Säkerställ regelefterlevnad med Copilot Studio

  • Artikel

I dagens digitala miljö är regelefterlevnad viktigare än någonsin tidigare. Organisationer måste följa olika regler och standarder för att skydda data, bevara kundernas förtroende och undvika juridiska problem. En viktig aspekt av regelefterlevnad är att säkerställa datahemvisten, vilket omfattar att lagra och bearbeta data inom specifika geografiska gränser. Microsoft Copilot Studio omfattar robusta funktioner som hjälper organisationer att uppfylla viktiga krav på regelefterlevnad, särskilt när det gäller geografisk datahemvist.

Varför är regelefterlevnad viktigt?

  1. Juridiska krav: I många länder finns dataskyddslagar som reglerar var data kan lagras och bearbetas. Bristande regelefterlevnad kan leda till höga böter och juridiska åtgärder.
  2. Kundförtroende: Att följa efterlevnadsstandarder visar att organisationen tar datasäkerheten på allvar, vilket kan öka kundernas förtroende och lojalitet.
  3. Riskhantering: Regelefterlevnad hjälper till att identifiera och mildra risker som berör dataintrång och obehörig åtkomst.
  4. Effektivitet i verksamheten: Genom att följa riktlinjer för regelefterlevnad kan processer rationaliseras och den övergripande effektiviteten förbättras.

Copilot Studio följer sådana regler i grunden och är en onlinetjänst på det sätt som definieras i villkoren för onlinetjänster. Lösningen följer eller omfattas av:

  • HIPAA (Health Insurance Portability and Accountability Act) disponering
  • Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • System and Organization Controls (SOC)
  • Olika ISO-certifieringar (International Organization for Standardization)
  • Payment Card Industry (PCI) Data Security Standard (DSS)
  • Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • United Kingdom Government Cloud (G-Cloud)
  • Outsourced Service Provider’s Audit Report (OSPAR)
  • Korea-Information Security Management System (K-ISMS)
  • Singapore Multi-Tier Cloud Security (MTCS) nivå 3
  • Spaniens Esquema Nacional de Seguridad (ENS) Säkerhetsåtgärder på hög nivå

HIPAA (Health Insurance Portability and Accountability Act) disponering

HIPAA är en amerikansk sjukvårdslag som upprättar krav beträffande användning, avslöjande och skydd av individuellt identifierbara hälsouppgifter. Den gäller enheter som omfattas – läkarmottagningar, sjukhus, hälsoförsäkringsgivare och andra sjukvårdsföretag – som har åtkomst till patienternas skyddade hälsoinformation (PHI), utöver affärspartner– som molntjänster och IT-leverantörer – som bearbetar PHI för deras räkning.

Microsoft Copilot Studio omfattas av Health Insurance Portability and Accountability Act (HIPAA) Business Associate Agreement (BAA).

Du kan skapa copilots som hanterar skyddad hälsoinformation när organisationen är bunden av HIPAA, som i följande situationer där copilot kan:

  • Be personer att tillhandahålla hälsoinformation (blodtryck, vikt osv.).
  • Samla in hälsoinformation och personligt identifierbar information, t ex. kundens IP-adress eller e-postadress.

Kommentar

Även om Copilot Studio följer HIPAA är det fortfarande inte avsett att användas som medicinsk utrustning. Se ansvarsfriskrivningen om den avsedda användningen av Copilot Studio och medicinsk utrustning.

Läs mer om HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST är en organisation som styrs av företrädare för hälso- och sjukvårdssektorn.

HITRUST har skapat och upprätthåller Common Security Framework (CSF), ett certifierbart ramverk för att hjälpa hälso- och sjukvårdsorganisationer och deras leverantörer att de är konsekventa och att de följer reglerna.

CSF bygger på HIPAA och HITECH-lagen, som är amerikanska hälso- och sjukvårdslagar som har fastställt krav för användning, avslöjande och spridning av individuellt identifierbar hälsoinformation och framtvingar bristande efterlevnad.

HITRUST är ett riktmärke – ett standardiserat ramverk för regelefterlevnad, utvärdering och certifieringsprocess – mot vilket molntjänstleverantörer och omfattade hälsoentiteter kan mäta efterlevnad.

Läs mer om HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP grundades för att tillhandahålla ett standardiserat tillvägagångssätt för att bedöma, övervaka och auktorisera molndataprodukter och -tjänster enligt Federal Information Security Management Act (FISMA) och för att påskynda införandet av säkra molnlösningar av federala myndigheter.

Microsofts molntjänster för myndigheter uppfyller kraven från FedRAMP.

Genom att distribuera skyddade tjänster, inklusive Azure Government, Office 365 US Government och Dynamics 365 Government, federala myndigheter och myndigheter för myndigheter, kan du få en mängd kompatibla tjänster.

Läs mer om FedRAMP.

SOC-efterlevnad

SOC är en metod för att säkerställa kontrollreglering inom en tjänst. Microsoft Copilot Studio har granskats och är kompatibel med SOC.

SOC granskningsrapporter är tillgängliga från Microsoft Service Trust Portal.

Läs mer om SOC.

ISO-efterlevnad

Microsoft Copilot Studio är kompatibel med ISO-standarderna som visas i följande tabell. Granskningsrapporter för var och en är tillgängliga från Microsoft Service Trust Portal.

Standard Namn på rapport och intyg Länk till standard (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO9001-intyg och utvärderingsrapport ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO20000-1-intyg och utvärderingsrapport ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO20000-1-intyg och utvärderingsrapport ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27001- och 27701-intyg och Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27001-, 27018-, 27017-, 27701-utvärderingsrapport ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27017- intyg och Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27001-, 27018-, 27017-, 27701-utvärderingsrapport ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27018- intyg och Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27001-, 27018-, 27017-, 27701-utvärderingsrapport ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27701- intyg och Microsoft Azure, Dynamics 365 och andra onlinetjänster – ISO27001-, 27018-, 27017-, 27701-utvärderingsrapport ISO/IEC 27701:2019

Payment Card Industry (PCI) Data Security Standard (DSS)

Payment Card Industry (PCI) Data Security Standards (DSS) bildar en global informationssäkerhetsstandard utformad för att förhindra bedrägerier genom ökad kontroll av kreditkortsdata.

Organisationer av alla storlekarna måste följa PCI DSS -standarderna om de accepterar kreditkort från de fem större kreditkortsutbetalningarna:

  • Visa
  • MasterCard
  • American Express
  • Upptäck
  • Japan Credit Bureau (JCB).

Överensstämmelse med CI DSS krävs för alla organisationer som lagrar, bearbetar eller överför betalnings- och kortdata.

Läs mer om PCI DSS.

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Från webbplatsen CSA STAR:

  • Med STAR-programmet (Security Trust Assurance and Risk) får du viktiga principer för öppenhet, rigorös granskning och harmonisering av standarderna. Företag som använder STAR visar bästa praxis och validerar säkerheten för sina molnerbjudanden.

    I STAR-registret dokumenteras säkerhets- och sekretesskontroller som tillhandahålls av populära molnbaserade erbjudanden. Med det här offentligt tillgängliga registret kan molnkunder utvärdera sina säkerhetsproviders för att fatta de bästa inköpsbesluten.

Microsoft Copilot Studio har granskats och är kompatibelt med CSA STAR.

Läs mer om CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) är en brittisk statlig myndighet som vill underlätta upphandling av molntjänster av myndigheter och främja regeringsomfattande antagande av molndator.

G-Cloud förser en rad licensavtal med molntjänstleverantörer (till exempel Microsoft) och en lista över deras tjänster i en onlinebutik, den digitala marknadsplatsen. De gör det möjligt för offentliga organisationer att jämföra och ta hjälp av tjänster utan att behöva göra en egen fullständig granskningsprocess.

Inkludering på den digitala marknaden kräver ett självintyg om efterlevnad, följt av en verifiering utförd av myndigheten Digital Digital Service (GDS) efter eget gottfinnande.

Läs mer om G-Cloud.

Outsourced Service Provider’s Audit Report (OSPAR)

OSPAR-ramverket inrättades av Association of Banks in Singapore (ABS), som formulerade IT-säkerhetsriktlinjer för outsourcade tjänsteleverantörer (OSP) som försöker tillhandahålla tjänster till Singapores finansinstitut. ABS-riktlinjerna är avsedda att hjälpa finansinstitut att förstå tillvägagångssätt för noggrannhet, leverantörshantering och viktiga tekniska och organisatoriska kontroller som ska implementeras i utkontraktering av moln, särskilt för materiella arbetsbelastningar.

Microsoft Copilot Studio har OSPAR-intyg.

Lär dig mer om ABS OSPR.

Korea-Information Security Management System (K-ISMS)

K-ISMS är ett lands-/regionspecifikt ISMS-ramverk som definierar en sträng uppsättning kontrollkrav som är utformade för att säkerställa att organisationer i Korea konsekvent och säkert skyddar sina informationstillgångar.

Läs mer om ISMS (Korea).

Singapore Multi-Tier Cloud Security (MTCS) nivå 3

MTCS-standarden för Singapore utarbetades under ledning av Information Technology Standards Committee (ITSC) från Infocomm Development Authority of Singapore (IDA).

ITSC gör det lättare för nationella program att standardisera IT och kommunikation samt Singapores deltagande i internationella standardiserande aktiviteter.

Läs mer om MTCS.

Spaniens Esquema Nacional de Seguridad (ENS) Säkerhetsåtgärder på hög nivå

2007 antog den spanska regeringen lag 11/2007, som skapade en rättslig ram för att ge medborgarna elektronisk tillgång till offentliga och offentliga tjänster. Denna lag är grunden för Esquema Nacional de Seguridad (Nationellt säkerhetsramverk), som regleras av kungligt dekret (RD) 3/2010.

Målet med ramverket är att bygga upp förtroende för tillhandahållande av elektroniska tjänster och säkerställa åtkomst, integritet, tillgänglighet, autenticitet, sekretess, spårning och förtjänst för data, information och tjänster.

Läs mer om ENS.