Audit regolari per garantire la sicurezza e la privacy dei dati

La certificazione ISO/IEC 27001:2013 specifica le best practice e i controlli di gestione della sicurezza basati sulla raccolta di best practice ISO/IEC 27002. Garantisce che il nostro information security management system (ISMS) sia ottimizzato per stare al passo con le modifiche alle minacce per la sicurezza, aspetto essenziale nel mondo frenetico della sicurezza IT.

La ricertificazione viene acquisita mediante audit ogni tre anni e include un ordine di audit di vigilanza annuale il cui obiettivo è dimostrare che ServiceNow:

• 1. Ha progettato e implementato un ISMS completo.

• 2. Ha adottato un processo di gestione del rischio continuo per garantire che siano in essere i controlli di sicurezza delle informazioni appropriati per soddisfare uno scenario di minacce e rischi in continua evoluzione.

• 3. Valuta in modo sistematico e appropriato i rischi per la sicurezza delle informazioni, tenendo conto di diversi fattori, tra cui l'impatto delle minacce e delle vulnerabilità aziendali.

ServiceNow è un'organizzazione certificata ISO/IEC 27001 dal 2012 e il certificato è disponibile qui.

Lo standard ISO/IEC 27017:2015 riguarda l'implementazione dei controlli della sicurezza delle informazioni specifici per il cloud indicati nella norma ISO/IEC 27002.

La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC 27017:2015 dal 2018.

ISO/IEC 27018:2019 è un codice di condotta basato su ISO/IEC 27002 e riguarda la protezione delle informazioni di identificazione personale (PII) nei cloud pubblici in conformità ai principi sulla privacy indicati in ISO/IEC 29100.

La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC ISO/IEC 27018:2019 dal 2016.

Il framework Service Organizational Control (SOC) attesta che ServiceNow soddisfa lo standard richiesto per quanto riguarda i controlli in essere volti a proteggere la confidenzialità, l'integrità e la disponibilità dei dati dei nostri clienti nel cloud.

• - SOC 1 è incentrato sull'efficacia dei controlli interni che influiscono sui report finanziari dei clienti.
• - SOC 2 valuta i controlli che sono pertinenti per la disponibilità, l'integrità, la sicurezza, la confidenzialità o la privacy.

ServiceNow è sottoposta ad audit di terzi e ha ottenuto la conferma dell'attestazione SSAE 18 SOC 1 Type 2 dal 2011 (SSAE 18 ha sostituito SSAE 16 nel 2017). SSAE 18 è allineato allo standard internazionale ISAE3402 e ha sostituito l'ormai obsoleto SAS70.

Il report SOC 1 di ServiceNow che copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).

Il report SOC 1 relativo al periodo dal 1° aprile al 31 marzo è disponibile tramite ServiceNow CORE entro la fine del secondo trimestre dell'anno civile (giugno).

ServiceNow dispone inoltre di un'attestazione SOC 2 Type 2 annuale dal 2013, relativa ai controlli di sicurezza, disponibilità e confidenzialità indicati nei Trust Services Criteria (TSC) di AICPA.

Il report SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).

Tra i periodi di audit viene fornita una Bridge letter affinché l'azienda sia coperta per l'intero anno.

La bridge letter SOC 1 di ServiceNow che copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.

La bridge letter SOC 1 che copre il periodo dal 1° aprile al 30 giugno è disponibile tramite ServiceNow CORE entro la fine del terzo trimestre di ciascun anno civile.

La Bridge letter SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.

C5 è un catalogo di controlli di conformità specifici per il cloud sviluppato dall'Ufficio federale tedesco per la sicurezza informatica (BSI) e utilizzato sia nel settore pubblico che in quello privato. L'attestazione C5 segue un processo e uno schema simili a quelli dei report AICPA SOC 2 e presenta numerosi requisiti in comune con i Trust Services Criteria (TSC) di AICPA, a cui aggiunge requisiti specifici per il cloud. ServiceNow ha ricevuto l'attestato C5 nel 2020.

APEC PRP è una certificazione volontaria per i responsabili del trattamento dei dati specifica della regione Asia-Pacifico, sviluppata da membri locali. Le certificazioni vengono rinnovate ogni anno, ma le valutazioni possono essere più frequenti in caso di modifiche che abbiano un impatto significativo sui processi e/o sulle procedure in materia di privacy dei responsabili del trattamento.

L'Information System Security Management and Assessment Program (ISMAP) è un programma che mira a garantire il livello di sicurezza nell'approvvigionamento dei servizi cloud da parte del governo giapponese attraverso la valutazione e la registrazione dei servizi cloud che soddisfano i requisiti di sicurezza dell'ordinamento nipponico. La Now Platform di ServiceNow è stata valutata in modo indipendente da un addetto alla valutazione ISMAP registrato. L'addetto ha determinato che la Now Platform soddisfa i criteri di controllo di ISMAP e pertanto la piattaforma è stata registrata come servizio cloud ISMAP da marzo 2022. L'elenco del servizio cloud ISMAP è disponibile all'indirizzo: https://www.ismap.go.jp/csm?id=cloud_service_list

Questa estensione a ISO/IEC 27001 riguarda principalmente la definizione e la manutenzione di un Sistema di gestione delle informazioni sulla privacy (PIMS). Essa si applica a ServiceNow in quanto responsabile del trattamento dei dati dei clienti che potrebbero includere informazioni personali (PII). ServiceNow ha ricevuto questa certificazione nel 2020.

PinkVERIFY™ garantisce che ServiceNow sia in grado di dimostrare che i suoi prodotti IT Service Management (ITSM) siano compatibili con le best practice Information Technology Infrastructure Library (ITIL).

ServiceNow è orgogliosa di essere stata la prima azienda fornitrice di SaaS a ottenere lo stato PinkVERIFY™ su 11 processi ITIL nel 2009 e ha continuamente migliorato le proprie soluzioni ITSM sempre mantenendo questa certificazione del settore.

L'offerta Government Community Cloud (GCC) di ServiceNow attualmente ha una certificazione Federal Risk and Authorization Management Program (FedRAMP) Provisional Authority to Operate (P-ATO) di livello baseline alto. Questo consente a ServiceNow di accelerare l'adozione delle sue soluzioni cloud sicure da parte di agenzie federali e provider statunitensi e di implementare un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione dei prodotti e servizi di cloud computing nel rispetto delle disposizioni del Federal Information Security Management Act (FISMA).

GCC ha ottenuto la certificazione GCC FedRAMP High Provisional Authority to Operate (P-ATO) ad agosto 2019. Il GCC soddisfa inoltre i requisiti di controllo Impact Level 4 (IL4) del Dipartimento della Difesa e 1253F Privacy Overlay High PII (Personal Identifiable Information) + PHI (Protected Health Information) del Committee on National Security Systems (CNSSI).

Fai clic qui per visualizzare ServiceNow nel database FedRAMP

L'offerta di ServiceNow Government Community Cloud (GCC) attualmente possiede un'autorizzazione temporanea di Impact Level 4 (IL4) del Dipartimento della Difesa (DoD). Questo facilita il procurement di prodotti ServiceNow da parte del Dipartimento della Difesa statunitense e degli enti di Intelligence Community (IC) e definisce uno standard di base definito dalla DoD Cloud Computing Security Requirements Guide sviluppata dalla DISA (Defense Information Systems Agency).

ServiceNow ha ricevuto l'autorizzazione temporanea iniziale GCC DoD IL4 a ottobre 2019. L'autorizzazione temporanea DoD IL4 include i requisiti di controllo FedRAMP High e DoD IL4. L'offerta GCC di ServiceNow soddisfa inoltre i requisiti di controllo CNSSI 1253F Privacy Overlay High PII + PHI.

Fai clic qui per vedere ServiceNow sulla vetrina virtuale della DISA all'interno della sezione Offerta standard

ServiceNow, Inc. è conforme allo Scudo per la Privacy UE-USA e allo Scudo per la Privacy Svizzera-USA stabiliti dal Dipartimento del commercio degli Stati Uniti in relazione alla raccolta, all'uso e alla conservazione dei dati personali trasferiti verso gli Stati Uniti rispettivamente dall'Unione europea, dal Regno Unito e dalla Svizzera. Per ulteriori informazioni sullo Scudo per la Privacy, visita il sito Web dedicato allo Scudo per la Privacy del Dipartimento del Commercio statunitense, disponibile a questo link.

MTCS Level 3 certifica che ServiceNow soddisfa gli standard in materia di confidenzialità e integrità dei dati dei nostri clienti nel cloud per Singapore. Si basa su ISO/IEC 27001 e tratta la sovranità, la conservazione e la disponibilità dei dati, unitamente alla pianificazione della continuità di business e al ripristino in caso di disastro.

ServiceNow è orgogliosa di aver ottenuto MTCS Level 3, che è il massimo livello di certificazione disponibile.

Le piattaforme australiane di ServiceNow sono state valutate in modo indipendente da un ente di valutazione IRAP approvato per soddisfare i controlli ISM australiani per i dati UFFICIALI e PROTETTI. La valutazione IRAP dei servizi cloud UFFICIALI e PROTETTI costituisce per i clienti del governo australiano una garanzia di affidabilità della NOW Platform e consente a ServiceNow di lavorare efficacemente con le agenzie governative australiane e i fornitori di infrastrutture critiche. È possibile consultare ulteriori dettagli per i clienti australiani regolamentati qui: https://your.servicenow.com/microsoftregulatedindustries/australia

Il CCCS (Canadian Centre for Cyber Security) ha stabilito una serie di requisiti sia fisici che logici che devono essere soddisfatti dai provider cloud GC certificati. Per ottenere l'approvazione come provider cloud GC, è necessario dimostrare la conformità al personale del CCCS. GC è il livello di classificazione dei dati approvato per il cloud definito dal governo.

ServiceNow è diventato un provider cloud GC nel 2020. Maggiori informazioni sono disponibili qui

HITRUST è stato sviluppato dal settore sanitario per standardizzare gli obiettivi di conformità attraverso il suo framework di controlli CSF, originariamente basato sulla norma ISO27001. Tale framework è stato successivamente integrato e mappato a molti degli standard di sicurezza più diffusi, tra cui NIST 800-53 e i Trust Services Criteria SOC 2 di AICPA. Il Report SOC 2 + HITRUST è frutto di una collaborazione tra AICPA e HITRUST Alliance. Fornisce agli auditor dei servizi la possibilità di valutare la progettazione e l'efficacia dei Trust Services Criteria e dei controlli HITRUST CSF nello stesso report.

Cyber Essentials Plus è un piano sostenuto dal governo del Regno Unito che aiuta le organizzazioni a dimostrare la riduzione del rischio e la valutazione delle minacce alla sicurezza informatica dei loro sistemi IT. Il piano prevede l'implementazione di vari controlli tecnici condotti da un revisore esterno per garantire le best practice e la massima sicurezza. A causa del focus regionale del piano, la certificazione è limitata all'area del Regno Unito.

ServiceNow ha ottenuto un'autorizzazione temporanea del Dipartimento della Difesa USA Impact Level 5 (DoD IL5). Questo fa di ServiceNow National Security Cloud (NSC) una delle poche offerte software-as-a-service e platform-as-a-service (SaaS/PaaS) che hanno ricevuto la certificazione di conformità ai rigorosi requisiti di sicurezza della Department of Defense Cloud Computing Security Requirements Guide a livello Impact Level 5.

L'autorizzazione temporanea IL5 accelererà la trasformazione digitale del dipartimento, in quanto consente al DoD, ai partner che condividono la sua mission e a determinati enti federali di trasferire dati altamente riservati, tra cui le cosiddette Controlled Unclassified Information e Unclassified National Security Systems, alle soluzioni basate su cloud ServiceNow ospitate su Microsoft Azure Government.