Le partnership di successo si basano sulla fiducia

La certificazione ISO/IEC 27001:2013 specifica le best practice e i controlli di gestione della sicurezza basati sulla raccolta di best practice ISO/IEC 27002. Garantisce che il nostro information security management system (ISMS) sia ottimizzato per stare al passo con le modifiche alle minacce per la sicurezza, aspetto essenziale nel mondo frenetico della sicurezza IT.

La ricertificazione viene acquisita mediante audit ogni tre anni e include un ordine di audit di vigilanza annuale il cui obiettivo è dimostrare che ServiceNow:

• 1. Ha progettato e implementato un ISMS completo.

• 2. Ha adottato un processo di gestione del rischio continuo per garantire che siano in essere i controlli di sicurezza delle informazioni appropriati per soddisfare uno scenario di minacce e rischi in continua evoluzione.

• 3. Valuta in modo sistematico e appropriato i rischi per la sicurezza delle informazioni, tenendo conto di diversi fattori, tra cui l'impatto delle minacce e delle vulnerabilità aziendali.

ServiceNow è un'organizzazione certificata ISO/IEC 27001 dal 2012 e il certificato è disponibile qui.

Lo standard ISO/IEC 27017:2015 riguarda l'implementazione dei controlli della sicurezza delle informazioni specifici per il cloud indicati nella norma ISO/IEC 27002.

La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC 27017:2015 dal 2018.

ISO/IEC 27018:2019 è un codice di condotta basato su ISO/IEC 27002 e riguarda la protezione delle informazioni personali identificabili (PII) nei cloud pubblici in conformità ai principi sulla privacy indicati in ISO/IEC 29100.

La certificazione viene acquisita mediante un audit indipendente annuale e ServiceNow è un'organizzazione certificata ISO/IEC ISO/IEC 27018:2019 dal 2016.

Il framework Service Organizational Control (SOC) attesta che ServiceNow soddisfa lo standard richiesto per quanto riguarda i controlli in essere volti a proteggere la confidenzialità, l'integrità e la disponibilità dei dati dei nostri clienti nel cloud.

• - SOC 1 è incentrato sull'efficacia dei controlli interni che influiscono sui report finanziari dei clienti.

• - SOC 2 valuta i controlli che sono pertinenti per la disponibilità, l'integrità, la sicurezza, la confidenzialità o la privacy.

ServiceNow è sottoposta ad audit annuale da terzi e mantiene l'attestazione SSAE 18 SOC 1 Type 2 dal 2011 (SSAE 18 ha sostituito SSAE 16 nel 2017). SSAE 18 è allineato allo standard internazionale ISAE3402 e ha sostituito l'ormai obsoleto SAS70.

Il report SOC 1 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).

ServiceNow dispone inoltre di un'attestazione SOC 2 Type 2 annuale dal 2013, relativa ai controlli di sicurezza, disponibilità e confidenzialità indicati nei Trust Services Criteria (TSC) di AICPA.

Il report SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile precedente) al 30 settembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine di ogni anno civile (dicembre).

Tra i periodi di audit viene fornita una Bridge letter affinché l'azienda sia coperta per l'intero anno.

La Bridge letter SOC 1 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.

La Bridge letter SOC 2 di ServiceNow copre il periodo che va dal 1° ottobre (anno civile in corso) al 31 dicembre (anno civile in corso) ed è disponibile tramite ServiceNow CORE entro la fine del primo trimestre civile dell'anno successivo.

C5 è un catalogo di controlli di conformità specifici per il cloud sviluppato dall'Ufficio federale tedesco per la sicurezza informatica (BSI) e utilizzato sia nel settore pubblico che in quello privato. L'attestazione C5 segue un processo e uno schema simili a quelli dei report AICPA SOC 2 e presenta numerosi requisiti in comune con i Trust Services Criteria (TSC) di AICPA, a cui aggiunge requisiti specifici per il cloud. ServiceNow ha ricevuto l'attestato C5 nel 2020.

APEC PRP è una certificazione volontaria per i responsabili del trattamento dei dati specifica della regione Asia-Pacifico, sviluppata da membri locali. Le certificazioni vengono rinnovate ogni anno, ma le valutazioni possono essere più frequenti in caso di modifiche che abbiano un impatto significativo sui processi e/o sulle procedure in materia di privacy dei responsabili del trattamento.

Questa estensione a ISO/IEC 27001 riguarda principalmente la definizione e la manutenzione di un Sistema di gestione delle informazioni sulla privacy (PIMS). Essa si applica a ServiceNow in quanto responsabile del trattamento dei dati dei clienti che potrebbero includere informazioni personali (PII). ServiceNow ha ricevuto questa certificazione nel 2020.

PinkVERIFY™ garantisce che ServiceNow sia in grado di dimostrare che i suoi prodotti IT Service Management (ITSM) siano compatibili con le best practice Information Technology Infrastructure Library (ITIL).

ServiceNow è orgogliosa di essere stata la prima azienda fornitrice di SaaS a ottenere lo stato PinkVERIFY™ su 11 processi ITIL nel 2009 e ha continuamente migliorato le proprie soluzioni ITSM sempre mantenendo questa certificazione del settore.

ServiceNow è onorata di aver ottenuto la certificazione Federal Risk and Authorization Management Program Joint Authorization Board P-ATO (FedRAMP JAB) statunitense di livello High. Questo ci consente di accelerare l'adozione delle nostre soluzioni cloud sicure da parte di agenzie federali statunitensi e fornisce un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione dei prodotti e servizi di cloud computing nel rispetto delle disposizioni del Federal Information Security Management Act (FISMA).

ServiceNow ha ottenuto la certificazione JAB High Provisional Authority to Operate (P-ATO) nel 2019. La certificazione FedRAMP JAB High P-ATO soddisfa anche i requisiti dell'autorizzazione DoD Impact Level 4.

L'autorizzazione DoD Impact Level 4 facilita l'acquisizione dei prodotti ServiceNow da parte del Dipartimento della Difesa (DoD) e dell'Intelligence Community (IC) degli Stati Uniti. Stabilisce uno standard baseline definito dalla Defense Information System Agency (DISA) nella Security Requirements Guide (SRG) per il cloud computing.

Nel 2019, ServiceNow ha ottenuto l'autorizzazione DoD Impact Level 4 (IL-4). Lo standard IL-4 si basa sui controlli FedRAMP High, nonché su controlli aggiuntivi definiti da DISA.

ServiceNow, Inc. è conforme allo Scudo per la privacy UE-USA e allo Scudo per la Privacy Svizzera-USA stabiliti dal Dipartimento del commercio degli Stati Uniti in relazione alla raccolta, all'uso e alla conservazione dei dati personali trasferiti verso gli Stati Uniti rispettivamente dall'Unione Europea e dal Regno Unito e dalla Svizzera. Per saperne di più sul Framework dello Scudo per la Privacy, visita il sito web dedicato allo Scudo per la Privacy del Dipartimento del Commercio, raggiungibile tramite questo link.

MTCS Level 3 certifica che ServiceNow soddisfa gli standard in materia di confidenzialità e integrità dei dati dei nostri clienti nel cloud per Singapore. Si basa su ISO/IEC 27001 e tratta la sovranità, la conservazione e la disponibilità dei dati, unitamente alla pianificazione della continuità di business e al ripristino in caso di disastro.

ServiceNow è orgogliosa di aver ottenuto MTCS Level 3, che è il massimo livello di certificazione disponibile.

Le piattaforme australiane di ServiceNow sono state valutate in modo indipendente da un ente di valutazione IRAP approvato per soddisfare i controlli ISM australiani per dati UFFICIALI e PROTETTI. I servizi cloud UFFICIALI e PROTETTI valutati dall'IRAP forniscono ai clienti del governo australiano la fiducia nella piattaforma NOW e permettono a ServiceNow di impegnarsi efficacemente con le agenzie governative australiane e i fornitori di infrastrutture critiche. Ulteriori dettagli per i clienti australiani regolamentati sono disponibili qui: https://your.servicenow.com/microsoftregulatedindustries/australia

HITRUST è stato sviluppato dal settore sanitario per standardizzare gli obiettivi di conformità attraverso il suo framework di controlli CSF, originariamente basato sulla norma ISO27001. Tale framework è stato successivamente integrato e mappato a molti degli standard di sicurezza più diffusi, tra cui NIST 800-53 e i Trust Services Criteria SOC 2 di AICPA. Il Report SOC 2 + HITRUST è frutto di una collaborazione tra lICPA e HITRUST Alliance. Fornisce agli auditor dei servizi la possibilità di valutare la progettazione e l'efficacia dei Trust Services Criteria e dei controlli HITRUST CSF nello stesso report.

Cyber Essentials Plus è uno schema sostenuto dal governo britannico che assiste le organizzazioni nel dimostrare la riduzione del rischio e la valutazione delle minacce alla sicurezza informatica dei loro sistemi IT. Lo schema richiede l'implementazione di vari controlli tecnici per garantire le best practice e la massima sicurezza, condotta da un auditor esterno. A causa dell'ambito regionale dello schema, la certificazione è limitata alla regione del Regno Unito.