Conformidade Auditorias regulares para garantir a segurança e a privacidade dos dados Para manter a segurança e a conformidade continuamente, cumprimos as estruturas de conformidade mais rigorosas.
Conformidade da plataforma ServiceNow Certificações GDPR Recursos
Alt
“A ServiceNow busca certificações e atestados rigorosos do setor para mostrar que nos dedicamos a ajudar nossos clientes, preservando sua confiança, reputação, segurança e a integridade de seus dados.” John Castelly Diretor de conformidade da ServiceNow
Conformidade global e regional
Certificações e atestados
Certificações e atestados A ServiceNow atende aos mais altos padrões de segurança e privacidade em todas as regiões em que atua. Além disso, nossas aplicações permitem que as organizações atendam às suas exigências setoriais ou regionais. Ver tudo
Conformidade do cliente
Conformidade do cliente Certificações e atestados de conformidade são fundamentais. Facilitamos os processos de conformidade do cliente por meio de nossos recursos técnicos, documentos de orientação e compromissos legais. Descubra mais
Privacidade de dados de clientes
Privacidade de dados de clientes Ao fornecer aos clientes as ferramentas para proteger dados confidenciais, reduzimos a exposição a riscos em partes críticas dos negócios.
Controle de acesso seguro
Controle de acesso seguro Evite o acesso não autorizado à conta e aumente a segurança dos dados por meio de MFA (multi-factor authentication, autenticação multifator). Leia o blog
Transparência
Transparência Transparência gera confiança. Nossos rigorosos termos e acordos de proteção de dados determinam como processamos os dados, incluindo políticas para atender a solicitações do governo. Descubra como
Defendemos iniciativas de segurança e privacidade Monitoramos e adaptamos proativamente nossos protocolos de segurança de acordo com as mudanças dos cenários de regulamentos. Expandir tudo Recolher tudo ISO/IEC 27017:2015

O padrão ISO/IEC 27017:2015 está relacionado à implementação dos controles de segurança da informação específicos da nuvem presentes na norma ISO/IEC 27002.

A certificação é obtida por uma auditoria anual independente, e a ServiceNow é uma organização com certificação ISO/IEC 27017:2015 desde 2018.
ISO/IEC 27001:2022

A certificação ISO/IEC 27001:2022 especifica as práticas recomendadas e os controles de gestão de segurança com base no guia de práticas recomendadas do ISO/IEC 27002. Ela garante que nosso SGSI (sistema de gestão de segurança da informação) seja ajustado para acompanhar as mudanças nas ameaças à segurança, o que é essencial no mundo acelerado da segurança de TI.

A recertificação é obtida por auditoria a cada três anos, incluindo uma solicitação de auditoria de vigilância anual para provar que a ServiceNow:

  1. Projetou e implementou um SGSI abrangente.
  2. Adotou um processo contínuo de gestão de riscos para garantir que os controles adequados de segurança da informação esavam em vigor para atender aos dinâmicos cenários e riscos de ameaças.
  3. Avalia sistematicamente os riscos à segurança da informação de maneira adequada, levando em consideração vários fatores, incluindo o impacto das ameaças e vulnerabilidades da empresa.

A ServiceNow é uma organização com certificação ISO/IEC 27001 desde 2012. O certificado está disponível aqui.
ISO/IEC 27018:2019

O ISO/IEC 27018:2019 é um código de prática baseado no ISO/IEC 27002 e relacionado à proteção de PII (personally identifiable information, informações pessoalmente identificáveis) em nuvens públicas, em conformidade com os princípios de privacidade do ISO/IEC 29100.

A certificação é obtida por uma auditoria anual independente, e a ServiceNow é uma organização com certificação ISO/IEC 27018:2019 desde 2016.
ISO/IEC 27701:2019
Esta extensão da norma ISO/IEC 27001 se concentra no estabelecimento e na manutenção de um PIMS (Privacy Information Management System, sistema de gestão de informações de privacidade). Isso é relevante para a ServiceNow como uma processadora de dados do cliente que podem conter PII. A ServiceNow recebeu esta certificação em 2020.
Relatórios SSAE 18 SOC 1 e SOC 2

A estrutura Service Organizational Control (SOC) é uma certificação de que a ServiceNow cumpre o padrão exigido relacionado a ter controles em vigor para proteger a confidencialidade, a integridade e a disponibilidade dos dados de nossos clientes na nuvem.

– O foco da SOC 1 é a eficácia dos controles internos que afetam os relatórios financeiros dos clientes

– A SOC 2 avalia os controles relativos a disponibilidade, integridade, segurança, confidencialidade ou privacidade.

A ServiceNow é auditada por um terceiro e mantém sua certificação SSAE 18 SOC 1 Tipo 2 desde 2011 (o SSAE 18 substituiu o SSAE 16 em 2017). O SSAE 18 está alinhado ao padrão internacional ISAE3402 e substituiu o SAS70, agora obsoleto.

O relatório SOC 1 da ServiceNow que cobre o período de 1º de outubro (do ano civil anterior) a 30 de setembro (ano civil atual) está disponível por meio do ServiceNow CORE no final de cada ano civil (dezembro).

O relatório SOC 1 que abrange o período de 1º de abril a 31 de março está disponível via ServiceNow CORE no final do 2º trimestre civil (junho) de cada ano.

A ServiceNow também tem a certificação anual SOC 2 Tipo 2 desde 2013, relevante para controles de segurança, disponibilidade e confidencialidade listados nos TSC (Trust Services Criteria, critérios de serviços de confiança) do AICPA.

O relatório SOC 2 da ServiceNow cobre o período de 1º de outubro (do ano civil anterior) a 30 de setembro (ano civil atual) e está disponível por meio do ServiceNow CORE no final de cada ano civil (dezembro).

Uma certificação temporária é fornecida entre os períodos de auditoria para que a empresa permaneça coberta o ano inteiro.

A certificação temporária SOC 1 da ServiceNow que cobre o período de 1º de outubro (ano civil atual) a 31 de dezembro (ano civil atual) está disponível no ServiceNow CORE no final de cada 1º trimestre do calendário do próximo ano

A certificação temporária SOC 1 que abrange o período de 1º de abril a 30 de junho está disponível via ServiceNow CORE no final do 3º trimestre civil de cada ano.

A certificação temporária SOC 2 da ServiceNow cobre o período de 1º de outubro (ano civil atual) a 31 de dezembro (ano civil atual) e está disponível no ServiceNow CORE no final de cada 1º trimestre do calendário do próximo ano.
Padrão BSI Cloud Computing Compliance Controls Catalog (C5)
O C5 é um catálogo de controles de conformidade específico para nuvem desenvolvido pelo German Federal Office for Information Security (BSI) e utilizado nos setores público e privado. O relatório de certificação C5 segue processos e esquemas semelhantes aos dos relatórios AICPA SOC 2 e abrange boa parte dos requisitos dos Critérios de Serviços de Confiança do AICPA, com a adição de requisitos específicos focados em nuvem. A ServiceNow recebeu seu Relatório de certificação C5 em 2020.
APEC Privacy Recognition for Processors (PRP)
O APEC PRP é uma certificação voluntária para processadores de dados específica para a região Ásia-Pacífico e desenvolvida por membros locais da região. As certificações são renovadas anualmente, mas os avaliadores são atualizados, possivelmente, com mais frequência sobre qualquer mudança que possa ter um impacto maior nos processos e/ou procedimentos de privacidade do processador.
Serviço em Nuvem ISMAP
O ISMAP (Information System Security Management and Assessment Program) é um programa que visa garantir o nível de segurança nas compras de serviços em nuvem pelo governo japonês, avaliando e registrando serviços em nuvem que atendam aos requisitos de segurança daquele governo.  A Now Platform da ServiceNow foi avaliada independentemente por um avaliador do ISMAP registrado para atender aos critérios de controles do ISMAP e foi registrada como um Serviço em nuvem do ISMAP em março de 2022.  A lista de Serviços em nuvem do ISMAP está disponível aqui: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR nível 2: Certificação STAR
A CCM (Cloud Controls Matrix, Matriz de controles em nuvem) é uma estrutura de controles (políticas e procedimentos) que são essenciais para a segurança da computação em nuvem. A matriz é criada e atualizada pela CSA (Cloud Security Alliance) e alinhada às práticas recomendadas da CSA. A certificação CSA STAR nível 2 é uma rigorosa avaliação independente realizada por terceiros sobre a segurança de um provedor de serviços em nuvem em relação à Matriz de controles em nuvem da CSA, e examina também os requisitos ISO/IEC 27001.
CoC de nuvem da UE

O Código de conduta de nuvem da UE (CoC de nuvem da UE) é um conjunto de requisitos de controle criados para desenvolver confiança e transparência no mercado europeu de computação em nuvem e simplificar o processo de avaliação de riscos dos provedores de serviços em nuvem (CSPs) para clientes de nuvem. Para demonstrar essa conformidade, a ServiceNow realizou uma auditoria interna de mais de 80 requisitos de CoC de nuvem da UE e esteva sujeita a uma avaliação externa desse esforço de auditoria. A validação externa de adesão da ServiceNow ao CoC de nuvem da UE refere-se ao nosso compromisso contínuo de manter os mais altos padrões de privacidade e segurança, além de nossas certificações existentes de Segurança e Privacidade.

Os serviços são verificados de acordo com o CoC de nuvem da UE, Verification-ID 2022LVL02SCOPE3113. Para obter mais informações, visite https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO para entidades governamentais e provedores dos EUA

A oferta GCC (Government Community Cloud) da ServiceNow mantém atualmente o High Baseline Provisional Authority to Operate (P-ATO) do FedRAMP (Federal Risk and Authorization Management Program). Isso permite à ServiceNow acelerar a adoção de nossas soluções em nuvem seguras por parte das agências federais e fornecedores dos EUA e implementa uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem nos termos do FISMA (Federal Information Security Management Act).

O GCC recebeu o GCC FedRAMP High Provisional Authority to Operate (P-ATO) inicial em agosto de 2019. O GCC também atende aos requisitos de controle do DoD (Department of Defense) IL4 (Impact Level 4, Nível de Impacto 4) e do CNSSI 1253F Privacy Overlay High PII + PHI.

Clique aqui para ver a ServiceNow no FedRAMP Marketplace
DoD IL4 PA para entidades DoD e IC dos EUA

A oferta GCC (Government Community Cloud) da ServiceNow mantém atualmente uma PA (Provisional Authorization, Autorização Provisional) IL4 (Impact Level 4, Nível de Impacto 4) do DoD (Department of Defense). Isso facilita a aquisição de produtos da ServiceNow pelo DoD e pela IC (Intelligence Community) dos EUA e estabelece uma linha de base definida pelo CC SRG (Cloud Computing Security Requirements Guide, Guia de requisitos de segurança para computação em nuvem) do DoD, desenvolvido pela DISA (Defense Information Systems Agency).

A ServiceNow recebeu sua GCC DoD IL4 PA inicial em outubro de 2019. A DoD IL4 PA inclui os requisitos de controle FedRAMP High e DoD IL4. A oferta GCC da ServiceNow também atende aos requisitos de controle do CNSSI 1253F Privacy Overlay High PII + PHI.

Clique aqui para ver a ServiceNow na seção Standard Offering do DISA Storefront
DoD IL5 para National Security Cloud

A ServiceNow obteve uma Autorização Provisional IL5 do DoD. Isso torna a ServiceNow National Security Cloud (NSC) uma das poucas ofertas de software como serviço e plataforma como serviço (SaaS/PaaS) criadas e autorizadas a atender ao rigoroso Guia de requisitos de segurança para computação em nuvem no Nível de impacto 5 do Department of Defense.

A Autorização Provisional IL5 acelerará a transformação digital do DoD, pois permite que o DoD, seus parceiros de missão e agências federais selecionadas movam dados altamente confidenciais, incluindo informações não sigilosas controladas e sistemas de segurança nacional não sigilosos, para as soluções em nuvem da ServiceNow hospedadas no Microsoft Azure Government.
Multi-Tier Cloud Security Standard para Singapura (MTCS) Nível 3

A MTCS Nível 3 é uma certificação que garante que a ServiceNow atenda aos padrões relacionados à confidencialidade e integridade dos dados dos clientes na nuvem para Singapura. Ela se baseia no ISO/IEC 27001 e abrange soberania, retenção e disponibilidade de dados, juntamente com o plano de continuidade de negócios e a recuperação de desastres.

A ServiceNow tem o orgulho de ter alcançado a MTCS Nível 3, o nível mais alto disponível da certificação.
ASD IRAP avaliado para serviços em nuvem OFICIAIS E PROTEGIDOS

As plataformas australianas da ServiceNow foram avaliadas de forma independente por um avaliador IRAP certificado para atender aos controles de GSI australianos para dados OFICIAIS e PROTEGIDOS. O IRAP avaliou os serviços em nuvem OFICIAIS E PROTEGIDOS e oferece aos clientes do governo australiano confiança e segurança na NOW Platform e permite que a ServiceNow trabalhe efetivamente com agências do governo australiano e provedores de infraestrutura crítica.

Mais detalhes para clientes australianos regulamentados podem ser consultados aqui: https://your.servicenow.com/br/microsoftregulatedindustries/australia
Provedor de nuvem GC do governo do Canadá
O Canadian Centre for Cyber Security (CCCS) estabeleceu um conjunto de requisitos físicos e lógicos que devem ser atendidos por Provedores de nuvem GC certificados. Os provedores de nuvem devem demonstrar conformidade para a equipe do CCCS para obter a aprovação como Provedor de nuvem GC. GC é o nível de classificação de dados definido pelo governo que foi aprovado para armazenamento na nuvem.
AICPA SOC 2 TSC + FCS HITRUST
O HITRUST foi desenvolvido pelo setor de saúde para padronizar os objetivos de conformidade por meio da Estrutura de controles FCS, originalmente baseada na ISO27001. Desde então, foram incorporados e mapeados muitos padrões de segurança comuns, incluindo o NIST 800-53 e o AICPA SOC 2 Trust Services Criteria. O relatório SOC 2 + HITRUST é uma colaboração entre o AICPA e a HITRUST Alliance. Ele fornece um mecanismo para que o auditor de serviço opine sobre o design e a eficácia dos Trust Services Criteria e do FCS HITRUST no mesmo relatório.
Certificação Cyber Essentials Plus do Reino Unido
O Cyber Essentials Plus é um esquema apoiado pelo governo do Reino Unido que ajuda as organizações a demonstrar a redução de riscos e a avaliação de ameaças à segurança cibernética em seus sistemas de TI. O esquema requer a implementação de vários controles técnicos para garantir as práticas recomendadas e a máxima segurança, conduzidos por um auditor externo. Devido ao foco regional do esquema, a certificação é direcionada para a região do Reino Unido.
Conformidade com o PCI DSS
O PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de padrões de segurança formado em 2004 por Visa, MasterCard, Discover Financial Services, JCB International e American Express. Regidos pelo PCI SSC (Payment Card Industry Security Standards Council), os requisitos de conformidade foram criados para proteger transações de cartão de crédito e débito contra roubo de dados e fraude. Isso é relevante para a ServiceNow como uma processadora de dados do cliente que podem conter dados de cartão de crédito. A ServiceNow recebeu esta certificação em 2023.
Conformidade com DSA da EU

ServiceNow e a Lei de Serviços Digitais da UE (Regulamento (UE) 2022/2065 do Parlamento Europeu e do Conselho, de 19 de outubro de 2022, relativo a um mercado único de serviços digitais e alterações na Diretiva 2000/31/EC):

Encaminhe todas as comunicações de acordo com a Lei de Serviços Digitais da UE para DSACompliance@ServiceNow.com.
Estrutura de privacidade de dados

A ServiceNow é um participante do Programa de Estrutura de Privacidade de Dados (DPF). A DPF da UE-EUA, extensão no Reino Unido para a DPF da UE-EUA, e a DPF Suíça-EUA foram desenvolvidas, respectivamente, pelo Departamento de Comércio dos EUA e a Comissão Europeia, o Governo do Reino Unido e a Administração Federal da Suíça para fornecer às organizações dos EUA mecanismos confiáveis de transferências de dados pessoais da União Europeia, do Reino Unido e da Suíça para os Estados Unidos e, ao mesmo tempo, garantir uma proteção de dados que seja consistente com as leis da UE, do Reino Unido e da Suíça.

Mais informações sobre o Programa de Estrutura de Privacidade de Dados podem ser encontradas aqui (https://www.dataprivacyframework.gov/s/). A Política de DPF da ServiceNow está disponível aqui (https://www.servicenow.com/data-privacy-framework.html).
Conformidade com o GDPR Ajudamos as organizações a alcançar a conformidade com o GDPR com soluções que tornam o atendimento de requisitos, como maior acesso aos dados e privacidade por design, uma parte integrante das operações diárias.  Leia mais
Recursos Declarações ServiceNow investe em serviços da UE International Data Transfers FAQ (Perguntas frequentes sobre transferências internacionais de dados) ServiceNow Security for the UK Public Sector (ServiceNow Security para o setor público do Reino Unido) Diretrizes de IA responsável White papers Data Encryption (Criptografia de dados) Securing the Now Platform (Proteção da Now Platform) IDC (Regulated Industries and Data Privacy Requirements, Requisitos de privacidade de dados e setores regulamentados)
Conheça mais A ServiceNow ajuda os clientes a se defenderem contra ameaças à segurança, a protegerem seus dados e a cumprirem as crescentes exigências globais.   Saiba como GDPR Privacidade Segurança Conformidade Now Platform