Cumplimiento Auditorías periódicas para verificar la seguridad y privacidad de los datos ServiceNow cumple con los marcos de trabajo de cumplimiento más estrictos para ayudarte a mantener la seguridad y el cumplimiento de forma continua. Visitar el portal de seguridad
Cumplimiento de ServiceNow AI Platform Certificaciones RGPD Recursos
Alt
“ServiceNow sigue certificaciones y atestaciones estrictas de la industria para demostrar que estamos dedicados a ayudar a nuestros clientes mediante la conservación de su confianza, reputación, seguridad y la integridad de sus datos”. John Castelly Director de Cumplimiento, ServiceNow
Cumplimiento global y regional
Certificaciones y atestaciones
Certificaciones y atestaciones ServiceNow cumple con los más altos estándares en materia de seguridad y privacidad en todas nuestras regiones. Además, nuestras aplicaciones permiten a las organizaciones cumplir con tus requisitos sectoriales o regionales. Ver todos
Cumplimiento
Cumplimiento Las certificaciones y atestaciones de cumplimiento son fundamentales. Te facilitamos los procesos de cumplimiento a través de nuestras competencias técnicas, documentos de orientación y compromisos legales.  Más información
Privacidad de datos
Privacidad de datos Mediante la provisión de las herramientas para proteger tus datos confidenciales, reducimos la exposición al riesgo en las partes esenciales de tu empresa.  
Control de acceso seguro
Control de acceso seguro Evita el acceso no autorizado a la cuenta y aumenta la seguridad de los datos mediante la autenticación multifactor (MFA). Leer el blog
Transparencia
Transparencia La transparencia genera confianza. En nuestros términos y acuerdos estrictos de protección de datos, se establece cómo procesamos los datos, lo que incluye las políticas para responder a las solicitudes gubernamentales. Descubrir cómo
Defendemos las iniciativas de seguridad y privacidad Monitoreamos de forma proactiva nuestros protocolos de seguridad y los adaptamos a entornos regulatorios que cambian rápidamente. Expandir todo Contraer todo ISO/IEC 42001 – Sistema de gestión de inteligencia artificial (AIMS)
ISO/IEC 42001 es el primer estándar internacional para gestionar la inteligencia artificial de manera responsable en todo su ciclo de vida. La certificación de ServiceNow demuestra nuestro compromiso de desarrollar y operar sistemas de IA con una sólida gobernanza, transparencia y gestión de riesgos, lo que ayuda a los clientes a adoptar la IA con confianza y a cumplir con las expectativas normativas y éticas globales.
ISO/IEC 27017:2015

La norma ISO/IEC 27017:2015 se ocupa de la implementación de los controles de seguridad específicos para la nube según se detallan en la norma ISO/IEC 27002.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27017:2015 desde el 2018.
ISO/IEC 27001:2022

La certificación ISO/IEC 27001:2022 especifica las prácticas recomendadas para la gestión y los controles de la seguridad, según la guía de prácticas recomendadas ISO/IEC 27002. Garantiza que nuestro sistema de gestión de seguridad de la información (ISMS) esté optimizado para mantener el ritmo de los cambios en las amenazas de seguridad, algo esencial en el mundo acelerado de la seguridad de IT.

Cada tres años, se renueva la certificación a través de una auditoría, así como una petición de auditoría de vigilancia anual para demostrar que ServiceNow:

  1. Diseñó e implementó un ISMS completo.
  2. Adoptó un proceso de gestión de riesgo continuo a fin de garantizar la puesta en marcha de los controles de seguridad de la información adecuados para abordar los riesgos y el panorama de amenazas en constante evolución.
  3. Evalúa sistemática y adecuadamente los riesgos de seguridad de la información, teniendo en cuenta varios factores, como el impacto de las vulnerabilidades y las amenazas de las empresas.

ServiceNow cuenta con la certificación ISO/IEC 27001 desde 2012, y el certificado está disponible aquí.
ISO/IEC 27018:2019

La norma ISO/IEC 27018:2019 es un código de prácticas basado en la norma ISO/IEC 27002 y se ocupa de la protección de la información de identificación personal (PII) en nubes públicas de acuerdo con los principios de privacidad de la norma ISO/IEC 29100.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27018:2019 desde el 2016.
ISO/IEC 27701:2019
Esta extensión de ISO/IEC 27001 se centra en el establecimiento y mantenimiento de un Sistema de Gestión de Información de Privacidad (PIMS). Esto es relevante para ServiceNow como procesador de datos de clientes que pueden contener información de identificación personal (PII). ServiceNow recibió esta certificación en el 2020.
Informes SSAE 18 SOC 1 y SOC 2

El marco de trabajo Service Organizational Control (SOC) es una atestación de que ServiceNow cumple el estándar necesario en lo que se refiere a contar con controles para proteger la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes en la nube.

-SOC 1 se centra en la efectividad de los controles internos que afectan a los informes financieros de los clientes.

-SOC 2 evalúa los controles relevantes para la disponibilidad, la integridad, la seguridad, la confidencialidad o la privacidad.

ServiceNow se somete a una auditoría por parte de un tercero y mantiene la atestación SSAE 18 SOC 1 Tipo 2 desde el 2011 (la SSAE 18 sustituyó a la SSAE 16 en el 2017). La SSAE 18 se ajusta al estándar internacional ISAE3402 y sustituye al SAS70, ahora en desuso.

El informe SOC 1 de ServiceNow que abarca el período del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

El informe del SOC 1 que cubre el período del 1 de abril al 31 de marzo está disponible a través de ServiceNow CORE al final de cada segundo trimestre (junio).

ServiceNow también ha logrado la atestación anual SOC 2 tipo 2 desde el 2013, relevante para los controles de seguridad, disponibilidad y confidencialidad enumerados en los criterios de servicios confiables (TSC, por sus siglas en inglés) del Instituto Americano de Contables Públicos Certificados (AICPA).

El informe SOC 2 de ServiceNow abarca el período del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

Se proporciona una carta puente entre períodos de auditoría de forma que la empresa queda cubierta durante todo el año.

La carta puente de SOC 1 de ServiceNow que abarca el período del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.

La carta puente del SOC 1 que cubre el período del 1 de abril al 30 de junio está disponible a través de ServiceNow CORE al final de cada tercer trimestre.

La carta puente de SOC 2 de ServiceNow abarca el período del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.
Estándar sobre el catálogo de controles de cumplimiento de computación en la nube (C5) de la BSI
El C5 es un catálogo de controles de cumplimiento específico para la nube desarrollado por la Oficina Federal Alemana de Seguridad de la Información (BSI) para los sectores público y privado. El informe de atestación C5 sigue un proceso y un esquema similares a los de los informes AICPA SOC 2, y comparte muchos requisitos con los criterios de servicios de confianza de la AICPA, a los que se añaden los específicos para la nube. ServiceNow recibió su informe de atestación C5 en el 2020.
Reconocimiento de Privacidad de APEC para Procesadores (PRP)
El PRP de APEC es una certificación voluntaria para los procesadores de datos específica de la región de Asia-Pacífico y desarrollada por miembros locales en la región. Las certificaciones se renuevan anualmente, pero se puede reclamar la intervención de los evaluadores con mayor frecuencia si se produce algún cambio que puede afectar significativamente a los procesos o procedimientos de privacidad del procesador.
Servicios en la nube ISMAP
El programa de gestión y evaluación de la seguridad del sistema de información (ISMAP) es un programa que tiene como objetivo garantizar el nivel de seguridad en la adquisición de servicios en la nube por parte del Gobierno japonés mediante la evaluación y el registro de servicios en la nube que cumplan con los requisitos de seguridad del Gobierno japonés.  Now Platform de ServiceNow lo evaluó de forma independiente un evaluador registrado de ISMAP para cumplir con los criterios de control de ISMAP y se registró como servicios en la nube de ISMAP desde marzo del 2022.  La lista de servicios en la nube de ISMAP está disponible aquí: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR nivel 2: certificación STAR
La matriz de controles en la nube (“CCM”) es un marco de trabajo de controles (políticas y procedimientos) que son esenciales para la seguridad de la computación en la nube. Es creada y actualizada por la Cloud Security Alliance (“CSA”) y está alineada con las prácticas recomendadas de la CSA. La certificación CSA STAR nivel 2 es una evaluación rigurosa independiente de terceros de la seguridad de un proveedor de servicios en la nube con la Matriz de controles en la nube de la CSA junto con los requisitos de ISO/IEC 27001.
Código de conducta (CoC) de la UE

El Código de conducta (CoC) de la nube de la UE es un conjunto de requisitos de control diseñados para desarrollar la confianza y la transparencia en el mercado europeo de la computación en la nube y para simplificar el proceso de evaluación de riesgos de los proveedores de servicios en la nube (CSP) para los clientes de la nube. Con el fin de demostrar este cumplimiento, ServiceNow realizó una auditoría interna de más de 80 requisitos del CoC de la nube de la UE y estuvo sujeto a una evaluación externa de ese esfuerzo de auditoría. La validación externa de ServiceNow de la adherencia al CoC en la nube de la UE refleja nuestro compromiso continuo de mantener los estándares más altos de privacidad y seguridad junto con nuestras certificaciones de seguridad y privacidad existentes.

Se verifica que los servicios cumplen con el CoC en la nube de la UE, ID de verificación 2022LVL02SCOPE3113. Para obtener más información, visita https://eucoc.cloud/en/public-register.
Autorización para operar provisional (P-ATO) de nivel alto del FedRAMP para entidades y proveedores gubernamentales de los EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow mantiene actualmente una autorización para operar provisional (P-ATO) de línea de base alta del Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). Esto permite a ServiceNow acelerar la adopción de nuestras soluciones en la nube segura por parte de los proveedores y organismos federales de Estados Unidos, e implementar un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios de computación en la nube según la Ley Federal de Gestión de la Seguridad de la Información (FISMA).

GCC recibió la P-ATO inicial del FedRAMP de GCC en agosto del 2019. GCC también cumple con los requisitos de control de PII alta + PHI del Departamento de Defensa (DoD) de nivel de impacto 4 (IL4) y la superposición de privacidad de CNSSI 1253F.

Haz clic aquí para ver ServiceNow en el mercado del FedRAMP
Autorización provisoria de nivel 4 de impacto del Departamento de Defensa (DoD) para entidades del DoD y la comunidad de inteligencia (IC) de los EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow mantiene actualmente un nivel de impacto 4 (IL4) de autorización provisional (PA) del Departamento de Defensa (DoD). Esto facilita la adquisición de productos de ServiceNow por parte del DoD y la comunidad de inteligencia (IC) de los EE. UU. y establece una línea de base estándar definida por la Guía de requisitos de seguridad (SRG) de computación en la nube (CC) del DoD desarrollada por la Agencia de Sistemas de Información de Defensa (DISA).

ServiceNow recibió su PA inicial del DoD de GCC con IL4 en octubre del 2019. La PA del DoD con IL4 incluye los requisitos de control FedRAMP alto y DoD IL4. La oferta de GCC de ServiceNow también cumple con los requisitos de control de PII + PHI de CNSSI 1253F Privacy Overlay High.

Haz clic aquí para ver ServiceNow en el escaparate de DISA dentro de la sección de ofertas estándar
Nivel 5 de impacto del DoD para National Security Cloud

ServiceNow obtuvo una autorización provisional del Departamento de Defensa de los EE. UU. (DOD) de nivel de impacto 5 (IL5). Esto convierte a National Security Cloud (NSC) de ServiceNow en una de las pocas ofertas de software como servicio y plataforma como servicio (SaaS/PaaS) creadas y autorizadas para cumplir con la rigurosa Guía de requisitos de seguridad de computación en la nube del Departamento de Defensa en el nivel de impacto 5.

La autorización provisional de IL5 acelerará la transformación digital del DoD, ya que permite al DoD, sus socios de misión y organismo federales selectos mover datos altamente confidenciales, incluida la información controlada no clasificada y los sistemas de seguridad nacional sin clasificar, a soluciones basadas en la nube de ServiceNow alojadas en Microsoft Azure Government.
Nivel 3 del Estándar de seguridad multinivel en la nube de Singapur (MTCS)

El nivel 3 de MTCS es una certificación que garantiza que ServiceNow cumple los estándares de confidencialidad e integridad de los datos de nuestros clientes en la nube en Singapur. Desarrolla la norma ISO/IEC 27001 y cubre la soberanía, la retención y la disponibilidad de los datos, junto con la planificación de la continuidad empresarial y la recuperación ante desastres.

ServiceNow se enorgullece de haber logrado el nivel 3 de MTCS, el nivel más alto de certificación disponible.
IRAP de la Dirección de Señales Australiana (ASD) evaluado para servicios en la nube OFICIALES y PROTEGIDOS

Un evaluador de IRAP avalado evaluó las plataformas australianas de ServiceNow de forma independiente a fin de cumplir con los controles de ISM australianos para datos OFICIALES y PROTEGIDOS. Los servicios en la nube OFICIALES y PROTEGIDOS que evaluó IRAP brindan a los clientes del gobierno australiano confianza en Now Platform, y permiten a ServiceNow interactuar de manera efectiva con las agencias gubernamentales australianas y los proveedores de infraestructura crítica.

Puedes consultar más detalles sobre los clientes regulados australianos aquí: https://your.servicenow.com/microsoftregulatedindustries/australia
GC Cloud Provider del Gobierno de Canadá
El Centro Canadiense para la Ciberseguridad (CCCS) estableció un conjunto de requisitos físicos y lógicos que debe cumplir un Cloud Provider GC certificado. Los proveedores de nube deben demostrar el cumplimiento al personal del CCCS antes de la aprobación como Cloud Provider GC. GC es el nivel de clasificación de datos definido por el Gobierno que está aprobado para el almacenamiento en la nube.
Certificación HITRUST
El sector de la atención sanitaria desarrolló HITRUST para estandarizar los objetivos de cumplimiento mediante el marco de trabajo CSF de controles, creado a partir de la norma ISO27001. El programa de garantía HITRUST CSF establece de manera efectiva la confianza en la protección de la información a través de una ruta de evaluación y generación de informes alcanzable para organizaciones de todos los tamaños, complejidades y riesgos. La certificación se otorga a las organizaciones que completan una evaluación validada y cumplen con el umbral de puntuación requerido y otros criterios de certificación.
Certificación Cyber Essentials Plus del Reino Unido
Cyber Essentials Plus es un esquema respaldado por el Gobierno del Reino Unido que ayuda a las organizaciones a demostrar la mitigación de riesgos y la evaluación de las amenazas a la ciberseguridad en sus sistemas de TI. El esquema requiere la implementación de varios controles técnicos para garantizar las prácticas recomendadas y la máxima seguridad, realizados por un auditor externo. Debido al enfoque regional del esquema, la certificación se aplica a la región del Reino Unido.
Cumplimiento de PCI DSS
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad formados en el 2004 por Visa, MasterCard, Discover Financial Services, JCB International y American Express. Regidos por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), los requisitos de cumplimiento se crearon para proteger las transacciones con tarjetas de crédito y débito contra el robo y el fraude de datos. Esto es relevante para ServiceNow como procesador de datos de clientes que pueden contener datos de tarjetas de crédito. ServiceNow cumplió con las normas en el 2023.
Cumplimiento de EU DSA

ServiceNow y la Ley de servicios digitales de la UE (Reglamento [UE] 2022/2065 del Parlamento Europeo y del Consejo, del 19 de octubre del 2022, sobre un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/EC):

dirige cualquier comunicación de acuerdo con la Ley de Servicios Digitales de la UE a DSACompliance@ServiceNow.com.
Data Privacy Framework

ServiceNow es un participante del programa Data Privacy Framework (DPF). El DPF de UE-EE. UU., la extensión del Reino Unido al DPF de UE-EE. UU. y el DPF de Suiza-EE. UU. fueron desarrollados respectivamente por el Departamento de Comercio de los Estados Unidos y la Comisión Europea, el Gobierno del Reino Unido y la Administración Federal Suiza para proporcionar a las organizaciones estadounidenses mecanismos confiables para la transferencia de datos personales a los Estados Unidos desde la Unión Europea, el Reino Unido y Suiza, a la vez que se garantiza una protección de datos coherente con la legislación de la UE, el Reino Unido y Suiza.

Puedes encontrar más información sobre el Programa Data Privacy Framework aquí (https://www.dataprivacyframework.gov/s/). La política de DPF de ServiceNow está disponible aquí (https://www.servicenow.com/latam/data-privacy-framework.html).
ISO/IEC 9001:2015

La certificación ISO 9001:2015 especifica las prácticas recomendadas y los controles del sistema de gestión de calidad (QMS), lo que garantiza que una organización ofrezca productos y servicios de manera consistente que cumplan con los requisitos reglamentarios y del cliente. Demuestra nuestro compromiso de mantener estándares de alta calidad y, al mismo tiempo, fomentar la mejora continua en todos los aspectos de nuestras operaciones.

La recertificación se logra a través de una auditoría cada tres años, con una auditoría de vigilancia anual para confirmar lo siguiente sobre nuestra organización:

  • Diseñó e implementó un QMS sólido, lo que garantiza que todos los procesos estén alineados con las prácticas recomendadas de la industria.
  • Tiene un enfoque centrado en el cliente para garantizar una satisfacción y un compromiso coherentes.
  • Mantiene una cultura de mejora continua y utiliza conocimientos y comentarios basados en datos para refinar los procesos e impulsar el rendimiento.
  • Evalúa activamente los riesgos y las oportunidades para mejorar la eficacia del QMS y adaptarse a las cambiantes condiciones operativas y del mercado.
ISO/IEC 20000:2018

La certificación ISO/IEC 20000-1:2018 especifica las prácticas recomendadas para la gestión de servicios de TI (ITSM), lo que garantiza que las organizaciones ofrezcan servicios de TI de alta calidad que satisfagan las necesidades de los clientes y los requisitos reglamentarios. Demuestra nuestro compromiso de gestionar y mejorar la calidad de nuestra prestación de servicios de TI, al tiempo que mantenemos un enfoque en la eficiencia y la satisfacción del cliente.

La recertificación se logra a través de una auditoría cada tres años, con una auditoría de vigilancia anual para confirmar lo siguiente sobre nuestra organización:

  • Diseñó e implementó un sistema integral de gestión de servicios de TI (SMS) que se alinea con los estándares de la ISO/IEC 20000-1.
  • Supervisa y mejora continuamente el rendimiento y la prestación de servicios de TI, lo que garantiza que se cumplan las expectativas del cliente y los puntos de referencia del sector.
  • Garantiza un enfoque sistemático para gestionar los riesgos y las oportunidades relacionados con el servicio, y mantener la alineación con los requisitos cambiantes del cliente y las tendencias tecnológicas.
  • Promueve una cultura de mejora continua del servicio (CSI), mediante el uso de comentarios y métricas para optimizar los procesos de servicio de TI y garantizar una prestación de servicios coherente y confiable.
ISO/IEC 22301:2019

La certificación ISO 22301:2019 describe las prácticas recomendadas para los sistemas de gestión de continuidad empresarial (BCMS), lo que garantiza que las organizaciones estén preparadas para responder eficazmente a las interrupciones y mantener las operaciones empresariales fundamentales. Demuestra nuestro compromiso de salvaguardar la resiliencia y la continuidad de las operaciones ante posibles crisis o emergencias.

La recertificación se logra a través de una auditoría cada tres años, con una auditoría de vigilancia anual para confirmar lo siguiente sobre nuestra organización:

  • Diseñó e implementó un BCMS sólido que se alinea con los estándares de la ISO 22301.
  • Mantiene un enfoque proactivo para identificar y mitigar posibles amenazas a la continuidad empresarial, lo que garantiza la disponibilidad continua de servicios esenciales.
  • Evalúa y prueba sistemáticamente los planes de recuperación para garantizar que sean eficaces para minimizar el impacto de las interrupciones y mantener las funciones empresariales críticas.
  • Impulsa la mejora continua
Certificación Esquema Nacional de Seguridad (ENS) Ver certificación Ver renuncia de responsabilidad
Certificación Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un marco de trabajo de certificación español que establece los criterios y requisitos para garantizar la adecuada protección de la información electrónica en el ámbito de la administración electrónica. Regulado por un decreto de la realeza, el ENS establece normas para las administraciones y entidades públicas, así como para las empresas privadas que procesan datos públicos. El ENS, que clasifica los datos en función de su confidencialidad y de las operaciones realizadas con ellos, define diferentes niveles de medidas de seguridad, desde las básicas hasta las más altas, para garantizar una protección de datos sólida, una gestión de incidentes eficaz y comprobaciones de cumplimiento periódicas a través de auditorías. Esta certificación es esencial para fomentar la confianza en los servicios electrónicos prestados por la administración española y dentro de esta.

ServiceNow reunió los requisitos para cumplir con el nivel “alto” del ENS.
Cumplimiento del GDPR Ayudamos a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD) con soluciones que hacen que el cumplimiento de requisitos, como un mayor acceso a los datos y la privacidad, sea una parte de las operaciones diarias.  Leer más
Recursos Declaraciones ServiceNow invierte en servicios de la UE Preguntas frecuentes sobre transferencias internacionales de datos Security de ServiceNow para el sector público del Reino Unido Pautas de IA responsable White papers Cifrado de datos Asegurar ServiceNow AI Platform Industrias reguladas y requisitos de privacidad de datos (IDC)
Descubrir más ServiceNow te ayuda a defenderte de las amenazas a la seguridad, a proteger tus datos y a cumplir con los requisitos globales en evolución.    Descubrir cómo RGPD Privacidad Seguridad Cumplimiento ServiceNow AI Platform Portal de seguridad del cliente