Поделиться через


Обеспечение соответствия нормативам с Copilot Studio

В современном цифровом пространстве соблюдение нормативных требований становится важнее, чем когда-либо. Организациям необходимо соблюдать различные правила и стандарты, чтобы защитить конфиденциальные данные, сохранить доверие клиентов и избежать юридических последствий. Одним из ключевых аспектов соответствия является обеспечение места расположения данных, что подразумевает хранение и обработку данных в определенных географических границах. Microsoft Copilot Studio предлагает надежные функции, помогающие организациям соблюдать важнейшие требования соответствия, особенно с точки зрения географического местонахождения данных.

Почему соответствие нормативным требованиям важно?

  1. Правовые требования: во многих странах действуют строгие законы о защите данных, которые определяют, где данные могут храниться и обрабатываться. Несоблюдение требований может повлечь за собой крупные штрафы и судебные разбирательства.
  2. Доверие клиентов: соблюдение стандартов соответствия демонстрирует приверженность безопасности данных, что может повысить доверие и лояльность клиентов.
  3. Управление рисками: соблюдение нормативных требований помогает выявлять и минимизировать риски, связанные с утечками данных и несанкционированным доступом.
  4. Эффективность работы: соблюдение правил соответствия может оптимизировать процессы и повысить общую эффективность работы.

Copilot Studio, в основе разработки которой лежит соответствие нормативам, является онлайн-службой, как определено в разделе Условиях веб-служб (OST). Она соответствует нормативным требованиям или подпадает под действие следующих требований:

  • Акт о передаче и защите данных учреждений здравоохранения (HIPAA)
  • Общая инфраструктура безопасности (CSF) Ассоциации по защите медицинской информации (HITRUST)
  • Федеральная программа аккредитации облачных служб (FedRAMP)
  • Системный и организационный контроль (SOC)
  • Различные сертификаты Международной организации по стандартизации (ISO)
  • Стандарт безопасности данных (DSS) в сфере платежных карт (PCI)
  • Безопасность, доверие, гарантии и риски (STAR) Cloud Security Alliance (CSA)
  • Государственное облако Соединенного Королевства (G-Cloud)
  • Отчет об аудите внешнего поставщика услуг (OSPAR)
  • Корея. Система управления информационной безопасностью (K-ISMS)
  • Многоуровневая облачная безопасность Сингапура (MTCS), уровень 3
  • Испания. Меры безопасности высокого уровня Esquema Nacional de Seguridad (ENS)

Акт о передаче и защите данных учреждений здравоохранения (HIPAA)

HIPAA — это закон США о здравоохранении, устанавливающий требования к использованию, раскрытию и защите индивидуально идентифицируемой медицинской информации. Он применяется к определенным лицам — клиникам, больницам, страховым компаниям и другим медицинским организациям — у которых есть доступ к защищенной медицинской информации (PHI) пациентов, в дополнение к деловым партнерам — таким как облачные сервисы и поставщики ИТ-услуг — которые обрабатывают PHI от их имени.

Microsoft Copilot Studio подпадает под действие Соглашения с бизнес-партнерами (BAA), Акт о передаче и защите данных учреждений здравоохранения (HIPAA).

Вы можете создавать помощников, которые обрабатывают защищенную медицинскую информацию, когда ваша организация связана HIPAA, как в следующих сценариях, где помощник может:

  • Просить людей предоставить информацию о своем здоровье (артериальное давление, вес и т. д.).
  • Сохранять медицинскую информацию и личную информацию, такую как IP-адрес или адрес электронной почты клиента.

Заметка

Хотя на Copilot Studio распространяется HIPAA, они по-прежнему не предназначены для использования в качестве медицинского устройства. См. отказ от ответственности для предполагаемого использования Copilot Studio и медицинских устройств.

Подробнее о HIPAA.

Ассоциация по защите медицинской информации (HITRUST)

HITRUST — это организация, управляемая представителями отрасли здравоохранения.

HITRUST создала и поддерживает общую инфраструктуру безопасности (CSF), сертифицируемую структуру, чтобы помочь организациям здравоохранения и их поставщикам последовательно обеспечивать свою безопасность и соответствие требованиям.

CSF основывается на Акте HIPAA и HITECH, которые являются законами США в области здравоохранения, которые устанавливают требования к использованию, раскрытию и защите индивидуально идентифицируемой медицинской информации и обеспечивают соблюдение требований.

HITRUST предоставляет эталон — стандартизованную структуру соответствия, процесс оценки и сертификации — по которому поставщики облачных услуг и соответствующие медицинские учреждения могут измерять соответствие.

Подробнее о HITRUST.

Федеральная программа аккредитации облачных служб (FedRAMP)

FedRAMP была создана для обеспечения стандартизированного подхода к оценке, мониторингу и авторизации продуктов и услуг облачных вычислений в соответствии с Федеральным законом об управлении информационной безопасностью (FISMA) и для ускорения внедрения безопасных облачных решений федеральными агентствами.

Облачные службы Майкрософт для государственных организаций соответствуют требованиям FedRAMP.

Развертывая защищенные службы, включая Azure для государственных организаций, Office 365 для государственных организаций США и Dynamics 365 Government, федеральные и оборонные агентства могут использовать широкий спектр соответствующих требования служб.

Подробнее о FedRAMP.

Соблюдение SOC

SOC — это метод обеспечения регулирующего контроля в рамках службы. Microsoft Copilot Studio прошел аудит на соответствие требованиям SOC.

Аудиторские отчеты SOC доступны на портале Microsoft Service Trust Portal.

Подробнее о SOC.

Соблюдение ISO

Microsoft Copilot Studio соответствует стандартам ISO, перечисленным в следующей таблице. Аудиторские отчеты доступны на портале Microsoft Service Trust Portal.

Стандартные Название отчета и сертификата Ссылка на стандарт (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO9001 и отчет об оценке ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO20000-1 и отчет об оценке ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO20000-1 и отчет об оценке ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 и другие веб-службы — ISO27001 и сертификат 27701, Microsoft Azure, Dynamics 365 и другие веб-службы — ISO27001, 27018, 27017, 27701 отчет об оценке ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO27017 и Microsoft Azure, Dynamics 365 и другие веб-службы — ISO27001, 27018, 27017, 27701 отчет об оценке ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO27018 и Microsoft Azure, Dynamics 365 и другие веб-службы — ISO27001, 27018, 27017, 27701 отчет об оценке ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 и другие веб-службы — сертификат ISO27701 и Microsoft Azure, Dynamics 365 и другие веб-службы — ISO27001, 27018, 27017, 27701 отчет об оценке ISO/IEC 27701:2019

Стандарт безопасности данных (DSS) в сфере платежных карт (PCI)

Стандарты безопасности данных (DSS) в сфере платежных карт (PCI) формируют глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества за счет усиления контроля над данными кредитных карт.

Организации любого размера должны соблюдать стандарты PCI DSS, если они принимают платежные карты от пяти основных брендов кредитных карт:

  • Visa
  • MasterCard
  • American Express
  • Обнаружение
  • Japan Credit Bureau (JCB).

Соответствие стандарту PCI DSS требуется для любой организации, которая хранит, обрабатывает или передает данные о платежах и держателях карт.

Подробнее о PCI DSS.

Безопасность, доверие, гарантии и риски (STAR) Cloud Security Alliance (CSA)

С сайта CSA STAR:

  • Программа Security Trust Assurance and Risk (STAR) включает в себя ключевые принципы прозрачности, строгого аудита и гармонизации стандартов. Компании, использующие STAR, используют передовой опыт и подтверждают уровень безопасности своих облачных предложений.

    В реестре STAR задокументированы меры безопасности и конфиденциальности, обеспечиваемые популярными предложениями облачных вычислений. Этот общедоступный реестр позволяет клиентам облака оценивать своих поставщиков безопасности, чтобы принимать оптимальные решения о закупках.

Microsoft Copilot Studio прошел аудит на соответствие требованиям CSA STAR.

Подробнее о CSA STAR.

Государственное облако Соединенного Королевства (G-Cloud)

Облако для государственных организаций (G-Cloud) — это инициатива правительства Великобритании, призванная упростить закупку облачных услуг правительственными ведомствами и способствовать внедрению облачных вычислений в масштабах всего правительства.

G-Cloud включает серию рамочных соглашений с поставщиками облачных услуг (например, Майкрософт) и список их услуг в онлайн-магазине Digital Marketplace. Это позволяет организациям государственного сектора сравнивать и закупать эти услуги без необходимости проводить собственный полный процесс обзора.

Для включения в цифровую торговую площадку требуется самооценка соответствия, за которой следует проверка, выполняемая отделением государственной цифровой службы (GDS) по его усмотрению.

Подробнее о G-Cloud.

Отчет об аудите внешнего поставщика услуг (OSPAR)

Структура OSPAR была создана Ассоциацией банков Сингапура (ABS), которая сформулировала руководящие принципы ИТ-безопасности для внешних поставщиков услуг (OSP), желающих предоставлять услуги финансовым учреждениям Сингапура. Рекомендации по ABS предназначены для оказания помощи финансовым учреждениям в понимании подходов к комплексной проверке, управлению поставщиками, а также ключевых технических и организационных мер контроля, которые должны быть реализованы в механизмах облачного аутсорсинга, особенно для существенных рабочих нагрузок.

Microsoft Copilot Studio имеет аттестацию OSPAR.

Дополнительные сведения о ABS OSPR.

Корея. Система управления информационной безопасностью (K-ISMS)

K-ISMS — это национальная/региональная структура ISMS, которая определяет строгий набор требований к контролю, призванных помочь организациям в Корее последовательно и надежно защищать свои информационные активы.

Подробнее о ISMS (Корея).

Многоуровневая облачная безопасность Сингапура (MTCS), уровень 3

Стандарт MTCS для Сингапура был подготовлен под руководством Комитета по стандартам информационных технологий (ITSC) Управления развития инфокоммуникаций Сингапура (IDA).

ITSC продвигает и поддерживает национальные программы по стандартизации ИТ и коммуникаций, а также участие Сингапура в международной деятельности по стандартизации.

Подробнее о MTCS.

Испания. Меры безопасности высокого уровня Esquema Nacional de Seguridad (ENS)

В 2007 году правительство Испании приняло Закон 11/2007, который установил правовую основу для предоставления гражданам электронного доступа к правительственным и общественным услугам. Этот закон лежит в основе Esquema Nacional de Seguridad (Система национальной безопасности), которая регулируется Королевским указом (RD) 3/2010.

Цель структуры — укрепить доверие к предоставлению электронных услуг и гарантировать доступ, целостность, доступность, аутентичность, конфиденциальность, отслеживаемость и сохранность данных, информации и услуг.

Подробнее о ENS.