Il nostro team dedicato di esperti di sicurezza a livello globale protegge i tuoi dati 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Scopri come garantiamo la sicurezza della Now Platform®.
Ogni anno ServiceNow viene sottoposta ad audit rigorosi da parte di società terze indipendenti e organi governativi al fine di dimostrare la conformità a vari standard di carattere globale e regionale.
Poiché la sicurezza dei dati è fondamentale per noi, abbiamo progettato i nostri servizi cloud per garantire che i tuoi dati siano sempre al sicuro. Ogni nuova release della Now Platform include nuove funzionalità di sicurezza.
Ci impegniamo a offrirti il controllo completo sui tuoi dati. Aderiamo a uno dei più ampi portafogli di standard del settore e ci impegniamo a rispettare i nuovi obblighi di privacy e sicurezza digitale man mano che questi si evolvono.
ISO/IEC 27001:2013
La certificazione ISO/IEC 27001:2013 specifica le best practice e i controlli di gestione della sicurezza basati sulla raccolta di best practice ISO/IEC 27002. Garantisce che il nostro information security management system (ISMS) sia ottimizzato per stare al passo con le modifiche alle minacce per la sicurezza, aspetto essenziale nel mondo frenetico della sicurezza IT.
La ricertificazione viene acquisita mediante audit ogni tre anni e include un ordine di audit di vigilanza annuale il cui obiettivo è dimostrare che ServiceNow:
1. Ha progettato e implementato un ISMS completo.
2. Ha adottato un processo di gestione del rischio continuo per garantire che siano in essere i controlli di sicurezza delle informazioni appropriati per soddisfare uno scenario di minacce e rischi in continua evoluzione.
3. Valuta in modo sistematico e appropriato i rischi per la sicurezza delle informazioni, tenendo conto di diversi fattori, tra cui l'impatto delle minacce e delle vulnerabilità aziendali.
ServiceNow è un'organizzazione certificata ISO/IEC 27001 dal 2012 e il certificato è disponibile qui.
ISO/IEC 27017:2015
Lo standard ISO/IEC 27017:2015 riguarda l'implementazione dei controlli della sicurezza delle informazioni specifici per il cloud indicati nella norma ISO/IEC 27002.
La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC 27017:2015 dal 2018.
ISO/IEC 27018:2019
ISO/IEC 27018:2019 è un codice di condotta basato su ISO/IEC 27002 e riguarda la protezione delle informazioni personali identificabili (PII) nei cloud pubblici in conformità ai principi sulla privacy indicati in ISO/IEC 29100.
La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC ISO/IEC 27018:2019 dal 2016.
Report SSAE 18 SOC 1 e SOC 2
Il framework Service Organizational Control (SOC) attesta che ServiceNow soddisfa lo standard richiesto per quanto riguarda i controlli in essere volti a proteggere la confidenzialità, l'integrità e la disponibilità dei dati dei nostri clienti nel cloud.
- SOC 1 è incentrato sull'efficacia dei controlli interni che influiscono sui report finanziari dei clienti.
- SOC 2 valuta i controlli che sono pertinenti per la disponibilità, l'integrità, la sicurezza, la confidenzialità o la privacy.
ServiceNow è sottoposta ad audit annuale da terzi e mantiene l'attestazione SSAE 18 SOC 1 Type 2 dal 2011 (SSAE 18 ha sostituito SSAE 16 nel 2017). SSAE 18 è allineato allo standard internazionale ISAE3402 e ha sostituito l'ormai obsoleto SAS70.
Il report SOC 1 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).
ServiceNow dispone inoltre di un'attestazione SOC 2 Type 2 annuale dal 2013, relativa ai controlli di sicurezza, disponibilità e confidenzialità indicati nei Trust Services Criteria (TSC) di AICPA.
Il report SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).
Tra i periodi di audit viene fornita una Bridge letter affinché l'azienda sia coperta per l'intero anno.
La Bridge letter SOC 1 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.
La Bridge letter SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.
BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 è un catalogo di controlli di conformità specifici per il cloud sviluppato dall'Ufficio federale tedesco per la sicurezza informatica (BSI) e utilizzato sia nel settore pubblico che in quello privato. L'attestazione C5 segue un processo e uno schema simili a quelli dei report AICPA SOC 2 e presenta numerosi requisiti in comune con i Trust Services Criteria (TSC) di AICPA, a cui aggiunge requisiti specifici per il cloud. ServiceNow ha ricevuto l'attestato C5 nel 2020.
APEC Riconoscimento della privacy per i responsabili del trattamento (PRP)
APEC PRP è una certificazione volontaria per i responsabili del trattamento dei dati specifica della regione Asia-Pacifico, sviluppata da membri locali. Le certificazioni vengono rinnovate ogni anno, ma le valutazioni possono essere più frequenti in caso di modifiche che abbiano un impatto significativo sui processi e/o sulle procedure in materia di privacy dei responsabili del trattamento.
ISO/IEC 27701:2019
Questa estensione a ISO/IEC 27001 riguarda principalmente la definizione e la manutenzione di un Sistema di gestione delle informazioni sulla privacy (PIMS). Essa si applica a ServiceNow in quanto responsabile del trattamento dei dati dei clienti che potrebbero includere informazioni personali (PII). ServiceNow ha ricevuto questa certificazione nel 2020.
PinkVERIFY™
PinkVERIFY™ garantisce che ServiceNow sia in grado di dimostrare che i suoi prodotti IT Service Management (ITSM) siano compatibili con le best practice Information Technology Infrastructure Library (ITIL).
ServiceNow è orgogliosa di essere stata la prima azienda fornitrice di SaaS a ottenere lo stato PinkVERIFY™ su 11 processi ITIL nel 2009 e ha continuamente migliorato le proprie soluzioni ITSM sempre mantenendo questa certificazione del settore.
FedRAMP JAB High P-ATO (per enti governativi statunitensi)
ServiceNow è onorata di aver ottenuto la certificazione Federal Risk and Authorization Management Program Joint Authorization Board P-ATO (FedRAMP JAB) statunitense di livello High. Questo ci consente di accelerare l'adozione delle nostre soluzioni cloud sicure da parte di agenzie federali statunitensi e fornisce un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione dei prodotti e servizi di cloud computing nel rispetto delle disposizioni del Federal Information Security Management Act (FISMA).
ServiceNow ha ottenuto la certificazione JAB High Provisional Authority to Operate (P-ATO) nel 2019. La certificazione FedRAMP JAB High P-ATO soddisfa anche i requisiti dell'autorizzazione DoD Impact Level 4.
Autorizzazione DoD Impact Level 4 (per enti DoD/IC US)
L'autorizzazione DoD Impact Level 4 facilita l'acquisizione dei prodotti ServiceNow da parte del Dipartimento della Difesa (DoD) e dell'Intelligence Community (IC) degli Stati Uniti. Stabilisce uno standard baseline definito dalla Defense Information System Agency (DISA) nella Security Requirements Guide (SRG) per il cloud computing.
Nel 2019, ServiceNow ha ottenuto l'autorizzazione DoD Impact Level 4 (IL-4). Lo standard IL-4 si basa sui controlli FedRAMP High, nonché su controlli aggiuntivi definiti da DISA.
Conformità allo Scudo per la Privacy
ServiceNow, Inc. è conforme allo Scudo per la privacy UE-USA e allo Scudo per la Privacy Svizzera-USA stabiliti dal Dipartimento del commercio degli Stati Uniti in relazione alla raccolta, all'uso e alla conservazione dei dati personali trasferiti verso gli Stati Uniti rispettivamente dall'Unione Europea e dal Regno Unito e dalla Svizzera. Per saperne di più sul Framework dello Scudo per la Privacy, visita il sito web dedicato allo Scudo per la Privacy del Dipartimento del Commercio, raggiungibile tramite questo link.
Multi-Tier Cloud Security Standard for Singapore (MTCS) Level 3
MTCS Level 3 certifica che ServiceNow soddisfa gli standard in materia di confidenzialità e integrità dei dati dei nostri clienti nel cloud per Singapore. Si basa su ISO/IEC 27001 e tratta la sovranità, la conservazione e la disponibilità dei dati, unitamente alla pianificazione della continuità di business e al ripristino in caso di disastro.
ServiceNow è orgogliosa di aver ottenuto MTCS Level 3, che è il massimo livello di certificazione disponibile.
ASD IRAP valutata per i servizi cloud UFFICIALI e PROTETTI
Le piattaforme australiane di ServiceNow sono state valutate in modo indipendente da un ente di valutazione IRAP approvato per soddisfare i controlli ISM australiani per dati UFFICIALI e PROTETTI. I servizi cloud UFFICIALI e PROTETTI valutati dall'IRAP forniscono ai clienti del governo australiano la fiducia nella piattaforma NOW e permettono a ServiceNow di impegnarsi efficacemente con le agenzie governative australiane e i fornitori di infrastrutture critiche. Ulteriori dettagli per i clienti australiani regolamentati sono disponibili qui: https://your.servicenow.com/microsoftregulatedindustries/australia
GC Cloud Provider del governo canadese
Il Centro canadese per la sicurezza informatica (CCCS) ha stabilito una serie di requisiti sia fisici che logici che devono essere soddisfatti dai provider cloud Protected B certificati. Per ottenere l'approvazione come provider cloud Protected B, devono dimostrare la loro conformità al personale CCCS. Protected B è il livello di classificazione dei dati approvato per il cloud definito dal governo.
ServiceNow è diventato un provider cloud GC nel 2020. Maggiori informazioni sono disponibili qui
Report SOC 2 + HITRUST
HITRUST è stato sviluppato dal settore sanitario per standardizzare gli obiettivi di conformità attraverso il suo framework di controlli CSF, originariamente basato sulla norma ISO27001. Tale framework è stato successivamente integrato e mappato a molti degli standard di sicurezza più diffusi, tra cui NIST 800-53 e i Trust Services Criteria SOC 2 di AICPA. Il Report SOC 2 + HITRUST è frutto di una collaborazione tra lICPA e HITRUST Alliance. Fornisce agli auditor dei servizi la possibilità di valutare la progettazione e l'efficacia dei Trust Services Criteria e dei controlli HITRUST CSF nello stesso report.
Certificazione Cyber Essentials Plus
Cyber Essentials Plus è uno schema sostenuto dal governo britannico che assiste le organizzazioni nel dimostrare la riduzione del rischio e la valutazione delle minacce alla sicurezza informatica dei loro sistemi IT. Lo schema richiede l'implementazione di vari controlli tecnici per garantire le best practice e la massima sicurezza, condotta da un auditor esterno. A causa dell'ambito regionale dello schema, la certificazione è limitata alla regione del Regno Unito.