Cumplimiento Auditorías periódicas para verificar la seguridad y la privacidad de los datos ServiceNow cumple con los marcos de cumplimiento más estrictos para ayudarte a mantener la seguridad y el cumplimiento de forma continua. Visitar el portal de seguridad
Cumplimiento de ServiceNow AI Platform Certificaciones RGPD Recursos
Alt
"ServiceNow se ciñe a estrictas certificaciones y declaraciones del sector para demostrar a los clientes nuestro compromiso con su confianza, su reputación y la seguridad e integridad de sus datos". John Castelly Chief Compliance Officer, ServiceNow
Cumplimiento global y regional
Certificaciones y declaraciones
Certificaciones y declaraciones ServiceNow cumple con los más altos estándares de seguridad y privacidad en todas las regiones. Además, nuestras aplicaciones permiten a las organizaciones cumplir con sus requisitos regionales o del sector. Ver todo
Cumplimiento
Cumplimiento Las certificaciones y declaraciones de cumplimiento son fundamentales. Nuestras competencias técnicas, documentos de orientación y compromisos legales simplifican los procesos de cumplimiento para ti.  Más información
Privacidad de los datos
Privacidad de los datos Al proporcionarte herramientas para proteger tus datos confidenciales, reducimos la exposición al riesgo en partes críticas de tu empresa.  
Control de acceso seguro
Control de acceso seguro Evita el acceso no autorizado a la cuenta y aumenta la seguridad de los datos mediante la autenticación multifactor (MFA). Leer el blog
Transparencia
Transparencia La transparencia genera confianza. Nuestros estrictos términos y acuerdos de protección de datos establecen cómo tratamos los datos, incluidas las políticas para responder a los requerimientos gubernamentales. Averiguar cómo
Impulsamos las iniciativas de seguridad y privacidad Supervisamos de manera proactiva nuestros protocolos de seguridad y los adaptamos a los rápidos cambios en el panorama normativo. Expandir todo Contraer todo ISO/IEC 42001 – Sistema de gestión de inteligencia artificial (AIMS)
ISO/IEC 42001 es el primer estándar internacional para gestionar la inteligencia artificial de forma responsable a lo largo de su ciclo de vida. La certificación de ServiceNow demuestra nuestro compromiso con la creación y el funcionamiento de sistemas de IA con una sólida gobernanza, transparencia y gestión de riesgos, lo que ayuda a los clientes a adoptar la IA con confianza y a cumplir las expectativas normativas y éticas globales.
ISO/IEC 27017:2015

La norma ISO/IEC 27017:2015 cubre la implementación de los controles de seguridad de la información específicos de la nube que se detallan en la norma ISO/IEC 27002.

La certificación se obtiene a través de una auditoría anual independiente, y ServiceNow cuenta con la certificación ISO/IEC 27017:2015 desde 2018.
ISO/IEC 27001:2022

La certificación ISO/IEC 27001:2022 especifica las prácticas recomendadas para la gestión y los controles de la seguridad, según la guía de prácticas recomendadas de ISO/IEC 27002. Garantiza que nuestro sistema de gestión de seguridad de la información (ISMS) esté optimizado para mantener el ritmo de los cambios en las amenazas de seguridad, algo esencial para el ritmo vertiginoso al que evoluciona la seguridad de TI.

La certificación se renueva cada tres años por medio de una auditoría, que también incluye una petición de auditoría de vigilancia anual para demostrar que ServiceNow:

  1. Ha diseñado e implementado un ISMS completo.
  2. Ha adoptado un proceso continuo de gestión de riesgos para garantizar la puesta en marcha de los controles de seguridad de la información adecuados para abordar los cambios constantes en los riesgos y el panorama de amenazas.
  3. Evalúa sistemática y adecuadamente los riesgos de seguridad de la información, teniendo en cuenta factores como las consecuencias de las vulnerabilidades y las amenazas de las empresas.

ServiceNow cuenta con la certificación ISO/IEC 27001 desde 2012. El certificado está disponible aquí.
ISO/IEC 27018:2019

La norma ISO/IEC 27018:2019 es un código de prácticas basado en la norma ISO/IEC 27002 que cubre la protección de la información personal identificable (PII) en nubes públicas de acuerdo con los principios de privacidad de la norma ISO/IEC 29100.

La certificación se obtiene mediante una auditoría anual independiente, y ServiceNow cuenta con la certificación ISO/IEC 27018:2019 desde 2016.
ISO/IEC 27701:2019
Esta extensión de ISO/IEC 27001 se centra en el establecimiento y mantenimiento de un Sistema de gestión de la información de privacidad (PIMS). Esto es relevante para ServiceNow como encargado del tratamiento de datos de clientes que pueden contener información personal identificable (PII). ServiceNow recibió esta certificación en 2020.
Informes SSAE 18 SOC 1 y SOC 2

El marco de trabajo de Service Organizational Control (SOC) certifica que ServiceNow cumple el estándar necesario en lo que se refiere a contar con controles para proteger la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes en la nube.

- SOC 1 se centra en la efectividad de los controles internos que afectan a los informes financieros de los clientes.

- SOC 2 evalúa los controles relevantes para la disponibilidad, la integridad, la seguridad, la confidencialidad o la privacidad.

ServiceNow se somete a una auditoría por parte de un tercero y mantiene la certificación SSAE 18 SOC 1 Tipo 2 desde 2011 (en 2017, SSAE 18 sustituyó a SSAE 16). SSAE 18 se ajusta al estándar internacional ISAE3402 y sustituye a SAS70, ahora en desuso.

El informe SOC 1 de ServiceNow abarca el periodo del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

El informe SOC 1 que cubre el periodo del 1 de abril al 31 de marzo está disponible a través de ServiceNow CORE al final de cada segundo trimestre natural (junio).

Desde 2013, ServiceNow también mantiene la certificación anual SOC 2 Tipo 2, que es relevante para los controles de seguridad, disponibilidad y confidencialidad que se indican en los criterios de servicios de confianza (TSC, por sus siglas en inglés) del Instituto Americano de Contables Públicos Certificados (AICPA).

El informe SOC 2 de ServiceNow abarca el periodo del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

Se proporciona una carta puente entre periodos de auditoría para que la empresa quede cubierta durante todo el año.

La carta puente de SOC 1 de ServiceNow que abarca el periodo del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada primer trimestre del siguiente año natural.

La carta puente de SOC 1 que abarca el periodo del 1 de abril al 30 de junio está disponible a través de ServiceNow CORE al final de cada tercer trimestre natural.

La carta puente de SOC 2 de ServiceNow abarca el periodo del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada primer trimestre del siguiente año natural.
Estándar sobre el catálogo de controles de cumplimiento de computación en la nube (C5) de la BSI
El C5 es un catálogo de controles de cumplimiento específico para la nube desarrollado por la Oficina Federal Alemana de Seguridad de la Información (BSI) para los sectores público y privado. El informe de certificación C5 sigue un proceso y un esquema similares a los de los informes AICPA SOC 2, y comparte muchos requisitos con los criterios de servicios de confianza de la AICPA, a los que se añaden los específicos para la nube. ServiceNow recibió su informe de certificación C5 en 2020.
Reconocimiento de privacidad para encargados del tratamiento (PRP) de APEC
El PRP de APEC es una certificación voluntaria para los encargados del tratamiento específica de la región de Asia-Pacífico y desarrollada por miembros locales en la región. Las certificaciones se renuevan anualmente, pero se puede reclamar la intervención de los evaluadores con mayor frecuencia si se produce algún cambio que pueda afectar significativamente a los procesos o procedimientos de privacidad del encargado del tratamiento.
Servicios en la nube del ISMAP
El Programa de gestión y evaluación de la seguridad del sistema de información (ISMAP) tiene el objetivo de garantizar la seguridad en la adquisición de servicios en la nube por parte del Gobierno japonés mediante la evaluación y el registro de servicios en la nube que cumplen con los requisitos de seguridad pertinentes.  Now Platform de ServiceNow se sometió a la evaluación independiente de un evaluador registrado de ISMAP para garantizar que cumpla los criterios de control de ISMAP, y está registrada como servicio en la nube ISMAP desde marzo de 2022.  La lista de servicios en la nube ISMAP está disponible aquí: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR de nivel 2: certificación STAR
La Matriz de controles en la nube (CCM) es un marco de trabajo de controles (políticas y procedimientos) esenciales para la seguridad de la computación en la nube. Fue creada por la Alianza de seguridad en la nube (CSA), la organización que se ocupa de actualizarla y ajustarla a sus prácticas recomendadas. La certificación CSA STAR de nivel 2 es una rigurosa evaluación independiente llevada a cabo por terceros que tiene el objetivo de verificar que la seguridad de un proveedor de servicios en la nube cumpla con la CCM de CSA, así como con los requisitos de la norma ISO/IEC 27001.
EU Cloud CoC

El Código de conducta de la nube para la UE (EU Cloud CoC) comprende una serie de requisitos de control diseñados para promover la confianza y la transparencia en el mercado europeo de computación en la nube, así como para simplificar el proceso de evaluación del riesgo de los proveedores de servicios en la nube (CSP) para los clientes que utilizan la nube. Para demostrar el cumplimiento, ServiceNow llevó a cabo una auditoría interna de más de 80 requisitos de EU Cloud CoC, la cual luego se sometió a una evaluación externa. La validación externa del cumplimiento por parte de ServiceNow del EU Cloud CoC es una prueba fehaciente de nuestro esfuerzo continuo por cumplir con las normas más exigentes de privacidad y seguridad, así como por adherirnos a nuestras certificaciones de privacidad y seguridad.

Se ha comprobado que los servicios cumplen con EU Cloud CoC (ID de verificación: 2022LVL02SCOPE3113). Para obtener más información, visita https://eucoc.cloud/en/public-register.
P-ATO de nivel High de FedRAMP para entidades y proveedores gubernamentales de EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow actualmente ostenta una autorización para operar provisional (P-ATO) de nivel High del Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). Esto permite a ServiceNow acelerar la adopción de nuestras soluciones en la nube segura por parte de los organismos federales y proveedores de Estados Unidos, e implanta un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios de computación en la nube según la Ley Federal de Gestión de la Seguridad de la Información (FISMA, por sus siglas en inglés).

GCC recibió la autorización para operar provisional (P-ATO) de nivel High del FedRAMP en agosto de 2019. GCC también cumple con los requisitos de control de PII + PHI High de superposición de la privacidad de nivel 4 de impacto (IL4) del Departamento de Defensa (DoD) y CNSSI 1253F.

Haz clic aquí para ver a ServiceNow en FedRAMP Marketplace
PA de IL4 del DoD para entidades DoD e IC de EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow actualmente ostenta una autorización provisional (PA) de nivel 4 de impacto (IL4) del Departamento de Defensa (DoD). Esto facilita el aprovisionamiento de productos de ServiceNow al Departamento de Defensa (DoD) y la Comunidad de Inteligencia (IC) de EE. UU., y establece un estándar de referencia definido por la guía de requisitos de seguridad (SRG) para la computación en la nube (CC) del DoD, elaborada por la Agencia de Sistemas de Información de Defensa (DISA).

ServiceNow recibió su autorización provisional de IL4 del DoD para GCC en octubre de 2019. La PA de IL4 del DoD incluye los requisitos de control FedRAMP High y DoD IL4. La oferta de GCC de ServiceNow también cumple con los requisitos de control de PII + PHI High de superposición de la privacidad de CNSSI 1253F.

Haz clic aquí para ver a ServiceNow en la sección de Oferta estándar del escaparate de la DISA
DoD IL5 para National Security Cloud

ServiceNow ha obtenido una autorización provisional de nivel 5 de impacto (IL5) del Departamento de Defensa (DoD) de EE. UU. Esto convierte a National Security Cloud (NSC) de ServiceNow en una de las pocas ofertas de software como servicio y plataforma como servicio (SaaS/PaaS) desarrollada y autorizada para cumplir con la estricta guía de requisitos de seguridad para la computación en la nube del Departamento de Defensa, con un nivel 5 de impacto.

La autorización provisional IL5 acelerará la transformación digital del Departamento de Defensa, ya que permite a este, a sus socios de misión y a determinadas agencias federales mover datos altamente confidenciales —incluida la información no clasificada controlada y los sistemas de seguridad nacional no clasificados— a soluciones con soporte en la nube de ServiceNow alojadas en Microsoft Azure Government.
Nivel 3 del Estándar de seguridad multinivel en la nube de Singapur (MTCS)

El nivel 3 de MTCS es una certificación que garantiza que ServiceNow cumpla los estándares de confidencialidad e integridad de los datos de nuestros clientes en la nube en Singapur. Desarrolla la norma ISO/IEC 27001 y cubre la soberanía, la retención y la disponibilidad de los datos, junto con la planificación de la continuidad del negocio y la recuperación ante desastres.

ServiceNow se enorgullece de haber logrado el nivel 3 de MTCS, el nivel más alto de certificación disponible.
Evaluación de ASD IRAP para servicios en la nube OFICIALES y PROTEGIDOS

Un evaluador avalado por IRAP ha evaluado de forma independiente el cumplimiento de las plataformas australianas de ServiceNow con respecto a los controles de ISM australianos para datos OFICIALES y PROTEGIDOS. El IRAP evaluó que los servicios en la nube OFICIALES y PROTEGIDOS ofrezcan a los clientes del gobierno australiano fiabilidad y confianza en Now Platform y permitan a ServiceNow interactuar de forma efectiva con las agencias gubernamentales australianas y los proveedores de infraestructuras críticas.

Puedes consultar más información sobre los clientes regulados australianos aquí: https://your.servicenow.com/microsoftregulatedindustries/australia
GC Cloud Provider del Gobierno de Canadá
El Centro Canadiense para la Ciberseguridad (CCCS) ha establecido un conjunto de requisitos físicos y lógicos que debe cumplir un GC Cloud Provider certificado. Los proveedores de nube deben demostrar el cumplimiento al personal del CCCS antes de que se les apruebe como GC Cloud Provider. GC es el nivel de clasificación de datos definido por el gobierno que está aprobado para el almacenamiento en la nube.
Certificación HITRUST
El sector de la atención sanitaria desarrolló HITRUST para estandarizar los objetivos de cumplimiento mediante el marco de trabajo CSF de controles, que originariamente se creó a partir de la norma ISO27001. El programa de aseguramiento de CSF de HITRUST refuerza de forma eficaz la confianza en la protección de la información a través de una ruta de evaluación y presentación de informes alcanzable para organizaciones de todos los tamaños, complejidades y riesgos. La certificación se otorga a las organizaciones que completan una evaluación validada y superan el umbral de puntuación requerido y otros criterios de certificación.
Certificación Cyber Essentials Plus del Reino Unido
Cyber Essentials Plus es una certificación respaldada por el Gobierno del Reino Unido que sirve a las organizaciones para demostrar su capacidad para evaluar y mitigar los riesgos que las amenazas de ciberseguridad suponen para sus sistemas de TI. El plan de certificación, que lleva a cabo un auditor externo, requiere que se implementen diversos controles técnicos para garantizar que se apliquen las prácticas recomendadas y maximizar la seguridad. Dado el enfoque regional del plan, la certificación se limita al Reino Unido.
Cumplimiento de PCI DSS
Las Normas de Seguridad de los Datos (DSS) del Sector de Tarjetas de Pago (PCI) son un conjunto de estándares en materia de seguridad conformados en 2004 por Visa, MasterCard, Discover Financial Services, JCB International y American Express. Regidos por el Consejo de Normas de Seguridad (SSC) del Sector de Tarjetas de Pago (PCI), los requisitos de cumplimiento se elaboraron para proteger las transacciones con tarjetas de crédito y débito contra el robo de datos y el fraude. Esto es relevante para ServiceNow como encargado del tratamiento de datos de clientes que pueden contener información de su tarjeta de crédito. ServiceNow se ajustó a estas normas en 2023.
Cumplimiento de EU DSA

ServiceNow y el Reglamento de Servicios Digitales de la UE (Reglamento [UE] 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE):

Dirige cualquier comunicación de acuerdo con el Reglamento de Servicios Digitales de la UE a DSACompliance@ServiceNow.com.
Marco de privacidad de datos

ServiceNow participa en el programa Marco de privacidad de datos (DPF). El DPF UE-EE. UU., la ampliación del Reino Unido al DPF UE-EE. UU. y el DPF Suiza-EE. UU. fueron desarrollados por el Departamento de Comercio de EE. UU., la Comisión Europea, el Gobierno del Reino Unido y la Administración Federal Suiza, respectivamente, con el fin de proporcionar a las organizaciones estadounidenses mecanismos fiables para transferir datos personales a EE. UU. desde la UE, el Reino Unido y Suiza y, al mismo tiempo, garantizar una protección de datos coherente con la legislación de la UE, el Reino Unido y Suiza.

Puedes encontrar más información sobre el programa DPF aquí (https://www.dataprivacyframework.gov/s/). La política del DPF de ServiceNow está disponible aquí (https://www.servicenow.com/es/data-privacy-framework.html).
ISO/IEC 9001:2015

La certificación ISO 9001:2015 especifica las prácticas recomendadas y los controles del sistema de gestión de calidad (QMS), lo que garantiza que una organización proporcione de forma coherente productos y servicios que cumplan los requisitos normativos y del cliente. Demuestra nuestro esfuerzo constante por cumplir unos estándares de alta calidad y fomentar la mejora continua en todos los aspectos de nuestras operaciones.

La certificación se renueva cada tres años por medio de una auditoría, que también incluye una auditoría de vigilancia anual para confirmar que nuestra organización:

  • ha diseñado e implementado un QMS sólido, lo que garantiza que todos los procesos se ajusten a las prácticas recomendadas del sector;
  • sigue un enfoque centrado en el cliente para garantizar una satisfacción y un compromiso constantes;
  • mantiene una cultura de mejora continua al aprovechar la información y los comentarios basados en datos para perfeccionar los procesos y fomentar el rendimiento;
  • evalúa activamente los riesgos y las oportunidades para mejorar la eficacia del QMS y adaptarse a las cambiantes condiciones operativas y del mercado.
ISO/IEC 20000:2018

La certificación ISO/IEC 20000-1:2018 especifica las prácticas recomendadas para la gestión de servicios de TI (ITSM), lo que garantiza que las organizaciones ofrezcan servicios de TI de alta calidad que satisfagan las necesidades de los clientes y los requisitos normativos. Demuestra nuestro esfuerzo constante por gestionar y mejorar la calidad de nuestra prestación de servicios de TI, al tiempo que se sigue un enfoque centrado en la eficiencia y la satisfacción del cliente.

La certificación se renueva cada tres años por medio de una auditoría, que también incluye una auditoría de vigilancia anual para confirmar que nuestra organización:

  • ha diseñado e implementado un completo sistema de gestión de servicios (SMS) de TI que se ajusta a los estándares ISO/IEC 20000-1;
  • supervisa y mejora continuamente el rendimiento y la prestación de los servicios de TI para garantizar que se cumplen las expectativas de los clientes y los parámetros de referencia del sector;
  • garantiza un enfoque sistemático para gestionar los riesgos y las oportunidades relacionados con el servicio para ajustarse continuamente a los requisitos de los clientes y las tendencias tecnológicas en constante evolución;
  • promueve una cultura de mejora continua del servicio (CSI) mediante el uso de comentarios y métricas para optimizar los procesos de servicio de TI y garantizar una prestación de servicios coherente y fiable.
ISO/IEC 22301:2019

La certificación ISO 22301:2019 describe las prácticas recomendadas para los sistemas de gestión de la continuidad empresarial (BCMS), lo que garantiza que las organizaciones estén preparadas para responder eficazmente a las interrupciones y mantener las operaciones empresariales críticas. Demuestra nuestro esfuerzo constante por proteger la resiliencia y la continuidad de las operaciones frente a posibles crisis o emergencias.

La certificación se renueva cada tres años por medio de una auditoría, que también incluye una auditoría de vigilancia anual para confirmar que nuestra organización:

  • ha diseñado e implementado un BCMS sólido que se ajusta a las normas ISO 22301;
  • mantiene un enfoque proactivo para identificar y mitigar las posibles amenazas a la continuidad empresarial para garantizar la disponibilidad continua de los servicios esenciales;
  • evalúa y prueba sistemáticamente los planes de recuperación para garantizar que sean eficaces a la hora de minimizar el impacto de las interrupciones y mantener las funciones empresariales críticas;
  • promueve una mejora continua.
Certificación en Esquema Nacional de Seguridad (ENS) Ver certificación Ver exención de responsabilidad
Certificación en Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un marco de certificación español que establece los criterios y requisitos para garantizar la adecuada protección de la información electrónica en el ámbito de la administración electrónica. Regido por un real decreto, el ENS establece estándares para las administraciones y entidades públicas, así como para las empresas privadas que procesan datos públicos. Clasificando los datos en función de su confidencialidad y las operaciones realizadas con ellos, el ENS define distintos niveles de medidas de seguridad, desde las básicas hasta las más altas, para garantizar una protección sólida de los datos, una gestión de incidentes eficaz y comprobaciones de cumplimiento periódicas a través auditorías. Esta certificación es fundamental para fomentar la confianza en los servicios electrónicos prestados por y a la administración española.

ServiceNow se ha ajustado a los requisitos para cumplir con la ENS a nivel "Alto".
Cumplimiento del RGPD Ayudamos a las organizaciones a cumplir con el RGPD con soluciones que convierten el cumplimiento de los requisitos (como un mayor acceso a los datos y privacidad desde el diseño) en una parte integral de las operaciones diarias.  Más información
Recursos Comunicados ServiceNow invierte en servicios de la UE Preguntas frecuentes sobre las transferencias de datos internacionales Seguridad de ServiceNow para el sector público del Reino Unido Pautas de uso responsable de la IA White papers Cifrado de datos Protección de ServiceNow AI Platform Sectores regulados y requisitos de privacidad de datos (IDC)
Explorar más ServiceNow te ayuda a defenderte de las amenazas a la seguridad, proteger tus datos y cumplir con los crecientes mandatos globales.    Descubrir cómo RGPD Privacidad Seguridad Cumplimiento ServiceNow AI Platform Portal de seguridad para clientes