Considerações de segurança para modelos de formulário e formulários

"Considerações de segurança" é uma frase ampla que pode descrever preocupações diferentes. Por exemplo, o nível de confiança de um modelo de formulário, o uso da tecnologia SSL (Secure Sockets Layer) em um servidor da Web e a decisão de um usuário de adicionar um editor confiável à Central de Confiabilidade, todas são considerações de segurança.

Este artigo contém algumas das melhores práticas para ajudar a proteger os modelos de formulário e os formulários e contém algumas considerações sobre a segurança do servidor. Embora essas práticas possam ajudá-lo a tomar decisões com base em informações, este artigo não é abrangente. Use a política de segurança existente da sua organização como a base para qualquer escolha que faça sobre a segurança dos seus modelos de formulário e formulários.

Neste artigo

Melhores práticas para segurança do servidor da Web

Melhores práticas para usar fontes de dados

Melhores práticas para implantar modelos de formulário

Melhores práticas para implantar painéis de informações do documento

Melhores práticas para enviar modelos de formulário como emails

Melhores práticas para ajudar os usuários a se protegerem

Considerações gerais

Melhores práticas para segurança do servidor da Web

  • Use SSL para servidores que hospedam modelos de formulários habilitados para navegador    Se você planeja criar um modelo de formulário habilitado para navegador que estará disponível para preenchimento na Internet, pergunte ao administrador do servidor se a tecnologia Secure Sockets Layer (SSL) está configurada no servidor em que o modelo de formulário será hospedado. Algumas organizações usam SSL ao coletar informações de identificação pessoal (PII), como números de cartões de crédito ou de contas bancárias. A decisão de usar SSL pode ser tomada com base em políticas internas da organização, por exigências regulatórias ou por ambas. Um modelo de formulário habilitado para navegador é um modelo de formulário compatível com navegador que foi publicado em um servidor que executa o InfoPath Forms Services e habilitado para navegador para que os usuários possam preencher o formulário em um navegador da Web. O SSL é uma proposta de padrão aberto desenvolvida pela Netscape Communications para o estabelecimento de um canal de comunicação seguro, com a finalidade de ajudar a evitar a interceptação de informações críticas, como números de cartão de crédito.

    Observação   Você pode saber quando o SSL está ativado para um URL porque o endereço começa com "https" em vez de "http." O SSL talvez não seja necessário se os modelos de formulário estiverem disponíveis em uma intranet segura, na qual tanto os criadores de formulários quanto os usuários sejam confiáveis.

  • Use um host confiável    Se a sua organização não mantém o servidor que hospeda os modelos de formulários, certifique-se de usar uma uma empresa de hospedagem de site confiável. Por exemplo, se decidir usar a tecnologia SSL, verifique se a empresa de hospedagem tem um certificado digital emitido por uma autoridade certificadora independente. Se não for possível verificar a integridade do proprietário do servidor ou do serviço de hospedagem, não hospede nele seu site da Web.

  • Instale correções de segurança e software antivírus    Verifique com o administrador do servidor se as últimas atualizações e correções de segurança estão instaladas no servidor em que seus modelos de formulários estão hospedados. Além disso, verifique se o servidor está executando software antivírus atualizado e se apenas usuários confiáveis podem acessar o servidor.

Início da página

Melhores práticas para usar fontes de dados

  • Use fontes de dados aprovadas    Para ajudar a assegurar que os criados de modelos de formulário em sua organização usem apenas fontes de dados aprovadas, use uma biblioteca de conexão de dados, que é um local central para armazenar e compartilhar conexões de dados. Ao criar uma coleção de conexões de dados aprovadas e limitar as permissões para a biblioteca em que estão armazenadas, você ajuda a proteger a segurança das fontes de dados usadas em sua organização.

  • Tenha cuidado ao usar conexões diretas de banco de dados    Se os criadores de modelos de formulário de sua organização não puderem usar uma fonte de dados aprovada de uma biblioteca de conexão de dados, talvez decidam conectar um modelo de formulário diretamente a uma fonte de dados. Nesses casos, certifique-se de que apenas usuários confiáveis possam acessar os formulários com base naquele modelo de formulário. Um modelo de formulário com uma conexão direta a um banco de dados pode fornecer a um usuário não-confiável uma maneira de acessar informações confidenciais.

Início da página

Melhores práticas para implantar modelos de formulário

  • Entenda o escopo da implantação para modelos de formulário    Quando um modelo de formulário aprovado pelo administrador é implantado, ele é adicionado a um local central no servidor, no qual pode ser ativado para uma ou mais coleções de sites. Um modelo de formulário aprovado pelo administrador é um modelo de formulário compatível com o navegador que foi carregado por um administrador em um servidor que executa o InfoPath Forms Services. Um modelo de formulário aprovado pelo administrador pode incluir código. Se as coleções de sites e modelos de formulários em sua organização cobrem públicos muito diferentes, certifique-se de ativar apenas aqueles modelos de formulário criados para uma coleção específica de sites. Por exemplo, se sua organização usa uma coleção de sites para clientes e outra para empregados, não ative um modelo de formulário de empregado para a coleção de sites de clientes. Ativar modelos de formulário para coleção de sites errada pode tornar dados confidenciais disponíveis para os usuários errados. Por exemplo, um modelo de formulário de empregado que contém uma lista de endereços de email de empregados pode abrir caminho para spam se esse modelo de formulário ficar disponível para o público.

Início da página

Melhores práticas para implantar painéis de informações do documento

No Microsoft Office InfoPath 2007, um criador de modelo de formulário pode implantar um modelo de formulário como um Painel de Informações do Documento. Um Painel de Informações do Documento é um formulário do InfoPath hospedado dentro de um documento do Microsoft Office Word, Microsoft Office PowerPoint ou Microsoft Office Excel, fornecendo um único local para usuários adicionarem ou alterarem metadados sobre o documento. Quando hospedado em um documento do Word, um Painel de Informações do Documento também suporta a capacidade de editar dados do próprio documento. Embora as mesmas considerações de segurança se apliquem ao uso de um Painel de Informações do Documento como ao uso de um modelo de formulário — um Painel de Informações do Documento pode executar na configuração de confiança Confiança Total, Domínio ou Restrito dependendo dos recursos adicionados a ele, pelo criador de formulário — também existem itens exclusivos a serem considerados. Por exemplo, se você consulta um recurso externo em um Painel de Informações do Documento, deverá certificar-se de que os usuários terão permissão para esse recurso quando abrirem o documento. Por exemplo, você pode conectar um Painel de Informações do Documento em um documento do Word a um serviço da Web. Embora os usuários tenham permissão para abrir o documento do Word, eles receberão um erro se não tiverem permissão para o serviço da Web usado no Painel de Informações do Documento. A seguinte lista descreve algumas considerações adicionais para usar Painéis de Informações do Documento:

  • Implantando um Painel de Informações do Documento em uma intranet     Se você implantar um Painel de Informações do Documento em um local na intranet da sua empresa, mas o documento associado ao Painel de Informações do Documento estiver localizado em uma extranet, os usuários internos poderão usar o Painel de Informações do Documento, mas os usuários externos não poderão.

  • Usar conexões de dados entre domínios nos Painéis de Informações do Documento    Não é possível usar conexões de dados entre domínios em um Painel de Informações do Documento, a menos que o modelo de formulário do Painel de Informações do Documento esteja definido para o nível de segurança Confiança Total ou o modelo de formulário associado esteja localizado em um domínio incluído na zona de sites Confiáveis do Windows Internet Explorer.

  • Implantação dos Painéis de Informações do Documento aos sites SharePoint    Os painéis de Informações do Documento implantados em um site do Microsoft Office SharePoint Services não serão exibidos a menos que o modelo de formulário do Painel de Informações do Documento esteja localizado no mesmo domínio que o documento ao qual eles estão associados.

  • Usando os Painéis de Informações do Documento para esquemas XML personalizados    Os painéis de Informações do Documento que têm base em um esquema XML personalizado devem executar em um nível de segurança Confiança Total ou Restrito. Ao criar um Painel de Informações do Documento, é possível especificar seu próprio esquema XML personalizado e usar esse esquema para criar o conteúdo do painel, mas o Painel de Informações do Documento resultante não pode receber confiança parcial.

  • Painéis de Informações do Documento na Zona do Computador Local    No Internet Explorer, as zonas e os níveis de segurança permitem que você especifique se um site pode acessar os arquivos e as configurações no seu computador e qual o nível de acesso que ele pode ter. Os Painéis de Informações do Documento localizados na Zona do Computador Local não abrirão a menos que os modelo de formulário do Painel de Informações do Documento tenha sido instalado no computador do usuário usando um programa de instalação como o Microsoft Windows Installer (arquivo .msi).

Início da página

Melhores práticas para enviar modelos de formulário como emails

  • Níveis de segurança para enviar por email os modelos de formulário     O InfoPath fornece três níveis de segurança para modelos de formulário: Restrito, Domínio e Confiança Total. Para ser enviado com segurança em um email, os modelos de formulário precisam ter a configuração de confiança Restrito. Os modelos de formulário enviados em um email funcionam apenas com os dados contidos no modelo de formulário, ao contrário das fontes de dados externas, e não podem obter o script ou o código gerenciado.

  • Evite enviar informações de identificação pessoal em um email     É possível adicionar regras a um modelo de formulário que permitem que um usuário envie dados de formulário a diversos locais quando ele pressiona um botão no formulário associado. Por exemplo, é possível configurar um botão para usar regras para permitir que dados do formulário sejam enviados a um serviço da Web e como o corpo de um email. Se o serviço da Web e o endereço de email de destino não estiverem no mesmo domínio que o modelo de formulário, isso pode não ser seguro. Por exemplo, se o email for enviado pela Internet, os dados poderão estar sob risco mesmo que o serviço da Web use SSL e esteja na intranet.

Início da página

Melhores práticas para ajudar os usuários a se protegerem

  • Encoraje seus usuários a instalar ou abrir formulários somente de fontes confiáveis     O InfoPath fornece três níveis de segurança para modelos de formulário: Restrito, Domínio e Confiança Total. Os níveis de segurança determinam se um modelo de formulário pode acessar os dados em outros domínios ou acessar os arquivos e as configurações no seu computador. Formulários totalmente confiáveis têm um nível de segurança Confiança Total e podem acessar arquivos e configurações no computador de um usuário. O modelo de formulário para esses formulários deve estar assinado digitalmente com um certificado raiz confiável ou instalado no computador de um usuário. Você deve encorajar seus usuários a instalar ou abrir apenas os formulários totalmente confiáveis que recebem de fontes confiáveis.

    Observação   Ao gerenciar a lista Editores Confiáveis na Central de Confiabilidade, seus usuários podem controlar se devem abrir totalmente os formulários confiáveis. Os usuários também podem usar a Central de Confiabilidade para gerenciar os Editores Confiáveis, Suplementos e Opções de Privacidade.

  • Encoraje seus usuários a obter os navegadores mais recentes     Se os seus usuários forem preencher modelos de formulário ativados para o navegador, é uma boa prática fornecer informações sobre como baixar patches e atualizar seus navegadores, para certificar-se de que eles estão executando a versão mais recente.

Início da página

Considerações gerais

  • Permitir que os usuários usem assinaturas digitais     Quando preenchem um formulário no InfoPath, os usuários podem assinar digitalmente o formulário ou partes específicas do formulário. Quando preenchem um modelo de formulário habilitado para navegador, eles não podem assinar o formulário inteiro, apenas partes dele. A assinatura de um formulário ajuda a autenticar um usuário como a pessoa que preencheu o formulário e ajuda a garantir que o conteúdo do formulário não seja alterado.

  • Usar assinaturas digitais     Um formulário pode executar em Confiança Total somente se o modelo de formulário for assinado digitalmente com um certificado de raiz confiável ou se o formulário tiver sido instalado no computador do usuário usando um programa de instalação como o Microsoft Windows Installer (arquivo .msi). Para visualizar um modelo de formulário em Confiança Total no modo de design, não é necessário ter uma assinatura digital aplicada.

  • Entender os níveis de segurança do modelo de objeto do InfoPath     Se qualquer modelo de formulário da sua organização contiver um código gerenciado, você deve entender os níveis de segurança dos membros do modelo de objeto do InfoPath. O modelo de objeto do InfoPath implementa três níveis distintos de segurança que determinam como e onde um modelo de objeto específico pode ser usado. Se o código gerenciado estiver presente em um modelo de formulário e exigir um nível de segurança maior do que o do próprio modelo de formulário, o código não será executado. Por exemplo, o Método de Impressão requer Confiança Total e não funcionará se o modelo de formulário estiver definido como Confiabilidade entre domínios.

  • Entender as zonas de segurança do Windows Internet Explorer     No Internet Explorer, as zonas e os níveis de segurança permitem que você especifique se um site pode acessar os arquivos e as configurações no seu computador e qual é o nível de acesso desses sites. O InfoPath usa algumas dessas configurações para determinar se um formulário associado a um modelo de formulário pode acessar os arquivos e as configurações no computador de um usuário e qual o nível de acesso para o formulário. O InfoPath também usa algumas dessas configurações para determinar se um formulário preenchido por um usuário pode acessar o conteúdo armazenado em domínios diferentes do domínio no qual o modelo de formulário está armazenado.

Início da página

Aplicável a: Office 2010



Essas informações foram úteis?

Sim Não

Como podemos melhorá-lo?

255 caracteres restantes

Para proteger sua privacidade, não inclua informações de contato em seus comentários. Avalie nosso política de privacidade.

Obrigado por seus comentários!

Recursos de suporte

Alterar idioma