แชร์ผ่าน

รับรองว่า Copilot Studio ปฏิบัติตามข้อกำหนด

  • บทความ

ในภูมิทัศน์ดิจิทัลของทุกวันนี้ การปฏิบัติตามข้อกำหนดถือเป็นสิ่งสำคัญมากกว่าที่เคย องค์กรต่างๆ ต้องปฏิบัติตามกฎระเบียบและมาตรฐานต่างๆ เพื่อรักษาความปลอดภัยข้อมูลที่ละเอียดอ่อน รักษาความไว้วางใจของลูกค้า และหลีกเลี่ยงผลกระทบทางกฎหมาย ประเด็นสำคัญประการหนึ่งในการปฏิบัติตามข้อกำหนดคือการรับรองถิ่นที่อยู่ของข้อมูล ซึ่งเกี่ยวข้องกับการจัดเก็บและประมวลผลข้อมูลภายในขอบเขตทางภูมิศาสตร์ที่เฉพาะเจาะจง Microsoft Copilot Studio นำเสนอคุณลักษณะที่แข็งแกร่งเพื่อช่วยให้องค์กรตอบสนองข้อกำหนดการปฏิบัติตามข้อกำหนดที่สำคัญ โดยเฉพาะอย่างยิ่งในแง่ถิ่นที่อยู่ของข้อมูลทางภูมิศาสตร์

เหตุใดการปฏิบัติตามข้อกำหนดจึงสำคัญ

  1. ข้อกำหนดทางกฎหมาย: ประเทศต่างๆ หลายประเทศมีกฎหมายคุ้มครองข้อมูลที่เข้มงวดซึ่งกำหนดว่าข้อมูลจะถูกจัดเก็บและประมวลผลได้ที่ใด การไม่ปฏิบัติตามข้อกำหนดอาจส่งผลให้ต้องเสียค่าปรับจำนวนมากและการดำเนินคดีทางกฎหมาย
  2. ความไว้วางใจของลูกค้า: การยึดมั่นตามมาตรฐานการปฏิบัติตามข้อกำหนดแสดงให้เห็นถึงความมุ่งมั่นในการรักษาความปลอดภัยของข้อมูล ซึ่งสามารถเพิ่มความไว้วางใจและความภักดีของลูกค้าได้
  3. การจัดการความเสี่ยง: การปฏิบัติตามข้อกำหนดช่วยในการระบุและบรรเทาความเสี่ยงที่เกี่ยวข้องกับการละเมิดข้อมูลและการเข้าถึงที่ไม่ได้รับอนุญาต
  4. ประสิทธิภาพการดำเนินงาน: การปฏิบัติตามหลักเกณฑ์การปฏิบัติตามข้อกำหนดสามารถปรับปรุงกระบวนการและปรับปรุงประสิทธิภาพการดำเนินงานโดยรวมให้ดีขึ้น

Copilot Studio ออกแบบมาให้มีการปฏิบัติตามข้อกำหนดเป็นแกนหลักและเป็น บริการออนไลน์ ตามที่กำหนดไว้ใน ข้อกำหนดบริการออนไลน์ (OST) เป็นไปตามหรือครอบคลุมโดย:

  • ความคุ้มครองพระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพ (HIPAA)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • การรับรองขององค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) ต่างๆ
  • มาตรฐานการรักษาความปลอดภัยข้อมูล (DSS) อุตสาหกรรมบัตรชำระเงิน (PCI)
  • The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • ระบบคลาวด์ภาครัฐสหราชอาณาจักร (G-Cloud)
  • รายงานการตรวจสอบของผู้ให้บริการภายนอก (OSPAR)
  • ระบบการจัดการความปลอดภัยของข้อมูลประเทศเกาหลี (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) ระดับ 3
  • มาตรการรักษาความปลอดภัยระดับสูงของ Esquema Nacional de Seguridad สเปน(ENS)

ความคุ้มครองพระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพ (HIPAA)

HIPAA เป็นกฎหมายด้านการดูแลสุขภาพของสหรัฐอเมริกาที่กำหนดข้อกำหนดสำหรับการใช้ การเปิดเผย และการปกป้องข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ ซึ่งใช้กับเอนทิตีที่ครอบคลุมคลินิกของแพทย์ โรงพยาบาล บริษัทประกันสุขภาพ และบริษัทการดูแลสุขภาพอื่นๆที่สามารถเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองของผู้ป่วย (PHI) นอกเหนือจากผู้ร่วมธุรกิจ เช่น บริการคลาวด์ และผู้ให้บริการไอทีที่ดำเนินการ PHI ในนามของพวกเขา

Microsoft Copilot Studio ได้รับการคุ้มครองภายใต้ข้อตกลงร่วมของธุรกิจ (BAA) ของพระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพ (HIPAA)

คุณสามารถสร้าง Copilot ที่จัดการข้อมูลสุขภาพที่ได้รับการป้องกัน เมื่อองค์กรของคุณถูกผูกไว้โดย HIPAA เช่นเดียวกับในสถานการณ์ต่อไปนี้ที่ Copilot สามารถ:

  • ขอให้แต่ละบุคคลให้ข้อมูลสุขภาพ (ความดันโลหิต น้ำหนัก และอื่นๆ)
  • เก็บข้อมูลสุขภาพและข้อมูลที่ระบุตัวบุคคล เช่น ที่อยู่ IP ของลูกค้า หรือที่อยู่อีเมล

หมายเหตุ

แม้ว่า Copilot Studio อยู่ภายใต้ HIPAA แต่ยังไม่ได้มีไว้สำหรับใช้เป็นอุปกรณ์ทางการแพทย์ ดูข้อสงวนสิทธิ์ใน วัตถุประสงค์ในการใช้งานของ Copilot Studio และอุปกรณ์ทางการแพทย์

เรียนรู้เพิ่มเติมเกี่ยวกับ HIPAA

Health Information Trust Alliance (HITRUST)

HITRUST เป็นองค์กรที่ควบคุมโดยตัวแทนจากอุตสาหกรรมการดูแลสุขภาพ

HITRUST ได้สร้างและดูแลรักษา Common Security Framework (CSF) ซึ่งเป็นกรอบงานที่ผ่านการรับรองเพื่อช่วยให้องค์กรด้านการดูแลสุขภาพและผู้ให้บริการให้ความปลอดภัยและการปฏิบัติตามข้อกำหนดได้อย่างสม่ำเสมอ

CSF สร้างขึ้นบน HIPAA และพระราชบัญญัติ HITECH ซึ่งเป็นกฎหมายด้านการดูแลสุขภาพของสหรัฐฯ ที่กำหนดข้อกำหนดสำหรับการใช้ การเปิดเผย และการปกป้องข้อมูลด้านสุขภาพที่ระบุตัวบุคคลได้ และบังคับใช้การไม่ปฏิบัติตาม

HITRUST ให้เกณฑ์มาตรฐาน ซึ่งเป็นกรอบงานการปฏิบัติตามมาตรฐาน การประเมิน และกระบวนการรับรอง ซึ่งผู้ให้บริการระบบคลาวด์และหน่วยงานด้านสุขภาพที่ครอบคลุมสามารถวัดการปฏิบัติตามได้

เรียนรู้เพิ่มเติมเกี่ยวกับ HITRUST

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP ก่อตั้งขึ้นเพื่อมอบแนวทางที่เป็นมาตรฐานสำหรับการประเมิน ตรวจสอบ และอนุญาตผลิตภัณฑ์และบริการการประมวลผลบนคลาวด์ภายใต้กฎหมาย Federal Information Security Management Act (FISMA) และเพื่อเร่งการนำโซลูชันระบบคลาวด์ที่ปลอดภัยมาใช้โดยหน่วยงานของรัฐบาลกลาง

บริการระบบคลาวด์สำหรับหน่วยงานภาครัฐของ Microsoft เป็นไปตามข้อกำหนดของ FedRAMP

ด้วยการปรับใช้บริการที่ได้รับการป้องกันรวมถึง Azure Government Office 365 US Government และ Dynamics 365 Government รัฐบาลกลางและหน่วยงานป้องกันสามารถใช้บริการที่เป็นไปตามข้อกำหนดมากมาย

เรียนรู้เพิ่มเติมเกี่ยวกับ FedRAMP

การปฏิบัติตามข้อบังคับ SOC

SOC เป็นวิธีการหนึ่งในการรับรองระเบียบการควบคุมภายในบริการ Microsoft Copilot Studio ได้รับการตรวจสอบว่าสอดคล้องกับ SOC

รายงานการตรวจสอบ SOC มีอยู่ใน พอร์ทัล Microsoft Service Trust

เรียนรู้เพิ่มเติมเกี่ยวกับ SOC

การปฏิบัติตามข้อบังคับ ISO

Microsoft Copilot Studio เป็นไปตามมาตรฐาน ISO ที่ระบุไว้ในตารางต่อไปนี้ รายงานการตรวจสอบสำหรับแต่ละรายการมีอยู่ใน พอร์ทัล Microsoft Service Trust

มาตรฐาน ชื่อของรายงานและใบรับรอง ลิงก์ไปยังมาตรฐาน (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO9001 และรายงานการประเมิน ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO20000-1 และรายงานการประเมิน ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO20000-1 และรายงานการประเมิน ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO27001 และ 27701 และ Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - รายงานการประเมิน ISO27001, 27018, 27017, 27701 ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO27017 และ Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - รายงานการประเมิน ISO27001, 27018, 27017, 27701 ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO27018 และ Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - รายงานการประเมิน ISO27001, 27018, 27017, 27701 ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - ใบรับรอง ISO27701 และ Microsoft Azure, Dynamics 365 และบริการออนไลน์อื่นๆ - รายงานการประเมิน ISO27001, 27018, 27017, 27701 ISO/IEC 27701:2019

มาตรฐานการรักษาความปลอดภัยข้อมูล (DSS) อุตสาหกรรมบัตรชำระเงิน (PCI)

มาตรฐานการรักษาความปลอดภัยข้อมูล (DSS) อุตสาหกรรมบัตรชำระเงิน (PCI) กำหนดมาตรฐานความปลอดภัยของข้อมูลส่วนกลางที่ออกแบบมาเพื่อป้องกันการฉ้อโกงผ่านการควบคุมข้อมูลบัตรเครดิตที่เพิ่มขึ้น

องค์กรทุกขนาดต้องปฏิบัติตามมาตรฐาน PCI DSS หากยอมรับบัตรชำระเงินจากห้าแบรนด์บัตรเครดิตหลัก:

  • Visa
  • MasterCard
  • American Express
  • ค้นหา
  • Japan Credit Bureau (JCB)

การปฏิบัติตาม PCI DSS เป็นสิ่งจำเป็นสำหรับองค์กรใดๆ ที่จัดเก็บ ประมวลผล หรือส่งข้อมูลการชำระเงินและข้อมูลผู้ถือบัตร

เรียนรู้เพิ่มเติมเกี่ยวกับ PCI DSS

The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

จาก เว็บไซต์ CSA STAR:

  • โปรแกรม Security Trust Assurance and Risk (STAR) ประกอบด้วยหลักการสำคัญของความโปร่งใส การตรวจสอบที่เข้มงวด และการสอดคล้องกันของมาตรฐาน บริษัทที่ใช้ STAR ระบุแนวทางปฏิบัติที่ดีที่สุดและตรวจสอบตำแหน่งความปลอดภัยของข้อเสนอในระบบคลาวด์ของพวกเขา

    การลงทะเบียน STAR จะจัดทำเอกสารเกี่ยวกับการควบคุมความปลอดภัยและความเป็นส่วนตัวที่จัดเตรียมโดยข้อเสนอการคำนวณของระบบคลาวด์ยอดนิยม รีจิสทรีที่เข้าถึงได้แบบสาธารณะนี้ช่วยให้ลูกค้าระบบคลาวด์สามารถประเมินผู้ให้บริการความปลอดภัยของพวกเขา เพื่อทำการตัดสินใจในการจัดซื้อได้ดีที่สุด

Microsoft Copilot Studio ได้รับการตรวจสอบว่าสอดคล้องกับ CSA STAR

เรียนรู้เพิ่มเติมเกี่ยวกับ CSA STAR

ระบบคลาวด์ภาครัฐสหราชอาณาจักร (G-Cloud)

Government Cloud (G-Cloud) เป็นความคิดริเริ่มของรัฐบาลสหราชอาณาจักรเพื่อลดความยุ่งยากในการจัดซื้อบริการระบบคลาวด์โดยหน่วยงานรัฐบาล และส่งเสริมการนำการประมวลผลแบบคลาวด์ไปใช้ทั่วทั้งรัฐบาล

G-Cloud ประกอบด้วยชุดของข้อตกลงกรอบงานกับผู้จัดหาบริการระบบคลาวด์ (เช่น Microsoft) และรายการบริการของพวกเขาในร้านค้าออนไลน์ Digital Marketplace สิ่งเหล่านี้ช่วยให้องค์กรภาครัฐสามารถเปรียบเทียบและจัดหาบริการเหล่านั้นโดยไม่ต้องทำกระบวนการตรวจสอบเต็มรูปแบบของตนเอง

การรวมไว้ใน Digital Marketplace จำเป็นต้องมีการรับรองตนเองในการปฏิบัติตาม ตามด้วยการตรวจสอบที่ดำเนินการโดยสาขา Government Digital Service (GDS) ตามดุลยพินิจ

เรียนรู้เพิ่มเติมเกี่ยวกับ G-Cloud

รายงานการตรวจสอบของผู้ให้บริการภายนอก (OSPAR)

กรอบงาน OSPAR จัดตั้งขึ้นโดยสมาคมธนาคารในสิงคโปร์ (ABS) ซึ่งกำหนดแนวทางการรักษาความปลอดภัยด้านไอทีสำหรับผู้ให้บริการภายนอก (OSP) ที่ต้องการให้บริการแก่สถาบันการเงินของสิงคโปร์ แนวปฏิบัติของ ABS มีวัตถุประสงค์เพื่อช่วยสถาบันการเงินในการทำความเข้าใจแนวทางการตรวจสอบวิเคราะห์สถานะ การจัดการผู้ขาย และการควบคุมทางเทคนิคและองค์กรที่สำคัญที่ควรนำไปใช้ในการเตรียมการจากภายนอกบนระบบคลาวด์ โดยเฉพาะอย่างยิ่งสำหรับปริมาณงานด้านวัสดุ

Microsoft Copilot Studio มีใบรับรอง OSPAR

เรียนรู้เพิ่มเติมเกี่ยวกับ ABS OSPR

ระบบการจัดการความปลอดภัยของข้อมูลประเทศเกาหลี (K-ISMS)

K-ISMS เป็นกรอบงาน ISMS เฉพาะประเทศ/ภูมิภาคที่กำหนดชุดข้อกำหนดการควบคุมที่เข้มงวดซึ่งออกแบบมาเพื่อช่วยให้มั่นใจว่าองค์กรในเกาหลีปกป้องทรัพย์สินข้อมูลของตนอย่างสม่ำเสมอและปลอดภัย

เรียนรู้เพิ่มเติมเกี่ยวกับ ISMS (เกาหลี)

Singapore Multi-Tier Cloud Security (MTCS) ระดับ 3

มาตรฐาน MTCS สำหรับสิงคโปร์จัดทำขึ้นภายใต้การกำกับดูแลของคณะกรรมการมาตรฐานเทคโนโลยีสารสนเทศ (ITSC) ขององค์การพัฒนาข้อมูลสารสนเทศแห่งสิงคโปร์ (IDA)

ITSC ส่งเสริมและอำนวยความสะดวกในโครงการระดับชาติเพื่อสร้างมาตรฐานด้านไอทีและการสื่อสาร และการมีส่วนร่วมของสิงคโปร์ในกิจกรรมการกำหนดมาตรฐานสากล

เรียนรู้เพิ่มเติมเกี่ยวกับ MTCS

มาตรการรักษาความปลอดภัยระดับสูงของ Esquema Nacional de Seguridad สเปน(ENS)

ในปี 2550 รัฐบาลสเปนได้ประกาศใช้กฎหมาย 11/2007 ซึ่งกำหนดกรอบกฎหมายเพื่อให้ประชาชนเข้าถึงระบบอิเล็กทรอนิกส์ในการเข้าถึงรัฐบาลและบริการสาธารณะ กฎหมายนี้เป็นพื้นฐานสำหรับ Esquema Nacional de Seguridad (กรอบความมั่นคงแห่งชาติ) ซึ่งอยู่ภายใต้พระราชกฤษฎีกา (RD) 3/2010

เป้าหมายของกรอบงานคือการสร้างความไว้วางใจในการให้บริการทางอิเล็กทรอนิกส์ และรับรองการเข้าถึง ความสมบูรณ์ ความพร้อมใช้งาน ความถูกต้อง การรักษาความลับ การตรวจสอบย้อนกลับ และการเก็บรักษาข้อมูล ข้อมูล และบริการ

เรียนรู้เพิ่มเติมเกี่ยวกับ ENS