Partilhar via

Garantir a conformidade com o Copilot Studio

No cenário digital atual, a conformidade é mais crítica do que nunca. As organizações devem aderir a vários regulamentos e padrões para proteger dados confidenciais, manter a confiança do cliente e evitar repercussões legais. Um aspeto fundamental da conformidade é garantir a residência dos dados, o que envolve o armazenamento e o processamento de dados dentro de limites geográficos específicos. O Microsoft Copilot Studio oferece recursos robustos para ajudar as organizações a atender aos requisitos críticos de conformidade, especialmente em termos de residência de dados geográficos.

Por que a conformidade é importante

  • Requisitos legais: Muitos países têm leis rigorosas de proteção de dados que determinam onde os dados podem ser armazenados e processados. O não cumprimento pode resultar em multas pesadas e ações judiciais.
  • Confiança do cliente: A adesão aos padrões de conformidade demonstra um compromisso com a segurança dos dados, o que pode aumentar a confiança e a lealdade do cliente.
  • Gestão de riscos: a conformidade ajuda a identificar e mitigar os riscos associados a violações de dados e acesso não autorizado.
  • Eficiência operacional: Seguir as diretrizes de conformidade pode simplificar processos e melhorar a eficiência operacional geral.

O Copilot Studio foi projetado com a conformidade em seu núcleo e é um Serviço Online, conforme definido nos Termos de Serviços Online (OST). É compatível ou abrangido por:

  • Cobertura da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
  • Quadro Comum de Segurança (CSF) da Health Information Trust Alliance (HITRUST)
  • Programa Federal de Gestão de Riscos e Autorizações (FedRAMP)
  • Controlos de Sistema e Organização (SOC)
  • Várias certificações da Organização Internacional de Padronização (ISO)
  • Normas de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI)
  • Garantia e Risco de Confiança de Segurança (STAR) da Cloud Security Alliance (CSA)
  • Nuvem Governamental do Reino Unido (G-Cloud)
  • Relatório de auditoria do provedor de serviços terceirizado (OSPAR)
  • Sistema de Gestão de Segurança Korea-Information (K-ISMS)
  • Segurança na nuvem multicamadas (MTCS) de Singapura Nível 3
  • Espanha Esquema Nacional de Seguridad (ENS) High-Level Medidas de Segurança

Cobertura da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

A HIPAA é uma lei de saúde dos Estados Unidos que estabelece requisitos para o uso, divulgação e proteção de informações de saúde individualmente identificáveis. Aplica-se a entidades cobertas — consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde — que têm acesso às informações de saúde protegidas (PHI) dos pacientes, além de parceiros de negócios — como provedores de serviços de nuvem e TI — que processam PHI em seu nome.

O Microsoft Copilot Studio está coberto pelo Contrato de Associado Comercial (BAA) da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).

Você pode criar agentes que manipulam informações de integridade protegidas quando sua organização está vinculada pela HIPAA, como nos seguintes cenários em que o agente pode:

  • Peça aos indivíduos para fornecer suas informações de saúde (pressão arterial, peso, e assim por diante).
  • Capture informações de saúde e informações de identificação pessoal, como o endereço IP ou endereço de e-mail do cliente.

Observação

Embora o Copilot Studio esteja coberto pela HIPAA, ele ainda não se destina ao uso como dispositivo médico. Consulte a declaração de exoneração de responsabilidade sobre a utilização pretendida do Copilot Studio e dos dispositivos médicos.

Saiba mais sobre a HIPAA.

Aliança para a Confiança na Informação sobre Saúde (HITRUST)

HITRUST é uma organização governada por representantes do setor de saúde.

A HITRUST criou e mantém o Common Security Framework (CSF), uma estrutura certificável para ajudar as organizações de saúde e seus provedores a demonstrar sua segurança e conformidade de forma consistente.

O CSF baseia-se na HIPAA e na HITECH Act, que são leis de saúde dos EUA que estabeleceram requisitos para o uso, divulgação e proteção de informações de saúde identificáveis individualmente e impõem a não conformidade.

A HITRUST fornece uma referência — uma estrutura de conformidade padronizada, avaliação e processo de certificação — em relação à qual os provedores de serviços em nuvem e entidades de saúde cobertas podem medir a conformidade.

Saiba mais sobre a HITRUST.

Programa Federal de Gestão de Riscos e Autorizações (FedRAMP)

O FedRAMP foi criado para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) e para acelerar a adoção de soluções de nuvem seguras por agências federais.

Os serviços de nuvem governamentais da Microsoft atendem aos requisitos do FedRAMP.

Ao implantar serviços protegidos, incluindo o Azure Government, o Office 365 US Government e o Dynamics 365 Government, as agências federais e de defesa podem usar uma rica variedade de serviços compatíveis.

Saiba mais sobre o FedRAMP.

Conformidade com SOC

SOC é um método para garantir a regulação de controle dentro de um serviço. O Microsoft Copilot Studio foi auditado para ser compatível com SOC.

Os relatórios de auditoria SOC estão disponíveis no Portal de Confiança de Serviços da Microsoft.

Saiba mais sobre o SOC.

Conformidade com ISO

O Microsoft Copilot Studio é compatível com os padrões ISO listados na tabela a seguir. Os relatórios de auditoria para cada um estão disponíveis no Portal de Confiança de Serviços da Microsoft.

Standard Nome do relatório e do certificado Ligação à norma (www.iso.org)
Certificação ISO 9001:2015 Microsoft Azure, Dynamics 365 e outros serviços online - ISO9001 Certificado e Relatório de Avaliação Certificação ISO 9001:2015
Certificação ISO 20000-1:2011 Microsoft Azure, Dynamics 365 e outros serviços online - ISO20000-1 Certificado e Relatório de Avaliação ISO/IEC 20000-1:2011
Certificação ISO 22301:2012 Microsoft Azure, Dynamics 365 e outros serviços online - ISO20000-1 Certificado e Relatório de Avaliação ISO/IEC 22301:2012
Certificação ISO 27001:2013 Microsoft Azure, Dynamics 365 e Outros Serviços Online - Certificado ISO27001 e 27701 e Microsoft Azure, Dynamics 365 e Outros Serviços Online - ISO27001, 27018, 27017, 27701 ISO/IEC 27001:2013
Certificação ISO 27017:2015 Microsoft Azure, Dynamics 365 e Outros Serviços Online - Certificado ISO27017 e Relatório de Avaliação do Microsoft Azure, Dynamics 365 e Outros Serviços Online - ISO27001, 27018, 27017, 27701 ISO/IEC 27017:2015
Certificação ISO 27018:2019 Microsoft Azure, Dynamics 365 e Outros Serviços Online - Certificado ISO27018 e Relatório de Avaliação do Microsoft Azure, Dynamics 365 e Outros Serviços Online - ISO27001, 27018, 27017, 27701 ISO/IEC 27018:2019
Certificação ISO 27701:2019 Relatório de Avaliação do Microsoft Azure, Dynamics 365 e Outros Serviços Online - Certificado ISO27701 e Microsoft Azure, Dynamics 365 e Outros Serviços Online - ISO27001, 27018, 27017, 27701 ISO/IEC 27701:2019

Normas de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI)

Os Padrões de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI) formam um padrão global de segurança da informação projetado para prevenir fraudes por meio de um maior controle dos dados de cartões de crédito.

Organizações de todos os tamanhos devem seguir os padrões PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de cartões de crédito:

  • Vistos
  • MasterCard [en]
  • American Express
  • Descubra
  • Agência de Crédito do Japão (JCB).

A conformidade com o PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de pagamento e de titulares de cartões.

Saiba mais sobre o PCI DSS.

Garantia e Risco de Confiança de Segurança (STAR) da Cloud Security Alliance (CSA)

Do site do CSA STAR:

  • O Programa Security Trust Assurance and Risk (STAR) engloba princípios-chave de transparência, auditoria rigorosa e harmonização de normas. As empresas que usam o STAR indicam as melhores práticas e validam a postura de segurança de suas ofertas de nuvem.

    O registo STAR documenta os controlos de segurança e privacidade proporcionados pelas ofertas populares de computação em nuvem. Este registo acessível ao público permite que os clientes de serviços em nuvem avaliem os seus fornecedores de segurança para tomarem as melhores decisões de aquisição.

O Microsoft Copilot Studio foi auditado para estar em conformidade com o CSA STAR.

Saiba mais sobre o CSA STAR.

Nuvem Governamental do Reino Unido (G-Cloud)

A Government Cloud (G-Cloud) é uma iniciativa do governo do Reino Unido para facilitar a aquisição de serviços de nuvem por departamentos governamentais e promover a adoção da computação em nuvem em todo o governo.

A G-Cloud inclui uma série de acordos-quadro com fornecedores de serviços em nuvem (como a Microsoft) e uma listagem dos seus serviços numa loja online, o Mercado Digital. Estes permitem que as organizações do setor público comparem e adquiram esses serviços sem terem de fazer o seu próprio processo de revisão completo.

A inclusão no Mercado Digital requer um autoatestado de conformidade, seguido de uma verificação realizada pela filial do Serviço Digital do Governo (GDS) a seu critério.

Saiba mais sobre o G-Cloud.

Relatório de auditoria do provedor de serviços terceirizado (OSPAR)

A estrutura OSPAR foi estabelecida pela Associação de Bancos em Cingapura (ABS), que formulou diretrizes de segurança de TI para provedores de serviços terceirizados (OSPs) que buscam fornecer serviços às instituições financeiras de Cingapura. As Diretrizes ABS destinam-se a ajudar as instituições financeiras a entender as abordagens de diligência devida, gestão de fornecedores e os principais controles técnicos e organizacionais que devem ser implementados em acordos de terceirização em nuvem, particularmente para cargas de trabalho materiais.

O Microsoft Copilot Studio tem atestado OSPAR.

Saiba mais sobre o ABS OSPR.

Sistema de Gestão de Segurança Korea-Information (K-ISMS)

O K-ISMS é uma estrutura de SGSI específica de país/região que define um conjunto rigoroso de requisitos de controle projetados para ajudar a garantir que as organizações na Coreia protejam seus ativos de informações de forma consistente e segura.

Saiba mais sobre o SGSI (Coreia).

Segurança na nuvem multicamadas (MTCS) de Singapura Nível 3

O Padrão MTCS para Cingapura foi preparado sob a direção do Comitê de Padrões de Tecnologia da Informação (ITSC) da Autoridade de Desenvolvimento Infocomm de Cingapura (IDA).

O ITSC promove e facilita programas nacionais para padronizar TI e comunicações, e a participação de Cingapura em atividades internacionais de normalização.

Saiba mais sobre o MTCS.

Espanha Esquema Nacional de Seguridad (ENS) High-Level Medidas de Segurança

Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu um quadro jurídico para dar aos cidadãos acesso eletrónico ao governo e aos serviços públicos. Esta lei é a base para o Esquema Nacional de Segurança, que é regido pelo Real Decreto (RD) 3/2010.

O objetivo do quadro é criar confiança na prestação de serviços eletrónicos e garantir o acesso, a integridade, a disponibilidade, a autenticidade, a confidencialidade, a rastreabilidade e a preservação de dados, informações e serviços.

Saiba mais sobre a ENS.

  • Last updated on