Compliance Regelmatige audits om de veiligheid en privacy van gegevens te garanderen ServiceNow voldoet aan de strengste complianceframeworks om je te helpen de beveiliging en compliance continu te handhaven. Naar de beveiligingsportal
ServiceNow AI Platform-compliance Certificeringen AVG Resources
Alt
“ServiceNow streeft strikte branchecertificeringen en attesten na om aan te tonen dat we ons inzetten om onze klanten te helpen door hun vertrouwen en reputatie en de veiligheid en integriteit van hun gegevens te vrijwaren." John Castelly Chief Compliance Officer, ServiceNow
Wereldwijde en regionale compliance
Certificeringen en attesten
Certificeringen en attesten ServiceNow voldoet aan de hoogste beveiligings- en privacynormen in al onze regio's. Bovendien stellen onze toepassingen organisaties in staat om te voldoen aan je sectorale of regionale vereisten. Alles weergeven
Compliance
Compliance Compliance-certificeringen en -attesten zijn essentieel. We maken compliance-processen eenvoudig voor je via onze technische mogelijkheden, begeleidende documenten en juridische verplichtingen.  Ontdek meer
Gegevensprivacy
Gegevensprivacy Door de tools te bieden waarmee je gevoelige gegevens kunt beschermen, verminderen we de risico's voor de kritieke onderdelen van je bedrijf.  
Beveiligd toegangsbeheer
Beveiligd toegangsbeheer Voorkom ongeautoriseerde toegang tot accounts en verhoog de gegevensbeveiliging door middel van verificatie op basis van meerdere factoren (multi-factor authentication, MFA). Lees de blog
Transparantie
Transparantie Met transparantie winnen we vertrouwen. Onze strenge voorwaarden en overeenkomsten voor gegevensprivacy bepalen hoe we gegevens verwerken, inclusief ons beleid voor het reageren op overheidsverzoeken. Ontdek hoe
Wij zijn voorvechters van beveiligings- en privacy-initiatieven We monitoren op een proactieve wijze onze beveiligingsprotocollen en passen ze aan snel veranderende regelgeving aan. Alles uitvouwen Alles samenvouwen ISO/IEC 42001 – Beheersysteem voor artificial intelligence (AIM's)
ISO/IEC 42001 is de eerste internationale standaard voor verantwoord beheer van artificial intelligence gedurende de gehele levenscyclus. De certificering van ServiceNow toont onze toewijding aan het bouwen en exploiteren van AI-systemen met sterke governance en transparantie, en sterk risicobeheer, waardoor klanten met vertrouwen AI kunnen implementeren en tegelijkertijd voldoen aan de wereldwijde wettelijke en ethische verwachtingen.
ISO/IEC 27017:2015

De ISO/IEC 27017:2015-norm is gericht op de implementatie van de cloudspecifieke informatiebeveiligingsmaatregelen zoals gespecificeerd in ISO/IEC 27002.

De certificering wordt behaald door middel van een jaarlijkse onafhankelijke audit en ServiceNow is sinds 2018 een ISO/IEC 27017:2015-gecertificeerde organisatie.
ISO/IEC 27001:2022

De ISO/IEC 27001:2022-certificering specificeert best practices en controles op het gebied van beveiligingsbeheer op basis van de ISO/IEC 27002-gids met best practices. De certificering zorgt ervoor dat ons informatiebeveiligingsbeheersysteem (ISMS) is afgestemd op veranderingen in beveiligingsrisico's, wat essentieel zijn in de snelle wereld van IT-beveiliging.

Hercertificering wordt elke drie jaar door een audit verkregen, inclusief een jaarlijkse surveillanceaudit om aan te tonen dat ServiceNow:

  1. Een uitgebreide ISMS heeft ontworpen en geïmplementeerd.
  2. Een proces voor continu risicobeheer heeft ingevoerd om ervoor te zorgen dat de juiste informatiebeveiligingscontroles worden uitgevoerd om te voldoen aan een ontwikkelend risicolandschap en veranderende risico's.
  3. Op systematische wijze de risico's voor informatiebeveiliging evalueert en daarbij rekening houdt met verschillende factoren, waaronder de gevolgen van bedrijfsdreigingen en kwetsbaarheden.

ServiceNow is sinds 2012 een ISO/IEC 27001-gecertificeerde organisatie en het certificaat is hier beschikbaar.
ISO/IEC 27018:2019

De ISO/IEC 27018:2019 is een praktijkcode op basis van ISO/IEC 27002 en houdt zich bezig met de bescherming van persoonsgegevens (PII) in openbare clouds in overeenstemming met de privacybeginselen in ISO/IEC 29100.

De certificering wordt behaald door middel van een jaarlijkse onafhankelijke audit en ServiceNow is sinds 2016 een ISO/IEC 27018:2019-gecertificeerde organisatie.
ISO/IEC 27701:2019
Deze uitbreiding van ISO/IEC 27001 richt zich op het opzetten en onderhouden van een Privacy Information Management System (PIMS). Dit is relevant voor ServiceNow als verwerker van klantgegevens die persoonlijk identificeerbare informatie (PII) kunnen bevatten. ServiceNow ontving deze certificering in 2020.
SSAE 18 SOC 1- en SOC 2-rapporten

Het SOC-framework (Service Organizational Control) is een attest dat ServiceNow voldoet aan de vereiste norm met betrekking tot beschikken over controles ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens van onze klanten in de cloud.

- SOC 1 richt zich op de effectiviteit van interne controles die van invloed zijn op de financiële rapporten van klanten

- SOC 2 evalueert controles die relevant zijn voor beschikbaarheid, integriteit, beveiliging, vertrouwelijkheid of privacy.

ServiceNow wordt geaudit door een externe partij en heeft in 2011 zijn SSAE 18 SOC 1 Type 2-attest behaald (SSAE 18 heeft SSAE 16 vervangen in 2017). SSAE 18 is uitgelijnd met internationale norm ISAE3402 en vervangt de nu verouderde SAS70.

Het SOC 1-rapport van ServiceNow over de periode van 1 oktober (van het voorgaande kalenderjaar) tot 30 september (van het huidige kalenderjaar), is aan het eind van het kalenderjaar (december) beschikbaar via ServiceNow CORE.

Het SOC 1-rapport over de periode van 1 april t/m 31 maart is beschikbaar via ServiceNow CORE aan het eind van elk Q2 (juni).

ServiceNow heeft sinds 2013 ook een jaarlijkse SOC 2 Type 2-attest uitgevoerd. Deze is relevant voor beveiligings-, beschikbaarheids- en vertrouwelijkheidscontroles zoals vermeld in de ACICPA Trust Services Criteria (TSC).

Het SOC 2-rapport van ServiceNow behandelt de periode van 1 oktober (van het voorgaande kalenderjaar) tot 30 september (van het huidige kalenderjaar) en is aan het eind van het kalenderjaar (december) beschikbaar via ServiceNow CORE.

Tussen auditperioden wordt een Bridge Letter verstrekt zodat het bedrijf voor het gehele jaar gedekt is.

De SOC 1 bridge letter van ServiceNow over de periode van 1 oktober (van het voorgaande kalenderjaar) tot 31 december (van het huidige kalenderjaar) is aan het eind van Q1 van het volgende jaar beschikbaar via ServiceNow CORE

De SOC 1 bridge letter over de periode van 1 april t/m 30 juni is beschikbaar via ServiceNow CORE aan het eind van elk Q3.

DE SOC 2 bridge letter van ServiceNow behandelt de periode van 1 oktober (van het voorgaande kalenderjaar) tot 31 december (van het huidige kalenderjaar) en is aan het eind van Q1 van het volgende jaar beschikbaar via ServiceNow CORE.
BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 is een catalogus voor cloudspecifiek compliancebeheer, ontwikkeld door de Duitse federale instantie voor informatiebeveiliging (BSI), die zowel in de publieke als private sector wordt gebruikt. Het C5-attestrapport volgt een vergelijkbaar proces en schema als AICPA SOC 2-rapporten en heeft qua vereisten een aanzienlijke overlap met AICPA Trust Services Criteria, en stelt daarnaast specifieke cloudgerichte vereisten. ServiceNow ontving een C5-attestrapport in 2020.
APEC Privacy Recognition for Processors (PRP)
De APEC PRP is een vrijwillige certificering voor gegevensverwerkers specifiek in de regio Azië-Stille Oceaan, en is ontwikkeld door lokale leden in de regio. De certificeringen worden jaarlijks vernieuwd, maar de beoordelaars worden mogelijk vaker ingeschakeld voor elke wijziging die een aanzienlijke impact zou kunnen hebben op de privacyprocessen en/of -procedures van de verwerker.
ISMAP Cloud Service
Het Information system Security Management and Assessment Program (ISMAP) is een programma dat ernaar streeft het beveiligingsniveau bij de inkoop van cloudservices door de Japanse overheid te waarborgen, door cloudservices te evalueren en te registreren die voldoen aan de beveiligingsvereisten van de Japanse overheid.  Het Now Platform van ServiceNow werd onafhankelijk beoordeeld door een geregistreerde ISMAP-beoordelaar die voldoet aan de controlecriteria van de ISMAP-controles, en sinds maart 2022 is geregistreerd als een ISMAP-cloudservice.  De lijst met ISMAP-cloudservices is hier beschikbaar: https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR niveau 2: STAR-certificering
De Cloud Controls Matrix ('CCM') is een framework voor controles (beleidsregels en procedures) die essentieel zijn voor de beveiliging van cloudcomputing. Het wordt gemaakt en bijgewerkt door de Cloud Security Alliance ('CSA') en afgestemd op de best practices van CSA. De CSA STAR niveau 2-certificering is een strenge onafhankelijke beoordeling van de beveiliging van een cloudserviceprovider ten opzichte van de CSA Cloud Controls Matrix, samen met ISO/IEC 27001-vereisten.
EU Cloud CoC

De EU Cloud Code of Conduct (EU Cloud CoC) bestaat uit een aantal controlevereisten die bedoeld zijn om vertrouwen en transparantie in de Europese markt van cloudcomputing te bevorderen en het risicobeoordelingsproces van cloudserviceproviders voor klanten van cloudoplossingen te vereenvoudigen. Om te laten zien dat deze vereisten worden nageleefd, heeft ServiceNow een interne audit uitgevoerd van meer dan 80 EU Cloud CoC-vereisten en deze audit laten beoordelen door een externe partij. De externe validatie van de naleving van de EU Cloud CoC door ServiceNow getuigt van onze voortdurende inzet om de hoogste privacy- en beveiligingsstandaarden te handhaven naast onze bestaande beveiligings- en privacycertificeringen.

De services zijn geverifieerd in overeenstemming met de EU Cloud CoC, verificatie-id 2022LVL02SCOPE3113. Ga voor meer informatie naar https://eucoc.cloud/en/public-register.
FedRAMP High P-ATO voor US-overheidsinstellingen en -providers

Het aanbod van de Government Community Cloud (GCC) van ServiceNow bevat momenteel een High Baseline Provisional Authority to Operate (P-ATO) van het Federal Risk and Authorization Management Program (FedRAMP). Hierdoor kan ServiceNow de adoptie van onze veilige cloudoplossingen door Amerikaanse federale instanties en providers versnellen, en een gestandaardiseerde aanpak voor het beoordelen, monitoren en autoriseren van cloudcomputing-producten en -services implementeren, conform de Federal Information Security Management Act (FISMA).

GCC ontving de eerste GCC FedRAMP High Provisional Authority to Operate (P-ATO) in augustus 2019. GCC voldoet ook aan de Department of Defense (DoD) Impact Level 4 (IL4)- en CNSSI 1253F Privacy Overlay High PII + PHI-controlevereisten.

Klik hier om ServiceNow op de FedRAMP Marketplace te bekijken
DoD IL4 PA voor US DoD- en IC-instellingen

Het aanbod van de Government Community Cloud (GCC) van ServiceNow bevat momenteel een Department of Defense (DoD) Impact Level 4 (IL4) Provisional Authorization (PA). Dit vergemakkelijkt de aankoop van ServiceNow-producten door het US Department of Defense (DoD) en de Intelligence Community (IC), en stelt een basislijn vast die wordt gedefinieerd door de Security Requirements Guide (SRG) van DoD Cloud Computing (CC), opgesteld door de Defense Information Systems Agency (DISA).

ServiceNow ontving zijn eerste GCC DoD IL4 PA in oktober 2019. De DoD IL4 PA bevat zowel FedRAMP High- als DoD IL4-controlevereisten. Het GCC-aanbod van ServiceNow voldoet ook aan de CNSSI 1253F Privacy Overlay High PII + PHI-controlevereisten.

Klik hier om ServiceNow in de DISA Storefront in de sectie Standard Offering te bekijken
DoD IL5 voor de National Security Cloud

ServiceNow heeft een U.S. Department of Defense (DOD) Impact Level 5 (IL5) Provisional Authorization verkregen. Hierdoor is de ServiceNow National Security Cloud (NSC) een van de weinige software-as-a-service- en platform-as-a-service (SaaS/PaaS)-aanbiedingen die zijn gebouwd en geautoriseerd om te voldoen aan de strenge cloudcomputing-beveiligingsvereisten op Impact Level 5 van met Department of Defense.

De IL5 Provisional Authorization zal de digitale transformatie van het DOD versnellen, omdat ze het DOD, haar missiepartners en geselecteerde federale instanties in staat stelt om zeer gevoelige gegevens, waaronder Gecontroleerde niet-geclassificeerde informatie en Niet-geclassificeerde nationale beveiligingssystemen, te verplaatsen naar cloudgebaseerde oplossingen van ServiceNow die worden gehost op Microsoft Azure Government.
Meerlaagse cloudbeveiligingsnorm voor Singapore (MTCN's) niveau 3

MTCE Level 3 is een certificering die ervoor zorgt dat ServiceNow voldoet aan de normen met betrekking tot de vertrouwelijkheid en integriteit van de gegevens van onze klanten in de cloud voor Singapore. Het bouwt voort op ISO/IEC 27001 en dekt de soevereiniteit, retentie en beschikbaarheid van gegevens, evenals de planning van bedrijfscontinuïteit en noodherstel.

ServiceNow is er trots op om MTCE Level 3, het hoogst haalbare certificeringsniveau, te hebben behaald.
ASD IRAP beoordeeld voor OFFICIËLE en BESCHERMDE cloudservices

De Australische platforms van ServiceNow zijn onafhankelijk beoordeeld door een goedgekeurde IRAP-beoordelaar, om te voldoen aan de Australische ISM-controles voor OFFICIËLE en BESCHERMDE gegevens. De door IRAP beoordeelde OFFICIËLE en BESCHERMDE cloudservices bieden klanten van de Australische overheid vertrouwen in het NOW Platform en stellen ServiceNow in staat effectief contact te leggen met Australische overheidsinstanties en kritieke infrastructuurproviders.

Meer informatie over Australische gereguleerde klanten vind je hier: https://your.servicenow.com/microsoftregulatedindustries/australia
Canadese overheid - GC Cloud Provider
Het Canadian Centre for Cyber Security (CCCS) heeft een set opgesteld van zowel fysieke als logische vereisten waaraan het moet voldoen om een gecertificeerde GC-cloudprovider te zijn. Cloudproviders moeten aan CCCS-personeel de compliance aantonen voordat ze worden goedgekeurd als GC-cloudprovider. GC is het door de overheid gedefinieerde gegevensclassificatieniveau dat is goedgekeurd om in de cloud te worden opgeslagen.
HITRUST-certificering
HITRUST werd door de gezondheidszorg ontwikkeld om compliancedoelstellingen te standaardiseren in hun gehele CSF-framework van controles, oorspronkelijk gebouwd op ISO27001. Het HITRUST CSF Assurance-programma zorgt voor een effectief vertrouwen in informatiebescherming door middel van een haalbaar beoordelings- en rapportagetraject voor organisaties met elke omvang, complexiteit en risico's. Certificering wordt toegekend aan organisaties die een gevalideerde beoordeling voltooien en voldoen aan de vereiste score-drempel en andere certificeringscriteria.
UK Cyber Essentials Plus-certificering
Cyber Essentials Plus is een door de UK-overheid ondersteund programma dat organisaties helpt bij het aantonen van risicovermindering en beoordeling van cyberdreigingen voor hun IT-systemen. Het programma vereist de implementatie van verschillende technische controles om de best practices en de grootst mogelijke beveiliging te garanderen, die worden uitgevoerd door een externe auditor. Vanwege de regionale focus van het programma is de certificering bestemd voor de UK-regio.
PCI-DSS-compliance
De Payment Card Industry Data Security Standard (PCI DSS) is een reeks beveiligingsnormen die in 2004 zijn opgesteld door Visa, MasterCard, Discover Financial Services, JCB International en American Express. Op basis van de Payment Card Industry Security Standards Council (PCI SSC) zijn de compliancesvereisten opgesteld om creditcard- en debetkaarttransacties te beveiligen tegen gegevensdiefstal en -fraude. Dit is relevant voor ServiceNow als verwerker van klantgegevens die creditcardgegevens kunnen bevatten. ServiceNow is compliant sinds 2023.
EU-DSA-compliance

ServiceNow en de EU-wet inzake digitale diensten (Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG):

Alle communicatie in overeenstemming met de EU-wet op digitale diensten dient te worden gericht aan DSACompliance@ServiceNow.com.
Data Privacy Framework

ServiceNow is een deelnemer aan het DPF-programma (Data Privacy Framework). De EU-U.S. DPF, UK Extension to the EU-U.S. DPF, en Swiss-U.S. DPF zijn respectievelijk ontwikkeld door het U.S. Department of Commerce en de Europese Commissie, de regering van het Verenigd Koninkrijk en de Zwitserse federale overheid om Amerikaanse organisaties betrouwbare systemen te bieden voor de overdracht van persoonlijke gegevens naar de Verenigde Staten vanuit de Europese Unie, het Verenigd Koninkrijk en Zwitserland, waarbij gegevensbescherming wordt gegarandeerd die in overeenstemming is met de wetgeving van de EU, het Verenigd Koninkrijk en Zwitserland.

Meer informatie over het Data Privacy Framework-programma vind je hier (https://www.dataprivacyframework.gov/s/). Het DPF-beleid van ServiceNow is hier beschikbaar (https://www.servicenow.com/nl/data-privacy-framework.html).
ISO/IEC 9001:2015

De certificering ISO 9001:2015 specificeert best practices en controls voor het kwaliteitsbeheersysteem (QMS), zodat een organisatie consistent producten en services levert die voldoen aan de behoeften van klanten en de regelgeving. Het laat zien dat we ons inzetten voor het handhaven van hoge kwaliteitsnormen en het bevorderen van continue verbetering in elk aspect van onze activiteiten.

Hercertificering wordt bereikt door middel van een audit om de drie jaar, met een jaarlijkse surveillanceaudit om te bevestigen dat onze organisatie:

  • Een robuust QMS heeft ontworpen en geïmplementeerd, zodat alle processen zijn afgestemd op de best practices in de branche.
  • Zich richt op een klantgerichte benadering om consistente tevredenheid en betrokkenheid te garanderen.
  • Een cultuur van continue verbetering onderhoudt, met behulp van op gegevens gebaseerde inzichten en feedback om processen te verfijnen en prestaties te stimuleren.
  • Actief risico's en kansen beoordeelt om de effectiviteit van het QMS te verbeteren en zich aan te passen aan veranderende markt- en operationele omstandigheden.
ISO/IEC 20000:2018

De ISO/IEC 20000-1:2018-certificering specificeert de best practices voor IT-servicebeheer (ITSM), waardoor organisaties hoogwaardige IT-services leveren die voldoen aan de behoeften van klanten en aan wettelijke vereisten. Het toont onze toewijding aan het beheren en verbeteren van de kwaliteit van onze IT-serviceverlening, terwijl we ons blijven richten op efficiëntie en klanttevredenheid.

Hercertificering wordt bereikt door middel van een audit om de drie jaar, met een jaarlijkse surveillanceaudit om te bevestigen dat onze organisatie:

  • Een uitgebreid IT-servicebeheersysteem (SMS) heeft ontwikkeld en geïmplementeerd dat voldoet aan de ISO/IEC 20000-1-normen.
  • Voortdurend de prestaties en levering van IT-services monitort en verbetert, zodat deze voldoen aan de verwachtingen van klanten en branchebenchmarks.
  • Een systematische aanpak van het beheer van servicegerelateerde risico's en kansen waarborgt, waarbij de afstemming op de veranderende behoeften van klanten en technologische trends wordt gehandhaafd.
  • Een cultuur van continue serviceverbetering (CSI) stimuleert, waarbij feedback en meetwaarden worden gebruikt om IT-serviceprocessen te optimaliseren en consistente, betrouwbare servicelevering te garanderen.
ISO/IEC 22301:2019

De ISO 22301:2019-certificering beschrijft best practices voor bedrijfscontinuïteitsbeheersystemen (BCMS), zodat organisaties voorbereid zijn om effectief te reageren op onderbrekingen en kritieke bedrijfsactiviteiten te onderhouden. Het toont aan dat we ons inzetten om de veerkracht en continuïteit van activiteiten te waarborgen in geval van mogelijke crises of noodsituaties.

Hercertificering wordt bereikt door middel van een audit om de drie jaar, met een jaarlijkse surveillanceaudit om te bevestigen dat onze organisatie:

  • Een robuust BCMS heeft ontwikkeld en geïmplementeerd dat voldoet aan de ISO 22301-normen.
  • Een proactieve benadering hanteert om mogelijke dreigingen voor de bedrijfscontinuïteit te identificeren en te beperken, zodat essentiële services altijd beschikbaar blijven.
  • Herstelplannen systematisch evalueert en test om ervoor te zorgen dat deze effectief zijn bij het minimaliseren van de impact van onderbrekingen en het onderhouden van kritieke bedrijfsfuncties.
  • Continue verbetering bevordert.
ENS-certificering (Esquema Nacional de Seguridad) Certificering weergeven Disclaimer weergeven
ENS-certificering (Esquema Nacional de Seguridad)

Het Esquema Nacional de Seguridad (ENS) is een Spaans certificeringsframework waarin de criteria en vereisten worden vastgesteld om een adequate bescherming van elektronische informatie op het gebied van elektronisch beheer te waarborgen. Het ENS is onderworpen aan een koninklijk besluit en stelt normen vast voor overheidsdiensten en entiteiten, maar ook voor particuliere bedrijven die openbare gegevens verwerken. Het ENS classificeert gegevens op basis van vertrouwelijkheid en de daarmee uitgevoerde activiteiten en definieert verschillende niveaus van beveiligingsmaatregelen, van de basis- tot de hoogste beveiliging, om een robuuste gegevensbescherming, effectief incidentbeheer en periodieke compliancecontroles door middel van audits te garanderen. Deze certificering is van essentieel belang om het vertrouwen te bevorderen in de elektronische services die door en binnen de Spaanse overheid worden geleverd.

ServiceNow voldoet aan de vereisten van ENS op het niveau 'Hoog'.
GDPR compliance Wij helpen organisaties om de AVG-compliance te bereiken met oplossingen die het voldoen aan vereisten zoals betere gegevenstoegang en privacy by design tot een naadloos onderdeel van de dagelijkse activiteiten maken.  Lees meer
Resources Verklaringen ServiceNow investeert in EU-services Veelgestelde vragen over internationale gegevensoverdrachten ServiceNow Beveiliging voor de publieke sector in het VK Richtlijnen voor verantwoorde AI Whitepapers Gegevensencryptie Securing the ServiceNow AI Platform Gereguleerde branches en vereisten voor gegevensprivacy (IDC)
Ontdek meer ServiceNow helpt je om je te beschermen tegen beveiligingsrisico's, je gegevens te beschermen en te voldoen aan veranderende wereldwijde mandaten.    Ontdek hoe AVG Privacy Beveiliging Compliance ServiceNow AI Platform Klantportal voor beveiliging