Notre équipe mondiale d’experts en sécurité protège vos données 24h/24 et 7j/7, 365 jours par an. Découvrez comment nous sécurisons la Now Platform®.
Chaque année, ServiceNow est minutieusement audité par des entreprises tierces indépendantes et des organismes gouvernementaux afin de prouver que nous sommes conformes à de nombreuses normes internationales et régionales.
Parce que la sécurité de vos données est primordiale pour nous, nous avons conçu nos services dans le cloud pour garantir la sécurité de vos données à tout moment. Nous ajoutons de nouvelles propriétés de sécurité à chaque version de la Now Platform.
Nous adhérons à l’un des plus vastes portefeuilles de normes du secteur et nous nous conformons aux nouveaux mandats en matière de confidentialité et de sécurité digitale au fur et à mesure de leur évolution. Nous nous engageons à vous laisser le contrôle total sur vos données.
ISO/IEC 27001:2013
La certification ISO/IEC 27001:2013 spécifie les bonnes pratiques de gestion de la sécurité et les contrôles basés sur le guide des bonnes pratiques ISO/IEC 27002. Elle garantit que notre système Information Security Management System (ISMS) est parfaitement au point pour suivre la progression des menaces en matière de sécurité, ce qui s’avère essentiel dans un monde de sécurité informatique en constante évolution.
Le renouvellement de la certification est obtenu par un audit effectué tous les trois ans, et qui comprend la réalisation d’un audit de surveillance annuel pour démontrer que ServiceNow :
1. a conçu et mis en œuvre un système ISMS complet.
2. a adopté un processus continu de gestion des risques pour s’assurer que les contrôles de sécurité de l’information appropriés sont établis pour faire face à l’évolution de la menace et des risques.
3. évalue systématiquement les risques liés à la sécurité de l’information de façon appropriée, en tenant compte de plusieurs facteurs, y compris de l’impact des menaces et des vulnérabilités de l’entreprise.
ServiceNow est une organisation certifiée ISO/IEC 27001 depuis 2012 et le certificat est disponible ici.
ISO/IEC 27017:2015
La norme ISO/IEC 27017:2015 concerne la mise en œuvre des contrôles de sécurité de l’information spécifiques au cloud précisés dans la norme ISO/IEC 27002.
La certification est obtenue par un audit annuel indépendant, et ServiceNow est une organisation certifiée ISO/IEC 27017:2015 depuis 2018.
ISO/IEC 27018:2019
La norme ISO/IEC 27018:2019 est un code de bonne pratique basé sur la norme ISO/IEC 27002 et concerne la protection des informations personnelles identifiables dans les clouds publics conformément aux principes de confidentialité de la norme ISO/IEC 29100.
La certification est obtenue par un audit annuel indépendant, et ServiceNow est une organisation certifiée ISO/IEC 27018:2019 depuis 2016.
Rapports SOC 1 et SOC 2 de la norme SSAE 18
Le cadre du contrôle organisationnel des services (SOC) atteste que ServiceNow respecte la norme requise en ce qui concerne la mise en place de contrôles pour la protection de la confidentialité, l’intégrité et la disponibilité des données de nos clients dans le cloud.
- Le SOC 1 se concentre sur l’efficacité des contrôles internes qui affectent les rapports financiers des clients.
- Le SOC 2 évalue les contrôles relatifs à la disponibilité, à l’intégrité, à la sécurité, à la confidentialité ou à la vie privée.
ServiceNow est audité annuellement par un tiers et conserve son attestation SSAE 18 SOC 1 de type 2 depuis 2011 (SSAE 18 a remplacé SSAE 16 en 2017). SSAE 18 s’aligne avec la norme internationale ISAE3402 et remplace SAS70, maintenant obsolète.
Le rapport SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE à la fin de chaque année civile (décembre).
ServiceNow a également entrepris une attestation annuelle SOC 2 de type 2 depuis 2013, qui porte sur les contrôles de sécurité, de disponibilité et de confidentialité énumérés dans les critères des services de tiers de confiance de l’AICPA.
Le rapport SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile précédente) au 30 septembre (année civile en cours) et est disponible via ServiceNow CORE en fin de chaque année civile (décembre).
Une lettre de liaison est fournie entre les périodes d’audit, de façon à ce que l’entreprise soit couverte toute l’année.
La lettre de liaison SOC 1 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin de chaque premier trimestre civil de l’année suivante.
La lettre de liaison SOC 2 de ServiceNow couvre la période allant du 1er octobre (année civile en cours) au 31 décembre (année civile en cours) et est disponible sur ServiceNow CORE à la fin du premier trimestre civil de l’année suivante.
Attestation BSI Cloud Computing Compliance Controls Catalog (C5) Standard
C5 est un catalogue de contrôles de conformité spécifique au cloud, développé par l’Office fédéral allemand pour la sécurité de l’information (BSI) et utilisé dans les secteurs public et privé. Le rapport d’attestation C5 suit un processus et un schéma similaires à ceux des rapports AICPA SOC 2, et ses exigences sont pour la plupart alignées sur les exigences des critères AICPA Trust Services Criteria, avec l’ajout d’exigences spécifiques axées sur le cloud. ServiceNow a reçu son rapport d’attestation C5 en 2020.
Reconnaissance de la confidentialité pour les responsables du traitement (PRP) de l’APEC
La certification PRP de l’APEC est une certification sur la base du volontariat qui s’adresse aux responsables du traitement des données dans la région Asie-Pacifique, développée par des membres locaux de la région. Les certifications sont renouvelées chaque année, mais des évaluateurs interviennent plus fréquemment pour vérifier tout changement qui aurait une incidence importante sur les procédures et/ou les processus relatifs à la vie privée du responsable du traitement.
ISO/IEC 27701:2019
Cette extension d’ISO/IEC 27001 est axée sur la mise en place et la maintenance d’un système de management de protection de la vie privée (PIMS). Elle est particulièrement utile pour ServiceNow, qui est responsable du traitement des données client susceptibles de contenir des données à caractère personnel (PII). ServiceNow a reçu cette certification en 2020.
PinkVERIFY™
PinkVERIFY™ s’assure que ServiceNow est en mesure de démontrer que ses produits IT Service Management (ITSM) sont compatibles avec les meilleures pratiques de l’Information Technology Infrastructure Library (ITIL).
ServiceNow est fier d’avoir été le premier fournisseur SaaS à obtenir la certification PinkVERIFY™ pour 11 processus ITIL en 2009, et d’avoir continuellement évolué et amélioré ses solutions ITSM tout en gardant cette certification propre au secteur.
FedRAMP JAB High P-ATO (pour les entités du gouvernement américain)
ServiceNow est honoré d’avoir obtenu la certification U.S. Federal Risk and Authorization Management Program Joint Authorization Board P-ATO (FedRAMP JAB) en atteignant le niveau Élevé. Cela nous permet d’accélérer le déploiement de nos solutions dans le cloud sécurisées par les agences fédérales américaines et de fournir une approche normalisée pour évaluer, surveiller et autoriser les produits et services de cloud computing en vertu du Federal Information Security Management Act (FISMA).
ServiceNow a reçu le JAB High Provisional Authority to Operate (P-ATO) en 2019. Le FedRAMP JAB High P-ATO répond également aux exigences de la certification DoD Impact Level 4.
DoD Impact Level 4 Certification (pour les entités américaines DoD/IC)
L’autorisation DoD Impact Level 4 facilite l’acquisition des produits ServiceNow par le Département de la Défense (DoD) et la communauté du renseignement (IC) des États-Unis. Elle établit une base de référence définie par la Defense Information System Agency (DISA) dans le Security Requirements Guide (SRG) pour le cloud computing.
En 2019, ServiceNow a obtenu son autorisation DoD Impact Level 4 (IL-4). La norme IL-4 est basée sur les contrôles FedRAMP de niveau élevé, ainsi que sur les contrôles supplémentaires définis par la DISA.
Conformité au bouclier de protection des données
ServiceNow est conforme aux cadres du bouclier de protection des données UE-États-Unis et Suisse-États-Unis mis en place par le Département américain du Commerce concernant la collecte, l’utilisation et la conservation des données à caractère personnel transférées de l’Union européenne, du Royaume-Uni et de la Suisse aux États-Unis, respectivement. Pour en savoir plus sur le « Bouclier de protection des données » et l’étendue de la participation de ServiceNow, consultez le site Web du Département américain du Commerce, ici.
Norme Multi-Tier Cloud Security (MTCS) pour Singapour de niveau 3
La MTCS de niveau 3 est une certification qui garantit que ServiceNow respecte les normes de confidentialité et d’intégrité des données de nos clients dans le cloud pour Singapour. Elle s’appuie sur la norme ISO/IEC 27001 et couvre la souveraineté, la conservation et la disponibilité des données, ainsi que la planification de la continuité d’activité et la récupération d’urgence.
ServiceNow est fier d’avoir atteint le niveau 3 de la MTCS, le plus haut niveau de certification disponible.
Le programme IRAP de l’ASD évalué pour les services dans le cloud OFFICIELS et PROTÉGÉS
Les plateformes australiennes de ServiceNow ont été évaluées de façon indépendante par un évaluateur de l’IRAP approuvé afin de respecter les contrôles ISM australiens pour les données OFFICIELLES et PROTÉGÉES. Les services dans le cloud OFFICIELS et PROTÉGÉS de l’IRAP permettent aux clients du gouvernement australien de faire confiance à la Now Platform et à ServiceNow de s’engager efficacement auprès des agences gouvernementales australiennes et des fournisseurs d’infrastructures critiques. Pour plus d’informations sur les clients australiens soumis à des lois, consultez le site https://your.servicenow.com/microsoftregulatedindustries/australia
Fournisseur de clouds protégés GC du gouvernement du Canada
Le Centre canadien pour la cybersécurité (CCCS) a mis en place un ensemble d’exigences physiques et logiques que les fournisseurs cloud certifiés GC doivent respecter. Les fournisseurs cloud doivent répondre aux exigences du personnel du CCCS avant d’être approuvés comme des fournisseurs cloud GC. GC est un niveau de classification de données défini par le gouvernement qui approuve l’enregistrement dans le cloud.
ServiceNow est devenu un fournisseur cloud GC du gouvernement du Canada en 2020. Pour en savoir plus, cliquez ici
Rapport SOC 2 + HITRUST
HITRUST a été développé par le secteur de la santé pour standardiser les objectifs de conformité par le biais de son cadre de travail de contrôles CSF, créé à l’origine d’après la norme ISO27001. La société a depuis intégré et mis en corrélation de nombreuses normes de sécurité communes, y compris la norme NIST 800-53 et les critères des services de tiers de confiance SOC 2 de l’AICPA. Le rapport SOC 2 + HITRUST est une collaboration entre l’AICPA et HITRUST Alliance. Il fournit un mécanisme pour que l’auditeur de service se prononce sur la conception et l’efficacité des critères des services de tiers de confiance et du CSF HITRUST dans le même rapport.
Certification Cyber Essentials Plus
Cyber Essentials Plus est un programme soutenu par le gouvernement britannique qui aide les entreprises à démontrer la réduction des risques et à évaluer les menaces de cybersécurité pesant sur leurs systèmes IT. Le programme exige l’implémentation de divers contrôles techniques pour garantir les bonnes pratiques et la plus haute sécurité, effectués par un auditeur externe. En raison de la portée régionale du programme, la certification se limite à la région du Royaume-Uni.