Udostępnij za pośrednictwem

Upewnij się, że są zgodne z Copilot Studio

  • Artykuł

W świecie cyfrowym zgodność z wymaganiami jest bardziej krytyczna niż kiedykolwiek. Organizacje muszą przestrzegać różnych przepisów i norm, chronić poufnych danych, zachować zaufanie klientów i uniknąć reperkusji prawnych. Jednym z kluczowych aspektów zgodności jest zapewnienie zgodności danych, co obejmuje przechowywanie i przetwarzanie danych w określonych obszarach geograficznych. Microsoft Copilot Studio oferuje niezawodne funkcje, które pomagają organizacjom w spełnianiu najważniejszych wymagań dotyczących zgodności, w szczególności pod względem geograficznych warunków przechowywania danych.

Dlaczego zgodność jest ważna

  • Wymagania prawne: w wielu krajach w wielu krajach prawnie tworzona jest ochrona danych, która miejscami, w których dane mogą być przechowywane i przetwarzane. Niezgodność może spowodować wysokie kary oraz działania prawne.
  • Zaufanie klienta: w celu zapewnienia zgodności z standardami zgodności demonstruje się w nich bezpieczeństwo danych, co może zwiększyć zaufanie klientów i zapewnić ich lojalność.
  • Zarządzanie ryzykiem: zgodność z wymaganiami pomaga w identyfikowaniu i poprawianiu jakości danych związanych z danymi i nieautoryzowanym dostępem.
  • Wydajność operacyjna: następujące wytyczne dotyczące zgodności mogą usprawnić procesy i poprawić ogólną wydajność operacyjną.

Copilot Studio jest zaprojektowane ze zgodnością od podstaw i jest Usługą online, jak określono w Postanowieniach dotyczących Usług Online (OST). Jest zgodne z lub objęte przez:

  • Pokryciem Health Insurance Portability and Accountability Act (HIPAA)
  • Zaufanie do informacji o stanie (HITRUST) (HITRUST) Common Security Framework (CSF)
  • Program zarządzania ryzykom federalnym i autoryzacją (FedRAMP)
  • Formanty systemu i organizacji (SOC)
  • Różne Organizacje Normalizacyjne (ISO)
  • Standard zabezpieczeń danych (DSS) dla kart płatności
  • Zabezpieczenia w chmurze (CSA) Security Trust Assurance and Risk (STAR)
  • Usługa w chmurze dla instytucji rządowych (G-Cloud)
  • Raport inspekcji dostawcy zewnętrznego (OSPAR)
  • Korea-System Zarządzania Bezpieczeństwem Informacji (K-ISMS)
  • Wielowarstwowe zabezpieczenia w chmurze (MTCS) w Singapurze — poziom 3
  • Hiszpania Esquema Nacional de Grauridad (ENS) wysokiego poziomu zabezpieczeń

Pokryciem Health Insurance Portability and Accountability Act (HIPAA)

HIPAA to amerykańskie prawo dotyczące opieki zdrowotnej, które ustanawia wymagania dotyczące wykorzystywania, ujawniania i zabezpieczania indywidualnie identyfikowalnych informacji zdrowotnych. Ma ona zastosowanie do objętych jednostek — gabinetów lekarskich, szpitali, ubezpieczycieli zdrowotnych i innych firm związanych z opieką zdrowotną — które mają dostęp do chronionych informacji o zdrowiu pacjentów (PHI), a także do firm partnerskich — takich jak dostawcy usług w chmurze i infrastruktury IT — które przetwarzają informacje PHI w ich imieniu.

Microsoft Copilot Studio jest zawarty w "Health Insurance Portability and Accountability Act" (HIPAA) Business Associate Agreement (BAA) (Health Insurance Portability and Accountability Act).

Można tworzyć agentów, którzy obsługują chronione informacje o kondycji, gdy organizacja jest powiązana z ustawą HIPAA, na przykład w następujących scenariuszach, w których agent może:

  • Poprosić osoby prywatne o podanie informacji o stanie zdrowia (ciśnienie krwi, waga itp.).
  • Przechwytywać dane dotyczące stanu zdrowia i dane umożliwiające identyfikację osoby, takie jak adres IP lub adres e-mail klienta.

Uwaga

Mimo że usługa Copilot Studio podlega ustawie HIPAA, nie jest przeznaczona do użycia jako artykuł medyczny. Zapoznaj się z zastrzeżeniem dotyczącym zamierzonego użycia usługi Copilot Studio i urządzeń medycznych.

Dowiedz się więcej o ustawie HIPAA.

Zaufanie do informacji o stanie kondycji (HITRUST)

HITRUST to organizacja podlegająca przedstawicielom branży opieki zdrowotnej.

Firma HITRUST utworzyła i obsługuje typowe struktury zabezpieczeń (CSF, Common Security Framework), które pomagają organizacjom opieki zdrowotnej i ich dostawcom w spójnym zapewnianiu bezpieczeństwa i zgodności.

CSF opiera się na HIPAA i HITECH Act, które są amerykańskimi przepisami dotyczącymi opieki zdrowotnej, które ustanowiły wymagania dotyczące wykorzystywania, ujawniania i zabezpieczania indywidualnie identyfikowalnych informacji zdrowotnych oraz egzekwowania niezgodności.

HITRUST zapewnia punkt odniesienia — ustandaryzowane ramy zgodności, ocenę i proces certyfikacji — na podstawie których dostawcy usług w chmurze i objęte podmioty opieki zdrowotnej mogą mierzyć zgodność.

Dowiedz się więcej o HITRUST.

Program zarządzania ryzykom federalnym i autoryzacją (FedRAMP)

FedRAMP został ustanowiony w celu zapewnienia znormalizowanego podejścia do oceny, monitorowania i autoryzacji produktów i usług przetwarzania w chmurze zgodnie z federalną ustawą o zarządzaniu bezpieczeństwem informacji (FISMA) oraz w celu przyspieszenia przyjęcia bezpiecznych rozwiązań w chmurze przez agencje federalne.

Usługi w chmurze dla instytucji rządowych firmy Microsoft spełniają wymagania fedRAMP.

Wdrażając chronione usługi, w tym usługi Azure Government, Office 365 US Government i Dynamics 365 Government, agencje federalne i federalne mogą korzystać z szerokiej tablicy usług zgodnych ze standardem.

Dowiedz się więcej o FedRAMP.

Zgodność z umową SOC

SOC jest metodą zapewniającą regulację kontroli w ramach usługi. Usługa Microsoft Copilot Studio została poddana inspekcji pod kątem zgodności z SOC.

Raporty inspekcji SOC są dostępne w portalu zaufania usług Microsoft.

Dowiedz się więcej o SOC.

Zgodność z umową ISO

Usługa Microsoft Copilot Studio jest zgodna ze standardami ISO wymienionymi w poniższej tabeli. Raporty inspekcji dla każdego z nich są dostępne w portalu zaufania usług Microsoft.

Standard Nazwa raportu i certyfikatu Link do standardu (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 i inne usługi online — certyfikat ISO9001 i raport oceny ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 i inne usługi online — certyfikat ISO20000-1 i raport oceny ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 i inne usługi online — certyfikat ISO20000-1 i raport oceny ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 i inne usługi online — ISO27001 i certyfikat 27701 oraz Microsoft Azure Dynamics 365 i inne usługi online — ISO27001, 27018, 27017, 27701 Raport oceny ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 i inne usługi online - certyfikat ISO27017 i Microsoft Azure Dynamics 365 oraz inne usługi online - ISO27001, 27018, 27017, 27701 Raport oceny ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 i inne usługi online - certyfikat ISO27018 i Microsoft Azure Dynamics 365 oraz inne usługi online - ISO27001, 27018, 27017, 27701 Raport oceny ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 i inne usługi online - certyfikat ISO27701 i Microsoft Azure Dynamics 365 oraz inne usługi online — ISO27001, 27018, 27017, 27701 Raport oceny ISO/IEC 27701:2019

Standard zabezpieczeń danych (DSS) dla kart płatności

Branża kart płatniczych (PCI) Data Security Standards (DSS) stanowi globalny standard zabezpieczeń informacji opracowany w celu zapobiegania oszustwom dzięki większej kontroli danych kart kredytowych.

Organizacje wszystkich rozmiarów muszą postępować zgodnie z standardami PCI DSS, jeśli zaakceptują karty do płatności z pięciu głównych kart kredytowych:

  • Visa
  • MasterCard
  • American Express
  • Wykryj
  • Japoński bank kredytowy (JCB).

Zgodność z usługą PCI DSS jest wymagana dla każdej organizacji, która przechowuje, przetwarza lub wysyła dane do płatności i kart.

Dowiedz się więcej o PCI DSS.

Zabezpieczenia w chmurze (CSA) Security Trust Assurance and Risk (STAR)

Z witryny sieci internetowej CSA STAR:

  • Program STAR (Security Trust Assurance and Risk) obejmują kluczowe zasady dotyczące przejrzystości, rygorystyczne inspekcje i harmonizację standardów. Firmy, które korzystają z programu STAR, stosują najlepsze metody postępowania i weryfikują stan zabezpieczeń w ich ofertach w chmurze.

    Rejestr programu STAR zawiera dokumentację dotyczącą funkcji kontroli zabezpieczeń i prywatności oferowanych przez popularne rozwiązania do przetwarzania w chmurze. Ten publicznie dostępny rejestr zezwala klientom w chmurze na ocenianie dostawców zabezpieczeń w celu dokonania najlepszych decyzji w zakresie zaopatrzenia.

Usługa Microsoft Copilot Studio została poddana inspekcji pod kątem zgodności z programem CSA STAR.

Dowiedz się więcej o CSA STAR.

Usługa w chmurze dla instytucji rządowych (G-Cloud)

Government Cloud (G-Cloud) to brytyjskie środowisko, które ułatwia wybór usług w chmurze przez działy rządowe i promuje wdrożenie przetwarzania w chmurze dla całego państwa.

G-Cloud obejmuje szereg umów ramowych z dostawcami usług w chmurze (takimi jak Microsoft) oraz wykaz ich usług w sklepie internetowym, Digital Marketplace. Umożliwiają one organizacjom sektora publicznego porównywanie i zamawianie tych usług bez konieczności przeprowadzania własnego pełnego procesu przeglądu.

Uwzględnienie w witrynie Digital Marketplace wymaga samoobsługowej kontroli zgodności, a po niej weryfikacji przeprowadzonej przez odgałęzienie Government Digital Service (GDS) według własnego wyboru.

Dowiedz się więcej o G-Cloud.

Raport inspekcji dostawcy zewnętrznego (OSPAR)

Ramy OSPAR zostały ustanowione przez Stowarzyszenie Banków w Singapurze (ABS), które sformułowało wytyczne dotyczące bezpieczeństwa IT dla zewnętrznych dostawców usług (OSP), którzy chcą świadczyć usługi na rzecz singapurskich instytucji finansowych. Wytyczne ABS mają na celu pomóc instytucjom finansowym w zrozumieniu podejścia do należytej staranności, zarządzania dostawcami oraz kluczowych kontroli technicznych i organizacyjnych, które należy wdrożyć w ramach outsourcingu w chmurze, w szczególności w przypadku istotnych obciążeń.

Microsoft Copilot Studio ma atest OSPAR.

Dowiedz się więcej o ABS OSPR.

Korea-System Zarządzania Bezpieczeństwem Informacji (K-ISMS)

K-ISMS to specyficzna dla danego kraju/regionu struktura SZBI, która definiuje rygorystyczny zestaw wymagań kontrolnych mających na celu zapewnienie, że organizacje w Korei konsekwentnie i bezpiecznie chronią swoje zasoby informacyjne.

Dowiedz się więcej o SZBI (Korea).

Wielowarstwowe zabezpieczenia w chmurze (MTCS) w Singapurze — poziom 3

Standard MTCS dla Singapuru został opracowany pod kierunkiem Komitetu ds. Standardów Technologii Informatycznych (ITSC) przy Infocomm Development Authority of Singapore (IDA).

ITSC promuje i ułatwia krajowe programy standaryzacji IT i komunikacji oraz udział Singapuru w międzynarodowych działaniach normalizacyjnych.

Dowiedz się więcej o MTCS.

Hiszpania Esquema Nacional de Grauridad (ENS) wysokiego poziomu zabezpieczeń

W 2007 r. rząd hiszpański uchwalił ustawę 11/2007, która ustanowiła ramy prawne umożliwiające obywatelom elektroniczny dostęp do usług rządowych i publicznych. Prawo to jest podstawą Esquema Nacional de Seguridad (Narodowych Ram Bezpieczeństwa), które reguluje dekret królewski (RD) 3/2010.

Celem struktury jest budowanie zaufania do zapewnienia usług elektronicznych oraz zapewnienie dostępu, integralności, dostępności, uwierzytelniania, poufności, śledzenia i przechowywania danych, informacji i usług.

Dowiedz się więcej o ENS.