Auditorías periódicas para garantizar la seguridad y privacidad de los datos

La certificación ISO/IEC 27001:2013 especifica las prácticas recomendadas para la gestión y los controles de la seguridad, según la guía de prácticas recomendadas ISO/IEC 27002. Garantiza que nuestro sistema de gestión de seguridad de la información (ISMS) esté optimizado para mantener el ritmo de los cambios en las amenazas de seguridad, algo esencial en el mundo acelerado de la seguridad de IT.

Cada tres años, se renueva la certificación a través de una auditoría, así como una petición de auditoría de vigilancia anual para demostrar que ServiceNow:

• 1. Ha diseñado e implementado un ISMS completo.

• 2. Ha adoptado un proceso de gestión de riesgo continuo para garantizar la puesta en marcha de los controles de seguridad de la información adecuados para abordar los riesgos y el panorama de amenazas en constante evolución.

• 3. Evalúa sistemática y adecuadamente los riesgos de seguridad de la información, teniendo en cuenta varios factores, como el impacto de las vulnerabilidades y las amenazas de las empresas.

ServiceNow cuenta con la certificación ISO/IEC 27001 desde 2012, y el certificado está disponible aquí.

La norma ISO/IEC 27017:2015 se ocupa de la implementación de los controles de seguridad específicos para la nube según se detallan en la norma ISO/IEC 27002.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27017:2015 desde 2018.

La norma ISO/IEC 27018:2019 es un código de prácticas basado en la norma ISO/IEC 27002 y se ocupa de la protección de la información identificable personalmente (PII) en nubes públicas de acuerdo con los principios de privacidad de la norma ISO/IEC 29100.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27018:2019 desde 2016.

El marco de Service Organizational Control (SOC) certifica que ServiceNow cumple el estándar necesario en lo que se refiere a contar con controles para proteger la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes en la nube.

• -SOC 1 se centra en la efectividad de los controles internos que afectan a los informes financieros de los clientes.
• -SOC 2 evalúa los controles relevantes para la disponibilidad, la integridad, la seguridad, la confidencialidad o la privacidad.

ServiceNow se somete a auditoría por parte de un tercero y mantiene la certificación SSAE 18 SOC 1 Tipo 2 desde 2011 (la SSAE 18 sustituyó a la SSAE 16 en 2017). La SSAE 18 se ajusta al estándar internacional ISAE3402 y sustituye al SAS70, ahora en desuso.

El informe SOC 1 de ServiceNow abarca el periodo del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

El informe SOC 1 que cubre el periodo del 1 de abril al 31 de marzo está disponible a través de ServiceNow CORE al final de cada segundo trimestre natural (junio).

ServiceNow también ha logrado la certificación anual SOC 2 tipo 2 desde 2013, relevante para los controles de seguridad, disponibilidad y confidencialidad enumerados en los criterios de servicios fiables (TSC, por sus siglas en inglés) del Instituto Americano de Contables Públicos Certificados (AICPA).

El informe SOC 2 de ServiceNow abarca el periodo del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

Se proporciona una carta puente entre periodos de auditoría de forma que la empresa queda cubierta durante todo el año.

La carta puente de SOC 1 de ServiceNow que abarca el periodo del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.

La carta puente de SOC 1 que abarca el periodo del 1 de abril al 30 de junio está disponible a través de ServiceNow CORE al final de cada tercer trimestre natural.

La carta puente de SOC 2 de ServiceNow abarca el periodo del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.

El C5 es un catálogo de controles de cumplimiento específico para la nube desarrollado por la Oficina Federal Alemana de Seguridad de la Información (BSI) para los sectores público y privado. El informe de certificación C5 sigue un proceso y un esquema similares a los de los informes AICPA SOC 2, y comparte muchos requisitos con los criterios de servicios de confianza de la AICPA, a los que se añaden los específicos para la nube. ServiceNow recibió su informe de certificación C5 en 2020.

El PRP de APEC es una certificación voluntaria para los encargados del tratamiento específica de la región de Asia-Pacífico y desarrollada por miembros locales en la región. Las certificaciones se renuevan anualmente, pero se puede reclamar la intervención de los evaluadores con mayor frecuencia si se produce algún cambio que puede afectar significativamente a los procesos o procedimientos de privacidad del encargado del tratamiento.

El Programa de Gestión y Evaluación de la Seguridad del Sistema de Información (ISMAP) es un programa cuyo objetivo es garantizar el nivel de seguridad en la adquisición de servicios en la nube por parte del Gobierno japonés mediante la evaluación y el registro de servicios en la nube que cumplen con los requisitos de seguridad pertinentes. La plataforma Now Platform de ServiceNow fue sometida a la evaluación independiente de un evaluador ISMAP registrado para cumplir con los criterios de control de ISMAP y se ha registrado como servicio en la nube ISMAP desde marzo de 2022. La lista de servicios en la nube ISMAP está disponible aquí: https://www.ismap.go.jp/csm?id=cloud_service_list.

Esta extensión de ISO/IEC 27001 se centra en el establecimiento y mantenimiento de un Sistema de Gestión de Información de Privacidad (PIMS). Esto es relevante para ServiceNow como encargado del tratamiento de datos de clientes que pueden contener información identificable personalmente (PII). ServiceNow recibió esta certificación en 2020.

PinkVERIFY™ garantiza que ServiceNow puede demostrar que sus productos IT Service Management (ITSM) son compatibles con las prácticas recomendadas por la Biblioteca de Infraestructura de Tecnologías de Información (ITIL, por sus siglas en inglés).

ServiceNow se enorgullece de ser el primer proveedor de SaaS en lograr el estado de PinkVERIFY™ en 11 procesos ITIL en 2009 y ha evolucionado y mejorado sus soluciones ITSM de forma continua al tiempo que mantiene esta certificación de la industria.

La oferta de Government Community Cloud (GCC) de ServiceNow actualmente ostenta una autorización para operar provisional (P-ATO) de nivel High del Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). Esto permite a ServiceNow acelerar la adopción de nuestras soluciones en la nube segura por parte de los organismos federales y proveedores de Estados Unidos, e implanta un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios de computación en la nube según la Ley Federal de Gestión de la Seguridad de la Información (FISMA, por sus siglas en inglés).

GCC recibió la autorización para operar provisional (P-ATO) de nivel High del FedRAMP en agosto de 2019. GCC también cumple con los requisitos de control de PII + PHI High de superposición de la privacidad de nivel 4 de impacto (IL4) del Departamento de Defensa (DoD) y CNSSI 1253F.

Haz clic aquí para ver a ServiceNow en el Marketplace del FedRAMP

La oferta de Government Community Cloud (GCC) de ServiceNow actualmente ostenta una autorización provisional (PA) de nivel 4 de impacto (IL4) del Departamento de Defensa (DoD). Esto facilita el aprovisionamiento de productos de ServiceNow al Departamento de Defensa (DoD) y la Comunidad de Inteligencia (IC) de EE. UU., y establece un estándar de referencia definido por la guía de requisitos de seguridad (SRG) para la computación en la nube (CC) del DoD, elaborada por la Agencia de Sistemas de Información de Defensa (DISA).

ServiceNow recibió su autorización provisional de IL4 del DoD para GCC en octubre de 2019. La PA de IL4 del DoD incluye los requisitos de control FedRAMP High y DoD IL4. La oferta de GCC de ServiceNow también cumple con los requisitos de control de PII + PHI High de superposición de la privacidad de CNSSI 1253F.

Haz clic aquí para ver a ServiceNow en la sección de Oferta estándar del escaparate de la DISA

ServiceNow cumple con el Marco del Escudo de la privacidad UE-EE. UU. y el Marco del Escudo de la privacidad Suiza-EE. UU., establecidos por el Departamento de Comercio de los Estados Unidos con respecto a la recopilación, el uso y la retención de los datos personales transferidos desde la Unión Europea y el Reino Unido y Suiza a los Estados Unidos, respectivamente. Para obtener más información sobre el Marco de protección de la privacidad, visita el sitio web dedicado a la Protección de la privacidad del Departamento de Comercio, que se encuentra aquí.

El nivel 3 de MTCS es una certificación que garantiza que ServiceNow cumple los estándares de confidencialidad e integridad de los datos de nuestros clientes en la nube en Singapur. Desarrolla la norma ISO/IEC 27001 y cubre la soberanía, la retención y la disponibilidad de los datos, junto con la planificación de continuidad empresarial y la recuperación ante desastres.

ServiceNow se enorgullece de haber logrado el nivel 3 de MTCS, el nivel más alto de certificación disponible.

Un evaluador avalado por IRAP ha evaluado el cumplimiento de las plataformas australianas de ServiceNow de los controles de ISM australianos para datos OFICIALES y PROTEGIDOS. El IRAP evaluó que los servicios en la nube OFICIALES y PROTEGIDOS ofrecen a los clientes del gobierno australiano fiabilidad y confianza en Now Platform y permiten a ServiceNow interactuar de forma efectiva con las agencias gubernamentales australianas y los proveedores de infraestructuras críticas. Puedes consultar más información sobre los clientes regulados australianos aquí: https://your.servicenow.com/microsoftregulatedindustries/australia.

El Centro Canadiense para la Ciberseguridad (CCCS) ha establecido un conjunto de requisitos físicos y lógicos que debe cumplir un GC Cloud Provider certificado. Los proveedores de nube deben demostrar el cumplimiento al personal del CCCS antes de la aprobación como GC Cloud Provider. GC es el nivel de clasificación de datos definido por el gobierno que está aprobado para el almacenamiento en la nube.

ServiceNow se convirtió en GC Cloud Provider en 2020. Hay disponible más información al respecto aquí.

El sector de la atención sanitaria desarrolló HITRUST para estandarizar los objetivos de cumplimiento mediante el marco CSF de controles, creado a partir de la norma ISO27001. Desde entonces, se han incorporado y asignado a muchos estándares de seguridad habituales, como NIST 80053 y los criterios de servicios de confianza SOC 2 de AICPA. El informe SOC 2 + HITRUST es una colaboración entre AICPA y HITRUST Alliance. Proporciona un mecanismo para que el auditor del servicio opine sobre el diseño y la efectividad de los criterios de servicios de confianza y HITRUST CSF en el mismo informe.

Cyber Essentials Plus es una certificación respaldada por el Gobierno del Reino Unido que sirve a las organizaciones para demostrar su capacidad de evaluación y mitigación de riesgos de las amenazas a la seguridad cibernética a sus sistemas de TI. El plan de certificación, que lleva a cabo un auditor externo, requiere la implementación de diversos controles técnicos para garantizar la aplicación de prácticas recomendadas y la máxima seguridad. Debido al enfoque regional del plan, la certificación se limita al Reino Unido.

ServiceNow ha obtenido una autorización provisional de nivel 5 de impacto (IL5) del Departamento de Defensa (DoD) de EE. UU. Esto convierte a National Security Cloud (NSC) de ServiceNow en una de las pocas ofertas de software como servicio y plataforma como servicio (SaaS/PaaS) desarrollada y autorizada para cumplir con la estricta guía de requisitos de seguridad para la computación en la nube del Departamento de Defensa, con un nivel 5 de impacto.

La autorización provisional IL5 acelerará la transformación digital del Departamento de Defensa, ya que le permite a este, a sus socios de misión y a determinadas agencias federales mover datos altamente confidenciales, incluida la información no clasificada controlada y los sistemas de seguridad nacional no clasificados, a soluciones basadas en los procesadores de nube de ServiceNow alojados en Microsoft Azure Government.