Sdílet prostřednictvím

Nabídky dodržování předpisů Copilot Studio

  • Článek

Důležité

Schopnosti a funkce Power Virtual Agents jsou nyní součástí Microsoft Copilot Studio po významných investicích do generativní umělé inteligence a vylepšených integracích napříč Microsoft Copilot.

Některé články a snímky obrazovky mohou odkazovat na Power Virtual Agents, zatímco aktualizujeme dokumentaci a obsah školení.

Copilot Studio je základní online služba, jak je definováno v Podmínkách online služeb (OST) a je v souladu se standardy:

  • Pokrytí podle zákona HIPAA (Health Insurance Portability and Accountability Act)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federální program řízení rizik a oprávnění (FedRAMP, Federal Risk and Authorization Management Program)
  • System and Organization Controls (SOC)
  • Různé certifikace Mezinárodní organizace pro standardizaci (ISO)
  • Standard zabezpečení dat (DSS) odvětví platebních karet (PCI)
  • Security Trust Assurance and Risk (STAR) organizace Cloud Security Alliance (CSA)
  • Vládní cloud Spojeného království (G-Cloud)
  • Auditní zpráva outsourcovaného poskytovatele služeb (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapur Multi-Tier Cloud Security (MTCS) úroveň 3
  • Esquema Nacional de Seguridad (ENS) Bezpečnostní opatření na vysoké úrovni (Španělsko)

Pokrytí podle zákona HIPAA (Health Insurance Portability and Accountability Act)

HIPAA je zdravotnický zákon Spojených států amerických, který stanoví požadavky na používání, zveřejňování a ochranu individuálně identifikovatelných zdravotních informací. Vztahuje se na pokryté subjekty – lékařské ordinace, nemocnice, zdravotní pojišťovny a další zdravotnické společnosti, které mají přístup k chráněným zdravotním informacím pacientů (PHI), a dále na jejich obchodní partnery – jako jsou poskytovatelé cloudových služeb a IT – kteří zpracovávají PHI jejich jménem.

Microsoft Copilot Studio spadá pod zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) Business Associate Agreement (BAA).

Můžete vytvořit kopiloty, které zpracovávají chráněné zdravotní informace, pokud je vaše organizace vázána zákonem HIPAA, jako v následujících scénářích, kde kopilot může:

  • Požádat jednotlivce, aby poskytli informace o svém zdravotním stavu (krevní tlak, hmotnost atd.).
  • Zaznamenávat zdravotní informace a osobní identifikační údaje, jako je IP adresa nebo e-mailová adresa zákazníka.

Poznámka:

Ačkoli služba Copilot Studio spadá pod HIPAA, není určena k použití jako zdravotnický prostředek. Viz prohlášení o vyloučení odpovědnosti v dokumentu o zamýšleném použití Copilot Studio a lékařských přístrojích.

Další informace o HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST je organizace řízená zástupci ze zdravotnického průmyslu.

HITRUST vytvořila a udržuje certifikovatelnou architekturu Common Security Framework (CSF), která pomáhá zdravotnickým organizacím a jejich poskytovatelům konzistentně prokazovat jejich zabezpečení a shodu.

CSF staví na HIPAA a HITECH Act, což jsou zdravotnické zákony USA, které zavedly požadavky na používání, zveřejňování a ochranu individuálně identifikovatelných zdravotních informací a vynucují jejich dodržování.

HITRUST poskytuje měřítko – standardizovanou architekturu dodržování předpisů, proces hodnocení a certifikace – podle kterého mohou poskytovatelé cloudových služeb a zdravotní subjekty, na které se vztahuje, měřit dodržování norem.

Další informace o HITRUST.

Federální program řízení rizik a oprávnění (FedRAMP, Federal Risk and Authorization Management Program)

Organizace FedRAMP byla založena, aby poskytovala standardizovaný přístup k hodnocení, monitorování a autorizaci produktů a služeb cloud computingu podle federálního zákona o řízení bezpečnosti informací (FISMA) a aby urychlila přijetí bezpečných cloudových řešení federálními úřady.

Vládní cloudové služby společnosti Microsoft splňují požadavky FedRAMP.

Nasazením chráněných služeb, včetně Azure Government, Office 365 pro státní správu USA a Dynamics 365 Government mohou federální a obranné agentury využívat širokou škálu vyhovujících služeb.

Další informace o FedRAMP.

Soulad s předpisy SOC

SOC je metoda pro zajištění regulace řízení v rámci služby. Služba Microsoft Copilot Studio byla auditována, aby byla v souladu se SOC.

Zprávy o auditu SOC jsou k dispozici na Portálu důvěryhodnosti služeb společnosti Microsoft.

Další informace o SOC.

Soulad s předpisy ISO

Služba Microsoft Copilot Studio je v souladu se standardy ISO uvedenými v následující tabulce. Zprávy o auditu zaměřené na dodržování jednotlivých standardů jsou k dispozici na Portálu důvěryhodnosti služeb společnosti Microsoft.

Standard Název zprávy a certifikát Odkaz na standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO9001 a zpráva o hodnocení ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO20000-1 a zpráva o hodnocení ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO20000-1 a zpráva o hodnocení ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO27001 a 27701 a Microsoft Azure, Dynamics 365 a další online služby – hodnotící zpráva ISO27001, 27018, 27017, 27701 ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO27017 a Microsoft Azure, Dynamics 365 a další online služby – hodnotící zpráva ISO27001, 27018, 27017, 27701 ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO27018 a Microsoft Azure, Dynamics 365 a další online služby – hodnotící zpráva ISO27001, 27018, 27017, 27701 ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 a další online služby – certifikát ISO27701 a Microsoft Azure, Dynamics 365 a další online služby – hodnotící zpráva ISO27001, 27018, 27017, 27701 ISO/IEC 27701:2019

Standard zabezpečení dat (DSS) odvětví platebních karet (PCI)

Standardy zabezpečení dat (DSS) odvětví platebních karet (PCI) tvoří globální standard zabezpečení informací navržený tak, aby zabránil podvodům prostřednictvím zvýšené kontroly údajů o kreditních kartách.

Organizace všech velikostí musejí dodržovat standardy PCI DSS, pokud přijímají platební karty od pěti hlavních značek kreditních karet:

  • Visa
  • MasterCard
  • American Express
  • Discover
  • Japan Credit Bureau (JCB).

Shoda s PCI DSS je vyžadována u jakékoli organizace, která uchovává, zpracovává nebo přenáší údaje o platbách a držitelích karet.

Další informace o PCI DSS.

Security Trust Assurance and Risk (STAR) organizace Cloud Security Alliance (CSA)

Z webu CSA STAR:

  • Program Security Trust Assurance and Risk (STAR) zahrnuje klíčové principy transparentnosti, přísného auditu a harmonizace standardů. Společnosti, které používají STAR, uvádějí osvědčené postupy a ověřují bezpečnostní pozici svých cloudových nabídek.

    Registr STAR dokumentuje kontroly zabezpečení a ochrany osobních údajů, které poskytují oblíbené nabídky cloud computingu. Tento veřejně přístupný registr umožňuje cloudovým zákazníkům ohodnotit své poskytovatele zabezpečení, aby mohli učinit nejlepší rozhodnutí o nákupu.

Služba Microsoft Copilot Studio byla auditována, aby byla v souladu s předpisy CSA STAR.

Další informace o CSA STAR.

Vládní cloud Spojeného království (G-Cloud)

Government Cloud (G-Cloud) je vládní iniciativa Spojeného království, která má usnadnit pořizování cloudových služeb vládními ministerstvy a podporovat celostátní přijetí cloud computingu.

G-Cloud zahrnuje řadu rámcových smluv s dodavateli cloudových služeb (jako je Microsoft) a seznam jejich služeb v online obchodě Digital Marketplace. Ty umožňují organizacím veřejného sektoru porovnávat a obstarávat tyto služby, aniž by musely provádět svůj vlastní proces úplného přezkoumání.

Zařazení na digitální tržiště vyžaduje vlastní potvrzení o shodě, po kterém následuje ověření, které provádí pobočka vládních digitálních služeb (GDS) podle vlastního uvážení.

Další informace o G-Cloudu.

Auditní zpráva outsourcovaného poskytovatele služeb (OSPAR)

Architektura OSPAR byla založena Asociací bank v Singapuru (ABS), která formulovala bezpečnostní směrnice IT pro poskytovatele externích služeb (OSP) zajišťující služby singapurským finančním institucím. Směrnice ABS mají finančním institucím pomoci porozumět přístupům k předinvestiční prověrce, správě dodavatelů a klíčovým technickým a organizačním kontrolám, které by měly být implementovány v cloudových outsourcingových ujednáních, zejména u materiálových pracovních postupů.

Microsoft Copilot Studio má atestaci OSPAR.

Další informace o ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS je architektura ISMS specifická pro jednu zemi/oblast, která definuje přísnou sadu kontrolních požadavků navržených tak, aby bylo zajištěno, že organizace v Koreji konzistentně a bezpečně chrání svá informační aktiva.

Další informace o ISMS (Korea).

Singapur Multi-Tier Cloud Security (MTCS) úroveň 3

Standard MTCS pro Singapur byl připraven pod vedením Výboru pro standardy informačních technologií (ITSC) úřadu Infocomm Development Authority of Singapore (IDA).

ITSC podporuje a usnadňuje národní programy pro standardizaci IT a komunikací a účast Singapuru v mezinárodních normalizačních aktivitách.

Další informace o MTCS.

Esquema Nacional de Seguridad (ENS) Bezpečnostní opatření na vysoké úrovni (Španělsko)

V roce 2007 přijala španělská vláda zákon 11/2007, který vytvořil právní rámec umožňující občanům elektronický přístup ke státním a veřejným službám. Tento zákon je základem pro Esquema Nacional de Seguridad (Národní bezpečnostní architektura), která se řídí Královským výnosem (RD) 3/2010.

Cílem architektury je vybudovat důvěru v poskytování elektronických služeb a zajistit přístup, integritu, dostupnost, autenticitu, důvěrnost, sledovatelnost a uchování dat, informací a služeb.

Další informace o ENS.