確保遵守 Copilot Studio
在當今的數位環境中,合規性比以往任何時候都更加重要。 組織必須遵守各種法規和標準,以保護敏感資料、維護客戶信任並避免法律後果。 合規性的一個重點是確保資料落地,這涉及在特定地理邊界內儲存和處理資料。 Microsoft Copilot Studio 提供強大的功能來幫助組織滿足重要的合規性要求,特別是在地理資料落地方面。
為什麼合規性很重要
- 法律要求:許多國家/地區都有嚴格的資料保護法,規定了資料的儲存和處理位置。 不合規可能導致巨額罰款和法律訴訟。
- 客戶信任:遵守合規標準顯示了對資料安全的承諾,可以增強客戶的信任和忠誠度。
- 風險管理:合規性有助於識別和減輕與資料洩露和未經授權的存取相關風險。
- 營運效率:遵循合規性準則可以簡化流程並提高整體營運效率。
Copilot Studio 的設計以合規性為核心,是線上服務條款 (OST) 中定義的線上服務。 它符合以下規範或涵蓋:
- 健康保險流通與責任法案 (HIPAA) 涵蓋範圍
- 健康資訊信任同盟 (HITRUST) 公用安全性框架 (CSF)
- 聯邦風險與授權管理計畫 (FedRAMP)
- 系統和組織控制 (SOC)
- 各種國際標準組織 (ISO) 認證
- 支付卡產業 (PCI) 資料安全性標準 (DSS)
- 雲端安全性同盟 (CSA) 安全性信任保證和風險 (STAR)
- 英國政府雲端 (G-Cloud)
- 外包服務提供者的稽核報表 (OSPAR)
- 韓國資訊安全管理系統 (K-ISM)
- 新加坡多層雲端和安全性 (MTCS) 等級 3
- 西班牙 Esquema Nacional de Seguridad (ENS) 高等級安全性措施
健康保險流通與責任法案 (HIPAA) 涵蓋範圍
HIPAA是一種美國衛生醫療保健法律,對可辨識個人的健康資訊的使用、揭露以及保護建立規則。 它施行來涵蓋實體 (醫生辦公室、醫院、衛生保險公司和其他的醫療保健公司) 這些單位可存取患者的受保護健康狀態資訊 (PHI),以及業務相關 (如雲端服務和 IT 提供者) 這些廠商可代為處理 PHI。
Microsoft Copilot Studio 涵蓋在健康保險流通與責任法案 (BAA) 中。
當您的組織受 HIPAA 約束時,您可以建立副手,處理受保護的健康狀態資訊,如下列案例中的副手所示:
- 要求人員提供其健康狀態資訊 (血壓、體重等等)。
- 擷取健康資訊以及個人識別資訊,例如客戶的 IP 位址或電子郵件地址。
Note
雖然 Copilot Studio 已涵蓋在 HIPAA 中,但是醫療裝置仍不是它的預計用途。 請參見免責聲明中有關 Copilot Studio 及醫療裝置的預計用途 。
健康資訊信任聯盟 (HITRUST)
HITRUST 是由醫療保健行業的代表所管轄的組織。
HITRUST 建立並維護通用資訊安全框架 (CSF),這是一種可認證的框架,可協助醫療保健組織及其供應商證明一致的安全性和法規合規性。
CSF 以 HIPAA 和高科技法案為基礎,這是美國醫療保健法,已為您所建立的使用、披露和保護各健康情況資訊提供需求,並強制實施非合規性。
HITRUST 提供了一個基準—標準化的合規性架構、評估和認證流程—雲端服務提供者和受覆蓋的醫療衛生實體可依此衡量合規性。
聯邦風險與授權管理計畫 (FedRAMP)
FedRAMP 已建立,能夠可提供一種標準化的方法,可讓您在聯邦資訊安全管理法案 (FISMA) 下評估、監控和授權雲端計算產品和服務,並加速聯邦機關採納安全的雲解決方案。
Microsoft 的政府雲服務符合 FedRAMP 的需求。
聯邦和國防聯邦政府機構可以部署受保護的服務 (Azure Government、Office 365 US Government 和 Dynamics 365 Government) 來使用豐富的一系列符合規範的服務。
SOC 合規性
SOC 是確保服務中控制規範的方法。 Microsoft Copilot Studio 已通過稽核,符合 SOC 的規範。
SOC 稽核報告可從 Microsoft 服務信任入口網站取得。
ISO 合規性
Microsoft Copilot Studio符合下表列出的 ISO 標準。 每一項稽核報告都可從 Microsoft 服務信任入口網站取得。
支付卡產業 (PCI) 資料安全性標準 (DSS)
支付卡產業 (PCI) 資料資訊安全標準 (DSS) 是一種全球資訊安全標準,旨在防止欺詐透過增加對信用卡資料的控制。
如果所有規模的組織接受來自五個主要信用卡品牌的支付卡,則必須遵循 PCI DSS 標準:
- Visa
- 萬事達卡
- 美國運通卡
- 探索
- Japan Credit Bureau (JCB)。
任何組織都需要使用 PCI DSS,以儲存、處理或傳輸付費和持卡人資料。
雲端安全性同盟 (CSA) 安全性信任保證和風險 (STAR)
從 CSA STAR 網站:
雲端安全登錄 (STAR) 計畫包含透明性、嚴格審核和符合規則的重要原則。 使用 STAR 的公司表示最佳作法,並驗證雲端供應項目的安全性狀態。
STAR 登入值會記錄熱門的雲端計算供應項目的安全性和隱私權控制。 這個可公開存取的登入值可讓雲端客戶評估其安全性供應商,以便作出最佳的採購決策。
Microsoft Copilot Studio 已通過稽核,符合 CSA STAR 的規範。
英國政府雲端 (G-Cloud)
政府雲端 (G-Cloud) 是一項英國政府計畫,可讓政府部門輕鬆地購買雲端服務,並促進政府範圍的雲端計算。
G-Cloud 包含一系列的與雲端和雲端服務供應商 (例如:Microsoft) 的框架協定,以及在線上商店中的服務清單。 這以可讓公共事業部門比較和購買這些服務,而不需要進行自己的完整審查程式。
包含在數位市場中,需要有自我認證的合規性,接著由政府數位服務 (GDS) 分支自行進行驗證。
外包服務提供者的稽核報表 (OSPAR)
OSPAR framework 是由在新加坡的銀行協會 (ABS) 所建立,此協會針對尋求為新加坡金融機構提供服務的外包服務提供者 (OSP) 制訂了資訊安全指導方針。 ABS 指導方針是用來協助金融機構了解應付的努力、供應商管理以及重要的技術與組織控制項,這些都應該在雲端外包的方式中實施,尤其是材料工作負載。
Microsoft Copilot Studio 具有 OSPAR 認證。
韓國資訊安全管理系統 (K-ISM)
K-ISM 是國家/地區限定的 ism 架構,定義一組嚴格的控制需求,可協助確保韓國組織始終如一且安全地保護其資訊資產。
新加坡多層雲端和安全性 (MTCS) 等級 3
根據新加坡資訊通訊發展局 (IDA) 的資訊技術標準委員會 (ITSC) 的指導,新加坡的 MTCS 標準已做好準備。
ITSC 會推廣並協助全國程式標準化 IT 和通訊,並推廣新加坡參與國際性標準化活動。
西班牙 Esquema Nacional de Seguridad (ENS) 高等級安全性措施
2007 年,西班牙政府定立了 Law 11/2007,建立法定架構,讓公民可以電子存取政府和公共服務。 此法律是 Esquema Nacional de Seguridad (全國安全性框架) 的基礎,由 Royal Decree (RD) 3/2010 管轄。
此框架的目標是建立電子服務的信任,並確保資料、資訊和服務的存取、完整性、可用性、真實性、機密性、可靠性、可用性、真實性、機密性、可行性和保留。