确保符合 Copilot Studio

在当今的数字环境中,合规性比以往任何时候都更加重要。 组织必须遵守各种法规和标准来保护敏感数据,维护客户信任,并避免法律后果。 合规性的一个关键方面是确保数据驻留,这涉及在特定的地理边界内存储和处理数据。 Microsoft Copilot Studio 提供强大的功能,帮助组织满足关键的合规性要求,特别是在地理数据驻留方面

合规性为何重要

  1. 法律要求:许多国家/地区都有严格的数据保护法,规定数据的存储和处理位置。 不合规可能导致巨额罚款和法律诉讼。
  2. 客户信任:遵守合规标准表明对数据安全的承诺,这可以增强客户的信任和忠诚度。
  3. 风险管理:合规性有助于识别和降低与数据泄露和未经授权的访问相关的风险。
  4. 运营效率:遵循合规性准则可以简化流程并提高整体运营效率。

Copilot Studio 的设计以合规性为核心,是在线服务条款 (OST) 中定义的在线服务。 符合或涵盖于:

  • 健康保险可携性和责任法案 (HIPAA) 覆盖范围
  • 健康信息信任联盟 (HITRUST) 常见安全框架 (CSF)
  • 联邦风险与授权管理计划 (FedRAMP)
  • 系统和组织控制 (SOC)
  • 各种国际标准化组织 (ISO) 认证
  • 支付卡行业 (PCI) 数据安全标准 (DSS)
  • 云安全联盟 (CSA) 安全信任保证和风险 (STAR)
  • 英国 Government Cloud (G-Cloud)
  • 外包服务提供程序的审核报表 (OSPAR)
  • 韩国信息安全管理系统 (K-ISMS)
  • 新加坡多层云安全 (MTCS) 级别 3
  • 西班牙 Esquema Nacional de Seguridad (ENS) 高级安全措施

健康保险可携性和责任法案 (HIPAA) 覆盖范围

HIPAA是一部美国医疗保健法律,确立使用、披露和保护个人可识别健康信息的要求。 它适用于有权访问患者受保护的健康信息 (PHI) 的受监管实体(医生办公室、医院、医疗保险公司和其他医疗保健公司),以及代表所监管实体处理 PHI 的业务伙伴,如云服务和 IT 提供商。

Microsoft Copilot Studio 在健康保险可携性和责任法案 (HIPAA) 商业伙伴协议 (BAA) 中介绍。

当您的组织受 HIPAA 约束时,您可以创建用于处理受保护的健康信息的助手,如在以下场景中,助手可以:

  • 要求个人提供健康信息(血压、体重等)。
  • 捕获健康信息和个人识别信息,如客户的 IP 地址或电子邮件地址。

备注

虽然 Copilot Studio 受 HIPAA 约束,但其用途依然不是医疗设备。 请参阅有关 Copilot Studio 和医疗设备预期用途的免责声明。

了解有关 HIPAA 的详细信息

健康信息信任联盟 (HITRUST)

HITRUST 是一个由医疗保健行业代表管理的组织。

HITRUST 创建和维护常见安全框架 (CSF),这是一个有助于医疗保健组织及其提供商一致演示其安全性和合规性的认证框架。

CSF 基于 HIPAA 和 HITECH 法案生成,这两个美国医疗保健法律已建立了使用、披露和保护个人可识别健康信息的要求,并强制执行非合规性。

HITRUST 针对可以衡量合规性的云服务提供商和涉及的健康实体提供了一个基准(标准化合规性框架、评估和认证流程)。

了解有关 HITRUST 的详细信息

联邦风险与授权管理计划 (FedRAMP)

建立了 FedRAMP,以便根据联邦信息安全管理法案 (FISMA) 提供评估、监视和授权云计算产品和服务的标准化方法,并加速联邦机构采用安全云解决方案。

Microsoft 的政府云服务满足 FedRAMP 的要求。

通过部署受保护的服务(包括 Azure 政府、Office 365 US Government 和 Dynamics 365 Government),联邦机构和防卫厅可以使用一组丰富的合规服务。

了解有关 FedRAMP 的详细信息

SOC 合规性

SOC 是一种用于确保服务内遵守管控法规的方法。 Microsoft Copilot Studio 已经过审核,符合 SOC 的要求。

SOC 审核报告可从 Microsoft 服务信任门户获取。

了解有关 SOC 的更多信息

ISO 合规性

Microsoft Copilot Studio 符合下表中列出的 ISO 标准。 每个标准的审核报告可从 Microsoft 服务信任门户获取。

标准 报告和证书名称 标准链接 (www.iso.org)
ISO 9001:2015 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO9001 证书和评估报告 ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO20000-1 证书和评估报告 ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO20000-1 证书和评估报告 ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27001 和 27701 证书Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27001、27018、27017、27701 评估报告 ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27017 证书Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27001、27018、27017、27701 评估报告 ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27018 证书Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27001、27018、27017、27701 评估报告 ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27701 证书Microsoft Azure、Dynamics 365 和其他联机服务 - ISO27001、27018、27017、27701 评估报告 ISO/IEC 27701:2019

支付卡行业 (PCI) 数据安全标准 (DSS)

支付卡行业 (PCI) 数据安全标准 (DSS) 是一个全局信息安全标准,旨在通过提供对信用卡数据的控制来防止欺诈。

如果所有规模的组织都接受来自以下五个主要信用卡品牌的支付卡,则他们必须遵循 PCI DSS 标准:

  • Visa
  • MasterCard
  • American Express
  • 发现
  • 日本信用卡株式会社 (JCB)。

任何存储、处理或传输支付和持卡人数据的组织都需要符合 PCI DSS。

了解有关 PCI DSS 的详细信息

云安全联盟 (CSA) 安全信任保证和风险 (STAR)

CSA STAR 网站

  • 安全信任保证和风险 (STAR) 计划包含透明度、严格审核和标准统一的关键原则。 使用 STAR 的公司会指明最佳做法,并验证其云产品/服务的安全状况。

    STAR 注册表记录了热门云计算产品/服务提供的安全性和隐私控制。 这个可公开访问的注册表允许云客户评估其安全提供商,以便作出最佳采购决策。

Microsoft Copilot Studio 已经过审核,符合 CSA STAR 的要求。

了解有关 CSA STAR 的详细信息

英国 Government Cloud (G-Cloud)

Government Cloud (G-Cloud) 是一项英国政府计划,旨在简化政府部门对云服务的采购,并促进政府范围的云计算采用。

G-Cloud 包含与云服务供应商(例如 Microsoft)的一系列框架协议,以及联机存储(数字市场)中的服务列表。 这使公共部门组织比较和采购这些服务,而无需执行自己的完整审核流程。

若要包括在数字市场中,需要自动验证合规性,然后由政府数字服务 (GDS) 分支机构自行执行验证。

了解有关 G-Cloud 的详细信息

外包服务提供程序的审核报表 (OSPAR)

OSPAR 框架由新加坡银行公会 (ABS) 建立,为外包服务提供程序 (OSP) 制定 IT 安全指南,旨在向新加坡的财务机构提供服务。 ABS 指南旨在帮助财务机构了解审慎调查、供应商管理和关键技术和组织控制的方法,应在云外包安排(特别是材料工作负荷)中实施这些方法。

Microsoft Copilot Studio 具有 OSPAR 证明。

了解有关 ABS OSPR 的详细信息

韩国信息安全管理系统 (K-ISMS)

K-ISMS 是一个特定于国家/地区的 ISMS 框架,用于定义一组严格的控制要求,旨在帮助确保韩国组织能够一致且安全地保护其信息资产。

了解有关 ISMS(韩国)的详细信息

新加坡多层云安全 (MTCS) 级别 3

新加坡 MTCS 标准是在新加坡信息通信发展署 (IDA) 的信息技术标准委员会 (ITSC) 的指导下制定的。

ITSC 促进和推动 IT 和通信标准化的国家/地区计划,以及新加坡对国际标准化活动的参与。

了解有关 MTCS 的更多信息

西班牙 Esquema Nacional de Seguridad (ENS) 高级安全措施

在 2007 年,西班牙政府颁布了 11/2007 法律,其中建立了一个法律框架,允许公民以电子方式访问政府和公共服务。 此法律是 Esquema Nacional de Seguridad(国家安全框架)的基础,受 Royal Decree (RD) 3/2010 的限制。

该框架的目标是在提供电子服务时建立信任,并确保对数据、信息和服务的访问、完整性、可用性、真实性、保密性、可跟踪性以及保留。

了解有关 ENS 的更多信息