Organizações que lidam com dados confidenciais frequentemente confiam na certificação HITRUST CSF para demonstrar segurança e conformidade. O Microsoft Copilot, quando integrado aos serviços do Microsoft 365 e Azure, herda certos controles HITRUST da plataforma subjacente. Este artigo explica quais domínios e requisitos de controle HITRUST CSF são cobertos por herança ao usar o Copilot. Também esclarece o que sua organização ainda precisa gerenciar diretamente.
Principais Conclusões: Escopo da Herança HITRUST CSF do Copilot
- Domínios de controle HITRUST CSF v11.0 herdados: O Copilot herda controles do Azure e Microsoft 365 para domínios como Controle de Acesso, Registro de Auditoria e Proteção de Dados.
- Central de administração do Microsoft 365 > Conformidade > Avaliação HITRUST: Use este caminho para revisar o relatório de cobertura de controle herdado para o Copilot.
- Modelo de Responsabilidade Compartilhada: Sua organização continua responsável por permissões de usuário, classificação de dados e configurações personalizadas do Copilot.
Como o Copilot Herda Controles HITRUST CSF
O HITRUST CSF é um framework certificável que combina vários padrões, incluindo ISO 27001, NIST e HIPAA. O Microsoft Azure e o Microsoft 365 obtiveram certificação HITRUST CSF no nível mais alto, o que significa que muitos controles de segurança já estão em vigor. O Copilot, como um serviço construído sobre essas plataformas certificadas, herda esses controles sem exigir que sua organização os implemente separadamente. A herança cobre infraestrutura, segurança física, segurança de rede e gerenciamento de identidade em nível de plataforma. No entanto, recursos específicos do Copilot, como dados de ancoragem, execução de plugins e prompts de usuário, estão sob seu controle operacional. A Microsoft publica uma Matriz de Responsabilidade Compartilhada para o Copilot que mapeia cada controle para a Microsoft ou para o cliente. Você pode acessar essa matriz na Central de administração do Microsoft 365, em Conformidade > Avaliações HITRUST.
Domínios de Controle Totalmente Cobertos por Herança
Os seguintes domínios de controle HITRUST CSF são totalmente herdados do Azure e Microsoft 365 para serviços do Copilot:
- Controle de Acesso (01.a – 01.f): Autenticação de usuário, acesso baseado em função e gerenciamento de sessão são tratados pelo Azure Active Directory e Microsoft Entra ID.
- Registro de Auditoria (02.a – 02.c): Todas as interações do Copilot são registradas no Log de Auditoria do Microsoft 365 e no Azure Monitor. A retenção e a proteção contra adulteração são herdadas.
- Proteção de Dados (05.a – 05.g): Criptografia em repouso e em trânsito, gerenciamento de chaves e isolamento de dados são fornecidos pelo Armazenamento do Azure e pelos data centers do Microsoft 365.
- Segurança Física (07.a – 07.d): Controles de acesso ao data center, controles ambientais e segurança de equipamentos são herdados da infraestrutura do Azure.
- Segurança de Rede (09.a – 09.e): Firewalls, segmentação de rede e detecção de intrusão são herdados do backbone de rede do Azure.
Domínios de Controle que Exigem Ação do Cliente
Alguns controles HITRUST não são totalmente herdados porque envolvem comportamento do usuário, classificação de dados ou configurações personalizadas. Sua organização deve tratar estes:
- Revisões de Acesso de Usuário (01.g – 01.i): Você deve revisar regularmente as permissões de usuário do Copilot e remover contas inativas.
- Classificação de Dados (05.h – 05.j): Você deve rotular dados confidenciais usando o Microsoft Purview Information Protection para que o Copilot respeite as políticas de acesso.
- Gerenciamento de Plugins de Terceiros (09.f – 09.g): Se você habilitar plugins de terceiros para o Copilot, deve avaliar a postura de segurança deles.
- Resposta a Incidentes (12.a – 12.c): Sua organização deve integrar eventos de segurança relacionados ao Copilot ao seu plano de resposta a incidentes.
Passos para Revisar a Cobertura HITRUST do Copilot no Seu Tenant
Siga estes passos para verificar quais controles HITRUST são herdados para o Copilot no seu tenant do Microsoft 365.
- Abra a Central de administração do Microsoft 365
Faça login com uma conta de Administrador Global ou Administrador de Conformidade. Navegue até Centros de administração > Conformidade. - Vá para Avaliações HITRUST
Na navegação à esquerda, expanda Avaliação e selecione HITRUST. Se você ainda não iniciou uma avaliação, clique em Criar avaliação e escolha o modelo HITRUST CSF v11.0. - Localize o relatório de cobertura do Copilot
Dentro da avaliação, procure uma seção chamada Matriz de Responsabilidade Compartilhada ou Cobertura específica do serviço. Clique em Copilot para ver a lista de controles gerenciados pela Microsoft. - Exporte o relatório
Clique em Exportar e escolha CSV ou PDF. Este relatório lista cada controle, seu status herdado ou gerenciado pelo cliente, e referências de evidências de suporte. - Mapeie para seus próprios controles
Use o relatório exportado para atualizar sua documentação HITRUST. Para controles gerenciados pelo cliente, documente suas próprias políticas e procedimentos.
Equívocos Comuns Sobre a Cobertura HITRUST do Copilot
O Copilot Não é Certificado HITRUST de Forma Independente
Algumas organizações assumem que o próprio Copilot possui uma certificação HITRUST. Isso não é preciso. O Copilot herda controles do Azure e Microsoft 365, ambos certificados HITRUST. Sua avaliação HITRUST deve referenciar as certificações da plataforma subjacente, em vez de um certificado separado do Copilot.
A Herança Não Cobre Dados de Ancoragem Personalizados
Se você conectar o Copilot a fontes de dados personalizadas, como sites do SharePoint, bancos de dados ou aplicativos de terceiros, a segurança dessas fontes é sua responsabilidade. Os controles HITRUST para dados em repouso nesses sistemas externos não são herdados. Você deve garantir que essas fontes estejam em conformidade com seus requisitos HITRUST.
Logs de Auditoria para Prompts do Copilot São Sua Responsabilidade
Embora a Microsoft mantenha logs de auditoria para interações do Copilot, você deve configurar políticas de retenção de logs na Central de administração do Microsoft 365. O período de retenção padrão pode não atender aos requisitos HITRUST. Defina a retenção para pelo menos um ano para conformidade.
| Item | Herdado da Microsoft | Gerenciado pelo Cliente |
|---|---|---|
| Segurança de infraestrutura | Data centers do Azure, controles físicos, segurança de rede | Nenhum |
| Autenticação de usuário | Azure AD / Microsoft Entra ID | Revisões de acesso de usuário, atribuições de função |
| Criptografia de dados | Em repouso AES-256, em trânsito TLS 1.2+ | Gerenciamento de chaves do cliente se usar BYOK |
| Registro de auditoria | Logs em nível de plataforma, retenção padrão de 90 dias | Política de retenção de logs, análise de logs |
| Segurança de plugins | Apenas plugins gerenciados pela Microsoft | Avaliação de plugins de terceiros |
| Resposta a incidentes | Notificação de incidentes da Microsoft | Integração com seu SOC |
Esta tabela resume a divisão entre controles herdados e gerenciados pelo cliente para o Copilot sob HITRUST CSF v11.0. Use-a como ponto de partida para sua documentação de conformidade.
Agora que você entende quais controles HITRUST CSF o Copilot herda, pode concentrar seus esforços de conformidade nas áreas que exigem gerenciamento direto. Comece revisando a Matriz de Responsabilidade Compartilhada na Central de administração do Microsoft 365. Em seguida, atualize suas políticas de classificação de dados e procedimentos de revisão de acesso de usuário. Para um mergulho mais profundo, examine o relatório de certificação HITRUST do Azure disponível no Portal de Confiança do Serviço.