El cumplimiento normativo es una parte integral de la seguridad de Appian Cloud.

Con la presión cada vez mayor de las regulaciones internacionales, las empresas se enfrentan al reto de encontrar el equilibrio entre el cumplimiento de regulaciones y la innovación competitiva. Appian Cloud facilita todo esto con una seguridad y un programa de cumplimiento normativo completos.

Programa de cumplimiento de Appian Cloud

Cumple con los niveles de calidad locales, regionales e internacionales más estrictos.

Pasa por diversas auditorías de seguridad externas independientes.

Valida que los controles protegen los datos de los clientes.

Proporciona herramientas de gobernanza avanzadas.

La Fuerza Aérea tiene un firme compromiso con la modernización de bajo coste de los sistemas empresariales heredados mediante la implementación de tecnologías en la nube, extensibles y adaptables como las herramientas de gestión de procesos de negocio proporcionadas por socios empresariales como Appian.

Richard T. Aldridge
Director ejecutivo de programa en Sistemas Empresariales y miembro del Servicio Ejecutivo de la Fuerza Aérea de los Estados Unidos.

Logotipo de la certificación SOC 1 de la AICPA

SOC 2

Los informes SOC 2 pretenden cubrir las necesidades de una gran cantidad de usuarios que pretenden comprender el control interno de una empresa de servicios en su relación con los principios y criterios de los Trust Services, que incluyen principios de confianza sobre seguridad, disponibilidad, confidencialidad y privacidad.

Un informe Tipo II evalúa la imparcialidad de la presentación de la descripción de la directiva del sistema de la empresa y la adecuación del diseño y la efectividad operativa de los controles durante un periodo determinado, no solo durante un momento concreto.

El informe SOC 2 Tipo II ofrece una revisión detallada realizada por una empresa de auditorías independiente, de los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud.

Logotipo de la certificación SOC 1 de la AICPA

SOC 3

El informe SOC 3 de Appian Cloud está disponible para el público y muestra un resumen del informe SOC 2 de Appian Cloud. El SOC 3 muestra los controles de seguridad, disponibilidad y confidencialidad de Appian Cloud según los principios de auditoría de los Trust Services del AICPA. Esto incluye la opinión externa de un auditor sobre la efectividad del funcionamiento de los controles.

Read the Report

Logo de conformidad con PCI-DSS

PCI-DSS

El Payment Card Industry (PCI) Security Standards Council ofrece niveles de calidad para mejorar la seguridad de los datos de pagos con tarjeta. El PCI Data Security Standard (PCI DSS) ofrece un marco de trabajo para desarrollar un proceso sólido de seguridad de los datos de pagos con tarjeta, incluyendo la prevención, detección y manejo adecuado de los incidentes de seguridad. Los clientes pueden aprovechar la certificación PCI-DSS de Appian Cloud para simplificar su propio cumplimiento PCI una vez que hayan manifestado su acuerdo con los términos PCI-DSS de Appian Cloud.

Appian Cloud ha sido evaluada por un auditor externo independiente y cumple el PCI-DSS.

Logo de conformidad con HIPAA

HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos de 1996 (HIPAA) regula la seguridad y privacidad de la información médica protegida (PHI).

Appian Cloud cumple con los requisitos de seguridad de la HIPAA. Con este cumplimiento, los clientes pueden procesar y almacenar información médica protegida (PHI) en Appian Cloud tras firmar un Acuerdo de Socios de Negocios.

Más información sobre Appian y la HIPAA

Logotipo FedRAMP

FEDRAMP

El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un programa que abarca todo el gobierno estadounidense y proporciona un enfoque estandarizado a la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios de la nube. La conformidad con el FedRAMP quiere decir que un sistema de la nube tiene un entorno establecido y de alta seguridad que ha superado auditorías exhaustivas antes de permitirse la entrada al sistema a agencias federales.

Appian Cloud cumple con el FedRAMP y ha recibido una autorización para operar (ATO) a nivel Moderado.

Al cumplir con el FedRAMP, Appian Cloud se considera una solución viable para reducir tiempos y costes de manera significativa, mejorar la gestión de la seguridad y aumentar la transparencia del programa para operaciones federales críticas. Esta autorización puede ser reutilizada por otras agencias federales, en lugar de trabajar con sistemas ajenos a FedRAMP, para ahorrar tiempo y personal.

Acceda al paquete de Appian Cloud que cumple con el FedRAMP

Logotipo de la Agencia de Sistemas de Información de Defensa (DISA) (DISA)

DISA nivel 2

FedRAMP+ es la adaptación del proceso FedRAMP por parte del Departamento de Defensa (DoD) de los Estados Unidos, en el que aprueban de forma independiente los sistemas basados en la nube que utiliza el DoD.

En estos momentos, Appian Cloud cuenta con una autorización provisional (PA) del Departamento de Defensa clasificada como Nivel de Impacto 2. Para más información sobre los Niveles de Impacto de seguridad en la nube del Departamento de Defensa, entre en el portal de seguridad del Departamento de Defensa.

Los clientes que sean parte del DoD pueden aprovechar esto al evaluar y autorizar a sus sistemas a funcionar en Appian Cloud.

Logotipo de la Agencia de Sistemas de Información de Defensa (DISA) (DISA)

DISA nivel 4 (IL4)

Utilizando FedRAMP como base, el Departamento de Defensa de EE. UU. (DoD) ha definido requisitos adicionales en su Guía de Requisitos de Seguridad Informática en la Nube (SRG, Security Requirements Guide). El programa de autorización está gestionado por la Agencia de Sistemas de Información de Defensa (DISA).

Las agencias federales que necesitan aplicaciones low-code que cumplan con los estándares de seguridad más estrictos de IL4, que incluyen información no confidencial controlada (CUI), pueden implementar la plataforma de Appian como servicio gestionado de Smartronix.En IL4, una aplicación de Appian puede utilizarse para gestionar y almacenar información, incluyendo controles de exportación, información sobre privacidad (incluyendo información personalmente identificable o PII) e información médica protegida (PHI).

Para más información sobre los niveles de impacto de seguridad cloud de DoD, visite el

portal de seguridad cloud de DoD.

Logo de conformidad con FISMA

FISMA

La Ley Federal de Seguridad de la Información (FISMA), promulgada en 2002 y modificada en 2014, ofrece un marco completo para asegurar la efectividad de los controles de seguridad de la información de los sistemas informáticos del gobierno federal de los Estados Unidos. La Oficina de Administración y Presupuesto (OMB), el Departamento de Seguridad Nacional de los Estados Unidos (DHS) y el Instituto Nacional de Normas y Tecnología (NIST) han habilitado un programa para fijar estándares y supervisar su cumplimiento.

Appian Cloud tiene un marco de seguridad con una estructura de control de seguridad sólida que permite a agencias federales conseguir sus autorizaciones para operar (ATO).

Logo de conformidad con GxP

Buenas prácticas

Las empresas farmacéuticas y de productos sanitarios están obligadas por ley a cumplir con la Norma de Validación y Buenas Prácticas (GxP) cuando construyen sistemas relacionados con ciertos datos. Esto incluye los registros y procesos asociados a ensayos clínicos, pruebas de laboratorio, controles de calidad, gestión de la información legislativa, fabricación y archivos sanitarios electrónicos.

Appian Cloud ha superado una evaluación independiente de expertos del sector de las ciencias biológicas para examinar los controles de Appian Cloud y su alineamiento con los requisitos y estándares del sistema de validación informática del GxP.

Los clientes pueden aprovechar este informe para complementar y apoyar sus iniciativas de regulación y diligencia en torno al GxP.

FDA

La Administración de Medicamentos y Alimentación (FDA) de EE. UU. introdujo la parte 11 del título 21 del CFR como requisito para las empresas farmacéuticas y sanitarias que mantienen los registros y firmas requeridos por la FDA en formato electrónico, a fin de cumplir con estándares específicos y con buenas prácticas clínicas, de laboratorio y de fabricación. Los principales objetivos de esta regulación son: asegurar la integridad de los datos; que los cambios en el sistema estén documentados y razonados y no sean rechazados; que los sistemas informáticos empleados sean de confianza; y que las aplicaciones estén validadas para el uso que se pretende darles.

Appian Cloud ofrece las funciones y la tecnología necesarias para permitir a los clientes crear aplicaciones que cumplan con la norma 11 del título 21 del CFR.

Logotipo de proveedor de servicios comerciales de Crown

G-Cloud (Reino Unido)

G-Cloud 10 es un espacio de comercio digital que permite al sector público del Reino Unido localizar la tecnología y el equipo humano para sus proyectos gubernamentales. El G-Cloud Framework lo lleva a cabo gracias al Crown Comercial Service (CCS), que está centrado en facilitar los servicios comerciales del sector público y ahorrar dinero de los contribuyentes. Para ello, combinan legislaciones, ofrecen asesoramiento, verificación de ofertas de calidad y permiten realizar compras.

El Crown Commercial Service (CCS) funciona a través de departamentos y organizaciones de todo el sector público para asegurar que se saca el máximo partido de todas las operaciones comerciales y se mejora la calidad de la oferta de servicios.

Appian Cloud cumple con el G-Cloud Framework. Puede consultar la certificación G-Cloud de Appian Cloud en Digital Marketplace en gov.uk.

Logotipo cumplimiento con la VPAT 508

508 / VPAT

La sección 508 de la Ley de Rehabilitación de 1973 requiere que las tecnologías electrónicas y de la información de las agencias federales sean accesibles para las personas con discapacidades.

La Voluntary Product Accessibility Template (VPAT) es una herramienta empleada para documentar la conformidad de un producto con los estándares de accesibilidad de la sección 508 de la Ley de Rehabilitación.

Appian ha completado la VPAT y su producto cumple con la sección 508.

Más información

Logotipo de la certificación SOC 1 de la AICPA

SOC 1 / ISAE 3402

Los informes SOC (Service Organization Controls, anteriormente informes SAS 70) están diseñados para ayudar a los operadores y proveedores de sistemas de información a generar confianza en sus procesos y controles de servicio.

Appian publica un informe SOC 1 Tipo II y un informe International Standards for Assurance Engagements (ISAE) 3402. Esta auditoría, realizada por un auditor público certificado, analiza los controles internos de una empresa de servicios durante un periodo de tiempo que podría influir sobre los informes financieros de un cliente de la empresa proveedora del servicio. Estos informes a menudo forman parte de las evaluaciones del cliente para sus controles internos de análisis financiero, a fin de responder a las necesidades de auditorías de cuentas y cumplimiento de regulaciones.

Un informe Tipo II incluye una opinión sobre la imparcialidad de la presentación de la descripción de la dirección del sistema de la organización de servicio, la idoneidad del diseño y efectividad operativa de los mecanismos para lograr los objetivos de control relacionados incluidos en la descripción a lo largo de un período específico, en el mismo lugar y momento.

Logotipo Cloud Security Alliance

Cloud Security Alliance

El programa Security, Trust and Assurance Registry (STAR) de la Cloud Security Alliance (CSA) facilita un marco de trabajo completo para la confianza y seguridad en los proveedores de cloud. El programa STAR de la CSA es un registro públicamente accesible, diseñado para reconocer los requisitos de seguridad y niveles de madurez variables de proveedores y consumidores, y es empleado por consumidores, proveedores, industrias y gobiernos de todo el mundo. El programa STAR permite a los proveedores de cloud evaluar sus controles con la Cloud Controls Matrix (matriz de controles cloud) de la CSA.

Appian Cloud está registrado en el Security, Trust and Assurance Registry de la CSA y ha completado el Consensus Assesments Iniciative Questionnarie (CAIQ) que incluye 133 controles en 16 dominios.

Ver la presentación de Appian Cloud para STAR

Logotipo Privacy Shield Framework

Privacy Shield Framework de EE. UU. y Suiza

Los Privacy Shield Framework de EE. UU. y Suiza han sido diseñados respectivamente por el Departamento de Comercio de Estados Unidos y por la Comisión Europea y la Administración suiza. Su propósito es facilitar a las empresas a ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales de la Unión Europea y Suiza a los Estados Unidos y así dar apoyo al comercio transatlántico.

Los Privacy Shield Frameworks reemplazaron al Safe Harbor Framework en 2016 (UE) y 2017 (Suiza). Para más detalles sobre estos Frameworks, entre en  privacyshield.gov.

Appian cumple con el Privacy Shield Framework de EE. UU., establecido por el Departamento de Comercio estadounidense en lo referente a la recopilación, uso y almacenamiento de información personal transferida entre la Unión Europea y los Estados Unidos. Puede ver la certificación Privacy Shield de Appian en la lista de empresas adheridas al Privacy Shield.

SSL Labs de Qualys

SSL Labs de Qualys ofrece análisis profundos de la configuración de seguridad de los servidores web de internet, especialmente de la configuración SSL/TLS. El nivel web de Appian Cloud ha sido clasificado como A+ por SSL Labs.

Health Information Trust Alliance (HITRUST)

Las empresas confían en la dirección normativa del Marco de Seguridad Común (CSF, Common Security Framework) de Health Information Trust Alliance (HITRUST) para gestionar los requisitos de seguridad inherentes a la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act).

Para proteger la información altamente privada, las empresas sanitarias (incluyendo aseguradoras médicas, hospitales, consultas médicas y proveedores de SaaS) necesitan una infraestructura certificada como HITRUST CSF.

HITRUST CSF utiliza estándares aceptados a nivel internacional, como ISO, NIST, PCI e HIPAA, para garantizar un conjunto completo de controles de seguridad básicos.

ISO/IEC 27001:2013

Como estándar internacional de seguridad de información y de gestión de riesgos, el ISO/IEC 27001:2013 protege a las empresas de todas las industrias y sectores a nivel global.

El estándar ISO 27001:2013 requiere a las empresas la implementación de un sistema de gestión de la seguridad de la información adecuado que garantice que los controles de gestión, operacionales y de seguridad técnica funcionan correctamente.

Al certificarse en ISO 27001:2013, Appian Cloud demuestra haber alcanzado un alto nivel de madurez en seguridad. Con el objetivo de ofrecer la seguridad más robusta posible, Appian ha implementado controles para gestionar o eliminar riesgos de seguridad, permitiendo a sus clientes confiar en que sus datos confidenciales están protegidos.