regionais e específicos do setor que regem a coleta e o uso de dados pessoais, o Defender for Cloud Apps fornece um conjunto abrangente de ofertas de conformidade. As ofertas de conformidade incluem certificações e atestados.
Estrutura e ofertas de conformidade
O Defender for Cloud Apps atende a muitos padrões de conformidade internacionais e específicos do setor, incluindo, entre outros:
| Organization | Title | Description |
|---|---|---|
 |
Atestado CSA STAR | O Azure e o Intune receberam o Atestado STAR da Cloud Security Alliance com base numa auditoria independente. |
|
Certificação CSA STAR | Azure, Intune e Power BI receberam a Certificação STAR da Cloud Security Alliance no nível Gold. |
 |
Cláusulas-modelo da UE | A Microsoft oferece Cláusulas Contratuais-Tipo da UE, garantias para transferências de dados pessoais. |
 |
HIPAA/HITECH | A Microsoft oferece Portabilidade de Seguro de Saúde ou Contratos de Associado Comercial (BAAs) da Lei de Responsabilidade. |
 |
ISO 9001 | A Microsoft é certificada pela implementação destes padrões de gestão da qualidade. |
 |
ISO/IEC 27001 | A Microsoft é certificada pela implementação desses padrões de gerenciamento de segurança da informação. |
 |
ISO/IEC 27018 | A Microsoft foi o primeiro provedor de nuvem a aderir a esse código de prática para privacidade na nuvem. |
 |
PCI DSS | O Azure está em conformidade com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento Nível 1, versão 3.1. |
 |
Relatórios SOC 1 e SOC 2 Tipo 2 | Os serviços de nuvem da Microsoft estão em conformidade com os padrões de Segurança Operacional dos Controles da Organização de Serviços. |
|
SOC 3 | Os serviços de nuvem da Microsoft estão em conformidade com os padrões de Segurança Operacional dos Controles da Organização de Serviços. |
 |
UK G-Cloud | O Crown Commercial Service renovou a classificação de serviços de nuvem da Microsoft para Government Cloud v6. |
Para obter mais informações, vá para Ofertas de conformidade da Microsoft.
Privacidade
Você é o proprietário dos seus dados
No Defender for Cloud Apps, os administradores podem visualizar os dados pessoais identificáveis armazenados no serviço a partir do portal usando a barra de pesquisa.
Os administradores podem pesquisar os metadados ou a atividade de um usuário específico. A seleção de uma entidade abre a página Usuários. A página Usuários fornece detalhes abrangentes sobre a entidade que é extraída de aplicativos de nuvem conectados. Ele também fornece o histórico de atividades do usuário e alertas de segurança relacionados ao usuário.
Você é o proprietário de seus dados e pode cancelar assinaturas e solicitar a exclusão de seus dados a qualquer momento. Se não renovar a sua subscrição, os seus dados serão eliminados dentro do prazo especificado nos Termos dos Serviços Online.
Se alguma vez optar por terminar o serviço, pode levar os seus dados consigo.
O Defender for Cloud Apps é o processador dos seus dados
O Defender for Cloud Apps utiliza os seus dados apenas para fins consistentes com o fornecimento dos serviços que subscreve.
Se um governo entrar em contato com a Microsoft para obter acesso aos seus dados, a Microsoft redirecionará a consulta para você, o cliente, sempre que possível. A Microsoft contestou exigências legais que não eram válidas, que proibiam a divulgação de uma solicitação governamental de dados de clientes. Saiba mais sobre quem pode aceder aos seus dados e em que termos.
Controlos de privacidade
- Os controlos de privacidade ajudam-no a configurar quem na sua organização tem acesso ao serviço e o que pode aceder.
Atualização de dados pessoais
Os dados pessoais sobre os usuários são derivados do objeto do usuário nos aplicativos SaaS usados. Por isso, todas as alterações feitas no perfil de usuário nesses aplicativos são refletidas no Defender for Cloud Apps.
Localização de dados
Atualmente, o Defender for Cloud Apps opera em datacenters na União Europeia, no Reino Unido e nos Estados Unidos (cada um deles um "Geo").
O Defender for Cloud Apps utiliza os Data Centers do Azure em todo o mundo para fornecer um desempenho otimizado através da geolocalização. Isso significa que a sessão de um usuário pode ser hospedada fora de uma região específica, dependendo dos padrões de tráfego e sua localização. No entanto, para proteger sua privacidade, nenhum dado de sessão é armazenado nesses data centers.
Para obter mais informações, veja o Centro de Fidedignidade da Microsoft.
Locais de armazenamento de dados do Defender for Cloud Apps
Os dados do cliente recolhidos pelo serviço são armazenados em repouso da seguinte forma:
| Local de provisionamento do cliente | Local de armazenamento de dados |
|---|---|
| Clientes cujos inquilinos estão provisionados na União Europeia ou no Reino Unido | A União Europeia ou o Reino Unido |
| Todos os outros clientes | O Geo mais próximo do local onde o locatário do Microsoft Entra do cliente foi provisionado |
Se o Defender for Cloud Apps usar outro serviço online da Microsoft, como o Microsoft Entra ID ou a CDN do Azure para processar esses dados, a localização geográfica dos dados será definida pelas regras de armazenamento de dados desse outro serviço online.
Locais de armazenamento de dados de governança de aplicativos
Os dados do cliente recolhidos pelo serviço são armazenados em repouso da seguinte forma:
| Local de provisionamento do cliente | Local de armazenamento de dados |
|---|---|
| Clientes cujos inquilinos estão provisionados nos Estados Unidos | Estados Unidos da América |
| Clientes cujos inquilinos estão provisionados na União Europeia ou no Reino Unido | A União Europeia ou o Reino Unido |
| Clientes cujos inquilinos estão provisionados na Ásia-Pacífico | Ásia-Pacífico ou Estados Unidos |
| Clientes cujos inquilinos estão provisionados no Canadá | Canadá ou Estados Unidos |
| Clientes cujos inquilinos estão provisionados na Índia | Índia ou Estados Unidos |
| Clientes cujos locatários estão provisionados em qualquer outra região | Os Estados Unidos ou um data center na área geográfica mais próximo do local onde o locatário do Microsoft Entra do cliente foi provisionado |
Se a governança do aplicativo usar outro serviço online da Microsoft, como a ID do Microsoft Entra ou a CDN do Azure para processar esses dados, a localização geográfica dos dados será definida pelas regras de armazenamento de dados desse outro serviço online.
A governança de aplicativos agora faz parte do Microsoft Defender for Cloud Apps. Para os clientes existentes, até junho de 2024, moveremos seus dados para corresponder à sua residência de dados do Microsoft Defender for Cloud Apps. Não há trabalho necessário do seu lado e não haverá interrupções no serviço. Para obter mais informações, consulte Locais de armazenamento de dados do Defender for Cloud Apps.
Transparency
A Microsoft fornece transparência sobre suas práticas:
- Partilhar consigo onde os seus dados estão armazenados.
- Afirmando que os seus dados são utilizados apenas para prestar serviços acordados.
- Especificando como os engenheiros da Microsoft e os subcontratados aprovados usam esses dados para fornecer serviços.
A Microsoft usa controles rigorosos para controlar o acesso aos dados do cliente, concedendo o nível mais baixo de acesso necessário para concluir tarefas importantes e revogando o acesso quando ele não é mais necessário.
Proteção de dados
O Defender for Cloud Apps aplica a proteção de dados durante a inspeção de conteúdo. O conteúdo do arquivo não é armazenado no datacenter do Defender for Cloud Apps. Somente os metadados dos registros de arquivo e quaisquer correspondências que foram identificadas são armazenados.
Retenção de dados
O Defender for Cloud Apps retém dados da seguinte forma:
- Registo de atividades: 180 dias
- Dados de deteção: 90 dias
- Alertas: 180 dias
- Log de governança: 120 dias
Você pode saber mais sobre as práticas de dados da Microsoft lendo os Termos de Serviço Online.
Saiba mais sobre transparência
Partilha de dados
O Defender for Cloud Apps partilha dados, incluindo dados de clientes, entre os seguintes produtos Microsoft também licenciados pelo cliente:
Microsoft Defender para a Cloud
Microsoft Sentinel
Microsoft Defender para Ponto Final
Gerenciamento de exposição de segurança da Microsoft (visualização pública)
Microsoft Purview
Microsoft Purview
Eliminação de dados pessoais
Depois que a conta de um usuário for excluída de um aplicativo de nuvem conectado, o Defender for Cloud Apps excluirá automaticamente a cópia dos dados dentro de dois anos.
Exportação de dados pessoais
O Defender for Cloud Apps oferece a capacidade de exportar para CSV todas as informações de atividade do usuário e alertas de segurança.
Fluxo de dados
O Defender for Cloud Apps oferece a conveniência de trabalhar com alguns dados, como alertas e atividades, sem interromper seu fluxo de trabalho de segurança habitual. Por exemplo, o SecOps pode preferir exibir alertas em seu produto SIEM preferido, como o Microsoft Sentinel. Para habilitar esses fluxos de trabalho, ao se integrar com produtos da Microsoft ou de terceiros, o Defender for Cloud Apps expõe alguns dados por meio deles.
A tabela a seguir mostra quais dados são apresentados para cada integração de produto:
Produtos Microsoft
| Produto | Dados expostos | Configuração |
|---|---|---|
| Microsoft Defender XDR | Alertas e atividades do utilizador | Ativado automaticamente no Microsoft Defender XDR após a integração |
| Microsoft Sentinel | Alertas e dados de descoberta | Ativado no Defender for Cloud Apps e configurado no Microsoft Sentinel |
| Portal de conformidade do Microsoft Purview | Alertas para o Microsoft 365 | Transmitido automaticamente para o portal de conformidade do Microsoft Purview |
| Microsoft Defender para a Cloud | Alertas para o Azure | Ativado por padrão no Defender for Cloud Apps; pode ser desativado no Microsoft Defender for Cloud |
| API de Segurança do Microsoft Graph | Alertas | Disponível através da API de Segurança do Microsoft Graph |
| Microsoft Power Automate | Alertas enviados para acionar um fluxo automatizado | Configurado no Defender for Cloud Apps |
| Especialistas em ameaças da Microsoft | Alertas | Transmitido automaticamente para os Especialistas em Ameaças da Microsoft |
| Proteção do Microsoft Entra ID | Alertas | Transmitido automaticamente para o Microsoft Entra ID Protection |
| Proteção do Microsoft Entra ID | Subconjunto de alertas para modelo de risco de identidade | Ativado automaticamente na Proteção de ID do Microsoft Entra após a integração |
Produtos de terceiros
| Tipo de integração | Dados expostos | Configuração |
|---|---|---|
| Usando um agente SIEM | Alertas e eventos | Ativado e configurado no Defender for Cloud Apps |
| Usando a API REST do Defender for Cloud Apps | Alertas e eventos | Ativado e configurado no Defender for Cloud Apps |
| Conector ICAP | Arquivo para verificação DLP | Ativado e configurado no Defender for Cloud Apps |
Nota
Outros produtos podem não impor permissões de segurança baseadas em função do Defender for Cloud Apps para controlar quem tem acesso a quais dados. Portanto, antes de integrar com outros produtos, certifique-se de entender quais dados são enviados para o produto que você deseja usar e quem tem acesso a eles.
Segurança
Encriptação
A Microsoft usa tecnologia de criptografia para proteger seus dados enquanto estão em repouso em um banco de dados da Microsoft e quando eles viajam entre os dispositivos do usuário e os datacenters do Defender for Cloud Apps. Além disso, toda a comunicação entre o Defender for Cloud Apps e os aplicativos conectados é criptografada usando HTTPS.
Nota
O Defender for Cloud Apps aproveita os protocolos TLS (Transport Layer Security) 1.2+ para fornecer a melhor criptografia da categoria. Aplicativos cliente nativos e navegadores que não suportam TLS 1.2+, não estarão acessíveis quando configurados com controle de sessão. No entanto, os aplicativos SaaS que usam TLS 1.1 ou inferior aparecerão no navegador como usando TLS 1.2+ quando configurados com o Defender for Cloud Apps.
Gestão de identidades e acessos
O Defender for Cloud Apps permite limitar o acesso de administradores ao portal com base na geolocalização usando o Microsoft Entra ID. É possível exigir autenticação multifator para acessar o portal do Defender for Cloud Apps usando o Microsoft Entra ID.
Permissões
O Defender for Cloud Apps suporta controle de acesso baseado em função. O Microsoft 365 e o Microsoft Entra As funções de administrador global e administrador de segurança têm acesso total ao Defender for Cloud Apps e os leitores de segurança têm acesso de leitura. Para mais informações.
Controles de clientes para conformidade organizacional
Implementação confinada
O Defender for Cloud Apps permite que você defina o escopo de sua implantação. O escopo permite que você governe apenas grupos específicos usando o Defender for Cloud Apps ou exclua grupos específicos da governança do Defender for Cloud Apps. Para obter mais informações, consulte Implantação com escopo.
Tornar anónimo
Você pode optar por manter os relatórios do Cloud Discovery anônimos. Depois que seus arquivos de log são carregados no Microsoft Defender for Cloud Apps, todas as informações de nome de usuário são substituídas por nomes de usuário criptografados. Para investigações de segurança específicas, você pode resolver o nome de usuário real. Os dados privados são encriptados através de AES-128 com uma chave dedicada por inquilino. Para mais informações.
Segurança e privacidade para o Defender for Cloud Apps Governo dos EUA GCC Clientes de alta qualidade
Para obter informações sobre os padrões de conformidade do Defender for Cloud Apps e a localização dos dados para clientes do GCC High do governo dos EUA, consulte Enterprise Mobility + Security for US Government service description.
Próximos passos
- Visão geral do Defender for Cloud Apps
- Documentação do Defender for Cloud Apps
- Inscreva-se no Defender for Cloud Apps
Obtenha uma avaliação gratuita do Defender for Cloud Apps e veja como ele atende aos seus desafios de negócios.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários