Copilot Studio 合规性产品
重要提示
继在生成式人工智能的重大投资和跨 Microsoft Copilot 的增强集成之后,Power Virtual Agents 功能和特性现已成为 Microsoft Copilot Studio 的一部分。
在我们更新文档和培训内容时,一些文章和截图可能会参考 Power Virtual Agents。
Copilot Studio 是一项核心联机服务(如联机服务条款 (OST) 中所定义),并且符合以下标准并受其约束:
- 健康保险可携性和责任法案 (HIPAA) 覆盖范围
- 健康信息信任联盟 (HITRUST) 常见安全框架 (CSF)
- 联邦风险与授权管理计划 (FedRAMP)
- 系统和组织控制 (SOC)
- 各种国际标准化组织 (ISO) 认证
- 支付卡行业 (PCI) 数据安全标准 (DSS)
- 云安全联盟 (CSA) 安全信任保证和风险 (STAR)
- 英国 Government Cloud (G-Cloud)
- 外包服务提供程序的审核报表 (OSPAR)
- 韩国信息安全管理系统 (K-ISMS)
- 新加坡多层云安全 (MTCS) 级别 3
- 西班牙 Esquema Nacional de Seguridad (ENS) 高级安全措施
健康保险可携性和责任法案 (HIPAA) 覆盖范围
HIPAA是一部美国医疗保健法律,确立使用、披露和保护个人可识别健康信息的要求。 它适用于有权访问患者受保护的健康信息 (PHI) 的受监管实体(医生办公室、医院、医疗保险公司和其他医疗保健公司),以及代表所监管实体处理 PHI 的业务伙伴,如云服务和 IT 提供商。
Microsoft Copilot Studio 在健康保险可携性和责任法案 (HIPAA) 商业伙伴协议 (BAA) 中介绍。
当您的组织受 HIPAA 约束时,您可以创建用于处理受保护的健康信息的助手,如在以下场景中,助手可以:
- 要求个人提供健康信息(血压、体重等)。
- 捕获健康信息和个人识别信息,如客户的 IP 地址或电子邮件地址。
备注
虽然 Copilot Studio 受 HIPAA 约束,但其用途依然不是医疗设备。 请参阅有关 Copilot Studio 和医疗设备预期用途的免责声明。
健康信息信任联盟 (HITRUST)
HITRUST 是一个由医疗保健行业代表管理的组织。
HITRUST 创建和维护常见安全框架 (CSF),这是一个有助于医疗保健组织及其提供商一致演示其安全性和合规性的认证框架。
CSF 基于 HIPAA 和 HITECH 法案生成,这两个美国医疗保健法律已建立了使用、披露和保护个人可识别健康信息的要求,并强制执行非合规性。
HITRUST 针对可以衡量合规性的云服务提供商和涉及的健康实体提供了一个基准(标准化合规性框架、评估和认证流程)。
联邦风险与授权管理计划 (FedRAMP)
建立了 FedRAMP,以便根据联邦信息安全管理法案 (FISMA) 提供评估、监视和授权云计算产品和服务的标准化方法,并加速联邦机构采用安全云解决方案。
Microsoft 的政府云服务满足 FedRAMP 的要求。
通过部署受保护的服务(包括 Azure 政府、Office 365 US Government 和 Dynamics 365 Government),联邦机构和防卫厅可以使用一组丰富的合规服务。
SOC 合规性
SOC 是一种用于确保服务内遵守管控法规的方法。 Microsoft Copilot Studio 已经过审核,符合 SOC 的要求。
SOC 审核报告可从 Microsoft 服务信任门户获取。
ISO 合规性
Microsoft Copilot Studio 符合下表中列出的 ISO 标准。 每个标准的审核报告可从 Microsoft 服务信任门户获取。
支付卡行业 (PCI) 数据安全标准 (DSS)
支付卡行业 (PCI) 数据安全标准 (DSS) 是一个全局信息安全标准,旨在通过提供对信用卡数据的控制来防止欺诈。
如果所有规模的组织都接受来自以下五个主要信用卡品牌的支付卡,则他们必须遵循 PCI DSS 标准:
- Visa
- MasterCard
- American Express
- 发现
- 日本信用卡株式会社 (JCB)。
任何存储、处理或传输支付和持卡人数据的组织都需要符合 PCI DSS。
云安全联盟 (CSA) 安全信任保证和风险 (STAR)
从 CSA STAR 网站:
安全信任保证和风险 (STAR) 计划包含透明度、严格审核和标准统一的关键原则。 使用 STAR 的公司会指明最佳做法,并验证其云产品/服务的安全状况。
STAR 注册表记录了热门云计算产品/服务提供的安全性和隐私控制。 这个可公开访问的注册表允许云客户评估其安全提供商,以便作出最佳采购决策。
Microsoft Copilot Studio 已经过审核,符合 CSA STAR 的要求。
英国 Government Cloud (G-Cloud)
Government Cloud (G-Cloud) 是一项英国政府计划,旨在简化政府部门对云服务的采购,并促进政府范围的云计算采用。
G-Cloud 包含与云服务供应商(例如 Microsoft)的一系列框架协议,以及联机存储(数字市场)中的服务列表。 这使公共部门组织比较和采购这些服务,而无需执行自己的完整审核流程。
若要包括在数字市场中,需要自动验证合规性,然后由政府数字服务 (GDS) 分支机构自行执行验证。
外包服务提供程序的审核报表 (OSPAR)
OSPAR 框架由新加坡银行公会 (ABS) 建立,为外包服务提供程序 (OSP) 制定 IT 安全指南,旨在向新加坡的财务机构提供服务。 ABS 指南旨在帮助财务机构了解审慎调查、供应商管理和关键技术和组织控制的方法,应在云外包安排(特别是材料工作负荷)中实施这些方法。
Microsoft Copilot Studio 具有 OSPAR 证明。
韩国信息安全管理系统 (K-ISMS)
K-ISMS 是一个特定于国家/地区的 ISMS 框架,用于定义一组严格的控制要求,旨在帮助确保韩国组织能够一致且安全地保护其信息资产。
新加坡多层云安全 (MTCS) 级别 3
新加坡 MTCS 标准是在新加坡信息通信发展署 (IDA) 的信息技术标准委员会 (ITSC) 的指导下制定的。
ITSC 促进和辅助国家项目对 IT 和通信进行标准化,以及新加坡参与国际标准化活动。
西班牙 Esquema Nacional de Seguridad (ENS) 高级安全措施
在 2007 年,西班牙政府颁布了 11/2007 法律,其中建立了一个法律框架,允许公民以电子方式访问政府和公共服务。 此法律是 Esquema Nacional de Seguridad(国家安全框架)的基础,受 Royal Decree (RD) 3/2010 的限制。
该框架的目标是在提供电子服务时建立信任,并确保对数据、信息和服务的访问、完整性、可用性、真实性、保密性、可跟踪性以及保留。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈