Partager via


Garantir la conformité avec Copilot Studio

Dans le paysage numérique actuel, la conformité est plus importante que jamais. Les organisations doivent adhérer à diverses réglementations et normes pour protéger les données sensibles, maintenir la confiance des clients et éviter les répercussions juridiques. L’un des aspects clés de la conformité est de garantir la résidence des données, ce qui implique de les stocker et de les traiter dans des limites géographiques spécifiques. Microsoft Copilot Studio offre des fonctionnalités robustes pour aider les organisations à répondre aux exigences de conformité critiques, en particulier en termes de résidence géographique des données.

Pourquoi la conformité est-elle importante ?

  1. Exigences légales : de nombreux pays disposent de lois strictes en matière de protection des données qui établissent l’emplacement où les données peuvent être stockées et traitées. Le non-respect peut entraîner de lourdes amendes et des poursuites judiciaires.
  2. Confiance des clients : le respect des normes de conformité démontre un engagement envers la sécurité des données, ce qui peut renforcer la confiance et la fidélité des clients.
  3. Gestion des risques : la conformité aide à identifier et à atténuer les risques associés aux violations de données et à l’accès non autorisé.
  4. Efficacité opérationnelle : le respect des directives de conformité peut rationaliser les processus et améliorer l’efficacité opérationnelle générale.

Copilot Studio est conçu en mettant l’accent sur la conformité et est un Service en ligne tel que défini dans les Conditions des services en Ligne (OST). Il est conforme ou couvert par :

  • La couverture par la loi américaine sur l’assurance maladie (HIPAA, Health Insurance Portability and Accountability Act)
  • Cadre de sécurité commun (CSF) de la Health Information Trust Alliance (HITRUST)
  • Federal Risk and Authorization Management Program (FedRAMP)
  • Contrôles d’organisation et de Système (SOC)
  • Diverses certifications de l’Organisation internationale de normalisation (ISO)
  • Norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI)
  • La Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
  • Royaume-Uni Gouvernement Cloud (G-Cloud)
  • Rapport d’audit du fournisseur de services externalisés (OSPAR)
  • Corée – Système de gestion de la sécurité de l’information (K-ISMS)
  • Singapour – Sécurité du cloud à plusieurs niveaux (MTCS) Niveau 3
  • Espagne – Esquema Nacional de Seguridad (ENS) Mesures de sécurité de haut niveau

La couverture par la loi américaine sur l’assurance maladie (HIPAA, Health Insurance Portability and Accountability Act)

HIPAA est une loi sur la santé des États-Unis qui établit les exigences relatives à l’utilisation, à la divulgation et à la protection des informations de santé identifiables individuellement. Elle s’applique aux entités couvertes (cabinets de médecins, hôpitaux, assureurs maladie et autres organismes de soins de santé) qui ont accès aux informations de santé protégées des patients (PHI), en plus des associés commerciaux (services cloud et fournisseurs informatiques) qui traitent les PHI.

Microsoft Copilot Studio est couvert par l’accord d’associé commercial (BAA) de la loi HIPAA (Health Insurance Portability and Accountability Act).

Vous pouvez créer des copilotes qui gèrent les informations de santé protégées lorsque votre organisation est liée par HIPAA, comme dans les scénarios suivants où le copilote peut :

  • Demander aux individus de fournir leurs informations de santé (tension artérielle, poids, etc.).
  • Capturer les informations de santé et les informations d’identification personnelle, telles que l’adresse IP ou l’adresse e-mail du client.

Note

Bien que Copilot Studio est couvert par la HIPAA, il n’est toujours pas destiné à être utilisé comme dispositif médical. Voir l’avertissement sur l’utilisation prévue de Copilot Studio et des équipements médicaux.

En savoir plus sur HIPAA.

Health Information Trust Alliance (HITRUST)

HITRUST est une organisation dirigée par des représentants de l’industrie de la santé.

HITRUST a créé et maintient le Common Security Framework (CSF), un cadre certifiable pour aider les organisations de soins de santé et leurs prestataires à démontrer leur sécurité et leur conformité de manière cohérente.

Le CSF s’appuie sur la HIPAA et la HITECH Act, qui sont des lois américaines sur la santé qui ont établi des exigences pour l’utilisation, la divulgation et la protection des informations de santé identifiables individuellement et appliquent la non-conformité.

HITRUST offre une référence (un cadre de conformité normalisé, un processus d’évaluation et de certification) par rapport à laquelle les fournisseurs de services cloud et les entités de santé couvertes peuvent mesurer la conformité.

En savoir plus sur HITRUST.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP a été créé pour fournir une approche standardisée pour évaluer, surveiller et autoriser les produits et services de cloud computing en vertu de la loi fédérale sur la gestion de la sécurité de l’information (FISMA) et pour accélérer l’adoption de solutions cloud sécurisées par les agences fédérales.

Les services cloud gouvernementaux de Microsoft répondent aux exigences de FedRAMP.

En déployant des services protégés dont Azure Government, Office 365 pour le secteur public américain et Dynamics 365 Government, les agences fédérales et de défense peuvent utiliser un large éventail de services conformes.

En savoir plus sur FedRAMP.

Conformité au contrat SOC

Le SOC est une méthode pour assurer la régulation du contrôle au sein d’un service. Microsoft Copilot Studio a été audité pour être conforme au SOC.

Les rapports d’audit SOC sont disponibles sur le Portail d’approbation de services Microsoft.

En savoir plus sur les SOC

Conformité au contrat ISO

Microsoft Copilot Studio est conforme aux normes ISO répertoriées dans le tableau suivant. Les rapports d’audit pour chacun sont disponibles sur le Portail d’approbation de services Microsoft.

Standard Nom du rapport et du certificat Lien vers la norme (www.iso.org)
ISO 9001:2015 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO9001 et rapport d’évaluation ISO 9001:2015
ISO 20000-1:2011 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO20000-1 et rapport d’évaluation ISO/IEC 20000-1:2011
ISO 22301:2012 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO20000-1 et rapport d’évaluation ISO/IEC 22301:2012
ISO 27001:2013 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO27001 et 27701 et Microsoft Azure, Dynamics 365 et autres services en ligne - Rapport d’évaluation ISO27001, 27018, 27017, 27701 ISO/IEC 27001:2013
ISO 27017:2015 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO27017 et 27701 et Microsoft Azure, Dynamics 365 et autres services en ligne - Rapport d’évaluation ISO27001, 27018, 27017, 27701 ISO/IEC 27017:2015
ISO 27018:2019 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO27018 et 27701 et Microsoft Azure, Dynamics 365 et autres services en ligne - Rapport d’évaluation ISO27001, 27018, 27017, 27701 ISO/IEC 27018:2019
ISO 27701:2019 Microsoft Azure, Dynamics 365 et autres services en ligne - Certificat ISO27701 et 27701 et Microsoft Azure, Dynamics 365 et autres services en ligne - Rapport d’évaluation ISO27001, 27018, 27017, 27701 ISO/IEC 27701:2019

Norme de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI)

Les normes de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) constituent une norme mondiale de sécurité des informations conçue pour empêcher la fraude grâce à un contrôle accru des données de carte de crédit.

Les organisations de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de cartes de crédit :

  • Visa
  • MasterCard
  • American Express
  • Découvrir
  • Bureau de crédit du Japon (JCB).

La conformité à la norme PCI DSS est requise pour toute organisation qui stocke, traite ou transmet des données de paiement et de titulaire de carte.

En savoir plus sur PCI DSS.

La Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Du site Web CSA STAR :

  • Le programme Security Trust Assurance and Risk (STAR) englobe des principes clés de transparence, d’audit rigoureux et d’harmonisation des normes. Les entreprises qui utilisent STAR indiquent les meilleures pratiques et valident la posture de sécurité de leurs offres cloud.

    Le registre STAR documente les contrôles de sécurité et de confidentialité fournis par les offres de cloud computing populaires. Ce registre accessible au public permet aux clients du cloud d’évaluer leurs fournisseurs de sécurité afin de prendre les meilleures décisions d’achat.

Microsoft Copilot Studio a été audité pour être conforme au CSA STAR.

En savoir plus sur CSA STAR.

Royaume-Uni Gouvernement Cloud (G-Cloud)

Le cloud pour le secteur public (G-Cloud) est une initiative du gouvernement britannique visant à faciliter l’achat de services cloud par les ministères et à promouvoir l’adoption du cloud computing à l’échelle du gouvernement.

G-Cloud comprend une série d’accords-cadres avec des fournisseurs de services cloud (tels que Microsoft) et une liste de leurs services dans une boutique en ligne, le Digital Marketplace. Ceux-ci permettent aux organisations du secteur public de comparer et de s’approvisionner de ces services sans avoir à effectuer leur propre processus d’examen complet.

L’inclusion dans le marché numérique nécessite une auto-attestation de conformité, suivie d’une vérification effectuée par la branche Service numérique du gouvernement (GDS) à sa discrétion.

En savoir plus sur G-Cloud.

Rapport d’audit du fournisseur de services externalisés (OSPAR)

Le cadre OSPAR a été établi par l’Association des banques de Singapour (ABS), qui a formulé des directives de sécurité informatique pour les fournisseurs de services externalisés (OSP) qui cherchent à fournir des services aux institutions financières de Singapour. Les directives ABS sont destinées à aider les institutions financières à comprendre les approches de la diligence raisonnable, de la gestion des fournisseurs et des contrôles techniques et organisationnels clés qui devraient être mis en œuvre dans les accords d’externalisation du cloud, en particulier pour les charges de travail importantes.

Microsoft Copilot Studio a une attestation OSPAR.

En savoir plus sur l’ABS OSPR.

Corée – Système de gestion de la sécurité de l’information (K-ISMS)

K-ISMS est un cadre ISMS spécifique au pays/à la région qui définit un ensemble strict d’exigences de contrôle conçues pour aider à garantir que les organisations en Corée protègent de manière cohérente et sécurisée leurs actifs informationnels.

En savoir plus sur l’ISMS (Corée).

Singapour – Sécurité du cloud à plusieurs niveaux (MTCS) Niveau 3

La norme MTCS pour Singapour a été préparée sous la direction de l’Information Technology Standards Committee (ITSC) de l’Infocomm Development Authority de Singapour (IDA).

L’ITSC promeut et facilite les programmes nationaux de normalisation des technologies de l’information et des communications, ainsi que la participation de Singapour aux activités internationales de normalisation.

En savoir plus sur les MTCS

Espagne – Esquema Nacional de Seguridad (ENS) Mesures de sécurité de haut niveau

En 2007, le gouvernement espagnol a promulgué la loi 11/2007, qui a établi un cadre juridique pour donner aux citoyens un accès électronique aux services gouvernementaux et publics. Cette loi est la base de l’Esquema Nacional de Seguridad (Cadre de sécurité nationale), qui est régie par le décret royal (RD) 3/2010.

L’objectif du cadre est de renforcer la confiance dans la fourniture de services électroniques et d’assurer l’accès, l’intégrité, la disponibilité, l’authenticité, la confidentialité, la traçabilité et la préservation des données, des informations et des services.

En savoir plus sur les ENS