Zorgen voor naleving met Copilot Studio
In het huidige digitale landschap is naleving belangrijker dan ooit. Organisaties moeten zich aan verschillende regels en normen houden om gevoelige gegevens te beschermen, het vertrouwen van klanten te behouden en juridische gevolgen te voorkomen. Een belangrijk aspect van naleving is het waarborgen van gegevensresidentie, wat inhoudt dat gegevens binnen specifieke geografische grenzen worden opgeslagen en verwerkt. Microsoft Copilot Studio biedt robuuste functies om organisaties te helpen aan kritieke nalevingsvereisten te voldoen, met op het gebied van geografische gegevensresidentie.
Waarom naleving belangrijk is
- Wettelijke vereisten: veel landen hanteren strenge wetten op het gebied van gegevensbescherming die voorschrijven waar gegevens mogen worden opgeslagen en verwerkt. Niet-naleving kan hoge boetes en juridische stappen tot gevolg hebben.
- Vertrouwen van klanten: door u te houden aan nalevingsnormen laat u zien dat u zich inzet voor gegevensbeveiliging. Dit kan het vertrouwen en de loyaliteit van klanten ten goede komen.
- Risicobeheer: naleving helpt bij het identificeren en beperken van risico's die verband houden met datalekken en ongeautoriseerde toegang.
- Operationele efficiëntie: door nalevingsrichtlijnen te volgen, kunt u processen stroomlijnen en de algehele operationele efficiëntie verbeteren.
Copilot Studio is ontworpen met naleving als kernprincipe en is een Online Service zoals gedefinieerd in de voorwaarden voor online services. Het is in overeenstemming met of valt onder:
- HIPAA-dekking (Health Insurance Portability and Accountability Act)
- Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
- Federal Risk and Authorization Management Program (FedRAMP)
- System and Organization Controls (SOC)
- Diverse ISO-certificeringen (International Organization for Standardization)
- Payment Card Industry (PCI) Data Security Standard (DSS)
- The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
- United Kingdom Government Cloud (G-Cloud)
- Outsourced Service Provider's Audit Report (OSPAR)
- Korea-Information Security Management System (K-ISMS)
- Singapore Multi-Tier Cloud Security (MTCS) Level 3
- Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures
HIPAA-dekking (Health Insurance Portability and Accountability Act)
HIPAA is een Amerikaanse gezondheidswet die eisen stelt voor het gebruik, de openbaarmaking en de bescherming van individueel identificeerbare gezondheidsinformatie. Het is van toepassing op gedekte entiteiten: artsenpraktijken, ziekenhuizen, zorgverzekeraars en andere zorgbedrijven, die naast zakenrelaties toegang hebben tot beschermde gezondheidsinformatie (PHI) van patiënten, zoals cloudservice en IT-providers, die PHI namens hen verwerken.
Microsoft Copilot Studio valt onder de Health Insurance Portability and Accountability Act (HIPAA) Business Associate Agreement (BAA).
U kunt copilots maken die beschermde gezondheidsinformatie verwerken wanneer uw organisatie gebonden is aan HIPAA, zoals in de volgende scenario's waarin de copilot het volgende kan:
- Individuen vragen om gezondheidsinformatie (bloeddruk, gewicht, enzovoort).
- Gezondheidsinformatie en persoonlijk identificeerbare informatie vastleggen, zoals het IP-adres of e-mailadres van de klant.
Notitie
Hoewel Copilot Studio onder HIPAA valt, is het niet bedoeld voor gebruik als medisch hulpmiddel. Zie de disclaimer over het beoogde gebruik van Copilot Studio en medische hulpmiddelen.
Health Information Trust Alliance (HITRUST)
HITRUST is een organisatie die wordt bestuurd door vertegenwoordigers uit de zorgsector.
HITRUST heeft het Common Security Framework (CSF) gecreëerd en beheert het. Dit is een certificeerbaar raamwerk om zorgorganisaties en hun zorgverleners te helpen hun veiligheid en naleving consequent aan te tonen.
Het CSF bouwt voort op HIPAA en de HITECH Act. Dit zijn Amerikaanse wetten voor de gezondheidszorg waarmee vereisten zijn vastgesteld voor het gebruik, de openbaarmaking en de beveiliging van individueel identificeerbare gezondheidsinformatie en niet-naleving wordt bestraft.
HITRUST biedt een benchmark - een gestandaardiseerd nalevingskader, beoordelings- en certificeringsproces - waarmee cloudserviceproviders en gedekte gezondheidsentiteiten de naleving kunnen meten.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP is opgericht om een gestandaardiseerde aanpak te bieden voor het beoordelen, bewaken en autoriseren van cloud computing-producten en -diensten onder de Federal Information Security Management Act (FISMA) en om de acceptatie van veilige cloudoplossingen door federale instanties te versnellen.
De cloudservices van Microsoft voor de overheid voldoen aan de vereisten van FedRAMP.
Door beveiligde services te implementeren, waaronder Azure Government, Office 365 US Government en Dynamics 365 Government, kunnen federale en defensie-instanties een uitgebreid scala aan compatibele services gebruiken.
SOC-naleving
SOC is een methode om controleregulering binnen een service te waarborgen. Microsoft Copilot Studio is gecontroleerd op conformiteit aan SOC.
SOC-controlerapporten zijn beschikbaar bij de Microsoft Service Trust Portal.
ISO-naleving
Microsoft Copilot Studio voldoet aan de ISO-normen in de volgende tabel. Controlerapporten voor elk onderdeel zijn beschikbaar bij de Microsoft Service Trust Portal.
Payment Card Industry (PCI) Data Security Standard (DSS)
De Payment Card Industry (PCI) Data Security Standards (DSS) vormen een wereldwijde informatiebeveiligingsstandaard die is ontworpen om fraude te voorkomen door meer controle over creditcardgegevens.
Organisaties van elke omvang moeten de PCI DSS-normen volgen als ze betaalkaarten van de vijf belangrijkste creditcardmerken accepteren:
- Visa
- MasterCard
- American Express
- Ontdekken
- Japan Credit Bureau (JCB).
Naleving van PCI DSS is vereist voor elke organisatie die betalings- en kaarthoudergegevens opslaat, verwerkt of verzendt.
The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
Van de CSA STAR-website:
Het Security Trust Assurance and Risk (STAR)-programma omvat de belangrijkste principes van transparantie, grondige controles en harmonisatie van normen. Bedrijven die STAR gebruiken, geven aanbevolen methoden aan en valideren de beveiligingsstatus van hun cloudaanbod.
Het STAR-register documenteert de beveiligings- en privacycontroles die worden geboden door populaire cloud-computing-aanbiedingen. Met dit openbaar toegankelijke register kunnen cloudklanten hun beveiligingsproviders beoordelen, zodat zij de beste aankoopbeslissingen kunnen nemen.
Microsoft Copilot Studio is gecontroleerd op conformiteit aan CSA STAR.
Meer informatie over CSA STAR.
United Kingdom Government Cloud (G-Cloud)
Government Cloud (G-Cloud) is een initiatief van de Britse overheid om de aanschaf van clouddiensten door overheidsdiensten te vergemakkelijken en de invoering van cloudcomputing door de overheid te bevorderen.
G-Cloud omvat een reeks raamovereenkomsten met leveranciers van clouddiensten (zoals Microsoft) en een vermelding van hun diensten in een online winkel, de Digital Marketplace. Deze stellen organisaties in de publieke sector in staat om die diensten te vergelijken en aan te schaffen zonder dat ze hun eigen volledige beoordelingsproces hoeven te doorlopen.
Opname in de digitale Marktplaats vereist een zelfverklaring van naleving, gevolgd door een verificatie die naar eigen goeddunken wordt uitgevoerd door de afdeling digitale Dienst van de Overheid (GDS).
Outsourced Service Provider's Audit Report (OSPAR)
Het OSPAR-raamwerk is opgesteld door de Association of Banks in Singapore (ABS), die IT-beveiligingsrichtlijnen heeft opgesteld voor uitbestede serviceproviders (OSP's) die diensten willen verlenen aan de financiële instellingen van Singapore. De ABS-richtlijnen zijn bedoeld om financiële instellingen te helpen bij het begrijpen van benaderingen van due diligence, leveranciersbeheer en belangrijke technische en organisatorische controles die moeten worden geïmplementeerd in cloudoutsourcingovereenkomsten, met name voor materiële werkbelastingen.
Microsoft Copilot Studio heeft een OSPAR-verklaring.
Meer informatie over ABS OSPR.
Korea-Information Security Management System (K-ISMS)
K-ISMS is een land- en regiospecifiek ISMS-raamwerk dat een strikte reeks controlevereisten definieert die zijn ontworpen om ervoor te zorgen dat organisaties in Korea hun informatiemiddelen consistent en veilig beschermen.
Meer informatie over ISMS (Korea).
Singapore Multi-Tier Cloud Security (MTCS) Level 3
De MTCS-standaard voor Singapore is opgesteld onder leiding van de Information Technology Standards Committee (ITSC) van de Infocomm Development Authority of Singapore (IDA).
De ITSC promoot en faciliteert nationale programma's om IT en communicatie te standaardiseren, en de deelname van Singapore aan internationale normalisatie-activiteiten.
Spain Esquema Nacional de Seguridad (ENS) High-Level Security Measures
In 2007 vaardigde de Spaanse regering wet 11/2007 uit, die een wettelijk kader tot stand bracht om burgers elektronische toegang te geven tot overheids- en openbare diensten. Deze wet is de basis voor Esquema Nacional de Seguridad (Nationaal Veiligheidskader), dat wordt geregeld door Koninklijk Besluit (KB) 3/2010.
Het doel van het raamwerk is om vertrouwen op te bouwen in de levering van elektronische diensten en om de toegang, integriteit, beschikbaarheid, authenticiteit, vertrouwelijkheid, traceerbaarheid en bewaring van gegevens, informatie en diensten te waarborgen.