Zajištění dodržování předpisů s aplikací Copilot Studio
V dnešním digitálním prostředí je dodržování předpisů důležitější než kdy jindy. Organizace musí dodržovat různé předpisy a normy týkající se ochrany citlivých údajů, udržovat důvěru zákazníků a vyhýbat se právním důsledkům. Jedním z klíčových aspektů dodržování předpisů je zajištění rezidence dat, což zahrnuje uchovávání a zpracování dat v rámci specifických geografických hranic. Microsoft Copilot Studio poskytuje robustní funkce, které pomáhají organizacím splnit kritické požadavky na dodržování předpisů, zejména pokud jde o geografickou rezidenci dat.
Proč je dodržování předpisů důležité
- Právní požadavky: Mnoho zemí má přísné zákony na ochranu údajů, které nařizují, kde lze údaje ukládat a zpracovávat. Nedodržení může mít za následek vysoké pokuty a právní kroky.
- Důvěra zákazníků: Standardní dodržování předpisů demonstruje závazek k zabezpečení dat, což může zvýšit důvěru a loajalitu zákazníků.
- Řízení rizik: Dodržování předpisů pomáhá při identifikaci a zmírňování rizik spojených s narušením dat a neoprávněným přístupem.
- Provozní efektivita: Následování pokynů pro dodržování předpisů může zjednodušit procesy a zlepšit celkovou provozní efektivitu.
Copilot Studio je od základu navrženo pro dodržování předpisů a představuje online službu, jak je definována v Podmínkách pro služby online (OST). Je v souladu s nebo se na ni vztahuje:
- Pokrytí podle zákona HIPAA (Health Insurance Portability and Accountability Act)
- Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
- Federální program řízení rizik a oprávnění (FedRAMP, Federal Risk and Authorization Management Program)
- System and Organization Controls (SOC)
- Různé certifikace Mezinárodní organizace pro standardizaci (ISO)
- Standard zabezpečení dat (DSS) odvětví platebních karet (PCI)
- Security Trust Assurance and Risk (STAR) organizace Cloud Security Alliance (CSA)
- Vládní cloud Spojeného království (G-Cloud)
- Auditní zpráva outsourcovaného poskytovatele služeb (OSPAR)
- Korea-Information Security Management System (K-ISMS)
- Singapur Multi-Tier Cloud Security (MTCS) úroveň 3
- Esquema Nacional de Seguridad (ENS) Bezpečnostní opatření na vysoké úrovni (Španělsko)
Pokrytí podle zákona HIPAA (Health Insurance Portability and Accountability Act)
HIPAA je zdravotnický zákon Spojených států amerických, který stanoví požadavky na používání, zveřejňování a ochranu individuálně identifikovatelných zdravotních informací. Vztahuje se na pokryté subjekty – lékařské ordinace, nemocnice, zdravotní pojišťovny a další zdravotnické společnosti, které mají přístup k chráněným zdravotním informacím pacientů (PHI), a dále na jejich obchodní partnery – jako jsou poskytovatelé cloudových služeb a IT – kteří zpracovávají PHI jejich jménem.
Microsoft Copilot Studio spadá pod zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) Business Associate Agreement (BAA).
Můžete vytvořit kopiloty, které zpracovávají chráněné zdravotní informace, pokud je vaše organizace vázána zákonem HIPAA, jako v následujících scénářích, kde kopilot může:
- Požádat jednotlivce, aby poskytli informace o svém zdravotním stavu (krevní tlak, hmotnost atd.).
- Zaznamenávat zdravotní informace a osobní identifikační údaje, jako je IP adresa nebo e-mailová adresa zákazníka.
Poznámka:
Ačkoli služba Copilot Studio spadá pod HIPAA, není určena k použití jako zdravotnický prostředek. Viz prohlášení o vyloučení odpovědnosti v dokumentu o zamýšleném použití Copilot Studio a lékařských přístrojích.
Health Information Trust Alliance (HITRUST)
HITRUST je organizace řízená zástupci ze zdravotnického průmyslu.
HITRUST vytvořila a udržuje certifikovatelnou architekturu Common Security Framework (CSF), která pomáhá zdravotnickým organizacím a jejich poskytovatelům konzistentně prokazovat jejich zabezpečení a shodu.
CSF staví na HIPAA a HITECH Act, což jsou zdravotnické zákony USA, které zavedly požadavky na používání, zveřejňování a ochranu individuálně identifikovatelných zdravotních informací a vynucují jejich dodržování.
HITRUST poskytuje měřítko – standardizovanou architekturu dodržování předpisů, proces hodnocení a certifikace – podle kterého mohou poskytovatelé cloudových služeb a zdravotní subjekty, na které se vztahuje, měřit dodržování norem.
Federální program řízení rizik a oprávnění (FedRAMP, Federal Risk and Authorization Management Program)
Organizace FedRAMP byla založena, aby poskytovala standardizovaný přístup k hodnocení, monitorování a autorizaci produktů a služeb cloud computingu podle federálního zákona o řízení bezpečnosti informací (FISMA) a aby urychlila přijetí bezpečných cloudových řešení federálními úřady.
Vládní cloudové služby společnosti Microsoft splňují požadavky FedRAMP.
Nasazením chráněných služeb, včetně Azure Government, Office 365 pro státní správu USA a Dynamics 365 Government mohou federální a obranné agentury využívat širokou škálu vyhovujících služeb.
Soulad s předpisy SOC
SOC je metoda pro zajištění regulace řízení v rámci služby. Služba Microsoft Copilot Studio byla auditována, aby byla v souladu se SOC.
Zprávy o auditu SOC jsou k dispozici na Portálu důvěryhodnosti služeb společnosti Microsoft.
Soulad s předpisy ISO
Služba Microsoft Copilot Studio je v souladu se standardy ISO uvedenými v následující tabulce. Zprávy o auditu zaměřené na dodržování jednotlivých standardů jsou k dispozici na Portálu důvěryhodnosti služeb společnosti Microsoft.
Standard zabezpečení dat (DSS) odvětví platebních karet (PCI)
Standardy zabezpečení dat (DSS) odvětví platebních karet (PCI) tvoří globální standard zabezpečení informací navržený tak, aby zabránil podvodům prostřednictvím zvýšené kontroly údajů o kreditních kartách.
Organizace všech velikostí musejí dodržovat standardy PCI DSS, pokud přijímají platební karty od pěti hlavních značek kreditních karet:
- Visa
- MasterCard
- American Express
- Discover
- Japan Credit Bureau (JCB).
Shoda s PCI DSS je vyžadována u jakékoli organizace, která uchovává, zpracovává nebo přenáší údaje o platbách a držitelích karet.
Security Trust Assurance and Risk (STAR) organizace Cloud Security Alliance (CSA)
Program Security Trust Assurance and Risk (STAR) zahrnuje klíčové principy transparentnosti, přísného auditu a harmonizace standardů. Společnosti, které používají STAR, uvádějí osvědčené postupy a ověřují bezpečnostní pozici svých cloudových nabídek.
Registr STAR dokumentuje kontroly zabezpečení a ochrany osobních údajů, které poskytují oblíbené nabídky cloud computingu. Tento veřejně přístupný registr umožňuje cloudovým zákazníkům ohodnotit své poskytovatele zabezpečení, aby mohli učinit nejlepší rozhodnutí o nákupu.
Služba Microsoft Copilot Studio byla auditována, aby byla v souladu s předpisy CSA STAR.
Vládní cloud Spojeného království (G-Cloud)
Government Cloud (G-Cloud) je vládní iniciativa Spojeného království, která má usnadnit pořizování cloudových služeb vládními ministerstvy a podporovat celostátní přijetí cloud computingu.
G-Cloud zahrnuje řadu rámcových smluv s dodavateli cloudových služeb (jako je Microsoft) a seznam jejich služeb v online obchodě Digital Marketplace. Ty umožňují organizacím veřejného sektoru porovnávat a obstarávat tyto služby, aniž by musely provádět svůj vlastní proces úplného přezkoumání.
Zařazení na digitální tržiště vyžaduje vlastní potvrzení o shodě, po kterém následuje ověření, které provádí pobočka vládních digitálních služeb (GDS) podle vlastního uvážení.
Auditní zpráva outsourcovaného poskytovatele služeb (OSPAR)
Architektura OSPAR byla založena Asociací bank v Singapuru (ABS), která formulovala bezpečnostní směrnice IT pro poskytovatele externích služeb (OSP) zajišťující služby singapurským finančním institucím. Směrnice ABS mají finančním institucím pomoci porozumět přístupům k předinvestiční prověrce, správě dodavatelů a klíčovým technickým a organizačním kontrolám, které by měly být implementovány v cloudových outsourcingových ujednáních, zejména u materiálových pracovních postupů.
Microsoft Copilot Studio má atestaci OSPAR.
Korea-Information Security Management System (K-ISMS)
K-ISMS je architektura ISMS specifická pro jednu zemi/oblast, která definuje přísnou sadu kontrolních požadavků navržených tak, aby bylo zajištěno, že organizace v Koreji konzistentně a bezpečně chrání svá informační aktiva.
Další informace o ISMS (Korea).
Singapur Multi-Tier Cloud Security (MTCS) úroveň 3
Standard MTCS pro Singapur byl připraven pod vedením Výboru pro standardy informačních technologií (ITSC) úřadu Infocomm Development Authority of Singapore (IDA).
ITSC podporuje a usnadňuje národní programy pro standardizaci IT a komunikací a účast Singapuru v mezinárodních normalizačních aktivitách.
Esquema Nacional de Seguridad (ENS) Bezpečnostní opatření na vysoké úrovni (Španělsko)
V roce 2007 přijala španělská vláda zákon 11/2007, který vytvořil právní rámec umožňující občanům elektronický přístup ke státním a veřejným službám. Tento zákon je základem pro Esquema Nacional de Seguridad (Národní bezpečnostní architektura), která se řídí Královským výnosem (RD) 3/2010.
Cílem architektury je vybudovat důvěru v poskytování elektronických služeb a zajistit přístup, integritu, dostupnost, autenticitu, důvěrnost, sledovatelnost a uchování dat, informací a služeb.