Condividi tramite

Garantire la conformità a Copilot Studio

  • Articolo

Nell'attuale panorama digitale, la conformità è più critica che mai. Le organizzazioni devono rispettare diverse normative e standard per proteggere i dati sensibili, mantenere la fiducia dei clienti ed evitare conseguenze legali. Un aspetto fondamentale della conformità è garantire la residenza dei dati, il che implica l'archiviazione e l'elaborazione dei dati entro specifici confini geografici. Microsoft Copilot Studio offre funzionalità solide per aiutare le organizzazioni a soddisfare i requisiti di conformità critici, in particolare in termini di residenza geografica dei dati.

Perché è importante la conformità

  • Requisiti legali: molti paesi hanno leggi severe sulla protezione dei dati che stabiliscono dove i dati possono essere archiviati ed elaborati. La mancata conformità può comportare pesanti sanzioni e azioni legali.
  • Fiducia del cliente: il rispetto degli standard di conformità dimostra un impegno nei confronti della sicurezza dei dati, il che può aumentare la fiducia e la lealtà dei clienti.
  • Gestione del rischio: la conformità aiuta a identificare e mitigare i rischi associati alle violazioni dei dati e agli accessi non autorizzati.
  • Efficienza operativa: seguire le linee guida sulla conformità può semplificare i processi e migliorare l'efficienza operativa complessiva.

Copilot Studio ha come base la conformità ed è un Servizio online come definito nelle Condizioni per l'Utilizzo dei Servizi Online. È conforme a o coperto da:

  • Copertura Health Insurance Portability and Accountability Act (HIPAA)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Varie certificazioni International Organization for Standardization (ISO)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • Government Cloud (G-Cloud) per il Regno Unito
  • Outsourced Service Provider's Audit Report (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) livello 3
  • Misure di sicurezza di alto livello Spain Esquema Nacional de Seguridad (ENS)

Copertura Health Insurance Portability and Accountability Act (HIPAA)

L'HIPAA è una legge sanitaria degli Stati Uniti che stabilisce i requisiti per l'uso, la divulgazione e la salvaguardia delle informazioni sanitarie identificabili individualmente. Si applica alle entità coperte, ovvero studi medici, ospedali, assicurazioni sanitarie e altre società sanitarie, che hanno accesso alle informazioni sanitarie protette dei pazienti (PHI), oltre ai soci aziendali, come servizi cloud e provider IT, che elaborano PHI per loro conto.

Microsoft Copilot Studio è coperto dall'Health Insurance Portability and Accountability Act (HIPAA) Business Associate Agreement (BAA).

È possibile creare agenti che gestiscono informazioni sanitarie protette quando la propria organizzazione è vincolata dall'HIPAA, come nei seguenti scenari in cui agente può:

  • Chiedere alle persone di fornire le proprie informazioni sulla salute (pressione sanguigna, peso e così via).
  • Acquisire informazioni sulla salute e informazioni di identificazione personale, come l'indirizzo IP o l'indirizzo e-mail del cliente.

Nota

Sebbene Copilot Studio sia coperto da HIPAA, non è ancora inteso per l'uso come dispositivo medico. Vedi la dichiarazione di non responsabilità sull'uso previsto di Copilot Studio e dei dispositivi medici.

Scopri di più sull'HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST è un'organizzazione gestita da rappresentanti del settore sanitario.

HITRUST ha creato e mantiene il Common Security Framework (CSF), un framework certificabile per aiutare le organizzazioni sanitarie e i loro fornitori a dimostrare la propria sicurezza e conformità in modo coerente.

CSF si basa su HIPAA e HITECH Act, leggi statunitensi per il sistema sanitario che hanno stabilito requisiti per l'uso, la divulgazione e la salvaguardia delle informazioni sanitarie identificabili individualmente e applicano la non conformità.

HITRUST fornisce un benchmark, ovvero un framework di conformità standardizzato e un processo di valutazione e certificazione, rispetto al quale i provider di servizi cloud e gli enti sanitari coperti possono misurare la conformità.

Scopri di più su HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP è stata istituita per fornire un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing ai sensi del Federal Information Security Management Act (FISMA) e per accelerare l'adozione di soluzioni cloud sicure da parte delle agenzie federali.

I servizi cloud per gli enti pubblici di Microsoft soddisfano i requisiti FedRAMP.

Distribuendo servizi protetti, inclusi Azure per enti pubblici, Office 365 US Government e Dynamics 365 Government, gli enti federali e le agenzie per la difesa possono utilizzare un'ampia gamma di servizi conformi.

Scopri di più su FedRAMP.

Conformità SOC

SOC è un metodo per garantire la regolazione del controllo all'interno di un servizio. Microsoft Copilot Studio è stato controllato per essere conforme al SOC.

I report di controllo SOC sono disponibili nel Microsoft Service Trust Portal.

Scopri di più su SOC.

Conformità ISO

Microsoft Copilot Studio è conforme agli standard ISO elencati nella tabella seguente. I report di controllo per ognuno sono disponibili nel Microsoft Service Trust Portal.

Standard Nome del report e del certificato Collegamento allo standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO9001 e rapporto di valutazione Codice ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO20000-1 e rapporto di valutazione ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO20000-1 e rapporto di valutazione ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO27001 e 27701 e Microsoft Azure, Dynamics 365 e altri servizi online - Rapporto di valutazione ISO27001, 27018, 27017, 27701 Norma ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO27017 e Microsoft Azure, Dynamics 365 e altri servizi online - Rapporto di valutazione ISO27001, 27018, 27017, 27701 ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO27018 e Microsoft Azure, Dynamics 365 e altri servizi online - Rapporto di valutazione ISO27001, 27018, 27017, 27701 ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 e altri servizi online - Certificato ISO27701 e Microsoft Azure, Dynamics 365 e altri servizi online - Rapporto di valutazione ISO27001, 27018, 27017, 27701 ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

I Payment Card Industry (PCI) Data Security Standards (DSS) costituiscono uno standard globale di sicurezza delle informazioni progettato per prevenire le frodi attraverso un maggiore controllo dei dati delle carte di credito.

Le organizzazioni di tutte le dimensioni devono seguire gli standard PCI DSS se accettano carte di pagamento dei cinque principali marchi di carte di credito:

  • Visa
  • MasterCard
  • American Express
  • Discover
  • Japan Credit Bureau (JCB).

La conformità allo standard PCI DSS è richiesta per qualsiasi organizzazione che archivia, elabora o trasmette dati di pagamento e di titolari di carte.

Scopri di più su PCI DSS.

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Dal sito Web CSA STAR:

  • Il programma STAR (Security Trust Assurance and Risk) comprende principi chiave di trasparenza, controllo rigoroso e armonizzazione degli standard. Le aziende che utilizzano STAR indicano le procedure migliori e convalidano lo stato di sicurezza delle loro offerte cloud.

    Il registro STAR documenta i controlli di sicurezza e privacy forniti dalle offerte di cloud computing più comuni. Questo registro accessibile pubblicamente consente ai clienti cloud di valutare i propri provider della sicurezza al fine di prendere le migliori decisioni di approvvigionamento.

Microsoft Copilot Studio è stato controllato per essere conforme a CSA STAR.

Scopri di più su CSA STAR.

Government Cloud (G-Cloud) per il Regno Unito

Government Cloud (G-Cloud) è un'iniziativa del governo del Regno Unito per facilitare l'approvvigionamento di servizi cloud da parte dei dipartimenti della pubblica amministrazione e promuovere l'adozione del cloud computing a livello di enti pubblici.

G-Cloud racchiude una serie di accordi quadro con fornitori di servizi cloud (come Microsoft) e un elenco dei loro servizi in uno store online, il Digital Marketplace. In questo modo le organizzazioni del settore pubblico possono confrontare e ottenere tali servizi senza dover eseguire il proprio processo di revisione completo.

Per far parte del Digital Marketplace è necessaria un'autocertificazione di conformità, seguita da una verifica eseguita dalla filiale Government Digital Service (GDS) a sua discrezione.

Scopri di più su G-Cloud.

Outsourced Service Provider's Audit Report (OSPAR)

Il framework OSPAR è stato istituito dall'Association of Banks in Singapore (ABS), che ha formulato linee guida sulla sicurezza informatica per i provider di servizi in outsourcing (OSP) che cercano di fornire servizi alle istituzioni finanziarie di Singapore. Le linee guida di ABS hanno lo scopo di assistere gli istituti finanziari nella comprensione degli approcci alla due diligence, alla gestione dei fornitori e ai controlli tecnici e organizzativi chiave che devono essere implementati negli accordi di outsourcing del cloud, in particolare per i carichi di lavoro materiali.

Microsoft Copilot Studio vanta l'attestazione OSPAR.

Scopri di più sull'ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS è un framework ISMS specifico per paese/regione che definisce una serie rigorosa di requisiti di controllo progettati per aiutare a garantire che le organizzazioni in Corea proteggere in modo coerente e sicuro le proprie risorse informative.

Scopri di più su ISMS (Corea).

Singapore Multi-Tier Cloud Security (MTCS) livello 3

Lo standard MTCS per Singapore è stato preparato sotto la direzione dell'Information Technology Standards Committee (ITSC) dell'Infocomm Development Authority di Singapore (IDA).

L'ITSC promuove e facilita i programmi nazionali per standardizzare l'IT e le comunicazioni e la partecipazione di Singapore alle attività di standardizzazione internazionali.

Scopri di più su MTCS.

Misure di sicurezza di alto livello Spain Esquema Nacional de Seguridad (ENS)

Nel 2007, il governo spagnolo ha promulgato la legge 11/2007, che ha stabilito un quadro giuridico per fornire ai cittadini l'accesso elettronico ai servizi pubblici e governativi. Questa legge è alla base dell'Esquema Nacional de Seguridad (framework di sicurezza nazionale), che è disciplinato dal Regio decreto (RD) 3/2010.

L'obiettivo del framework è creare fiducia nella fornitura di servizi elettronici e garantire l'accesso, l'integrità, la disponibilità, l'autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi.

Scopri di più su ENS.