Del via

Sikre overholdelse af Copilot Studio

  • Artikel

I det digitale miljø i dag er overholdelse mere kritisk end nogensinde. Organisationer skal overholde forskellige regler og standarder for at beskytte følsomme data, bevare kundetillid og undgå juridiske problemer. Et nøgle aspekt ved overholdelse er at sikre dataopbevaring, som indebærer lagring og behandling af data inden for bestemte geografiske grænser. Microsoft Copilot Studio indeholder effektive funktioner, der kan hjælpe organisationer med at opfylde vigtige overholdelseskrav, især med hensyn til geografisk dataopbevaring.

Hvorfor er overholdelse af angivne standarder vigtigt?

  • Lovkrav: Mange lande har lovgivning om beskyttelse af personlige oplysninger, hvor data kan lagres og behandles. Manglende overholdelse kan resultere i heftige fines og søgsmål.
  • Kundetillid: Overholdelse af standarder for overholdelse viser et engagement i datasikkerhed, der kan øge kundernes tillid og loyalitet.
  • Risikoadministration: Overholdelse er med til at identificere og begrænse de risici, der er forbundet med data, samt uautoriseret adgang.
  • Driftseffektivitet: Ved at følge retningslinjerne for overholdelse af regler og standarder kan processer strømlines og den overordnede driftsmæssige effektivitet forbedres.

Copilot Studio er designet med henblik på overholdelse og er en Onlinetjenester som defineret i Vilkår for Onlinetjenester (OST). Den er kompatibel med eller dækket af:

  • Dækning af Health Insurance Portability and Accountability Act (HIPAA)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Forskellige ISO-certificeringer (International Organization for Standardization)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • United Kingdom Government Cloud (G-Cloud)
  • Outsourced Service Provider's Audit Report (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) Level 3
  • Spaniens høje sikkerhedsforanstaltninger Esquema Nacional de Seguridad (ENS)

Dækning af Health Insurance Portability and Accountability Act (HIPAA)

HIPAA er en amerikansk sundhedslov, der fastsætter krav til brug, videregivelse og beskyttelse af individuelt identificerbare sundhedsoplysninger. Den gælder for de enheder – lægeklinikker, hospitaler, helbredsforsikringsselskaber og andre virksomheder – der har adgang til patienters beskyttede sundhedsoplysninger (PHI) samt forretningsforbindelser – f.eks. cloudtjeneste- og IT-udbydere – der behandler PHI på deres vegne.

Microsoft Copilot Studio er dækket af HIPAA (Health Insurance Portability and Accountability Act) Business Associate Agreement (BAA).

Du kan oprette helpdesk-medarbejdere, der håndterer beskyttede tilstandsoplysninger, når din organisation er bundet af HIPAA, som i følgende scenarier, hvor Helpdesk-medarbejder kan:

  • Bede brugerne om at angive deres sundhedsoplysnigner (blodtryk, vægt osv.).
  • Registrere sundhedsoplysninger og personlige oplysninger, f.eks. kundens IP-adresse eller mailadresse.

Bemærk

Selvom Copilot Studio er omfattet af HIPAA, er den stadig ikke beregnet til at blive brugt som medicinsk udstyr. Se ansvarsfraskrivelsen om den tiltænkte anvendelse af Copilot Studio og medicinsk udstyr.

Få mere at vide om HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST er en organisation, der styres af repræsentanter fra sundhedsbranchen.

HITRUST oprettede og vedligeholder Common Security Framework (CSF), som er en certificeret struktur, der kan hjælpe sundhedsorganisationer og deres udbydere med at fremvise deres sikkerhed og overholdelse af angivne standarder på en gennemført måde.

CSF bygger på HIPAA og HITECH Act, som er den amerikanske sundhedslovgivning, der har opstillet krav til brug, offentliggørelse og beskyttelse af individuelt identificerbare sundhedsoplysninger og håndhæver manglende overholdelse af angivne standarder.

HITRUST leverer en benchmark – en standardiseret struktur for overholdelse af angivne standarder, vurdering og certificeringsproces – som udbydere af skytjenester og dækkede sundhedsenheder kan måle overholdelse af standarder for.

Få mere at vide om HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP blev oprettet for at levere en standardiseret metode til vurdering, overvågning og godkendelse af cloudcomputing-produkter og -tjenester i henhold til FISMA (Federal Information Security Management Act) og til at gøre det hurtigere for føderale myndigheder at bruge sikre cloudløsninger.

Microsofts cloudtjenester til offentlige myndigheder opfylder kravene i FedRAMP.

Ved at installere beskyttede tjenester, herunder Azure Government, Office 365 US Government og Dynamics 365 Government, kan føderale og forsvarsmyndigheder bruge et omfattende udvalg af kompatible tjenester.

Få mere at vide om FedRAMP.

Overholdelse af angivne SOC-standarder

SOC er en metode til at sikre kontrol med regulering i en tjeneste. Microsoft Copilot Studio er blevet revideret for at overholde angivne SOC-standarder.

SOC-overvågningsrapporter kan tilgås fra Microsoft Service Trust Portal.

Få mere at vide om SOC.

Overholdelse af angivne ISO-standarder

Microsoft Copilot Studio overholder de angivne ISO-standarder i følgende tabel. Overvågningsrapporter for hver kan tilgås fra Microsoft Service Trust Portal.

Standard Navn på rapport og certifikat Link til standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO9001 certifikat og vurderingsrapport ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO20000-1 certifikat og vurderingsrapport ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO20000-1 certifikat og vurderingsrapport ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO27001 og 27701-certifikat og Microsoft Azure Dynamics 365 og anden onlinetjeneste - ISO27001, 27018, 27017, 27701 vurderingsrapport ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO27017 certifikat og Microsoft Azure Dynamics 365 og anden onlinetjeneste - ISO27001, 27018, 27017, 27701 vurderingsrapport ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO27018 certifikat og Microsoft Azure Dynamics 365 og anden onlinetjeneste - ISO27001, 27018, 27017, 27701 vurderingsrapport ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 og anden onlinetjeneste - ISO27701 certifikat og Microsoft Azure Dynamics 365 og anden onlinetjeneste - ISO27001, 27018, 27017, 27701 vurderingsrapport ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

Payment Card Industry (PCI) Data Security Standards (DSS) udgør en global standard for informationssikkerhed, der er udviklet til at forhindre svindel ved hjælp af øget kontrol med kreditkortdata.

Organisationer i alle størrelser skal følge PCI DSS-standarder, hvis de accepterer kortbetalinger fra de fem største kreditkortselskaber:

  • Visa
  • MasterCard
  • American Express
  • Opdag
  • Japan Credit Bureau (JCB).

Overholdelse af angivne standarder i PCI DSS er påkrævet for alle organisationer, der gemmer, behandler eller overfører betalings- og kortindehaverdata.

Få mere at vide om PCI DSS.

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Fra Webstedet CSA STAR:

  • STAR-programmet (Security Trust Assurance and Risk) indeholder nøgleprincipper for gennemsigtighed, streng revision og harmonisering af standarder. Virksomheder, der bruger STAR, angiver de bedste fremgangsmåder og validerer sikkerhedsniveauerne i deres cloud-tilbud.

    STAR-registreringsdatabasen dokumenterer sikkerhedskontrollerne og kontrollerne for beskyttelse af personlige oplysninger, der leveres af populære cloudcomputingtilbud. Denne offentligt tilgængelige registreringsdatabase gør det muligt for cloudkunderne at vurdere deres sikkerhedsudbydere med henblik på at træffe de bedste indkøbsbeslutninger.

Microsoft Copilot Studio er blevet revideret for at overholde angivne CSA STAR-standarder.

Få mere at vide om CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) er en cloudtjeneste, der anvendes af myndighederne i Storbritannien for at lette myndighederne at stille cloudtjenester til rådighed og fremme udbredelsen af cloudcomputing.

G-Cloud består af en række rammeaftaler med leverandører af cloudtjenester (f.eks. Microsoft) og en liste over deres tjenester i en onlinebutik, den digitale markedsplads. Disse gør det muligt for organisationer i den offentlige sektor at sammenligne og levere disse tjenester uden at skulle udføre deres egen fulde gennemgangsproces.

Inkludering på den digitale markedsplads kræver en selvattest for overholdelse af angivne standarder efterfulgt af en verificering, der udføres af afdelingen Government Digital Service (DES) efter eget behov.

Lær mere om G-Cloud.

Outsourced Service Provider's Audit Report (OSPAR)

OSPAR-strukturen blev oprettet af Association of Banks in Singapore (ABS), som formulerede retningslinjer for it-sikkerhed for underleverandører (OSP'er), der gerne ville levere servicer til Singapores finansinstitutter. ABS Guidelines er beregnet på at hjælpe finansielle institutter med at forstå fremgangsmåder til korrekt håndtering af udstyr, leverandørstyring og vigtige tekniske og organisatoriske kontrolelementer, der skal implementeres i cloud outsourcing, især i forbindelse med materialebelastninger.

Microsoft Copilot Studio har OSPAR-attest.

Få mere at vide om ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS er en lande-/områdespecifik ISMS-struktur, der definerer et strengt sæt kontrolkrav, der er designet til at sikre, at organisationer i Korea konsekvent og sikkert beskytter deres informationsaktiver.

Få mere at vide om ISMS (Korea).

Singapore Multi-Tier Cloud Security (MTCS) Level 3

MTCS Standard for Singapore blev udarbejdet under ledelse af ITSC (Information Technology Standards Singapore) fra Infocomm Development Authority of Singapore (IDA).

ITSC fremmer og faciliterer nationale programmer for at standardisere it og kommunikation samt Singapores deltagelse i internationale standardiseringsaktiviteter.

Få mere at vide om MTCS.

Spaniens høje sikkerhedsforanstaltninger Esquema Nacional de Seguridad (ENS)

I 2007 vedtog den spanske stat lov 11/2007, som fastlagde en juridisk ramme, der skulle give borgerne elektronisk adgang til offentlige myndigheder og offentlige tjenester. Denne lov er udgangspunktet for Esquema Nacional de Seguridad (National Security Framework), som styres af Royal Decree (RD) 3/2010.

Formålet med rammeprogrammet er at skabe tillid til leveringen af elektroniske tjenester og sikre adgang til, integritet, tilgængelighed, autenticitet, fortrolighed, sporbarhed og opbevaring af data, oplysninger og tjenester.

Få mere at vide om ENS.