Cumplimiento Auditorías periódicas para garantizar la seguridad y privacidad de los datos Para mantener la seguridad y el cumplimiento de forma continua, cumplimos con los marcos de trabajo de más estrictos.
Cumplimiento de la plataforma ServiceNow Certificaciones RGPD Recursos
Alt
“ServiceNow sigue certificaciones y atestaciones estrictas de la industria para demostrar que estamos dedicados a ayudar a nuestros clientes mediante la conservación de su confianza, reputación, seguridad y la integridad de sus datos”. John Castelly Director de Cumplimiento, ServiceNow
Cumplimiento global y regional
Certificaciones y atestaciones
Certificaciones y atestaciones ServiceNow cumple con los más altos estándares en materia de seguridad y privacidad en todas nuestras regiones. Además, nuestras aplicaciones permiten a las organizaciones cumplir con tus requisitos sectoriales o regionales. Ver todos
Cumplimiento del cliente
Cumplimiento del cliente Las certificaciones y atestaciones de cumplimiento son fundamentales. Facilitamos los procesos de cumplimiento del cliente a través de nuestras competencias técnicas, documentos de orientación y compromisos legales. Más información
Privacidad de los datos del cliente
Privacidad de los datos del cliente Mediante la provisión a los clientes de las herramientas para proteger los datos confidenciales, reducimos la exposición al riesgo de las partes críticas de su empresa.
Control de acceso seguro
Control de acceso seguro Evita el acceso no autorizado a la cuenta y aumenta la seguridad de los datos mediante la autenticación multifactor (MFA). Leer blog
Transparencia
Transparencia La transparencia genera confianza. En nuestros términos y acuerdos estrictos de protección de datos, se establece cómo procesamos los datos, lo que incluye las políticas para responder a las solicitudes gubernamentales. Descubrir cómo
Defendemos las iniciativas de seguridad y privacidad Monitoreamos de forma proactiva nuestros protocolos de seguridad y los adaptamos a entornos regulatorios que cambian rápidamente. Ver todo Contraer todo ISO/IEC 27017:2015

La norma ISO/IEC 27017:2015 se ocupa de la implementación de los controles de seguridad específicos para la nube según se detallan en la norma ISO/IEC 27002.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27017:2015 desde el 2018.
ISO/IEC 27001:2022

La certificación ISO/IEC 27001:2022 especifica las prácticas recomendadas para la gestión y los controles de la seguridad, según la guía de prácticas recomendadas ISO/IEC 27002. Garantiza que nuestro sistema de gestión de seguridad de la información (ISMS) esté optimizado para mantener el ritmo de los cambios en las amenazas de seguridad, algo esencial en el mundo acelerado de la seguridad de IT.

Cada tres años, se renueva la certificación a través de una auditoría, así como una petición de auditoría de vigilancia anual para demostrar que ServiceNow:

  1. Ha diseñado e implementado un ISMS completo.
  2. Ha adoptado un proceso de gestión de riesgo continuo a fin de garantizar la puesta en marcha de los controles de seguridad de la información adecuados para abordar los riesgos y el panorama de amenazas en constante evolución.
  3. Evalúa sistemática y adecuadamente los riesgos de seguridad de la información, teniendo en cuenta varios factores, como el impacto de las vulnerabilidades y las amenazas de las empresas.

ServiceNow cuenta con la certificación ISO/IEC 27001 desde 2012, y el certificado está disponible aquí.
ISO/IEC 27018:2019

La norma ISO/IEC 27018:2019 es un código de prácticas basado en la norma ISO/IEC 27002 y se ocupa de la protección de la información de identificación personal (PII) en nubes públicas de acuerdo con los principios de privacidad de la norma ISO/IEC 29100.

La certificación se obtiene mediante una auditoría independiente anual y ServiceNow cuenta con la certificación ISO/IEC 27018:2019 desde el 2016.
ISO/IEC 27701:2019
Esta extensión de ISO/IEC 27001 se centra en el establecimiento y mantenimiento de un Sistema de Gestión de Información de Privacidad (PIMS). Esto es relevante para ServiceNow como procesador de datos de clientes que pueden contener información de identificación personal (PII). ServiceNow recibió esta certificación en el 2020.
Informes SSAE 18 SOC 1 y SOC 2

El marco de Service Organizational Control (SOC) certifica que ServiceNow cumple el estándar necesario en lo que se refiere a contar con controles para proteger la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes en la nube.

-SOC 1 se centra en la efectividad de los controles internos que afectan a los informes financieros de los clientes.

-SOC 2 evalúa los controles relevantes para la disponibilidad, la integridad, la seguridad, la confidencialidad o la privacidad.

ServiceNow se somete a una auditoría por parte de un tercero y mantiene la atestación SSAE 18 SOC 1 Tipo 2 desde el 2011 (la SSAE 18 sustituyó a la SSAE 16 en el 2017). La SSAE 18 se ajusta al estándar internacional ISAE3402 y sustituye al SAS70, ahora en desuso.

El informe SOC 1 de ServiceNow que abarca el período del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

El informe del SOC 1 que cubre el período del 1 de abril al 31 de marzo está disponible a través de ServiceNow CORE al final de cada segundo trimestre (junio).

ServiceNow también ha logrado la atestación anual SOC 2 tipo 2 desde el 2013, relevante para los controles de seguridad, disponibilidad y confidencialidad enumerados en los criterios de servicios confiables (TSC, por sus siglas en inglés) del Instituto Americano de Contables Públicos Certificados (AICPA).

El informe SOC 2 de ServiceNow abarca el período del 1 de octubre (del año natural anterior) al 30 de septiembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada año natural (diciembre).

Se proporciona una carta puente entre períodos de auditoría de forma que la empresa queda cubierta durante todo el año.

La carta puente de SOC 1 de ServiceNow que abarca el período del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.

La carta puente del SOC 1 que cubre el período del 1 de abril al 30 de junio está disponible a través de ServiceNow CORE al final de cada tercer trimestre.

La carta puente de SOC 2 de ServiceNow abarca el período del 1 de octubre (del año natural actual) al 31 de diciembre (del año natural actual) y está disponible a través de ServiceNow CORE al final de cada primer trimestre del año siguiente.
Estándar sobre el catálogo de controles de cumplimiento de computación en la nube (C5) de la BSI
El C5 es un catálogo de controles de cumplimiento específico para la nube desarrollado por la Oficina Federal Alemana de Seguridad de la Información (BSI) para los sectores público y privado. El informe de atestación C5 sigue un proceso y un esquema similares a los de los informes AICPA SOC 2, y comparte muchos requisitos con los criterios de servicios de confianza de la AICPA, a los que se añaden los específicos para la nube. ServiceNow recibió su informe de atestación C5 en el 2020.
Reconocimiento de Privacidad de APEC para Procesadores (PRP)
El PRP de APEC es una certificación voluntaria para los procesadores de datos específica de la región de Asia-Pacífico y desarrollada por miembros locales en la región. Las certificaciones se renuevan anualmente, pero se puede reclamar la intervención de los evaluadores con mayor frecuencia si se produce algún cambio que puede afectar significativamente a los procesos o procedimientos de privacidad del procesador.
Servicios en la nube ISMAP
El programa de gestión y evaluación de la seguridad del sistema de información (ISMAP) es un programa que tiene como objetivo garantizar el nivel de seguridad en la adquisición de servicios en la nube por parte del Gobierno japonés mediante la evaluación y el registro de servicios en la nube que cumplan con los requisitos de seguridad del Gobierno japonés.  Now Platform de ServiceNow fue evaluado de forma independiente por un evaluador registrado de ISMAP para cumplir con los criterios de control de ISMAP y se ha registrado como servicios en la nube de ISMAP desde marzo del 2022.  La lista de servicios en la nube de ISMAP está disponible aquí: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR nivel 2: certificación STAR
La matriz de controles en la nube (“CCM”) es un marco de trabajo de controles (políticas y procedimientos) que son esenciales para la seguridad de la computación en la nube. Es creada y actualizada por la Cloud Security Alliance (“CSA”) y está alineada con las prácticas recomendadas de la CSA. La certificación CSA STAR nivel 2 es una evaluación rigurosa independiente de terceros de la seguridad de un proveedor de servicios en la nube con la Matriz de controles en la nube de la CSA junto con los requisitos de ISO/IEC 27001.
Código de conducta (CoC) de la UE

El Código de conducta (CoC) de la nube de la UE es un conjunto de requisitos de control diseñados para desarrollar la confianza y la transparencia en el mercado europeo de la computación en la nube y para simplificar el proceso de evaluación de riesgos de los proveedores de servicios en la nube (CSP) para los clientes de la nube. Con el fin de demostrar este cumplimiento, ServiceNow realizó una auditoría interna de más de 80 requisitos del CoC de la nube de la UE y estuvo sujeto a una evaluación externa de ese esfuerzo de auditoría. La validación externa de ServiceNow de la adherencia al CoC en la nube de la UE refleja nuestro compromiso continuo de mantener los estándares más altos de privacidad y seguridad junto con nuestras certificaciones de seguridad y privacidad existentes.

Se verifica que los servicios cumplen con el CoC en la nube de la UE, ID de verificación 2022LVL02SCOPE3113. Para obtener más información, visita https://eucoc.cloud/en/public-register.
Autorización para operar provisional (P-ATO) de nivel High del FedRAMP para entidades y proveedores gubernamentales de los EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow mantiene actualmente una autorización para operar provisional (P-ATO) de línea de base alta del Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP). Esto permite a ServiceNow acelerar la adopción de nuestras soluciones en la nube segura por parte de los proveedores y organismos federales de Estados Unidos, e implementar un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios de computación en la nube según la Ley Federal de Gestión de la Seguridad de la Información (FISMA, por sus siglas en inglés).

GCC recibió la P-ATO inicial la FedRAMP de GCC en agosto del 2019. GCC también cumple con los requisitos de control de PII alta + PHI del Departamento de Defensa (DoD) de nivel de impacto 4 (IL4) y la superposición de privacidad de CNSSI 1253F.

Haz clic aquí para ver ServiceNow en el mercado de la FedRAMP
Autorización provisoria de nivel 4 de impacto del Departamento de Defensa (DoD) para entidades del DoD y la comunidad de inteligencia (IC) de los EE. UU.

La oferta de Government Community Cloud (GCC) de ServiceNow mantiene actualmente un nivel de impacto 4 (IL4) de autorización provisional (PA) del Departamento de Defensa (DoD). Esto facilita la adquisición de productos de ServiceNow por parte del DoD y la comunidad de inteligencia (IC) de los EE. UU. y establece una línea de base estándar definida por la Guía de requisitos de seguridad (SRG) de computación en la nube (CC) del DoD desarrollada por la Agencia de Sistemas de Información de Defensa (DISA).

ServiceNow recibió su PA inicial del DoD de GCC con IL4 en octubre del 2019. La PA del DoD con IL4 incluye los requisitos de control FedRAMP High y DoD IL4. La oferta de GCC de ServiceNow también cumple con los requisitos de control de PII + PHI de CNSSI 1253F Privacy Overlay High.

Haz clic aquí para ver ServiceNow en el escaparate de DISA dentro de la sección de ofertas estándar
Nivel 5 de impacto del DoD para National Security Cloud

ServiceNow ha obtenido una autorización provisional del Departamento de Defensa de los EE. UU. (DOD) de nivel de impacto 5 (IL5). Esto convierte a National Security Cloud (NSC) de ServiceNow en una de las pocas ofertas de software como servicio y plataforma como servicio (SaaS/PaaS) creadas y autorizadas para cumplir con la rigurosa Guía de requisitos de seguridad de computación en la nube del Departamento de Defensa en el nivel de impacto 5.

La autorización provisional de IL5 acelerará la transformación digital del DoD, ya que permite al DoD, sus socios de misión y organismo federales selectos mover datos altamente confidenciales, incluida la información controlada no clasificada y los sistemas de seguridad nacional sin clasificar, a soluciones basadas en la nube de ServiceNow alojadas en Microsoft Azure Government.
Nivel 3 del Estándar de seguridad multinivel en la nube de Singapur (MTCS)

El nivel 3 de MTCS es una certificación que garantiza que ServiceNow cumple los estándares de confidencialidad e integridad de los datos de nuestros clientes en la nube en Singapur. Desarrolla la norma ISO/IEC 27001 y cubre la soberanía, la retención y la disponibilidad de los datos, junto con la planificación de continuidad empresarial y la recuperación ante desastres.

ServiceNow se enorgullece de haber logrado el nivel 3 de MTCS, el nivel más alto de certificación disponible.
IRAP de la Dirección de Señales Australiana (ASD) evaluado para servicios en la nube OFICIALES y PROTEGIDOS

Un evaluador de IRAP avalado ha evaluado las plataformas australianas de ServiceNow de forma independiente a fin de cumplir con los controles de ISM australianos para datos OFICIALES y PROTEGIDOS. Los servicios en la nube OFICIALES y PROTEGIDOS evaluados por IRAP brindan a los clientes del gobierno australiano confianza en NOW Platform, y permiten a ServiceNow interactuar de manera efectiva con las agencias gubernamentales australianas y los proveedores de infraestructura crítica.

Puedes consultar más detalles sobre los clientes regulados australianos aquí: https://your.servicenow.com/microsoftregulatedindustries/australia
GC Cloud Provider del Gobierno de Canadá
El Centro Canadiense para la Ciberseguridad (CCCS) ha establecido un conjunto de requisitos físicos y lógicos que debe cumplir un Cloud Provider GC certificado. Los proveedores de nube deben demostrar el cumplimiento al personal del CCCS antes de la aprobación como Cloud Provider GC. GC es el nivel de clasificación de datos definido por el gobierno que está aprobado para el almacenamiento en la nube.
Criterios de servicios confiables (TSC) de SOC 2 del Instituto Americano de Contables Públicos Certificados (AICPA) + HITRUST CSF
El sector de la atención sanitaria desarrolló HITRUST para estandarizar los objetivos de cumplimiento mediante el marco CSF de controles, creado a partir de la norma ISO27001. Desde entonces, se han incorporado y asignado a muchos estándares de seguridad habituales, como NIST 800-53 y los criterios de servicios de confianza SOC 2 de AICPA. El informe SOC 2 + HITRUST es una colaboración entre AICPA y HITRUST Alliance. Proporciona un mecanismo para que el auditor del servicio opine sobre el diseño y la efectividad de los criterios de servicios de confianza y HITRUST CSF en el mismo informe.
Certificación Cyber Essentials Plus del Reino Unido
Cyber Essentials Plus es un esquema respaldado por el gobierno del Reino Unido que ayuda a las organizaciones a demostrar la mitigación de riesgos y la evaluación de las amenazas a la ciberseguridad en sus sistemas de TI. El esquema requiere la implementación de varios controles técnicos para garantizar las prácticas recomendadas y la máxima seguridad, realizados por un auditor externo. Debido al enfoque regional del esquema, la certificación se aplica a la región del Reino Unido.
Cumplimiento de PCI DSS
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de estándares de seguridad formados en el 2004 por Visa, MasterCard, Discover Financial Services, JCB International y American Express. Regidos por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), los requisitos de cumplimiento se crearon para proteger las transacciones con tarjetas de crédito y débito contra el robo y el fraude de datos. Esto es relevante para ServiceNow como procesador de datos de clientes que pueden contener datos de tarjetas de crédito. ServiceNow recibió esta certificación en el 2023.
Cumplimiento de EU DSA

ServiceNow y la Ley de servicios digitales de la UE (Reglamento [UE] 2022/2065 del Parlamento Europeo y del Consejo, del 19 de octubre del 2022, sobre un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/EC):

dirige cualquier comunicación de acuerdo con la Ley de Servicios Digitales de la UE a DSACompliance@ServiceNow.com.
Data Privacy Framework

ServiceNow es un participante del programa Data Privacy Framework (DPF). El DPF de UE-EE. UU., la extensión del Reino Unido al DPF de UE-EE. UU. y el DPF de Suiza-EE. UU. fueron desarrollados respectivamente por el Departamento de Comercio de los Estados Unidos y la Comisión Europea, el Gobierno del Reino Unido y la Administración Federal Suiza para proporcionar a las organizaciones estadounidenses mecanismos confiables para la transferencia de datos personales a los Estados Unidos desde la Unión Europea, el Reino Unido y Suiza, a la vez que se garantiza una protección de datos coherente con la legislación de la UE, el Reino Unido y Suiza.

Puedes encontrar más información sobre el Programa Data Privacy Framework aquí (https://www.dataprivacyframework.gov/s/). La política de DPF de ServiceNow está disponible aquí (https://www.servicenow.com/latam/data-privacy-framework.html).
Cumplimiento del RGPD Ayudamos a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD) con soluciones que hacen que el cumplimiento de requisitos, como un mayor acceso a los datos y la privacidad, sea una parte de las operaciones diarias.  Más información
Recursos Declaraciones ServiceNow invierte en servicios de la UE Preguntas frecuentes sobre transferencias internacionales de datos Security de ServiceNow para el sector público del Reino Unido Pautas de IA responsable White papers Encriptación de datos Seguridad en Now Platform Industrias reguladas y requisitos de privacidad de datos (IDC)
Explorar más ServiceNow ayuda a los clientes a defenderse de las amenazas a la seguridad, proteger sus datos y cumplir con los requisitos globales en evolución.   Descubrir cómo RGPD Privacidad Seguridad Cumplimiento Now Platform