Conformité Audits périodiques pour vérifier la sécurité et la confidentialité des données ServiceNow se conforme aux infrastructures de conformité les plus strictes pour vous aider à maintenir la sécurité et la conformité. Consulter le portail de sécurité
Conformité de ServiceNow AI Platform Certifications RGPD Ressources
Texte alternatif
« ServiceNow cherche à obtenir des certifications et des attestations très strictes pour montrer que nous sommes déterminés à aider nos clients en préservant leur confiance, leur réputation, ainsi que la sécurité et l’intégrité de leurs données ». John Castelly Chief Compliance Officer, ServiceNow
Conformité mondiale et régionale
Certifications et attestations
Certifications et attestations ServiceNow respecte les normes les plus strictes en matière de sécurité et de confidentialité dans toutes les régions. En outre, nos applications permettent aux organisations de répondre à vos exigences sectorielles ou régionales. Voir tout
Conformité
Conformité Les certifications et attestations de conformité sont essentielles. Nous facilitons les processus de conformité grâce à nos capacités techniques, nos documents d’orientation et nos engagements juridiques.  En savoir plus
Confidentialité des données
Confidentialité des données En fournissant les outils nécessaires à la protection de vos données sensibles, nous réduisons l’exposition au risque des parties importantes de votre entreprise.  
Contrôle d’accès sécurisé
Contrôle d’accès sécurisé Nous empêchons l’accès non autorisé aux comptes et augmentons la sécurité des données grâce à l’authentification multifactorielle (AMF). Lire le blogue
Transparence
Transparence La transparence inspire la confiance. Nos conditions strictes et nos accords de protection des données dictent la manière dont nous traitons les données, y compris les politiques de réponse aux demandes des gouvernements. Voir comment
Nous favorisons les initiatives en matière de sécurité et de confidentialité Nous surveillons nos protocoles de sécurité de manière proactive et les adaptons à l’évolution rapide de la réglementation. Tout développer Réduire tout ISO/CEI 42001 – Système de gestion de l’intelligence artificielle (AIMS)
ISO/CEI 42001 est la première norme internationale pour gérer l’intelligence artificielle de manière responsable tout au long de son cycle de vie. La certification de ServiceNow démontre notre engagement à créer et à exploiter des systèmes d’IA avec une gouvernance, une transparence et une gestion des risques robustes, afin d’aider les clients à adopter l’IA en toute confiance et en répondant aux attentes réglementaires et éthiques mondiales.
ISO/CEI 27017:2015

La norme ISO/CEI 27017:2015 concerne la mise en œuvre des contrôles de sécurité propres au nuage précisés dans la norme ISO/CEI 27002.

La certification est obtenue par un audit indépendant annuel et ServiceNow est une organisation certifiée ISO/CEI 27017:2015 depuis 2018.
ISO/CEI 27001:2022

La certification ISO/CEI 27001:2022 définit les pratiques exemplaires et les contrôles en matière de gestion de la sécurité sur la base du guide des pratiques exemplaires ISO/CEI 27002. Elle garantit que notre système de gestion de la sécurité de l’information (ISMS) est parfaitement adapté à l’évolution des menaces de sécurité, ce qui est essentiel dans le monde en constante et rapide évolution de la sécurité informatique.

Le renouvellement de la certification est obtenu par un audit tous les trois ans, y compris un ordre d’audit de surveillance annuel pour prouver que ServiceNow :

  1. a conçu et mis en œuvre un ISMS complet;
  2. a adopté un processus continu de gestion des risques pour s’assurer que les contrôles de sécurité de l’information appropriés sont en place pour répondre à un contexte de menaces et de risques en constante évolution;
  3. évalue de manière systématique et appropriée les risques liés à la sécurité de l’information, en tenant compte de plusieurs facteurs, notamment l’impact des menaces et des vulnérabilités de l’entreprise.

ServiceNow est une organisation certifiée ISO/CEI 27001 depuis 2012 et le certificat est consultable ici.
ISO/CEI 27018:2019

La norme ISO/CEI 27018:2019 est un code de bonne pratique basé sur la norme ISO/CEI 27002 et concerne la protection des renseignements permettant d’identifier une personne dans les services en nuage publics, conformément aux principes de confidentialité de la norme ISO/CEI 29100.

La certification est obtenue par un audit indépendant annuel et ServiceNow est une organisation certifiée ISO/CEI 27018:2019 depuis 2016.
ISO/CEI 27701:2019
Cette extension de la norme ISO/CEI 27001 porte sur la mise en place et la maintenance d’un système de gestion des informations relatives à la protection de la vie privée (PIMS). Elle est importante pour ServiceNow en tant que sous-traitant de données clients pouvant contenir des renseignements permettant d’identifier une personne. ServiceNow a reçu cette certification en 2020.
Rapports SSAE 18 SOC 1 et SOC 2

L’infrastructure de contrôle organisationnel des services (SOC) est une attestation certifiant que ServiceNow répond aux normes requises concernant les contrôles mis en place pour protéger la confidentialité, l’intégrité et la disponibilité des données de nos clients dans le nuage.

– SOC 1 se concentre sur l’efficacité des contrôles internes qui affectent les rapports financiers des clients.

– SOC 2 évalue les contrôles relatifs à la disponibilité, à l’intégrité, à la sécurité, à la confidentialité ou à la protection de la vie privée.

ServiceNow est auditée par une tierce partie et a réussi à maintenir son attestation SSAE 18 SOC 1 Type 2 depuis 2011 (SSAE 18 a remplacé SSAE 16 en 2017). La norme SSAE 18 est alignée sur la norme internationale ISAE3402 et a remplacé la norme SAS70, désormais obsolète.

Le rapport SOC 1 de ServiceNow couvrant la période du 1er octobre (de l’année civile précédente) au 30 septembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin de chaque année civile (décembre).

Le rapport SOC 1 couvrant la période du 1er avril au 31 mars est consultable sur ServiceNow CORE à la fin du deuxième trimestre civil (juin).

ServiceNow a également obtenu une attestation annuelle SOC 2 de type 2 depuis 2013, relative aux contrôles de sécurité, de disponibilité et de confidentialité énumérés dans les critères des services de confiance de l’AICPA (Trust Services Criteria – TSC).

Le rapport SOC 2 de ServiceNow couvrant la période du 1er octobre (de l’année civile précédente) au 30 septembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin de chaque année civile (décembre).

Une lettre de transition est fournie entre les périodes d’audit pour permettre à l’entreprise d’être couverte pendant toute l’année.

La lettre de transition SOC 1 de ServiceNow couvrant la période du 1er octobre (de l’année civile en cours) au 31 décembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin du premier trimestre de l’année suivante.

La lettre de transition SOC 1 couvrant la période du 1er avril au 30 juin est consultable sur ServiceNow CORE à la fin du troisième trimestre civil.

La lettre de transition SOC 2 de ServiceNow couvrant la période du 1er octobre (de l’année civile en cours) au 31 décembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin du premier trimestre de l’année suivante.
Norme Catalogue des contrôles de conformité de l’informatique en nuage de BSI (Cloud Computing Compliance Controls Catalog, C5)
C5 est un catalogue de contrôles de conformité en nuage mis au point par le Bureau fédéral allemand pour la sécurité de l’information (BSI) et utilisé à la fois dans les secteurs public et privé. Le rapport d’attestation C5 suit un processus et un schéma similaires à ceux des rapports SOC 2 de l’AICPA et présente des exigences qui correspondent en grande partie aux critères des services de confiance de l’AICPA, avec en plus des exigences axées sur le nuage. ServiceNow a reçu son rapport d’attestation C5 en 2020.
Certification Privacy Recognition for Processors (PRP) de l’APEC
La PRP de l’APEC est une certification volontaire pour les sous-traitants du traitement des données propre à la région Asie-Pacifique et mise au point par les membres locaux de la région. Les certifications sont renouvelées chaque année, mais les évaluateurs peuvent être appelés à intervenir plus souvent en cas de changement susceptible d’avoir un impact significatif sur les processus ou les procédures du sous-traitant en matière de confidentialité.
Services en nuage ISMAP
Le programme de gestion et d’évaluation de la sécurité des systèmes d’information (ISMAP) est un programme qui vise à garantir le niveau de sécurité des achats de services en nuage par le gouvernement japonais en évaluant et en inscrivant les services qui répondent aux exigences de sécurité du gouvernement japonais.  Now Platform de ServiceNow a été évaluée de manière indépendante par un évaluateur ISMAP agréé pour répondre aux critères de contrôle des contrôles ISMAP et a été inscrite en tant que service en nuage ISMAP depuis mars 2022.  La liste des services en nuage de l’ISMAP est consultable à l’adresse suivante : https://www.ismap.go.jp/csm?id=cloud_service_list
STAR Level 2 de CSA : Certification STAR
La matrice des contrôles infonuagiques (CCM) est une infrastructure de contrôles (politiques et procédures) essentiels à la sécurité du nuage. Elle est créée et mise à jour par Cloud Security Alliance (CSA) et alignée sur les meilleures pratiques de CSA. La certification STAR Level 2 de CSA est une évaluation rigoureuse, réalisée par un tiers indépendant, de la sécurité d’un fournisseur de services en nuage par rapport à la matrice des contrôles infonuagiques de CSA et aux exigences de la norme ISO/IEC 27001.
EU Cloud CoC

Le code de conduite en nuage de l’UE (EU Cloud CoC) est un ensemble d’exigences de contrôle conçues pour favoriser la confiance et la transparence dans le marché européen de l’informatique en nuage et pour simplifier le processus d’évaluation des risques des fournisseurs de services en nuage pour les clients. Pour démontrer sa conformité, ServiceNow a effectué un audit interne de plus de 80 des exigences de l’EU Cloud CoC et a fait l’objet d’une évaluation externe de cet effort d’audit. La validation externe de ServiceNow en matière de conformité à l’EU Cloud CoC témoigne de notre engagement continu à maintenir les normes de confidentialité et de sécurité les plus élevées, parallèlement à nos certifications existantes en matière de sécurité et de confidentialité.

Les services sont conformes à EU Cloud CoC, Verification-ID 2022LVL02SCOPE3113. Pour plus d’informations, veuillez consulter le site https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO pour les entités et fournisseurs du gouvernement américain

L’offre Government Community Cloud (GCC) de ServiceNow dispose actuellement d’une autorisation provisoire d’exploitation (P-ATO) de haut niveau du programme fédéral de gestion des risques et des autorisations (FedRAMP). ServiceNow peut ainsi accélérer l’adoption de ses solutions en nuage sécurisées par les agences fédérales et les fournisseurs américains, et mettre en œuvre une approche standardisée pour l’évaluation, le contrôle et l’autorisation des produits et services en nuage dans le cadre de la loi fédérale sur la gestion de la sécurité de l’information (Federal Information Security Management Act, FISMA).

GCC a reçu l’autorisation provisoire initiale d’exploitation (P-ATO) de haut niveau de FedRAMP en août 2019. GCC répond également aux exigences de contrôle du niveau d’impact 4 (IL4) du département de la Défense (DoD) et de la CNSSI 1253F Privacy Overlay High PII + PHI.

Cliquez ici pour voir ServiceNow sur le FedRAMP Marketplace
DoD IL4 PA pour les entités du département de la Défense et des services de renseignements des États-Unis

L’offre Government Community Cloud (GCC) de ServiceNow bénéficie actuellement d’une autorisation provisoire (PA) de niveau d’impact 4 (IL4) du département de la Défense (DoD). Cette autorisation facilite l’achat de produits ServiceNow par le département de la Défense (DoD) et les services de la communauté du renseignement (IC) des États-Unis et établit une norme de base définie par le Guide des exigences de sécurité (SRG) des services en nuage du DoD développé par l’Agence des systèmes d’information de la Défense (Defense Information Systems Agency, DISA).

ServiceNow a reçu sa première autorisation DoD IL4 PA de GCC en octobre 2019. La DoD IL4 PA comprend à la fois les exigences de contrôle FedRAMP High et DoD IL4. L’offre GCC de ServiceNow répond également aux exigences de contrôle CNSSI 1253F Privacy Overlay High PII + PHI.

Cliquez ici pour voir ServiceNow sur la vitrine DISA dans la section Offre standard.
DoD IL5 pour le National Security Cloud

ServiceNow a obtenu une autorisation provisoire de niveau 5 (IL5) du département de la Défense des États-Unis. Cela fait de National Security Cloud (NSC) de ServiceNow l’une des rares offres de logiciel en tant que service et de plateforme en tant que service (SaaS/PaaS) conçues et autorisées à répondre au guide rigoureux des exigences de sécurité en nuage de niveau d’impact 5 du département de la Défense.

L’autorisation provisoire IL5 accélère la transformation numérique du département de la Défense, car elle lui permet, ainsi qu’à ses partenaires de mission et à certaines agences fédérales, de déplacer des données hautement sensibles, y compris des renseignements non classifiés contrôlés et des systèmes de sécurité nationale non classifiés, vers des solutions en nuage ServiceNow hébergées sur Microsoft Azure Government.
Multi-Tier Cloud Security Standard for Singapore (MTCS) Level 3 (Norme de sécurité en nuage à plusieurs niveaux de Singapour)

MTCS Level 3 est une certification qui garantit que ServiceNow respecte les normes relatives à la confidentialité et à l’intégrité des données de ses clients dans le nuage pour Singapour. Elle s’appuie sur la norme ISO/CEI 27001 et couvre la souveraineté, la conservation et la disponibilité des données, ainsi que la planification de la continuité des activités et la reprise après sinistre.

ServiceNow est fière d’avoir atteint le niveau 3 de la certification MTCS, le plus haut niveau de certification possible.
ASD IRAP évalué pour les services en nuage OFFICIELS et PROTÉGÉS

Les plateformes australiennes de ServiceNow ont été évaluées de manière indépendante par un évaluateur IRAP agréé afin de répondre aux contrôles ISM australiens pour les données OFFICIELLES et PROTÉGÉES. Les services en nuage OFFICIELS et PROTÉGÉS évalués par l’IRAP permettent aux clients du gouvernement australien d’avoir toute confiance en l’engagement de Now Platform et de ServiceNow auprès des agences gouvernementales australiennes et des fournisseurs d’infrastructures critiques.

De plus amples détails pour les clients réglementés australiens peuvent être consultés ici : https://your.servicenow.com/microsoftregulatedindustries/australia
Fournisseur de services en nuage GC du Gouvernement du Canada
Le Centre canadien pour la cybersécurité (CCCS) a établi un ensemble d’exigences physiques et logiques qui doivent être satisfaites pour devenir un fournisseur certifié de services en nuage GC du gouvernement du Canada. Les fournisseurs de services en nuage doivent démontrer au personnel du CCCS leur conformité aux exigences imposées avant d’être approuvés en tant que fournisseur de services en nuage GC. « GC » est le niveau de classification des données défini par le gouvernement dont le stockage dans le nuage est autorisé.
Certification HITRUST
HITRUST a été développé par le secteur des soins de santé pour normaliser les objectifs de conformité par le biais de son infrastructure de contrôles CSF, créée à l’origine d’après la norme ISO 27001. Le programme d’assurance CSF HITRUST établit efficacement la confiance dans la protection de l’information en offrant un parcours réalisable d’évaluation et de production de rapports pour les organisations de toutes tailles, présentant divers niveaux de complexité et de risque. La certification est accordée aux entreprises qui effectuent une évaluation validée et répondent au seuil de notation requis et à d’autres critères de certification.
Certification Cyber Essentials Plus au Royaume-Uni
Cyber Essentials Plus est un programme soutenu par le gouvernement britannique qui aide les organisations à démontrer l’atténuation des risques et l’évaluation des menaces de cybersécurité pour leurs systèmes informatiques. Le programme exige la mise en œuvre de divers contrôles techniques pour garantir les pratiques exemplaires et une sécurité optimale, sous la direction d’un auditeur externe. En raison de la portée régionale du programme, la certification est limitée à la région du Royaume-Uni.
Conformité PCI DSS
La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité créé en 2004 par Visa, Mastercard, Discover Financial Services, JCB International et American Express. Régies par le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC), les exigences de conformité ont été développées pour protéger les transactions par carte de crédit et de débit contre le vol de données et la fraude. Cette norme est importante pour ServiceNow en tant que sous-traitant de données clients pouvant contenir des données relatives à une carte de crédit. ServiceNow est devenu conforme en 2023.
Conformité EU DSA

ServiceNow et la Loi sur les services numériques de l’UE (Règlement, UE, 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 sur un marché unique des services numériques et modifiant la directive 2000/31/CE) :

Veuillez transmettre toute communication conformément à la Loi sur les services numériques de l’UE à DSACompliance@ServiceNow.com.
Data Privacy Framework (infrastructure de confidentialité des données)

ServiceNow participe au programme Data Privacy Framework (DPF). Le DPF UE-États-Unis, l’extension du DPF UE-États-Unis pour le Royaume-Uni et le DPF Suisse–États-Unis ont été respectivement développés par le département du Commerce des États-Unis et la Commission européenne, le gouvernement britannique et l’administration fédérale suisse pour fournir aux organisations américaines des mécanismes fiables de transfert de données personnelles vers les États-Unis depuis l’Union européenne, le Royaume-Uni et la Suisse, tout en garantissant une protection des données conforme aux lois de l’UE, du Royaume-Uni et de la Suisse.

Vous trouverez plus d’informations sur le programme Data Privacy Framework ici (https://www.dataprivacyframework.gov/s/). La politique d’infrastructure de confidentialité des données de ServiceNow est consultable ici (https://www.servicenow.com/fr-ca/data-privacy-framework.html).
ISO/CEI 9001:2015

La certification ISO 9001:2015 précise les pratiques exemplaires et les contrôles du système de gestion de la qualité (QMS), garantissant ainsi qu’une entreprise fournit systématiquement des produits et des services qui répondent aux attentes des clients et des exigences réglementaires. Elle démontre notre engagement à maintenir des normes de qualité élevées tout en favorisant l’amélioration continue dans tous les aspects de nos opérations.

La certification est renouvelée par un audit tous les trois ans. Un audit annuel de surveillance est également réalisé pour confirmer que notre organisation :

  • a conçu et mis en œuvre un QMS robuste, garantissant que tous les processus sont harmonisés avec les pratiques exemplaires du secteur;
  • met l’accent sur une approche centrée sur le client pour garantir une satisfaction et un engagement constants;
  • maintient une culture d’amélioration continue, en utilisant des rétroactions et des aperçus basés sur les données pour perfectionner les processus et améliorer la performance;
  • évalue activement les risques et les occasions pour améliorer l’efficacité du QMS et s’adapter à l’évolution du marché et des conditions opérationnelles.
ISO/CEI 20000:2018

La certification ISO/CEI 20000-1:2018 précise les pratiques exemplaires en matière de gestion des services informatiques (GSTI), garantissant que les entreprises fournissent des services informatiques de haute qualité qui répondent aux besoins des clients et aux exigences réglementaires. Elle démontre notre engagement à gérer et à améliorer la qualité de notre prestation de services informatiques tout en continuant à mettre l’accent sur l’efficacité et la satisfaction des clients.

La certification est renouvelée par un audit tous les trois ans. Un audit annuel de surveillance est également réalisé pour confirmer que notre organisation :

  • a conçu et mis en œuvre un système complet de gestion des services (SMS) informatiques conforme aux normes ISO/CEI 20000-1;
  • surveille et améliore en permanence les performances et la prestation des services informatiques, en veillant à ce qu’ils répondent aux attentes des clients et aux normes de l’industrie;
  • garantit une approche systématique de la gestion des risques et des occasions liés aux services, en maintenant l’alignement sur l’évolution des exigences des clients et des tendances technologiques;
  • favorise une culture d’amélioration continue des services (CSI), en utilisant des rétroactions et des mesures pour optimiser les processus des services informatiques et garantir une prestation de services cohérente et fiable.
ISO/CEI 22301:2019

La certification ISO 22301:2019 décrit les pratiques exemplaires en matière de systèmes de gestion de la continuité des activités (BCMS), garantissant que les entreprises sont prêtes à réagir efficacement aux interruptions et à maintenir les opérations commerciales importantes. Elle démontre notre engagement à préserver la résilience et la continuité des opérations face aux crises ou aux urgences potentielles.

La certification est renouvelée par un audit tous les trois ans. Un audit annuel de surveillance est également réalisé pour confirmer que notre organisation :

  • a conçu et mis en œuvre un BCMS robuste conforme aux normes ISO 22301;
  • adopte une approche proactive pour identifier et atténuer les menaces liées à la continuité des activités, garantissant ainsi la disponibilité continue des services essentiels;
  • évalue et met à l’essai de façon systématique les plans de reprise afin de s’assurer qu’ils sont efficaces pour réduire l’incidence des interruptions et maintenir les fonctions essentielles de l’entreprise.
  • Encourager l’amélioration continue
Certification Esquema Nacional de Seguridad (ENS) Afficher la certification Afficher la clause de non-responsabilité
Certification Esquema Nacional de Seguridad (ENS)

Le plan de sécurité nationale (ENS) est une infrastructure de certification espagnole qui établit les critères et les exigences nécessaires pour garantir une protection adéquate des informations électroniques dans le cadre de l’administration électronique. Régie par un arrêté royal, l’ENS établit des normes pour les administrations et entités publiques, ainsi que pour les entreprises privées qui traitent des données publiques. Classant les données en fonction de leur confidentialité et des opérations effectuées avec elles, l’ENS définit différents niveaux de mesures de sécurité (des mesures de base jusqu’aux plus élevées) pour garantir une protection robuste des données, une gestion efficace des incidents et des vérifications de conformité périodiques via des audits. Cette certification est essentielle pour renforcer la confiance envers les services électroniques fournis par l’administration espagnole et au sein de celle-ci.

ServiceNow a satisfait aux exigences pour se conformer à la norme ENS au niveau « élevé ».
Conformité au RGPD Nous aidons les organisations à se mettre en conformité avec le RGPD grâce à des solutions qui permettent de respecter des exigences telles qu’un meilleur accès aux données et le respect de la confidentialité dès la conception, et ce de manière transparente dans les opérations au quotidien.  Lire plus
Ressources Rapports ServiceNow investit dans les services de l’UE FAQ sur les transferts de données internationaux Sécurité de ServiceNow pour le secteur public britannique Directives sur une IA responsable Livres blancs Chiffrage des données Sécurisation de ServiceNow AI Platform Secteurs réglementés et exigences en matière de confidentialité des données (IDC)
En savoir plus ServiceNow vous aide à vous défendre contre les menaces de sécurité, à protéger vos données et à vous conformer aux mandats mondiaux en constante évolution.    Découvrir comment RGPD Confidentialité Sécurité Conformité ServiceNow AI Platform Portail de sécurité client