Passa al contenuto principale

La compliance è integrata in Appian Cloud Security.

Sottoposte a pressioni sempre maggiori dai regolamenti globali, le organizzazioni si ritrovano a dover mantenere un equilibrio tra conformità e innovazione competitiva. Appian Cloud semplifica il tutto grazie a un programma completo per sicurezza e compliance.

Appian Cloud Compliance Program

Industry Standards

Soddisfa i più severi standard di settore locali, regionali e globali.

security audits

È sottoposto a molteplici audit di sicurezza di terze parti indipendenti.

Protecting customer data

Verifica che i controlli proteggano i dati dei clienti.

Governance Capabilities

Offre funzionalità avanzate di governance.

L'Air Force è impegnata a modernizzare i propri sistemi aziendali tradizionali in modo economico... implementando tecnologie cloud estendibili e scalabili quali le funzionalità di gestione dei processi aziendali fornite da partner come Appian.

Richard T. Aldridge
Program Executive Officer for Business and Enterprise Systems e membro del Senior Executive Service, U.S. Air Force.

SOC 1 / ISAE 3402

I resoconti della Service Organization Controls (SOC) (precedentemente report SAS 70) sono progettati per aiutare gli operatori e i fornitori di sistemi informatici a instillare fiducia nei loro controlli e processi.

Appian pubblica un report SOC 1 di tipo II e un report International Standards for Assurance Engagements (ISAE) 3402. Eseguita da un revisore contabile indipendente certificato, questa verifica esamina i controlli interni di un'organizzazione di servizi per un periodo di tempo, i quali potrebbero influenzare la rendicontazione finanziaria di un cliente che utilizza i servizi sottoposti a tale revisione. Questi report spesso sono elementi importanti per le valutazioni dei controlli interni sulla rendicontazione finanziaria ai fini del sostegno alle revisioni contabili dei clienti e dei requisiti di compliance.

Un impegno di tipo II fornisce un'opinione sulla correttezza della descrizione della gestione del sistema di servizi dell'organizzazione e sull'idoneità del design e dell'efficacia operativa dei controlli. Ciò è allo scopo di raggiungere gli obiettivi di controllo compresi nella descrizione lungo un determinato periodo, piuttosto che in un determinato momento.

SOC 2

I report di SOC 2 hanno lo scopo di soddisfare le esigenze di una vasta gamma di utenti che desiderano comprendere il controllo interno di un'organizzazione di servizi secondo i Trust Services Principles and Criteria, che includono sicurezza, disponibilità, integrità di elaborazione, riservatezza e principi di tutela della privacy.

Un report di tipo II si concentra sulla corretta descrizione della gestione del sistema di un'azienda di servizi e sull'idoneità del design, e sull’efficacia dei controlli in un ampio arco temporale, non solo in un determinato momento.

Il report di tipo II di SOC 2 offre un'analisi dettagliata, realizzata da una società di revisione indipendente, dei controlli di sicurezza, disponibilità e riservatezza di Appian Cloud.

SOC 3

Il report di SOC 3 di Appian Cloud è disponibile al pubblico e fornisce una sintesi del report SOC 2. Il SOC 3 fornisce garanzie sui controlli di sicurezza, disponibilità e riservatezza di Appian Cloud in linea con i principi dei servizi fiduciari di AICPA. Inoltre, presenta il parere di un revisore esterno sull'efficacia delle operazioni di controllo.

Leggi il report

PCI-DSS

Il Payment Card Industry (PCI) Security Standards Council definisce gli standard per migliorare la sicurezza dei dati delle carte di pagamento. Il PCI Data Security Standard (PCI DSS) offre un framework in grado di sviluppare una procedura robusta per la sicurezza dei dati sulle carte di pagamento, che comprenda prevenzione, rilevamento e gestione adeguata degli incidenti in materia. I clienti possono sfruttare la certificazione PCI-DSS di Appian Cloud per ridurre la complessità dei propri requisiti PCI, accettando i termini PCI-DSS di Appian Cloud.

Appian Cloud è stato valutato da un revisore indipendente esterno ed è conforme allo standard PCI DSS.

HIPAA

La legge statunitense Health Insurance Portability and Accountability Act (HIPAA) dal 1996 regola la sicurezza e la riservatezza delle informazioni sanitarie protette (PHI).

Appian Cloud rispetta i requisiti di sicurezza HIPAA. In questo modo, i clienti possono elaborare e archiviare dati sanitari protetti su Appian Cloud dopo aver concluso un contratto noto come Business Associate Agreement.

FEDRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è un programma governativo statunitense che fornisce un approccio standardizzato alle valutazioni della sicurezza, autorizzazione e monitoraggio continuo dei prodotti e dei servizi sul cloud. La conformità al FedRAMP per un sistema cloud implica la presenza di un ambiente consolidato ed estremamente sicuro, che ha superato una revisione completa prima che gli enti federali siano autorizzati ad adottare il sistema.

Appian Cloud è conforme allo standard FedRAMP e ha ottenuto l'autorizzazione a operare (ATO) al livello Moderate.

In quanto conforme allo standard FedRAMP, Appian Cloud è considerata una soluzione praticabile che garantisce risparmi di tempo e denaro, maggiore sicurezza nella gestione del rischio e un programma più trasparente per le operazioni federali "mission critical". Le agenzie federali possono riutilizzare questa autorizzazione per risparmiare tempo e organico nella collaborazione con sistemi non conformi allo standard FedRAMP.

Accedi al Pacchetto “Conformità al FEDRAMP” di Appian Cloud

DISA Livello di impatto 2 (IL2)

Utilizzando FedRAMP come base, il ministero della difesa degli Stati Uniti (DoD) ha definito ulteriori standard nella Guida ai Requisiti per la Sicurezza Informatica del Cloud del DoD (SRG). Il programma di autorizzazione è gestito dalla Defense Information Systems Agency (DISA).

Appian ha ottenuto l'autorizzazione provvisoria (PA) per le implementazioni di IL2 in Appian Government Cloud.

Per maggiori informazioni sui livelli di impatto di sicurezza sul cloud del DoD, visita il portale della sicurezza sul cloud del DoD.

DISA Livello di impatto 4 (IL4)

Utilizzando FedRAMP come base, il ministero della difesa degli Stati Uniti (DoD) ha definito ulteriori standard nella Guida ai Requisiti per la Sicurezza Informatica del Cloud del DoD (SRG). Il programma di autorizzazione è gestito dalla Defense Information Systems Agency (DISA).

Appian ha ottenuto l'autorizzazione provvisoria (PA) per le implementazioni di IL4 in Appian Government Cloud.

Per maggiori informazioni sui livelli di impatto di sicurezza sul cloud del DoD, visita il portale della sicurezza sul cloud del DoD.

DISA Livello di impatto 5 (IL5)

Utilizzando FedRAMP come base, il ministero della difesa degli Stati Uniti (DoD) ha definito ulteriori standard nella Guida ai Requisiti per la Sicurezza Informatica del Cloud del DoD (SRG). Il programma di autorizzazione è gestito dalla Defense Information Systems Agency (DISA).

Appian ha ottenuto l'autorizzazione provvisoria (PA) per le implementazioni di IL5 in Appian Government Cloud.

Per maggiori informazioni sui livelli di impatto di sicurezza sul cloud del DoD, visita il portale della sicurezza sul cloud del DoD.

FISMA

Il Federal Information Security Management Act (FISMA), entrato in vigore nel 2002 ed emendato nel 2014, offre un framework completo per garantire l'efficacia dei controlli relativi alle informazioni di sicurezza nei sistemi IT del governo federale degli Stati Uniti. L'Ufficio Amministrazione e Budget (OMB), il Dipartimento di Sicurezza Interna (DHS) e il National Institute of Standards and Technology (NIST) degli Stati Uniti d'America hanno elaborato un programma per definire gli standard e controllare la conformità.

Appian Cloud presenta un framework con una solida struttura di controllo della sicurezza che consente alle organizzazioni federali di ottenere l'autorizzazione a operare (ATO).

GxP

Per legge, le aziende che operano nel settore farmaceutico e delle life sciences devono essere conformi agli standard di buona pratica (GxP) quando creano sistemi che riguardano o implicano registrazioni obbligatorie. Tra questi si annoverano le registrazioni e le procedure associate a test clinici, attività di laboratorio, garanzie di qualità, gestione delle normative, produzione e registrazioni sanitarie elettroniche.

Appian Cloud è stata sottoposta a una valutazione indipendente, da parte di esperti del settore delle scienze biologiche, per assicurare la conformità con gli standard GxP nella validazione del sistema computerizzato.

I clienti possono utilizzare questa valutazione indipendente per integrare e sostenere il proprio impegno in materia di conformità agli standard di qualità.

FDA

La Food and Drug Administration (FDA) ha introdotto la conformità al 21 CFR Parte 11, come requisito per le aziende di scienze biologiche che adottano firme e documenti richiesti dalla FDA in formato elettronico, al fine di soddisfare specifiche norme ed essere conformi alle buone pratiche cliniche, di laboratorio e di produzione. Gli obiettivi principali di tale norma sono garantire che i dati siano integri, le modifiche apportate al sistema documentate, motivate e non rinnegate, i sistemi informatici utilizzati affidabili e che le applicazioni siano state autorizzate per l'uso previsto.

Appian Cloud supporta la tecnologia e le funzionalità necessarie per consentire ai clienti di creare applicazioni conformi al 21 CFR Parte 11.

G-Cloud

G-Cloud 13 è un mercato digitale che consente al settore pubblico nel Regno Unito di trovare persone e tecnologie per progetti statali. Il framework di G-Cloud è reso possibile dal Crown Commercial Service (CCS), orientato alla fornitura di servizi commerciali nel settore pubblico e a far risparmiare denaro ai contribuenti. tramite politiche combinate, consigli, offerte accurate e studiate con precisione e acquisti diretti da parte delle organizzazioni.

Il Crown Commercial Service (CCS) collabora con dipartimenti e organizzazioni nel settore pubblico, per fare in modo di ottenere il massimo valore da ogni rapporto commerciale e migliorare la qualità dei servizi offerti.

Appian Cloud è conforme al framework di G-Cloud.  La certificazione G-Cloud di Appian Cloud si trova sul Digital Marketplace di gov.uk.

508 / VPAT

Il Rehabilitation Act del 1973, Sezione 508, prevede che le tecnologie elettroniche e informatiche degli enti federali siano accessibili agli utenti con disabilità.

Il Voluntary Product Accessibility Template (VPAT) è uno strumento utilizzato per documentare la conformità di un prodotto agli standard di accessibilità di cui alla Sezione 508 del Rehabilitation Act.

Appian ha ottenuto la conformità al VPAT e i suoi prodotti rispettano quanto previsto dalla Sezione 508.

Scopri di più

Cloud Security Alliance

Il Cloud Security Alliance (CSA) del programma Security, Trust and Assurance Registry (STAR) offre un quadro completo sulla fiducia e la garanzia di chi fornisce servizi di cloud. Il programma CSA STAR è un registro accessibile al pubblico ideato per individuare i vari requisiti di garanzia e il livello di maturità di provider e consumatori. Ne fanno uso clienti, provider, imprese e governi in tutto il mondo. Il programma STAR permette a chi fornisce servizi nel cloud di effettuare una valutazione dei propri controlli rispetto alla Cloud Controls Matrix CSA.

Appian Cloud ha completato il Consensus Assessments Initiative Questionnaire (CAIQ), che include 133 controlli sui 16 domini, ed è quindi iscritta al CSA Security, Trust and Assurance Registry.

Vedi la Richiesta STAR di Appian Cloud

Qualys SSL Labs

Qualys SSL Labs si occupa di analizzare a fondo le configurazioni di sicurezza dei server web su internet, in particolare la configurazione SSL/TLS. Al Cloud di Appian, SSL Labs ha assegnato un A+.

Health Information Trust Alliance (HITRUST)

Le organizzazioni si basano sulle indicazioni normative del Common Security Framework (CSF) dell’Health Information Trust Alliance (HITRUST) per la gestione dei requisiti di sicurezza inerenti a HIPAA.

Per proteggere i dati altamente sensibili, le organizzazioni nel settore della sanità, incluse le assicurazioni sanitarie, gli ospedali, le cliniche mediche e i provider SaaS, richiedono un’infrastruttura certificata HITRUST CSF.

HITRUST CSF utilizza standard riconosciuti a livello nazionale e internazionale tra cui ISO, NIST, PCI e HIPAA per garantire controlli di sicurezza di base completi.

CoalFire

ISO/IEC 27001:2013

In qualità di standard internazionale per la sicurezza delle informazioni e la gestione del rischio, l’ISO/IEC 27001:2013: protegge organizzazioni appartenenti a tutti i settori industriali e in tutto il mondo.

Lo standard ISO 27001:2013: richiede che le organizzazioni implementino un sistema di gestione della sicurezza delle informazioni (ISMS) appropriato, in grado di garantire che i controlli di sicurezza tecnici, operativi e di gestione funzionino efficacemente.

Con la certificazione ISO 27001:2013:, Appian Cloud dimostra di aver raggiunto un alto livello di maturità in materia di sicurezza. Con l'obiettivo di fornire la migliore sicurezza possibile, Appian ha messo in atto controlli per gestire o eliminare i rischi alla sicurezza, in modo da assicurare ai clienti che i loro dati riservati rimangano protetti.

ISO 27017:2015

Lo standard ISO 27017:2015 stabilisce ulteriori requisiti di controllo specifici per i fornitori di servizi cloud, compresa la gestione dell'infrastruttura cloud.

Con la certificazione ISO 27017:2015:, Appian Cloud dimostra di aver raggiunto un alto livello di maturità in materia di sicurezza. Con l'obiettivo di fornire la miglior sicurezza possibile, Appian ha messo in atto i controlli necessari per gestire o eliminare i rischi per la sicurezza, consentendo ai clienti di fidarsi del fatto che i loro dati sono protetti. Questa certificazione ISO si applica a tutti i clienti Appian Cloud in tutto il mondo in quanto si espande sul nostro framework di certificazione ISO 27001 esistente

ISO 27018:2019

Lo standard ISO 27018:2019 fornisce ulteriori requisiti per un'efficace sicurezza e gestione delle informazioni personali identificabili (PII) negli ambienti cloud.

Con la certificazione ISO 27018:202019, Appian Cloud dimostra di aver raggiunto un alto livello di maturità in materia di sicurezza e protezione delle PII. Appian ha messo in atto i controlli necessari per gestire o eliminare i rischi per la sicurezza, consentendo ai clienti di fidarsi del fatto che le loro informazioni di identificazione personale siano protette. Questa certificazione ISO si applica a tutti i clienti Appian Cloud in tutto il mondo in quanto si espande sul nostro framework di certificazione ISO 27001 esistente.

ISO 9001:2015    

La norma internazionale per la gestione della qualità, la ISO 9001:2015 contribuisce a garantire che i clienti ricevano prodotti e servizi coerenti e di qualità.

La norma ISO 9001:2015 richiede alle organizzazioni di implementare un Sistema di Gestione della Qualità (SGQ) adeguato, che garantisca l’attenzione al cliente, la motivazione ed il coinvolgimento del top management, l’approccio per processi e il miglioramento continuo.

Con la certificazione ISO 9001:2018, Appian Engineering dimostra di aver raggiunto un alto livello di maturità in materia di qualità. Grazie all’impegno nel perseguire la soddisfazione dei clienti e la qualità, Appian ha messo in atto processi per garantire che i clienti ottengano prodotti e servizi coerenti e di buona qualità.

Cyber Essentials

Il programma Cyber Essentials del Centro Nazionale per la Sicurezza Informatica del Regno Unito è progettato per garantire che le organizzazioni si premuniscano contro le minacce informatiche più comuni e dimostrino il loro impegno per la sicurezza informatica, con il sostegno del governo britannico. Appian Cloud ha ottenuto la certificazione Cyber Essentials. Per ulteriori informazioni relative a questa certificazione, fare riferimento a ncsc.gov.uk/cyberessentials

Cyber Essentials Plus

La certificazione Cyber Essentials Plus è sostenuta dal National Cyber Security Centre del Regno Unito per aiutare le organizzazioni a dimostrare la sicurezza operativa contro i comuni attacchi informatici. Verifica i livelli di sicurezza per le aziende e le agenzie di pubblica amministrazione. Appian Cloud ha ottenuto le certificazioni Cyber Essentials e Cyber Essentials Plus. Per ulteriori informazioni, fare riferimento a ncsc.gov.uk/cyberessentials.

Esquema Nacional de Seguridad (ENS)

L'Esquema Nacional de Seguridad (ENS) è il quadro di sicurezza nazionale spagnolo basato sulle leggi relative alla sicurezza delle informazioni. Appian Cloud ha ottenuto la certificazione ENS. Per ulteriori informazioni relative a questa certificazione, fare riferimento a ens.ccn.cni.es/en/

StateRAMP


StateRAMP è un programma degli Stati Uniti per gli Stati che fornisce un approccio standardizzato alla valutazione, all’autorizzazione e al monitoraggio continuo della sicurezza per i prodotti e i servizi cloud. La conformità al StateRAMP per un sistema cloud implica la presenza di un ambiente consolidato ed estremamente sicuro, che ha superato una revisione completa prima che gli Stati siano autorizzati ad adottare il sistema.

Appian Cloud è conforme allo standard StateRAMP e ha ottenuto l'autorizzazione al livello Moderate.

In quanto conforme allo standard StateRAMP, Appian Cloud è considerata una soluzione praticabile che garantisce risparmi di tempo e denaro, maggiore sicurezza nella gestione del rischio e un programma più trasparente per le operazioni statali “mission critical”. Gli Stati possono riutilizzare questa autorizzazione per risparmiare tempo e organico nella collaborazione con sistemi non conformi allo standard StateRAMP.

Fare riferimento a https://stateramp.org/about-us/

Canada Protected B


Il livello di sicurezza Government of Canada (GC) Protected B per le informazioni e gli asset governativi sensibili si applica a informazioni o risorse che, se compromesse, potrebbero causare gravi danni ad una persona, a un’organizzazione o a un governo. Sulla base dell’Information Technology Security Guidance (ITSG) 33 sulla gestione del rischio per la sicurezza informatica, pubblicata dal Canadian Centre for Cybersecurity (CCCS), il GC ha sviluppato la Guida alla categorizzazione di sicurezza dei servizi basati sul cloud (ITSP.50.103) ed il Profilo di controllo della sicurezza del governo canadese per i servizi GC basati sul cloud (GC Security Control Profile), che identifica i controlli di sicurezza di base applicabili al trattamento delle informazioni con categoria di sicurezza Protected B, medium integrity, and medium availability (PBMM).

Hai domande per il nostro team?