Предложения для соответствия требованиям Copilot Studio
Внимание
Возможности и функции Power Virtual Agents теперь являются частью Microsoft Copilot Studio после значительных инвестиций в генеративный искусственный интеллект и расширенную интеграцию с Microsoft Copilot.
Некоторые статьи и снимки экрана могут ссылаться на Power Virtual Agents, пока мы обновляем документацию и учебные материалы.
Copilot Studio является основной онлайн-службой, как определено в Условиях использования веб-служб (OST), и соответствует или на нее распространяются:
- Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
- Общая инфраструктура безопасности (CSF) Ассоциации по защите медицинской информации (HITRUST)
- Федеральная программа аккредитации облачных служб (FedRAMP)
- Системный и организационный контроль (SOC)
- Различные сертификаты Международной организации по стандартизации (ISO)
- Стандарт безопасности данных (DSS) в сфере платежных карт (PCI)
- Безопасность, доверие, гарантии и риски (STAR) Cloud Security Alliance (CSA)
- Государственное облако Соединенного Королевства (G-Cloud)
- Отчет об аудите внешнего поставщика услуг (OSPAR)
- Корея. Система управления информационной безопасностью (K-ISMS)
- Многоуровневая облачная безопасность Сингапура (MTCS), уровень 3
- Испания. Меры безопасности высокого уровня Esquema Nacional de Seguridad (ENS)
Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
HIPAA — это закон США о здравоохранении, устанавливающий требования к использованию, раскрытию и защите индивидуально идентифицируемой медицинской информации. Он применяется к определенным лицам — клиникам, больницам, страховым компаниям и другим медицинским организациям — у которых есть доступ к защищенной медицинской информации (PHI) пациентов, в дополнение к деловым партнерам — таким как облачные сервисы и поставщики ИТ-услуг — которые обрабатывают PHI от их имени.
Microsoft Copilot Studio подпадает под действие Соглашения с бизнес-партнерами (BAA), Акт о передаче и защите данных учреждений здравоохранения (HIPAA).
Вы можете создавать помощников, которые обрабатывают защищенную медицинскую информацию, когда ваша организация связана HIPAA, как в следующих сценариях, где помощник может:
- Просить людей предоставить информацию о своем здоровье (артериальное давление, вес и т. д.).
- Сохранять медицинскую информацию и личную информацию, такую как IP-адрес или адрес электронной почты клиента.
Заметка
Хотя на Copilot Studio распространяется HIPAA, они по-прежнему не предназначены для использования в качестве медицинского устройства. См. отказ от ответственности для предполагаемого использования Copilot Studio и медицинских устройств.
Ассоциация по защите медицинской информации (HITRUST)
HITRUST — это организация, управляемая представителями отрасли здравоохранения.
HITRUST создала и поддерживает общую инфраструктуру безопасности (CSF), сертифицируемую структуру, чтобы помочь организациям здравоохранения и их поставщикам последовательно обеспечивать свою безопасность и соответствие требованиям.
CSF основывается на Акте HIPAA и HITECH, которые являются законами США в области здравоохранения, которые устанавливают требования к использованию, раскрытию и защите индивидуально идентифицируемой медицинской информации и обеспечивают соблюдение требований.
HITRUST предоставляет эталон — стандартизованную структуру соответствия, процесс оценки и сертификации — по которому поставщики облачных услуг и соответствующие медицинские учреждения могут измерять соответствие.
Федеральная программа аккредитации облачных служб (FedRAMP)
FedRAMP была создана для обеспечения стандартизированного подхода к оценке, мониторингу и авторизации продуктов и услуг облачных вычислений в соответствии с Федеральным законом об управлении информационной безопасностью (FISMA) и для ускорения внедрения безопасных облачных решений федеральными агентствами.
Облачные службы Майкрософт для государственных организаций соответствуют требованиям FedRAMP.
Развертывая защищенные службы, включая Azure для государственных организаций, Office 365 для государственных организаций США и Dynamics 365 Government, федеральные и оборонные агентства могут использовать широкий спектр соответствующих требования служб.
Соблюдение SOC
SOC — это метод обеспечения регулирующего контроля в рамках службы. Microsoft Copilot Studio прошел аудит на соответствие требованиям SOC.
Аудиторские отчеты SOC доступны на портале Microsoft Service Trust Portal.
Соблюдение ISO
Microsoft Copilot Studio соответствует стандартам ISO, перечисленным в следующей таблице. Аудиторские отчеты доступны на портале Microsoft Service Trust Portal.
Стандарт безопасности данных (DSS) в сфере платежных карт (PCI)
Стандарты безопасности данных (DSS) в сфере платежных карт (PCI) формируют глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества за счет усиления контроля над данными кредитных карт.
Организации любого размера должны соблюдать стандарты PCI DSS, если они принимают платежные карты от пяти основных брендов кредитных карт:
- Visa
- MasterCard
- American Express
- Обнаружение
- Japan Credit Bureau (JCB).
Соответствие стандарту PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает данные о платежах и держателях карт.
Безопасность, доверие, гарантии и риски (STAR) Cloud Security Alliance (CSA)
Программа Security Trust Assurance and Risk (STAR) включает в себя ключевые принципы прозрачности, строгого аудита и гармонизации стандартов. Компании, использующие STAR, используют передовой опыт и подтверждают уровень безопасности своих облачных предложений.
В реестре STAR задокументированы меры безопасности и конфиденциальности, обеспечиваемые популярными предложениями облачных вычислений. Этот общедоступный реестр позволяет клиентам облака оценивать своих поставщиков безопасности, чтобы принимать оптимальные решения о закупках.
Microsoft Copilot Studio прошел аудит на соответствие требованиям CSA STAR.
Государственное облако Соединенного Королевства (G-Cloud)
Облако для государственных организаций (G-Cloud) — это инициатива правительства Великобритании, призванная упростить закупку облачных услуг правительственными ведомствами и способствовать внедрению облачных вычислений в масштабах всего правительства.
G-Cloud включает серию рамочных соглашений с поставщиками облачных услуг (например, Майкрософт) и список их услуг в онлайн-магазине Digital Marketplace. Это позволяет организациям государственного сектора сравнивать и закупать эти услуги без необходимости проводить собственный полный процесс обзора.
Для включения в цифровую торговую площадку требуется самооценка соответствия, за которой следует проверка, выполняемая отделением государственной цифровой службы (GDS) по его усмотрению.
Отчет об аудите внешнего поставщика услуг (OSPAR)
Структура OSPAR была создана Ассоциацией банков Сингапура (ABS), которая сформулировала руководящие принципы ИТ-безопасности для внешних поставщиков услуг (OSP), желающих предоставлять услуги финансовым учреждениям Сингапура. Рекомендации по ABS предназначены для оказания помощи финансовым учреждениям в понимании подходов к комплексной проверке, управлению поставщиками, а также ключевых технических и организационных мер контроля, которые должны быть реализованы в механизмах облачного аутсорсинга, особенно для существенных рабочих нагрузок.
Microsoft Copilot Studio имеет аттестацию OSPAR.
Дополнительные сведения о ABS OSPR.
Корея. Система управления информационной безопасностью (K-ISMS)
K-ISMS — это национальная/региональная структура ISMS, которая определяет строгий набор требований к контролю, призванных помочь организациям в Корее последовательно и надежно защищать свои информационные активы.
Многоуровневая облачная безопасность Сингапура (MTCS), уровень 3
Стандарт MTCS для Сингапура был подготовлен под руководством Комитета по стандартам информационных технологий (ITSC) Управления развития инфокоммуникаций Сингапура (IDA).
ITSC продвигает и поддерживает национальные программы по стандартизации ИТ и коммуникаций, а также участие Сингапура в международной деятельности по стандартизации.
Испания. Меры безопасности высокого уровня Esquema Nacional de Seguridad (ENS)
В 2007 году правительство Испании приняло Закон 11/2007, который установил правовую основу для предоставления гражданам электронного доступа к правительственным и общественным услугам. Этот закон лежит в основе Esquema Nacional de Seguridad (Система национальной безопасности), которая регулируется Королевским указом (RD) 3/2010.
Цель структуры — укрепить доверие к предоставлению электронных услуг и гарантировать доступ, целостность, доступность, аутентичность, конфиденциальность, отслеживаемость и сохранность данных, информации и услуг.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по