Share via

Copilot Studio-nalevingsaanbiedingen

  • Artikel

Belangrijk

Power Virtual Agents-mogelijkheden en -functies maken nu deel uit van Microsoft Copilot Studio na aanzienlijke investeringen in generatieve AI en verbeterde integraties binnen Microsoft Copilot.

Sommige artikelen en schermopnamen verwijzen mogelijk naar Power Virtual Agents terwijl we de documentatie en trainingsinhoud bijwerken.

Copilot Studio is een Core Online Service, zoals gedefinieerd in de Voorwaarden voor Online Services en is conform aan of valt onder:

  • HIPAA-dekking (Health Insurance Portability and Accountability Act)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Diverse ISO-certificeringen (International Organization for Standardization)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • United Kingdom Government Cloud (G-Cloud)
  • Outsourced Service Provider's Audit Report (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) Level 3
  • Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures

HIPAA-dekking (Health Insurance Portability and Accountability Act)

HIPAA is een Amerikaanse gezondheidswet die eisen stelt voor het gebruik, de openbaarmaking en de bescherming van individueel identificeerbare gezondheidsinformatie. Het is van toepassing op gedekte entiteiten: artsenpraktijken, ziekenhuizen, zorgverzekeraars en andere zorgbedrijven, die naast zakenrelaties toegang hebben tot beschermde gezondheidsinformatie (PHI) van patiënten, zoals cloudservice en IT-providers, die PHI namens hen verwerken.

Microsoft Copilot Studio valt onder de Health Insurance Portability and Accountability Act (HIPAA) Business Associate Agreement (BAA).

U kunt copilots maken die beschermde gezondheidsinformatie verwerken wanneer uw organisatie gebonden is aan HIPAA, zoals in de volgende scenario's waarin de copilot het volgende kan:

  • Individuen vragen om gezondheidsinformatie (bloeddruk, gewicht, enzovoort).
  • Gezondheidsinformatie en persoonlijk identificeerbare informatie vastleggen, zoals het IP-adres of e-mailadres van de klant.

Notitie

Hoewel Copilot Studio onder HIPAA valt, is het niet bedoeld voor gebruik als medisch hulpmiddel. Zie de disclaimer over het beoogde gebruik van Copilot Studio en medische hulpmiddelen.

Meer informatie over HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST is een organisatie die wordt bestuurd door vertegenwoordigers uit de zorgsector.

HITRUST heeft het Common Security Framework (CSF) gecreëerd en beheert het. Dit is een certificeerbaar raamwerk om zorgorganisaties en hun zorgverleners te helpen hun veiligheid en naleving consequent aan te tonen.

Het CSF bouwt voort op HIPAA en de HITECH Act. Dit zijn Amerikaanse wetten voor de gezondheidszorg waarmee vereisten zijn vastgesteld voor het gebruik, de openbaarmaking en de beveiliging van individueel identificeerbare gezondheidsinformatie en niet-naleving wordt bestraft.

HITRUST biedt een benchmark - een gestandaardiseerd nalevingskader, beoordelings- en certificeringsproces - waarmee cloudserviceproviders en gedekte gezondheidsentiteiten de naleving kunnen meten.

Meer informatie over HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP is opgericht om een gestandaardiseerde aanpak te bieden voor het beoordelen, bewaken en autoriseren van cloud computing-producten en -diensten onder de Federal Information Security Management Act (FISMA) en om de acceptatie van veilige cloudoplossingen door federale instanties te versnellen.

De cloudservices van Microsoft voor de overheid voldoen aan de vereisten van FedRAMP.

Door beveiligde services te implementeren, waaronder Azure Government, Office 365 US Government en Dynamics 365 Government, kunnen federale en defensie-instanties een uitgebreid scala aan compatibele services gebruiken.

Meer informatie over FedRAMP.

SOC-naleving

SOC is een methode om controleregulering binnen een service te waarborgen. Microsoft Copilot Studio is gecontroleerd op conformiteit aan SOC.

SOC-controlerapporten zijn beschikbaar bij de Microsoft Service Trust Portal.

Meer informatie over SOC.

ISO-naleving

Microsoft Copilot Studio voldoet aan de ISO-normen in de volgende tabel. Controlerapporten voor elk onderdeel zijn beschikbaar bij de Microsoft Service Trust Portal.

Standard Naam van rapport en certificaat Link naar standaard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 en andere online services - ISO9001-certificaat en beoordelingsrapport ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 en andere online services - ISO20000-1-certificaat en beoordelingsrapport ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 en andere online services - ISO20000-1-certificaat en beoordelingsrapport ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365, and Other Online Service - ISO27001 and 27701 Certificate and Microsoft Azure, Dynamics 365, and Other Online Service - ISO27001, 27018, 27017, 27701 Assessment Report ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 en andere online services - ISO27017-certificaat en Microsoft Azure, Dynamics 365 en andere online services - ISO27001, 27018, 27017, 27701 beoordelingsrapport ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 en andere online services - ISO27018-certificaat en Microsoft Azure, Dynamics 365 en andere online services - ISO27001, 27018, 27017, 27701 beoordelingsrapport ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 en andere online services - ISO27701-certificaat en Microsoft Azure, Dynamics 365 en andere online services - ISO27001, 27018, 27017, 27701 beoordelingsrapport ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

De Payment Card Industry (PCI) Data Security Standards (DSS) vormen een wereldwijde informatiebeveiligingsstandaard die is ontworpen om fraude te voorkomen door meer controle over creditcardgegevens.

Organisaties van elke omvang moeten de PCI DSS-normen volgen als ze betaalkaarten van de vijf belangrijkste creditcardmerken accepteren:

  • Visa
  • MasterCard
  • American Express
  • Ontdekken
  • Japan Credit Bureau (JCB).

Naleving van PCI DSS is vereist voor elke organisatie die betalings- en kaarthoudergegevens opslaat, verwerkt of verzendt.

Meer informatie over PCI DSS.

The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Van de CSA STAR-website:

  • Het Security Trust Assurance and Risk (STAR)-programma omvat de belangrijkste principes van transparantie, grondige controles en harmonisatie van normen. Bedrijven die STAR gebruiken, geven aanbevolen methoden aan en valideren de beveiligingsstatus van hun cloudaanbod.

    Het STAR-register documenteert de beveiligings- en privacycontroles die worden geboden door populaire cloud-computing-aanbiedingen. Met dit openbaar toegankelijke register kunnen cloudklanten hun beveiligingsproviders beoordelen, zodat zij de beste aankoopbeslissingen kunnen nemen.

Microsoft Copilot Studio is gecontroleerd op conformiteit aan CSA STAR.

Meer informatie over CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) is een initiatief van de Britse overheid om de aanschaf van clouddiensten door overheidsdiensten te vergemakkelijken en de invoering van cloudcomputing door de overheid te bevorderen.

G-Cloud omvat een reeks raamovereenkomsten met leveranciers van clouddiensten (zoals Microsoft) en een vermelding van hun diensten in een online winkel, de Digital Marketplace. Deze stellen organisaties in de publieke sector in staat om die diensten te vergelijken en aan te schaffen zonder dat ze hun eigen volledige beoordelingsproces hoeven te doorlopen.

Opname in de digitale Marktplaats vereist een zelfverklaring van naleving, gevolgd door een verificatie die naar eigen goeddunken wordt uitgevoerd door de afdeling digitale Dienst van de Overheid (GDS).

Meer informatie over G-Cloud.

Outsourced Service Provider's Audit Report (OSPAR)

Het OSPAR-raamwerk is opgesteld door de Association of Banks in Singapore (ABS), die IT-beveiligingsrichtlijnen heeft opgesteld voor uitbestede serviceproviders (OSP's) die diensten willen verlenen aan de financiële instellingen van Singapore. De ABS-richtlijnen zijn bedoeld om financiële instellingen te helpen bij het begrijpen van benaderingen van due diligence, leveranciersbeheer en belangrijke technische en organisatorische controles die moeten worden geïmplementeerd in cloudoutsourcingovereenkomsten, met name voor materiële werkbelastingen.

Microsoft Copilot Studio heeft een OSPAR-verklaring.

Meer informatie over ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS is een land-/regiospecifiek ISMS-raamwerk dat een strikte reeks controlevereisten definieert die zijn ontworpen om ervoor te zorgen dat organisaties in Korea hun informatiemiddelen consistent en veilig beschermen.

Meer informatie over ISMS (Korea).

Singapore Multi-Tier Cloud Security (MTCS) Level 3

De MTCS-standaard voor Singapore is opgesteld onder leiding van de Information Technology Standards Committee (ITSC) van de Infocomm Development Authority of Singapore (IDA).

De ITSC promoot en faciliteert nationale programma's om IT en communicatie te standaardiseren, en de deelname van Singapore aan internationale normalisatie-activiteiten.

Meer informatie over MTCS.

Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures

In 2007 vaardigde de Spaanse regering wet 11/2007 uit, die een wettelijk kader tot stand bracht om burgers elektronische toegang te geven tot overheids- en openbare diensten. Deze wet is de basis voor Esquema Nacional de Seguridad (Nationaal Veiligheidskader), dat wordt geregeld door Koninklijk Besluit (KB) 3/2010.

Het doel van het raamwerk is om vertrouwen op te bouwen in de levering van elektronische diensten en om de toegang, integriteit, beschikbaarheid, authenticiteit, vertrouwelijkheid, traceerbaarheid en bewaring van gegevens, informatie en diensten te waarborgen.

Meer informatie over ENS.