Offres de conformité Copilot Studio
Important
Les capacités et les fonctionnalités de Power Virtual Agents font maintenant partie de Microsoft Copilot Studio, suite à des investissements significatifs dans l’IA générative et des intégrations améliorées dans Microsoft Copilot.
Certains articles et captures d’écran peuvent faire référence à Power Virtual Agents pendant que nous mettons à jour la documentation et le contenu de la formation.
Copilot Studio est un service en ligne de base, tel que défini dans les Conditions des services en ligne (OST), et est conforme ou couvert par :
- La couverture par la loi américaine sur l’assurance maladie (HIPAA, Health Insurance Portability and Accountability Act)
- Cadre de sécurité commun (CSF) de la Health Information Trust Alliance (HITRUST)
- Federal Risk and Authorization Management Program (FedRAMP)
- Contrôles d’organisation et de Système (SOC)
- Diverses certifications de l’Organisation internationale de normalisation (ISO)
- Norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI)
- La Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
- Royaume-Uni Gouvernement Cloud (G-Cloud)
- Rapport d’audit du fournisseur de services externalisés (OSPAR)
- Corée – Système de gestion de la sécurité de l’information (K-ISMS)
- Singapour – Sécurité du cloud à plusieurs niveaux (MTCS) Niveau 3
- Espagne – Esquema Nacional de Seguridad (ENS) Mesures de sécurité de haut niveau
La couverture par la loi américaine sur l’assurance maladie (HIPAA, Health Insurance Portability and Accountability Act)
HIPAA est une loi sur la santé des États-Unis qui établit les exigences relatives à l’utilisation, à la divulgation et à la protection des informations de santé identifiables individuellement. Elle s’applique aux entités couvertes (cabinets de médecins, hôpitaux, assureurs maladie et autres organismes de soins de santé) qui ont accès aux informations de santé protégées des patients (PHI), en plus des associés commerciaux (services cloud et fournisseurs informatiques) qui traitent les PHI.
Microsoft Copilot Studio est couvert par l’accord d’associé commercial (BAA) de la loi HIPAA (Health Insurance Portability and Accountability Act).
Vous pouvez créer des copilotes qui gèrent les informations de santé protégées lorsque votre organisation est liée par HIPAA, comme dans les scénarios suivants où le copilote peut :
- Demander aux individus de fournir leurs informations de santé (tension artérielle, poids, etc.).
- Capturer les informations de santé et les informations d’identification personnelle, telles que l’adresse IP ou l’adresse e-mail du client.
Note
Bien que Copilot Studio est couvert par la HIPAA, il n’est toujours pas destiné à être utilisé comme dispositif médical. Voir l’avertissement sur l’utilisation prévue de Copilot Studio et des équipements médicaux.
Health Information Trust Alliance (HITRUST)
HITRUST est une organisation dirigée par des représentants de l’industrie de la santé.
HITRUST a créé et maintient le Common Security Framework (CSF), un cadre certifiable pour aider les organisations de soins de santé et leurs prestataires à démontrer leur sécurité et leur conformité de manière cohérente.
Le CSF s’appuie sur la HIPAA et la HITECH Act, qui sont des lois américaines sur la santé qui ont établi des exigences pour l’utilisation, la divulgation et la protection des informations de santé identifiables individuellement et appliquent la non-conformité.
HITRUST offre une référence (un cadre de conformité normalisé, un processus d’évaluation et de certification) par rapport à laquelle les fournisseurs de services cloud et les entités de santé couvertes peuvent mesurer la conformité.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP a été créé pour fournir une approche standardisée pour évaluer, surveiller et autoriser les produits et services de cloud computing en vertu de la loi fédérale sur la gestion de la sécurité de l’information (FISMA) et pour accélérer l’adoption de solutions cloud sécurisées par les agences fédérales.
Les services cloud gouvernementaux de Microsoft répondent aux exigences de FedRAMP.
En déployant des services protégés dont Azure Government, Office 365 pour le secteur public américain et Dynamics 365 Government, les agences fédérales et de défense peuvent utiliser un large éventail de services conformes.
Conformité au contrat SOC
Le SOC est une méthode pour assurer la régulation du contrôle au sein d’un service. Microsoft Copilot Studio a été audité pour être conforme au SOC.
Les rapports d’audit SOC sont disponibles sur le Portail d’approbation de services Microsoft.
Conformité au contrat ISO
Microsoft Copilot Studio est conforme aux normes ISO répertoriées dans le tableau suivant. Les rapports d’audit pour chacun sont disponibles sur le Portail d’approbation de services Microsoft.
Norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI)
Les normes de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) constituent une norme mondiale de sécurité des informations conçue pour empêcher la fraude grâce à un contrôle accru des données de carte de crédit.
Les organisations de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de cartes de crédit :
- Visa
- MasterCard
- American Express
- Découvrir
- Bureau de crédit du Japon (JCB).
La conformité à la norme PCI DSS est requise pour toute organisation qui stocke, traite ou transmet des données de paiement et de titulaire de carte.
La Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
Du site Web CSA STAR :
Le programme Security Trust Assurance and Risk (STAR) englobe des principes clés de transparence, d’audit rigoureux et d’harmonisation des normes. Les entreprises qui utilisent STAR indiquent les meilleures pratiques et valident la posture de sécurité de leurs offres cloud.
Le registre STAR documente les contrôles de sécurité et de confidentialité fournis par les offres de cloud computing populaires. Ce registre accessible au public permet aux clients du cloud d’évaluer leurs fournisseurs de sécurité afin de prendre les meilleures décisions d’achat.
Microsoft Copilot Studio a été audité pour être conforme au CSA STAR.
Royaume-Uni Gouvernement Cloud (G-Cloud)
Le cloud pour le secteur public (G-Cloud) est une initiative du gouvernement britannique visant à faciliter l’achat de services cloud par les ministères et à promouvoir l’adoption du cloud computing à l’échelle du gouvernement.
G-Cloud comprend une série d’accords-cadres avec des fournisseurs de services cloud (tels que Microsoft) et une liste de leurs services dans une boutique en ligne, le Digital Marketplace. Ceux-ci permettent aux organisations du secteur public de comparer et de s’approvisionner de ces services sans avoir à effectuer leur propre processus d’examen complet.
L’inclusion dans le marché numérique nécessite une auto-attestation de conformité, suivie d’une vérification effectuée par la branche Service numérique du gouvernement (GDS) à sa discrétion.
Rapport d’audit du fournisseur de services externalisés (OSPAR)
Le cadre OSPAR a été établi par l’Association des banques de Singapour (ABS), qui a formulé des directives de sécurité informatique pour les fournisseurs de services externalisés (OSP) qui cherchent à fournir des services aux institutions financières de Singapour. Les directives ABS sont destinées à aider les institutions financières à comprendre les approches de la diligence raisonnable, de la gestion des fournisseurs et des contrôles techniques et organisationnels clés qui devraient être mis en œuvre dans les accords d’externalisation du cloud, en particulier pour les charges de travail importantes.
Microsoft Copilot Studio a une attestation OSPAR.
En savoir plus sur l’ABS OSPR.
Corée – Système de gestion de la sécurité de l’information (K-ISMS)
K-ISMS est un cadre ISMS spécifique au pays/à la région qui définit un ensemble strict d’exigences de contrôle conçues pour aider à garantir que les organisations en Corée protègent de manière cohérente et sécurisée leurs actifs informationnels.
En savoir plus sur l’ISMS (Corée).
Singapour – Sécurité du cloud à plusieurs niveaux (MTCS) Niveau 3
La norme MTCS pour Singapour a été préparée sous la direction de l’Information Technology Standards Committee (ITSC) de l’Infocomm Development Authority de Singapour (IDA).
L’ITSC promeut et facilite les programmes nationaux de normalisation des technologies de l’information et des communications, ainsi que la participation de Singapour aux activités internationales de normalisation.
Espagne – Esquema Nacional de Seguridad (ENS) Mesures de sécurité de haut niveau
En 2007, le gouvernement espagnol a promulgué la loi 11/2007, qui a établi un cadre juridique pour donner aux citoyens un accès électronique aux services gouvernementaux et publics. Cette loi est la base de l’Esquema Nacional de Seguridad (Cadre de sécurité nationale), qui est régie par le décret royal (RD) 3/2010.
L’objectif du cadre est de renforcer la confiance dans la fourniture de services électroniques et d’assurer l’accès, l’intégrité, la disponibilité, l’authenticité, la confidentialité, la traçabilité et la préservation des données, des informations et des services.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour