El cumplimiento normativo es una parte integral de la seguridad de Appian Cloud.

Con la presión cada vez mayor de las regulaciones internacionales, las empresas se enfrentan al reto de encontrar el equilibrio entre el cumplimiento de regulaciones y la innovación competitiva. Appian Cloud facilita todo esto con una seguridad y un programa de cumplimiento normativo completos.

Programa de cumplimiento de Appian Cloud

Cumple con los niveles de calidad locales, regionales e internacionales más estrictos.

Se somete a diversas auditorías de seguridad externas independientes.

Valida que los controles protejan los datos de los clientes.

Proporciona herramientas de gobernanza avanzadas.

La Fuerza Aérea tiene el firme compromiso de la modernización de los sistemas empresariales heredados de manera económica, mediante la implementación de tecnologías en la nube, extensibles y adaptables como las herramientas de gestión de procesos empresariales proporcionadas por socios empresariales como Appian.

Richard T. Aldridge
Director ejecutivo de programa en Sistemas Empresariales y miembro del Servicio Ejecutivo de la Fuerza Aérea de los Estados Unidos.

SOC 2

Los informes SOC 2 pretenden cubrir las necesidades de una gran cantidad de usuarios que deben comprender el control interno de una empresa de servicios en su relación con los principios y criterios de los “Trust Services”, que incluyen principios de confianza sobre seguridad, disponibilidad, integridad del proceso, confidencialidad y privacidad.

Un informe Tipo II evalúa la imparcialidad de la presentación de la descripción de la directiva del sistema de la empresa y la adecuación del diseño y la efectividad operativa de los controles durante un periodo determinado, no solo durante un momento concreto.

El informe SOC 2 Tipo II ofrece una revisión detallada realizada por una empresa de auditoría independiente, de los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud.

SOC 3

El informe SOC 3 de Appian Cloud está disponible para el público y muestra un resumen del informe SOC 2 de Appian Cloud. El SOC 3 muestra los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud según los principios de auditoría de los “Trust Services” del AICPA. Esto incluye la opinión de un auditor externo sobre la efectividad del funcionamiento de los controles.

Leer el informe

PCI-DSS

El Consejo de Normas de Seguridad de La Industria de Tarjetas de Pago (Payment Card Industry, PCI) ofrece las bases para mejorar la seguridad de los datos de pagos con tarjeta. El PCI Data Security Standard (PCI DSS) ofrece un marco para desarrollar un proceso sólido de seguridad de los datos de pagos con tarjeta, incluyendo la prevención, detección y manejo adecuado de los incidentes de seguridad. Los clientes pueden aprovechar la certificación PCI-DSS de Appian Cloud para simplificar la complejidad de su propio cumplimiento PCI, una vez que hayan manifestado su acuerdo con los términos PCI-DSS de Appian Cloud.

Appian Cloud ha sido evaluada por un auditor externo independiente y cumple el PCI-DSS.

HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act, HIPAA) de los Estados Unidos de 1996 regula la seguridad y privacidad de la información médica protegida (Protected Health Information, PHI).

Appian Cloud cumple con los requisitos de seguridad de la HIPAA. Con este cumplimiento, los clientes pueden procesar y almacenar PHI en Appian Cloud tras firmar un Acuerdo de Socios de Negocios.

FEDRAMP

El Programa Federal de Administración de Riesgos y Autorizaciones (Federal Risk and Authorization Management Program, FedRAMP) es un programa que abarca todo el gobierno estadounidense y proporciona un enfoque estandarizado a la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. La conformidad con el FedRAMP quiere decir que un sistema en la nube tiene un entorno establecido y de alta seguridad que ha superado auditorías exhaustivas antes de permitirse la entrada al sistema a agencias federales.

Appian Cloud cumple con el FedRAMP y ha recibido una autorización de agencia para operar (Authorization to Operate, ATO) a nivel Moderado.

Al cumplir con el FedRAMP, Appian Cloud se considera una solución viable para reducir tiempos y costes de manera significativa, mejorar la gestión de la seguridad y aumentar la transparencia del programa para operaciones federales críticas. Esta autorización puede ser reutilizada por otras agencias federales, en lugar de trabajar con sistemas ajenos a FedRAMP, para ahorrar tiempo y personal.

Acceda al paquete de Appian Cloud que cumple con el FedRAMP

Nivel de impacto DISA 2 (IL2)

Mediante la utilización de FedRAMP como base, el Departamento de Defensa de EE. UU. (Department of Defense, DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en la Nube (Security Requirements Guide, SRG). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (Defense Information Systems Agency, DISA).

Appian cuenta con autorización provisional (Provisional Authorization, PA) para implementaciones de IL2 en Appian Government Cloud.

Para más información sobre los niveles de impacto de seguridad en la nube de DoD, visite el portal de seguridad en la nube de DoD.

Nivel de impacto DISA 4 (IL4)

Mediante la utilización de FedRAMP como base, el DoD de EE. UU. ha definido requisitos adicionales en su SRG. El programa de autorización está gestionado por la DISA.

Appian cuenta con PA para implementaciones de IL4 en Appian Government Cloud.

Para más información sobre los niveles de impacto de seguridad en la nube de DoD, visite el portal de seguridad en la nube de DoD.

Nivel de impacto DISA 5 (IL5)

Mediante la utilización de FedRAMP como base, el DoD de EE. UU. ha definido requisitos adicionales en su SRG. El programa de autorización está gestionado por la DISA.

Appian ha recibido la PA para implementaciones de IL5 en Appian Government Cloud.

Para más información sobre los niveles de impacto de seguridad en la nube de DoD, visite el portal de seguridad in la nube de DoD.

FISMA

La Ley Federal de Seguridad de la Información (Federal Information Security Management Act, FISMA), promulgada en 2002 y modificada en 2014, ofrece un completo marco para asegurar la efectividad de los controles de seguridad de la información de los sistemas informáticos del gobierno federal de los Estados Unidos. La Oficina de Administración y Presupuesto (Office of Management and Budget, OMB), el Departamento de Seguridad Nacional de los Estados Unidos (Department of Homeland Security, DHS) y el Instituto Nacional de Normas y Tecnología (National Institute of Standards and Technology, NIST) han habilitado un programa para fijar estándares y supervisar su cumplimiento.

Appian Cloud tiene un marco de seguridad con una estructura de control de seguridad sólida que permite a agencias federales conseguir sus autorizaciones para operar (Authorization to Operate, ATO).

Buenas prácticas

Las empresas farmacéuticas y de productos biológicos están obligadas por ley a cumplir con los Estándares de validación y buenas prácticas (Good Practice, GxP) al crear sistemas que toquen o impliquen ciertos registros. Esto incluye los registros y procesos asociados a ensayos clínicos, pruebas de laboratorio, controles de calidad, gestión de la información legislativa, fabricación y archivos sanitarios electrónicos.

Appian Cloud ha superado una evaluación independiente de expertos del sector de las ciencias biológicas para examinar los controles de Appian Cloud y su alineamiento con los requisitos y estándares de validación del sistema informático de las GxP.

Los clientes pueden aprovechar este informe para complementar y apoyar sus iniciativas de cumplimiento y diligencia en torno a las GxP.

FDA

La Administración de Alimentos y Medicamentos (Food and Drug Administration, FDA) introdujo el artículo 11 del título 21 del CFR como requisito para las empresas farmacéuticas y de investigación biológica que mantienen los registros y firmas requeridos por la FDA en formato electrónico, a fin de cumplir con estándares específicos y con buenas prácticas en investigación clínica y de laboratorio y en la fabricación. Los principales objetivos de esta regulación son: asegurar la integridad de los datos; que los cambios en el sistema estén documentados y razonados y no sean rechazados; que los sistemas informáticos empleados sean de confianza; y que las aplicaciones estén validadas para el uso que se pretende darles.

Appian Cloud ofrece las funciones y la tecnología necesarias para permitir a los clientes crear aplicaciones que cumplan con el artículo 11 del título 21 del CFR.

DfT Id templates

G-Cloud (Reino Unido)

G-Cloud 10 es un espacio de comercio digital que permite al sector público del Reino Unido localizar el equipo humano y la tecnología para sus proyectos gubernamentales. El G-Cloud Framework lo lleva a cabo gracias al Crown Comercial Service (CCS), que está centrado en facilitar los servicios comerciales al sector público y ahorrar dinero de los contribuyentes. Para ello, combinan legislaciones, ofrecen asesoramiento, verificación de ofertas de calidad y permiten realizar compras.

El CCS funciona a través de departamentos y organizaciones de todo el sector público para asegurar que se saca el máximo partido de todas las operaciones comerciales y se mejora la calidad de la oferta de servicios.

Appian Cloud cumple con el G-Cloud Framework. Puede consultar la  certificación G-Cloud de Appian Cloud para el comercio digital de Reino Unido en gov.uk.

508/VPAT

La sección 508 de la Ley de Rehabilitación de 1973 requiere que las tecnologías electrónicas y de la información de las agencias federales sean accesibles para las personas con discapacidades.

Voluntary Product Accessibility Template (VPAT) es una herramienta empleada para documentar la conformidad de un producto con los estándares de accesibilidad de la sección 508 de la Ley de Rehabilitación.

Appian ha completado la VPAT y su producto cumple con la sección 508.

SOC 1/ISAE 3402

Los informes de controles de la organización de servicios (Service Organization Controls, SOC), anteriormente informes SAS 70, están diseñados para ayudar a los operadores y proveedores de sistemas de información a generar confianza en sus procesos y controles de servicio.

Appian publica un informe SOC 1 Tipo II y un informe International Standards for Assurance Engagements (ISAE) 3402. Esta auditoría, realizada por un auditor público certificado, analiza los controles internos de una empresa de servicios durante un periodo de tiempo que podría influir sobre los informes financieros de un cliente de la empresa proveedora del servicio. A menudo, estos informes son una parte importante de las evaluaciones del cliente de sus propios controles internos de informes financieros, a fin de responder a las necesidades de auditorías de estado financiero y cumplimiento de los consumidores.

Un informe Tipo II incluye una opinión sobre la imparcialidad de la presentación de la descripción de la dirección del sistema de la organización de servicio, la idoneidad del diseño y efectividad operativa de los mecanismos para lograr los objetivos de control relacionados incluidos en la descripción a lo largo de un período específico, en el mismo lugar y momento.

Cloud Security Alliance

El programa Security, Trust and Assurance Registry (STAR) de Cloud Security Alliance (CSA) facilita un marco completo para la confianza y seguridad en los proveedores de la nube. El programa STAR de CSA es un registro públicamente accesible, diseñado para reconocer los requisitos de seguridad y niveles de madurez variables de proveedores y consumidores, y es empleado por consumidores, proveedores, industrias y gobiernos de todo el mundo. El programa STAR permite a los proveedores de la nube evaluar sus controles con la matriz de controles cloud de CSA.

Appian Cloud está registrado en el programa STAR de CSA y ha completado el Cuestionario sobre la Iniciativa de Evaluaciones de Consenso (Consensus Assesments Iniciative Questionnarie, CAIQ) que incluye 133 controles en 16 dominios.

Ver la presentación de Appian Cloud para STAR

SSL Labs de Qualys

SSL Labs de Qualys ofrece análisis profundos de la configuración de seguridad de los servidores web de internet, especialmente de la configuración SSL/TLS. El nivel web de Appian Cloud ha sido clasificado como A+ por SSL Labs.

Health Information Trust Alliance (HITRUST)

Las empresas confían en la dirección normativa del Marco de Seguridad Común (Common Security Framework, CSF) de Health Information Trust Alliance (HITRUST) para gestionar los requisitos de seguridad inherentes a la HIPAA.

Para proteger la información altamente privada, las empresas sanitarias (incluyendo aseguradoras médicas, hospitales, consultas médicas y proveedores de SaaS) necesitan un CSF como HITRUST CSF.

HITRUST CSF utiliza estándares aceptados a nivel nacional e internacional, como ISO, NIST, PCI e HIPAA, para garantizar un conjunto completo de controles de seguridad básicos.

ISO/IEC 27001:2013

Como estándar internacional de seguridad de información y de gestión de riesgos, el ISO/IEC 27001:2013 protege a las empresas de todas las industrias y sectores a nivel global.

El estándar ISO 27001:2013 requiere a las empresas la implementación de un sistema de gestión de la seguridad de la información adecuado que garantice que los controles de gestión, operacionales y de seguridad técnica funcionan correctamente.

Al certificarse en ISO 27001:2013, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de ofrecer la seguridad más robusta posible, Appian ha implementado controles para gestionar o eliminar riesgos de seguridad, permitiendo a sus clientes confiar en que sus datos confidenciales están protegidos.

ISO 27017:2015

La norma ISO 27017:2015 establece requisitos de control adicionales específicamente para los proveedores de servicios en la nube, incluida la gestión de la infraestructura en el nube.

Al certificarse en ISO 27017:2015, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de proporcionar la seguridad más sólida posible, Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que sus datos están protegidos. Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente

ISO 27018:2019

La norma ISO 27018:2019 proporciona requisitos adicionales para la seguridad y la gestión eficaz de la información personal identificable (personally identifiable information, PII) dentro de los entornos de la nube.

Al certificarse en ISO 27018:202019, Appian Cloud demuestra haber alcanzado un alto nivel en seguridad y madurez en la protección de la información personal. Appian ha puesto en marcha los controles necesarios para gestionar o eliminar los riesgos de seguridad, lo que permite a los clientes confiar en que su información personal identificable está protegida. Esta certificación ISO se aplica a todos los clientes de Appian Cloud en todo el mundo, ya que amplía nuestro marco de certificación ISO 27001 existente.

Fundamentos cibernéticos

El programa Cyber Essentials del Centro Nacional de Ciberseguridad del Reino Unido está diseñado para garantizar que las organizaciones se protejan contra las amenazas cibernéticas más comunes y demuestren su compromiso con la ciberseguridad, respaldado por el gobierno del Reino Unido. Appian Cloud ha obtenido la certificación con Cyber Essentials. Para obtener más información relacionada con esta certificación, consulte ncsc.gov.uk/cyberessentials

Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es el marco de seguridad nacional de España basado en leyes relacionadas con la seguridad de la información. Appian Cloud ha obtenido la certificación con ENS. Para obtener más información relacionada con esta certificación, consulte ens.ccn.cni.es/en/national-security-scheme