Compliance Regelmäßige Audits zur Gewährleistung von Datensicherheit und Datenschutz Um kontinuierliche Sicherheit und Compliance zu gewährleisten, halten wir die strengsten Compliance-Frameworks ein.
Compliance der Now Platform Zertifizierungen DSGVO Ressourcen
Alt
„ServiceNow bemüht sich um strenge Branchenzertifizierungen und -nachweise, damit sich unsere Kunden sicher sein können, dass wir ihr Vertrauen, ihren Ruf, ihre Sicherheit und die Integrität ihrer Daten schützen.“ John Castelly Chief Compliance Officer, ServiceNow
Globale und regionale Compliance
Zertifizierungen und Nachweise
Zertifizierungen und Nachweise ServiceNow hält in all seinen Regionen höchste Sicherheits- und Datenschutzstandards ein. Darüber hinaus können Sie mit unseren Anwendungen auch branchenspezifische oder regionale Anforderungen erfüllen. Alle anzeigen
Kunden-Compliance
Kunden-Compliance Compliance-Zertifizierungen und -Nachweise sind essenziell. Wir vereinfachen Compliance-Prozesse von Kunden mithilfe unserer technischen Fähigkeiten, Anleitungsdokumente und rechtlichen Verpflichtungen. Mehr entdecken
Datenschutz für Kunden
Datenschutz für Kunden Indem wir Kunden die Tools bereitstellen, die sie zum Schutz vertraulicher Daten brauchen, reduzieren wir Risiken für kritische Geschäftsbereiche.
Sichere Zugriffskontrolle
Sichere Zugriffskontrolle Verhindern Sie den unbefugten Zugriff auf Konten, und steigern Sie die Datensicherheit mit Multi-Faktor-Authentifizierung (MFA). Blog lesen
Transparenz
Transparenz Transparenz schafft Vertrauen. Unsere strengen Bestimmungen und Datenschutzvereinbarungen legen fest, wie wir Daten verarbeiten, einschließlich Richtlinien für die Reaktion auf Regierungsanfragen. So funktioniert’s
Wir fördern Sicherheits- und Datenschutzinitiativen Wir überwachen unsere Sicherheitsprotokolle proaktiv und passen sie kontinuierlich an die neuesten Bestimmungen an. Alle erweitern Alle reduzieren ISO/IEC 27017:2015

Die Norm ISO/IEC 27017:2015 betrifft die Implementierung der cloudspezifischen Kontrollen für die Informationssicherheit, die in ISO/IEC 27002 angegeben sind.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2018 ein zertifiziertes ISO/IEC-27017:2015-Unternehmen.
ISO/IEC 27001:2022

Die Zertifizierung ISO/IEC 27001:2022 gibt die Best Practices für Sicherheitsverwaltung und -kontrolle basierend auf dem Best Practices-Leitfaden für ISO/IEC 27002 an. Sie stellt sicher, dass unser Managementsystem für Informationssicherheit (Information Security Management System, ISMS) fein abgestimmt ist, um mit Änderungen an Sicherheitsbedrohungen Schritt zu halten – was in der schnelllebigen Welt der IT-Sicherheit unverzichtbar ist.

Die erneute Zertifizierung erfolgt alle drei Jahre durch einen Audit, einschließlich eines jährlichen Überwachungsaudits als Nachweis dafür, dass ServiceNow:

  1. ein umfassendes ISMS entwickelt und implementiert hat.
  2. einen kontinuierlichen Risikomanagementprozess eingeführt hat, um sicherzustellen, dass die entsprechenden Kontrollen für die Informationssicherheit vorhanden sind, um aufkommende Bedrohungen und Risiken zu bewältigen.
  3. Risiken für die Informationssicherheit systematisch untersucht und dabei verschiedene Faktoren berücksichtigt, einschließlich der Auswirkungen von Unternehmensbedrohungen und Schwachstellen.

ServiceNow ist seit 2012 ein ISO/IEC-27001-zertifiziertes Unternehmen; das Zertifikat ist hier verfügbar.
ISO/IEC 27018:2019

Die Norm ISO/IEC 27018:2019 ist eine auf ISO/IEC 27002 basierende Verfahrensregel, die den Schutz personenbezogener Daten in Public Clouds gemäß den Datenschutzgrundsätzen in ISO/IEC 29100 betrifft.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2016 ein zertifiziertes ISO/IEC-27018:2019-Unternehmen.
ISO/IEC 27701:2019
Diese Erweiterung der Norm ISO/IEC 27001 reguliert die Einrichtung und Pflege eines Datenschutz-Informationsmanagementsystems (Privacy Information Management System, PIMS). Sie ist für ServiceNow relevant, da die verarbeiteten Kundendaten personenbezogene Daten enthalten können. Die Zertifizierung von ServiceNow erfolgte im Jahr 2020.
SSAE-18-SOC-1- und SOC-2-Berichte

Das SOC-Framework (Service Organizational Control) ist ein Nachweis dafür, dass ServiceNow den erforderlichen Standard hinsichtlich der Kontrollen erfüllt, mit denen die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten in der Cloud geschützt werden.

- SOC 1 konzentriert sich auf die Effektivität interner Kontrollen, die sich auf die Finanzberichte von Kunden auswirken.

- SOC 2 wertet Kontrollen aus, die für die Verfügbarkeit, Integrität, Sicherheit, Vertraulichkeit oder den Datenschutz relevant sind.

ServiceNow wird von einer Drittpartei geprüft und hat seinen Nachweis nach SSAE 18 SOC 1 Typ 2 seit 2011 (SSAE 18 ersetzte SSAE 16 im Jahr 2017). SSAE 18 ist am internationalen Standard ISAE3402 ausgerichtet und ersetzt den nun veralteten SAS70.

Der SOC-1-Bericht von ServiceNow, der den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) abdeckt, ist gegen Ende jedes Kalenderjahres (Dezember) über ServiceNow CORE verfügbar.

Der SOC-1-Bericht, der den Zeitraum vom 1. April bis zum 31. März abdeckt, ist gegen Ende des zweiten Quartals (Juni) jedes Kalenderjahres über ServiceNow CORE verfügbar.

ServiceNow wurde außerdem seit 2013 einem jährlichen Nachweis nach SOC 2 Typ 2 unterzogen, der für Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen relevant ist, die in den AICPA Trust Services Criteria (TSC) aufgeführt sind.

Der SOC-2-Bericht von ServiceNow deckt den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) ab und ist gegen Ende jedes Kalenderjahrs (Dezember) über ServiceNow CORE verfügbar.

Ein Überbrückungsschreiben wird zwischen den Audit-Zeiträumen ausgestellt, sodass das Unternehmen über das gesamte Jahr abgedeckt ist.

Das SOC-1-Überbrückungsschreiben von ServiceNow, das den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) abdeckt, ist gegen Ende des ersten Quartals des Folgejahres über ServiceNow CORE verfügbar.

Das SOC-1-Überbrückungsschreiben, das den Zeitraum vom 1. April bis zum 30. Juni abdeckt, ist gegen Ende des dritten Quartals jedes Kalenderjahres über ServiceNow CORE verfügbar.

Das SOC-2-Überbrückungsschreiben von ServiceNow deckt den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) ab und ist gegen Ende des ersten Quartals des Folgejahrs über ServiceNow CORE verfügbar.
BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 ist ein Katalog cloudspezifischer Compliance-Kontrollmaßnahmen, die vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurden und sowohl im öffentlichen als auch im privaten Sektor eingesetzt werden. Der C5-Nachweisbericht folgt einem ähnlichen Prozess und Schema wie die AICPA SOC-2-Berichte. Er weist große Überschneidungen mit den AICPA Trust Services Criteria auf, wurde jedoch um cloudspezifische Anforderungen erweitert. ServiceNow hat seinen C5-Nachweisbericht im Jahr 2020 erhalten.
APEC PRP (Datenschutzanerkennung für Auftragsverarbeiter)
APEC PRP ist eine freiwillige Zertifizierung für Datenverarbeiter, die von lokalen Mitgliedern der Asien-Pazifik-Region speziell für diese Region entwickelt wurde. Die Zertifikate werden jährlich verlängert; eine vorzeitige Überprüfung ist jedoch möglich, wenn sich eine Änderung nachhaltig auf datenschutzspezifische Prozesse oder Verfahren des Datenverarbeiters auswirkt.
ISMAP Cloud Service
Das Information System Security Management and Assessment Program (ISMAP) zielt darauf ab, die Sicherheit bei der Beschaffung von Cloud-Services durch die japanische Regierung zu steigern. Hierzu werden Cloud-Services dahingehend bewertet, ob sie die Sicherheitsanforderungen der japanischen Regierung erfüllen, und entsprechend registriert.  In einer unabhängigen Bewertung durch einen registrierten ISMAP-Prüfer wurde bestätigt, dass die Now Platform von ServiceNow die Kontrollkriterien der ISMAP-Kontrollen erfüllt, weshalb die Plattform seit März 2022 als ISMAP-Cloud-Service registriert ist.  Die Liste der ISMAP-Cloud-Services finden Sie hier: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR Level 2: STAR-Zertifizierung
Die Cloud Controls Matrix („CCM“) ist ein Kontrollframework mit Richtlinien und Verfahren, die für die Cloud-Computing-Sicherheit unerlässlich sind. Sie wird von der Cloud Security Alliance („CSA“) erstellt und aktualisiert und an den Best Practices von CSA ausgerichtet. Die CSA STAR Level 2-Zertifizierung ist eine strenge, unabhängige Bewertung der Sicherheit eines Cloud-Service Providers anhand der CSA Cloud Controls Matrix zusammen mit den Anforderungen von ISO/IEC 27001 durch eine Drittpartei.
EU Cloud CoC

Der EU Cloud Code of Conduct (EU Cloud CoC) umfasst eine Reihe von Kontrollanforderungen, die darauf abzielen, Vertrauen und Transparenz auf dem europäischen Cloud-Computing-Markt zu schaffen und die Risikobewertung von Cloud-Service-Providern (CSPs) für Cloud-Kunden zu vereinfachen. Um diese Compliance nachzuweisen, führte ServiceNow ein internes Audit von über 80 EU Cloud CoC-Anforderungen durch und wurde einer externen Bewertung dieses Audits unterzogen. Die externe Validierung der Einhaltung des EU Cloud CoC durch ServiceNow zeigt, dass wir uns weiterhin dafür einsetzen, neben unseren bestehenden Sicherheits- und Datenschutz-Zertifizierungen die höchsten Datenschutz- und Sicherheitsstandards einzuhalten.

Die Services werden auf Einhaltung des EU Cloud CoC verifiziert, Verifizierungs-ID: 2022LVL02SCOPE3113. Weitere Informationen finden Sie unter https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO für US-Regierungsstellen und -anbieter

Das GCC-Angebot (Government Community Cloud) von ServiceNow verfügt derzeit über eine Zertifizierung als Federal Risk and Authorization Management Program (FedRAMP) High Baseline Provisional Authority to Operate (P-ATO). So kann ServiceNow die Einführung unserer sicheren Cloud-Lösungen durch US-Bundesbehörden und -Anbieter beschleunigen und einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud-Computing-Produkten und -Services gemäß dem Federal Information Security Management Act (FISMA) implementieren.

GCC erhielt im August 2019 die erste Zertifizierung als GCC FedRAMP High Provisional Authority to Operate (P-ATO). GCC erfüllt außerdem die Kontrollanforderungen von Impact Level 4 (IL4) des US-Verteidigungsministeriums und 1253F Privacy Overlay High für personenbezogene Daten oder geschützte Gesundheitsinformationen des CNSSI.

Klicken Sie hier, um ServiceNow im FedRAMP Marketplace zu sehen.
DoD IL4 PA für US-Verteidigungsministerium und -Geheimdienste

Das GCC-Angebot (Government Community Cloud) von ServiceNow verfügt derzeit über eine provisorische Autorisierung (PA) für Impact Level 4 (IL4) des US-Verteidigungsministeriums (Department of Defense, DoD). Das erleichtert die Beschaffung von ServiceNow-Produkten durch US-Verteidigungsministerium und -Geheimdienste und etabliert einen Basisstandard, der durch den Cloud Computing (CC) Security Requirements Guide (SRG) definiert ist, der von der Defense Information Systems Agency (DISA) entwickelt wurde.

ServiceNow erhielt seine erste GCC DoD IL4 PA im Oktober 2019. Die DoD IL4 PA umfasst sowohl FedRAMP High- als auch DoD IL4-Kontrollanforderungen. Das GCC-Angebot von ServiceNow erfüllt auch die Kontrollanforderungen von CNSSI 1253F Privacy Overlay High für personenbezogene Daten oder geschützte Gesundheitsinformationen.

Klicken Sie hier, um ServiceNow in der DISA Storefront im Standardangebotsbereich zu sehen.
DoD IL5 für die National Security Cloud

ServiceNow verfügt über eine provisorische Autorisierung (PA) für Impact Level 5 (IL5) des US-Verteidigungsministeriums (Department of Defense, DoD). Damit ist die National Security Cloud (NSC) von ServiceNow eines der wenigen SaaS- und PaaS-Angebote (Software-as-a-Service/Platform-as-a-Service), die nach dem strengen Department of Defense Cloud Computing Security Requirements Guide auf Impact Level 5 entwickelt und genehmigt wurden.

Die provisorische Autorisierung für IL5 wird die digitale Transformation des Verteidigungsministeriums beschleunigen, da das Ministerium, seine Partner sowie ausgewählte Bundesbehörden hiermit hochsensible Daten, einschließlich kontrollierter, nicht klassifizierter Informationen und nicht klassifizierter nationaler Sicherheitssysteme, an cloudbasierte ServiceNow-Lösungen übertragen können, die auf Microsoft Azure Government gehostet werden.
Standard MTCS (Multi-Tier Cloud Security) Stufe 3 für Singapur

MTCS Level 3 ist eine Zertifizierung, die sicherstellt, dass ServiceNow Standards hinsichtlich der Vertraulichkeit und Integrität von Kundendaten in der Cloud für Singapur erfüllt. Sie baut auf ISO/IEC 27001 auf und umfasst die Souveränität, Aufbewahrung und Verfügbarkeit von Daten sowie betriebliche Kontinuitätsplanung und Notfallwiederherstellung.

ServiceNow ist stolz darauf, die höchste verfügbare Zertifizierungsstufe MTCS Level 3 erreicht zu haben.
ASD IRAP für Cloud-Services für Kategorien OFFICIAL und PROTECTED bewertet

Australian Platforms von ServiceNow wurde von einem anerkannten IRAP-Prüfer unabhängig bewertet, um die australischen ISM-Kontrollen für Daten der Kategorien OFFICIAL und PROTECTED zu erfüllen. Vom IRAP als OFFICIAL und PROTECTED bewertete Cloud-Services bieten australischen Regierungskunden das nötige Vertrauen in die NOW Platform und ermöglichen ServiceNow eine effektive Zusammenarbeit mit australischen Regierungsbehörden und Anbietern kritischer Infrastrukturen.

Weitere Informationen für australische regulierte Kunden finden Sie hier: https://your.servicenow.com/microsoftregulatedindustries/australia
Cloud-Provider der Regierung Kanadas (GC)
Das Canadian Centre for Cyber Security (CCCS) definiert mehrere physische und logische Anforderungen, die für eine Zertifizierung als GC Cloud Provider erfüllt sein müssen. Die Zertifizierung als GC Cloud Provider erfolgt erst, nachdem die Compliance des Unternehmens durch Mitarbeiter des CCCS bestätigt wurde. GC ist die staatlich definierte Klassifizierungsstufe für Daten, die in der Cloud gespeichert werden dürfen.
AICPA SOC 2 TSC und HITRUST CSF
HITRUST wurde im Gesundheitswesen entwickelt, um Compliance-Ziele mithilfe des CSF-Kontrollframeworks zu standardisieren, das ursprünglich auf der Basis von ISO 27001 erstellt wurde. Die Kontrollen wurden seitdem in vielen gängigen Sicherheitsstandards übernommen, darunter NIST 800-53 und die AICPA SOC 2 Trust Services Criteria. Der SOC-2- und HITRUST-Bericht basiert auf der Zusammenarbeit zwischen AICPA und HITRUST Alliance. Er bietet einen Mechanismus, mit dem der Service-Auditor seine Meinung zur Gestaltung und Effektivität der Trust Services Criteria und des HITRUST CSF im selben Bericht abgeben kann.
Cyber Essentials Plus-Zertifizierung im Vereinigten Königreich
Cyber Essentials Plus ist ein Programm, das von der Regierung des Vereinigten Königreichs unterstützt wird und Unternehmen dabei hilft, die Risikominderung und die Bewertung von Cybersicherheitsbedrohungen für ihre IT-Systeme nachzuweisen. Das Programm erfordert die Implementierung verschiedener technischer Kontrollen durch einen externen Auditor, um Best Practices und größtmögliche Sicherheit zu gewährleisten. Aufgrund des regionalen Schwerpunkts des Programms ist die Zertifizierung auf die Region des Vereinigten Königreichs beschränkt.
Compliance mit PCI DSS
Der Payment Card Industry Data Security Standard (PCI DSS) umfasst eine Reihe von Sicherheitsnormen, die 2004 von Visa, MasterCard, Discover Financial Services, JCB International und American Express definiert wurden. Die Compliance-Anforderungen werden heute vom Payment Card Industry Security Standards Council (PCI SSC) geregelt und sollen Kredit- und Debitkarten-Transaktionen vor Datendiebstahl und Betrug schützen. Der Standard ist für ServiceNow relevant, da die verarbeiteten Kundeninformationen Kreditkartendaten enthalten können. Die Zertifizierung von ServiceNow erfolgte im Jahr 2023.
Compliance mit EU DSA

ServiceNow und der EU Digital Services Act (Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG):

Bitte leiten Sie jegliche Kommunikation gemäß dem EU Digital Services Act an DSACompliance@ServiceNow.com weiter.
Datenschutz-Framework

ServiceNow ist Teilnehmer des DPF-Programms (Data Privacy Framework). Das EU-US-DPF, die VK-Erweiterung des EU-USA-DPF sowie das Schweiz-US-DPF wurden jeweils vom US-Handelsministerium und der Europäischen Kommission, der Regierung des Vereinigten Königreichs und der Schweizerischen Bundesverwaltung entwickelt, um US-Organisationen zuverlässige Mechanismen für die Übermittlung personenbezogener Daten aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz bereitzustellen und dabei den Datenschutz im Einklang mit den Gesetzen der EU, des Vereinigten Königreichs und der Schweiz zu gewährleisten.

Weitere Informationen zum DPF-Programm finden Sie hier: https://www.dataprivacyframework.gov/s/. Die DPF-Richtlinie von ServiceNow finden Sie hier: https://www.servicenow.com/de/data-privacy-framework.html.
DSGVO-Compliance Wir unterstützen Unternehmen bei der DSGVO-Compliance – mit Lösungen, die Anforderungen wie besseren Datenzugriff und „Privacy by Design“ nahtlos in den alltäglichen Betrieb integrieren.  Mehr erfahren
Ressourcen Erklärungen ServiceNow investiert in EU-Services Internationale Übertragung von Daten – Häufig gestellte Fragen Sicherheit für den öffentlichen Sektor im Vereinigten Königreich von ServiceNow Leitlinien zu verantwortungsvoller KI Whitepaper Datenverschlüsselung Sicherheit für die Now Platform Anforderungen für regulierte Branchen und Datenschutz (IDC)
Mehr entdecken ServiceNow unterstützt Kunden bei der Verteidigung gegen Sicherheitsbedrohungen, bei der Sicherheit ihrer Daten und bei der Einhaltung immer neuer globaler Bestimmungen.   So funktioniert‘s DSGVO Datenschutz Sicherheit Compliance Now Platform