ServiceNow Platform Security
Garantindo a Segurança dos Dados na Plataforma ServiceNow
A segurança dos dados é uma prioridade essencial para qualquer organização que utiliza a plataforma ServiceNow para gerenciar seus processos de negócios e operações de TI. A ServiceNow reconhece a importância crítica de proteger as informações confidenciais de seus clientes e investe continuamente em medidas de segurança robustas para garantir a integridade e a confidencialidade dos dados.
Controle de Acesso Granular
Um dos principais pilares da segurança da plataforma ServiceNow é o controle de acesso granular. Através do modelo baseado em funções (Role-Based Access Control — RBAC), os administradores podem atribuir permissões específicas aos usuários com base em suas funções e responsabilidades dentro da organização. Isso garante que apenas usuários autorizados tenham acesso aos dados e funcionalidades relevantes para suas atividades.
Criptografia de Dados em Trânsito e em Repouso
Os dados transmitidos entre o navegador do usuário e os servidores da ServiceNow são protegidos por criptografia de última geração, utilizando protocolos seguros como HTTPS. Além disso, os dados armazenados nos servidores da ServiceNow são criptografados em repouso, garantindo que as informações confidenciais permaneçam protegidas contra acessos não autorizados, mesmo em caso de violação física dos servidores.
Monitoramento Avançado e Detecção de Ameaças
A ServiceNow emprega uma variedade de ferramentas avançadas de monitoramento e detecção de ameaças para identificar e responder a atividades suspeitas ou maliciosas em tempo real. Isso inclui a análise contínua de logs de eventos, o monitoramento de tráfego de rede e o uso de inteligência artificial e aprendizado de máquina para identificar padrões de comportamento anômalos.
Gerenciamento de Identidade e Acesso
A plataforma ServiceNow oferece recursos abrangentes de gerenciamento de identidade e acesso (Identity and Access Management — IAM), incluindo autenticação multifatorial, integração com diretórios corporativos (como Active Directory e LDAP) e suporte para identidades federadas (como SAML e OAuth). Isso garante que apenas usuários autorizados tenham acesso aos sistemas e dados da ServiceNow.
Atualizações Regulares de Segurança e Conformidade com Padrões Reconhecidos
A ServiceNow está comprometida em manter a segurança de sua plataforma através de atualizações regulares de segurança, que incluem correções para vulnerabilidades conhecidas e aprimoramentos nas práticas de segurança. Além disso, a ServiceNow está em conformidade com uma série de padrões de segurança reconhecidos internacionalmente, como ISO 27001, SOC 2 e HIPAA, garantindo que os clientes possam atender aos requisitos regulatórios e de conformidade.
Auditoria e Registro Detalhados
Por fim, a ServiceNow registra todas as atividades dos usuários em logs de auditoria para fins de rastreabilidade e conformidade. Isso permite que as organizações realizem auditorias de segurança detalhadas e analisem eventos de segurança em tempo real para identificar e responder rapidamente a quaisquer incidentes de segurança.
Em resumo, a ServiceNow está comprometida em fornecer uma plataforma segura e confiável para seus clientes, com uma ampla gama de recursos e práticas de segurança projetados para proteger os dados e sistemas contra ameaças internas e externas. Ao adotar uma abordagem abrangente de segurança da informação, a ServiceNow continua a ser uma escolha líder para organizações que buscam melhorar sua eficiência operacional e proteger seus ativos digitais mais críticos.
A ISO 27018 é uma norma internacional que estabelece diretrizes específicas para a proteção da privacidade em nuvens públicas que processam informações pessoais. Ela foi desenvolvida pela International Organization for Standardization (ISO) para fornecer orientações claras e práticas para provedores de serviços em nuvem, ajudando-os a proteger os dados pessoais dos usuários finais.
Essa norma define uma série de controles e medidas de segurança que os provedores de serviços em nuvem devem implementar para garantir a privacidade dos dados pessoais armazenados e processados em seus sistemas. Algumas das áreas cobertas pela ISO 27018 incluem:
- Controle sobre os dados pessoais processados pela nuvem.
- Transparência sobre as práticas de processamento de dados.
- Limitação do acesso aos dados pessoais.
- Segurança da informação e medidas de proteção de dados.
- Notificação de violações de dados pessoais aos clientes.
- Cooperação com autoridades regulatórias em questões de privacidade de dados.
ISO/IEC 27018:2019
The ISO/IEC 27018:2019 is a code of practice based on ISO/IEC 27002 and is concerned with the protection of personally identifiable information (PII) in public clouds in accordance with the privacy principles in ISO/IEC 29100.
The certification is gained by annual independent audit and ServiceNow has been an ISO/IEC 27018:2019 certified organization since 2016
A ISO 27701 é uma norma internacional que estabelece diretrizes para sistemas de gestão de informações de privacidade (PIMS — Privacy Information Management Systems). Publicada pela International Organization for Standardization (ISO), a ISO 27701 é uma extensão da ISO 27001, que é o padrão para sistemas de gestão de segurança da informação (ISMS — Information Security Management Systems).
A ISO 27701 foi desenvolvida para fornecer orientações específicas para organizações que buscam estabelecer, implementar, manter e melhorar um sistema de gestão de informações de privacidade. Ela aborda as práticas e controles necessários para proteger a privacidade dos dados pessoais, alinhando-se com regulamentações de privacidade como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e outras leis de proteção de dados em todo o mundo.
Algumas das áreas abordadas pela ISO 27701 incluem:
- Definição de papéis e responsabilidades para a proteção da privacidade.
- Avaliação de riscos de privacidade e implementação de medidas de mitigação.
- Implementação de controles de segurança de informação para proteger dados pessoais.
- Gestão de consentimento e direitos dos titulares dos dados.
- Gestão de incidentes de privacidade e notificação de violações de dados.
- Monitoramento, medição, análise e melhoria contínua do sistema de gestão de informações de privacidade.
Em resumo, a ISO 27701 fornece um conjunto de diretrizes e controles para ajudar as organizações a gerenciar os riscos de privacidade e proteger os dados pessoais de maneira eficaz, demonstrando conformidade com os mais altos padrões de privacidade e segurança de dados.
ISO/IEC 27701:2019
This extension to ISO/IEC 27001 focuses on the establishment, and maintenance of a Privacy Information Management System (PIMS). This is relevant to ServiceNow as a processor of customer data which may contain Personally Identifiable Information (PII). ServiceNow received this certification in 2020.
O Escudo de Privacidade UE-EUA (EU-US Privacy Shield) foi um acordo entre os Estados Unidos e a União Europeia que visava facilitar a transferência de dados pessoais entre empresas dos Estados Unidos e países da União Europeia de uma maneira que fosse compatível com as leis de proteção de dados da UE.
Este acordo foi projetado para fornecer às empresas uma estrutura legal para transferir dados pessoais de cidadãos da UE para os Estados Unidos em conformidade com os requisitos do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. O Privacy Shield foi considerado uma alternativa aos mecanismos anteriores de transferência de dados, como as Cláusulas Contratuais Padronizadas (CCPs) e as Regras Corporativas Vinculativas (BCRs).
No entanto, em julho de 2020, a Corte de Justiça da União Europeia (CJEU) invalidou o Escudo de Privacidade UE-EUA em um caso conhecido como “Schrems II”. A CJEU decidiu que o acordo não fornecia proteções adequadas aos dados pessoais dos cidadãos da UE contra a vigilância do governo dos Estados Unidos. Como resultado, o Privacy Shield foi considerado inválido e as empresas foram instruídas a buscar outras formas de garantir a conformidade com as leis de proteção de dados da UE ao transferir dados para os Estados Unidos.
Desde então, as empresas têm buscado outros mecanismos legais, como as Cláusulas Contratuais Padronizadas (CCPs) e as Regras Corporativas Vinculativas (BCRs), para garantir a conformidade com as leis de privacidade da UE ao transferir dados para fora do bloco.
Não existe uma certificação específica para o EU-US Privacy Shield. Em vez disso, o Privacy Shield foi um acordo internacional entre os Estados Unidos e a União Europeia que estabeleceu um conjunto de princípios e requisitos para proteger a privacidade e os direitos dos cidadãos da UE em relação à transferência de dados pessoais para os Estados Unidos.
Organizações que desejavam participar do Privacy Shield precisavam se auto-certificar, ou seja, declarar publicamente sua conformidade com os princípios do Privacy Shield estabelecidos pelo Departamento de Comércio dos Estados Unidos. Ao fazer isso, as empresas concordavam em cumprir certos requisitos, como fornecer proteções adequadas aos dados pessoais transferidos da UE para os EUA, responder a reclamações de privacidade dos indivíduos e se submeter a mecanismos de resolução de disputas independentes.
No entanto, como mencionado anteriormente, o Privacy Shield foi considerado inválido pela Corte de Justiça da União Europeia (CJEU) em julho de 2020. Portanto, não é mais possível obter ou manter uma certificação de conformidade com o Privacy Shield. As empresas foram instruídas a buscar outras formas de garantir a conformidade com as leis de proteção de dados da UE ao transferir dados pessoais para os Estados Unidos. Abaixo a publicação da ServiceNow® Privacy Shield Policy Effective as of 26 February 2021 na conformidade da política.
ServiceNow, Inc. (“ServiceNow”) complies with the EU‑U.S. Privacy Shield Framework and the Swiss‑U.S. Privacy Shield Framework set forth by the United States Department of Commerce with respect to the collection, use and retention of Personal Data transferred from the European Union and the United Kingdom, and Switzerland to the United States as further described in the Scope section below. This Privacy Shield Policy outlines our commitment to the Privacy Shield Principles (the “ Principles”) and our practices for implementing the Principles. If there is any conflict between the terms in this Privacy Shield Policy and the Privacy Shield Principles, the Privacy Shield Principles shall govern. ServiceNow’s Privacy Shield certification can be found here. To learn more about the Privacy Shield Framework, please visit the Department of Commerce’s dedicated Privacy Shield website, located here.
A HIPAA (Health Insurance Portability and Accountability Act) é uma legislação dos Estados Unidos promulgada em 1996 com o objetivo principal de proteger a privacidade e a segurança das informações de saúde dos indivíduos. A HIPAA estabelece padrões e requisitos rigorosos para a proteção e o uso adequado de informações de saúde, bem como para a transmissão eletrônica dessas informações.
As principais disposições da HIPAA incluem:
- Padrões de Privacidade e Segurança: A HIPAA estabelece padrões para a proteção da privacidade das informações de saúde e requer medidas de segurança para garantir a confidencialidade, integridade e disponibilidade dessas informações.
- Regras de Privacidade: As Regras de Privacidade da HIPAA definem os direitos dos indivíduos em relação às suas informações de saúde e os procedimentos que as organizações de saúde devem seguir para proteger essas informações.
- Regras de Segurança: As Regras de Segurança da HIPAA estabelecem padrões técnicos e administrativos para proteger as informações de saúde eletrônicas contra acesso não autorizado, uso indevido ou divulgação.
- Regras de Notificação de Violação: A HIPAA exige que as organizações de saúde notifiquem os pacientes e as autoridades competentes em caso de violação de dados de saúde que possa comprometer a privacidade ou a segurança das informações.
- Regras de Transações e Código: A HIPAA inclui regras para padronizar as transações eletrônicas de informações de saúde e os códigos utilizados nesses processos, visando facilitar a interoperabilidade e eficiência dos sistemas de saúde.
A HIPAA tem um impacto significativo no setor de saúde dos EUA, afetando provedores de serviços de saúde, planos de saúde, profissionais de saúde, empresas de tecnologia da informação em saúde e outros envolvidos no manuseio de informações de saúde protegidas. O não cumprimento das disposições da HIPAA pode resultar em penalidades financeiras substanciais e outras consequências legais para as organizações.
PCI-PTS significa “Padrão de Segurança de Terminais de Pagamento” (Payment Card Industry — PIN Transaction Security). Este é um conjunto de requisitos de segurança estabelecidos pelo Conselho de Normas de Segurança da Indústria de Pagamento (PCI SSC) para garantir a segurança das transações de pagamento realizadas em terminais de pagamento (como caixas eletrônicos, terminais de ponto de venda, etc.) que processam PINs de cartões de pagamento. O cumprimento dos requisitos do PCI-PTS é crucial para proteger as informações confidenciais dos cartões e evitar fraudes relacionadas a transações financeiras.
ServiceNow has achieved Payment Card Industry-Data Security Standard (PCI-DSS) certification, a set of security standards designed to facilitate the broad adoption of consistent data security measures globally and ensure that all companies that accept, process, store, or transmit credit card information maintain a secure environment.
O PCI PA-DSS significa “Padrão de Segurança de Dados de Aplicativos de Pagamento” (Payment Application Data Security Standard). Este é outro conjunto de requisitos estabelecidos pelo Conselho de Normas de Segurança da Indústria de Pagamento (PCI SSC). O PCI PA-DSS estabelece requisitos de segurança para aplicativos de software que são usados para processar, armazenar ou transmitir dados de cartão de pagamento. O objetivo é garantir que esses aplicativos sejam desenvolvidos e mantidos de maneira segura, a fim de proteger as informações confidenciais dos cartões de pagamento contra roubo, fraude e uso indevido. Organizações que desenvolvem ou fornecem aplicativos de pagamento devem garantir que eles estejam em conformidade com os requisitos do PCI PA-DSS para proteger os dados dos clientes e manter a segurança das transações financeiras.
PCI DSS Compliance
The Payment Card Industry Data Security Standard (PCI DSS) is a set of security standards formed in 2004 by Visa, MasterCard, Discover Financial Services, JCB International and American Express. Governed by the Payment Card Industry Security Standards Council (PCI SSC), the compliance requirements were created to secure credit and debit card transactions against data theft and fraud. This is relevant to ServiceNow as a processor of customer data which may contain credit card data. ServiceNow received this certification in 2023
A CSA STAR (Security, Trust, Assurance, and Risk) é um registro publicamente acessível que documenta os controles de segurança e privacidade oferecidos por populares serviços de computação em nuvem. Essa iniciativa visa avaliar e documentar a postura de segurança e conformidade dos provedores de nuvem, permitindo que organizações demonstrem aos clientes atuais e potenciais sua posição em relação à segurança e conformidade, incluindo as regulamentações, padrões e estruturas às quais aderem. O CSA STAR abrange os princípios-chave de transparência, auditoria rigorosa e harmonização de padrões, conforme delineados na Matriz de Controles em Nuvem (CCM). Além disso, a publicação no registro reduz a complexidade e ajuda a evitar a necessidade de preencher vários questionários de clientes1.
Existem múltiplos níveis de garantia para empresas que se submetem ao registro STAR:
- Nível 1: Autoavaliação
- As organizações podem enviar o Questionário de Iniciativa de Avaliação de Consenso (CAIQ) com base na Matriz de Controles em Nuvem para avaliar e documentar seus controles de segurança.
- Esse nível é adequado para organizações que:
- Operam em um ambiente de baixo risco.
- Desejam oferecer maior transparência sobre os controles de segurança implementados.
- Procuram uma maneira econômica de melhorar a confiança e a transparência.
- As Autoavaliações STAR são atualizadas anualmente e promovem a transparência do setor, fornecendo visibilidade específica das práticas de segurança de cada provedor1.
2. Nível 2: Auditoria Terceirizada
- Além da autoavaliação, as organizações podem optar por uma auditoria terceirizada conduzida por um auditador independente.
- Isso oferece maior confiança e validação externa dos controles de segurança implementados.
- É uma opção para organizações que desejam demonstrar um compromisso mais robusto com a segurança e a conformidade.
3. Nível 3: Monitoramento Contínuo
- Além da autoavaliação e da auditoria terceirizada, as organizações podem adotar um processo de monitoramento contínuo.
- Isso envolve avaliações regulares e atualizações para garantir a conformidade contínua com os padrões e regulamentações.
O CSA STAR é uma ferramenta valiosa para ajudar as organizações a selecionar provedores de serviços em nuvem que tratam os dados com segurança e aderem a padrões rigorosos de segurança e privacidade. Para obter mais informações, você pode visitar o site oficial do CSA STAR
A FIPS 140–2 é um Padrão Federal de Processamento de Informações que especifica os requisitos de segurança a serem atendidos por um módulo criptográfico. Esses módulos são usados para proteger informações por meio de criptografia. A norma FIPS 140–2 define quatro níveis qualitativos crescentes, abrangendo uma ampla variedade de aplicações e ambientes potenciais1. Aqui estão os principais pontos sobre o FIPS 140–2:
Objetivo:
- O FIPS 140–2 estabelece os requisitos de segurança para módulos criptográficos.
- Esses módulos podem ser usados para criptografar dados em repouso ou em trânsito.
Níveis de Segurança:
- O padrão possui quatro níveis de segurança, do menos seguro (Nível 1) ao mais seguro (Nível 4).
- Cada nível impõe requisitos específicos relacionados a projeto, implementação, autenticação, segurança física, gerenciamento de chaves, entre outros.
Áreas Cobertas:
- As áreas abordadas pelo FIPS 140–2 incluem:
- Especificação.
- Portas e interfaces.
- Papéis, serviços e autenticação.
- Modelo de estado finito.
- Segurança física.
- Ambiente operacional.
- Gerenciamento de chaves criptográficas.
- Interferência e compatibilidade eletromagnética (EMI/EMC).
- Testes automáticos.
- Garantia de design.
- Mitigação de outros ataques.
Validação:
- Os módulos criptográficos podem ser submetidos a testes e validação de acordo com o FIPS 140–2.
- A validação é realizada por laboratórios credenciados.
Em resumo, o FIPS 140–2 é uma referência importante para garantir a segurança dos módulos criptográficos usados em sistemas e aplicativos que lidam com informações sensíveis. Se um produto possui certificação FIPS 140–2, isso indica que ele foi formalmente validado pelos governos dos Estados Unidos e do Canadá
ServiceNow Platform Encryption
Cloud Encryption provides volume-based encryption and ensures sensitive data-at rest is always protected in ServiceNow datacenters with FIPS 140–2 Level 3 validated hardware security modules (HSM) and customer-controlled key management capabilities built in accordance with the NIST 800–57 special publication.
A ISO/IEC 27001:2019 é uma norma internacional amplamente reconhecida para sistemas de gestão de segurança da informação (ISMS). Ela estabelece os requisitos que um ISMS deve atender. Empresas de todos os tamanhos e setores podem se beneficiar dessa norma, pois ela oferece orientações para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação.
A conformidade com a ISO/IEC 27001 significa que uma organização implementou um sistema para gerenciar os riscos relacionados à segurança dos dados que ela possui ou manipula. Esse sistema adere às melhores práticas e princípios definidos nessa norma internacional. Com o aumento do cibercrime e as constantes ameaças emergentes, a ISO/IEC 27001 ajuda as organizações a se tornarem conscientes dos riscos e a identificar e abordar proativamente suas vulnerabilidades. Ela promove uma abordagem holística para a segurança da informação, abrangendo pessoas, políticas e tecnologia. Um ISMS implementado de acordo com essa norma é uma ferramenta para gerenciamento de riscos, resiliência cibernética e excelência operacional1.
Os benefícios da ISO/IEC 27001 incluem:
- Resiliência a ataques cibernéticos
- Preparação para novas ameaças
- Integridade, confidencialidade e disponibilidade dos dados
- Segurança em todos os suportes
- Proteção em toda a organização
- Economia de custos
Em resumo, a ISO/IEC 27001 é essencial para proteger dados e prevenir ataques cibernéticos. Se você deseja saber mais detalhes sobre essa norma, pode consultar o documento completo aqui
ISO/IEC 27001:2013
The ISO/IEC 27001:2013 certification specifies security management best practices and controls based on the ISO/IEC 27002 best practice guide. It ensures that our information security management system (ISMS) is fine-tuned to keep pace with changes to security threats, essential in the fast-paced world of IT security.
Re-certification is obtained by audit every three years, inclusive of an annual surveillance audit order to prove that ServiceNow:
- 1. Has designed and implemented a comprehensive ISMS.
- 2. Has adopted a continuous risk management process to ensure that the appropriate information security controls are in place to meet an evolving threat landscape and risks.
- 3. Systematically evaluates information security risks appropriately, taking into account several factors, including the impact of company threats and vulnerabilities.
ServiceNow has been an ISO/IEC 27001 certified organization since 2012 and the certificate is available here.
A ISO/IEC 27017:2015 é um código de conduta desenvolvido para provedores de serviços em nuvem e usuários com o objetivo de criar um ambiente de nuvem mais seguro e reduzir os riscos de problemas de segurança. Essa norma foi publicada pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), sob o subcomitê conjunto ISO e IEC1.
Aqui estão os principais pontos sobre a ISO/IEC 27017:
- Objetivo:
- A ISO/IEC 27017 fornece diretrizes para controles de segurança da informação aplicáveis à provisão e uso de serviços em nuvem.
- Ela se baseia na norma ISO/IEC 27002 e oferece orientações específicas para serviços em nuvem.
- Abrangência:
- Essa norma abrange tanto os provedores de serviços em nuvem quanto os clientes de serviços em nuvem.
- Ela visa garantir que os controles de segurança sejam implementados de maneira adequada e eficaz no contexto da computação em nuvem.
Em resumo, a ISO/IEC 27017 é uma ferramenta valiosa para ajudar as organizações a selecionar controles de segurança de informações de serviços em nuvem e demonstrar seu compromisso com a segurança e a conformidade nesse ambiente23. Para obter mais informações, você pode consultar o documento completo aqui
ISO/IEC 27017:2015
The ISO/IEC 27017:2015 standard is concerned with the implementation of the cloud-specific information security controls specified in ISO/IEC 27002.
The certification is gained by an annual independent audit and ServiceNow has been an ISO/IEC 27017:2015 certified organization since 2018.
O SOC 1 (Controles de Sistema e Organização 1) é um relatório de controle interno que examina os controles de segurança e o ambiente relacionado à elaboração de demonstrações financeiras. Esse relatório é relevante para organizações de serviços e tem como objetivo estabelecer uma comunicação entre os auditores das empresas prestadoras de serviços e seus clientes. Aqui estão os principais pontos sobre o SOC 1:
- Objetivo:
- O SOC 1 avalia os controles internos de uma organização de serviços que impactam a elaboração de demonstrações financeiras de seus clientes.
- Ele visa garantir que os serviços prestados sejam confiáveis e que os dados financeiros estejam protegidos.
- Substituição do SAS 70:
- O SOC 1 substituiu o SAS 70 (Statement on Auditing Standards №70) como padrão para relatórios sobre controles em organizações de serviço.
- É apropriado para entidades de usuário que dependem de serviços terceirizados para suas operações financeiras.
- Tipos de SOC 1:
- Existem dois tipos de SOC 1:
- Tipo 1: Avalia os controles em um ponto específico no tempo.
- Tipo 2: Além de avaliar os controles, também examina sua eficácia ao longo de um período de monitoramento.
Em resumo, o SOC 1 é fundamental para garantir a integridade das demonstrações financeiras e a confiabilidade dos serviços prestados por organizações de serviço.
SSAE 18 SOC 1 and SOC 2 Reports
The Service Organizational Control (SOC) framework is an attestation that ServiceNow meets the required standard regarding having controls in place to protect the confidentiality, integrity and availability of our customers’ data in the cloud.
- - SOC 1 focuses on the effectiveness of internal controls that affect the financial reports of customers
- - SOC 2 evaluates controls that are relevant to availability, integrity, security, confidentiality, or privacy.
ServiceNow is audited by a third party and has maintained its SSAE 18 SOC 1 Type 2 attestation since 2011 (SSAE 18 superseded SSAE 16 in 2017). SSAE 18 is aligned with international standard ISAE3402 and replaced the now-deprecated SAS70.
ServiceNow’s SOC 1 report covering the period October 1 (of the prior calendar year) to September 30 (current calendar year) is available via ServiceNow CORE by the end of each calendar year (December).
The SOC 1 report covering the period April 1 to March 31 is available via ServiceNow CORE by the end of each calendar Q2 (June).
ServiceNow has also undertaken an annual SOC 2 Type 2 attestation since 2013, relevant to security, availability and confidentiality controls listed in the AICPA Trust Services Criteria (TSC).
ServiceNow’s SOC 2 report covers the period October 1 (of the prior calendar year) to September 30 (current calendar year) and is available via ServiceNow CORE by the end of each calendar year (December).
A Bridge Letter is provided between audit periods so that the company is covered for the entire year.
ServiceNow’s SOC 1 bridge letter covering the period October 1 (current calendar year) to December 31 (current calendar year) is available on ServiceNow CORE by the end of each calendar Q1 of next year
The SOC 1 bridge letter covering the period April 1 to June 30 is available via ServiceNow CORE by the end of each calendar Q3.
ServiceNow’s SOC 2 bridge letter covers the period October 1 (current calendar year) to December 31 (current calendar year) and is available on ServiceNow CORE by the end of each calendar Q1 of next year.
RESUMINDO:
Para saber mais sobre como o ServiceNow protege a integridade dos dados dos clientes, visite nossa página de conformidade. Realizamos auditorias regulares para garantir a segurança e a privacidade dos dados. Conformamo-nos continuamente aos mais rigorosos quadros de conformidade, incluindo certificações como:
- ISO/IEC 27001:2013
- ISO/IEC 27017:2015
- ISO/IEC 27018:2019
- ISO/IEC 27701:2019
- SSAE 18 SOC 1 e SOC 2 Reports
- BSI Cloud Computing Compliance Controls Catalog (C5) Standard
- APEC Privacy Recognition for Processors (PRP)
- ISMAP Cloud Service
- EU Cloud CoC
- FedRAMP High P-ATO (para entidades e provedores do governo dos EUA)
- DoD IL4 PA (para o Departamento de Defesa dos EUA e entidades de inteligência)
- DoD IL5 (para a Nuvem de Segurança Nacional)
- Multi-Tier Cloud Security Standard para Cingapura (MTCS) Nível 3
- ASD IRAP avaliado para serviços em nuvem OFICIAIS e PROTEGIDOS pelo Governo do Canadá
- AICPA SOC 2
- TSC + HITRUST CSF
- Certificação UK Cyber Essentials Plus
- PCI DSS Compliance
- Conformidade com o EU DSA
- Estrutura de Privacidade de Dados
- Conformidade com o GDPR
Além disso, nossas aplicações permitem que as organizações atendam aos requisitos setoriais ou regionais específicos. A transparência é fundamental para ganhar confiança, e nossos termos rigorosos e acordos de proteção de dados ditam como processamos informações, incluindo políticas para responder a solicitações governamentais. Somos proativos na monitoração e adaptação de nossos protocolos de segurança às mudanças regulatórias. Nosso compromisso é ajudar nossos clientes a defender-se contra ameaças de segurança, proteger seus dados e cumprir os mandatos globais em constante evolução1
To learn more about how ServiceNow protects the integrity of customer data, please visit our Compliance page.
