Conformité Des audits réguliers pour vérifier la sécurité et la confidentialité des données ServiceNow respecte les cadres de conformité les plus stricts pour vous aider à assurer la sécurité et la conformité de manière continue. Consulter le portail de sécurité
Conformité de la ServiceNow AI Platform Certifications RGPD Ressources
Alt
« ServiceNow a obtenu des certifications et des attestations sectorielles strictes pour démontrer son engagement à aider ses clients, en préservant leur confiance, leur réputation, leur sécurité et l’intégrité de leurs données. » John Castelly Chief Compliance Officer, ServiceNow
Conformité mondiale et régionale
Certifications et attestations
Certifications et attestations ServiceNow répond aux normes de sécurité et de confidentialité les plus strictes dans toutes les régions où l’entreprise opère. En outre, les applications ServiceNow aident les entreprises à répondre aux exigences régionales et sectorielles. Afficher tout
Conformité
Conformité Les certifications et attestations de conformité sont essentielles. Nous simplifions vos processus de conformité grâce à nos capacités techniques, nos guides pratiques et nos engagements juridiques.  En savoir plus
Confidentialité des données
Confidentialité des données En vous fournissant les outils pour protéger vos données sensibles, nous réduisons l’exposition aux risques dans les aspects essentiels de votre activité.  
Contrôle d’accès sécurisé
Contrôle d’accès sécurisé Empêchez les accès non autorisés aux comptes et renforcez la sécurité des données grâce à l’authentification multifactorielle (MFA). Lire l’article
Transparence
Transparence La transparence est le fondement de la confiance. Nos conditions et accords stricts en matière de protection des données dictent la façon dont nous traitons les données, y compris nos politiques de réponse aux demandes gouvernementales. En savoir plus
Nous encourageons toutes les initiatives en matière de sécurité et de confidentialité Nous surveillons et adaptons proactivement nos protocoles de sécurité aux environnements réglementaires en constante évolution. Développer tout Réduire tout ISO/CEI 42001 – Système de management de l’intelligence artificielle (SMIA)
La norme ISO/CEI 42001 est la première norme internationale pour gérer l’intelligence artificielle de manière responsable tout au long de son cycle de vie. La certification de ServiceNow démontre notre engagement à créer et à exploiter des systèmes IA avec une gouvernance, une transparence et une gestion des risques solides, afin d’aider les clients à adopter l’IA en toute confiance tout en répondant aux attentes réglementaires et éthiques mondiales.
ISO/IEC 27017:2015

La norme ISO/IEC 27017:2015 concerne la mise en œuvre des contrôles de sécurité de l’information spécifiques au cloud précisés dans la norme ISO/IEC 27002.

La certification est obtenue par un audit annuel indépendant, et ServiceNow est une entreprise certifiée ISO/IEC 27017:2015 depuis 2018.
ISO/IEC 27001:2022

La certification ISO/IEC 27001:2022 spécifie les bonnes pratiques de gestion de la sécurité et les contrôles basés sur le guide des bonnes pratiques ISO/IEC 27002. Elle garantit que notre système Information Security Management System (ISMS) est parfaitement au point pour suivre la progression des menaces en matière de sécurité, ce qui s’avère essentiel dans un monde de sécurité IT en constante évolution.

Le renouvellement de la certification est obtenu par un audit effectué tous les trois ans, et qui comprend la réalisation d’un audit de surveillance annuel pour démontrer que ServiceNow :

  1. a conçu et mis en œuvre un système ISMS complet ;
  2. a adopté un processus continu de gestion des risques pour s’assurer que les contrôles de sécurité de l’information appropriés sont établis pour faire face à l’évolution de la menace et des risques ;
  3. évalue systématiquement les risques liés à la sécurité de l’information de façon appropriée, en tenant compte de plusieurs facteurs, y compris de l’impact des menaces et des vulnérabilités de l’entreprise.

ServiceNow est une entreprise certifiée ISO/IEC 27001 depuis 2012 et le certificat est disponible ici.
ISO/IEC 27018:2019

La norme ISO/IEC 27018:2019 est un code de bonne pratique basé sur la norme ISO/IEC 27002 et concerne la protection des données à caractère personnel dans les clouds publics conformément aux principes de confidentialité de la norme ISO/IEC 29100.

La certification est obtenue par un audit annuel indépendant, et ServiceNow est une entreprise certifiée ISO/IEC 27018:2019 depuis 2016.
ISO/IEC 27701:2019
Cette extension d’ISO/IEC 27001 est axée sur la mise en place et la maintenance d’un système de management de protection de la vie privée (PIMS). Elle est particulièrement utile pour ServiceNow qui est responsable du traitement des données client susceptibles de contenir des informations à caractère personnel (PII). ServiceNow a reçu cette certification en 2020.
Rapports SOC 1 et SOC 2 de la norme SSAE 18

Le cadre du contrôle organisationnel des services (SOC) atteste que ServiceNow respecte la norme requise en ce qui concerne la mise en place de contrôles pour la protection de la confidentialité, l’intégrité et la disponibilité des données de nos clients dans le cloud.

- Le SOC 1 se concentre sur l’efficacité des contrôles internes qui affectent les rapports financiers des clients.

- Le SOC 2 évalue les contrôles relatifs à la disponibilité, à l’intégrité, à la sécurité, à la confidentialité ou à la vie privée.

ServiceNow est audité par un tiers et conserve son attestation SSAE 18 SOC 1 de type 2 depuis 2011 (SSAE 18 a remplacé SSAE 16 en 2017). SSAE 18 s’aligne avec la norme internationale ISAE3402 et remplace SAS70, qui est désormais obsolète.

Le rapport SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE à la fin de chaque année civile (décembre).

Le rapport SOC 1 de ServiceNow couvre la période allant du 1er avril au 31 mars et est disponible via ServiceNow CORE à la fin du 2e trimestre de chaque année civile (juin).

ServiceNow a également entrepris une attestation annuelle SOC 2 de type 2 depuis 2013, qui porte sur les contrôles de sécurité, de disponibilité et de confidentialité énumérés dans les critères des services de tiers de confiance de l’AICPA.

Le rapport SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE en fin de chaque année civile (décembre).

Une lettre de liaison est fournie entre les périodes d’audit, de façon à ce que l’entreprise soit couverte toute l’année.

La lettre de liaison SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin du premier trimestre civil de l’année suivante.

La lettre de liaison SOC 1 de ServiceNow couvre la période allant du 1er avril au 30 juin et est disponible via ServiceNow CORE à la fin du 3e trimestre de chaque année civile.

La lettre de liaison SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin du premier trimestre civil de l’année suivante.
Attestation BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 est un catalogue de contrôles de conformité spécifique au cloud, développé par l’Office fédéral allemand pour la sécurité de l’information (BSI) et utilisé dans les secteurs public et privé. Le rapport d’attestation C5 suit un processus et un schéma similaires à ceux des rapports AICPA SOC 2, et ses exigences sont pour la plupart alignées sur les exigences des critères AICPA Trust Services Criteria, avec l’ajout d’exigences spécifiques axées sur le cloud. ServiceNow a reçu son rapport d’attestation C5 en 2020.
Reconnaissance de la confidentialité pour les responsables du traitement (PRP) de l’APEC
La certification PRP de l’APEC est une certification sur la base du volontariat qui s’adresse aux responsables du traitement des données dans la région Asie-Pacifique, développée par des membres locaux de la région. Les certifications sont renouvelées chaque année, mais des évaluateurs interviennent plus fréquemment pour vérifier tout changement qui aurait une incidence importante sur les procédures et/ou les processus relatifs à la confidentialité du responsable du traitement.
Service cloud ISMAP
L’ISMAP (Information System Security Management and Assessment Program) vise à garantir le niveau de sécurité de la fourniture des services dans le cloud mis en place par le gouvernement japonais, en évaluant et en enregistrant les services dans le cloud qui répondent aux exigences de sécurité du gouvernement.  La Now Platform de ServiceNow a été soumise à une vérification indépendante par un évaluateur enregistré de l’ISMAP afin de vérifier qu’elle répond bien aux critères de contrôle ISMAP. Elle est enregistrée comme service cloud ISMAP depuis mars 2022.  La liste des services dans le cloud ISMAP est disponible ici : https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR niveau 2 : certification STAR
La Cloud Controls Matrix (« CCM ») est un cadre de contrôles (politiques et procédures) essentiel à la sécurité du cloud computing. Elle a été créée et est mise à jour par la Cloud Security Alliance (« CSA ») et est conforme aux bonnes pratiques de la CSA. La certification CSA STAR niveau 2 est une évaluation indépendante rigoureuse, qui permet de vérifier si la sécurité des fournisseurs de services cloud est conforme à la CSA Cloud Controls Matrix, ainsi qu’à la norme ISO/IEC 27001.
CoC cloud de l’UE

Le Code de conduite cloud de l’UE (CoC cloud de l’UE) est un ensemble d’exigences de contrôle visant à développer la confiance et la transparence sur le marché européen du cloud computing et à simplifier le processus d’évaluation des risques des fournisseurs de services cloud (CSP) pour les clients du cloud. Pour prouver qu’il s’y conforme, ServiceNow a effectué un audit interne portant sur plus de 80 exigences du CoC cloud de l’UE et a fait réaliser une évaluation externe de cet audit. La validation externe de la conformité de ServiceNow avec le CoC cloud de l’UE témoigne de notre engagement continu à maintenir les normes de confidentialité et de sécurité les plus élevées, parallèlement à nos certifications existantes en matière de sécurité et de confidentialité.

La conformité des services au Code de conduite cloud de l’UE, ID de vérification 2022LVL02SCOPE3113 est vérifiée. Pour en savoir plus, rendez-vous sur https://eucoc.cloud/en/public-register.
Autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau et FedRAMP pour les entités et les fournisseurs du gouvernement américain

L’offre GCC (Government Community Cloud) de ServiceNow est autorisée par le programme fédéral de gestion des risques et des autorisations (FedRAMP) et bénéficie d’une autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau. Cela permet à ServiceNow d’accélérer le déploiement de ses solutions dans le cloud sécurisé par les agences et les fournisseurs du gouvernement américain, et de fournir une approche standardisée pour évaluer, surveiller et autoriser les produits et services de cloud computing, conformément au Federal Information Security Management Act (FISMA).

L’offre GCC bénéficie d’une autorisation provisoire d’exploitation (P-ATO, Provisional Authority to Operate) de haut niveau depuis août 2019. Elle répond également aux exigences de contrôle IL4 (Impact Level 4) du département de la Défense et à celles des couches de protection de haut niveau des informations personnelles et de santé (Privacy Overlay High PII + PHI) du CNSSI 1253F.

Cliquer ici pour voir ServiceNow sur le FedRAMP Marketplace
Autorisation provisoire IL4 du DoD pour les entités américaines DoD et IC

L’offre GCC (Government Community Cloud) de ServiceNow bénéficie actuellement d’une autorisation provisoire (PA) IL4 (Impact Level 4) du département de la Défense. Cela facilite la fourniture des produits ServiceNow par le département de la Défense des États-Unis (DoD) et l’Intelligence Community (IC) et établit une norme de référence, définie par le Guide sur les exigences de sécurité (SRG) en matière de cloud computing (CC) de l’Agence des systèmes d’information de la défense américaine (DISA).

ServiceNow a reçu sa première PA IL4 du DoD pour son offre GCC en octobre 2019. La PA IL4 du DoD inclut les exigences de contrôle FedRAMP de haut niveau et IL4 du DoD. L’offre GCC de ServiceNow répond également aux exigences de contrôle des couches de protection de haut niveau des informations personnelles et de santé (Privacy Overlay High PII + PHI) du CNSSI 1253F.

Cliquer ici pour voir ServiceNow sur DISA Storefront dans la section relative à l’offre standard
IL5 du DoD pour le National Security Cloud

ServiceNow a obtenu une autorisation provisoire IL5 (Impact Level 5) du département de la Défense américain (DoD). Le National Security Cloud (NSC) de ServiceNow est donc l’une des rares offres SaaS/PaaS conçues et autorisées pour répondre au rigoureux Guide sur les exigences de sécurité en matière de cloud computing du département de la Défense au niveau IL5.

L’autorisation provisoire IL5 va accélérer la transformation digitale du DoD. En effet, elle permet au DoD, à ses partenaires de mission et à certaines agences fédérales de déplacer des données hautement sensibles, y compris des informations non classifiées contrôlées et des systèmes de sécurité nationale non classifiés, vers des solutions ServiceNow basées sur le cloud et hébergées sur Microsoft Azure Government.
Norme Multi-Tier Cloud Security (MTCS) pour Singapour de niveau 3

La MTCS de niveau 3 est une certification qui garantit que ServiceNow respecte les normes de confidentialité et d’intégrité des données de nos clients dans le cloud pour Singapour. Elle s’appuie sur la norme ISO/CEI 27001 et couvre la souveraineté, la conservation et la disponibilité des données, ainsi que la planification de la continuité d’activité et la récupération d’urgence.

ServiceNow est fier d’avoir atteint le niveau 3 de la MTCS, le plus haut niveau de certification disponible.
Programme IRAP de l’ASD évalué pour les services dans le cloud OFFICIELS et PROTÉGÉS

Les plateformes australiennes de ServiceNow ont été soumises à une vérification indépendante par un évaluateur IRAP approuvé, afin de répondre aux contrôles ISM australiens concernant les données OFFICIELLES et PROTÉGÉES. Les services cloud OFFICIELS et PROTÉGÉS évalués par l’IRAP permettent aux clients du gouvernement australien d’avoir toute confiance dans la Now Platform, et à ServiceNow d’interagir efficacement avec les agences gouvernementales australiennes et les fournisseurs d’infrastructures critiques.

Pour en savoir plus sur les clients réglementés australiens, rendez-vous sur : https://your.servicenow.com/microsoftregulatedindustries/australia.
Fournisseur de clouds GC du gouvernement du Canada
Le Centre canadien pour la cybersécurité (CCCS) a mis en place un ensemble d’exigences physiques et logiques que les fournisseurs cloud certifiés GC doivent respecter. Les fournisseurs cloud doivent répondre aux exigences du personnel du CCCS avant d’être approuvés comme fournisseurs cloud GC. La certification GC est un niveau de classification de données défini par le gouvernement qui approuve l’enregistrement dans le cloud.
Certification HITRUST
HITRUST a été développé par le secteur de la santé pour standardiser les objectifs de conformité via son cadre de travail de contrôles CSF, créé à l’origine d’après la norme ISO27001. Le programme d’assurance HITRUST CSF renforce la confiance dans la protection des informations grâce à un processus d’évaluation et de génération de rapports accessible pour les entreprises de toutes tailles ainsi que de tous niveaux de complexité et de risque. La certification est attribuée aux entreprises qui réussissent une évaluation et répondent au seuil de score requis ainsi qu’à d’autres critères de certification.
Certification RU Cyber Essentials Plus
Cyber Essentials Plus est un programme soutenu par le gouvernement britannique, qui aide les entreprises à démontrer qu’elles ont bien réduit les risques et évalué les menaces de cybersécurité pesant sur leurs systèmes IT. Le programme exige de faire réaliser, par un auditeur externe, divers contrôles techniques afin de garantir que les bonnes pratiques et le plus haut niveau de sécurité sont mis en œuvre. En raison de la portée régionale du programme, la certification se limite au Royaume-Uni.
Conformité PCI DSS
La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité établies en 2004 par Visa, MasterCard, Discover Financial Services, JCB International et American Express. Régies par le PCI SSC (Payment Card Industry Security Standards Council), les exigences de conformité visent à sécuriser les transactions par carte de crédit et de débit contre le vol de données et la fraude. ServiceNow est concerné en tant que responsable du traitement des données client susceptibles de contenir des données de cartes de crédit. ServiceNow est devenu conforme en 2023.
Conformité EU DSA

ServiceNow et le Digital Services Act de l’Union européenne (Réglementation [UE] 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relative au marché unique pour les services digitaux, modifiant la directive 2000/31/EC) :

Veuillez adresser toute communication relative au Digital Services Act de l’Union européenne à l’adresse DSACompliance@ServiceNow.com.
Cadre de confidentialité des données

ServiceNow participe au programme Data Privacy Framework (DPF). Le DPF UE-États-Unis, l’extension britannique du DPF UE-États-Unis et le DPF Suisse-États-Unis ont été respectivement développés par le département du Commerce des États-Unis, la Commission européenne, le gouvernement du Royaume-Uni et l’administration fédérale suisse, pour fournir aux entreprises américaines des mécanismes fiables de transfert des données personnelles vers les États-Unis depuis l’Union européenne, le Royaume-Uni et la Suisse, tout en assurant la protection des données conformément aux lois de l’Union européenne, du Royaume-Uni et de la Suisse.

Vous trouverez plus d’informations sur le programme Data Privacy Framework ici (https://www.dataprivacyframework.gov/s/). La politique DPF de ServiceNow est disponible ici (https://www.servicenow.com/fr/data-privacy-framework.html).
ISO/IEC 9001:2015

La certification ISO 9001:2015 définit les bonnes pratiques et les contrôles pour les systèmes de gestion de la qualité (QMS), garantissant ainsi qu’une entreprise fournit systématiquement des produits et des services conformes aux exigences des clients et des réglementations. Elle démontre notre engagement à maintenir des normes de qualité élevées tout en favorisant l’amélioration continue dans tous les aspects de nos activités.

La recertification est obtenue par un audit tous les trois ans, avec un audit de surveillance annuel pour confirmer que notre entreprise :

  • a conçu et mis en œuvre un QMS robuste, garantissant que tous les processus sont alignés sur les bonnes pratiques du secteur ;
  • adopte une approche centrée sur le client pour garantir une satisfaction et un engagement cohérents ;
  • garantit une culture d’amélioration continue, en utilisant des aperçus et des commentaires basés sur les données pour affiner les processus et booster les performances ;
  • évalue activement les risques et les opportunités pour améliorer l’efficacité du QMS et s’adapter à l’évolution du marché et des conditions opérationnelles.
ISO/IEC 20000:2018

La certification ISO/IEC 20000-1:2018 définit les bonnes pratiques pour la gestion des services IT (ITSM), garantissant que les entreprises fournissent des services IT de haute qualité répondant aux besoins des clients et aux exigences réglementaires. Elle démontre notre engagement à gérer et améliorer la qualité de la livraison de nos services IT tout en mettant l’accent sur l’efficience et la satisfaction client.

La recertification est obtenue par un audit tous les trois ans, avec un audit de surveillance annuel pour confirmer que notre entreprise :

  • a conçu et mis en œuvre un système complet de gestion des services IT (SMS) conforme aux normes ISO/CEI 20000-1 ;
  • surveille et améliore en permanence les performances et la fourniture de services IT, en veillant à ce qu’ils répondent aux attentes des clients et aux standards du secteur ;
  • adopte une approche systématique pour gérer les risques et opportunités liés aux services, en maintenant l’alignement avec l’évolution des besoins des clients et des tendances technologiques ;
  • favorise une culture d’amélioration continue des services (CSI), en utilisant les commentaires et les mesures pour optimiser les processus de services IT et garantir une prestation de services fiable et constante.
ISO/IEC 22301:2019

La certification ISO 22301:2019 définit les bonnes pratiques pour les systèmes de management de la continuité d’activité (BCMS), garantissant que les entreprises sont préparées à répondre efficacement aux disruptions et à maintenir leurs opérations business critiques. Elle démontre notre engagement à préserver la résilience et la continuité des activités face aux crises ou situations d’urgence potentielles.

La recertification est obtenue par un audit tous les trois ans, avec un audit de surveillance annuel pour confirmer que notre entreprise :

  • a conçu et mis en œuvre un BCMS robuste conforme aux normes ISO 22301 ;
  • adopte une approche proactive pour identifier et atténuer les menaces potentielles à la continuité de l’activité, garantissant ainsi la disponibilité continue des services essentiels ;
  • évalue et teste systématiquement les plans de reprise afin de garantir leur efficacité pour minimiser les conséquences des disruptions et maintenir les fonctions business critiques ;
  • favorise l’amélioration continue.
Certification Esquema Nacional de Seguridad (ENS) Afficher la certification Afficher l’avertissement
Certification Esquema Nacional de Seguridad (ENS)

Le Schéma National de Sécurité (ENS) est un cadre de certification espagnol qui définit les critères et exigences visant à garantir la protection adéquate des informations électroniques dans le cadre de l’administration électronique. Régi par un décret royal, l’ENS établit des normes pour les administrations publiques et les entités, ainsi que pour les entreprises privées qui traitent des données publiques. En classant les données selon leur niveau de confidentialité et les opérations effectuées, l’ENS définit différents niveaux de mesures de sécurité, allant du niveau basique au plus élevé, afin d’assurer une protection robuste des données, une gestion efficace des incidents et des contrôles de conformité périodiques via des audits. Cette certification est essentielle pour renforcer la confiance dans les services électroniques fournis par et au sein de l’administration espagnole.

ServiceNow a satisfait aux exigences pour se conformer à la norme ENS au niveau « élevé ».
Conformité au RGPD Nous aidons les entreprises à se conformer au RGPD : grâce à des solutions qui intègrent pleinement le respect des exigences en vigueur aux opérations quotidiennes de l’entreprise, elles sont en mesure d’améliorer la confidentialité et l’accès aux données, entre autres.  En savoir plus
Ressources Rapports ServiceNow investit dans les services de l’UE FAQ sur les transferts de données internationaux Sécurité ServiceNow pour le secteur public du Royaume-Uni Directives sur l’IA responsable Livres blancs Chiffrement des données Sécurisation de la ServiceNow AI Platform. Secteurs réglementés et exigences en matière de confidentialité des données (IDC)
En savoir plus ServiceNow vous aide à vous protéger des risques liés à la sécurité, à sécuriser vos données et à vous conformer aux exigences internationales en constante évolution.    Découvrir comment RGPD Confidentialité Sécurité Conformité ServiceNow AI Platform Portail de sécurité client