Del via

Sikre samsvar med Copilot Studio

  • Artikkel

I dagens digitale landskap er samsvar viktigere enn noen gang. Organisasjoner må overholde ulike forskrifter og standarder for å beskytte sensitive data, opprettholde kundetillit og unngå juridiske konsekvenser. Et viktig element av samsvar er å sikre datalagring, som innebærer lagring og behandling av data innenfor bestemte geografiske grenser. Microsoft Copilot Studio inneholder robuste funksjoner som hjelper organisasjoner med å oppfylle viktig samsvarskrav, spesielt når det gjelder datalagring av geografiske data.

Hvorfor samsvar er viktig

  1. Juridiske krav: Mange land har strenge personvernlover som styrer hvor data kan lagres og behandles. Manglende overholdelse kan føre til heftige bøter og juridiske handlinger.
  2. Kundetillit: Overholdelse av samsvarsstandarder viser en forpliktelse til datasikkerhet, noe som kan forbedre kundetillit og lojalitet.
  3. Risikobehandling: Samsvar bidrar til å identifisere og redusere risikoene knyttet til databrudd og uautorisert tilgang.
  4. Driftseffektivitet: Følgende retningslinjer for samsvar kan effektivisere prosesser og forbedre den samlede driftseffektiviteten.

Copilot Studio er utformet med samsvar i kjernen og er en nettbasert tjeneste som definert i vilkårene for nettbaserte tjenester (OST). Den er i samsvar med eller omfattes av:

  • Health Insurance Portability and Accountability Act (HIPAA)-dekning
  • Felles sikkerhetsrammeverk (CSF) for Health Information Trust Alliance (HITRUST)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System- og organisasjonskontroller (SOC)
  • Ulike ISO-standarder
  • Datasikkerhetsstandard (DSS) for betalingskortindustrien (PCI)
  • Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • Storbritannias Government Cloud (G-Cloud)
  • Revisjonsrapport for ekstern tjenesteleverandør (OSPAR)
  • Korea - administrasjonssystem for informasjonssikkerhet (K-ISMS)
  • Singapore – skysikkerhet på flere nivåer (MTCS) Nivå 3
  • Spania – Esquema Nacional de Seguridad (ENS) Sikkerhetstiltak på høyt nivå

Health Insurance Portability and Accountability Act (HIPAA)-dekning

HIPAA er en amerikansk helsetjeneste som etablerer krav for bruk, offentliggjøring og sikring av informasjon som kan identifiseres. Den gjelder for dekkede enheter – legekontorer, sykehus, helseforsikringsinstanser og andre helseforetak – som har tilgang til pasienters beskyttede helse informasjon (PHI), i tillegg til forretningsforbindelser – for eksempel skytjeneste og IT-leverandører – som behandler PHI på sine vegne.

Microsoft Copilot Studio dekkes av en forretningsforbindelsesavtale (BAA) for Health Insurance Portability and Accountability Act (HIPAA).

Du kan opprette kopiloter som håndterer beskyttet helseinformasjon når organisasjonen er bundet av HIPAA, som i følgende scenarioer der kopiloten kan gjøre følgende:

  • Be enkeltpersoner om å oppgi sin helseinformasjon (blodtrykk, vekt og så videre).
  • Lagre helseinformasjon og personlig informasjon, for eksempel kundens IP-adresses eller e-postadresse.

Merk

Selv om Copilot Studio er dekket av HIPAA, er den fortsatt ikke ment for bruk som en medisinsk enhet. Se ansvarsfraskrivelsen for den tiltenkte bruken av Copilot Studio og medisinsk antall enheter.

Finn ut mer om HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST er en organisasjon styrt av representanter fra helsevesenet.

HITRUST opprettet og vedlikeholder Common Security Framework (CSF), et sertifiserbart rammeverk for å hjelpe helseorganisasjoner og deres leverandører med å fremvise deres sikkerhet og samsvar konsekvent.

CSF bygger på HIPAA og HITECH Act, som er amerikanske helselover som har etablert krav til bruk, avsløring og sikring av individuelt identifiserbar helseinformasjon og håndhever manglende overholdelse.

HITRUST gir en referanseverdi – en standardisert prosess for samsvarsrammeverk, vurdering og sertifisering – som skytjenesteleverandører og dekkede helseenheter kan måle samsvar mot.

Finn ut mer om HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP ble etablert for å gi en standardisert tilnærming for å vurdere, overvåke og autorisere produkter og tjenester for databehandling i skyen i henhold til Federal Information Security Management Act (FISMA) og for å akselerere innføringen av sikre skyløsninger for føderale byråer.

Microsofts offentlige skytjenester oppfyller kravene til FedRAMP.

Ved å distribuere beskyttede tjenester, inkludert Azure Government, Office 365 US Government og Dynamics 365 Government, kan føderale byråer og forsvarsbyråer utnytte et rikt utvalg av kompatible tjenester.

Finn ut mer om FedRAMP.

Samsvar med EUs personvernforordning (SOC)

SOC er en metode for å sørge for kontroll over regulering i en service. Microsoft Copilot Studio er sporing av endringer for å samsvare med SOC.

SOC-revisjonsrapporter er tilgjengelige fra Microsoft Service Trust Portal.

Finn ut mer om SOC.

Samsvar med EUs personvernforordning (ISO)

Microsoft Copilot Studio er kompatibel med ISO-standardene som er oppført i tabellen nedenfor. Revisjonsrapporter for hver er tilgjengelige fra Microsoft Service Trust Portal.

Standard Navn på rapport og sertifikat Kobling til standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 og annen online service – ISO9001-sertifikat og vurderingsrapport ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 og annen online service – ISO20000-1-sertifikat og vurderingsrapport ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 og annen online service – ISO20000-1-sertifikat og vurderingsrapport ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 og annen online service – ISO27001- og 27701-sertifikat og Microsoft Azure, Dynamics 365 og annen online service – ISO27001, 27018, 27017, 27701 og vurderingsrapport ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 og annen online service – ISO27017-sertifikat og Microsoft Azure, Dynamics 365 og annen online service – ISO27001, 27018, 27017, 27701 og vurderingsrapport ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 og annen online service – ISO27018-sertifikat og Microsoft Azure, Dynamics 365 og annen online service – ISO27001, 27018, 27017, 27701 og vurderingsrapport ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 og annen online service – ISO27701-sertifikat og Microsoft Azure, Dynamics 365 og annen online service – ISO27001, 27018, 27017, 27701 og vurderingsrapport ISO/IEC 27701:2019

Datasikkerhetsstandard (DSS) for betalingskortindustrien (PCI)

Payment Card Industry (PCI) Data Security Standards (DSS) er en global sikkerhetsstandard for informasjon som er utformet for å forhindre svindel gjennom økt kontroll av kredittkortdata.

Organisasjoner av alle størrelser må følge PCI DSS-standarder hvis de godtar betalingskort fra de fem store kredittkortmerkene:

  • Visa
  • MasterCard
  • American Express
  • Oppdag
  • Japan Credit Bureau (JCB).

Overholdelse av PCI DSS kreves for enhver organisasjon som lagrer, behandler eller overfører betalings- og kortinnehaverdata.

Finn ut mer om PCI DSS.

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Fra CSA STAR-nettstedet:

  • STAR-programmet (Security Trust Assurance and Risk) omfatter nøkkelprinsipper for gjennomsiktighet, strengsporing og harmonisering av standarder. Selskaper som bruker STAR, angir gode fremgangsmåter og validerer sikkerhetsprosedyren for sine skytilbud.

    STAR-registret dokumenterer sikkerhets- og personvernkontrollene som tilbys av populære skydataløsninger. Dette offentlig tilgjengelige registret gjør det mulig for skykunder å vurdere sine sikkerhetsleverandører for å ta de beste innkjøpsavgjørelsene.

Microsoft Copilot Studio er sporing av endringer for å samsvare med CSA STAR.

Finn ut mer om CSA STAR.

Storbritannias Government Cloud (G-Cloud)

Government Cloud (G-Cloud) er et britisk regjeringsinitiativ for å lette anskaffelsen av skytjenester fra offentlige departementer og fremme statlig bruk av skydatabehandling.

G-Cloud består av en rekke rammeavtaler med leverandører av skytjenester (for eksempel Microsoft) og en liste over tjenestene deres i en nettbutikk, Digital Marketplace. Disse gjør det mulig for organisasjoner i offentlig sektor å sammenligne og anskaffe disse tjenestene uten å måtte gjennomføre en egen fullstendig gjennomgangsprosess.

Inkludering på den digitale markedsplassen krever selvattestert samsvar, etterfulgt av en verifisering utført av grenen Government Digital Service (GDS) etter eget skjønn.

Finn ut mer om G-Cloud.

Revisjonsrapport for ekstern tjenesteleverandør (OSPAR)

OSPAR-rammeverket ble etablert av Association of Banks i Singapore (ABS), som formulerte IT-sikkerhetsretningslinjer for outsourcede tjenesteleverandører (OSP-er) som søker å tilby tjenester til Singapores finansinstitusjoner. ABS-retningslinjene skal hjelpe finansinstitusjoner med å forstå tilnærminger til tilbørlig aktsomhet, leverandørstyring og viktige tekniske og organisatoriske kontroller som bør implementeres i ordninger med skyoutsourcing, spesielt for materielle arbeidsbelastninger.

Microsoft Copilot Studio har OSPAR-attestering.

Finn ut mer om ABS OSPR.

Korea - administrasjonssystem for informasjonssikkerhet (K-ISMS)

K-ISMS er et lands-/områdespesifikt ISMS-rammeverk som definerer et strengt sett med kontrollkrav som er utformet for å sikre at organisasjoner i Korea konsekvent og sikkert beskytter informasjonsressursene sine.

Finn ut mer om ISMS (Korea).

Singapore – skysikkerhet på flere nivåer (MTCS) Nivå 3

MTCS Standard for Singapore ble utarbeidet under ledelse av Information Technology Standards Committee (ITSC) for Infocomm Development Authority of Singapore (IDA).

ITSC fremmer og legger til rette for nasjonale programmer for å standardisere IT og kommunikasjon og Singapores deltakelse i internasjonale standardiseringsaktiviteter.

Finn ut mer om MTCS.

Spania – Esquema Nacional de Seguridad (ENS) Sikkerhetstiltak på høyt nivå

I 2007 vedtok den spanske regjeringen lov 11/2007, som etablerte et juridisk rammeverk for å gi borgere elektronisk tilgang til offentlige tjenester. Denne loven er grunnlaget for Esquema Nacional de Seguridad (National Security Framework), som styres av Royal Decree (RD) 3/2010.

Målet med rammeverket er å bygge tillit til levering av elektroniske tjenester og sikre tilgang, integritet, tilgjengelighet, autentisitet, konfidensialitet, sporbarhet og bevaring av data, informasjon og tjenester.

Finn ut mer om ENS.