El cumplimiento normativo es una parte integral de la seguridad de Appian Cloud.
Con la presión cada vez mayor de las regulaciones internacionales, las empresas se enfrentan al reto de encontrar el equilibrio entre el cumplimiento de regulaciones y la innovación competitiva. Appian Cloud facilita todo esto con una seguridad y un programa de cumplimiento normativo completos.
Programa de cumplimiento de Appian Cloud
La Fuerza Aérea tiene un firme compromiso con la modernización de bajo coste de los sistemas empresariales heredados mediante la implementación de tecnologías en la nube, extensibles y adaptables como las herramientas de gestión de procesos de negocio proporcionadas por socios empresariales como Appian.
SOC 1/ISAE 3402
Los informes de control de organización de servicios (SOC, Service Organization Control), conocidos anteriormente como informes SAS 70, están diseñados para ayudar a los operadores y proveedores de sistemas de información a generar confianza en sus procesos y controles de servicio.
Appian publica un informe SOC 1 Tipo II y un informe International Standards for Assurance Engagements (ISAE) 3402. Esta auditoría, realizada por un auditor público certificado, analiza los controles internos de una empresa de servicios durante un periodo de tiempo que podría influir sobre los informes financieros de un cliente de la empresa proveedora del servicio. A menudo, estos informes son una parte importante de las evaluaciones del cliente de sus propios controles internos de informes financieros, a fin de responder a las necesidades de auditorías de estado financiero y regulación de los consumidores.
Un informe Tipo II incluye una opinión sobre la imparcialidad de la presentación de la descripción de la dirección del sistema de la organización de servicio, la idoneidad del diseño y efectividad operativa de los mecanismos para lograr los objetivos de control relacionados incluidos en la descripción a lo largo de un período específico, en el mismo lugar y momento.
SOC 2
Los informes SOC 2 pretenden cubrir las necesidades de una gran cantidad de usuarios que deben comprender el control interno de una empresa de servicios en su relación con los principios y criterios de los Trust Services, que incluyen principios de confianza sobre seguridad, disponibilidad, confidencialidad y privacidad.
Un informe Tipo II evalúa la imparcialidad de la presentación de la descripción de la directiva del sistema de la empresa y la adecuación del diseño y la efectividad operativa de los controles durante un periodo determinado, no solo durante un momento concreto.
El informe SOC 2 Tipo II ofrece una revisión detallada realizada por una empresa de auditoría independiente, de los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud.
SOC 3
El informe SOC 3 de Appian Cloud está disponible para el público y muestra un resumen del informe SOC 2 de Appian Cloud. El SOC 3 muestra los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud según los principios de auditoría de los Trust Services del AICPA. Esto incluye la opinión externa de un auditor sobre la efectividad del funcionamiento de los controles.
Leer el informe
PCI-DSS
El Payment Card Industry (PCI) Security Standards Council ofrece estándares de mejora de la seguridad de los datos al utilizar tarjetas como medio de pago. El PCI Data Security Standard (PCI DSS) ofrece un marco para desarrollar un proceso sólido de seguridad de los datos de pagos con tarjeta, incluyendo la prevención, detección y manejo adecuado de los incidentes de seguridad. Los clientes pueden aprovechar la certificación PCI-DSS de Appian Cloud para simplificar su propio cumplimiento PCI una vez que hayan manifestado su acuerdo con los términos PCI-DSS de Appian Cloud.
Appian Cloud ha sido evaluada por un auditor externo independiente y cumple el PCI-DSS.
HIPAA
La Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos de 1996 (HIPAA) regula la seguridad y privacidad de la información médica protegida (PHI).
Appian Cloud cumple con los requisitos de seguridad de la HIPAA. Con este cumplimiento, los clientes pueden procesar y almacenar información médica protegida (PHI) en Appian Cloud tras firmar un Acuerdo de Socios de Negocios.
FEDRAMP
El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un programa que abarca todo el gobierno estadounidense y proporciona un enfoque estandarizado a la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios de la nube. La conformidad con el FedRAMP quiere decir que un sistema de la nube tiene un entorno establecido y de alta seguridad que ha superado auditorías exhaustivas antes de permitirse la entrada al sistema a agencias federales.
Appian Cloud cumple con FedRAMP y ha obtenido una autorización para operar (ATO - Agency Authorization to Operate) a nivel Moderado.
Al cumplir con el FedRAMP, Appian Cloud se considera una solución viable para reducir tiempos y costes de manera significativa, mejorar la gestión de la seguridad y aumentar la transparencia del programa para operaciones federales críticas. Esta autorización puede ser reutilizada por otras agencias federales, en lugar de trabajar con sistemas ajenos a FedRAMP, para ahorrar tiempo y personal.
Acceda al paquete de Appian Cloud que cumple con el FedRAMP
Nivel de impacto 2 (IL2) de la Agencia de Sistemas de Información de Defensa (DISA)
Utilizando FedRAMP como base, el Departamento de Defensa de EE. UU. (DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en el Cloud (SRG, Security Requirements Guide). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (DISA).
Appian cuenta con Autorización Provisional (PA) para las implantaciones de IL2 en Appian Government Cloud.
Para más información sobre los niveles de impacto de seguridad cloud del DoD, visite el portal de seguridad cloud del DoD.
Nivel de impacto 4 (IL4) de la Agencia de Sistemas de Información de Defensa (DISA)
Utilizando FedRAMP como base, el Departamento de Defensa de EE. UU. (DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en el Cloud (SRG, Security Requirements Guide). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (DISA).
Appian cuenta con Autorización Provisional (PA) para las implantaciones de IL4 en Appian Government Cloud.
Para más información sobre los niveles de impacto de seguridad cloud del DoD, visite el portal de seguridad cloud del DoD.
Nivel de impacto 5 (IL5) de la Agencia de Sistemas de Información de Defensa (DISA)
Utilizando FedRAMP como base, el Departamento de Defensa de EE. UU. (DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en el Cloud (SRG, Security Requirements Guide). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (DISA).
Appian cuenta con Autorización Provisional (PA) para las implantaciones de IL5 en Appian Government Cloud.
Para más información sobre los niveles de impacto de seguridad cloud del DoD, visite el portal de seguridad cloud del DoD.
FISMA
La Ley Federal de Seguridad de la Información (FISMA), promulgada en 2002 y modificada en 2014, ofrece un completo marco para asegurar la efectividad de los controles de seguridad de la información de los sistemas informáticos del gobierno federal de los Estados Unidos. La Oficina de Administración y Presupuesto (OMB), el Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Instituto Nacional de Normas y Tecnología (NIST) han habilitado un programa para fijar estándares y supervisar su cumplimiento.
Appian Cloud tiene un marco de seguridad con una estructura de control de seguridad sólida que permite a agencias federales conseguir sus autorizaciones para operar (ATO).
Buenas prácticas
Las empresas farmacéuticas y de productos biológicos están obligadas por ley a cumplir con los Validation and Good Practice Standards (GxP) al crear sistemas que toquen o impliquen ciertos registros. Esto incluye los registros y procesos asociados a ensayos clínicos, pruebas de laboratorio, controles de calidad, gestión de la información legislativa, fabricación y archivos sanitarios electrónicos.
Appian Cloud ha superado una evaluación independiente de expertos del sector de las ciencias biológicas para examinar los controles de Appian Cloud y su alineamiento con los requisitos y estándares del sistema de validación informática del GxP.
Los clientes pueden aprovechar este informe para complementar y apoyar sus iniciativas de regulación y diligencia en torno al GxP.
FDA
La Food and Drug Administration (FDA) introdujo el artículo 11 del título 21 del CFR como requisito para las empresas farmacéuticas y de investigación biológica que mantienen los registros y firmas requeridos por la FDA en formato electrónico, a fin de cumplir con estándares específicos y con buenas prácticas en investigación clínica y de laboratorio y en la fabricación. Los principales objetivos de esta regulación son: asegurar la integridad de los datos; que los cambios en el sistema estén documentados y razonados y no sean rechazados; que los sistemas informáticos empleados sean de confianza; y que las aplicaciones estén validadas para el uso que se pretende darles.
Appian Cloud ofrece las funciones y la tecnología necesarias para permitir a los clientes crear aplicaciones que cumplan con la norma 11 del título 21 del CFR.
G-Cloud (Reino Unido)
G-Cloud 13 es un marketplace digital que permite al sector público del Reino Unido localizar la tecnología y el equipo humano para sus proyectos gubernamentales. El G-Cloud Framework lo lleva a cabo gracias al Crown Comercial Service (CCS), que está centrado en facilitar los servicios comerciales del sector público y ahorrar dinero de los contribuyentes. Para ello, combinan legislaciones, ofrecen asesoramiento, verificación de ofertas de calidad y permiten realizar compras.
El Crown Commercial Service (CCS) funciona a través de departamentos y organizaciones de todo el sector público para asegurar que se saca el máximo partido de todas las operaciones comerciales y se mejora la calidad de la oferta de servicios.
Appian Cloud cumple con el G-Cloud Framework. Puede consultar la certificación G-Cloud de Appian Cloud para el marketplace digital del Reino Unido en gov.uk
508/VPAT
La sección 508 de la Ley de Rehabilitación de 1973 requiere que las tecnologías electrónicas y de la información de las agencias federales sean accesibles para las personas con discapacidades.
La Voluntary Product Accessibility Template (VPAT) es una herramienta empleada para documentar la conformidad de un producto con los estándares de accesibilidad de la sección 508 de la Ley de Rehabilitación.
Appian ha completado la VPAT y su producto cumple con la sección 508.
Más información
Cloud Security Alliance
El programa Security, Trust and Assurance Registry (STAR) de la Cloud Security Alliance (CSA) facilita un marco de trabajo completo para la confianza y seguridad en los proveedores de cloud. El programa STAR de la CSA es un registro públicamente accesible, diseñado para reconocer los requisitos de seguridad y niveles de madurez variables de proveedores y consumidores, y es empleado por consumidores, proveedores, industrias y gobiernos de todo el mundo. El programa STAR permite a los proveedores de cloud evaluar sus controles con la Cloud Controls Matrix (matriz de controles cloud) de la CSA.
Appian Cloud está registrado en el Security, Trust and Assurance Registry de la CSA y ha completado el Consensus Assesments Initiative Questionnaire (CAIQ) que incluye 133 controles en 16 dominios.
Ver la presentación de Appian Cloud para STAR
SSL Labs de Qualys
SSL Labs de Qualys ofrece análisis en profundidad de la configuración de seguridad de los servidores web de internet, especialmente de la configuración SSL/TLS. El nivel web de Appian Cloud ha sido clasificado como A+ por SSL Labs.
Health Information Trust Alliance (HITRUST)
Las empresas confían en la dirección normativa del Marco de Seguridad Común (CSF, Common Security Framework) de Health Information Trust Alliance (HITRUST) para gestionar los requisitos de seguridad inherentes a la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act).
Para proteger la información altamente privada, las empresas sanitarias (incluyendo aseguradoras médicas, hospitales, consultas médicas y proveedores de SaaS) necesitan una infraestructura certificada como HITRUST CSF.
HITRUST CSF utiliza estándares aceptados a nivel internacional, como ISO, NIST, PCI e HIPAA, para garantizar un conjunto completo de controles de seguridad básicos.
ISO/IEC 27001:2013
Como estándar internacional de seguridad de información y de gestión de riesgos, el ISO/IEC 27001:2013 protege a las empresas de todas las industrias y sectores a nivel global.
El estándar ISO 27001:2013 requiere a las empresas la implementación de un sistema de gestión de la seguridad de la información adecuado que garantice que los controles de gestión, operacionales y de seguridad técnica funcionan correctamente.
Al certificarse en ISO 27001:2013, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de ofrecer la seguridad más robusta posible, Appian ha implementado controles para gestionar o eliminar riesgos de seguridad, permitiendo a sus clientes confiar en que sus datos confidenciales están protegidos.
ISO 27017:2015
La norma ISO 27017:2015 establece requisitos de control adicionales específicamente para los proveedores de servicios en el Cloud, incluida la gestión de la infraestructura en el Cloud.
Al certificarse en ISO 27017:2015, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de proporcionar la seguridad más sólida posible, Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que sus datos están protegidos. Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente
ISO 27018:2019
La norma ISO 27018:2019 proporciona requisitos adicionales para la seguridad y la gestión eficaz de la información personal identificable (PII) dentro de los entornos de Cloud.
Al certificarse en ISO 27018:202019, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad y protección PII. Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que su información personal identificable está protegida. Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente.
ISO 9001:2015
ISO 9001:2015 es una norma internacional de gestión de la calidad que ayuda a garantizar que los clientes reciben productos y servicios de calidad constante.
La norma ISO 9001:2015 exige que las organizaciones implanten un Sistema de gestión de la calidad (QMS) adecuado, que garantice la orientación al cliente, la motivación e implicación de la alta dirección, el enfoque por procesos y la mejora continua.
Al certificarse en ISO 9001:2018, Appian Engineering demuestra haber alcanzado un alto nivel de madurez en cuanto a calidad. Con un compromiso con la satisfacción del cliente y la calidad, Appian ha puesto en marcha procesos para garantizar que los clientes obtengan productos y servicios coherentes y de buena calidad.
Cyber Essentials
El programa Cyber Essentials del Centro Nacional de Ciberseguridad del Reino Unido ha sido diseñado para procurar que las organizaciones se protejan contra las ciberamenazas más habituales y muestren su compromiso con la ciberseguridad, con el respaldo del Gobierno británico. Appian Cloud ha conseguido la certificación Cyber Essentials. Para más información sobre esta certificación, consulte ncsc.gov.uk/cyberessentials
Cyber Essentials Plus
La certificación Cyber Essentials Plus está respaldada por el Centro Nacional de Ciberseguridad del Reino Unido para ayudar a las organizaciones a demostrar su seguridad operativa frente a los ciberataques más comunes. Verifica los niveles de seguridad de empresas y organismos públicos. Appian Cloud ha obtenido las certificaciones Cyber Essentials y Cyber Essentials Plus. Para más información, consulte ncsc.gov.uk/cyberessentials.
Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad (ENS) es el marco de seguridad nacional de España relativo a la legislación vigente sobre seguridad de la información. Appian Cloud ha conseguido la certificación ENS. Para más información sobre esta certificación, consulte ens.ccn.cni.es/en/
StateRAMP
StateRAMP es un programa de Estados Unidos para los estados que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. La conformidad con el StateRAMP quiere decir que un sistema de la nube tiene un entorno establecido y de alta seguridad que ha superado auditorías exhaustivas antes de permitirse la entrada al sistema a los estados.
Appian Cloud cumple con StateRAMP y ha obtenido una autorización a nivel Moderado.
Al cumplir con el StateRAMP, Appian Cloud se considera una solución viable para reducir tiempos y costes de manera significativa, mejorar la gestión de la seguridad y aumentar la transparencia del programa para operaciones estatales críticas. Esta autorización puede ser reutilizada por los estados en lugar de trabajar con sistemas ajenos a StateRAMP, para ahorrar tiempo y personal.
Consulte https://stateramp.org/about-us/
Protegido B de Canadá
El nivel de seguridad B protegido de la información y los activos gubernamentales sensibles del Gobierno de Canadá (GC) se aplica a la información o los activos que, en caso de verse comprometidos, podrían causar daños graves a una persona, organización o gobierno. Basado en la Guía de seguridad de las tecnologías de la información (ITSG) 33 sobre gestión de riesgos de seguridad informática publicada por el Centro Canadiense de Ciberseguridad (CCCS), GC desarrolló la Orientación sobre la categorización de seguridad de los servicios basados en la nube (ITSP.50.103) y el Perfil de control de seguridad del Gobierno de Canadá para servicios de CG basados en la nube (GC Security Control Profile), que identifica los controles de seguridad de base aplicables al tratamiento de la información que tiene una categoría de seguridad B protegida, integridad media y disponibilidad media (PBMM).
