La compliance è parte integrante della sicurezza di Appian Cloud.

Sottoposte a pressioni sempre maggiori dai regolamenti globali, le organizzazioni si ritrovano a dover mantenere un equilibrio tra compliance e innovazione competitiva. Appian Cloud semplifica il tutto grazie a un programma completo per sicurezza e compliance.

Programma per la compliance di Appian Cloud

Soddisfa i più severi standard di settore locali, regionali e mondiali.

Viene sottoposto a più controlli di sicurezza indipendenti da parte di terzi.

Conferma la presenza di controlli a protezione dei dati dei clienti.

Fornisce competenze di governance avanzate.

Air Force intende modernizzare i propri sistemi aziendali legacy in modo conveniente [...] implementando tecnologie cloud scalabili ed estendibili come le funzionalità di Business Process Management offerte dai partner di settore come Appian.

Richard T. Aldridge
Program Executive Officer per i sistemi business e aziendali e membro del Senior Executive Service, U.S. Air Force.

Logo della certificazione AICPA SOC 1

SOC 2

I report di SOC 2 hanno lo scopo di soddisfare le esigenze di una vasta gamma di utenti che desiderano comprendere il controllo interno di un'organizzazione di servizi secondo i Trust Services Principles and Criteria, che includono sicurezza, disponibilità, integrità di elaborazione, riservatezza e principi di tutela della privacy.

Un report di tipo II si concentra sulla correttezza nell'illustrare la descrizione della gestione del sistema di un'azienda di servizi e sull'idoneità del design e dell'efficacia operativa dei controlli nell'arco di un periodo di tempo, non solo in un determinato momento.

Il report di tipo II di SOC 2 offre un'analisi dettagliata, realizzata da una società di revisione indipendente, dei controlli di sicurezza, disponibilità e riservatezza di Appian Cloud.

Logo della certificazione AICPA SOC 1

SOC 3

Il report di SOC 3 di Appian Cloud è disponibile al pubblico e fornisce una sintesi del report SOC 2. Il SOC 3 fornisce garanzie sui controlli di sicurezza, disponibilità e riservatezza di Appian Cloud in linea con i principi dei servizi fiduciari di AICPA. Inoltre, presenta il parere di un revisore esterno sull'efficacia delle operazioni di controllo.

Logo di conformità PCI-DSS

PCI-DSS

Il Payment Card Industry (PCI) Security Standards Council definisce gli standard per migliorare la sicurezza dei dati delle carte di pagamento. Il PCI Data Security Standard (PCI DSS) offre un framework in grado di sviluppare una procedura robusta per la sicurezza dei dati sulle carte di pagamento che comprenda prevenzione, rilevamento e gestione adeguata degli incidenti in materia. I clienti possono sfruttare la certificazione PCI-DSS di Appian Cloud per ridurre la complessità dei propri requisiti PCI accettando i termini PCI-DSS di Appian Cloud.

Appian Cloud è stato valutato da un revisore indipendente esterno ed è conforme allo standard PCI DSS.

Logo di conformità HIPAA

HIPAA

La legge statunitense Health Insurance Portability and Accountability Act (HIPAA) del 1996 regola la sicurezza e la riservatezza dei dati sanitari protetti.

Appian Cloud è conforme ai requisiti di sicurezza della norma HIPAA. In questo modo, i clienti possono elaborare e archiviare dati sanitari protetti su Appian Cloud dopo aver concluso un contratto noto come Business Associate Agreement.

Logo FedRAMP

FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP) è un programma governativo statunitense che fornisce un approccio standardizzato alle valutazioni della sicurezza, autorizzazione e monitoraggio continuo dei prodotti e dei servizi sul cloud. La conformità al FedRAMP per un sistema cloud implica la presenza di un ambiente consolidato ed estremamente sicuro, che ha superato una revisione completa prima che gli enti federali siano autorizzati ad adottare il sistema.

Appian Cloud è conforme allo standard FedRAMP e ha ottenuto l'autorizzazione a operare (ATO) di livello Moderate.

In quanto conforme allo standard FedRAMP, Appian Cloud è considerata una soluzione praticabile che garantisce risparmi di tempo e denaro, maggiore sicurezza nella gestione del rischio e un programma più trasparente per le operazioni federali "mission critical". Le agenzie federali possono riutilizzare questa autorizzazione per risparmiare tempo e organico nella collaborazione con sistemi non conformi allo standard FedRAMP.

Logo della Defense Information Systems Agency (DISA)

Impatto di Livello 2 del Defense Information Systems Agency

FedRAMP+ è l'adeguamento della procedura FedRAMP del dipartimento della difesa degli Stati Uniti d'America (DoD) per l'approvazione indipendente di sistemi basati sul cloud a uso del DoD.

Attualmente Appian Cloud detiene un'autorizzazione provvisoria di impatto di livello 2 del DoD. Per maggiori informazioni sui livelli di impatto di sicurezza sul cloud del DoD, visita il portale della sicurezza sul cloud del DoD.

I clienti DoD possono sfruttare l'autorizzazione provvisoria di Appian Cloud nel valutare e autorizzare i propri sistemi per operare su Appian Cloud.

Logo della Defense Information Systems Agency (DISA)

Impatto di Livello 4 (IL4) del Defense Information Systems Agency

Utilizzando FedRAMP come base, il ministero della difesa degli Stati Uniti (DoD) ha definito ulteriori standard nella Guida ai Requisiti per la Sicurezza Informatica del Cloud del DoD (SRG). Il programma di autorizzazione è gestito dalla Defense Information Systems Agency (DISA).

Le agenzie federali che richiedono applicazioni low-code in grado di soddisfare gli standard di sicurezza più rigorosi dell’Impact Level 4 (che comprendono le informazioni non classificate controllate o CUI), possono implementare la piattaforma Appian come un servizio gestito da Smartronix.  Nell’IL4, un’applicazione Appian può essere utilizzata per gestire e archiviare le informazioni (compresi i controlli all’esportazione), le informazioni sulla privacy (comprese le PII) e le informazioni sanitarie protette (PHI).

Per maggiori informazioni sui livelli di impatto di sicurezza sul cloud del DoD, visita il portale della sicurezza sul cloud del DoD.

Logo di conformità FISMA

FISMA

Il Federal Information Security Management Act (FISMA), entrato in vigore nel 2002 ed emendato nel 2014, offre un framework completo per garantire l'efficacia dei controlli relativi alle informazioni di sicurezza nei sistemi IT del governo federale degli Stati Uniti. L'Ufficio Amministrazione e Budget (OMB), il Dipartimento di Sicurezza Interna (DHS) e il National Institute of Standards and Technology (NIST) degli Stati Uniti d'America hanno elaborato un programma per definire gli standard e controllare la conformità.

Appian Cloud presenta un framework con una solida struttura di controllo della sicurezza che consente alle organizzazioni federali di ottenere l'autorizzazione a operare (ATO).

Logo di conformità GxP

GxP

Per legge , le aziende che operano nel settore farmaceutico e delle scienze biologiche devono essere conformi agli standard di buona pratica (GxP) quando creano sistemi che riguardano o implicano registrazioni obbligatorie. Tra questi si annoverano le registrazioni e le procedure associate a test clinici, attività di laboratorio, garanzie di qualità, gestione delle normative, produzione e registrazioni sanitarie elettroniche.

Appian Cloud è stata sottoposta a una valutazione indipendente, da parte di esperti del settore delle scienze biologiche, per assicurare la conformità con gli standard GxP nella validazione del sistema computerizzato.

I clienti possono utilizzare questa valutazione indipendente per integrare e sostenere il proprio impegno in materia di conformità agli standard di qualità.

FDA

La Food and Drug Administration (FDA) ha introdotto la compliance al 21 CFR Part 11 come requisito per le aziende di scienze biologiche che adottano firme e documenti richiesti dalla FDA in formato elettronico, al fine di soddisfare specifiche norme ed essere conformi alle best practice cliniche, di laboratorio e di produzione. Gli obiettivi principali di tale norma sono garantire che i dati siano integri, le modifiche apportate al sistema documentate, motivate e non rinnegate, i sistemi informatici utilizzati affidabili e che le applicazioni siano state autorizzate per l'uso previsto.

Appian Cloud supporta la tecnologia e le funzionalità necessarie per consentire ai clienti di creare applicazioni conformi al 21 CFR Part 11.

Logo di Crown Commercial Service Supplier

G-Cloud

G-Cloud 10 è un mercato digitale che consente al settore pubblico nel Regno Unito di trovare persone e tecnologie per progetti statali. Il framework di G-Cloud è reso possibile dal Crown Commercial Service (CCS), orientato alla fornitura di servizi commerciali nel settore pubblico e a far risparmiare denaro ai contribuenti tramite politiche combinate, consigli, offerte accurate e studiate con precisione e acquisti diretti da parte delle organizzazioni.

Il Crown Commercial Service (CCS) collabora con dipartimenti e organizzazioni nel settore pubblico, per fare in modo di ottenere il massimo valore da ogni rapporto commerciale e migliorare la qualità dei servizi offerti.

Appian Cloud è conforme al framework di G-Cloud. La certificazione G-Cloud di Appian Cloud si trova sul Digital Marketplace di gov.uk.

Logo di Conformità VPAT 508

508 / VPAT

Il Rehabilitation Act del 1973, Sezione 508, prevede che le tecnologie elettroniche e informatiche degli enti federali siano accessibili agli utenti con disabilità.

Il Voluntary Product Accessibility Template (VPAT) è uno strumento utilizzato per documentare la conformità di un prodotto agli standard di accessibilità di cui alla Sezione 508 del Rehabilitation Act.

Appian ha ottenuto la conformità al VPAT e i suoi prodotti rispettano quanto previsto dalla Sezione 508.

Logo della certificazione AICPA SOC 1

SOC 1 / ISAE 3402

I resoconti della Service Organization Controls (SOC) (precedentemente report SAS 70) sono progettati per aiutare gli operatori e i fornitori di sistemi informatici a instillare fiducia nei propri controlli e processi.

Appian pubblica un resoconto SOC 1 di tipo II e un report International Standards for Assurance Engagements (ISAE) 3402. Eseguita da un revisore contabile indipendente certificato, questa verifica prende in esame per un certo periodo di tempo i controlli interni di un'organizzazione di servizi, che potrebbero influenzare la rendicontazione finanziaria di un cliente che utilizza i servizi sottoposti a revisione contabile. Questi report spesso sono elementi importanti per le valutazioni dei controlli interni sulla rendicontazione finanziaria ai fini del sostegno alle revisioni contabili dei clienti e dei requisiti di compliance.

Un impegno di tipo II fornisce un'opinione sulla correttezza nell'illustrare la descrizione della gestione del sistema di servizi dell'organizzazione e sull'idoneità del design e dell'efficacia operativa dei controlli. Ciò è allo scopo di raggiungere gli obiettivi di controllo compresi nella descrizione lungo un determinato periodo, piuttosto che in un determinato momento.

Logo Cloud Security Alliance

Cloud Security Alliance

Il Cloud Security Alliance (CSA) del programma Security, Trust and Assurance Registry (STAR) offre un quadro completo sulla fiducia e la garanzia di chi fornisce servizi di cloud. Il programma CSA STAR è un registro accessibile al pubblico ideato per individuare i vari requisiti di garanzia e il livello di maturità di provider e consumatori. Ne fanno uso clienti, provider, imprese e governi in tutto il mondo. Il programma STAR permette a chi fornisce servizi nel cloud di effettuare una valutazione dei propri controlli rispetto alla Cloud Controls Matrix CSA.

Appian Cloud ha completato il Consensus Assessments Initiative Questionnaire (CAIQ), che include 133 controlli sui 16 domini, ed è quindi iscritta al CSA Security, Trust and Assurance Registry.

Logo Privacy Shield Framework

EU-U.S. e Swiss-U.S. Privacy Shield Framework

I Privacy Shield Framework EU-U.S. e Swiss-U.S. sono stati progettati dal Dipartimento del Commercio degli Stati Uniti, in collaborazione, rispettivamente, con l'Amministrazione svizzera e con la Commissione Europea, per fornire alle aziende su entrambi i lati dell'Atlantico un meccanismo per rispettare i requisiti di protezione dei dati durante la trasmissione delle informazioni personali dall'Unione Europea e dalla Svizzera verso gli Stati Uniti, a sostegno del commercio transatlantico.

I Privacy Shield Framework hanno sostituito il framework U.S. – EU Safe Harbor nel 2016 (UE) e nel 2017 (Svizzera). Ulteriori dettagli su questi framework si trovano sul sito privacyshield.gov.

Appian è conforme all'EU-U.S. Privacy Shield Framework in base a quanto stabilito dal Dipartimento del Commercio degli Stati Uniti d'America sulla raccolta, l'uso e la conservazione dei dati personali trasferiti dall'Unione Europea agli Stati Uniti. La certificazione Privacy Shield di Appian è consultabile dall'elenco Privacy Shield.

Qualys SSL Labs

Qualys SSL Labs si occupa di analizzare a fondo le configurazioni di sicurezza dei server web su internet, in particolare la configurazione SSL/TLS. Al web-tier di Appian Cloud, SSL Labs ha assegnato un A+.

Health Information Trust Alliance (HITRUST)

Le organizzazioni si basano sulle indicazioni normative del Common Security Framework (CSF) dell’Health Information Trust Alliance (HITRUST) per la gestione dei requisiti di sicurezza inerenti a HIPAA.

Per proteggere i dati altamente sensibili, le organizzazioni nel settore della sanità, incluse le assicurazioni sanitarie, gli ospedali, le cliniche mediche e i provider SaaS, richiedono un’infrastruttura certificata HITRUST CSF.

HITRUST CSF utilizza standard riconosciuti a livello nazionale e internazionale tra cui ISO, NIST, PCI e HIPAA per garantire controlli di sicurezza di base completi.

ISO/IEC 27001:2013

In qualità di standard internazionale per la sicurezza delle informazioni e la gestione dei rischi, l’ISO/IEC 27001:2013 protegge organizzazioni appartenenti a tutti i settori industriali e in tutto il mondo.

Lo standard ISO 27001:2013 richiede che le organizzazioni implementino un sistema di gestione della sicurezza delle informazioni (ISMS) appropriato, in grado di garantire che i controlli di sicurezza tecnici, operativi e di gestione funzionino efficacemente.

Con la certificazione ISO 27001:2013, Appian Cloud dimostra di aver raggiunto un alto livello di maturità in materia di sicurezza. Con l'obiettivo di fornire la migliore sicurezza possibile, Appian ha messo in atto controlli per gestire o eliminare i rischi alla sicurezza, in modo da assicurare ai clienti che i loro dati riservati rimangano protetti.