Copilot Studio로 규정 준수 보장
오늘날의 디지털 환경에서 규정 준수는 그 어느 때보다 더 중요합니다. 조직에서는 보호하다 중요한 데이터를 보호하기 위해 다양한 규정과 표준을 준수하고, 고객의 신뢰를 유지하며, 법적 책임을 피해야 합니다. 규정 준수의 핵심 측면 중 하나는 데이터 보존을 보장하는 것입니다. 데이터 보존에는 특정 지리적 경계 내에서 데이터를 저장하고 처리하는 것이 포함됩니다. Microsoft Copilot Studio는 조직이 특히 지리적 데이터 보존 측면에서 중요한 규정 준수 요구 사항을 충족하는 데 도움이 되는 강력한 기능을 제공합니다.
규정 준수가 중요한 이유
- 법적 요구 사항: 많은 국가에서는 데이터를 저장하고 처리할 수 있는 장소를 규정하는 엄격한 데이터 보호법이 있습니다. 이를 준수하지 않을 경우 엄청난 벌금과 법적 조치를 받을 수 있습니다.
- 고객 신뢰: 규정 준수 표준을 준수하는 것은 데이터 보안에 대한 노력을 보여주며, 이는 고객의 신뢰와 충성도를 높일 수 있습니다.
- 위험 관리: 규정 준수는 데이터 침해 및 무단 액세스와 관련된 위험을 식별하고 완화하는 데 도움이 됩니다.
- 운영 효율성: 규정 준수 지침을 따르면 프로세스가 간소화되고 전반적인 운영 효율성이 향상될 수 있습니다.
Copilot Studio는 규정 준수를 핵심으로 하여 설계되었으며 온라인 서비스 사용 약관(OST)에 정의된 온라인 서비스입니다. 다음 사항을 준수하거나 적용합니다.
- HIPAA(Health Insurance Portability and Accountability Act) 적용
- HITRUST(Health Information Trust Alliance) CSF(공통 보안 프레임워크)
- FedRAMP(Federal Risk and Authorization Management Program)
- SOC(System and Organization Controls)
- 다양한 ISO(International Organization for Standardization) 인증
- PCI(Payment Card Industry) DSS(Data Security Standard)
- CSA(Cloud Security Alliance) STAR(Security Trust Assurance and Risk)
- G-Cloud(영국 정부 클라우드)
- OSPAR(Outsourced Service Provider’s Audit Report)
- K-ISMS(Korea-Information Security Management System)
- 싱가포르 MTCS(Multi-Tier Cloud Security) 레벨 3
- 스페인 ENS(Esquema Nacional de Seguridad) 고수준 보안 조치
HIPAA(Health Insurance Portability and Accountability Act) 적용
HIPAA 는 개인 식별 건강 정보의 사용, 공개 및 보호에 대한 요구 사항을 확립한 미국의 의료법입니다. 적용 대상 기관(의사 진료실, 병원, 건강 보험사 및 기타 의료 회사)에 적용되며, 그들을 대신하여 PHI를 처리하는 클라우드 서비스 및 IT 제공업체와 같은 비즈니스 동료 외에도 환자의 PHI(보호된 건강 정보)에 액세스할 수 있습니다.
Microsoft Copilot Studio는 HIPAA(Health Insurance Portability and Accountability Act) BAA(Business Associate Agreement)의 적용을 받습니다.
조직이 HIPAA의 규제를 받는 경우, 다음과 같은 시나리오에서 에이전트가 보호된 건강 정보를 처리하는 에이전트를 만들 수 있습니다.
- 개인에게 건강 정보(혈압, 체중 등)를 제공하도록 요청합니다.
- 건강 정보와 고객의 IP 주소 또는 이메일 주소와 같은 개인 식별 정보를 캡처합니다.
노트
Copilot Studio는 HIPAA의 적용을 받지만 여전히 의료 기기로 사용할 수 없습니다. Copilot Studio 및 의료 기기의 용도에 대한 면책 조항을 참조하십시오.
HITRUST(Health Information Trust Alliance)
HITRUST는 의료 산업의 대표자들이 관리하는 조직입니다.
HITRUST는 의료 기관과 해당 공급자가 보안 및 규정 준수를 일관되게 입증할 수 있도록 인증 가능한 프레임워크인 CSF(공통 보안 프레임워크)를 만들고 유지 관리합니다.
CSF는 HIPAA 및 HITECH 법에 기반을 두며, 이는 개인 식별이 가능한 건강 정보의 사용, 공개, 보호에 대한 요구 사항을 설정하고 비준수 시 불이익을 명시한 미국의 의료법입니다.
HITRUST는 표준화된 규정 준수 프레임워크, 평가 및 인증 프로세스인 벤치 마크를 제공하여 어떤 클라우드 서비스 제공 업체와 해당 의료 기관이 규정 준수를 측정할 수 있는지에 대해 평가합니다.
FedRAMP(Federal Risk and Authorization Management Program)
FedRAMP는 FISMA(Federal Information Security Management Act)에 따라 클라우드 컴퓨팅 제품과 서비스를 평가, 모니터링, 승인하기 위한 표준화된 접근 방식을 제공하고 연방 기관의 보안 클라우드 솔루션 채택을 가속하기 위해 설립되었습니다.
Microsoft의 정부 기관용 클라우드 서비스는 FedRAMP의 요구 사항을 충족합니다.
연방 및 국방 기관은 Azure Government, Office 365 US Government, Dynamics 365 Government를 포함하는 보호되는 서비스를 배포하여 다양한 규정 준수 서비스를 사용할 수 있습니다.
SOC 준수
SOC는 서비스 내에서 제어 규제를 보장하는 방법입니다. Microsoft Copilot Studio는 SOC를 준수하도록 감사되었습니다.
SOC 감사 보고서는 Microsoft 서비스 신뢰 포털에서 제공합니다.
ISO 준수
Microsoft Copilot Studio는 다음 표에 나열된 ISO 표준을 준수합니다. 각각에 대한 감사 보고서는 Microsoft 서비스 신뢰 포털에서 제공합니다.
PCI(Payment Card Industry) DSS(Data Security Standard)
PCI(Payment Card Industry) DSS(Data Security Standards)는 신용 카드 데이터에 대한 통제를 강화하여 사기를 방지하도록 설계된 글로벌 정보 보안 표준을 구성합니다.
5개의 주요 신용 카드 브랜드의 카드 지불을 수락하려면 모든 규모의 조직에서 PCI DSS 표준을 따라야 합니다.
- Visa
- MasterCard
- American Express
- Discover
- JCB(Japan Credit Bureau).
결제 및 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 조직은 PCI DSS를 준수해야 합니다.
CSA(Cloud Security Alliance) STAR(Security Trust Assurance and Risk)
STAR(Security Trust Assurance and Risk) 프로그램은 투명성, 엄격한 감사 및 표준 조화의 핵심 원칙을 포함합니다. STAR를 사용하는 회사는 모범 사례를 표시하고 클라우드 제품의 보안 상태를 검증합니다.
STAR 레지스트리는 인기있는 클라우드 컴퓨팅 제품에서 제공하는 보안 및 개인 정보 제어를 문서화합니다. 공개적으로 액세스할 수 있는 이 레지스트리를 통해 클라우드 고객은 최상의 조달 결정을 내리기 위해 보안 공급자를 평가할 수 있습니다.
Microsoft Copilot Studio는 CSA STAR를 준수하도록 감사되었습니다.
G-Cloud(영국 정부 클라우드)
G-Cloud(Government Cloud)는 정부 부서의 클라우드 서비스 조달을 용이하게 하고 정부 차원의 클라우드 컴퓨팅 채택을 촉진하기 위한 영국 정부의 이니셔티브입니다.
G-Cloud는 클라우드 서비스 공급자(예: Microsoft)와의 일련의 프레임워크 계약과 온라인 상점인 Digital Marketplace의 서비스 목록으로 구성됩니다. 이를 통해 공공 부문 조직에서 자체 검토 프로세스 전체를 수행하지 않고도 해당 서비스를 비교하고 조달할 수 있습니다.
Digital Marketplace에서 서비스를 제공하려면 규정 준수에 대한 자체 증명이 필요하며 GDS(Government Digital Service) 지점에서 재량에 따라 검증을 수행해야 합니다.
OSPAR(Outsourced Service Provider’s Audit Report)
OSPAR 프레임워크는 싱가포르 금융 기관에 서비스를 제공하고자 하는 OSP(Outsourced Service Provider)를 위한 IT 보안 지침을 공식화한 것으로 ABS(Association of Banks in Singapore)에 의해 수립되었습니다. ABS 가이드라인은 금융 기관이 클라우드 아웃소싱을 계약할 때, 특히 중요한 워크로드에 대해 구현해야 하는 실사, 공급업체 관리, 주요 기술 및 조직 제어에 대한 접근 방식을 이해하는 데 도움을 제공하기 위한 것입니다.
Microsoft Copilot Studio에 OSPAR 증명이 있습니다.
K-ISMS(Korea-Information Security Management System)
K-ISMS 는 한국 내 기업들이 정보 자산을 일관되고 안전하게 보호할 수 있도록 설계된 엄격한 일련의 통제 요건을 정의한 국가/지역별 ISMS 프레임워크입니다.
싱가포르 MTCS(Multi-Tier Cloud Security) 레벨 3
싱가포르의 MTCS 표준은 싱가포르 IDA(Infocomm Development Authority)의 ITSC(Information Technology Standards Committee)의 지시에 따라 작성되었습니다.
ITSC는 IT 및 커뮤니케이션을 표준화하기 위한 국가 프로그램과 싱가포르의 국제 표준화 활동 참여를 장려하고 촉진합니다.
스페인 ENS(Esquema Nacional de Seguridad) 고수준 보안 조치
2007년 스페인 정부는 2007/11 법을 제정하여 시민들이 정부와 공공 서비스에 전자적으로 접근할 수 있도록 하는 법적 틀을 마련했습니다. 이 법은 2010년 3월 3일에 칙령에 따라 제정된 National Security Framework(Esquema Nacional de Seguridad)의 기초입니다.
이 프레임워크의 목표는 전자 서비스 제공에 대한 신뢰를 구축하고 데이터, 정보 및 서비스의 액세스, 무결성, 가용성, 신뢰성, 기밀성, 추적성 및 보존을 보장하는 것입니다.