Angebote zur Copilot Studio-Konformität

  • Artikel

Wichtig

Power Virtual Agents-Fähigkeiten und -Funktionen sind jetzt Teil von Microsoft Copilot Studio nach erheblichen Investitionen in generative KI und verbesserte Integrationen in Microsoft Copilot.

Einige Artikel und Screenshots beziehen sich möglicherweise auf Power Virtual Agents während wir Dokumentation und Schulungsinhalte aktualisieren.

Copilot Studio ist ein Core Online Service, wie in den Online Services Terms (OST) definiert, und ist konform mit oder abgedeckt von:

  • Health Insurance Portability and Accountability Act (HIPAA) Abdeckung
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Verschiedene Zertifizierungen der International Organization for Standardization (ISO)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • United Kingdom Government Cloud (G-Cloud)
  • Ausgelagerter Dienstanbieter-Überwachungsbericht (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapur Multi-Tier Cloud Security (MTCS) Level 3
  • Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures (Hochrangige Sicherheitsmaßnahmen)

Health Insurance Portability and Accountability Act (HIPAA) Abdeckung

HIPAA ist ein US-amerikanisches Gesundheitsgesetz, das Anforderungen für die Verwendung, Offenlegung und Sicherung individuell identifizierbarer Gesundheitsinformationen festlegt. Sie gilt für gedeckte Entitäten: Arztpraxen, Krankenhäuser, Krankenversicherer und andere Gesundheitsunternehmen, die neben Geschäftspartnern auch Zugang zu geschützten Gesundheitsinformationen (PHI) von Patienten haben, wie Cloud-Service und IT-Anbieter - diese verarbeiten PHI in ihrem Namen.

Microsoft Copilot Studio unterliegt dem Health Insurance Portability and Accountability Act (HIPAA) Business Associate Agreement (BAA).

Sie können Copiloten erstellen, die geschützte Integritätsinformationen verarbeiten, wenn Ihre Organisation an HIPAA gebunden ist, wie in den folgenden Szenarien, in denen der Copilot dies kann:

  • Bitten Sie die Personen, ihre Gesundheitsinformationen (Blutdruck, Gewicht usw.) anzugeben.
  • Erfassen Sie Gesundheitsinformationen und personenbezogene Daten wie die IP-Adresse oder die E-Mail-Adresse des Kunden.

Notiz

Obwohl Copilot Studio unter HIPAA fällt, ist es immer noch nicht für die Verwendung als Medizinprodukt vorgesehen. Siehe den Haftungsausschluss auf zur beabsichtigten Verwendung von Copilot Studio und medizinischen Geräten.

Erfahren Sie mehr über HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST ist eine Organisation, die von Vertretern der Gesundheitsbranche geleitet wird.

HITRUST erstellte und pflegt das Common Security Framework (CSF), ein zertifizierbares Framework, das Organisationen des Gesundheitswesens und ihren Providern hilft, ihre Sicherheit und Konformität konsequent zu demonstrieren.

Das CSF baut auf dem HIPAA und dem HITECH Act auf. Dies sind US-Gesetze für das Gesundheitswesen, die Anforderungen für die Verwendung, Offenlegung und Sicherung von individuell identifizierbaren Gesundheitsdaten festgelegt haben und Verstöße ahnden.

HITRUST bietet einen Benchmark – ein standardisiertes Konformitäts-Framework, einen Bewertungs- und Zertifizierungsprozess, anhand dessen Cloud-Service-Provider und abgedeckte Gesundheitseinrichtungen die Compliance messen können.

Erfahren Sie mehr über HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP wurde eingerichtet, um einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud-Computing-Produkten und -Diensten gemäß dem Federal Information Security Management Act (FISMA) zu bieten und die Adaption von sicheren Cloud-Lösungen durch Bundesbehörden zu beschleunigen.

Die Government Cloud-Dienste von Microsoft erfüllen die Anforderungen von FedRAMP.

Durch das Bereitstellen von geschützten Diensten, einschließlich Azure Government, Office 365 US Government und Dynamics 365 Government, können Bundes- und Verteidigungsbehörden eine breite Palette an konformen Diensten nutzen.

Erfahren Sie mehr über FedRAMP.

SOC-Einhaltung

SOC ist eine Methode zur Sicherstellung der Kontrollregulierung innerhalb eines Dienstes. Microsoft Copilot Studio wurde auf Konformität mit SOC geprüft.

SOC-Prüfungsberichte sind beim Microsoft Service Trust Portal erhältlich.

Weitere Informationen zu SOC.

ISO-Einhaltung

Microsoft Copilot Studio entspricht den in der folgenden Tabelle aufgeführten ISO-Normen. Einzelen Prüfungsberichte sind beim Microsoft Service Trust Portal erhältlich.

Standard Name des Berichts und des Zertifikats Link zum Standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO9001-Zertifikat und Bewertungsbericht ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO20000-1 Zertifikat und Bewertungsbericht ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO20000-1 Zertifikat und Bewertungsbericht ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27001- und 27701-Zertifikat und Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27001, 27018, 27017, 27701 Bewertungsbericht ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27017 Zertifikat und Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27001, 27018, 27017, 27701 Bewertungsbericht ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27018 Zertifikat und Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27001, 27018, 27017, 27701 Bewertungsbericht ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27701 Zertifikat und Microsoft Azure, Dynamics 365 und andere Onlinedienste – ISO27001, 27018, 27017, 27701 Bewertungsbericht ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

Die Payment Card Industry (PCI) Data Security Standards (DSS) bilden einen globalen Informationssicherheits-Standard, der Betrug durch erhöhte Steuerelemente für Kreditkartendaten verhindern soll.

Organisationen jeder Größe müssen die PCI DSS-Standards befolgen, wenn sie Zahlungskarten der fünf großen Kreditkartenmarken akzeptieren:

  • Visa
  • MasterCard
  • American Express
  • Erkunden
  • Japan Credit Bureau (JCB).

Die Einhaltung von PCI DSS ist für jede Organisation erforderlich, die Zahlungs- und Karteninhaberdaten speichert, verarbeitet oder überträgt.

Erfahren Sie mehr über PCI DSS.

The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Von der CSA STAR-Website ::

  • Das STAR-Programm (Security Trust Assurance and Risk) umfasst die wichtigsten Grundsätze der Transparenz, der strengen Prüfung und der Harmonisierung von Standards. Unternehmen, die STAR verwenden, geben Best Practices an und überprüfen die Sicherheitslage ihrer Cloud-Angebote.

    Die STAR-Registrierung dokumentiert die Sicherheits- und Datenschutzkontrollen, die von gängigen Cloud-Computing-Angeboten bereitgestellt werden. Mit dieser öffentlich zugänglichen Registrierung können Cloud-Kunden ihre Sicherheitsanbieter bewerten, um die besten Beschaffungsentscheidungen zu treffen.

Microsoft Copilot Studio wurde auf Konformität mit CSA STAR geprüft.

Erfahren Sie mehr über CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) ist eine Initiative der britischen Regierung zur Erleichterung der Beschaffung von Cloud-Diensten durch die Ministerien und zur Förderung der regierungsweiten Adaption von Cloud Computing.

G-Cloud umfasst eine Reihe von Rahmenverträgen mit Anbietern von Cloud-Diensten (wie Microsoft) und eine Auflistung ihrer Dienste in einem Online-Store, dem Digital Marketplace. Diese ermöglichen es Organisationen des öffentlichen Sektors, diese Dienste zu vergleichen und zu beschaffen, ohne einen eigenen vollständigen Prüfprozess durchführen zu müssen.

Die Aufnahme in den Digital Marketplace erfordert eine Selbstbestätigung der Konformität, gefolgt von einer Überprüfung, die von der Government Digital Service (GDS) Branch nach eigenem Ermessen durchgeführt wird.

Erfahren Sie mehr über G-Cloud.

Ausgelagerter Dienstanbieter-Überwachungsbericht (OSPAR)

Das OSPAR-Framework wurde von der Association of Banks in Singapore (ABS) ins Leben gerufen, die IT-Sicherheitsrichtlinien für ausgelagerte Dienstleister (OSPs) formuliert hat, die Dienstleistungen für Singapurs Finanzinstitute erbringen wollen. Die ABS-Richtlinien sollen Finanzinstituten dabei helfen, Ansätze für Due Diligence, Anbieter-Management und wichtige technische und organisatorische Steuerelemente zu verstehen, die in Cloud-Outsourcing-Vereinbarungen implementiert werden sollten, insbesondere für wesentliche Workloads.

Microsoft Copilot Studio hat eine OSPAR-Bestätigung.

Erfahren Sie mehr über das ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS ist ein länder-/regionenspezifisches ISMS-Framework, das ein strenges Steuerelement festlegt, das dazu beitragen soll, dass Organisationen in Korea ihre Informationswerte konsequent und sicher schützen.

Erfahren Sie mehr über ISMS (Korea).

Singapur Multi-Tier Cloud Security (MTCS) Level 3

Der MTCS Standard for Singapore wurde unter der Leitung des Information Technology Standards Committee (ITSC) der Infocomm Development Authority of Singapore (IDA) erarbeitet.

Das ITSC fördert und erleichtert nationale Programme zur Standardisierung von IT und Kommunikation sowie die Teilnahme Singapurs an internationalen Standardisierungsaktivitäten.

Weitere Informationen zu MTCS.

Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures (Hochrangige Sicherheitsmaßnahmen)

Im Jahr 2007 erließ die spanische Regierung das Gesetz 11/2007, mit dem ein rechtlicher Rahmen geschaffen wurde, um den Bürgern elektronischen Zugriff auf die Regierung und öffentliche Dienste zu ermöglichen. Dieses Gesetz ist die Grundlage für das Esquema Nacional de Seguridad (Nationales Sicherheitsframework), das durch das Royal Decree (RD) 3/2010 geregelt wird.

Das Ziel des Frameworks ist es, Vertrauen in die Bereitstellung elektronischer Dienste aufzubauen und den Zugriff, die Integrität, die Verfügbarkeit, die Authentizität, die Vertraulichkeit, die Rückverfolgbarkeit und die Bewahrung von Daten, Informationen und Diensten zu gewährleisten.

Weitere Informationen zu ENS.