Đảm bảo tuân thủ các quy định của Copilot Studio

Trong bối cảnh kỹ thuật số hiện nay, việc tuân thủ quy định trở nên quan trọng hơn bao giờ hết. Các tổ chức phải tuân thủ nhiều quy định và tiêu chuẩn khác nhau để bảo vệ dữ liệu nhạy cảm, duy trì lòng tin của khách hàng và tránh những hậu quả pháp lý. Một khía cạnh quan trọng của việc tuân thủ là đảm bảo nơi lưu trữ dữ liệu, bao gồm việc lưu trữ và xử lý dữ liệu trong các phạm vi địa lý cụ thể. Microsoft Copilot Studio cung cấp các tính năng mạnh mẽ giúp những tổ chức đáp ứng các yêu cầu tuân thủ quan trọng, đặc biệt là về nơi lưu trữ dữ liệu theo địa lý.

Tại sao việc tuân thủ quy định lại quan trọng?

• Yêu cầu pháp lý: Nhiều quốc gia có luật bảo vệ dữ liệu nghiêm ngặt quy định nơi dữ liệu có thể được lưu trữ và xử lý. Việc không tuân thủ có thể dẫn đến các khoản phạt nặng và những hành động pháp lý.
• Lòng tin của khách hàng: Tuân thủ các tiêu chuẩn tuân thủ thể hiện cam kết về bảo mật dữ liệu, điều này có thể nâng cao lòng tin và sự trung thành của khách hàng.
• Quản lý rủi ro: Việc tuân thủ giúp xác định và giảm thiểu rủi ro liên quan đến vi phạm dữ liệu và truy cập trái phép.
• Hiệu quả hoạt động: Tuân thủ các hướng dẫn có thể giúp đơn giản hóa quy trình và cải thiện hiệu quả hoạt động tổng thể.

Copilot Studio được thiết kế với việc tuân thủ là cốt lõi và là một dịch vụ trực tuyến như được định nghĩa trong Điều khoản Dịch vụ Trực tuyến (OST). Nó tuân thủ hoặc được bảo vệ bởi:

• Health Insurance Portability and Accountability Act (HIPAA)
• Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
• Federal Risk and Authorization Management Program (FedRAMP)
• System and Organization Controls (SOC)
• Various International Organization for Standardization (ISO) certifications
• Payment Card Industry (PCI) Data Security Standard (DSS)
• The Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
• United Kingdom Government Cloud (G-Cloud)
• Outsourced Service Provider's Audit Report (OSPAR)
• Korea-Information Security Management System (K-ISMS)
• Singapore Multi-Tier Cloud Security (MTCS) Level 3
• Các biện pháp bảo mật cấp cao Spain Esquema Nacional de Seguridad (ENS)

Health Insurance Portability and Accountability Act (HIPAA)

HIPAA là luật của Hoa Kỳ quy định các yêu cầu về việc sử dụng, tiết lộ và bảo vệ thông tin sức khỏe cá nhân có thể nhận dạng được. Điều khoản này áp dụng cho các tổ chức thuộc phạm vi điều chỉnh – phòng khám bác sĩ, bệnh viện, công ty bảo hiểm y tế và các công ty chăm sóc sức khỏe khác – có quyền truy cập vào thông tin sức khỏe được bảo mật của bệnh nhân (PHI), cũng như các đối tác kinh doanh – chẳng hạn như nhà cung cấp dịch vụ đám mây và CNTT – xử lý PHI thay mặt họ.

Microsoft Copilot Studio thuộc phạm vi điều chỉnh của Thỏa thuận Đối tác Kinh doanh (BAA) theo Đạo luật Bảo hiểm Y tế và Trách nhiệm Giải trình (HIPAA).

Bạn có thể tạo các agent xử lý thông tin sức khỏe được bảo mật khi tổ chức của bạn bị ràng buộc bởi HIPAA, như trong các trường hợp sau đây, agent có thể:

• Yêu cầu cá nhân cung cấp thông tin sức khỏe của họ (huyết áp, cân nặng, v.v...).
• Thu thập thông tin sức khỏe và thông tin nhận dạng cá nhân, chẳng hạn như địa chỉ IP hoặc địa chỉ email của khách hàng.

Health Information Trust Alliance (HITRUST)

HITRUST là một tổ chức được điều hành bởi các đại diện từ ngành chăm sóc sức khỏe.

HITRUST đã tạo ra và duy trì Common Security Framework (CSF), một framework được chứng nhận để giúp các tổ chức chăm sóc sức khỏe và những nhà cung cấp của họ chứng minh tính bảo mật và tuân thủ một cách nhất quán.

CSF được xây dựng dựa trên HIPAA và HITECH Act, là các luật chăm sóc sức khỏe của Hoa Kỳ đã thiết lập những yêu cầu về việc sử dụng, tiết lộ và bảo vệ thông tin sức khỏe có thể nhận dạng cá nhân và xử phạt hành vi không tuân thủ.

HITRUST cung cấp một tiêu chuẩn - một framework tuân thủ tiêu chuẩn hóa, quy trình đánh giá và chứng nhận- mà các nhà cung cấp dịch vụ đám mây và những tổ chức y tế được bảo hiểm có thể đo lường sự tuân thủ.

Federal Risk and Authorization Management Program (FedRAMP)

FedRAMP được thành lập để cung cấp một phương pháp tiêu chuẩn hóa để đánh giá, giám sát và ủy quyền các sản phẩm và dịch vụ điện toán đám mây theo Đạo luật Quản lý Bảo mật Thông tin Liên bang (FISMA) và để đẩy nhanh việc áp dụng các giải pháp đám mây an toàn của những cơ quan liên bang.

Các dịch vụ đám mây dành cho chính phủ của Microsoft đáp ứng những yêu cầu của FedRAMP.

Bằng cách triển khai các dịch vụ được bảo vệ, bao gồm Azure Government, Office 365 US Government và Dynamics 365 Government, những cơ quan liên bang và quốc phòng có thể sử dụng một loạt các dịch vụ tuân thủ tiêu chuẩn.

Tuân thủ SOC

SOC là một phương pháp đảm bảo kiểm soát và điều chỉnh trong một dịch vụ. Microsoft Copilot Studio đã được kiểm toán và tuân thủ SOC.

Báo cáo kiểm toán SOC có sẵn trên Microsoft Service Trust Portal.

Tuân thủ ISO

Microsoft Copilot Studio tuân thủ các tiêu chuẩn ISO được liệt kê trong bảng sau. Báo cáo kiểm toán cho từng tiêu chuẩn có sẵn trên Microsoft Service Trust Portal.

Payment Card Industry (PCI) Data Security Standard (DSS)

Payment Card Industry (PCI) Data Security Standards (DSS) là một tiêu chuẩn bảo mật thông tin toàn cầu được thiết kế để ngăn chặn gian lận thông qua việc tăng cường kiểm soát dữ liệu thẻ tín dụng.

Các tổ chức thuộc mọi quy mô phải tuân thủ những tiêu chuẩn PCI DSS nếu họ chấp nhận thanh toán bằng thẻ từ năm thương hiệu thẻ tín dụng lớn:

• Visa
• MasterCard
• American Express
• Discover
• Japan Credit Bureau (JCB)

Tuân thủ PCI DSS là bắt buộc đối với bất kỳ tổ chức nào lưu trữ, xử lý hoặc truyền tải dữ liệu thanh toán và dữ liệu chủ thẻ.

Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)

Theo trang web CSA STAR:

• Chương trình Security Trust Assurance and Risk (STAR) bao gồm các nguyên tắc chính về tính minh bạch, kiểm toán nghiêm ngặt và hài hòa những tiêu chuẩn. Các công ty sử dụng STAR cho biết những thực tiễn tốt nhất và xác thực tư thế bảo mật của các dịch vụ đám mây của họ.
• Tài liệu registry STAR ghi lại các biện pháp kiểm soát bảo mật và quyền riêng tư được cung cấp bởi những dịch vụ điện toán đám mây phổ biến. Registry công khai này cho phép khách hàng sử dụng dịch vụ đám mây đánh giá các nhà cung cấp bảo mật của họ để đưa ra quyết định mua sắm tốt nhất.

Microsoft Copilot Studio đã được kiểm định và tuân thủ tiêu chuẩn CSA STAR.

United Kingdom Government Cloud (G-Cloud)

Government Cloud (G-Cloud) là một sáng kiến ​​của chính phủ Vương quốc Anh nhằm đơn giản hóa việc mua sắm dịch vụ đám mây cho các bộ phận chính phủ và thúc đẩy việc áp dụng điện toán đám mây trên toàn chính phủ.

G-Cloud bao gồm một loạt các thỏa thuận framework với những nhà cung cấp dịch vụ đám mây (như Microsoft), và danh sách các dịch vụ của họ trong một cửa hàng trực tuyến, Digital Marketplace. Điều này cho phép các tổ chức thuộc khu vực công so sánh và mua sắm những dịch vụ đó mà không cần phải tự mình thực hiện quy trình đánh giá đầy đủ.

Việc được đưa vào Digital Marketplace yêu cầu tự xác nhận tuân thủ, tiếp theo là quá trình xác minh do nhánh Government Digital Service (GDS) thực hiện theo quyết định của họ.

Outsourced Service Provider's Audit Report (OSPAR)

Framework OSPAR được thiết lập bởi Hiệp hội Ngân hàng Singapore (ABS), đơn vị đã xây dựng các hướng dẫn về an ninh CNTT cho các nhà cung cấp dịch vụ thuê ngoài (OSP) muốn cung cấp dịch vụ cho những tổ chức tài chính của Singapore. Các hướng dẫn của ABS nhằm mục đích hỗ trợ những tổ chức tài chính hiểu rõ các phương pháp thẩm định, quản lý nhà cung cấp và những biện pháp kiểm soát kỹ thuật và tổ chức quan trọng cần được thực hiện trong các thỏa thuận thuê ngoài điện toán đám mây, đặc biệt là đối với khối lượng công việc lớn.

Microsoft Copilot Studio đã được chứng nhận OSPAR.

Korea-Information Security Management System (K-ISMS)

K-ISMS là một framework ISMS dành riêng cho từng quốc gia/khu vực, xác định một bộ yêu cầu kiểm soát nghiêm ngặt được thiết kế để giúp đảm bảo các tổ chức tại Hàn Quốc bảo vệ tài sản thông tin của họ một cách nhất quán và an toàn.

Singapore Multi-Tier Cloud Security (MTCS) Level 3

Tiêu chuẩn MTCS của Singapore được xây dựng dưới sự chỉ đạo của Ủy ban Tiêu chuẩn Công nghệ Thông tin (ITSC) thuộc Cơ quan Phát triển Thông tin và Truyền thông Singapore (IDA).

ITSC thúc đẩy và tạo điều kiện thuận lợi cho các chương trình quốc gia nhằm chuẩn hóa CNTT và truyền thông, cũng như sự tham gia của Singapore vào những hoạt động tiêu chuẩn hóa quốc tế.

Các biện pháp bảo mật cấp cao Spain Esquema Nacional de Seguridad (ENS)

Năm 2007, chính phủ Tây Ban Nha ban hành Luật 11/2007, thiết lập framework pháp lý cho phép công dân truy cập điện tử vào các dịch vụ của chính phủ và công cộng. Luật này là cơ sở cho Esquema Nacional de Seguridad (Framework Bảo mật Quốc gia), được điều chỉnh bởi Nghị định Hoàng gia (RD) 3/2010.

Mục tiêu của framework này là xây dựng niềm tin vào việc cung cấp các dịch vụ điện tử, và đảm bảo quyền truy cập, tính toàn vẹn, tính khả dụng, tính xác thực, tính bảo mật, khả năng truy vết và bảo tồn dữ liệu, thông tin và dịch vụ.