Se sua organização lida com dados de cartão de crédito e usa o Microsoft Copilot, é essencial entender como ele interage com esses dados sob as regras PCI DSS. O Copilot pode acessar e processar dados de titulares de cartão por meio dos serviços do Microsoft 365, mas possui limitações específicas que impedem o armazenamento ou a transmissão desses dados de forma a violar a conformidade. Este artigo explica o que o Copilot pode e não pode fazer com dados de cartão de crédito, onde estão os limites e como configurar seu ambiente para manter a conformidade.
Principais Conclusões: Limites do Copilot com Dados PCI DSS
- O Copilot não armazena dados de cartão de crédito: O Copilot processa consultas apenas em memória e não persiste dados brutos do Microsoft Graph ou de fontes externas.
- Fontes de dados devem ser delimitadas: Use o centro de administração do Microsoft 365 > Copilot > Fontes de dados para controlar quais sites do SharePoint e caixas de correio do Exchange o Copilot pode acessar.
- Não gera números de cartão de crédito: O Copilot não pode gerar ou exibir Números de Conta Principal completos, mesmo se treinado com dados no escopo PCI.
Como o Copilot Lida com Dados de Cartão de Crédito sob PCI DSS
A PCI DSS exige controles rigorosos sobre dados de titulares de cartão, incluindo criptografia, registro de acesso e limites de retenção de dados. O Copilot opera como um serviço de IA generativa que recupera informações do Microsoft Graph, que inclui SharePoint, OneDrive, Exchange e Teams. Quando um usuário pergunta ao Copilot sobre dados de cartão de crédito, ele pesquisa o conteúdo indexado, recupera trechos relevantes e gera uma resposta. Ele não armazena os dados recuperados em um banco de dados separado. A resposta é gerada em tempo real e descartada após o término da sessão.
O Copilot usa as mesmas políticas de residência de dados e criptografia dos serviços subjacentes do Microsoft 365. Se seu locatário estiver configurado para armazenar dados em uma região geográfica específica, o Copilot respeita esse limite. O Copilot também herda os controles de acesso que você já definiu. Se um usuário não tiver permissão para visualizar um site do SharePoint contendo dados de cartão de crédito, o Copilot não poderá recuperá-los.
O que o Copilot Não Pode Fazer com Dados de Cartão de Crédito
O Copilot não pode exibir um Número de Conta Principal completo. Mesmo que um documento contenha um número de cartão de crédito completo, o Copilot não o reproduzirá em uma resposta. A Microsoft aplica filtros de conteúdo que bloqueiam a exibição de padrões sensíveis, como números de cartão de crédito, CPF e números de contas bancárias. Esse filtro é aplicado na etapa de geração da saída e não é configurável pelos administradores.
O Copilot também não pode reter dados de cartão de crédito entre sessões. Cada consulta é independente. O modelo não aprende com consultas anteriores nem armazena dados específicos do usuário em um corpus de treinamento. Esse comportamento é proposital e está documentado no whitepaper de Privacidade e Segurança de Dados da Microsoft para o Copilot.
Passos para Configurar o Copilot para Conformidade PCI DSS
Para garantir que o Copilot não exponha dados de cartão de crédito inadequadamente, siga estas etapas de configuração. Cada etapa pressupõe que você tenha acesso administrativo ao centro de administração do Microsoft 365 e às configurações do Copilot.
- Restringir fontes de dados do Copilot
Acesse Centro de administração do Microsoft 365 > Copilot > Fontes de dados. Remova quaisquer sites do SharePoint ou caixas de correio do Exchange que contenham dados de cartão de crédito das fontes incluídas. Adicione-os à lista de exclusão. Isso impede que o Copilot indexe esses locais completamente. - Aplicar rótulos de sensibilidade a dados de cartão de crédito
No portal de conformidade do Microsoft Purview, crie um rótulo de sensibilidade chamado “Dados de Cartão de Crédito” com as configurações de criptografia e controle de acesso exigidas pela PCI DSS. Aplique esse rótulo a todos os documentos e e-mails que contenham PAN. O Copilot respeita os rótulos de sensibilidade e não incluirá conteúdo rotulado nas respostas, a menos que o usuário tenha direitos explícitos para visualizá-lo. - Habilitar registro de auditoria para consultas do Copilot
No centro de administração do Microsoft 365 > Conformidade > Auditoria, habilite o registro de auditoria para interações do Copilot. Isso registra quais usuários fizeram quais consultas e quais fontes de dados foram acessadas. Retenha os logs por pelo menos 12 meses, conforme exigido pelo requisito 10 da PCI DSS. - Testar respostas do Copilot com dados de exemplo
Crie um site do SharePoint de teste com números de cartão de crédito fictícios que sigam o algoritmo de Luhn. Faça perguntas ao Copilot sobre esses dados. Verifique se o Copilot não exibe o PAN completo. Se isso ocorrer, verifique seus filtros de conteúdo e entre em contato com o suporte da Microsoft. - Revisar permissões de plugins do Copilot
No painel do Copilot > Configurações > Plugins, revise cada plugin que se conecta a fontes de dados externas. Desabilite qualquer plugin que não tenha um acordo de processamento de dados assinado e em conformidade com a PCI DSS. Plugins comuns a serem revisados incluem Salesforce, ServiceNow e Jira.
Se o Copilot Ainda Exibir Dados de Cartão de Crédito Após a Configuração
Mesmo após seguir as etapas acima, alguns administradores relatam que o Copilot ainda pode referenciar dados de cartão de crédito nas respostas. Isso geralmente ocorre porque os dados existem em um local não rotulado ou porque um usuário tem permissões de acesso amplas.
O Copilot Retorna uma Resposta Contendo um PAN Parcial
O Copilot pode retornar os primeiros seis e os últimos quatro dígitos de um número de cartão de crédito. Isso é permitido pela PCI DSS, pois esses dígitos não são considerados dados de titulares de cartão. No entanto, se sua política exigir mascarar todos os dígitos, aplique uma regra de prevenção contra perda de dados no Microsoft Purview que bloqueie a exibição de qualquer padrão de PAN. Acesse Microsoft Purview > Prevenção contra Perda de Dados > Criar política > Modelos > Financeiro > Números de Cartão de Crédito. Defina a ação como bloquear e notificar.
O Copilot Acessa um Site do SharePoint que Foi Excluído
Se o Copilot ainda recuperar dados de um site que você excluiu, verifique se a exclusão foi salva e se não há coleções de sites ou subsites com o mesmo nome. No centro de administração, confirme que o site excluído não aparece na lista de fontes incluídas. Se o problema persistir, remova o site do índice de pesquisa do SharePoint usando o centro de administração do SharePoint > Pesquisa > Remover do índice.
O Copilot Gera um Número de Cartão de Crédito Fictício
O Copilot pode gerar um número de cartão de crédito fictício como parte de um exemplo. Isso não é uma violação da PCI DSS, pois o número é sintético. No entanto, para evitar confusão, adicione uma instrução de prompt no Copilot Studio que diga “Não gere nenhum número de cartão de crédito, mesmo como exemplo.” Essa instrução é aplicada a todas as interações do Copilot em seu locatário.
Copilot Gratuito vs Copilot para Microsoft 365: Diferenças para PCI DSS
| Item | Copilot Gratuito | Copilot para Microsoft 365 |
|---|---|---|
| Acesso a fontes de dados | Apenas web pública | Dados do Microsoft Graph, incluindo SharePoint, OneDrive, Exchange, Teams |
| Risco de exposição de dados de cartão | Baixo — sem acesso a documentos internos | Médio — pode acessar documentos internos se as permissões permitirem |
| Filtro de conteúdo para PAN | Sim — bloqueia saída de PAN completo | Sim — bloqueia saída de PAN completo |
| Controle administrativo sobre fontes de dados | Nenhum | Controle total via centro de administração e rótulos de sensibilidade |
| Registro de auditoria | Não disponível | Disponível via log de auditoria do Microsoft 365 |
O Copilot para Microsoft 365 exige mais responsabilidade, pois pode acessar dados internos de cartão de crédito. O Copilot Gratuito consulta apenas a web pública, portanto não pode expor seus dados internos de cartão. Para conformidade com PCI DSS, use o Copilot para Microsoft 365 somente após delimitar as fontes de dados e aplicar rótulos de sensibilidade.
Agora você pode configurar o Copilot para lidar com dados de cartão de crédito dentro dos limites da PCI DSS, restringindo fontes de dados, aplicando rótulos de sensibilidade e habilitando o registro de auditoria. Teste sua configuração com dados de exemplo para confirmar que o Copilot não exibe PANs completos. Para proteção avançada, implante uma regra personalizada de DLP no Microsoft Purview que bloqueie qualquer resposta contendo um padrão de número de cartão de crédito.