Conformité Des audits réguliers pour garantir la sécurité et la confidentialité des données Pour garantir une sécurité et une conformité continues, nous respectons les cadres de conformité les plus stricts.
Conformité de la plateforme ServiceNow Certifications RGPD Ressources
Alt
« ServiceNow a obtenu des certifications et des attestations sectorielles strictes pour démontrer son engagement à aider ses clients, en préservant leur confiance, leur réputation, leur sécurité et l’intégrité de leurs données. » John Castelly Chief Compliance Officer, ServiceNow
Conformité mondiale et régionale
Certifications et attestations
Certifications et attestations ServiceNow répond aux normes de sécurité et de confidentialité les plus strictes dans toutes les régions où l’entreprise opère. En outre, les applications ServiceNow aident les entreprises à répondre aux exigences régionales et sectorielles. Afficher tout
Conformité client
Conformité client Les certifications et attestations de conformité sont essentielles. Les options techniques que nous proposons, nos documents d’orientation et nos engagements juridiques nous permettent de simplifier les processus de conformité de nos clients. En savoir plus
Confidentialité des données client
Confidentialité des données client En fournissant à nos clients les outils nécessaires pour protéger les données sensibles, nous réduisons l’exposition aux risques pour les aspects essentiels de leur activité.
Contrôle d’accès sécurisé
Contrôle d’accès sécurisé Empêchez les accès non autorisés aux comptes et renforcez la sécurité des données grâce à l’authentification multifactorielle (MFA). Lire l’article
Transparence
Transparence La transparence est le fondement de la confiance. Nos conditions et accords stricts en matière de protection des données dictent la façon dont nous traitons les données, y compris nos politiques de réponse aux demandes gouvernementales. En savoir plus
Nous encourageons toutes les initiatives en matière de sécurité et de confidentialité Nous surveillons et adaptons proactivement nos protocoles de sécurité aux environnements réglementaires en constante évolution. Développer tout Réduire tout ISO/IEC 27017:2015

La norme ISO/IEC 27017:2015 concerne la mise en œuvre des contrôles de sécurité de l’information spécifiques au cloud précisés dans la norme ISO/IEC 27002.

La certification est obtenue par un audit annuel indépendant, et ServiceNow est une entreprise certifiée ISO/IEC 27017:2015 depuis 2018.
ISO/IEC 27001:2022

La certification ISO/IEC 27001:2022 spécifie les bonnes pratiques de gestion de la sécurité et les contrôles basés sur le guide des bonnes pratiques ISO/IEC 27002. Elle garantit que notre système Information Security Management System (ISMS) est parfaitement au point pour suivre la progression des menaces en matière de sécurité, ce qui s’avère essentiel dans un monde de sécurité IT en constante évolution.

Le renouvellement de la certification est obtenu par un audit effectué tous les trois ans, et qui comprend la réalisation d’un audit de surveillance annuel pour démontrer que ServiceNow :

  1. a conçu et mis en œuvre un système ISMS complet ;
  2. a adopté un processus continu de gestion des risques pour s’assurer que les contrôles de sécurité de l’information appropriés sont établis pour faire face à l’évolution de la menace et des risques ;
  3. évalue systématiquement les risques liés à la sécurité de l’information de façon appropriée, en tenant compte de plusieurs facteurs, y compris de l’impact des menaces et des vulnérabilités de l’entreprise.

ServiceNow est une entreprise certifiée ISO/IEC 27001 depuis 2012 et le certificat est disponible ici.
ISO/IEC 27018:2019

La norme ISO/IEC 27018:2019 est un code de bonne pratique basé sur la norme ISO/IEC 27002 et concerne la protection des données à caractère personnel dans les clouds publics conformément aux principes de confidentialité de la norme ISO/IEC 29100.

La certification est obtenue par un audit annuel indépendant, et ServiceNow est une entreprise certifiée ISO/IEC 27018:2019 depuis 2016.
ISO/IEC 27701:2019
Cette extension d’ISO/IEC 27001 est axée sur la mise en place et la maintenance d’un système de management de protection de la vie privée (PIMS). Elle est particulièrement utile pour ServiceNow qui est responsable du traitement des données client susceptibles de contenir des informations à caractère personnel (PII). ServiceNow a reçu cette certification en 2020.
Rapports SOC 1 et SOC 2 de la norme SSAE 18

Le cadre du contrôle organisationnel des services (SOC) atteste que ServiceNow respecte la norme requise en ce qui concerne la mise en place de contrôles pour la protection de la confidentialité, l’intégrité et la disponibilité des données de nos clients dans le cloud.

- Le SOC 1 se concentre sur l’efficacité des contrôles internes qui affectent les rapports financiers des clients.

- Le SOC 2 évalue les contrôles relatifs à la disponibilité, à l’intégrité, à la sécurité, à la confidentialité ou à la vie privée.

ServiceNow est audité par un tiers et conserve son attestation SSAE 18 SOC 1 de type 2 depuis 2011 (SSAE 18 a remplacé SSAE 16 en 2017). SSAE 18 s’aligne avec la norme internationale ISAE3402 et remplace SAS70, qui est désormais obsolète.

Le rapport SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE à la fin de chaque année civile (décembre).

Le rapport SOC 1 de ServiceNow couvre la période allant du 1er avril au 31 mars et est disponible via ServiceNow CORE à la fin du 2e trimestre de chaque année civile (juin).

ServiceNow a également entrepris une attestation annuelle SOC 2 de type 2 depuis 2013, qui porte sur les contrôles de sécurité, de disponibilité et de confidentialité énumérés dans les critères des services de tiers de confiance de l’AICPA.

Le rapport SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE en fin de chaque année civile (décembre).

Une lettre de liaison est fournie entre les périodes d’audit, de façon à ce que l’entreprise soit couverte toute l’année.

La lettre de liaison SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin du premier trimestre civil de l’année suivante.

La lettre de liaison SOC 1 de ServiceNow couvre la période allant du 1er avril au 30 juin et est disponible via ServiceNow CORE à la fin du 3e trimestre de chaque année civile.

La lettre de liaison SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin du premier trimestre civil de l’année suivante.
Attestation BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 est un catalogue de contrôles de conformité spécifique au cloud, développé par l’Office fédéral allemand pour la sécurité de l’information (BSI) et utilisé dans les secteurs public et privé. Le rapport d’attestation C5 suit un processus et un schéma similaires à ceux des rapports AICPA SOC 2, et ses exigences sont pour la plupart alignées sur les exigences des critères AICPA Trust Services Criteria, avec l’ajout d’exigences spécifiques axées sur le cloud. ServiceNow a reçu son rapport d’attestation C5 en 2020.
Reconnaissance de la confidentialité pour les responsables du traitement (PRP) de l’APEC
La certification PRP de l’APEC est une certification sur la base du volontariat qui s’adresse aux responsables du traitement des données dans la région Asie-Pacifique, développée par des membres locaux de la région. Les certifications sont renouvelées chaque année, mais des évaluateurs interviennent plus fréquemment pour vérifier tout changement qui aurait une incidence importante sur les procédures et/ou les processus relatifs à la confidentialité du responsable du traitement.
Service cloud ISMAP
L’ISMAP (Information System Security Management and Assessment Program) vise à garantir le niveau de sécurité de la fourniture des services dans le cloud mis en place par le gouvernement japonais, en évaluant et en enregistrant les services dans le cloud qui répondent aux exigences de sécurité du gouvernement.  La Now Platform de ServiceNow a été soumise à une vérification indépendante par un évaluateur enregistré de l’ISMAP afin de vérifier qu’elle répond bien aux critères de contrôle ISMAP. Elle est enregistrée comme service cloud ISMAP depuis mars 2022.  La liste des services dans le cloud ISMAP est disponible ici : https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR niveau 2 : certification STAR
La Cloud Controls Matrix (« CCM ») est un cadre de contrôles (politiques et procédures) essentiel à la sécurité du cloud computing. Elle a été créée et est mise à jour par la Cloud Security Alliance (« CSA ») et est conforme aux bonnes pratiques de la CSA. La certification CSA STAR niveau 2 est une évaluation indépendante rigoureuse, qui permet de vérifier si la sécurité des fournisseurs de services cloud est conforme à la CSA Cloud Controls Matrix, ainsi qu’à la norme ISO/IEC 27001.
CoC cloud de l’UE

Le Code de conduite cloud de l’UE (CoC cloud de l’UE) est un ensemble d’exigences de contrôle visant à développer la confiance et la transparence sur le marché européen du cloud computing et à simplifier le processus d’évaluation des risques des fournisseurs de services cloud (CSP) pour les clients du cloud. Pour prouver qu’il s’y conforme, ServiceNow a effectué un audit interne portant sur plus de 80 exigences du CoC cloud de l’UE et a fait réaliser une évaluation externe de cet audit. La validation externe de la conformité de ServiceNow avec le CoC cloud de l’UE témoigne de notre engagement continu à maintenir les normes de confidentialité et de sécurité les plus élevées, parallèlement à nos certifications existantes en matière de sécurité et de confidentialité.

La conformité des services au Code de conduite cloud de l’UE, ID de vérification 2022LVL02SCOPE3113 est vérifiée. Pour en savoir plus, rendez-vous sur https://eucoc.cloud/en/public-register.
Autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau et FedRAMP pour les entités et les fournisseurs du gouvernement américain

L’offre GCC (Government Community Cloud) de ServiceNow est autorisée par le programme fédéral de gestion des risques et des autorisations (FedRAMP) et bénéficie d’une autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau. Cela permet à ServiceNow d’accélérer le déploiement de ses solutions dans le cloud sécurisé par les agences et les fournisseurs du gouvernement américain, et de fournir une approche standardisée pour évaluer, surveiller et autoriser les produits et services de cloud computing, conformément au Federal Information Security Management Act (FISMA).

L’offre GCC bénéficie d’une autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau depuis août 2019. Elle répond également aux exigences de contrôle IL4 (Impact Level 4) du département de la Défense et à celles des couches de protection de haut niveau des informations personnelles et de santé (Privacy Overlay High PII + PHI) du CNSSI 1253F.

Cliquez ici pour voir ServiceNow sur le FedRAMP Marketplace.
Autorisation provisoire IL4 du DoD pour les entités américaines DoD et IC

L’offre GCC (Government Community Cloud) de ServiceNow bénéficie actuellement d’une autorisation provisoire (PA) IL4 (Impact Level 4) du département de la Défense. Cela facilite la fourniture des produits ServiceNow par le département de la Défense des États-Unis (DoD) et l’Intelligence Community (IC) et établit une norme de référence, définie par le Guide sur les exigences de sécurité (SRG) en matière de cloud computing (CC) de l’Agence des systèmes d’information de la défense américaine (DISA).

ServiceNow a reçu sa première PA IL4 du DoD pour son offre GCC en octobre 2019. La PA IL4 du DoD inclut les exigences de contrôle FedRAMP de haut niveau et IL4 du DoD. L’offre GCC de ServiceNow répond également aux exigences de contrôle des couches de protection de haut niveau des informations personnelles et de santé (Privacy Overlay High PII + PHI) du CNSSI 1253F.

Cliquez ici pour voir ServiceNow sur DISA Storefront dans la section relative à l’offre standard.
IL5 du DoD pour le National Security Cloud

ServiceNow a obtenu une autorisation provisoire IL5 (Impact Level 5) du département de la Défense américain (DoD). Le National Security Cloud (NSC) de ServiceNow est donc l’une des rares offres SaaS/PaaS conçues et autorisées pour répondre au rigoureux Guide sur les exigences de sécurité en matière de cloud computing du département de la Défense au niveau IL5.

L’autorisation provisoire IL5 va accélérer la transformation digitale du DoD. En effet, elle permet au DoD, à ses partenaires de mission et à certaines agences fédérales de déplacer des données hautement sensibles, y compris des informations non classifiées contrôlées et des systèmes de sécurité nationale non classifiés, vers des solutions ServiceNow basées sur le cloud et hébergées sur Microsoft Azure Government.
Norme Multi-Tier Cloud Security (MTCS) pour Singapour de niveau 3

La MTCS de niveau 3 est une certification qui garantit que ServiceNow respecte les normes de confidentialité et d’intégrité des données de nos clients dans le cloud pour Singapour. Elle s’appuie sur la norme ISO/CEI 27001 et couvre la souveraineté, la conservation et la disponibilité des données, ainsi que la planification de la continuité d’activité et la récupération d’urgence.

ServiceNow est fier d’avoir atteint le niveau 3 de la MTCS, le plus haut niveau de certification disponible.
Programme IRAP de l’ASD évalué pour les services dans le cloud OFFICIELS et PROTÉGÉS

Les plateformes australiennes de ServiceNow ont été soumises à une vérification indépendante par un évaluateur IRAP approuvé, afin de répondre aux contrôles ISM australiens concernant les données OFFICIELLES et PROTÉGÉES. Les services cloud OFFICIELS et PROTÉGÉS évalués par l’IRAP permettent aux clients du gouvernement australien d’avoir toute confiance dans la Now Platform, et à ServiceNow d’interagir efficacement avec les agences gouvernementales australiennes et les fournisseurs d’infrastructures critiques.

Pour en savoir plus sur les clients réglementés australiens, rendez-vous sur : https://your.servicenow.com/microsoftregulatedindustries/australia.
Fournisseur de clouds GC du gouvernement du Canada
Le Centre canadien pour la cybersécurité (CCCS) a mis en place un ensemble d’exigences physiques et logiques que les fournisseurs cloud certifiés GC doivent respecter. Les fournisseurs cloud doivent répondre aux exigences du personnel du CCCS avant d’être approuvés comme fournisseurs cloud GC. La certification GC est un niveau de classification de données défini par le gouvernement qui approuve l’enregistrement dans le cloud.
AICPA SOC 2 TSC + HITRUST CSF
HITRUST a été développé par le secteur de la santé pour standardiser les objectifs de conformité via son cadre de travail de contrôles CSF, créé à l’origine d’après la norme ISO27001. La société a depuis intégré et mis en corrélation de nombreuses normes de sécurité communes, y compris la norme NIST 800-53 et les critères des services de tiers de confiance SOC 2 de l’AICPA. Le rapport SOC 2 + HITRUST est une collaboration entre l’AICPA et HITRUST Alliance. Il fournit un mécanisme pour que l’auditeur de service se prononce sur la conception et l’efficacité des critères des services de tiers de confiance et du CSF HITRUST dans le même rapport.
Certification RU Cyber Essentials Plus
Cyber Essentials Plus est un programme soutenu par le gouvernement britannique, qui aide les entreprises à démontrer qu’elles ont bien réduit les risques et évalué les menaces de cybersécurité pesant sur leurs systèmes IT. Le programme exige de faire réaliser, par un auditeur externe, divers contrôles techniques afin de garantir que les bonnes pratiques et le plus haut niveau de sécurité sont mis en œuvre. En raison de la portée régionale du programme, la certification se limite au Royaume-Uni.
Conformité PCI DSS
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité établies en 2004 par Visa, MasterCard, Discover Financial Services, JCB International et American Express. Régies par le PCI SSC (Payment Card Industry Security Standards Council), les exigences de conformité visent à sécuriser les transactions par carte de crédit et de débit contre le vol de données et la fraude. ServiceNow est concerné en tant que responsable du traitement des données client susceptibles de contenir des données de cartes de crédit. ServiceNow a reçu cette certification en 2023.
Conformité EU DSA

ServiceNow et le Digital Services Act de l’Union européenne (Réglementation [UE] 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relative au marché unique pour les services digitaux, modifiant la directive 2000/31/EC) :

Veuillez adresser toute communication relative au Digital Services Act de l’Union européenne à l’adresse DSACompliance@ServiceNow.com.
Cadre de confidentialité des données

ServiceNow participe au programme Data Privacy Framework (DPF). Le DPF UE-États-Unis, l’extension britannique du DPF UE-États-Unis et le DPF Suisse-États-Unis ont été respectivement développés par le département du Commerce des États-Unis, la Commission européenne, le gouvernement du Royaume-Uni et l’administration fédérale suisse, pour fournir aux entreprises américaines des mécanismes fiables de transfert des données personnelles vers les États-Unis depuis l’Union européenne, le Royaume-Uni et la Suisse, tout en assurant la protection des données conformément aux lois de l’Union européenne, du Royaume-Uni et de la Suisse.

Vous trouverez plus d’informations sur le programme Data Privacy Framework ici (https://www.dataprivacyframework.gov/s/). La politique DPF de ServiceNow est disponible ici (https://www.servicenow.com/fr/data-privacy-framework.html).
Conformité au RGPD Nous aidons les entreprises à se conformer au RGPD : grâce à des solutions qui intègrent pleinement le respect des exigences en vigueur aux opérations quotidiennes de l’entreprise, elles sont en mesure d’améliorer la confidentialité et l’accès aux données, entre autres.  En savoir plus
Ressources Rapports ServiceNow investit dans les services de l’UE FAQ sur les transferts de données internationaux Sécurité ServiceNow pour le secteur public du Royaume-Uni Directives sur l’IA responsable Livres blancs Chiffrement des données Sécurisation de la Now Platform Secteurs réglementés et exigences en matière de confidentialité des données (IDC)
En savoir plus ServiceNow aide ses clients à se protéger des risques liés à la sécurité, à sécuriser leurs données et à se conformer aux exigences internationales en constante évolution.   Découvrir comment RGPD Confidentialité Sécurité Conformité Now Platform