perfil de segurança de conformidade

Esta página descreve o perfil de segurança compliance, seus controles compliance e os recursos compatíveis. Para ativar o perfil de segurança compliance, consulte Configure enhanced security and compliance settings.

visão geral do perfil de segurança de conformidade

O perfil de segurança compliance permite monitoramento adicional, tipos de instâncias aplicadas para criptografia entre nós, uma imagem compute reforçada e outros recursos e controles no espaço de trabalho Databricks.

A ativação do perfil de segurança compliance é necessária se o senhor usar o Databricks para processar dados regulamentados pelas seguintes normas compliance:

• C5
• Meio CCCS (Protegido B)
• DoD IL5
• FedRAMP High
• FedRAMP Moderate
• HIPAA
• HITRUST
• Programa de avaliadores registrados da Infosec (IRAP)
• ISMAP
• Instituto Coreano de Segurança Financeira (K-FSI)
• PCI-DSS
• TISAX
• Cyber Essentials Plus do Reino Unido

É possível também optar por ativar o perfil de segurança de compliance para seus recursos de segurança aprimorados, sem estar em conformidade com um padrão de compliance.

Se o senhor ativar esse recurso em qualquer site workspace, será cobrado pelo complemento Enhanced Security and compliance, conforme descrito na página de preços.

importante

• O senhor é o único responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis.
• O senhor é o único responsável por garantir que o perfil de segurança compliance e os padrões compliance apropriados sejam configurados antes do processamento de dados regulamentados.
• Se o senhor adicionar HIPAA, é de sua responsabilidade, antes de processar dados PHI, ter um contrato BAA com a Databricks.
• Para recursos que se integram com sistemas externos, você é o único responsável por verificar se a sua configuração e utilização do recurso atendem aos requisitos compliance aplicáveis.
• É de sua inteira responsabilidade garantir que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes workspace , nomes de recursos compute , tags, nomes de tarefas, nomes de execução de tarefas, nomes de redes, nomes de credenciais, nomes account de armazenamento e IDs ou URLs de repositórios Git . Esses campos podem ser armazenados, processados ou acessados fora do limite compliance .

nota

Genie em nível de conta não agrega dados de workspaces que tenham o perfil de segurança compliance habilitado. Consulte Utilize a interface do Genie.

conformidade perfil de segurança aprimoramentos de segurança

Os aprimoramentos de segurança incluem:

• Uma imagem de sistema operacional reforçada que inclui:

  • Uma imagem reforçada de nível 1 do CIS
  • Módulos de criptografia validados pelo FIPS 140

• Atualizações automáticas de clustering, garantindo que o clustering tenha as atualizações mais recentes, reiniciando-as periodicamente durante as janelas de manutenção configuráveis. Consulte Atualização automática do clustering.

• Monitoramento de segurança aprimorado, que inclui agentes de monitoramento que geram informações revisáveis logs. Veja os agentes de monitoramento em Databricks compute imagens de avião.

• Uso obrigatório dos tipos de instância doAWS Nitro em clustering e Databricks SQL SQL warehouse.

• Toda comunicação de saída usa TLS 1.2 ou superior, incluindo a comunicação com o metastore.

Suporte para Classic e serverless compute por região

O perfil de segurança compliance determina quais padrões compliance são aplicados para compute recurso nos planos clássico e serverless compute .

Recursos de compute clássico oferecem suporte a uma ampla gama de normas de compliance em todas as regiões. Recursos de computação serverless (SQL warehouses serverless, computação serverless para notebooks e jobs do LakeFlow, e pipelines declarativos Spark serverless do LakeFlow) têm suporte mais limitado dependendo do padrão de compliance e da região.

A tabela a seguir lista quais padrões de compliance cada plano de compute suporta e as regiões compatíveis correspondentes.

padrão de conformidade	Clássico compute suporte de plano	sem servidor compute suporte de plano
Nenhuma	Todas as regiões	Todas as regiões com serverless
C5	Todas as regiões	Todas as regiões com serverless exceto ap-southeast-3
Meio CCCS (Protegido B)	ca-central-1	Nenhuma
DoD IL5	us-gov-west-1	us-gov-west-1
FedRAMP High	us-gov-west-1	us-gov-west-1
FedRAMP Moderate	us-east-1, us-east-2, us-west-1, us-west-2	us-east-1, us-west-2
HIPAA	Todas as regiões	Todas as regiões com serverless exceto ap-southeast-3
HITRUST	Todas as regiões	ap-southeast-2, us-east-1, us-west-2
IRAP	ap-southeast-2	ap-southeast-2
ISMAP	Todas as regiões, exceto ap-southeast-3	us-east-1, us-west-2, ap-southeast-2
K-FSI	ap-northeast-2	Nenhuma
PCI-DSS	Todas as regiões	us-east-1, us-west-2
TISAX	Todas as regiões	us-east-1, us-west-1, us-west-2
Cyber Essentials Plus do Reino Unido	eu-central-1	Nenhuma

nota

Compute serverless possui um status de pré-visualização pública diferente no AWS GovCloud:

• Data warehouse SQL sem servidor: Pré-visualização pública no AWS GovCloud, versão beta no AWS GovCloud DoD
• compute sem servidor para Notebook, Job e pipeline declarativo Spark LakeFlow : Pré-visualização pública no AWS GovCloud e AWS GovCloud DoD.

Consulte FedRAMP High.

nota

Em breve, será necessário um ambiente base compute sem servidor na versão 5 ou superior para cargas de trabalho IRAP, FedRAMP Moderate e Canada Protected B na AWS. A Databricks recomenda a atualização para a versão 5 do ambiente base. Para selecionar um ambiente base, consulte Selecionar um ambiente base.

Consulte os padrões de conformidade com a disponibilidade compute serverless e padrão.

Para obter mais informações sobre a arquitetura do plano compute, consulte Arquitetura de alto nível.

Recurso de visualização suportado

Apenas os recursos de Prévia pública e beta listados nesta seção são compatíveis para workspaces com o perfil de segurança de compliance ativado. O perfil de segurança de compliance não oferece suporte a quaisquer outros recursos de Prévia Pública ou beta.

A tabela a seguir lista todos os recursos compatíveis de Prévia Pública e beta.

• A maioria dos recursos está disponível para todos os padrões compliance com o perfil de segurança compliance ativado.
• Recursos marcados com um padrão de compliance específico (como “somente HIPAA”) são compatíveis apenas para workspaces configurados com esse padrão de compliance.
• Os recursos marcados como "serverless" estão disponíveis apenas no plano compute serverless . Consulte a seção sobre suporte compute clássica e serverless por região.

nota

O Databricks Apps está disponível para o público em geral. No entanto, para usar Databricks Apps com o perfil de segurança compliance , um administrador workspace deve habilitá-lo na página de pré-visualizações. Veja Databricks Apps as workspacepré-visualizações em nível de espaço de trabalho e .

Alguns recursos não estão disponíveis no AWS GovCloud. Consulte o recurso indisponível.

Recurso	Status	Compute	Notas
Agentes Personalizados: autorização em nome do usuário	Pré-visualização pública	Padrão e serverless	Somente em conformidade com a HIPAA
Mode Agente no Genie Spaces	Pré-visualização pública	Padrão e serverless
ai_forecast ()	Pré-visualização pública	Padrão e serverless	Somente em conformidade com a HIPAA
Detecção de anomalia	Pré-visualização pública	Somente serverless
Suporte do Auto Loader para eventos de arquivo	Pré-visualização pública	Padrão e serverless
Linhagem externa	Pré-visualização pública	Padrão e serverless
computar log entrega para volumes	Pré-visualização pública	Padrão e serverless
Dashboards na pasta Git	Pré-visualização pública	Padrão e serverless
Centro de governança de dados	Pré-visualização privada	Padrão e serverless
Suplemento Databricks para Excel	Pré-visualização pública	Padrão e serverless
Databricks gerencia servidores MCP	Pré-visualização pública	Somente serverless
Databricks SQL alerta	Pré-visualização pública	Padrão e serverless
Incorpore o Genie Space como um iframe.	Beta	Padrão e serverless
Acesso exclusivo	Pré-visualização privada	Padrão e serverless
Servidores MCP externos	Pré-visualização pública	Somente serverless
Genie chat	Pré-visualização pública	Padrão e serverless
Conector do Google Drive (padrão)	Beta	Padrão e serverless
Governado tags	Pré-visualização pública	Padrão e serverless
Alta memória para serverless compute Tarefa do notebook	Pré-visualização pública	Somente serverless
LakeFlow Connect SQL Server	Pré-visualização pública	Padrão e serverless
LLM inferência de lotes com ai_query	Pré-visualização pública	Padrão e serverless	Somente em conformidade com a HIPAA
Conectividade privada com o AWS S3	Pré-visualização pública	Somente serverless
Ler arquivos do Excel	Beta	Padrão e serverless
Caminhos secretos em variável de ambiente	Pré-visualização pública	Padrão e serverless
previsão sem servidor	Pré-visualização pública	Somente serverless
previsão sem servidor Python SDK	Pré-visualização privada	Somente serverless
Conector do SharePoint (gerenciar)	Beta	Padrão e serverless
Conector do SharePoint (padrão)	Beta	Padrão e serverless
Tabelas do sistema que estão em Pré-visualização pública	Pré-visualização pública	Padrão e serverless
Solicitações de acesso Unity Catalog	Pré-visualização pública	Padrão e serverless
Controle de acesso baseado em atributos (ABAC) do Unity Catalog	Pré-visualização pública	Padrão e serverless
Autorização do usuário para aplicativos Databricks	Pré-visualização pública	Padrão e serverless
Funções definidas pelo usuário no Unity Catalog	Pré-visualização pública	Padrão e serverless
em nível de espaço de trabalho SCIM provisionamento	Pré-visualização pública	Padrão e serverless	Recurso legado. Consulte o provisionamento SCIM em nível de conta e em nível workspace.