Asegurar el cumplimiento normativo con Copilot Studio
En el panorama digital actual, el cumplimiento normativo es más importante que nunca. Las organizaciones deben cumplir con diversas regulaciones y estándares para proteger datos confidenciales, mantener la confianza del cliente y evitar repercusiones legales. Un aspecto clave del cumplimiento es garantizar la residencia de los datos, lo que implica almacenarlos y procesarlos dentro de límites geográficos específicos. Microsoft Copilot Studio ofrece funciones sólidas para ayudar a las organizaciones a cumplir con los requisitos de cumplimiento críticos, particularmente en términos de residencia de datos geográficos.
¿Por qué es importante el cumplimiento?
- Requisitos legales: muchos países y regiones tienen leyes de protección de datos estrictas que establecen dónde se pueden almacenar y procesar los datos. El incumplimiento puede dar lugar a fuertes multas y acciones legales.
- Confianza del cliente: cumplir con los estándares de cumplimiento demuestra un compromiso con la seguridad de los datos, lo que puede mejorar la confianza y la lealtad del cliente.
- Gestión de riesgos: el cumplimiento ayuda a identificar y mitigar los riesgos asociados con las violaciones de datos y el acceso no autorizado.
- Eficiencia operativa: seguir las pautas de cumplimiento puede agilizar los procesos y mejorar la eficiencia operativa general.
Copilot Studio está diseñado con el cumplimiento como eje y es un Servicio en línea como se define en los Términos de los servicios en línea (OST). Cumple o está cubierto por:
- Cobertura de la ley de transferencia y responsabilidad de seguros de salud (HIPAA)
- Marco de seguridad común (CSF) de la Health Information Trust Alliance (HITRUST)
- Federal Risk and Authorization Management Program (FedRAMP)
- Controles de sistema y organización (SOC)
- Varias certificaciones de la Organización Internacional de Normalización (ISO)
- Estándar de seguridad de datos (DSS) de la Industria de Tarjeta de Pago (PCI)
- Garantía y riesgo de confianza en la seguridad (STAR) de Cloud Security Alliance (CSA)
- Nube de la administración pública del Reino Unido (G-Cloud)
- Informe de auditoría del proveedor de servicios subcontratados (OSPAR)
- Sistema de gestión de seguridad de la información de Corea (K-ISMS)
- Seguridad multinivel en la nube (MTCS) Singapur Nivel 3
- Medidas de seguridad de alto nivel del Esquema Nacional de Seguridad (ENS) de España
Cobertura de la ley de transferencia y responsabilidad de seguros de salud (HIPAA)
HIPAA es una ley sobre salud de los Estados Unidos que establece requisitos para el uso, divulgación y protección de la información médica identificable individualmente. Se aplica a las entidades cubiertas (consultorios médicos, hospitales, aseguradoras de salud y otras empresas de atención médica) que tienen acceso a la información médica protegida (PHI) de los pacientes, además de socios comerciales (como proveedores de servicios en la nube y TI) que procesan la PHI en su nombre.
Microsoft Copilot Studio está cubierto por el contrato de socio empresarial (BAA) de la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).
Puede crear copilotos que aborden información de salud protegida cuando su organización esté sujeta a HIPAA, como en los siguientes escenarios donde el copiloto puede:
- Pida a las personas que proporcionen información sobre su salud (presión arterial, peso, etc.).
- Recopile información sobre la salud e información de identificación personal, como la dirección IP o la dirección de correo electrónico del cliente.
Nota
A pesar de que Copilot Studio está cubierto por HIPAA, todavía no está diseñado para su uso como dispositivo médico. Consulte la declinación de responsabilidades en el uso previsto de Copilot Studio y dispositivos médicos.
Health Information Trust Alliance (HITRUST)
HITRUST es una organización gobernada por representantes de la industria de la salud.
HITRUST creó y mantiene el Marco de seguridad común (CSF), un marco certificable para ayudar a las organizaciones sanitarias y sus proveedores a demostrar su seguridad y cumplimiento de manera constante.
El CSF se basa en HIPAA y la Ley HITECH, que son leyes sanitarias de EE. UU. que han establecido requisitos para el uso, la divulgación y la protección de la información de salud identificable individualmente y evitan el incumplimiento.
HITRUST proporciona un punto de referencia (un marco de cumplimiento estandarizado, un proceso de evaluación y certificación) con el que los proveedores de servicios en la nube y las entidades de salud cubiertas pueden medir el cumplimiento.
Más información sobre HITRUST.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP se estableció para proporcionar un enfoque estandarizado para evaluar, monitorear y autorizar productos y servicios de informática en la nube bajo la Ley Federal de Administración de Seguridad de la Información (FISMA) y para acelerar la adopción de soluciones seguras en la nube por parte de las agencias federales.
Los servicios en la nube para administraciones públicas de Microsoft cumplen con los requisitos de FedRAMP.
Al implementar servicios protegidos como Azure Government, Office 365 US Government y Dynamics 365 Government, las agencias federales y de defensa pueden usar una amplia gama de servicios compatibles.
Más información sobre FedRAMP.
Cumplimiento del SOC
SOC es un método para asegurar la regulación del control dentro de un servicio. Microsoft Copilot Studio ha sido auditado para cumplir con SOC.
Los informes de auditoría de SOC están disponibles en el Portal de confianza de servicios de Microsoft.
Más información acerca de SOC.
Cumplimiento del ISO
Microsoft Copilot Studio cumple con las normas ISO enumeradas en la siguiente tabla. Los informes de auditoría para cada una están disponibles en el Portal de confianza de servicios de Microsoft.
Estándar de seguridad de datos (DSS) de la Industria de Tarjeta de Pago (PCI)
Los estándares de seguridad de datos (DSS) de la Industria de Tarjeta de Pago (PCI) forman un estándar de seguridad de la información global diseñado para prevenir el fraude mediante un mayor control de los datos de las tarjetas de crédito.
Las organizaciones de todos los tamaños deben seguir los estándares PCI DSS si aceptan tarjetas de pago de las cinco principales marcas de tarjetas de crédito:
- Visa
- MasterCard
- American Express
- Detectar
- Japan Credit Bureau (JCB).
Se requiere el cumplimiento de PCI DSS para cualquier organización que almacene, procese o transmita datos de pagos y de titulares de tarjetas.
Más información sobre PCI DSS.
Garantía y riesgo de confianza en la seguridad (STAR) de Cloud Security Alliance (CSA)
Desde el sitio web de CSA STAR:
El programa Security Trust Assurance and Risk (STAR) abarca principios clave de transparencia, auditoría rigurosa y armonización de estándares. Las empresas que utilizan STAR indican las prácticas recomendadas y validan la postura de seguridad de sus soluciones en la nube.
Los documentos del registro de STAR son los controles de seguridad y privacidad proporcionados por las populares ofertas de informática en la nube. Este registro de acceso público permite a los clientes de la nube evaluar a sus proveedores de seguridad para tomar las mejores decisiones de compra.
Microsoft Copilot Studio ha sido auditado para cumplir con CSA STAR.
Más información sobre CSA STAR.
Nube de la administración pública del Reino Unido (G-Cloud)
Government Cloud (G-Cloud) es una iniciativa del gobierno del Reino Unido para facilitar la adquisición de servicios en la nube por parte de los departamentos de las administraciones públicas y promover la adopción de la informática en la nube en toda la administración pública.
G-Cloud comprende una serie de acuerdos marco con proveedores de servicios en la nube (como Microsoft) y una lista de sus servicios en una tienda en línea, Digital Marketplace. Estos permiten a las organizaciones del sector público comparar y adquirir esos servicios sin tener que realizar su propio proceso de revisión completo.
La inclusión en el mercado digital requiere una autocertificación de cumplimiento, seguida de una verificación realizada por la rama de servicios digitales para la administración pública (GDS) a su discreción.
Más información sobre G-Cloud.
Informe de auditoría del proveedor de servicios subcontratados (OSPAR)
El marco OSPAR fue establecido por la Asociación de Bancos de Singapur (ABS), que formuló pautas de seguridad de TI para proveedores de servicios subcontratados (OSP) que buscan brindar servicios a las instituciones financieras de Singapur. Las directrices de ABS están destinadas a ayudar a las instituciones financieras a comprender los enfoques de la debida diligencia, la gestión de proveedores y los controles técnicos y organizativos clave que deben implementarse en los acuerdos de subcontratación en la nube, en particular para las cargas de trabajo materiales.
Microsoft Copilot Studio tiene certificación OSPAR.
Más información acerca de ABS OSPR.
Sistema de gestión de seguridad de la información de Corea (K-ISMS)
K-ISMS es un marco de ISMS específico para cada país o región que define un estricto conjunto de requisitos de control diseñados para ayudar a garantizar que las organizaciones en Corea protejan de manera consistente y segura sus activos de información.
Más información sobre ISMS (Corea).
Seguridad multinivel en la nube (MTCS) Singapur Nivel 3
El estándar MTCS para Singapur se preparó bajo la dirección del Information Technology Standards Committee (ITSC) de la Infocomm Development Authority of Singapore (IDA).
El ITSC promueve y facilita programas nacionales para estandarizar las tecnologías de la información y las comunicaciones, y para la participación de Singapur en actividades internacionales de estandarización.
Más información acerca de MTCS.
Medidas de seguridad de alto nivel del Esquema Nacional de Seguridad (ENS) de España
En 2007, el gobierno español promulgó la Ley 11/2007, que estableció un marco legal para brindar a los ciudadanos acceso electrónico a los servicios públicos y gubernamentales. Esta ley es la base del Esquema Nacional de Seguridad, que se rige por el Real Decreto (RD) 3/2010.
El objetivo del marco es generar confianza en la prestación de servicios electrónicos y garantizar el acceso, la integridad, la disponibilidad, la autenticidad, la confidencialidad, la trazabilidad y la preservación de los datos, la información y los servicios.