Vaatimustenmukaisuuden noudattamisen varmistaminen Copilot Studion avulla
Nykypäivän digitaalisessa ympäristössä vaatimustenmukaisuus on tärkeämpää kuin koskaan. Organisaatioiden on noudatettava erilaisia säännöksiä ja standardeja arkaluonteisten tietojen suojaamiseksi, asiakkaiden luottamuksen ylläpitämiseksi ja oikeudellisten seuraamusten välttämiseksi. Vaatimustenmukaisuuden keskeinen osa on tietojen sijaintia, joka käsittää tietojen tallentamisen ja käsittelemisen tiettyjen maantieteellisten rajojen sisällä. Microsoft Copilot Studio sisältää luotettavia ominaisuuksia, joiden avulla organisaatiot voivat täyttää vaatimustenmukaisuusvaatimukset erityisesti maantieteellisten tietojen sijainnin suhteen.
Miksi vaatimustenmukaisuus on tärkeää
- Lakisääteiset vaatimukset: Monissa maissa on tiukat tietosuojalait, jotka määrittävät tietojen tallennus- ja käsittelysijainnit. Vaatimustenvastaisuus voi johtaa suuriin sakkoihin ja oikeustoimiin.
- Asiakkaiden luottamus: Vaatimustenmukaisuuden standardien noudattaminen osoittaa sitoutumisen tietoturvaan. Tämä voi parantaa asiakkaiden luottamusta ja uskollisuutta.
- Riskien hallinta: Vaatimustenmukaisuus auttaa tunnistamaan ja vähentämään riskejä, jotka liittyvät tietomurtoihin ja luvattomaan käyttöön.
- Toimintojen tehokkuus: Vaatimustenmukaisuuden ohjeiden noudattaminen voi tehostaa prosesseja ja parantaa toimintojen tehokkuutta yleisesti.
Copilot Studio on suunnittelu perustuu vaatimustenmukaisuuteen. Se on online-palvelu, joka määritetään online-palveluiden käyttöehdoissa. Se noudattaa seuraavia sopimuksia tai kuuluu niiden kattavuusalueeseen:
- HIPAA (Health Insurance Portability and Accountability Act) -kattavuus
- HITRUST (Health Information Trust Alliance) Common Security Framework (CSF)
- FedRAMP (Federal Risk and Authorization Management Program)
- SOC (System and Organization Controls)
- Erilaiset ISO (International Organization for Standardization) -sertifioinnit
- PCI (Payment Card Industry) DSS (Data Security Standard)
- CSA:n (Cloud Security Alliance) STAR (Security Trust Assurance and Risk)
- Yhdistyneen kuningaskunnan julkishallinnon pilvi (G-Cloud)
- OSPAR (Outsourced Service Provider’s Audit Report)
- K-ISMS (Korea-Information Security Management System)
- Singaporen MTCS (Multi-Tier Cloud Security), taso 3
- Espanjan ENS (Esquema Nacional de Seguridad), korkean tason suojaustoimet
HIPAA (Health Insurance Portability and Accountability Act) -kattavuus
HIPAA on Yhdysvaltain terveydenhuoltolaki, joka asettaa vaatimukset yksilöllisesti tunnistettavien terveystietojen käytölle, paljastamiselle ja suojaamiselle. Se koskee katettuja entiteettejä, joita ovat lääkäreiden vastaanottotilat, sairaalat, sairausvakuutusyhtiöt ja muut terveydenhoitoalan yritykset, jotka käyttävät potilaiden suojattuja terveystietoja, liikekumppanit, kuten pilvipalvelut ja IT-toimittajat, jotka käsittelevät suojattuja terveystietoja heidän puolestaan.
Microsoft Copilot Studio kuuluu HIPAA:n Business Associate Agreement (BAA) -sopimuksen piiriin.
Voit luoda asiakaspalvelijoita, jotka käsittelevät suojattuja terveystietoja, kun HIPAA-laki sitoo organisaatiotasi, kuten seuraavissa skenaarioissa, joissa asiakaspalvelija voi:
- pyytäessä henkilöiltä terveystietoja (esimerkiksi verenpaine ja paino)
- kerätessä terveystietoja ja henkilökohtaisia tunnistetietoja, kuten asiakkaan IP-osoite ja sähköpostiosoite.
Huomautus
Vaikka Copilot Studio noudattaa HIPAA-sopimusta, sitä ei silti ole tarkoitettu käytettäväksi lääketieteellisenä laitteena. Katso vastuuvapauslauseke Copilot Studioin ja lääketieteellisten laitteiden käyttötarkoituksesta.
Health Information Trust Alliance (HITRUST)
HITRUST on terveydenhuollon alan edustajien hallitsema organisaatio.
HITRUST loi ja ylläpitää Common Security Frameworkia (CSF). Se on varmennettavissa oleva kehys, jonka avulla terveydenhuollon organisaatiot ja niiden palveluntarjoajat voivat osoittaa tietoturvansa ja yhteensopivuutensa johdonmukaisesti.
CSF perustuu HIPAA- ja HITECH-lakiin. Ne ovat Yhdysvaltojen terveydenhuoltoon liittyviä lakeja, jotka koskevat terveyttä koskevien tunnistettavissa olevien tietojen käyttöä, julkituloa ja tallentamista, ja joiden noudattamista valvotaan.
HITRUST tarjoaa standardoidun yhdenmukaisen kehys-, arviointi- ja sertifiointiprosessin, jota vastaan pilvipalveluntarjoajat ja kattaneet kuntoentiteetit voivat mitata yhdenmukaisuutta.
FedRAMP (Federal Risk and Authorization Management Program)
FedRAMP perustettiin tarjoamaan standardisoituja pilvitekniikkatuotteita ja -palveluita arviointia, valvontaa ja muokkaamista varten FISMA (Federal Information Security Management Act) -lain alaisuudessa ja suojattujen pilviratkaisujen käyttöönoton nopeuttamiseksi liittovaltion virastoissa.
Microsoftin julkishallinnon pilvipalvelut vastaavat FedRAMP-vaatimuksia.
Ottamalla käyttöön suojattuja palveluita, kuten Azure Government, Office 365 US Government ja Dynamics 365 Government, liittovaltion ja puolustusministeriön virastot voivat käyttää monipuolista yhdenmukaisten palveluiden kokoelmaa.
SOC-yhteensopivuus
SOC on menetelmä, jolla varmistetaan palvelun sisäinen hallinnan säätely. Microsoft Copilot Studio on tarkistettu, ja sen on todettu noudattavan SOC-menetelmää.
SOC-tarkistusraportit ovat saatavilla Microsoft Service Trust Portal -palvelussa.
Lue lisää SOC:sta.
ISO-yhteensopivuus
Microsoft Copilot Studio noudattaa ISO-standardeja, jotka löytyvät alla olevasta taulukosta. Kaikkien tarkistusraportit ovat saatavilla Microsoft Service Trust Portal -palvelussa.
PCI (Payment Card Industry) DSS (Data Security Standard)
PCI (Payment Card Industry) DSS (Data Security Standards) muodostaa yleisen tietosuojausstandardin, joka on suunniteltu estämään petoksia luottokorttitietojen lisätyn valvonnan avulla.
Kaiken kokoisten organisaatioiden tulee noudattaa PCI DSS -standardeja, jos nämä hyväksyvät alla mainittujen viiden suurimman luottokorttiyrityksen maksukortteja:
- Visa
- MasterCard
- American Express
- Discover
- Japan Credit Bureau (JCB).
PCI DSS:n noudattaminen on pakollista organisaatioille, jotka tallentavat, käsittelevät tai siirtävät maksukortin ja kortin haltijan tietoja.
CSA:n (Cloud Security Alliance) STAR (Security Trust Assurance and Risk)
STAR (Security Trust Assurance and Risk) -ohjelma kattaa läpinäkyvyyden, huolellisen valvonnan ja standardien yhtenäistämisen keskeiset periaatteet. STAR-ohjelmaa käyttävät yritykset ilmoittavat parhaat käytäntönsä ja varmistavat pilvitarjonnan suojauksen.
STAR-rekisteri dokumentoi suosittujen pilvitekniikkavalikoimien tarjoamat suojaus- ja tietosuojaohjausobjektit. Tämä yleisesti käytettävissä oleva rekisteri antaa pilviasiakkaille mahdollisuuden arvioida suojauspalvelun tarjoajia. Tämä auttaa tekemään parhaat hankintaa koskevat päätökset.
Microsoft Copilot Studio on tarkistettu, ja sen on todettu noudattavan CSA STAR -menetelmää.
Yhdistyneen kuningaskunnan julkishallinnon pilvi (G-Cloud)
Government Cloud (G-Cloud) on Yhdistyneen kuningaskunnan julkishallinnon hanke, joka auttaa julkishallinnon osastoja hankkimaan pilvipalveluita ja edistää pilvitekniikan käyttöönottoa julkishallinnon toiminnoissa.
G-Cloud sisältää pilvipalveluiden tarjoajien (kuten Microsoftin) kehyssopimussarjan ja luettelon näiden palveluista Digital Marketplace -verkkokaupassa. Näiden avulla julkisen sektorin organisaatiot voivat vertailla palveluita ja hankkia niitä ilman omaa täydellistä tarkistusprosessia.
Digital Marketplacen sisällyttäminen edellyttää yhdenmukaisuuden vahvistamista itse sekä GDS:n (Government Digital Service) oman harkinnan mukaan suorittamaa tarkistusta.
OSPAR (Outsourced Service Provider’s Audit Report)
OSPAR-kehyksen loi Association of Banks in Singapore (ABS), joka muodosti IT-suojauksen ohjeet palveluiden alihankkijoille, jotka haluavat tarjota palveluita Singaporen rahoituslaitoksille. ABS-ohjeet on tarkoitettu rahoituslaitoksille avuksi, jotta ymmärretään huolellisuuden, toimittajien hallinnan ja tärkeiden teknisten ja organisaation ohjausobjektien näkökulmat. Nämä tulisi ottaa käyttöön pilvipalvelun ulkoistamisjärjestelyissä, erityisesti materiaaleihin liittyvän työn osalta.
Microsoft Copilot Studio sisältää OSPAR-vahvistuksen.
K-ISMS (Korea-Information Security Management System)
K-ISMS on maa- tai aluekohtainen ISMS-kehys, joka määrittelee tiukat valvontavaatimukset, joiden tarkoituksena on varmistaa, että korealaiset organisaatiot suojata tietovaransa johdonmukaisesti ja turvallisesti.
Singaporen MTCS (Multi-Tier Cloud Security), taso 3
Singaporen MTCS-standardi valmisteltiin Singaporen IDA:n (Infocomm Development Authority) ITSC:n (Information Technology Standards Committee) valvonnan alaisuudessa.
ITSC edistää ja helpottaa kansallisten ohjelmien toimintaa IT- ja viestintäalan yhdenmukaistamiseksi sekä Singaporen osallistumista kansainväliseen yhdenmukaistamiseen liittyvään toimintaan.
Espanjan ENS (Esquema Nacional de Seguridad), korkean tason suojaustoimet
Vuonna 2007 Espanjan hallitus hyväksyi lain 11/2007, jossa määritetään oikeudellinen kehys kansalaisille tarjottavasta sähköisestä käyttöoikeudesta julkishallinnon palveluihin ja julkisiin palveluihin. Tämä laki on kansallisen suojauskehyksen (Esquema Nacional de Seguridad) perusta, ja siihen sovelletaan täydentävää asetusta (RD) 3/2010.
Tämän kehyksen tavoite on luoda luottamusta sähköisten palveluiden tarjontaan ja varmistaa datan, tietojen ja palveluiden käyttöoikeus, yhtenäisyys, käytettävyys, aitous, luottamuksellisuus, jäljitettävyys ja säilyttäminen.
Lue lisää ENS:stä.