Conformité Audits périodiques pour garantir la sécurité et la confidentialité Afin de maintenir en permanence la sécurité et la conformité, nous nous conformons aux infrastructures de conformité les plus strictes.
Conformité de la plateforme ServiceNow Certifications RGPD Ressources
Alt
« ServiceNow cherche à obtenir des certifications et des attestations très strictes pour montrer que nous sommes déterminés à aider nos clients en préservant leur confiance, leur réputation, ainsi que la sécurité et l’intégrité de leurs données ». John Castelly Chief Compliance Officer, ServiceNow
Conformité mondiale et régionale
Certifications et attestations
Certifications et attestations ServiceNow respecte les normes les plus strictes en matière de sécurité et de confidentialité dans toutes les régions. En outre, nos applications permettent aux organisations de répondre à vos exigences sectorielles ou régionales. Voir tout
Conformité des clients
Conformité des clients Les certifications et attestations de conformité sont essentielles. Nous facilitons les processus de conformité des clients grâce à nos capacités techniques, nos documents d’orientation et nos engagements juridiques. Découvrir plus
Confidentialité des données des clients
Confidentialité des données des clients En fournissant à nos clients les outils nécessaires à la protection des données sensibles, nous réduisons l’exposition au risque des parties critiques de leur activité.
Contrôle d’accès sécurisé
Contrôle d’accès sécurisé Nous empêchons l’accès non autorisé aux comptes et augmentons la sécurité des données grâce à l’authentification multifactorielle (AMF). Lire le blogue
Transparence
Transparence La transparence inspire la confiance. Nos conditions strictes et nos accords de protection des données dictent la manière dont nous traitons les données, y compris les politiques de réponse aux demandes des gouvernements. Découvrir comment
Nous favorisons les initiatives en matière de sécurité et de confidentialité Nous surveillons nos protocoles de sécurité de manière proactive et les adaptons à l’évolution rapide de la réglementation. Tout développer Réduire tout ISO/CEI 27017:2015

La norme ISO/CEI 27017:2015 concerne la mise en œuvre des contrôles de sécurité propres au nuage précisés dans la norme ISO/CEI 27002.

La certification est obtenue par un audit indépendant annuel et ServiceNow est une organisation certifiée ISO/CEI 27017:2015 depuis 2018.
ISO/CEI 27001:2022

La certification ISO/CEI 27001:2022 définit les pratiques exemplaires et les contrôles en matière de gestion de la sécurité sur la base du guide des pratiques exemplaires ISO/CEI 27002. Elle garantit que notre système de gestion de la sécurité de l’information (ISMS) est parfaitement adapté à l’évolution des menaces de sécurité, ce qui est essentiel dans le monde en constante et rapide évolution de la sécurité informatique.

Le renouvellement de la certification est obtenu par un audit tous les trois ans, y compris un ordre d’audit de surveillance annuel pour prouver que ServiceNow :

  1. a conçu et mis en œuvre un ISMS complet;
  2. a adopté un processus continu de gestion des risques pour s’assurer que les contrôles de sécurité de l’information appropriés sont en place pour répondre à un contexte de menaces et de risques en constante évolution;
  3. évalue de manière systématique et appropriée les risques liés à la sécurité de l’information, en tenant compte de plusieurs facteurs, notamment l’impact des menaces et des vulnérabilités de l’entreprise.

ServiceNow est une organisation certifiée ISO/CEI 27001 depuis 2012 et le certificat est consultable ici.
ISO/CEI 27018:2019

La norme ISO/CEI 27018:2019 est un code de bonne pratique basé sur la norme ISO/CEI 27002 et concerne la protection des renseignements permettant d’identifier une personne dans les services en nuage publics, conformément aux principes de confidentialité de la norme ISO/CEI 29100.

La certification est obtenue par un audit indépendant annuel et ServiceNow est une organisation certifiée ISO/CEI 27018:2019 depuis 2016.
ISO/CEI 27701:2019
Cette extension de la norme ISO/CEI 27001 porte sur la mise en place et la maintenance d’un système de gestion des informations relatives à la protection de la vie privée (PIMS). Elle est importante pour ServiceNow en tant que sous-traitant de données clients pouvant contenir des renseignements permettant d’identifier une personne. ServiceNow a reçu cette certification en 2020.
Rapports SSAE 18 SOC 1 et SOC 2

L’infrastructure de contrôle organisationnel des services (SOC) est une attestation certifiant que ServiceNow répond aux normes requises concernant les contrôles mis en place pour protéger la confidentialité, l’intégrité et la disponibilité des données de nos clients dans le nuage.

– SOC 1 se concentre sur l’efficacité des contrôles internes qui affectent les rapports financiers des clients.

– SOC 2 évalue les contrôles relatifs à la disponibilité, à l’intégrité, à la sécurité, à la confidentialité ou à la protection de la vie privée.

ServiceNow est auditée par une tierce partie et a réussi à maintenir son attestation SSAE 18 SOC 1 Type 2 depuis 2011 (SSAE 18 a remplacé SSAE 16 en 2017). La norme SSAE 18 est alignée sur la norme internationale ISAE3402 et a remplacé la norme SAS70, désormais obsolète.

Le rapport SOC 1 de ServiceNow couvrant la période du 1er octobre (de l’année civile précédente) au 30 septembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin de chaque année civile (décembre).

Le rapport SOC 1 couvrant la période du 1er avril au 31 mars est consultable sur ServiceNow CORE à la fin du deuxième trimestre civil (juin).

ServiceNow a également obtenu une attestation annuelle SOC 2 de type 2 depuis 2013, relative aux contrôles de sécurité, de disponibilité et de confidentialité énumérés dans les critères des services de confiance de l’AICPA (Trust Services Criteria – TSC).

Le rapport SOC 2 de ServiceNow couvrant la période du 1er octobre (de l’année civile précédente) au 30 septembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin de chaque année civile (décembre).

Une lettre de transition est fournie entre les périodes d’audit pour permettre à l’entreprise d’être couverte pendant toute l’année.

La lettre de transition SOC 1 de ServiceNow couvrant la période du 1er octobre (de l’année civile en cours) au 31 décembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin du premier trimestre de l’année suivante.

La lettre de transition SOC 1 couvrant la période du 1er avril au 30 juin est consultable sur ServiceNow CORE à la fin du troisième trimestre civil.

La lettre de transition SOC 2 de ServiceNow couvrant la période du 1er octobre (de l’année civile en cours) au 31 décembre (de l’année civile en cours) est consultable sur ServiceNow CORE à la fin du premier trimestre de l’année suivante.
Norme Catalogue des contrôles de conformité de l’informatique en nuage de BSI (Cloud Computing Compliance Controls Catalog, C5)
C5 est un catalogue de contrôles de conformité en nuage mis au point par le Bureau fédéral allemand pour la sécurité de l’information (BSI) et utilisé à la fois dans les secteurs public et privé. Le rapport d’attestation C5 suit un processus et un schéma similaires à ceux des rapports SOC 2 de l’AICPA et présente des exigences qui correspondent en grande partie aux critères des services de confiance de l’AICPA, avec en plus des exigences axées sur le nuage. ServiceNow a reçu son rapport d’attestation C5 en 2020.
Certification Privacy Recognition for Processors (PRP) de l’APEC
La PRP de l’APEC est une certification volontaire pour les sous-traitants du traitement des données propre à la région Asie-Pacifique et mise au point par les membres locaux de la région. Les certifications sont renouvelées chaque année, mais les évaluateurs peuvent être appelés à intervenir plus souvent en cas de changement susceptible d’avoir un impact significatif sur les processus ou les procédures du sous-traitant en matière de confidentialité.
Services en nuage ISMAP
Le programme de gestion et d’évaluation de la sécurité des systèmes d’information (ISMAP) est un programme qui vise à garantir le niveau de sécurité des achats de services en nuage par le gouvernement japonais en évaluant et en inscrivant les services qui répondent aux exigences de sécurité du gouvernement japonais.  Now Platform de ServiceNow a été évaluée de manière indépendante par un évaluateur ISMAP agréé pour répondre aux critères de contrôle des contrôles ISMAP et a été inscrite en tant que service en nuage ISMAP depuis mars 2022.  La liste des services en nuage de l’ISMAP est consultable à l’adresse suivante : https://www.ismap.go.jp/csm?id=cloud_service_list
STAR Level 2 de CSA : Certification STAR
La matrice des contrôles infonuagiques (CCM) est une infrastructure de contrôles (politiques et procédures) essentiels à la sécurité du nuage. Elle est créée et mise à jour par Cloud Security Alliance (CSA) et alignée sur les meilleures pratiques de CSA. La certification STAR Level 2 de CSA est une évaluation rigoureuse, réalisée par un tiers indépendant, de la sécurité d’un fournisseur de services en nuage par rapport à la matrice des contrôles infonuagiques de CSA et aux exigences de la norme ISO/IEC 27001.
EU Cloud CoC

Le code de conduite en nuage de l’UE (EU Cloud CoC) est un ensemble d’exigences de contrôle conçues pour favoriser la confiance et la transparence dans le marché européen de l’informatique en nuage et pour simplifier le processus d’évaluation des risques des fournisseurs de services en nuage pour les clients. Pour démontrer sa conformité, ServiceNow a effectué un audit interne de plus de 80 des exigences de l’EU Cloud CoC et a fait l’objet d’une évaluation externe de cet effort d’audit. La validation externe de ServiceNow en matière de conformité à l’EU Cloud CoC témoigne de notre engagement continu à maintenir les normes de confidentialité et de sécurité les plus élevées, parallèlement à nos certifications existantes en matière de sécurité et de confidentialité.

Les services sont conformes à EU Cloud CoC, Verification-ID 2022LVL02SCOPE3113. Pour plus d’informations, veuillez consulter le site https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO pour les entités et fournisseurs du gouvernement américain

L’offre Government Community Cloud (GCC) de ServiceNow dispose actuellement d’une autorisation provisoire d’exploitation (P-ATO) de haut niveau du programme fédéral de gestion des risques et des autorisations (FedRAMP). ServiceNow peut ainsi accélérer l’adoption de ses solutions en nuage sécurisées par les agences fédérales et les fournisseurs américains, et mettre en œuvre une approche standardisée pour l’évaluation, le contrôle et l’autorisation des produits et services en nuage dans le cadre de la loi fédérale sur la gestion de la sécurité de l’information (Federal Information Security Management Act, FISMA).

GCC a reçu l’autorisation provisoire initiale d’exploitation (P-ATO) de haut niveau de FedRAMP en août 2019. GCC répond également aux exigences de contrôle du niveau d’impact 4 (IL4) du département de la Défense (DoD) et de la CNSSI 1253F Privacy Overlay High PII + PHI.

Cliquez ici pour voir ServiceNow sur le FedRAMP Marketplace
DoD IL4 PA pour les entités du département de la Défense et des services de renseignements des États-Unis

L’offre Government Community Cloud (GCC) de ServiceNow bénéficie actuellement d’une autorisation provisoire (PA) de niveau d’impact 4 (IL4) du département de la Défense (DoD). Cette autorisation facilite l’achat de produits ServiceNow par le département de la Défense (DoD) et les services de la communauté du renseignement (IC) des États-Unis et établit une norme de base définie par le Guide des exigences de sécurité (SRG) des services en nuage du DoD développé par l’Agence des systèmes d’information de la Défense (Defense Information Systems Agency, DISA).

ServiceNow a reçu sa première autorisation DoD IL4 PA de GCC en octobre 2019. La DoD IL4 PA comprend à la fois les exigences de contrôle FedRAMP High et DoD IL4. L’offre GCC de ServiceNow répond également aux exigences de contrôle CNSSI 1253F Privacy Overlay High PII + PHI.

Cliquez ici pour voir ServiceNow sur la vitrine DISA dans la section Offre standard.
DoD IL5 pour le National Security Cloud

ServiceNow a obtenu une autorisation provisoire de niveau 5 (IL5) du département de la Défense des États-Unis. Cela fait de National Security Cloud (NSC) de ServiceNow l’une des rares offres de logiciel en tant que service et de plateforme en tant que service (SaaS/PaaS) conçues et autorisées à répondre au guide rigoureux des exigences de sécurité en nuage de niveau d’impact 5 du département de la Défense.

L’autorisation provisoire IL5 accélère la transformation numérique du département de la Défense, car elle lui permet, ainsi qu’à ses partenaires de mission et à certaines agences fédérales, de déplacer des données hautement sensibles, y compris des renseignements non classifiés contrôlés et des systèmes de sécurité nationale non classifiés, vers des solutions en nuage ServiceNow hébergées sur Microsoft Azure Government.
Multi-Tier Cloud Security Standard for Singapore (MTCS) Level 3 (Norme de sécurité en nuage à plusieurs niveaux de Singapour)

MTCS Level 3 est une certification qui garantit que ServiceNow respecte les normes relatives à la confidentialité et à l’intégrité des données de ses clients dans le nuage pour Singapour. Elle s’appuie sur la norme ISO/CEI 27001 et couvre la souveraineté, la conservation et la disponibilité des données, ainsi que la planification de la continuité des activités et la reprise après sinistre.

ServiceNow est fière d’avoir atteint le niveau 3 de la certification MTCS, le plus haut niveau de certification possible.
ASD IRAP évalué pour les services en nuage OFFICIELS et PROTÉGÉS

Les plateformes australiennes de ServiceNow ont été évaluées de manière indépendante par un évaluateur IRAP agréé afin de répondre aux contrôles ISM australiens pour les données OFFICIELLES et PROTÉGÉES. Les services en nuage OFFICIELS et PROTÉGÉS évalués par l’IRAP permettent aux clients du gouvernement australien d’avoir toute confiance en l’engagement de Now Platform et de ServiceNow auprès des agences gouvernementales australiennes et des fournisseurs d’infrastructures critiques.

De plus amples détails pour les clients réglementés australiens peuvent être consultés ici : https://your.servicenow.com/microsoftregulatedindustries/australia
Fournisseur de services en nuage GC du Gouvernement du Canada
Le Centre canadien pour la cybersécurité (CCCS) a établi un ensemble d’exigences physiques et logiques qui doivent être satisfaites pour devenir un fournisseur certifié de services en nuage GC du gouvernement du Canada. Les fournisseurs de services en nuage doivent démontrer au personnel du CCCS leur conformité aux exigences imposées avant d’être approuvés en tant que fournisseur de services en nuage GC. « GC » est le niveau de classification des données défini par le gouvernement dont le stockage dans le nuage est autorisé.
AICPA SOC 2 TSC + HITRUST CSF
HITRUST a été développé par le secteur des soins de santé pour normaliser les objectifs de conformité par le biais de son infrastructure de contrôles CSF, créée à l’origine d’après la norme ISO 27001. Depuis, il a été intégré et mis en correspondance avec de nombreuses normes de sécurité communes, notamment NIST 800-53 et les critères de services de confiance SOC 2 de l’AICPA. Le rapport SOC 2 + HITRUST est le fruit d’une collaboration entre l’AICPA et l’Alliance HITRUST. Il prévoit un mécanisme permettant au responsable de l’audit de se prononcer sur la conception et l’efficacité des critères des services de confiance et du CSF de HITRUST dans le même rapport.
Certification Cyber Essentials Plus au Royaume-Uni
Cyber Essentials Plus est un programme soutenu par le gouvernement britannique qui aide les organisations à démontrer l’atténuation des risques et l’évaluation des menaces de cybersécurité pour leurs systèmes informatiques. Le programme exige la mise en œuvre de divers contrôles techniques pour garantir les pratiques exemplaires et une sécurité optimale, sous la direction d’un auditeur externe. En raison de la portée régionale du programme, la certification est limitée à la région du Royaume-Uni.
Conformité PCI DSS
La norme de sécurité de l’industrie des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité créé en 2004 par Visa, Mastercard, Discover Financial Services, JCB International et American Express. Régies par le Conseil des normes de sécurité de l’industrie des cartes de paiement (PCI SSC), les exigences de conformité ont été développées pour protéger les transactions par carte de crédit et de débit contre le vol de données et la fraude. Cette norme est importante pour ServiceNow en tant que sous-traitant de données clients pouvant contenir des données relatives à une carte de crédit. ServiceNow a reçu cette certification en 2023.
Conformité EU DSA

ServiceNow et la Loi sur les services numériques de l’UE (Règlement, UE, 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 sur un marché unique des services numériques et modifiant la directive 2000/31/CE) :

Veuillez transmettre toute communication conformément à la Loi sur les services numériques de l’UE à DSACompliance@ServiceNow.com.
Data Privacy Framework (infrastructure de confidentialité des données)

ServiceNow participe au programme Data Privacy Framework (DPF). Le DPF UE-États-Unis, l’extension du DPF UE-États-Unis pour le Royaume-Uni et le DPF Suisse–États-Unis ont été respectivement développés par le département du Commerce des États-Unis et la Commission européenne, le gouvernement britannique et l’administration fédérale suisse pour fournir aux organisations américaines des mécanismes fiables de transfert de données personnelles vers les États-Unis depuis l’Union européenne, le Royaume-Uni et la Suisse, tout en garantissant une protection des données conforme aux lois de l’UE, du Royaume-Uni et de la Suisse.

Vous trouverez plus d’informations sur le programme Data Privacy Framework ici (https://www.dataprivacyframework.gov/s/). La politique d’infrastructure de confidentialité des données de ServiceNow est consultable ici (https://www.servicenow.com/fr-ca/data-privacy-framework.html).
Conformité au RGPD Nous aidons les organisations à se mettre en conformité avec le RGPD grâce à des solutions qui permettent de respecter des exigences telles qu’un meilleur accès aux données et le respect de la confidentialité dès la conception, et ce de manière transparente dans les opérations au quotidien.  Lire plus
Ressources Déclarations ServiceNow investit dans les services de l’UE FAQ sur les transferts internationaux de données Sécurité de ServiceNow pour le secteur public britannique Directives sur une IA responsable Livres blancs Data Encryption (Chiffrage des données) Sécurisation de Now Platform Secteurs réglementés et exigences en matière de confidentialité des données (IDC)
En savoir plus ServiceNow aide les clients à se défendre contre les menaces de sécurité, à protéger leurs données et à se conformer aux mandats internationaux en constante évolution.   Apprendre comment RGPD Confidentialité Sécurité Conformité Now Platform