Erfolgreiche Partnerschaften basieren auf Vertrauen

Die Zertifizierung ISO/IEC 27001:2013 gibt die Best Practices für Sicherheitsverwaltung und -kontrolle basierend auf dem Best Practices-Leitfaden für ISO/IEC 27002 an. Sie stellt sicher, dass unser Managementsystem für Informationssicherheit (Information Security Management System, ISMS) fein abgestimmt ist, um mit Änderungen an Sicherheitsbedrohungen Schritt zu halten, was in der schnelllebigen Welt der IT-Sicherheit unverzichtbar ist.

Die erneute Zertifizierung erfolgt alle drei Jahre durch einen Audit, einschließlich eines jährlichen Überwachungs-Audits als Beweis, dass ServiceNow:

• 1. ein umfassendes ISMS entwickelt und implementiert hat.

• 2. einen kontinuierlichen Risikomanagementprozess eingeführt hat, um sicherzustellen, dass die entsprechenden Kontrollen für die Informationssicherheit vorhanden sind, um aufkommende Bedrohungen und Risiken zu bewältigen.

• 3. Risiken für die Informationssicherheit systematisch untersucht und dabei verschiedene Faktoren berücksichtigt, einschließlich der Auswirkungen von Unternehmensbedrohungen und Schwachstellen.

ServiceNow ist seit 2012 ein ISO/IEC 27001-zertifiziertes Unternehmen und das Zertifikat ist hier verfügbar.

Die Norm ISO/IEC 27017:2015 betrifft die Implementierung der cloudspezifischen Kontrollen für die Informationssicherheit, die in ISO/IEC 27002 angegeben sind.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2018 ein zertifiziertes ISO/IEC 27017:2015-Unternehmen.

Die Norm ISO/IEC 27018:2019 ist eine auf ISO/IEC 27002 basierende Verfahrensregel, die den Schutz personenbezogener Daten in öffentlichen Clouds gemäß den Datenschutzgrundsätzen in ISO/IEC 29100 betrifft.

Die Zertifizierung wird durch ein jährliches, unabhängiges Audit erworben. ServiceNow ist seit 2016 ein zertifiziertes ISO/IEC 27018:2019-Unternehmen.

Das Service Organizational Control (SOC)-Framework ist eine Bestätigung dafür, dass ServiceNow den erforderlichen Standard hinsichtlich der Kontrollen erfüllt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten in der Cloud zu schützen.

• - SOC 1 konzentriert sich auf die Effektivität interner Kontrollen, die sich auf die Finanzberichte von Kunden auswirken.

• - SOC 2 wertet Kontrollen aus, die für die Verfügbarkeit, Integrität, Sicherheit, Vertraulichkeit oder den Datenschutz relevant sind.

ServiceNow wird jährlich von einer Drittpartei geprüft und hat seinen SSAE 18 SOC 1 Typ-2-Nachweis seit 2011 (SSAE 18 ersetzte SSAE 16 im Jahr 2017) beibehalten. SSAE 18 ist am internationalen Standard ISAE 3402 ausgerichtet und ersetzt die nun veraltete SAS70.

Der SOC 1-Bericht von ServiceNow deckt den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) ab und ist gegen Ende jedes Kalenderjahrs (Dezember) über ServiceNow CORE verfügbar.

ServiceNow wurde außerdem seit 2013 einem jährlichen SOC 2 Typ 2-Nachweis unterzogen, der für Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen relevant ist, die in den AICPA Trust Services Criteria (TSC) aufgeführt sind.

Der SOC 2-Bericht von ServiceNow deckt den Zeitraum vom 1. Oktober (des vorangegangenen Kalenderjahrs) bis zum 30. September (des aktuellen Kalenderjahrs) ab und ist gegen Ende jedes Kalenderjahrs (Dezember) über ServiceNow CORE verfügbar.

Ein Überbrückungsschreiben wird zwischen den Prüfzeiträumen ausgestellt, sodass das Unternehmen über das gesamte Jahr abgedeckt ist.

Das SOC 1-Überbrückungsschreiben von ServiceNow deckt den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) ab und ist gegen Ende des ersten Quartals des Folgejahrs über ServiceNow CORE verfügbar.

Das SOC 2-Überbrückungsschreiben von ServiceNow deckt den Zeitraum vom 1. Oktober (des aktuellen Kalenderjahrs) bis zum 31. Dezember (des aktuellen Kalenderjahrs) ab und ist gegen Ende des ersten Quartals des Folgejahrs über ServiceNow CORE verfügbar.

C5 ist ein Katalog cloudspezifischer Compliance-Kontrollmaßnahmen, die vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurden und sowohl im öffentlichen als auch im privaten Sektor eingesetzt werden. Der C5-Nachweisbericht folgt einem ähnlichen Prozess und Schema wie die AICPA SOC 2-Berichte. Er weist große Überschneidungen mit den AICPA Trust Services Criteria (Vertrauensdienstkriterien) auf, jedoch um cloudspezifische Anforderungen erweitert. ServiceNow hat seinen C5-Nachweisbericht im Jahr 2020 erhalten.

APEC PRP ist eine freiwillige Zertifizierung für Datenverarbeitende, die regional für den Asien-Pazifik-Raum entwickelt wurde. Die Zertifikate werden jährlich verlängert, eine vorzeitige Überprüfung ist jedoch möglich, wenn eine Änderung sich nachhaltig auf datenschutzspezifische Prozesse oder Verfahren des Datenverarbeitenden auswirkt.

Diese Erweiterung der Norm ISO/IEC 27001 reguliert die Einrichtung und Pflege eines Datenschutz-Informationsmanagementsystems. Sie ist für ServiceNow relevant, da die verarbeiteten Kundendaten personenbezogene Daten enthalten können. Die Zertifizierung von ServiceNow erfolgte im Jahr 2020.

PinkVERIFY™ stellt sicher, dass ServiceNow nachweisen kann, dass seine IT-Service-Management-Produkte (ITSM) mit den Best Practices der Information Technology Infrastructure Library (ITIL) kompatibel sind.

ServiceNow ist stolz darauf, der erste SaaS-Anbieter gewesen zu sein, der den PinkVERIFY™-Status im Jahr 2009 bei 11 ITIL-Prozessen erreicht hat und seine ITSM-Lösungen bei gleichzeitiger Beibehaltung dieser Branchenzertifizierung kontinuierlich weiterentwickelt und verbessert hat.

ServiceNow ist stolz darauf, die Zertifizierung „U.S. Federal Risk and Authorization Management Program Joint Authorization Board p-ATO“ (FedRAMP JAB) auf der Ebene „High“ erreicht zu haben. Dies ermöglicht uns, die Einführung unserer sicheren Cloud-Lösungen durch US-Bundesbehörden zu beschleunigen und bietet einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud Computing-Produkten und-Services gemäß dem Federal Information Security Management Act (FISMA).

ServiceNow erhielt 2019 die Zertifizierung JAB High Provisional Authority to Operate (p-ATO). Die Zertifizierung „FedRAMP JAB High p-ATO“ erfüllt auch die Anforderungen der DoD Impact Level 4.

Die Zulassung nach DoD Impact Level 4 erleichtert die Beschaffung von ServiceNow-Produkten durch das US-Verteidigungsministerium (Department of Defense, DoD) und Sicherheitsbehörden (Intelligence Community, IC). Sie legt einen grundlegenden Standard fest, der von der Defense Information System Agency (DISA) im Security Requirements Guide (SRG) für Cloud Computing festgelegt wurde.

Im Jahr 2019 erhielt ServiceNow die Zulassung nach DoD Impact Level 4 (IL-4). Der IL-4-Standard basiert auf FedRAMP High und weiteren Kontrollen, die von DISA definiert werden.

ServiceNow agiert in Übereinstimmung mit den Absprachen zwischen der Europäischen Union (EU-US Privacy Shield) und der Schweiz (Swiss-US Privacy Shield) und dem US-amerikanischen Handelsministerium in Bezug auf die Erhebung, Nutzung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Vereinigtes Königreich und der Schweiz in die Vereinigten Staaten übermittelt werden. Weitere Informationen zu den Privacy Shield-Rahmenvereinbarungen finden Sie auf der Privacy Shield-Website des Handelsministeriums der USA (United States Department of Commerce) hier.

MTCS Level 3 ist eine Zertifizierung, die sicherstellt, dass ServiceNow Standards hinsichtlich der Vertraulichkeit und Integrität der Daten unserer Kunden in der Cloud für Singapur erfüllt. Sie baut auf ISO/IEC 27001 auf und umfasst die Souveränität, Aufbewahrung und Verfügbarkeit von Daten sowie die Geschäftskontinuitätsplanung und Notfallwiederherstellung.

ServiceNow ist stolz darauf, die höchste verfügbare Zertifizierungsstufe MTCS Level 3 erreicht zu haben.

Die australischen Plattformen von ServiceNow wurden unabhängig durch einen empfohlenen IRAP-Gutachter bewertet, der festgestellt hat, dass diese die australischen ISM-Kontrollen für Daten aus den Bereichen OFFICIAL und PROTECTED erfüllen. Vom IRAP als OFFICIAL und PROTECTED bewertete Cloud-Services stärken das Vertrauen von Kunden in der australischen Regierung in die NOW Platform, sodass ServiceNow effektiv an australische Regierungsbehörden und Provider kritischer Infrastruktur herantreten kann. Weitere Details für regulierte australische Kunden finden Sie hier: https://your.servicenow.com/microsoftregulatedindustries/australia

HITRUST wurde im Gesundheitswesen entwickelt, um die Compliance-Ziele über das zugehörige CSF-Kontrollframework zu standardisieren, das ursprünglich auf der Basis von ISO 27001 erstellt wurde. Die Kontrollen wurden seitdem in viele gängige Sicherheitsstandards aufgenommen und diesen zugeordnet, darunter NIST 800-53 und die AICPA SOC 2 Trust Services Criteria. Der SOC2- und HITRUST-Bericht basiert auf der Zusammenarbeit zwischen dem AICPA und der HITRUST Alliance. Er bietet einen Mechanismus, dank dem der Service-Auditor seine Meinung zur Gestaltung und Effektivität der Trust Services Criteria und des HITRUST CSF im selben Bericht abgeben kann.

Cyber Essentials Plus ist ein von der Regierung des Vereinigten Königreiches gefördertes Datensicherungsprogramm, das Unternehmen dabei unterstützt, Risiken zu mindern und Cyberbedrohungen ihrer IT-Systeme zu erkennen. Im Rahmen des Programmes müssen verschiedene technische Steuerungen implementiert werden, um Best Practices und höchstmögliche Sicherheit zu gewährleisten. Die Compliance wird mit einem externen Audit überprüft. Da es sich um ein regionales Programm handelt, ist die Zertifizierung auf das Vereinigte Königreich beschränkt.