Considerações de segurança para modelos de formulário e formulários

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

"Considerações de segurança" é uma frase ampla que pode descrever preocupações diferentes. Por exemplo, o nível de confiança de um modelo de formulário, o uso da tecnologia SSL (Secure Sockets Layer) em um servidor da Web e a decisão de um usuário de adicionar um editor confiável à Central de Confiabilidade, todas são considerações de segurança.

Este artigo contém algumas das melhores práticas para ajudar a proteger os modelos de formulário e os formulários e contém algumas considerações sobre a segurança do servidor. Embora essas práticas possam ajudá-lo a tomar decisões com base em informações, este artigo não é abrangente. Use a política de segurança existente da sua organização como a base para qualquer escolha que faça sobre a segurança dos seus modelos de formulário e formulários.

Neste artigo

Melhores práticas para segurança do servidor da Web

Melhores práticas para usar fontes de dados

Melhores práticas para implantar modelos de formulário

Melhores práticas para implantar painéis de informações do documento

Melhores práticas para enviar modelos de formulário como emails

Melhores práticas para ajudar os usuários a se protegerem

Considerações gerais

Melhores práticas para segurança do servidor da Web

  • Usar SSL para servidores que hospedam os modelos de formulário habilitados para navegador    Se você planeja criar um modelo de formulário habilitados para navegador que estará disponível para os usuários preencham na Internet, peça ao administrador do servidor se tecnologia Secure Sockets Layer (SSL) está configurada no servidor onde o modelo de formulário será hospedado. Algumas organizações usam SSL ao coletar informações de identificação pessoal (IIP), como números de cartão de crédito ou conta bancária. A decisão de usar SSL pode ser controlada por uma organização políticas internas, conformidade regulamentar ou ambos. Um modelo de formulário habilitados para navegador é um modelo de formulário compatível com o navegador que foi publicado em um servidor executando o InfoPath Forms Services e habilitados para navegador para que os usuários podem preencher o formulário em um navegador da Web. SSL é um padrão aberto proposto que foi desenvolvido pela Netscape Communications para estabelecer um canal de comunicação segura para ajudar a evitar a interceptação de informações críticas, como números de cartão de crédito.

    Observação : Você pode saber quando SSL está habilitado para uma URL porque o endereço começa com "https" em vez de "http." SSL não pode ser necessário se seus modelos de formulário estão disponíveis em uma intranet segura onde os criadores de formulários e os usuários são confiáveis.

  • Usar um host confiável    Se sua organização não mantém o servidor que hospeda seus modelos de formulário, verifique se usar uma empresa de hospedagem de site da Web confiável. Por exemplo, se você decidir usar tecnologia SSL, verifique se a empresa de hospedagem possui um certificado digital que foi emitido por uma autoridade de certificação de terceiros. Se você não pode verificar a integridade do serviço de hospedagem, não hospede seus modelos de formulário.

  • Instalar o software antivírus e patches de segurança    Verifique com o administrador do servidor para verificar se as atualizações mais recentes patches de segurança e estão instaladas no servidor onde os modelos de formulário são hospedados. Além disso, verifique se o servidor está executando um software antivírus e que apenas usuários confiáveis podem acessar o servidor.

Início da página

Melhores práticas para usar fontes de dados

  • Uso aprovado fontes de dados    Para ajudar a garantir que os designers de modelo de formulário em sua organização usar somente aprovados fontes de dados, use uma biblioteca de conexões de dados, que é um local central para armazenar e compartilhar conexões de dados. Criando um conjunto de conexões de dados aprovado e limitar a permissão para a biblioteca onde eles são armazenados, você pode ajudar a proteger a segurança das fontes de dados que são usados em sua organização.

  • Tenha cuidado ao usar conexões direta de banco de dados    Se os designers de modelo de formulário em sua organização não conseguem usar uma fonte de dados aprovado de uma biblioteca de conexões de dados, eles podem decidir se conectar um modelo de formulário diretamente a uma fonte de dados. Nesses casos, certifique-se de que somente os usuários confiáveis podem acessar os formulários baseados nesse modelo de formulário. Um modelo de formulário com uma conexão direta a um banco de dados pode fornecer um usuário confiável com uma maneira de acessar informações confidenciais.

Início da página

Melhores práticas para implantar modelos de formulário

  • Compreender o escopo de implantação para modelos de formulário    Quando um modelo de formulário aprovado pelo administrador é implantado, ele é adicionado a um local central no servidor onde ele pode ser ativado para um ou mais conjuntos de sites. Um modelo de formulário aprovado pelo administrador é um modelo de formulário compatível com o navegador que foi carregado por um administrador para um servidor executando InfoPath Forms Services. Um modelo de formulário aprovado pelo administrador pode incluir código. Se os conjuntos de sites e modelos de formulário em sua organização abrangem audiências muito diferentes, verifique se ativar somente os modelos de formulário que foram projetados para um determinado conjunto de sites. Por exemplo, se sua organização usa um conjunto de sites para clientes e outro para funcionários, não ative um modelo de formulário do funcionário ao conjunto de sites do cliente. Ativar modelos de formulário para o conjunto de sites errado pode disponibilizar dados proprietários para os usuários errados. Por exemplo, um modelo de formulário do funcionário que contém uma lista de endereços de email do funcionário pode levar a spam se esse modelo de formulário é disponibilizado ao público.

Início da página

Melhores práticas para implantar painéis de informações do documento

No Microsoft Office InfoPath 2007, um criador de modelo de formulário pode implantar um modelo de formulário como um Painel de Informações do Documento. Um Painel de Informações do Documento é um formulário do InfoPath hospedado dentro de um documento do Microsoft Office Word, Microsoft Office PowerPoint ou Microsoft Office Excel, fornecendo um único local para usuários adicionarem ou alterarem metadados sobre o documento. Quando hospedado em um documento do Word, um Painel de Informações do Documento também suporta a capacidade de editar dados do próprio documento. Embora as mesmas considerações de segurança se apliquem ao uso de um Painel de Informações do Documento como ao uso de um modelo de formulário — um Painel de Informações do Documento pode executar na configuração de confiança Confiança Total, Domínio ou Restrito dependendo dos recursos adicionados a ele, pelo criador de formulário — também existem itens exclusivos a serem considerados. Por exemplo, se você consulta um recurso externo em um Painel de Informações do Documento, deverá certificar-se de que os usuários terão permissão para esse recurso quando abrirem o documento. Por exemplo, você pode conectar um Painel de Informações do Documento em um documento do Word a um serviço da Web. Embora os usuários tenham permissão para abrir o documento do Word, eles receberão um erro se não tiverem permissão para o serviço da Web usado no Painel de Informações do Documento. A seguinte lista descreve algumas considerações adicionais para usar Painéis de Informações do Documento:

  • Implantando um Painel de Informações do Documento em uma intranet     Se você implantar um Painel de Informações do Documento em um local na intranet da sua empresa, mas o documento associado ao Painel de Informações do Documento estiver localizado em uma extranet, os usuários internos poderão usar o Painel de Informações do Documento, mas os usuários externos não poderão.

  • Usando conexões de dados de domínio cruzado nos painéis de informações do documento    É possível usar conexões de dados entre domínios em um painel de informações do documento, a menos que o modelo de formulário para o painel de informações do documento estiver definido para o nível de segurança confiança total, ou o modelo de formulário associado está localizado em um domínio que está incluído na zona de sites confiáveis no Windows Internet Explorer.

  • Implantação dos Painéis de Informações do Documento aos sites SharePoint    Os painéis de Informações do Documento implantados em um site do Microsoft Office SharePoint Services não serão exibidos a menos que o modelo de formulário do Painel de Informações do Documento esteja localizado no mesmo domínio que o documento ao qual eles estão associados.

  • Usando os Painéis de Informações do Documento para esquemas XML personalizados    Os painéis de Informações do Documento que têm base em um esquema XML personalizado devem executar em um nível de segurança Confiança Total ou Restrito. Ao criar um Painel de Informações do Documento, é possível especificar seu próprio esquema XML personalizado e usar esse esquema para criar o conteúdo do painel, mas o Painel de Informações do Documento resultante não pode receber confiança parcial.

  • Painéis de Informações do Documento na Zona do Computador Local    No Internet Explorer, as zonas e os níveis de segurança permitem que você especifique se um site pode acessar os arquivos e as configurações no seu computador e qual o nível de acesso que ele pode ter. Os Painéis de Informações do Documento localizados na Zona do Computador Local não abrirão a menos que os modelo de formulário do Painel de Informações do Documento tenha sido instalado no computador do usuário usando um programa de instalação como o Microsoft Windows Installer (arquivo .msi).

Início da página

Melhores práticas para enviar modelos de formulário como emails

  • Níveis de segurança para enviar por email os modelos de formulário     O InfoPath fornece três níveis de segurança para modelos de formulário: Restrito, Domínio e Confiança Total. Para ser enviado com segurança em um email, os modelos de formulário precisam ter a configuração de confiança Restrito. Os modelos de formulário enviados em um email funcionam apenas com os dados contidos no modelo de formulário, ao contrário das fontes de dados externas, e não podem obter o script ou o código gerenciado.

  • Evite enviar informações de identificação pessoal em um email     É possível adicionar regras a um modelo de formulário que permitem que um usuário envie dados de formulário a diversos locais quando ele pressiona um botão no formulário associado. Por exemplo, é possível configurar um botão para usar regras para permitir que dados do formulário sejam enviados a um serviço da Web e como o corpo de um email. Se o serviço da Web e o endereço de email de destino não estiverem no mesmo domínio que o modelo de formulário, isso pode não ser seguro. Por exemplo, se o email for enviado pela Internet, os dados poderão estar sob risco mesmo que o serviço da Web use SSL e esteja na intranet.

Início da página

Melhores práticas para ajudar os usuários a se protegerem

  • Encoraje seus usuários a instalar ou abrir formulários somente de fontes confiáveis     O InfoPath fornece três níveis de segurança para modelos de formulário: Restrito, Domínio e Confiança Total. Os níveis de segurança determinam se um modelo de formulário pode acessar os dados em outros domínios ou acessar os arquivos e as configurações no seu computador. Formulários totalmente confiáveis têm um nível de segurança Confiança Total e podem acessar arquivos e configurações no computador de um usuário. O modelo de formulário para esses formulários deve estar assinado digitalmente com um certificado raiz confiável ou instalado no computador de um usuário. Você deve encorajar seus usuários a instalar ou abrir apenas os formulários totalmente confiáveis que recebem de fontes confiáveis.

    Observação : Ao gerenciar a lista Editores Confiáveis na Central de Confiabilidade, seus usuários podem controlar se devem abrir totalmente os formulários confiáveis. Os usuários também podem usar a Central de Confiabilidade para gerenciar os Editores Confiáveis, Suplementos e Opções de Privacidade.

  • Encoraje seus usuários a obter os navegadores mais recentes     Se os seus usuários forem preencher modelos de formulário ativados para o navegador, é uma boa prática fornecer informações sobre como baixar patches e atualizar seus navegadores, para certificar-se de que eles estão executando a versão mais recente.

Início da página

Considerações gerais

  • Permitir que os usuários usam assinaturas digitais    Quando os usuários preencherem um formulário no InfoPath, ele podem assinar digitalmente o formulário ou a partes específicas do formulário. Quando eles preenchem um modelo de formulário habilitados para navegador, eles não podem assinar o formulário inteiro, apenas partes dele. Assinar um formulário ajuda autenticar um usuário como a pessoa que preencher o formulário e ajuda a garantir que o conteúdo do formulário não é alterado.

  • Usar assinaturas digitais     Um formulário pode executar em Confiança Total somente se o modelo de formulário for assinado digitalmente com um certificado de raiz confiável ou se o formulário tiver sido instalado no computador do usuário usando um programa de instalação como o Microsoft Windows Installer (arquivo .msi). Para visualizar um modelo de formulário em Confiança Total no modo de design, não é necessário ter uma assinatura digital aplicada.

  • Entender os níveis de segurança do modelo de objeto do InfoPath     Se qualquer modelo de formulário da sua organização contiver um código gerenciado, você deve entender os níveis de segurança dos membros do modelo de objeto do InfoPath. O modelo de objeto do InfoPath implementa três níveis distintos de segurança que determinam como e onde um modelo de objeto específico pode ser usado. Se o código gerenciado estiver presente em um modelo de formulário e exigir um nível de segurança maior do que o do próprio modelo de formulário, o código não será executado. Por exemplo, o Método de Impressão requer Confiança Total e não funcionará se o modelo de formulário estiver definido como Confiabilidade entre domínios.

  • Zonas de segurança de entender o Windows Internet Explorer    No Internet Explorer, zonas de segurança e níveis permitem especificar se um site pode acessar os arquivos e configurações no seu computador e quanto acesso esses sites podem ter. O InfoPath usa algumas dessas configurações para determinar se o formulário de um modelo de formulário associado pode acessar os arquivos e configurações no computador do usuário e quanto acesso esse formulário pode ter. O InfoPath também usa algumas dessas configurações para determinar se um formulário que um usuário preenche pode acessar conteúdo armazenado em domínios diferente do domínio no qual o modelo de formulário está armazenado.

Início da página

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Compartilhar Facebook Facebook Twitter Twitter Email Email

Essas informações foram úteis?

Ótimo! Outros comentários?

Como podemos melhorá-lo?

Obrigado por seus comentários!

×