Auditorias regulares para garantir a segurança e a privacidade dos dados

A certificação ISO/IEC 27001:2013 especifica as práticas recomendadas e os controles de gestão de segurança com base no guia de práticas recomendadas do ISO/IEC 27002.Ela garante que nosso sistema de gestão de segurança da informação (ISMS) seja ajustado para acompanhar as mudanças nas ameaças à segurança, o que é essencial no mundo acelerado da segurança de TI.

A recertificação é obtida por auditoria a cada três anos, incluindo uma solicitação de auditoria de vigilância anual para provar que a ServiceNow:

• 1. Projetou e implementou um ISMS abrangente.

• 2. Adotou um processo contínuo de gestão de riscos para garantir que os controles adequados de segurança da informação estejam em vigor para atender a cenários e riscos de ameaças em evolução.

• 3. Avalia sistematicamente os riscos à segurança da informação de maneira adequada, levando em consideração vários fatores, incluindo o impacto das ameaças e as vulnerabilidades da empresa.

A ServiceNow é uma organização com certificação ISO/IEC 27001 desde 2012. O certificado está disponível aqui.

O padrão ISO/IEC 27017:2015 está relacionado à implementação dos controles de segurança da informação específicos da nuvem presentes no ISO/IEC 27002.

A certificação é obtida por uma auditoria anual independente, e a ServiceNow é uma organização com certificação ISO/IEC 27017:2015 desde 2018.

O ISO/IEC 27018:2019 é um código de práticas baseado no ISO/IEC 27002 e relacionado à proteção de informações pessoalmente identificáveis (PII) em nuvens públicas, em conformidade com os princípios de privacidade do ISO/IEC 29100.

A certificação é obtida por uma auditoria anual independente e a ServiceNow é uma organização com certificação ISO/IEC 27018:2019 desde 2016.

A estrutura Service Organizational Control (SOC) é uma certificação de que a ServiceNow cumpre o padrão exigido relacionado a ter controles em vigor para proteger a confidencialidade, a integridade e a disponibilidade dos dados de nossos clientes na nuvem.

• - O foco da SOC 1 é a eficácia dos controles internos que afetam os relatórios financeiros dos clientes
• - A SOC 2 avalia os controles relativos a disponibilidade, integridade, segurança, confidencialidade ou privacidade.

A ServiceNow é auditada por um terceiro e mantém sua certificação SSAE 18 SOC 1 Type 2 desde 2011 (o SSAE 18 substituiu o SSAE 16 em 2017).O SSAE 18 está alinhado ao padrão internacional ISAE3402 e substituiu o SAS70, agora obsoleto.

O relatório SOC 1 da ServiceNow que cobre o período de 1º de outubro (do ano civil anterior) a 30 de setembro (ano civil atual) está disponível por meio do ServiceNow CORE no final de cada ano civil (dezembro).

O relatório SOC 1 que abrange o período de 1º de abril a 31 de março está disponível via ServiceNow CORE no final do 2º trimestre civil (junho) de cada ano.

A ServiceNow também tem a certificação SOC 2 Type 2 desde 2013, relevante para controles de segurança, disponibilidade e confidencialidade listados nos TSC (Trust Services Criteria, critérios de serviços de confiança) da AICPA.

O relatório SOC 2 da ServiceNow cobre o período de 1º de outubro (do ano civil anterior) a 30 de setembro (ano civil atual) e está disponível por meio do ServiceNow CORE no final de cada ano civil (dezembro).

Uma certificação temporária é fornecida entre os períodos de auditoria para que a empresa permaneça coberta o ano inteiro.

A certificação temporária SOC 1 da ServiceNow que cobre o período de 1º de outubro (ano civil atual) a 31 de dezembro (ano civil atual) está disponível no ServiceNow CORE no final de cada primeiro trimestre do calendário do próximo ano

A certificação temporária SOC 1 que abrange o período de 1º de abril a 30 de junho está disponível via ServiceNow CORE no final do 3º trimestre civil de cada ano.

A certificação temporária SOC 2 da ServiceNow cobre o período de 1º de outubro (ano civil atual) a 31 de dezembro (ano civil atual) e está disponível no ServiceNow CORE no final de cada primeiro trimestre do calendário do próximo ano.

O C5 é um catálogo de controles de conformidade específico para nuvem desenvolvido pelo German Federal Office for Information Security (BSI) e utilizado nos setores público e privado. O relatório de certificação C5 segue processos e esquemas semelhantes aos dos relatórios AICPA SOC 2 e abrange boa parte dos requisitos dos Critérios de Serviços de Confiança do AICPA, com a adição de requisitos específicos focados em nuvem. A ServiceNow recebeu seu Relatório de certificação C5 em 2020.

O APEC PRP é uma certificação voluntária para processadores de dados específica para a região Ásia-Pacífico e desenvolvida por membros locais da região. As certificações são renovadas anualmente, mas os avaliadores são atualizados, possivelmente, com mais frequência sobre qualquer mudança que possa ter um impacto maior nos processos e/ou procedimentos de privacidade do processador.

O Information system Security Management and Assessment Program (ISMAP) é um programa que visa garantir o nível de segurança na aquisição de serviços em nuvem pelo governo japonês, avaliando e registrando serviços em nuvem que atendem aos requisitos de segurança do governo japonês. A Now Platform da ServiceNow foi avaliada independentemente por um avaliador ISMAP certificado para atender aos critérios de controle dos controles ISMAP e está registrada como Serviço em nuvem ISMAP desde março de 2022. A Lista de serviços em nuvem ISMAP está disponível aqui: https://www.ismap.go.jp/csm?id=cloud_service_list

Esta extensão da ISO/IEC 27001 se concentra no estabelecimento e manutenção de um PIMS. Isso é relevante para a ServiceNow como um processador de dados do cliente que pode conter PII (Personally Identifiable Information, informação pessoalmente identificável). A ServiceNow recebeu esta certificação em 2020.

A PinkVERIFY™ garante que a ServiceNow possa demonstrar que seus produtos de gestão de serviços de TI (ITSM) são compatíveis com as práticas recomendadas da Information Technology Infrastructure Library (ITIL).

A ServiceNow orgulha-se de ter sido a primeira fornecedora de SaaS a obter o status PinkVERIFY™ em 11 processos de ITIL em 2009 e tem aprimorado continuamente suas soluções de ITSM, mantendo a certificação nesse setor.

A oferta Government Community Cloud (GCC) da ServiceNow mantém atualmente o High Baseline Provisional Authority to Operate (P-ATO) do FedRAMP (Federal Risk and Authorization Management Program). Isso permite à ServiceNow acelerar a adoção de nossas soluções em nuvem seguras por parte das agências federais e fornecedores dos EUA e implementa uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem nos termos do Federal Information Security Management Act (FISMA).

O GCC recebeu o GCC FedRAMP High Provisional Authority to Operate (P-ATO) inicial em 2019. O GCC também atende aos requisitos de controle do Department of Defense (DoD) Nível de Impacto 4 (IL4) e do CNSSI 1253F Privacy Overlay High PII + PHI.

Clique aqui para ver a ServiceNow no FedRAMP Marketplace

A oferta Government Community Cloud (GCC) da ServiceNow mantém atualmente uma Autorização Provisional (PA) de Nível de Impacto 4 (IL4) do Department of Defense (DoD). Isso facilita a aquisição de produtos da ServiceNow pelo US Department of Defense (DoD) e Intelligence Community (IC) e estabelece um padrão de linha de base definido pelo DoD Cloud Computing (CC) Security Requirements Guide (SRG) (Guia de requisitos de segurança para computação em nuvem do Departamento de Defesa), desenvolvido pela Defense Information Systems Agency (DISA).

A ServiceNow recebeu sua GCC DoD IL4 PA inicial em outubro de 2019. A DoD IL4 PA inclui os requisitos de controle FedRAMP High e DoD IL4. A oferta GCC da ServiceNow também atende aos requisitos de controle do CNSSI 1253F Privacy Overlay High PII + PHI.

Clique aqui para ver a ServiceNow no DISA Storefront na seção Standard Offering

A ServiceNow está em conformidade com a EU U.S. Privacy Shield Framework e o Swiss – U.S. Privacy Shield Framework estabelecidos pelo Departamento de Comércio dos Estados Unidos com relação à coleta, uso e retenção de dados pessoais transferidos da União Europeia e Reino Unido, e da Suíça para os Estados Unidos, respectivamente. Para saber mais sobre o Privacy Shield Framework, visite o site dedicado ao Privacy Shield do departamento de comércio localizado aqui.

A MTCS Nível 3 é uma certificação que garante que a ServiceNow atenda aos padrões relacionados à confidencialidade e integridade dos dados dos clientes na nuvem para Cingapura. Ela se baseia no ISO/IEC 27001 e abrange a soberania, retenção e disponibilidade de dados, juntamente com o plano de continuidade dos negócios e recuperação de desastres.

A ServiceNow tem o orgulho de ter alcançado a MTCS Nível 3, o nível mais alto disponível da certificação.

As plataformas australianas da ServiceNow foram avaliadas de forma independente por um avaliador IRAP certificado para atender aos controles de GSI australianos para dados OFICIAIS e PROTEGIDOS. O IRAP avaliou os serviços em nuvem OFICIAIS E PROTEGIDOS e oferece aos clientes do governo australiano confiança e segurança na NOW Platform e permite que a ServiceNow trabalhe efetivamente com agências do governo australiano e provedores de infraestrutura crítica. Mais detalhes para clientes regulamentados australianos podem ser consultados aqui: https://your.servicenow.com/microsoftregulatedindustries/australia

O Canadian Centre for Cyber Security (CCCS) estabeleceu um conjunto de requisitos físicos e lógicos que devem ser atendidos para ser um Provedor de nuvem GC certificado. Os provedores de nuvem devem demonstrar conformidade com o pessoal do CCCS antes da aprovação como Provedor de nuvem GC. GC é o nível de classificação de dados definido pelo governo que foi aprovado para armazenamento na nuvem.

A ServiceNow se tornou um provedor de nuvem GC em 2020. Mais informações podem ser encontradas aqui

O HITRUST foi desenvolvido pelo setor de saúde para padronizar os objetivos de conformidade por meio de sua Estrutura de controles FCS, originalmente construída com base na ISO27001. Desde então, a empresa incorporou e mapeou muitos padrões de segurança comuns, incluindo o NIST 800-53 e o AICPA SOC 2 Trust Services Criteria. O relatório SOC 2 + HITRUST é uma colaboração entre a AICPA e a HITRUST Alliance. Ele fornece um mecanismo para que o auditor de serviço opine sobre o design e a eficácia dos Trust Services Criteria e do HITRUST CSF no mesmo relatório.

O Cyber Essentials Plus é um esquema apoiado pelo governo do Reino Unido que ajuda as organizações a demonstrar a redução de riscos e a avaliação de ameaças à segurança cibernética em seus sistemas de TI. O esquema requer a implementação de vários controles técnicos para garantir as melhores práticas e a máxima segurança, conduzidas por um auditor externo. Devido ao foco regional do esquema, a certificação é direcionada para a região do Reino Unido.

A ServiceNow obteve uma Autorização Provisional de Nível de Impacto 5 (IL5) do US Department of Defense (DoD). Isso torna a ServiceNow National Security Cloud (NSC) uma das poucas ofertas de software como serviço e plataforma como serviço (SaaS/PaaS) criadas e autorizadas a atender ao rigoroso Guia de requisitos de segurança para computação em nuvem no nível de impacto 5 do Department of Defense.

A Autorização Provisional IL5 acelerará a transformação digital do DoD, pois permite que o DoD, seus parceiros de missão e agências federais selecionadas movam dados altamente confidenciais, incluindo informações não sigilosas controladas e sistemas de segurança nacional não sigilosos, para as soluções em nuvem da ServiceNow hospedadas no Microsoft Azure Government.