Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W świecie cyfrowym zgodność z wymaganiami jest bardziej krytyczna niż kiedykolwiek. Organizacje muszą przestrzegać różnych przepisów i norm, chronić poufnych danych, zachować zaufanie klientów i uniknąć reperkusji prawnych. Jednym z kluczowych aspektów zgodności jest zapewnienie zgodności lokalizacji danych, co obejmuje przechowywanie i przetwarzanie danych w określonych obszarach geograficznych. Microsoft Copilot Studio oferuje niezawodne funkcje, które pomagają organizacjom w spełnianiu najważniejszych wymagań dotyczących zgodności, w szczególności pod względem geograficznych warunków przechowywania danych.
Dlaczego zgodność jest ważna
- Wymagania prawne: W wielu krajach obowiązują surowe prawo dotyczące ochrony danych, które określają, gdzie dane mogą być przechowywane i przetwarzane. Niezgodność może spowodować wysokie kary oraz działania prawne.
- Zaufanie klienta: Przestrzeganie standardów zgodności pokazuje zaangażowanie w bezpieczeństwo danych, co może zwiększyć zaufanie klientów i ich lojalność.
- Zarządzanie ryzykiem: Zgodność z przepisami pomaga w identyfikowaniu i łagodzeniu ryzyk związanych z naruszeniami danych i nieautoryzowanym dostępem.
- Wydajność operacyjna: następujące wytyczne dotyczące zgodności mogą usprawnić procesy i poprawić ogólną wydajność operacyjną.
Copilot Studio jest zaprojektowane z myślą o zgodności i jest Usługą online, jak określono w Postanowieniach dotyczących Usług Online (OST). Jest zgodne z lub objęte przez:
- Zakres ochrony zgodny z ustawą o przenoszeniu i odpowiedzialności w zakresie ubezpieczeń zdrowotnych (HIPAA)
- HITRUST (Health Information Trust Alliance) Wspólny System Bezpieczeństwa (CSF)
- Federalny program zarządzania ryzykiem i autoryzacjami (FedRAMP)
- Kontrole systemów i organizacji (SOC)
- Różne certyfikaty Międzynarodowej Organizacji Normalizacyjnej (ISO)
- Standard PCI DSS (Standard zabezpieczeń danych dla branży kart płatniczych)
- Cloud Security Alliance (CSA) Bezpieczeństwo, Zaufanie, Gwarancja i Ryzyko (STAR)
- Chmura Rządowa Zjednoczonego Królestwa (G-Cloud)
- Raport inspekcji dostawcy zewnętrznego (OSPAR)
- Korea-System Zarządzania Bezpieczeństwem Informacji (K-ISMS)
- Wielowarstwowe zabezpieczenia w chmurze (MTCS) w Singapurze — poziom 3
- Hiszpania Esquema Nacional de Bezpieczeństwa (ENS) środki bezpieczeństwa wysokiego poziomu
Zakres ochrony zgodny z ustawą o przenoszeniu i odpowiedzialności w zakresie ubezpieczeń zdrowotnych (HIPAA)
HIPAA to amerykańskie prawo dotyczące opieki zdrowotnej, które ustanawia wymagania dotyczące wykorzystywania, ujawniania i zabezpieczania indywidualnie identyfikowalnych informacji zdrowotnych. Ma ona zastosowanie do objętych jednostek — gabinetów lekarskich, szpitali, ubezpieczycieli zdrowotnych i innych firm związanych z opieką zdrowotną — które mają dostęp do chronionych informacji o zdrowiu pacjentów (PHI), a także do firm partnerskich — takich jak dostawcy usług w chmurze i infrastruktury IT — które przetwarzają informacje PHI w ich imieniu.
Microsoft Copilot Studio jest objęty przez "Health Insurance Portability and Accountability Act" (HIPAA) Business Associate Agreement (BAA).
Można tworzyć agentów, którzy obsługują chronione informacje o zdrowiu, jeśli organizacja musi przestrzegać przepisów HIPAA, na przykład w następujących scenariuszach, gdzie agent może:
- Poprosić osoby prywatne o podanie informacji o stanie zdrowia (ciśnienie krwi, waga itp.).
- Przechwytywać dane dotyczące stanu zdrowia i dane umożliwiające identyfikację osoby, takie jak adres IP lub adres e-mail klienta.
Uwaga / Notatka
Mimo że usługa Copilot Studio podlega ustawie HIPAA, nie jest przeznaczona do użycia jako artykuł medyczny. Zapoznaj się z zastrzeżeniem dotyczącym zamierzonego użycia usługi Copilot Studio i urządzeń medycznych.
Dowiedz się więcej o ustawie HIPAA.
Health Information Trust Alliance (HITRUST)
HITRUST to organizacja podlegająca przedstawicielom branży opieki zdrowotnej.
Firma HITRUST utworzyła i utrzymuje Wspólną Strukturę Bezpieczeństwa (CSF, Common Security Framework), certyfikowalną strukturę pomagającą organizacjom opieki zdrowotnej i ich dostawcom w spójnym wykazywaniu bezpieczeństwa i zgodności.
CSF opiera się na HIPAA i HITECH Act, które są amerykańskimi przepisami dotyczącymi opieki zdrowotnej, które ustanowiły wymagania dotyczące wykorzystywania, ujawniania i zabezpieczania indywidualnie identyfikowalnych informacji zdrowotnych oraz egzekwowania niezgodności.
HITRUST zapewnia punkt odniesienia — ustandaryzowane ramy zgodności, ocenę i proces certyfikacji — na podstawie których dostawcy usług w chmurze i objęte podmioty opieki zdrowotnej mogą mierzyć zgodność.
Federalny program zarządzania ryzykiem i autoryzacjami (FedRAMP)
FedRAMP został ustanowiony w celu zapewnienia znormalizowanego podejścia do oceny, monitorowania i autoryzacji produktów i usług przetwarzania w chmurze zgodnie z federalną ustawą o zarządzaniu bezpieczeństwem informacji (FISMA) oraz w celu przyspieszenia przyjęcia bezpiecznych rozwiązań w chmurze przez agencje federalne.
Usługi w chmurze dla instytucji rządowych firmy Microsoft spełniają wymagania fedRAMP.
Wdrażając chronione usługi, w tym Azure Government, Office 365 US Government i Dynamics 365 Government, agencje federalne i obronne mogą korzystać z szerokiej gamy zgodnych usług.
Zgodność z normami SOC
SOC jest metodą zapewniającą regulację kontroli w ramach usługi. Usługa Microsoft Copilot Studio została poddana inspekcji pod kątem zgodności z SOC.
Raporty inspekcji SOC są dostępne w portalu zaufania usług Microsoft.
Zgodność z umową ISO
Usługa Microsoft Copilot Studio jest zgodna ze standardami ISO wymienionymi w poniższej tabeli. Raporty inspekcji dla każdego z nich są dostępne w portalu zaufania usług Microsoft.
Standard PCI DSS (Standard zabezpieczeń danych dla branży kart płatniczych)
Standardy bezpieczeństwa danych w branży kart płatniczych (PCI) Data Security Standards (DSS) stanowią globalny standard zabezpieczeń informacji opracowany w celu zapobiegania oszustwom dzięki zwiększonej kontroli danych kart kredytowych.
Organizacje wszystkich rozmiarów muszą postępować zgodnie z standardami PCI DSS, jeśli zaakceptują karty do płatności z pięciu głównych kart kredytowych:
- Visa
- MasterCard
- Amerykański Ekspres
- Wykryj
- Japoński bank kredytowy (JCB).
Zgodność z usługą PCI DSS jest wymagana dla każdej organizacji, która przechowuje, przetwarza lub wysyła dane do płatności i kart.
Cloud Security Alliance (CSA) Bezpieczeństwo, Zaufanie, Gwarancja i Ryzyko (STAR)
Z witryny sieci internetowej CSA STAR:
Program STAR (Security Trust Assurance and Risk) obejmują kluczowe zasady dotyczące przejrzystości, rygorystyczne inspekcje i harmonizację standardów. Firmy, które korzystają z programu STAR, stosują najlepsze metody postępowania i weryfikują stan zabezpieczeń w ich ofertach w chmurze.
Rejestr programu STAR zawiera dokumentację dotyczącą funkcji kontroli zabezpieczeń i prywatności oferowanych przez popularne rozwiązania do przetwarzania w chmurze. Ten publicznie dostępny rejestr zezwala klientom w chmurze na ocenianie dostawców zabezpieczeń w celu dokonania najlepszych decyzji w zakresie zaopatrzenia.
Usługa Microsoft Copilot Studio została poddana inspekcji pod kątem zgodności z programem CSA STAR.
Dowiedz się więcej o CSA STAR.
Chmura Rządowa Zjednoczonego Królestwa (G-Cloud)
Government Cloud (G-Cloud) to brytyjskie środowisko, które ułatwia wybór usług w chmurze przez działy rządowe i promuje wdrożenie przetwarzania w chmurze dla całego państwa.
G-Cloud obejmuje szereg umów ramowych z dostawcami usług w chmurze (takimi jak Microsoft) oraz wykaz ich usług w sklepie internetowym, Digital Marketplace. Umożliwiają one organizacjom sektora publicznego porównywanie i zamawianie tych usług bez konieczności przeprowadzania własnego pełnego procesu przeglądu.
Uwzględnienie w witrynie Digital Marketplace wymaga samoobsługowej kontroli zgodności, a po niej weryfikacji przeprowadzonej przez odgałęzienie Government Digital Service (GDS) według własnego wyboru.
Raport inspekcji dostawcy zewnętrznego (OSPAR)
Ramy OSPAR zostały ustanowione przez Stowarzyszenie Banków w Singapurze (ABS), które sformułowało wytyczne dotyczące bezpieczeństwa IT dla zewnętrznych dostawców usług (OSP), którzy chcą świadczyć usługi na rzecz singapurskich instytucji finansowych. Wytyczne ABS mają na celu pomóc instytucjom finansowym w zrozumieniu podejścia do należytej staranności, zarządzania dostawcami oraz kluczowych kontroli technicznych i organizacyjnych, które należy wdrożyć w ramach outsourcingu w chmurze, w szczególności w przypadku istotnych obciążeń.
Microsoft Copilot Studio ma poświadczenie OSPAR.
Dowiedz się więcej o ABS OSPR.
Korea-System Zarządzania Bezpieczeństwem Informacji (K-ISMS)
K-ISMS to specyficzna dla danego kraju/regionu struktura SZBI, która definiuje rygorystyczny zestaw wymagań kontrolnych mających na celu zapewnienie, że organizacje w Korei konsekwentnie i bezpiecznie chronią swoje zasoby informacyjne.
Dowiedz się więcej o SZBI (Korea).
Wielowarstwowe zabezpieczenia w chmurze (MTCS) w Singapurze — poziom 3
Standard MTCS dla Singapuru został opracowany pod kierunkiem Komitetu ds. Standardów Technologii Informatycznych (ITSC) przy Infocomm Development Authority of Singapore (IDA).
ITSC promuje i ułatwia krajowe programy standaryzacji IT i komunikacji oraz udział Singapuru w międzynarodowych działaniach normalizacyjnych.
Hiszpania Esquema Nacional de Bezpieczeństwa (ENS) środki bezpieczeństwa wysokiego poziomu
W 2007 r. rząd hiszpański uchwalił ustawę 11/2007, która ustanowiła ramy prawne umożliwiające obywatelom elektroniczny dostęp do usług rządowych i publicznych. Prawo to jest podstawą Esquema Nacional de Seguridad (Narodowych Ram Bezpieczeństwa), które reguluje dekret królewski (RD) 3/2010.
Celem struktury jest budowanie zaufania do zapewnienia usług elektronicznych oraz zapewnienie dostępu, integralności, dostępności, uwierzytelniania, poufności, śledzenia i przechowywania danych, informacji i usług.