Organizações que avaliam o Microsoft Copilot para uso corporativo frequentemente perguntam se o serviço atende aos requisitos de conformidade SOC 2. SOC 2 é um padrão de auditoria amplamente reconhecido que verifica se um provedor de serviços controla os dados do cliente de forma segura. O Microsoft Copilot herda a conformidade SOC 2 das plataformas subjacentes Microsoft 365 e Azure, mas o escopo e a cobertura exatos dependem do plano específico do Copilot e da localização do processamento de dados. Este artigo explica o status atual de conformidade SOC 2 para o Copilot, quais serviços e dados são cobertos e o que auditores e equipes de segurança precisam verificar antes da adoção.
Principais Conclusões: Escopo de Conformidade SOC 2 do Copilot
- Certificações SOC 2 Tipo 2 do Microsoft 365 e Azure: O Copilot herda a conformidade dessas plataformas subjacentes, cobrindo armazenamento, processamento e controles de acesso a dados.
- Escopo de auditoria específico do Copilot: A Microsoft publica um relatório SOC 2 para o Copilot que inclui princípios de confiança para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
- Residência de dados e restrições regionais: O Copilot processa dados na mesma região do locatário do Microsoft 365, mas alguns recursos podem rotear dados por endpoints de inferência de IA baseados nos EUA.
Conformidade SOC 2 do Copilot: Histórico e Detalhes da Certificação
SOC 2 é um padrão de conformidade voluntário desenvolvido pelo American Institute of CPAs. Ele avalia os controles de um provedor de serviços relacionados a cinco princípios de confiança: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. Organizações que usam serviços em nuvem frequentemente exigem que seus fornecedores possuam um relatório SOC 2 Tipo 2, que valida que os controles operaram efetivamente por um período, geralmente de 6 a 12 meses.
O Microsoft Copilot não possui uma certificação SOC 2 independente. Em vez disso, ele opera como um recurso dentro do Microsoft 365 e do Azure, ambos mantendo certificações SOC 2 Tipo 2. A Microsoft publica um relatório SOC 2 para o Microsoft 365 que cobre serviços principais como Exchange Online, SharePoint Online, Teams e Azure Active Directory (agora Microsoft Entra ID). O Copilot usa esses serviços para armazenamento de dados, autenticação de usuários e recuperação de conteúdo. Portanto, quaisquer dados processados pelo Copilot que residam nesses serviços subjacentes estão sujeitos aos mesmos controles SOC 2.
O que o Relatório SOC 2 Cobre para o Copilot
A Microsoft fornece um relatório SOC 2 para o Microsoft 365 e Azure que inclui uma descrição dos controles relevantes para o Copilot. O relatório cobre os seguintes princípios de confiança:
- Segurança: Controles que protegem os dados do Copilot contra acesso não autorizado, incluindo criptografia em repouso e em trânsito, controle de acesso baseado em função (RBAC) e autenticação multifator.
- Disponibilidade: Redundância de infraestrutura e garantias de disponibilidade para os serviços do Copilot, baseadas nos acordos de nível de serviço do Microsoft 365.
- Integridade de Processamento: Verificação de que o Copilot processa consultas de usuários e gera respostas sem corrupção de dados ou modificação não autorizada.
- Confidencialidade: Restrições ao compartilhamento de dados entre locatários, incluindo compromissos da Microsoft de não usar dados de clientes para treinar modelos.
- Privacidade: Conformidade com regulamentos de proteção de dados como GDPR e ISO 27001, com controles para solicitações de titulares de dados e notificação de violações.
A Microsoft atualiza seu relatório SOC 2 anualmente. Clientes do Microsoft 365 podem acessar o relatório através do Portal de Confiança de Serviços da Microsoft após assinar um acordo de não divulgação.
Passos para Verificar a Conformidade SOC 2 do Copilot para Sua Organização
Verificar a conformidade SOC 2 do Copilot requer revisar os relatórios publicados pela Microsoft e entender como o Copilot se encaixa em sua estrutura de conformidade existente. Siga estes passos para confirmar a cobertura.
- Acesse o Portal de Confiança de Serviços da Microsoft
Acesse servicetrust.microsoft.com e faça login com uma conta de administrador global do Microsoft 365. Aceite os termos de confidencialidade para visualizar relatórios SOC 2 e outros documentos de conformidade. - Localize o Relatório SOC 2 Tipo 2 para Microsoft 365
No portal, selecione Relatórios de Auditoria no menu à esquerda. Em SOC, escolha Relatório SOC 2 Tipo 2. Baixe o relatório mais recente para Serviços Principais do Microsoft 365. Este relatório inclui o Copilot como um recurso dentro dos serviços cobertos. - Revise o Escopo do Relatório e as Descrições dos Controles
Abra o PDF do relatório e vá para a seção intitulada Descrição do Sistema ou Escopo. Confirme que o relatório lista o Copilot como um componente do serviço. Verifique as descrições dos controles para criptografia de dados, controles de acesso e limites de processamento de dados. - Verifique a Residência de Dados e os Locais de Processamento
No centro de administração do Microsoft 365, vá para Configurações > Configurações da Organização > Serviços > Copilot. Revise a seção Residência de Dados para ver onde os dados do seu locatário estão armazenados. O Copilot processa consultas na mesma região do seu locatário do Microsoft 365, mas alguma inferência de IA pode ocorrer em regiões do Azure nos EUA. Verifique se isso está alinhado com seus requisitos regulatórios. - Mapeie os Fluxos de Dados do Copilot para Seus Controles SOC 2
Trabalhe com sua equipe de conformidade para mapear os fluxos de dados do Copilot para seus controles SOC 2 existentes. Por exemplo, se seu controle exige criptografia para dados em trânsito, confirme que o Copilot usa TLS 1.2 ou superior para todas as chamadas de API. A documentação da Microsoft lista esses detalhes técnicos no whitepaper de proteção de dados do Copilot. - Conduza uma Análise de Lacunas para Recursos Específicos do Copilot
Identifique quaisquer recursos do Copilot que possam estar fora do escopo padrão do SOC 2 do Microsoft 365. Por exemplo, o Copilot no Power Platform ou no Dynamics 365 pode ter relatórios SOC 2 separados. Baixe os relatórios relevantes para cada produto no Portal de Confiança de Serviços.
Se a Cobertura SOC 2 do Copilot Tiver Lacunas ou Limitações
Embora o Copilot herde a conformidade SOC 2 do Microsoft 365, alguns cenários criam lacunas que os auditores podem sinalizar. Entender essas limitações ajuda a resolvê-las antes de uma auditoria.
Copilot no Navegador Edge Processa Dados Fora do Microsoft 365
Quando os usuários invocam o Copilot na barra lateral do Edge, o serviço envia consultas para os servidores do Microsoft Bing. Esse caminho de dados não é totalmente coberto pelo relatório SOC 2 do Microsoft 365. Para mitigar isso, desabilite o Copilot no Edge por meio de políticas de grupo ou configure o Edge para usar apenas os limites de dados do Microsoft 365. Vá para Configurações do Edge > Privacidade, pesquisa e serviços > Barra de endereços e pesquisa e defina o mecanismo de pesquisa como Pesquisa da Microsoft da sua organização.
Plugins e Conectores de Terceiros Podem Não Ser Cobertos
O Copilot pode se conectar a serviços de terceiros como Salesforce, ServiceNow ou Jira por meio de conectores do Microsoft Power Platform. Esses conectores não estão dentro do escopo SOC 2 do Microsoft 365. Revise a documentação de conformidade de cada conector separadamente. Restrinja o acesso a plugins apenas a conectores aprovados por meio do centro de administração do Microsoft 365 em Copilot > Plugins.
Endpoints de Inferência de IA Podem Estar Fora da Região do Seu Locatário
O Copilot usa o Azure OpenAI Service para geração de respostas. Embora os dados do Microsoft 365 permaneçam na região do seu locatário, a inferência de IA pode ocorrer em data centers do Azure localizados nos Estados Unidos ou na Europa, dependendo da capacidade. A Microsoft publica uma lista de regiões de inferência do Copilot no Centro de Confiança da Microsoft. Se sua organização exigir que os dados permaneçam dentro de um limite geográfico específico, use os limites de dados da Microsoft para o Copilot, disponíveis no centro de administração do Microsoft 365 em Conformidade > Limites de dados.
Conformidade SOC 2 do Copilot: Microsoft 365 vs Azure OpenAI Service
| Item | Microsoft 365 Copilot | Azure OpenAI Service |
|---|---|---|
| Descrição | Copilot integrado aos aplicativos do Microsoft 365: Word, Excel, Teams | Serviço de IA independente acessado via API para aplicativos personalizados |
| Status SOC 2 Tipo 2 | Coberto pelo relatório SOC 2 do Microsoft 365 | Coberto pelo relatório SOC 2 do Azure |
| Residência de Dados | Os dados permanecem na região do locatário do Microsoft 365 | Os dados são armazenados na região do Azure selecionada durante a implantação |
| Local da Inferência de IA | Região do Azure baseada na capacidade, EUA ou Europa | Mesma região de armazenamento de dados |
| Acesso do Cliente aos Relatórios | Portal de Confiança de Serviços, seção SOC 2 do Microsoft 365 | Portal de Confiança de Serviços, seção SOC 2 do Azure |
| Cobertura de Plugins de Terceiros | Não coberto | Não aplicável |
A conformidade SOC 2 do Microsoft Copilot é herdada das plataformas Microsoft 365 e Azure, que possuem relatórios Tipo 2 válidos. A cobertura é ampla para serviços principais, mas apresenta lacunas para uso no navegador Edge, plugins de terceiros e locais de inferência de IA. Acesse o Portal de Confiança de Serviços para revisar o relatório SOC 2 mais recente do Microsoft 365 e confirmar que o processamento de dados do seu locatário está alinhado com o escopo do relatório. Para organizações com requisitos rigorosos de residência de dados, configure os limites de dados da Microsoft e desabilite os recursos do Copilot que roteiam dados para fora da sua região.