규정 준수 데이터 보안 및 개인정보 보호를 보장하는 정기적 감사 ServiceNow는 보안 및 규정 준수를 지속적으로 유지하기 위해 가장 엄격한 규정 준수 프레임워크를 준수합니다.
ServiceNow 플랫폼 규정 준수 인증 GDPR 리소스
대체
"ServiceNow는 엄격한 업계 인증 및 증명을 추구하여 고객의 신뢰, 평판, 안전, 데이터의 무결성을 유지함으로써 고객을 돕는 데 전념하고 있음을 보여줍니다." John Castelly ServiceNow 최고 규정 준수 책임자
글로벌 및 지역별 규정 준수
인증 및 증명
인증 및 증명 ServiceNow는 모든 지역에서 최고 수준의 보안 및 개인정보 보호 표준을 준수합니다. ServiceNow 애플리케이션을 사용하는 조직은 부문별 또는 지역별 요구 사항도 충족할 수 있습니다. 모두 보기
고객 규정 준수
고객 규정 준수 규정 준수 인증 및 증명은 매우 중요합니다. ServiceNow는 기술 역량, 지침 문서, 법적 약속을 통해 고객의 규정 준수 프로세스를 간소화합니다. 자세히 알아보기
고객 데이터 개인정보 보호
고객 데이터 개인정보 보호 고객에게 중요한 데이터를 보호할 수 있는 도구를 제공함으로써 중요한 비즈니스의 위험 노출을 최소화합니다.
액세스 통제 강화
액세스 통제 강화 MFA(다단계 인증)를 통해 무단 계정 액세스를 방지하고 데이터 보안을 강화합니다. 블로그 읽기
투명성
투명성 신뢰를 얻으려면 투명해야 합니다. ServiceNow의 엄격한 약관 및 데이터 보호 계약은 정부 요청에 대응하기 위한 정책을 포함하여 데이터를 처리하는 방법을 규정합니다. 방법 알아보기
보안 및 개인정보 보호 이니셔티브를 지지하는 ServiceNow ServiceNow는 빠르게 변화하는 규제 환경에 맞게 보안 프로토콜을 조정하고 선제적으로 모니터링합니다. 모두 확장 모두 축소 ISO/IEC 27017:2015

ISO/IEC 27017:2015 표준은 ISO/IEC 27002에 지정된 클라우드별 정보 보안 통제 구현과 관련이 있습니다.

인증은 매년 독립적인 감사를 통해 획득하며, ServiceNow는 2018년부터 ISO/IEC 27017:2015 인증 조직이 되었습니다.
ISO/IEC 27001:2022

ISO/IEC 27001:2022 인증은 보안 관리 베스트 프랙티스를 지정하고 ISO/IEC 27002 모범 사례 가이드를 기반으로 통제합니다. 이로써 ServiceNow의 ISMS(정보보호 관리 시스템)는 빠르게 변하는 IT 보안 세계에 반드시 필요한 보안 위협 변화에 대응할 수 있도록 세부 조정될 수 있습니다.

ServiceNow가 다음과 같은 사항을 수행했음을 증명하기 위해 연간 감시 감사 명령을 포함하여 3년마다 감사를 실시하여 재인증을 취득합니다.

  1. 포괄적인 ISMS 설계 및 구현
  2. 발전하는 위협 환경과 위험에 대응하기 위해 적합한 정보 보안 통제가 이루어지도록 지속적인 위험 관리 프로세스 채택
  3. 기업 위협 및 취약점으로 인한 영향을 포함하여 다양한 요소들을 고려하면서 정보 보안 위험을 체계적으로 평가

ServiceNow는 2012년부터이래로 ISO/IEC 27001 인증 조직이 되었으며, 인증서는 여기에서 확인할 수 있습니다.
ISO/IEC 27018:2019

ISO/IEC 27018:2019는 ISO/IEC 27002를 기반으로 하는 실행 지침이고 ISO/IEC 29100의 개인정보 보호 원칙에 따라 퍼블릭 클라우드에서 PII(개인 식별 정보)를 보호하는 것과 관련이 있습니다.

인증은 매년 독립적인 감사를 통해 획득하며, ServiceNow는 2016년부터 ISO/IEC 27018:2019 인증 조직이 되었습니다.
ISO/IEC 27701:2019
ISO/IEC 27001에서 더욱 확장된 이 인증은 PIMS(개인정보 관리 시스템)의 수립과 유지관리에 중점을 둡니다. ServiceNow는 PII(개인 식별 정보)가 포함되었을 수 있는 고객 데이터의 프로세서로서 이와 관련이 있습니다. ServiceNow는 2020년에 이 인증을 취득했습니다.
SSAE 18 SOC 1 및 SOC 2 보고서

SOC(Service Organizational Control) 프레임워크는 ServiceNow가 클라우드에서 고객 데이터의 기밀성, 무결성 및 가용성을 보호하기 위한 통제 기능을 적용하는 데 필요한 표준 준수를 증명합니다.

- SOC 1은 고객의 재무 보고서에 영향을 미치는 내부 통제의 효과에 초점을 맞춥니다.

- SOC 2는 가용성, 무결성, 보안, 기밀성 또는 개인정보 보호와 관련된 통제를 평가합니다.

ServiceNow는 외부 공급업체를 통한 감사를 받고 있으며 2011년부터 SSAE 18 SOC 1 Type 2 증명을 유지하고 있습니다(2017년 SSAE 18이 SSAE 16을 대체). SSAE 18은 국제 표준 ISAE3402와 일치하며 이제는 사용되지 않는 SAS70을 대체합니다.

ServiceNow의 SOC 1 보고서는 지난해 10월 1일부터 그해 9월 30일까지를 대상으로 하며 매해 연말(12월)에 ServiceNow CORE에서 확인할 수 있습니다.

SOC 1 보고서는 지난해 4월 1일부터 그해 3월 31일까지를 대상으로 하며 매해 2분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

또한 ServiceNow는 2013년부터 AICPA TSC(Trust Services Criteria) 목록에 있는 보안, 가용성 및 기밀성 통제와 관련하여 매년 SOC 2 Type 2 증명을 수행하고 있습니다.

ServiceNow의 SOC 2 보고서는 지난해 10월 1일부터 그해 9월 30일까지를 대상으로 하며 매해 연말(12월)에 ServiceNow CORE에서 확인할 수 있습니다.

감사 기간 동안 브리지 레터가 제공되므로 회사에 대한 증명은 1년 내내 보장됩니다.

ServiceNow의 SOC 1 브리지 레터는 그해 10월 1일부터 그해 12월 31일까지를 대상으로 하며 다음 해 1분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

SOC 1 브리지 레터는 지난해 4월 1일부터 그해 6월 30일까지를 대상으로 하며 매해 3분기 말에 ServiceNow CORE에서 확인할 수 있습니다.

ServiceNow의 SOC 2 브리지 레터는 그해 10월 1일부터 그해 12월 31일까지를 대상으로 하며 다음 해 1분기 말에 ServiceNow CORE에서 확인할 수 있습니다.
BSI C5(Cloud Computing Compliance Controls Catalog) 표준
C5는 독일 BSI(연방 정보보안부)가 개발한 클라우드에 특화된 규정 준수 통제 카탈로그이며, 공공 분야 및 민간 부문에서 모두 활용하고 있습니다. C5 증명 보고서는 AICPA SOC 2 보고서와 유사한 프로세스 및 계획을 따르며, AICPA 신용 서비스 기준과 요구 사항이 상당 부분 일치하면서 특정한 클라우드 위주 요구 사항이 추가되었습니다. ServiceNow는 2020년에 C5 증명 보고서를 취득했습니다.
APEC PRP(Privacy Recognition for Processors)
APEC PRP는 아시아태평양 지역에 특화된 자발적인 데이터 프로세서 인증이며 아시아태평양 지역 회원사들이 개발했습니다. 인증은 매년 갱신되지만, 프로세서의 개인정보 보호 프로세스 및/또는 절차에 상당한 영향을 끼치는 모든 변경 사항을 확인하기 위해 평가자가 이보다 자주 평가를 수행합니다.
ISMAP 클라우드 서비스
ISMAP(Information System Security Management and Assessment Program)는 일본 정부의 보안 요구 사항을 충족하는 클라우드 서비스를 평가 및 등록함으로써 일본 정부가 클라우드 서비스 구매 분야에서 보안 수준을 달성하는 것을 목표로 하는 프로그램입니다.  ServiceNow의 Now Platform은 ISMAP의 통제 기준을 충족하기 위해 등록된 ISMAP 평가 기관을 통해 독립적으로 평가를 거쳤으며 2022년 3월부로 ISMAP 클라우드 서비스로 등록되었습니다.  ISMAP 클라우드 서비스 목록은 https://www.ismap.go.jp/csm?id=cloud_service_list에서 확인하실 수 있습니다.
CSA STAR 레벨 2: STAR 인증
CCM(Cloud Controls Matrix)은 클라우드 컴퓨팅 보안에 필수적인 통제(정책 및 절차)로 이루어진 프레임워크로, CSA(Cloud Security Alliance)가 개발 및 업데이트하며 CSA 베스트 프랙티스에 맞게 조정됩니다. CSA STAR 레벨 2 인증은 클라우드 서비스 제공자의 보안에 대해 외부 공급업체가 수행하는 엄격한 평가로, ISO/IEC 27001 요구 사항과 함께 CSA CCM을 기준으로 평가합니다.
EU 클라우드 CoC

EU 클라우드 CoC(EU 클라우드 윤리 강령)은 유럽 클라우드 컴퓨팅 시장에서 신뢰와 투명성을 높이고 클라우드 고객을 위한 CSP(클라우드 서비스 공급자)의 위험 평가 프로세스를 간소화하기 위해 설계된 일련의 통제 요구 사항입니다. ServiceNow는 이 규정 준수를 입증하기 위해 80개 이상의 EU 클라우드 CoC 요구 사항에 대한 내부 감사를 수행했으며, 이러한 감사 작업에 대한 외부 평가를 받았습니다. ServiceNow가 EU 클라우드 CoC 준수 여부에 대해 외부 확인을 받았다는 사실은, 기존의 보안 및 개인정보 보호 인증과 함께 최고 수준의 개인정보 보호 및 보안 표준을 유지하려는 당사의 지속적인 노력을 잘 보여줍니다.

서비스는 EU 클라우드 CoC, 검증 ID 2022LVL02SCOPE3113을 준수하는 것으로 확인되었습니다. 자세한 내용은 https://eucoc.cloud/en/public-register에서 확인하시기 바랍니다.
FedRAMP High P-ATO(미국 정부 기관 및 제공업체 대상)

ServiceNow의 GCC(정부 커뮤니티 클라우드) 제품은 현재 FedRAMP(Federal Risk and Authorization Management Program) High Baseline P-ATO(Provisional Authority to Operate)를 유지하고 있습니다. 이를 통해 ServiceNow는 미국 연방 기관 및 제공자의 보안 클라우드 솔루션 채택을 가속화하고 FISMA(Federal Information Security Management Act)에 따라 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인할 수 있는 표준화된 접근 방식을 구현합니다.

GCC는 GCC FedRAMP High P-ATO(Provisional Authority to Operate)를 2019년 8월에 처음 취득했습니다. GCC는 DoD(Department of Defense) IL4(Impact Level 4) 및 CNSSI 1253F Privacy Overlay High PII + PHI 통제 요구 사항도 충족합니다.

FedRAMP Marketplace에서 ServiceNow를 확인하려면 여기를 클릭하세요.
DoD IL4 PA(미국 DoD 및 IC 기관 대상)

ServiceNow의 GCC(정부 커뮤니티 클라우드) 제품은 현재 DoD(Department of Defense) IL4(Impact Level 4) PA(Provisional Authorization)를 유지하고 있습니다. 이는 미국 DoD(Department of Defense) 및 IC(Intelligence Community)의 ServiceNow 제품 구매를 촉진하며, DISA(Defense Information Systems Agency)가 개발한 DoD CC(Cloud Computing) SRG(Security Requirements Guide)에서 정의한 기본 표준을 확립합니다.

ServiceNow는 2019년 10월에 처음 GCC DoD IL4 PA를 취득했습니다. DoD IL4 PA에는 FedRAMP High 및 DoD IL4 통제 요구 사항이 포함됩니다. ServiceNow의 GCC 제품은 CNSSI 1253F Privacy Overlay High PII + PHI 통제 요구 사항도 충족합니다.

Standard Offering 섹션 내 DISA Storefront에서 ServiceNow를 보려면 여기를 클릭하세요.
DoD IL5(국가 보안 클라우드 대상)

ServiceNow는 미국 DoD(Department of Defense) IL5(Impact Level 5) Provisional Authorization을 취득했습니다. 이를 통해 ServiceNow NSC(국가 보안 클라우드)는 엄격한 미국 Department of Defense Cloud Computing Security Requirements Guide Impact Level 5를 충족하도록 구축 및 승인된 몇 안 되는 SaaS(Software‑as‑a‑Service) 및 PaaS(Platform‑as‑a‑Service) 제품 중 하나가 되었습니다.

IL5 Provisional Authorization은 DoD, 임무 파트너 및 선별된 연방 기관이 Controlled Unclassified Information and Unclassified National Security Systems를 포함한 매우 민감한 데이터를 Microsoft Azure Government에서 호스팅되는 ServiceNow 클라우드 기반 솔루션으로 이전하게 하므로 DoD의 디지털 혁신을 가속화할 것입니다.
MTCS(Multi-Tier Cloud Security Standard for Singapore) Level 3

MTCS Level 3는 ServiceNow가 싱가포르 클라우드 고객 데이터의 기밀성 및 무결성에 관한 표준을 충족하도록 보장하는 인증입니다. ISO/IEC 27001을 기반으로 하며, 비즈니스 연속성 계획 수립 및 재해 복구와 함께 데이터의 주권, 보존, 가용성을 다룹니다.

ServiceNow는 가장 높은 인증 수준인 MTCS Level 3를 달성하게 된 것을 자랑스럽게 생각합니다.
ASD IRAP 평가 완료(OFFICIAL, PROTECTED 클라우드 서비스 대상)

ServiceNow의 호주 플랫폼은 OFFICIAL, PROTECTED 데이터에 대한 호주 ISM 통제 기준을 충족 여부에 관해 공인된 IRAP 평가자로부터 독립적으로 평가받았습니다. IRAP가 평가한 OFFICIAL, PROTECTED 클라우드 서비스는 호주 정부 고객에 Now Platform에 대한 신뢰와 확신을 제공하고 ServiceNow가 호주 정부 기관 및 중요 인프라 제공자와 효과적으로 협력할 수 있도록 지원합니다.

호주 규제 고객에 관한 세부 내용은 https://your.servicenow.com/microsoftregulatedindustries/australia에서 확인할 수 있습니다.
캐나다 정부 GC Cloud Provider
CCCS(Canadian Centre for Cyber Security)는 GC Cloud Provider로 인증받기 위한 물리적 요구 사항과 논리적 요구 사항을 모두 확립했습니다. 클라우드 제공자가 GC Cloud Provider로서 승인을 받으려면 CCCS 담당자에게 규정 준수를 입증해야 합니다. GC는 클라우드 내에 저장하도록 승인된 데이터 분류 수준으로, 정부가 정의했습니다.
AICPA SOC 2 TSC + HITRUST CSF
HITRUST는 원래 ISO27001을 기반으로 구축된 CSF 통제 프레임워크를 통해 규정 준수 목표를 표준화하려는 목적으로 의료 업계에서 개발했습니다. 이후 NIST 800-53 및 AICPA SOC 2 Trust Services Criteria 등 다양한 공통 보안 표준에 통합 및 매핑되었습니다. SOC 2 + HITRUST 보고서는 AICPA와 HITRUST Alliance 간 협업의 산물로, 서비스 감사자가 동일한 보고서에서 Trust Services Criteria 및 HITRUST CSF의 설계와 효율성에 대한 의견을 제시할 수 있는 메커니즘을 제공합니다.
영국 Cyber Essentials Plus 인증
Cyber Essentials Plus는 조직이 자체 IT 시스템에 대한 사이버 보안 위협의 위험 완화 및 평가를 입증하도록 지원하는 영국 정부 지원 제도로, 베스트 프랙티스와 최고 수준의 보안을 보장하기 위한 다양한 기술 통제의 구현을 요구하며, 이는 외부 감사자가 수행합니다. 지역에 초점을 맞춘 제도이기 때문에 인증 범위는 영국 지역으로 한정됩니다.
PCI DSS 규정 준수
PCI DSS(Payment Card Industry Data Security Standard)는 2004년, Visa, MasterCard, Discover Financial Services, JCB International, American Express가 정한 보안 표준입니다. 이에 대한 규정 준수 요구 사항은 PCI SSC(Payment Card Industry Security Standards Council)가 관리하며, 데이터 도난 및 사기로부터 신용카드 및 직불카드 거래를 보호하기 위해 만들어졌습니다. ServiceNow는 신용카드 데이터를 포함할 수 있는 고객 데이터의 처리자이므로 관련이 있습니다. ServiceNow는 2023년에 이 인증을 취득했습니다.
EU DSA 규정 준수

ServiceNow는 EU Digital Services Act(Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC)를 준수합니다.

EU Digital Services Act에 따라 모든 커뮤니케이션은 DSACompliance@ServiceNow.com을 통하기 바랍니다.
Data Privacy Framework

ServiceNow는 DPF(Data Privacy Framework) 프로그램의 참여자입니다. EU-U.S. DPF, UK Extension to the EU-U.S. DPF, Swiss-U.S. DPF는 각각 미국 DoC(Department of Commerce)와 유럽연합 집행위원회, 영국 정부, 스위스 연방정부가 개발하였으며, 유럽연합, 영국, 스위스에서 미국으로 개인정보를 이전할 때 미국 조직에 신뢰할 수 있는 메커니즘을 제공하는 동시에 유럽연합, 영국, 스위스 법률을 준수하는 데이터 보호를 보장합니다.

데이터 개인정보 보호 프레임워크에 관한 자세한 내용은 여기(https://www.dataprivacyframework.gov/s/)에서 확인할 수 있습니다. ServiceNow의 DPF 정책은 여기(https://www.servicenow.com/data-privacy-framework.html)에서 확인할 수 있습니다.
GDPR 규정 준수 ServiceNow는 일상 운영의 일부로 데이터 액세스 강화, 개인정보 보호를 고려한 설계 등의 요건을 충족하는 솔루션을 통해 조직이 GDPR 규정을 준수하도록 지원합니다.  더 읽기
리소스 문서 ServiceNow, EU 서비스에 투자 국가 간 데이터 이전 FAQ UK 공공 부문 대상 ServiceNow 보안 책임 있는 AI 가이드라인 백서 데이터 암호화 Now Platform 보안 규제 대상 산업 및 데이터 개인정보 보호 요구 사항(IDC)
더 알아보기 ServiceNow는 고객이 보안 위협에 맞서 방어하고, 데이터를 보호하며, 진화하는 글로벌 의무 규정을 준수하도록 지원합니다.   방법 알아보기 GDPR 개인정보 보안 규정 준수 Now Platform