Compliance Regelmatige audits om de veiligheid en privacy van gegevens te waarborgen Om de beveiliging en compliance op een continue basis te handhaven, voldoen we aan de strengste compliance-frameworks.
ServiceNow Platform-compliance Certificeringen AVG Resources
Alt
“ServiceNow streeft strikte branchecertificeringen en attesten na om aan te tonen dat we ons inzetten om onze klanten te helpen door hun vertrouwen en reputatie en de veiligheid en integriteit van hun gegevens te vrijwaren." John Castelly Chief Compliance Officer, ServiceNow
Wereldwijde en regionale compliance
Certificeringen en attesten
Certificeringen en attesten ServiceNow voldoet aan de hoogste beveiligings- en privacynormen in al onze regio's. Bovendien stellen onze toepassingen organisaties in staat om te voldoen aan je sectorale of regionale vereisten. Alles weergeven
Compliance door de klant
Compliance door de klant Compliance-certificeringen en -attesten zijn essentieel. We maken compliance-processen voor klanten eenvoudig via onze technische mogelijkheden, begeleidende documenten en juridische verplichtingen. Ontdek meer
Gegevensprivacy voor klanten
Gegevensprivacy voor klanten Door klanten de tools te bieden om gevoelige gegevens te beschermen, verminderen we de risico's voor de kritieke onderdelen van hun bedrijf.
Beveiligd toegangsbeheer
Beveiligd toegangsbeheer Voorkom ongeautoriseerde toegang tot accounts en verhoog de gegevensbeveiliging door middel van verificatie op basis van meerdere factoren (multi-factor authentication, MFA). Lees de blog
Transparantie
Transparantie Met transparantie winnen we vertrouwen. Onze strenge voorwaarden en overeenkomsten voor gegevensprivacy bepalen hoe we gegevens verwerken, inclusief ons beleid voor het reageren op overheidsverzoeken. Ontdek hoe
Wij zijn voorvechters van beveiligings- en privacy-initiatieven We monitoren op een proactieve wijze onze beveiligingsprotocollen en passen ze aan snel veranderende regelgeving aan. Alles uitvouwen Alles samenvouwen ISO/IEC 27017:2015

De ISO/IEC 27017:2015-norm is gericht op de implementatie van de cloudspecifieke informatiebeveiligingsmaatregelen zoals gespecificeerd in ISO/IEC 27002.

De certificering wordt behaald door middel van een jaarlijkse onafhankelijke audit en ServiceNow is sinds 2018 een ISO/IEC 27017:2015-gecertificeerde organisatie.
ISO/IEC 27001:2022

De ISO/IEC 27001:2022-certificering specificeert best practices en controles op het gebied van beveiligingsbeheer op basis van de ISO/IEC 27002-gids met best practices. De certificering zorgt ervoor dat ons informatiebeveiligingsbeheersysteem (ISMS) is afgestemd op veranderingen in beveiligingsrisico's, wat essentieel zijn in de snelle wereld van IT-beveiliging.

Hercertificering wordt elke drie jaar door een audit verkregen, inclusief een jaarlijkse surveillanceaudit om aan te tonen dat ServiceNow:

  1. Een uitgebreide ISMS heeft ontworpen en geïmplementeerd.
  2. Een proces voor continu risicobeheer heeft ingevoerd om ervoor te zorgen dat de juiste informatiebeveiligingscontroles worden uitgevoerd om te voldoen aan een ontwikkelend risicolandschap en veranderende risico's.
  3. Op systematische wijze de risico's voor informatiebeveiliging evalueert en daarbij rekening houdt met verschillende factoren, waaronder de gevolgen van bedrijfsdreigingen en kwetsbaarheden.

ServiceNow is sinds 2012 een ISO/IEC 27001-gecertificeerde organisatie en het certificaat is hier beschikbaar.
ISO/IEC 27018:2019

De ISO/IEC 27018:2019 is een praktijkcode op basis van ISO/IEC 27002 en houdt zich bezig met de bescherming van persoonsgegevens (PII) in openbare clouds in overeenstemming met de privacybeginselen in ISO/IEC 29100.

De certificering wordt behaald door middel van een jaarlijkse onafhankelijke audit en ServiceNow is sinds 2016 een ISO/IEC 27018:2019-gecertificeerde organisatie.
ISO/IEC 27701:2019
Deze uitbreiding van ISO/IEC 27001 richt zich op het opzetten en onderhouden van een Privacy Information Management System (PIMS). Dit is relevant voor ServiceNow als verwerker van klantgegevens die persoonlijk identificeerbare informatie (PII) kunnen bevatten. ServiceNow ontving deze certificering in 2020.
SSAE 18 SOC 1- en SOC 2-rapporten

Het SOC-framework (Service Organizational Control) is een attest dat ServiceNow voldoet aan de vereiste norm met betrekking tot beschikken over controles ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens van onze klanten in de cloud.

- SOC 1 richt zich op de effectiviteit van interne controles die van invloed zijn op de financiële rapporten van klanten

- SOC 2 evalueert controles die relevant zijn voor beschikbaarheid, integriteit, beveiliging, vertrouwelijkheid of privacy.

ServiceNow wordt geaudit door een externe partij en heeft in 2011 zijn SSAE 18 SOC 1 Type 2-attest behaald (SSAE 18 heeft SSAE 16 vervangen in 2017). SSAE 18 is uitgelijnd met internationale norm ISAE3402 en vervangt de nu verouderde SAS70.

Het SOC 1-rapport van ServiceNow over de periode van 1 oktober (van het voorgaande kalenderjaar) tot 30 september (van het huidige kalenderjaar), is aan het eind van het kalenderjaar (december) beschikbaar via ServiceNow CORE.

Het SOC 1-rapport over de periode van 1 april t/m 31 maart is beschikbaar via ServiceNow CORE aan het eind van elk Q2 (juni).

ServiceNow heeft sinds 2013 ook een jaarlijkse SOC 2 Type 2-attest uitgevoerd. Deze is relevant voor beveiligings-, beschikbaarheids- en vertrouwelijkheidscontroles zoals vermeld in de ACICPA Trust Services Criteria (TSC).

Het SOC 2-rapport van ServiceNow behandelt de periode van 1 oktober (van het voorgaande kalenderjaar) tot 30 september (van het huidige kalenderjaar) en is aan het eind van het kalenderjaar (december) beschikbaar via ServiceNow CORE.

Tussen auditperioden wordt een Bridge Letter verstrekt zodat het bedrijf voor het gehele jaar gedekt is.

De SOC 1 bridge letter van ServiceNow over de periode van 1 oktober (van het voorgaande kalenderjaar) tot 31 december (van het huidige kalenderjaar) is aan het eind van Q1 van het volgende jaar beschikbaar via ServiceNow CORE

De SOC 1 bridge letter over de periode van 1 april t/m 30 juni is beschikbaar via ServiceNow CORE aan het eind van elk Q3.

DE SOC 2 bridge letter van ServiceNow behandelt de periode van 1 oktober (van het voorgaande kalenderjaar) tot 31 december (van het huidige kalenderjaar) en is aan het eind van Q1 van het volgende jaar beschikbaar via ServiceNow CORE.
BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 is een catalogus voor cloudspecifiek compliancebeheer, ontwikkeld door de Duitse federale instantie voor informatiebeveiliging (BSI), die zowel in de publieke als private sector wordt gebruikt. Het C5-attestrapport volgt een vergelijkbaar proces en schema als AICPA SOC 2-rapporten en heeft qua vereisten een aanzienlijke overlap met AICPA Trust Services Criteria, en stelt daarnaast specifieke cloudgerichte vereisten. ServiceNow ontving een C5-attestrapport in 2020.
APEC Privacy Recognition for Processors (PRP)
De APEC PRP is een vrijwillige certificering voor gegevensverwerkers specifiek in de regio Azië-Stille Oceaan, en is ontwikkeld door lokale leden in de regio. De certificeringen worden jaarlijks vernieuwd, maar de beoordelaars worden mogelijk vaker ingeschakeld voor elke wijziging die een aanzienlijke impact zou kunnen hebben op de privacyprocessen en/of -procedures van de verwerker.
ISMAP Cloud Service
Het Information system Security Management and Assessment Program (ISMAP) is een programma dat ernaar streeft het beveiligingsniveau bij de inkoop van cloudservices door de Japanse overheid te waarborgen, door cloudservices te evalueren en te registreren die voldoen aan de beveiligingsvereisten van de Japanse overheid.  Het Now Platform van ServiceNow werd onafhankelijk beoordeeld door een geregistreerde ISMAP-beoordelaar die voldoet aan de controlecriteria van de ISMAP-controles, en sinds maart 2022 is geregistreerd als een ISMAP-cloudservice.  De lijst met ISMAP-cloudservices is hier beschikbaar: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR niveau 2: STAR-certificering
De Cloud Controls Matrix ('CCM') is een framework voor controles (beleidsregels en procedures) die essentieel zijn voor de beveiliging van cloudcomputing. Het wordt gemaakt en bijgewerkt door de Cloud Security Alliance ('CSA') en afgestemd op de best practices van CSA. De CSA STAR niveau 2-certificering is een strenge onafhankelijke beoordeling van de beveiliging van een cloudserviceprovider ten opzichte van de CSA Cloud Controls Matrix, samen met ISO/IEC 27001-vereisten.
EU Cloud CoC

De EU Cloud Code of Conduct (EU Cloud CoC) bestaat uit een aantal controlevereisten die bedoeld zijn om vertrouwen en transparantie in de Europese markt van cloudcomputing te bevorderen en het risicobeoordelingsproces van cloudserviceproviders voor klanten van cloudoplossingen te vereenvoudigen. Om te laten zien dat deze vereisten worden nageleefd, heeft ServiceNow een interne audit uitgevoerd van meer dan 80 EU Cloud CoC-vereisten en deze audit laten beoordelen door een externe partij. De externe validatie van de naleving van de EU Cloud CoC door ServiceNow getuigt van onze voortdurende inzet om de hoogste privacy- en beveiligingsstandaarden te handhaven naast onze bestaande beveiligings- en privacycertificeringen.

De services zijn geverifieerd in overeenstemming met de EU Cloud CoC, verificatie-id 2022LVL02SCOPE3113. Ga voor meer informatie naar https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO voor US-overheidsinstellingen en -providers

Het aanbod van de Government Community Cloud (GCC) van ServiceNow bevat momenteel een High Baseline Provisional Authority to Operate (P-ATO) van het Federal Risk and Authorization Management Program (FedRAMP). Hierdoor kan ServiceNow de adoptie van onze veilige cloudoplossingen door Amerikaanse federale instanties en providers versnellen, en een gestandaardiseerde aanpak voor het beoordelen, monitoren en autoriseren van cloudcomputing-producten en -services implementeren, conform de Federal Information Security Management Act (FISMA).

GCC ontving de eerste GCC FedRAMP High Provisional Authority to Operate (P-ATO) in augustus 2019. GCC voldoet ook aan de Department of Defense (DoD) Impact Level 4 (IL4)- en CNSSI 1253F Privacy Overlay High PII + PHI-controlevereisten.

Klik hier om ServiceNow op de FedRAMP Marketplace te bekijken
DoD IL4 PA voor US DoD- en IC-instellingen

Het aanbod van de Government Community Cloud (GCC) van ServiceNow bevat momenteel een Department of Defense (DoD) Impact Level 4 (IL4) Provisional Authorization (PA). Dit vergemakkelijkt de aankoop van ServiceNow-producten door het US Department of Defense (DoD) en de Intelligence Community (IC), en stelt een basislijn vast die wordt gedefinieerd door de Security Requirements Guide (SRG) van DoD Cloud Computing (CC), opgesteld door de Defense Information Systems Agency (DISA).

ServiceNow ontving zijn eerste GCC DoD IL4 PA in oktober 2019. De DoD IL4 PA bevat zowel FedRAMP High- als DoD IL4-controlevereisten. Het GCC-aanbod van ServiceNow voldoet ook aan de CNSSI 1253F Privacy Overlay High PII + PHI-controlevereisten.

Klik hier om ServiceNow in de DISA Storefront in de sectie Standard Offering te bekijken
DoD IL5 voor de National Security Cloud

ServiceNow heeft een U.S. Department of Defense (DOD) Impact Level 5 (IL5) Provisional Authorization verkregen. Hierdoor is de ServiceNow National Security Cloud (NSC) een van de weinige software-as-a-service- en platform-as-a-service (SaaS/PaaS)-aanbiedingen die zijn gebouwd en geautoriseerd om te voldoen aan de strenge cloudcomputing-beveiligingsvereisten op Impact Level 5 van met Department of Defense.

De IL5 Provisional Authorization zal de digitale transformatie van het DOD versnellen, omdat ze het DOD, haar missiepartners en geselecteerde federale instanties in staat stelt om zeer gevoelige gegevens, waaronder Gecontroleerde niet-geclassificeerde informatie en Niet-geclassificeerde nationale beveiligingssystemen, te verplaatsen naar cloudgebaseerde oplossingen van ServiceNow die worden gehost op Microsoft Azure Government.
Meerlaagse cloudbeveiligingsnorm voor Singapore (MTCN's) niveau 3

MTCE Level 3 is een certificering die ervoor zorgt dat ServiceNow voldoet aan de normen met betrekking tot de vertrouwelijkheid en integriteit van de gegevens van onze klanten in de cloud voor Singapore. Het bouwt voort op ISO/IEC 27001 en dekt de soevereiniteit, retentie en beschikbaarheid van gegevens, evenals de planning van bedrijfscontinuïteit en noodherstel.

ServiceNow is er trots op om MTCE Level 3, het hoogst haalbare certificeringsniveau, te hebben behaald.
ASD IRAP beoordeeld voor OFFICIËLE en BESCHERMDE cloudservices

De Australische platforms van ServiceNow zijn onafhankelijk beoordeeld door een goedgekeurde IRAP-beoordelaar, om te voldoen aan de Australische ISM-controles voor OFFICIËLE en BESCHERMDE gegevens. De door IRAP beoordeelde OFFICIËLE en BESCHERMDE cloudservices bieden klanten van de Australische overheid vertrouwen in het NOW Platform en stellen ServiceNow in staat effectief contact te leggen met Australische overheidsinstanties en kritieke infrastructuurproviders.

Meer informatie over Australische gereguleerde klanten vind je hier: https://your.servicenow.com/microsoftregulatedindustries/australia
Canadese overheid - GC Cloud Provider
Het Canadian Centre for Cyber Security (CCCS) heeft een set opgesteld van zowel fysieke als logische vereisten waaraan het moet voldoen om een gecertificeerde GC-cloudprovider te zijn. Cloudproviders moeten aan CCCS-personeel de compliance aantonen voordat ze worden goedgekeurd als GC-cloudprovider. GC is het door de overheid gedefinieerde gegevensclassificatieniveau dat is goedgekeurd om in de cloud te worden opgeslagen.
AICPA SOC 2 TSC + HITRUST CSF
HITRUST werd door de gezondheidszorg ontwikkeld om compliancedoelstellingen te standaardiseren in hun gehele CSF-framework van controles, oorspronkelijk gebouwd op ISO27001. Ze hebben sindsdien veel veelgebruikte beveiligingsnormen opgenomen en toegewezen, waaronder NIST 800-53 en de AICPA SOC 2 Trust Services Criteria. Het SOC 2 + HITRUST-rapport is een samenwerking tussen de AICPA en het HITRUST Alliance. Het biedt een mechanisme voor de service-auditor om een uitspraak te doen over het ontwerp en de effectiviteit van de Trust Services Criteria en het HITRUST CSF in hetzelfde rapport.
UK Cyber Essentials Plus-certificering
Cyber Essentials Plus is een door de UK-overheid ondersteund programma dat organisaties helpt bij het aantonen van risicovermindering en beoordeling van cyberdreigingen voor hun IT-systemen. Het programma vereist de implementatie van verschillende technische controles om de best practices en de grootst mogelijke beveiliging te garanderen, die worden uitgevoerd door een externe auditor. Vanwege de regionale focus van het programma is de certificering bestemd voor de UK-regio.
PCI-DSS-compliance
De Payment Card Industry Data Security Standard (PCI DSS) is een reeks beveiligingsnormen die in 2004 zijn opgesteld door Visa, MasterCard, Discover Financial Services, JCB International en American Express. Op basis van de Payment Card Industry Security Standards Council (PCI SSC) zijn de compliancesvereisten opgesteld om creditcard- en debetkaarttransacties te beveiligen tegen gegevensdiefstal en -fraude. Dit is relevant voor ServiceNow als verwerker van klantgegevens die creditcardgegevens kunnen bevatten. ServiceNow ontving deze certificering in 2023.
EU-DSA-compliance

ServiceNow en de EU-wet inzake digitale diensten (Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG):

Alle communicatie in overeenstemming met de EU-wet op digitale diensten dient te worden gericht aan DSACompliance@ServiceNow.com.
Data Privacy Framework

ServiceNow is een deelnemer aan het DPF-programma (Data Privacy Framework). De EU-U.S. DPF, UK Extension to the EU-U.S. DPF, en Swiss-U.S. DPF zijn respectievelijk ontwikkeld door het U.S. Department of Commerce en de Europese Commissie, de regering van het Verenigd Koninkrijk en de Zwitserse federale overheid om Amerikaanse organisaties betrouwbare systemen te bieden voor de overdracht van persoonlijke gegevens naar de Verenigde Staten vanuit de Europese Unie, het Verenigd Koninkrijk en Zwitserland, waarbij gegevensbescherming wordt gegarandeerd die in overeenstemming is met de wetgeving van de EU, het Verenigd Koninkrijk en Zwitserland.

Meer informatie over het Data Privacy Framework-programma vind je hier (https://www.dataprivacyframework.gov/s/). Het DPF-beleid van ServiceNow is hier beschikbaar (https://www.servicenow.com/nl/data-privacy-framework.html).
GDPR compliance Wij helpen organisaties om de AVG-compliance te bereiken met oplossingen die het voldoen aan vereisten zoals betere gegevenstoegang en privacy by design tot een naadloos onderdeel van de dagelijkse activiteiten maken.  Lees meer
Resources Verklaringen ServiceNow investeert in EU-services Veelgestelde vragen over internationale gegevensoverdrachten ServiceNow Security voor de publieke sector in het VK Richtlijnen voor verantwoorde AI Whitepapers Data Encryption Beveiliging van het Now Platform Gereguleerde branches en vereisten voor gegevensprivacy (IDC)
Ontdek meer ServiceNow helpt klanten zich te beschermen tegen beveiligingsrisico's, hun gegevens te beschermen en te voldoen aan veranderende wereldwijde mandaten.   Ontdek hoe AVG Privacy Beveiliging Compliance Now Platform