ודא תאימות עם Copilot Studio

בנוף הדיגיטלי של היום, התאימות היא קריטית יותר מאי פעם. ארגונים חייבים לציית לתקנות ולתקנים שונים כדי להגן על נתונים רגישים, לשמור על אמון הלקוחות ולהימנע מהשלכות משפטיות. היבט מרכזי אחד של תאימות מבטיח תושבות נתונים, הכרוכה באחסון בעיבוד של נתונים בתוך גבולות גיאוגרפיים ספציפיים. Microsoft Copilot Studio מציעה תכונות חזקות כדי לעזור לארגונים לעמוד בדרישות תאימות קריטיות, בחלק מהתנאים של תושבות נתונים גיאוגרפיים.

מדוע חשוב תאימות

  • דרישות משפטיות: מדינות רבות כוללות חוקים מחמירים להגנה על נתונים שמגדירים היכן ניתן לאחסן ולעבד את הנתונים. אי-תאימות עלול לגרום לקנסות כבדים ולפעולות משפטיות.
  • אמון לקוחות: עמידה בתקני תאימות מדגימה מחויבות לאבטחת נתונים, דבר ה שעלול לשפר את האמון והנירות של הלקוחות.
  • ניהול סיכונים: תאימות מסייעת בזיהוי וצמצום של סיכונים המשויכים להפרות נתונים ולגישה בלתי מורשית.
  • יעילות תפעולית: מעקב אחר קווים מנחים לתאימות יכול לייעל תהליכים ולשפר את היעילות התפעולית הכוללת.

Copilot Studio תוכנן בהתאם לליבתו והוא מוגדר בתנאי Online Service כפי שצוין בתנאי Online Services (OST). הוא תואם או מכוסה על-ידי:

  • כיסוי חוק ניידות ואחריות של ביטוח בריאות (HIPAA)
  • Health Information Trust Alliance (HITRUST) מסגרת אבטחה משותפת (CSF)
  • התוכנית הפדרלית לניהול סיכונים והרשאות (FedRAMP)
  • בקרות מערכת וארגון (SOC)
  • אישורים שונים של ארגון התקינה הבינלאומי (ISO)
  • תקן אבטחת נתונים של תעשיית כרטיסי התשלום (PCI) (DSS)
  • ברית אבטחת הענן (CSA) אבטחת אמון וסיכון אבטחה (STAR)
  • הענן הממשלתי של בריטניה (G-Cloud)
  • דוח ביקורת של ספק שירות מיקור חוץ (OSPAR)
  • מערכת לניהול אבטחת מידע קוריאה (K-ISMS)
  • סינגפור Multi-Tier Cloud Security (MTCS) Level 3
  • ספרד Esquema Nacional de Seguridad (ENS) אמצעי אבטחה ברמה גבוהה

כיסוי חוק ניידות ואחריות של ביטוח בריאות (HIPAA)

HIPAA הוא חוק שירותי בריאות של ארצות הברית שמבסס דרישות לשימוש, לחשיפה ולהגנה על מידע רפואי המאפשר זיהוי אישי. היא חלה על ישויות מכוסות – משרדים של רופאים, בתי חולים, ביטוחי בריאות וחברות בריאות אחרות – שיש להן גישה למידע הבריאותי המוגן של המטופלים (PHI), בנוסף לשותפים עסקיים - כגון שירותי ענן וספקי IT - שתהליך PHI נמצא בשמם.

Microsoft Copilot Studio מכוסה תחת חוק ניידות ואחריות ביטוח בריאות (HIPAA) והסכם עסקי לשותפים (BAA).

באפשרותך ליצור סוכנים המטפלים במידע בריאותי מוגן כאשר הארגון שלך מאוגד על-ידי HIPAA, כמו בתרחישים הבאים שבהם הסוכן יכול:

  • בקש מאנשים לספק את המידע הבריאותי שלהם (לחץ דם, משקל וכן הלאה).
  • אסוף מידע בריאות ופרטי זיהוי אישי, כגון כתובת ה-IP או כתובת הדואר האלקטרוני של הלקוח.

הערה

למרות Copilot Studio מכוסה תחת HIPAA, היא עדיין אינה מיועדת לשימוש כמכשיר רפואי. עיין בכתב הוויתור השימוש המיועד בהתקנים Copilot Studio ובמכשירים רפואיים.

קבל מידע נוסף על HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST הוא ארגון הנשלט על-ידי נציגים מענף שירותי הבריאות.

HITRUST יצרה ושומרת את Common Security Framework (CSF), מסגרת מאושרת כדי לעזור לארגוני שירותי בריאות ולספקים שלהם להדגים את האבטחה והתאימות שלהם באופן עקבי.

ה- CSF מבוסס על HIPAA ועל חוק HITECH, שהם חוקי שירותי הבריאות בארה"ב אשר קבעו דרישות לשימוש, לחשיפה ולשמירה על מידע בריאותי המאפשר זיהוי אישי ואכיפת אי-תאימות.

הפונקציה HITRUST מספקת בחינת ביצועים - מסגרת תאימות סטנדרטית, הערכה ותהליך אישור - שממנה ספקי שירותי ענן וישויות תקינות מכוסות יכולים למדוד תאימות.

קבל מידע נוסף על HITRUST.

התוכנית הפדרלית לניהול סיכונים והרשאות (FedRAMP)

FedRAMP הוקם כדי לספק גישה סטנדרטית להעריך, לניטור ולאספקה של מוצרים ושירותים של מיחשוב ענן במסגרת החוק הפדרלי לניהול אבטחת מידע (FISMA) ולהאיץ את האימוץ של פתרונות ענן מאובטחים על-ידי סוכנויות פדרליות.

שירותי הענן הממשלתיים של Microsoft עומדים בדרישות של FedRAMP.

על-ידי פריסת שירותים מוגנים, כולל Azure Government, Office 365 של ממשלת ארה"ב ו- Dynamics 365 ממשלתיות, סוכנויות פדרליות וסוכנויות ביטחון יכולות להשתמש במערך עשיר של שירותים תואמים.

קבל מידע נוסף על FedRAMP.

תאימות SOC

SOC היא שיטה להבטיח רגולציה של בקרה בתוך שירות. Microsoft Copilot Studio עבר ביקורת כדי להיות תואם ל- SOC.

דוחות ביקורת SOC זמינים מתוך שירות של Microsoft Trust Portal.

קבל מידע נוסף על SOC.

תאימות ISO

Microsoft Copilot Studio תואם לתקני ISO המפורטים בטבלה הבאה. דוחות ביקורת עבור כל אחד מהם זמינים מתוך שירות של Microsoft Trust Portal.

תקן שם הדוח והאישור קישור לתקן (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365, שירות מקוון אחר ISO9001 - דוח אישור והערכה ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365, שירות מקוון אחר - ISO20000-1 דוח אישור והערכה ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365, שירות מקוון אחר - ISO20000-1 דוח אישור והערכה ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365, שירות מקוון אחר - אישור ISO27001 ו- 27701 ו- Microsoft Azure, Dynamics 365 וכן שירות מקוון אחר - ISO27001, 27018, 27017, 27701 דוח הערכה ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365, שירות מקוון אחר - אישור ISO27017 ו- Microsoft Azure, Dynamics 365 וכן שירות מקוון אחר - ISO27001, 27018, 27017, 27701 דוח הערכה ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365, שירות מקוון אחר - אישור ISO27018 ו- Microsoft Azure, Dynamics 365 וכן שירות מקוון אחר - ISO27001, 27018, 27017, 27701 דוח הערכה ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365, שירות מקוון אחר - אישור ISO27701 ו- Microsoft Azure, Dynamics 365 וכן שירות מקוון אחר - ISO27001, 27018, 27017, 27701 דוח הערכה ISO/IEC 27701:2019

תקן אבטחת נתונים של תעשיית כרטיסי התשלום (PCI) (DSS)

תקני אבטחת הנתונים (DSS) של תעשיית כרטיסי התשלום (PCI) מהנים תקן אבטחת מידע גלובלי שנועד למנוע הונאות באמצעות שליטה מוגברת כנתוני כרטיס אשראי.

ארגונים בכל הגדלים חייבים לפעול בהתאם לתקני PCI DSS אם הם מקבלים כרטיסי תשלום מחמשת מותגי כרטיסי האשראי העיקריים:

  • ויזה
  • מאסטרכארד
  • אמריקן אקספרס
  • לגלות
  • Japan Credit Bureau (JCB).

תאימות ל- PCI DSS נדרשת עבור כל ארגון המאחסן, מעבד או משדר נתונים של תשלומים ותלי כרטיסים.

קבל מידע נוסף על PCI DSS.

ברית אבטחת הענן (CSA) אבטחת אמון וסיכון אבטחה (STAR)

מאתר האינטרנט של CSA STAR:

  • התוכנית Security Trust Assurance and Risk (STAR) כוללת עקרונות עיקריים של שקיפות, ביקורת קפדנית והרמוניה של תקנים. חברות המשתמשות ב- STAR מציינות שיטות עבודה מומלצות ומאמתות את תוקף האבטחה של הצעות הענן שלהן.

    הרישום STAR מעדכן את בקרות האבטחה והפרטיות המסופקות על-ידי הצעות מיחשוב ענן פופולריות. רישום זה, הנגיש לציבור, מאפשר ללקוחות בענן להעריך את ספקי האבטחה שלהם כדי לקבל את החלטות הרכש הטובות ביותר.

Microsoft Copilot Studio נבדקה ונמצאה תואמה ל-CSA STAR.

קבל מידע נוסף על CSA STAR.

הענן הממשלתי של בריטניה (G-Cloud)

Government Cloud (G-Cloud) היא יוזמה ממשלתית בבריטניה להקל על רכש של שירותי ענן על-ידי מחלקות ממשלתיות ולקדם אימוץ כלל-ממשלתי של מיחשוב ענן.

G-Cloud מורכב מסידרה של הסכמי מסגרת עם ספקי שירותי ענן (כגון Microsoft) ורשימה של השירותים שלהם בחנות מקוונת, Digital Marketplace. ארגונים אלה מאפשרים לארגונים במגזר הציבורי להשוות ולהזמין שירותים אלה מבלי שתצטרך לבצע את תהליך הסקירה המלא שלהם.

הכללה ב- Digital Marketplace דורשת אימות עצמי של תאימות, ולאחר מכן אימות שבוצע על-ידי הענף Government Digital Service (GDS) לפי שיקול דעתה.

קבל מידע נוסף על G-Cloud.

דוח ביקורת של ספק שירות מיקור חוץ (OSPAR)

מסגרת OSPAR הוקם על-ידי איגוד הבנקים בסינגפור (ABS), אשר גבשה קווים מנחים לאבטחת IT עבור ספקי שירות מיקור חוץ (OSPs) המנסים לספק שירותים למוסדות הפיננסיים של סינגפור. הקווים המנחים של ABS מיועדים לסייע למוסדות פיננסיים להבין גישות לנאותות, ניהול ספקים ופקדים טכניים וארגונים עיקריים שיש ליישם בסידורים של מיקור חוץ בענן, במיוחד עבור עומסי עבודה מהותיים.

Microsoft Copilot Studio יש עדות OSPAR.

קבל מידע נוסף על ABS OSPR.

מערכת לניהול אבטחת מידע קוריאה (K-ISMS)

K-ISMS היא מסגרת ISMS ספציפית למדינה/אזור שמגדירה ערכה מחרוזה של דרישות בקרה שנועדו לעזור להבטיח שארגונים בקוריאה מגנים באופן עקבי ומאובטח על נכסי המידע שלהם.

קבל מידע נוסף על ISMS (קוריאה).

סינגפור Multi-Tier Cloud Security (MTCS) Level 3

תקן MTCS עבור סינגפור היה מוכן תחת הנחיות ועדת תקנים לטכנולוגיות מידע (ITSC) של רשות הפיתוח של Infocomm בסינגפור (IDA).

ה- ITSC מקדמת ומסייעת לתוכניות לאומיות לת סטנדרטיזציה של IT ותקשורת, והשתתפותה בסינגפור בפעילויות תקנים בינלאומיות.

קבל מידע נוסף על MTCS.

ספרד Esquema Nacional de Seguridad (ENS) אמצעי אבטחה ברמה גבוהה

בשנת 2007 הקימה הממשלה הספרדית את החוק 11/2007, אשר הקימה מסגרת משפטית כדי להעניק לאזרחים גישה אלקטרונית לשירותים ממשלתיים ושירותים ציבוריים. חוק זה הוא הבסיס של Esquema Nacional de Seguridad (מסגרת בטחון לאומי), אשר כפוף על ידי השלטון המלכותי (RD) 3/2010.

מטרת המסגרת היא לבנות אמון בהקצאת שירותים אלקטרוניים ולהבטיח גישה, תקינות, זמינות, מקוריות, סודיות, מעקב ושימור נתונים, מידע ושירותים.

קבל מידע נוסף על ENS.

  • Last updated on