Cumplimiento

El cumplimiento normativo es una parte integral de la seguridad de Appian Cloud.

Con la presión cada vez mayor de las regulaciones internacionales, las empresas se enfrentan al reto de encontrar el equilibrio entre el cumplimiento de regulaciones y la innovación competitiva. Appian Cloud facilita todo esto con una seguridad y un programa de cumplimiento normativo completos.

Programa de cumplimiento de Appian Cloud

Cumple con los niveles de calidad locales, regionales e internacionales más estrictos.

Pasa por diversas auditorías de seguridad externas independientes.

Valida que los controles protegen los datos de los clientes.

Proporciona herramientas de gobernanza avanzadas.

La Fuerza Aérea tiene un firme compromiso con la modernización de bajo coste de los sistemas empresariales heredados mediante la implementación de tecnologías en la nube, extensibles y adaptables como las herramientas de gestión de procesos de negocio proporcionadas por socios empresariales como Appian.

- Richard T. Aldridge, Director ejecutivo del Programa de Sistemas Empresariales y miembro del Servicio Ejecutivo de las Fuerzas Aéreas de los Estados Unidos.​

SOC 2

Los informes SOC 2 pretenden cubrir las necesidades de una gran cantidad de usuarios que deben comprender el control interno de una empresa de servicios en su relación con los principios y criterios de los Trust Services, que incluyen principios de confianza sobre seguridad, disponibilidad, confidencialidad y privacidad.​

Un informe Tipo II evalúa la imparcialidad de la presentación de la descripción de la directiva del sistema de una empresa de servicios y la idoneidad del diseño y la efectividad operativa de los controles durante un periodo de tiempo, no solo en un momento determinado.​

El informe SOC 2 Tipo II ofrece una revisión detallada realizada por una empresa de auditoría independiente, de los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud.​

SOC 3

El informe SOC 3 de Appian Cloud está disponible para el público y muestra un resumen del informe SOC 2 de Appian Cloud. El SOC 3 muestra los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud según los principios de auditoría de los Trust Services del AICPA. Esto incluye la opinión externa de un auditor sobre la efectividad del funcionamiento de los controles.​

Leer el informe​

PCI-DSS

​El Payment Card Industry (PCI) Security Standards Council ​ofrece las bases para mejorar la seguridad de los datos de pagos con tarjeta. El PCI Data Security Standard (PCI DSS) ofrece un marco para desarrollar un proceso sólido de seguridad de los datos de pagos con tarjeta, incluyendo la prevención, detección y manejo adecuado de los incidentes de seguridad. Los clientes pueden aprovechar la certificación PCI-DSS de Appian Cloud para simplificar su propio cumplimiento PCI una vez que hayan manifestado su acuerdo con los términos PCI-DSS de Appian Cloud.​

Appian Cloud ha sido evaluada por un auditor externo independiente y cumple el PCI-DSS.​

HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos de 1996 (HIPAA) regula la seguridad y privacidad de la información médica protegida (PHI).​

Appian Cloud cumple con los requisitos de seguridad de la HIPAA. Con este cumplimiento, los clientes pueden procesar y almacenar información médica protegida (PHI) en Appian Cloud tras firmar un Acuerdo de Socios de Negocios.​

FEDRAMP

El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un programa que abarca todo el gobierno estadounidense y proporciona un enfoque estandarizado a la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios de la nube. La conformidad con el FedRAMP quiere decir que un sistema de la nube tiene un entorno establecido y de alta seguridad que ha superado exhaustivas auditorías antes de permitirse la entrada al sistema a agencias federales.​

Appian Cloud cumple con el FedRAMP y ha recibido una autorización para operar (ATO) a nivel Moderado.​

Al cumplir con el FedRAMP, Appian Cloud se considera una solución viable para reducir tiempos y costes de manera significativa, mejorar la gestión de la seguridad y aumentar la transparencia del programa para operaciones federales críticas. Esta autorización puede ser reutilizada por otras agencias federales, en lugar de trabajar con sistemas ajenos a FedRAMP, para ahorrar tiempo y personal.​

​Acceder al paquete de Appian Cloud que cumple con el FedRAMP​

DISA Nivel 2

FedRAMP+ es la adaptación del proceso FedRAMP por parte del Departamento de Defensa (DoD) de los Estados Unidos, en el que aprueban de forma independiente los sistemas basados en la nube que utiliza el DoD.​

En estos momentos, Appian Cloud cuenta con una autorización provisional (PA) del Departamento de Defensa clasificada como Nivel de Impacto 2. Para más información sobre los niveles de impacto de seguridad cloud de DoD, visite el ​ portal de seguridad cloud de DoD.

Los clientes que sean parte del DoD pueden aprovechar esto al evaluar y autorizar a sus sistemas a funcionar en Appian Cloud.​

DISA Nivel 4 (IL4)

Utilizando FedRAMP como base, el Departamento de Defensa de EE.UU. (DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en el Cloud (SRG, Security Requirements Guide). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (DISA).​

Las agencias federales que necesitan aplicaciones low-code que cumplan con los estándares de seguridad más estrictos de IL4, que incluyen información no confidencial controlada (CUI), pueden implementar la plataforma de Appian como servicio gestionado de Smartronix.•• En IL4, una aplicación de Appian puede utilizarse para gestionar y almacenar información, incluyendo controles de exportación, información sobre privacidad (incluyendo información personalmente identificable o PII) e información médica protegida (PHI).​

Para más información sobre los niveles de impacto de seguridad cloud de DoD, visite el​ portal de seguridad cloud de DoD.

FISMA

La Ley Federal de Seguridad de la Información (FISMA), promulgada en 2002 y modificada en 2014, ofrece un completo marco para asegurar la efectividad de los controles de seguridad de la información de los sistemas informáticos del gobierno federal de los Estados Unidos. La Oficina de Administración y Presupuesto (OMB), el Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Instituto Nacional de Normas y Tecnología (NIST) han habilitado un programa para fijar estándares y supervisar su cumplimiento.​

Appian Cloud tiene un marco de seguridad con una estructura de control de seguridad sólida que permite a agencias federales conseguir sus autorizaciones para operar (ATO).

GxP

Las empresas farmacéuticas y de productos sanitarios están obligadas por ​ley a cumplir con la Norma de Validación y Buenas Prácticas (GxP) cuando creen sistemas que gestionen o den de alta ciertos datos. Esto incluye los registros y procesos asociados a ensayos clínicos, pruebas de laboratorio, controles de calidad, gestión de la información legislativa, fabricación y archivos sanitarios electrónicos.

Appian Cloud ha superado una evaluación independiente de expertos del sector de las ciencias biológicas para examinar los controles de Appian Cloud y su alineamiento con los requisitos y estándares del sistema de validación informática del GxP.

Los clientes pueden aprovechar este informe para complementar y apoyar sus iniciativas de regulación y diligencia en torno al GxP.​

FDA

La Food and Drug Administration (FDA) introdujo el ​artículo 11 del título 21 del CFR​ como requisito para las empresas farmacéuticas y de investigación biológica que mantienen los registros y firmas requeridos por la FDA en formato electrónico, a fin de cumplir con estándares específicos y con buenas prácticas en investigación clínica y de laboratorio y en la fabricación. Los principales objetivos de esta regulación son: asegurar la integridad de los datos; que los cambios en el sistema estén documentados y razonados y no sean rechazados; que los sistemas informáticos empleados sean de confianza; y que las aplicaciones estén validadas para el uso que se pretende darles.​

Appian Cloud ofrece las funciones y la tecnología necesarias para permitir a los clientes crear aplicaciones que cumplan con la norma 11 del título 21 del CFR.​

DfT Id templates

UK G-Cloud

G-Cloud 10 es un espacio de comercio digital que permite al sector público del Reino Unido localizar la tecnología y el equipo humano para sus proyectos gubernamentales. El G-Cloud Framework lo lleva a cabo gracias al Crown Comercial Service (CCS), que está centrado en facilitar los servicios comerciales del sector público y ahorrar dinero de los contribuyentes. Para ello, combinan legislaciones, ofrecen asesoramiento, verificación de ofertas de calidad y permiten realizar compras.​

El Crown Commercial Service (CCS) funciona a través de departamentos y organizaciones de todo el sector público para asegurar que se saca el máximo partido de todas las operaciones comerciales y se mejora la calidad de la oferta de servicios.​

Appian Cloud cumple con el G-Cloud Framework. Puede consultar la certificación G-Cloud de Appian Cloud para el comercio digital de Reino Unido en gov.uk​

508 / VPAT

La sección 508 de la Ley de Rehabilitación de 1973 requiere que las tecnologías electrónicas y de la información de las agencias federales sean accesibles para las personas con discapacidades.

La Voluntary Product Accessibility Template (VPAT) es una herramienta empleada para documentar la conformidad de un producto con los estándares de accesibilidad de la sección 508 de la Ley de Rehabilitación.​

Appian ha completado la VPAT y su producto cumple con la sección 508.​

Más información​

SOC 1 / ISAE 3402

Los informes SOC, (Service Organization Controls, anteriormente informes SAS 70) están diseñados para ayudar a los operadores y proveedores de sistemas de información a generar confianza en sus procesos y controles de servicio.​

Appian publica un ​informe SOC 1 Tipo II​ y un informe International Standards for Assurance Engagements (ISAE) 3402. Esta auditoría, realizada por un auditor público certificado, analiza los controles internos de una empresa de servicios durante un periodo de tiempo que podría influir sobre los informes financieros de un cliente de la empresa proveedora del servicio. Estos informes a menudo forman parte de las evaluaciones del cliente para sus controles internos de análisis financiero, a fin de responder a las necesidades de auditorías de cuentas y cumplimiento de regulaciones.​

Un informe Tipo II incluye una opinión sobre la imparcialidad de la presentación de la descripción de la directiva del sistema de la empresa de servicios, la idoneidad del diseño y efectividad operativa de los controles para lograr los objetivos de control relacionados incluidos en la descripción a lo largo de un período específico, no sólo en un momento determinado.​

Cloud Security Alliance

El programa Security, Trust and Assurance Registry (STAR) de la Cloud Security Alliance (CSA) facilita un completo marco para la confianza y seguridad en los proveedores de cloud. El programa STAR de la CSA es un registro públicamente accesible, diseñado para reconocer los requisitos de seguridad y niveles de madurez variables de proveedores y consumidores, y es empleado por consumidores, proveedores, industrias y gobiernos de todo el mundo. El programa STAR permite a los proveedores de cloud evaluar sus controles con la Cloud Controls Matrix (matriz de controles cloud) de la CSA.​

Appian Cloud está registrado en el Security, Trust and Assurance Registry de la CSA y ha completado el Consensus Assesments Iniciative Questionnarie (CAIQ) que incluye 133 controles en 16 dominios.

Ver la presentación de Appian Cloud para STAR​

Qualys SSL Labs

Qualys SSL Labs de Qualys ofrece análisis profundos de la configuración de seguridad de los servidores web de internet, especialmente la configuración SSL/​TLS. El nivel web de Appian Cloud ha sido clasificado como A+ por SSL Labs.​

Health Information Trust Alliance (HITRUST)

Las empresas confían en la dirección normativa del Marco de Seguridad Común (CSF, Common Security Framework) de Health Information Trust Alliance (HITRUST) para gestionar los requisitos de seguridad inherentes a la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act).​

Para proteger la información altamente privada, las empresas sanitarias (incluyendo aseguradoras médicas, hospitales, consultas médicas y proveedores de SaaS) necesitan una infraestructura certificada como HITRUST CSF.​

HITRUST CSF utiliza estándares aceptados a nivel internacional, como ISO, NIST, PCI e HIPAA, para garantizar un completo conjunto de controles de seguridad básicos.​

ISO/IEC 27001:2013

Como estándar internacional de seguridad de información y de gestión de riesgos, el ISO/​IEC 27001:2013 protege a las empresas de todas las industrias y sectores a nivel global.​

El estándar ISO 27001:2013 requiere a las empresas la implementación de un sistema de gestión de la seguridad de la información adecuado que garantice que los controles de gestión, operacionales y de seguridad técnica funcionan correctamente.​

Al certificarse en ISO 27001:2013, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de ofrecer la seguridad más robusta posible, Appian ha implementado controles para gestionar o eliminar riesgos de seguridad, lo que permite a sus clientes confiar en que sus datos confidenciales están protegidos.​

ISO 27017:2015

La norma ISO 27017:2015 establece requisitos de control adicionales específicamente para los proveedores de servicios en la nube, incluida la gestión de la infraestructura en la nube.

Al obtener la certificación ISO 27017:2015, Appian Cloud demuestra que ha alcanzado un alto nivel de madurez en materia de seguridad. Con el objetivo de proporcionar la seguridad más sólida posible, Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que sus datos están protegidos.Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente.

ISO 27018:2019

La norma ISO 27018:2019 proporciona requisitos adicionales para la seguridad y la gestión eficaces de la información personal identificable (PII) dentro de los entornos de la nube.

Al obtener la certificación ISO 27018:202019, Appian Cloud demuestra que ha alcanzado un alto nivel de seguridad y madurez en la protección de la información personal. Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que su información personal identificable está protegida.Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente.