Garantir a conformidade com o Copilot Studio
No cenário digital atual, a conformidade é mais crítica do que nunca. As organizações devem aderir a vários regulamentos e padrões para proteger dados confidenciais, manter a confiança do cliente e evitar repercussões legais. Um aspecto fundamental da conformidade é garantir a residência dos dados, o que envolve o armazenamento e o processamento de dados dentro de limites geográficos específicos. O Microsoft Copilot Studio oferece recursos avançados para ajudar as organizações a atender a requisitos críticos de conformidade, especialmente em termos de residência de dados geográficos.
Por que a conformidade é importante
- Requisitos legais: país/região com leis rigorosas de proteção de dados que determinam onde os dados podem ser armazenados e processados. O não cumprimento pode resultar em multas pesadas e ações judiciais.
- Confiança do cliente: a adesão aos padrões de conformidade demonstra um compromisso com a segurança dos dados, o que pode aumentar a confiança e a lealdade do cliente.
- Gerenciamento de riscos: a conformidade ajuda a identificar e reduzir riscos associados a violações de dados e acesso não autorizado.
- Eficiência operacional: seguir diretrizes de conformidade pode simplificar processos e melhorar a eficiência operacional geral.
O Copilot Studio é projetado com conformidade em seu núcleo e é um Serviço Onlineconforme definido nos Termos de Serviços Online (OST). É compatível ou coberto por:
- Cobertura da lei americana HIPAA (Health Insurance Portability and Accountability Act)
- Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
- Federal Risk and Authorization Management Program (FedRAMP)
- System and Organization Controls (SOC)
- Várias certificações da International Organization for Standardization (ISO)
- Payment Card Industry (PCI) Data Security Standard (DSS)
- The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
- United Kingdom Government Cloud (G-Cloud)
- Outsourced Service Provider’s Audit Report (OSPAR)
- Korea-Information Security Management System (K-ISMS)
- Singapore Multi-Tier Cloud Security (MTCS) Level 3
- Medidas de segurança de alto nível do Esquema Nacional de Seguridad (ENS) da Espanha
Cobertura da lei americana HIPAA (Health Insurance Portability and Accountability Act)
HIPAA é uma lei de saúde dos Estados Unidos que estabelece requisitos para o uso, divulgação e proteção de informações de saúde individualmente identificáveis. Aplica-se a entidades cobertas—consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde—que têm acesso a informações de saúde protegidas de pacientes (PHI), além de parceiros de negócios—como serviços na nuvem e provedores de TI—que processam PHI em nome deles.
O Microsoft Copilot Studio é coberto pelo BAA (Contrato de Associação Comercial) da HIPAA (Health Insurance Portability and Accountability Act).
Você pode criar agentes que lidam com informações de saúde protegidas quando sua organização está vinculada à HIPAA, como nos seguintes cenários em que o agente pode:
- Pedir às pessoas que forneçam informações sobre sua saúde (pressão arterial, peso e assim por diante).
- Coletar informações de saúde e informações de identificação pessoal, como o endereço IP ou endereço de email do cliente.
Nota
Embora o Copilot Studio seja coberto pela HIPAA, ele ainda não foi projetado para uso como um dispositivo médico. Consulte o aviso de isenção de responsabilidade sobre o uso pretendido do Copilot Studio e dispositivos médicos.
Health Information Trust Alliance (HITRUST)
HITRUST é uma organização governada por representantes do setor de saúde.
A HITRUST criou e mantém a Common Security Framework (CSF), uma estrutura certificável para ajudar as organizações de saúde e seus provedores a demonstrar sua segurança e conformidade de forma consistente.
O CSF se baseia na HIPAA e HITECH, que são leis de saúde dos EUA que estabeleceram requisitos para o uso, divulgação e proteção de informações de saúde individualmente identificáveis e impõem a não conformidade.
A HITRUST fornece parâmetros de comparação — uma estrutura de conformidade padronizada, avaliação e processo de certificação — em relação a quais provedores de serviços de nuvem e entidades de saúde cobertas podem medir a conformidade.
Federal Risk and Authorization Management Program (FedRAMP)
O FedRAMP foi estabelecido para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob a lei Federal Information Security Management Act (FISMA) e para acelerar a adoção de soluções seguras em nuvem por agências federais.
Os serviços de nuvem governamentais da Microsoft atendem aos requisitos do FedRAMP.
Ao implantar serviços protegidos, incluindo Azure Government, Office 365 do Governo dos EUA e Dynamics 365 Government, as agências federais e de defesa podem usar uma ampla gama de serviços compatíveis.
Conformidade do SOC
SOC é um método para garantir a regulação de controle dentro de um serviço. O Microsoft Copilot Studio foi auditado para estar em conformidade com SOC.
Os relatórios de auditoria SOC estão disponíveis no Portal de Confiança de Serviço da Microsoft.
Conformidade do ISO
O Microsoft Copilot Studio é compatível com os padrões ISO listados na tabela a seguir. Os relatórios de auditoria de cada um estão disponíveis no Portal de Confiança de Serviço da Microsoft.
Payment Card Industry (PCI) Data Security Standard (DSS)
Os PCI DSS (Payment Card Industry Data Security Standards) formam um padrão global de segurança de informações projetado para evitar fraudes por meio de um maior controle dos dados do cartão de crédito.
Organizações de todos os tamanhos devem seguir os PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de cartão de crédito:
- Visa
- MasterCard
- American Express
- Descobrir
- Japan Credit Bureau (JCB).
A conformidade com os PCI DSS é necessária para qualquer organização que armazene, processe ou transmita dados de pagamento e do titular do cartão.
The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
No site do CSA STAR:
O Security Trust Assurance and Risk (STAR) Program engloba princípios-chave de transparência, auditoria rigorosa e harmonização de padrões. As empresas que usam o STAR indicam as melhores práticas e validam a postura de segurança de suas ofertas na nuvem.
O registro do STAR documenta os controles de segurança e privacidade fornecidos por ofertas populares de computação em nuvem. Esse registro publicamente acessível permite que os clientes da nuvem avaliem seus provedores de segurança para tomar as melhores decisões de compra.
O Microsoft Copilot Studio foi auditado para estar em conformidade com CSA STAR.
United Kingdom Government Cloud (G-Cloud)
Government Cloud (G-Cloud) é uma iniciativa do governo do Reino Unido para facilitar a aquisição de serviços de nuvem por departamentos governamentais e promover a adoção da computação em nuvem por todo o governo.
G-Cloud compreende uma série de acordos de estrutura com fornecedores de serviços em nuvem (como a Microsoft) e uma lista de seus serviços em uma loja online, o Digital Marketplace. Isso permite que as organizações do setor público comparem e adquiram esses serviços sem ter que fazer seu próprio processo de revisão completo.
A inclusão no Digital Marketplace requer uma autocertificação de conformidade, seguida por uma verificação realizada pela filial do Government Digital Service (GDS) a seu critério.
Outsourced Service Provider’s Audit Report (OSPAR)
A estrutura OSPAR foi estabelecida pela Association of Banks in Singapore (ABS), que formulou diretrizes de segurança de TI para provedores de serviços terceirizados (outsourced service providers, OSPs) que buscam fornecer serviços às instituições financeiras de Cingapura. As diretrizes da ABS têm como objetivo auxiliar as instituições financeiras a compreender as abordagens de acompanhamento adequado, gerenciamento de fornecedores e controles técnicos e organizacionais importantes que devem ser implementados em acordos de terceirização de nuvem, especialmente para cargas de trabalho materiais.
O Microsoft Copilot Studio tem atestado OSPAR.
Korea-Information Security Management System (K-ISMS)
K-ISMS é uma estrutura ISMS específica para cada país/região que define um conjunto rigoroso de requisitos de controle projetados para ajudar a garantir que as organizações na Coreia gerenciem seus ativos de informação de forma consistente e segura.
Saiba mais sobre o ISMS (Coreia).
Singapore Multi-Tier Cloud Security (MTCS) Level 3
O padrão MTCS para Cingapura foi preparado sob a direção do Information Technology Standards Committee (ITSC) da Infocomm Development Authority of Singapore (IDA).
O ITSC promove e facilita programas nacionais para padronizar TI e comunicações, e a participação de Cingapura em atividades de padronização internacional.
Medidas de segurança de alto nível do Esquema Nacional de Seguridad (ENS) da Espanha
Em 2007, o governo espanhol promulgou a Lei 11/2007, que estabeleceu uma estrutura legal para conceder aos cidadãos acesso eletrônico ao governo e aos serviços públicos. Esta lei é a base do Esquema Nacional de Seguridad, que é regido pelo Real Decreto (RD) 3/2010.
O objetivo da estrutura é construir confiança no fornecimento de serviços eletrônicos e garantir o acesso, integridade, disponibilidade, autenticidade, confidencialidade, rastreabilidade e preservação de dados, informações e serviços.