Garantir a conformidade com o Copilot Studio

  • Artigo

No cenário digital atual, a conformidade é mais crítica do que nunca. As organizações devem aderir a vários regulamentos e padrões para proteger dados confidenciais, manter a confiança do cliente e evitar repercussões legais. Um aspecto fundamental da conformidade é garantir a residência dos dados, o que envolve o armazenamento e o processamento de dados dentro de limites geográficos específicos. O Microsoft Copilot Studio oferece recursos avançados para ajudar as organizações a atender a requisitos críticos de conformidade, especialmente em termos de residência de dados geográficos.

Por que a conformidade é importante

  1. Requisitos legais: país/região com leis rigorosas de proteção de dados que determinam onde os dados podem ser armazenados e processados. O não cumprimento pode resultar em multas pesadas e ações judiciais.
  2. Confiança do cliente: a adesão aos padrões de conformidade demonstra um compromisso com a segurança dos dados, o que pode aumentar a confiança e a lealdade do cliente.
  3. Gerenciamento de riscos: a conformidade ajuda a identificar e reduzir riscos associados a violações de dados e acesso não autorizado.
  4. Eficiência operacional: seguir diretrizes de conformidade pode simplificar processos e melhorar a eficiência operacional geral.

O Copilot Studio é projetado com conformidade em seu núcleo e é um Serviço Onlineconforme definido nos Termos de Serviços Online (OST). É compatível ou coberto por:

  • Cobertura da lei americana HIPAA (Health Insurance Portability and Accountability Act)
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Várias certificações da International Organization for Standardization (ISO)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • United Kingdom Government Cloud (G-Cloud)
  • Outsourced Service Provider’s Audit Report (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) Level 3
  • Medidas de segurança de alto nível do Esquema Nacional de Seguridad (ENS) da Espanha

Cobertura da lei americana HIPAA (Health Insurance Portability and Accountability Act)

A HIPAA é uma lei de saúde dos Estados Unidos que estabelece requisitos para o uso, divulgação e proteção de informações de saúde individualmente identificáveis. Aplica-se a entidades cobertas—consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde—que têm acesso a informações de saúde protegidas de pacientes (PHI), além de parceiros de negócios—como serviços na nuvem e provedores de TI—que processam PHI em nome deles.

O Microsoft Copilot Studio é coberto pelo BAA (Contrato de Associação Comercial) da HIPAA (Health Insurance Portability and Accountability Act).

Você pode criar copilotos que lidam com informações de saúde protegidas quando sua organização está vinculada à HIPAA, como nos seguintes cenários em que o copiloto pode:

  • Pedir às pessoas que forneçam informações sobre sua saúde (pressão arterial, peso e assim por diante).
  • Coletar informações de saúde e informações de identificação pessoal, como o endereço IP ou endereço de email do cliente.

Nota

Embora o Copilot Studio seja coberto pela HIPAA, ele ainda não foi projetado para uso como um dispositivo médico. Consulte o aviso de isenção de responsabilidade sobre o uso pretendido do Copilot Studio e dispositivos médicos.

Saiba mais sobre a HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST é uma organização governada por representantes do setor de saúde.

A HITRUST criou e mantém a Common Security Framework (CSF), uma estrutura certificável para ajudar as organizações de saúde e seus provedores a demonstrar sua segurança e conformidade de forma consistente.

O CSF se baseia na HIPAA e HITECH, que são leis de saúde dos EUA que estabeleceram requisitos para o uso, divulgação e proteção de informações de saúde individualmente identificáveis e impõem a não conformidade.

A HITRUST fornece parâmetros de comparação — uma estrutura de conformidade padronizada, avaliação e processo de certificação — em relação a quais provedores de serviços de nuvem e entidades de saúde cobertas podem medir a conformidade.

Saiba mais sobre a HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

O FedRAMP foi estabelecido para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob a lei Federal Information Security Management Act (FISMA) e para acelerar a adoção de soluções seguras em nuvem por agências federais.

Os serviços de nuvem governamentais da Microsoft atendem aos requisitos do FedRAMP.

Ao implantar serviços protegidos, incluindo Azure Government, Office 365 do Governo dos EUA e Dynamics 365 Government, as agências federais e de defesa podem usar uma ampla gama de serviços compatíveis.

Saiba mais sobre o FedRAMP.

Conformidade do SOC

SOC é um método para garantir a regulação de controle dentro de um serviço. O Microsoft Copilot Studio foi auditado para estar em conformidade com SOC.

Os relatórios de auditoria SOC estão disponíveis no Portal de Confiança de Serviço da Microsoft.

Saiba mais sobre o SOC.

Conformidade do ISO

O Microsoft Copilot Studio é compatível com os padrões ISO listados na tabela a seguir. Os relatórios de auditoria de cada um estão disponíveis no Portal de Confiança de Serviço da Microsoft.

Standard Nome do relatório e certificado Link para o padrão (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO9001 e relatório de avaliação ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO20000-1 e relatório de avaliação ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO20000-1 e relatório de avaliação ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO27001 e 27701 e Microsoft Azure, Dynamics 365 e outro serviço online - ISO27001, 27018, 27017, 27701, relatório de avaliação ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO27017 e Microsoft Azure, Dynamics 365 e outro serviço online - ISO27001, 27018, 27017, 27701, relatório de avaliação ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO27018 e Microsoft Azure, Dynamics 365 e outro serviço online - ISO27001, 27018, 27017, 27701, relatório de avaliação ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 e outro serviço online - Certificado ISO27701 e Microsoft Azure, Dynamics 365 e outro serviço online - ISO27001, 27018, 27017, 27701, relatório de avaliação ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

Os PCI DSS (Payment Card Industry Data Security Standards) formam um padrão global de segurança de informações projetado para evitar fraudes por meio de um maior controle dos dados do cartão de crédito.

Organizações de todos os tamanhos devem seguir os PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de cartão de crédito:

  • Visa
  • MasterCard
  • American Express
  • Descobrir
  • Japan Credit Bureau (JCB).

A conformidade com os PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de pagamento e do titular do cartão.

Saiba mais sobre os PCI DSS.

The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

No site do CSA STAR:

  • O Security Trust Assurance and Risk (STAR) Program engloba princípios-chave de transparência, auditoria rigorosa e harmonização de padrões. As empresas que usam o STAR indicam as melhores práticas e validam a postura de segurança de suas ofertas na nuvem.

    O registro do STAR documenta os controles de segurança e privacidade fornecidos por ofertas populares de computação em nuvem. Esse registro publicamente acessível permite que os clientes da nuvem avaliem seus provedores de segurança para tomar as melhores decisões de compra.

O Microsoft Copilot Studio foi auditado para estar em conformidade com CSA STAR.

Saiba mais sobre os CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) é uma iniciativa do governo do Reino Unido para facilitar a aquisição de serviços de nuvem por departamentos governamentais e promover a adoção da computação em nuvem por todo o governo.

G-Cloud compreende uma série de acordos de estrutura com fornecedores de serviços em nuvem (como a Microsoft) e uma lista de seus serviços em uma loja online, o Digital Marketplace. Isso permite que as organizações do setor público comparem e adquiram esses serviços sem ter que fazer seu próprio processo de revisão completo.

A inclusão no Digital Marketplace requer uma autocertificação de conformidade, seguida por uma verificação realizada pela filial do Government Digital Service (GDS) a seu critério.

Saiba mais sobre o G-Cloud.

Outsourced Service Provider’s Audit Report (OSPAR)

A estrutura OSPAR foi estabelecida pela Association of Banks in Singapore (ABS), que formulou diretrizes de segurança de TI para provedores de serviços terceirizados (outsourced service providers, OSPs) que buscam fornecer serviços às instituições financeiras de Cingapura. As diretrizes da ABS têm como objetivo auxiliar as instituições financeiras a compreender as abordagens de acompanhamento adequado, gerenciamento de fornecedores e controles técnicos e organizacionais importantes que devem ser implementados em acordos de terceirização de nuvem, especialmente para cargas de trabalho materiais.

O Microsoft Copilot Studio tem atestado OSPAR.

Saiba mais sobre a OSPR da ABS.

Korea-Information Security Management System (K-ISMS)

K-ISMS é uma estrutura ISMS específica do país/região que define um conjunto rigoroso de requisitos de controle projetados para ajudar a garantir que as organizações na Coreia protejam de forma consistente e segura seus ativos de informações.

Saiba mais sobre a ISMS (Coreia do Sul).

Singapore Multi-Tier Cloud Security (MTCS) Level 3

O padrão MTCS para Cingapura foi preparado sob a direção do Information Technology Standards Committee (ITSC) da Infocomm Development Authority of Singapore (IDA).

O ITSC promove e facilita programas nacionais para padronizar TI e comunicações, e a participação de Cingapura em atividades de padronização internacional.

Saiba mais sobre o MTCS.

Medidas de segurança de alto nível do Esquema Nacional de Seguridad (ENS) da Espanha

Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu uma estrutura legal para conceder aos cidadãos acesso eletrônico ao governo e aos serviços públicos. Esta lei é a base do Esquema Nacional de Seguridad, que é regido pelo Real Decreto (RD) 3/2010.

O objetivo da estrutura é construir confiança no fornecimento de serviços eletrônicos e garantir o acesso, integridade, disponibilidade, autenticidade, confidencialidade, rastreabilidade e preservação de dados, informações e serviços.

Saiba mais sobre o ENS.