Offres de conformité SAP
Règlement sur la résilience opérationnelle digitale (DORA)
Les ESA (autorités européennes de surveillance) ont officiellement désigné SAP comme prestataire tiers critique de services TIC. SAP traite à l'échelle mondiale les implications pour ses clients, partenaires et fournisseurs.
Calendrier 2025-2026 des performances SOC et C5
SAP met tout en œuvre pour établir un reporting transparent dans les délais requis. La publication des rapports SOC 1 est prévue dans un délai de 90 jours après chaque période de performance. Les rapports SOC 2 sont soumis à un cycle d'audit de 12 mois, la prochaine version étant prévue pour le premier semestre 2026. Votre responsable de compte ou votre partenaire réussite client se tient à votre disposition en cas de question.
ISO/IEC 42001 pour les systèmes de management de l'IA
SAP est certifiée ISO/IEC 42001, la première norme mondiale relative aux systèmes de management de l'IA. Cette certification traduit notre mise en œuvre d'un système de management de l'IA structuré et audité de manière indépendante.
Nos offres de conformité répondent aux besoins de nos clients
SAP donne la priorité à la conformité à travers des normes et pratiques précises garantissant l'intégrité des données, la conformité réglementaire et une conduite éthique chez nos clients.
Documents de conformité à la demande
Les clients SAP peuvent télécharger les documents de conformité éligibles à la demande depuis le point d'accès central SAP for Me. Cette fonctionnalité est accessible à la rubrique Portefeuille et produits de SAP for Me.
Rapports SAP Central Cloud Services
SAP publiera de nouveaux rapports SOC 1, SOC 2 et C5 sous forme de SAP Central Cloud Services. Ces rapports remplaceront les précédents rapports SOC 1 SAP Business Technology Platform, SAP Cloud Infrastructure, SAP Cell and Gene Therapy Orchestration et SAP Intelligent Clinical Supply Management.
Programme des marchandises contrôlées (PMC)
L'inscription de SAP Canada Inc. au Programme des marchandises contrôlées du Canada renforce notre engagement envers la sécurité nationale et notre conformité à la réglementation canadienne. En respectant des exigences strictes relatives à la manipulation des marchandises sensibles et au traitement des données techniques, SAP aide ses clients à gérer avec confiance les projets impliquant des marchandises contrôlées dans un environnement sûr et fiable.
Voir les offres de conformité mondiales SAP
SAP fonde son socle de sécurité sur la conformité et des normes internationales afin de relever des défis en constante évolution. Consultez nos tout derniers rapports, certifications et attestations pour plus de tranquillité d'esprit.
Norme ISO/IEC 42001 : système de management de l'IA
La norme ISO 42001 fixe les exigences d'audit pour une gouvernance de l'IA responsable à travers les politiques, la gestion des risques, le déploiement, le suivi et l'amélioration continue. Elle soutient la transparence, la supervision humaine, la sécurité, la confidentialité et les besoins réglementaires des clients.
Norme ISO 9001 : systèmes de management de la qualité
La norme ISO 9001 se fonde sur les principes de management de la qualité (tel que l'orientation client) qui impliquent la direction de SAP.
Norme ISO 27001 : systèmes de management de la sécurité de l'information
La norme ISO/IEC 27001 applique une approche holistique et fondée sur les risques de la sécurité. Elle présente des pratiques exhaustives et mesurables du management de la sécurité de l'information.
Norme BS 10012 : système de management des informations personnelles
La norme BS 10012 couvre la sensibilisation des collaborateurs à la sécurité, les évaluations de risques, la conservation et l'élimination des données.
Norme ISO 27018 : code de bonnes pratiques pour la protection des informations personnelles identifiables
La norme ISO/IEC 27018 aide les prestataires de services cloud à protéger les informations personnelles identifiables. Elle soutient également la norme ISO 27001, car elle recommande des contrôles de sécurité de l'information à des fins de protection des données personnelles dans le cloud public.
Norme ISO 27017 : code de pratique pour les contrôles de sécurité de l'information pour les services du nuage
La norme ISO/IEC 27017 fournit des informations sur les contrôles de sécurité pour les services cloud. Elle soutient aussi la norme ISO 27001 en fournissant des conseils sur les contrôles de sécurité de l'information propres au cloud.
Normes ISO 14001 et ISO 50001 : durabilité
Cette certification multisite confirme que le système de management environnemental de SAP répond à la norme internationale ISO 14001:2015. L'annexe de ce certificat inclut tous les sites certifiés couverts par ce système. Nous disposons de la certification ISO 50001:2018 sur certains sites, un gage de conformité avec les normes de management de l'énergie.
Norme ISO 22301 : systèmes de management de la continuité d'activité
Cette norme protège les activités contre des perturbations sévères comme les intempéries, les incendies, les catastrophes naturelles, les vols, les pannes informatiques, etc.
Rapports SOC 1
SAP fournit aux auditeurs des états financiers de ses clients des informations sur les contrôles des solutions cloud. Ces informations sont souvent pertinentes pour le contrôle interne du client en matière de reporting financier. Les rapports SOC 1 respectent les normes SSAE 18 et ISAE 3402 relatives aux missions d'audit. Ils incluent une description détaillée de la méthode (type I/type II) et de l'efficacité (type II) des contrôles audités.
Rapports SOC 2
Les clients obtiennent des informations pertinentes sur la sécurité et la disponibilité des systèmes de contrôle, l'intégrité des traitements et la confidentialité des données. Les rapports SOC 2 respectent les normes d'audit ISAE 3000 et AT 101 et se fondent sur les principes du service de confiance de l'AICPA. Ils incluent une description détaillée de la méthode (type I/type II) et de l'efficacité (type II) des contrôles audités.
Lettres de liaison
Les lettres de liaison informent les clients de tout changement significatif de leurs environnements de contrôle entre la date de fin du dernier rapport SOC et la date d'établissement de la lettre de liaison.
Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)
Cette norme internationale de sécurité des données est adoptée par les marques de carte de paiement pour toutes les entités qui traitent, conservent ou transmettent des données de titulaires de carte. La norme PCI DSS comprend des étapes fondées sur les bonnes pratiques de sécurité à travers les secteurs.
Directives et règles de qualité relevant des bonnes pratiques (GxP)
Cet ensemble de directives et de règles vise à garantir la sécurité des produits biopharmaceutiques, le respect de leurs utilisations prévues et des processus de qualité durant la production, le contrôle, le stockage et la distribution.
Trusted Information Security Assessment Exchange (TISAX)
La norme TISAX encadre l'acceptation mutuelle d'évaluations de la sécurité de l'information dans l'industrie automobile et fournit un protocole commun d'évaluation et d'échange.
Les sites SAP suivants ont été évalués au niveau TISAX AL3 (grands besoins de protection) : St. Leon-Rot et Walldorf (Allemagne) ; Bengaluru (Inde) ; San Pedro Garza Garcia (Mexique) ; Bucarest (Roumanie) ; Chicago, Colorado Springs, Newton Square et Palo Alto (États-Unis). Aucune non-conformité n'a été constatée dans les zones de contrôle évaluées.
Retrouvez les évaluations TISAX à l'aide des termes de recherche suivants :
Identifiant de périmètre : S0R94X
Identifiants d'évaluation : AMFL1Y-1, AMFL1Y-2
Accessibilité
Sur demande, SAP fournit des informations sur la conformité de ses produits aux normes US Section 508, WCAG 2.2 et EN 301 549 au moyen du modèle volontaire sur l'accessibilité des produits.
Cloud Security Alliance (CSA)
Cloud Security Alliance est un organisme à but non lucratif qui développe et promeut de bonnes pratiques de sécurité en matière de Cloud Computing. Il guide SAP dans ses déploiements.
Éthique et conformité
SAP s'engage à appliquer les normes éthiques les plus strictes. Nous voulons gérer nos affaires avec intégrité. Nous respectons la lettre et l'esprit de la loi sur tous les marchés sur lesquels nous opérons dans le monde.
IDW PS 880
Attestations relatives aux logiciels SAP et conformes aux exigences de l'Institut allemand des auditeurs publics (IDW).
Voir les offres de conformité régionales SAP
CANADA
Conformité cloud au Canada
Les services cloud SAP ont été évalués par le gouvernement canadien sur le fondement du profil de contrôle de sécurité Protégé B / Intégrité moyenne / Disponibilité moyenne (PBMM). SAP Sovereign Cloud pour le Canada a également été évalué d'après les critères de la couche supplémentaire pour les actifs de haute valeur Protégé B (PBHVA). De plus, SAP Canada Inc. est inscrite au Programme des marchandises contrôlées (PMC) du Canada comme le requiert la législation canadienne. Les clients peuvent vérifier notre inscription dans le registre PMC public et demander des copies de notre certificat ainsi que des synthèses d'évaluation cloud du Centre canadien pour la cybersécurité (CCCS).
Programme fédéral américain de gestion des risques et des autorisations (FedRAMP)
La sécurité se trouve au cœur de tout projet IT gouvernemental. FedRAMP développe une approche standardisée de l'évaluation de la sécurité, des autorisations et du suivi continu pour les produits et services cloud.
UE
Catalogue des critères de conformité Cloud Computing (C5)
Du fait de sa neutralité, de son périmètre, de son caractère synthétique et de sa testabilité, C5 est reconnu comme un socle stable d'audit interne et de gestion de la sécurité de l'information dans les secteurs réglementés.
UE
Directive sur les réseaux et systèmes d'information (NIS2)
NIS 2 est la plus récente directive de l'UE visant à harmoniser et améliorer le cadre de cybersécurité européen pour les fournisseurs d'infrastructures critiques (CI). En plus d'être un fournisseur de CI enregistré, SAP aide des fournisseurs de CI de nombreux pays à se conformer à leur législation respective en matière de cybersécurité. SAP est un fournisseur de CI enregistré en Allemagne (KRITIS) en vertu de la législation allemande. Nous suivons de près l'adoption par l'Allemagne de son projet de loi NIS 2. Nous vous fournirons davantage d'informations en cas d'évolution.
UE
Règlement sur la résilience opérationnelle digitale (DORA)
Les ESA (autorités européennes de surveillance) ont officiellement désigné SAP comme prestataire tiers critique de services TIC (CTPP) le 17 novembre 2025. Cette désignation reconnaît le rôle essentiel de SAP dans l'infrastructure digitale du secteur financier. En sa qualité de CTPP, SAP est sous la supervision directe des ESA, ce qui garantit une résilience opérationnelle et une gestion des risques accrues. Pour nos clients dans les fonctions Finance, cette désignation renforce la transparence et la confiance. Elle prouve que SAP respecte les normes de sécurité et de continuité les plus strictes dans le cadre de la fourniture de services TIC au secteur financier.
UE
Code de conduite cloud de l'UE
Soutenu par le Comité européen de la protection des données et approuvé par l'autorité belge de protection des données, le Code de conduite cloud de l'UE permet aux prestataires de services cloud de prouver leur conformité à l'article 28 du RGPD et aux articles connexes.
UE
Règlement sur les données de l'UE
Le règlement sur les données (applicable depuis le 12 septembre 2025) vise à améliorer l'économie européenne de la donnée et à renforcer la compétitivité du marché de la donnée en rendant les données plus accessibles et exploitables. Il encourage l'innovation fondée sur les données et la disponibilité des données. Ce règlement s'applique aux 27 États membres de l'UE. Il donne aux clients cloud de services de traitement de données la possibilité de changer de fournisseur dans le respect d'un délai de préavis défini.
UE
Loi de l'UE sur l'intelligence artificielle
La loi de l'UE sur l'IA est une nouvelle loi dense conçue pour traiter les potentiels risques pour la santé, la sécurité et les droits fondamentaux découlant du développement et de l'utilisation des technologies d'intelligence artificielle.
ESPAGNE
Cadre espagnol de sécurité (ENS)
Ce Cadre de sécurité national englobe les principes de base et les exigences minimales nécessaires à la protection adéquate des informations traitées et des services fournis par une entreprise. La conformité ENS contribue à garantir l'accès, la confidentialité, l'intégrité, la traçabilité, l'authenticité, la disponibilité et la conservation des services et données traités par voie électronique.
Royaume-Uni
Certification Cyber Essentials au Royaume-Uni
Cyber Essentials est un programme de certification en cybersécurité soutenu par le gouvernement britannique. Il aide les entreprises à se protéger contre les menaces cyber les plus courantes. La certification se décline en deux niveaux :
- Cyber Essentials (niveau 1) : auto-évaluation sous forme de questionnaire rempli par l'entreprise, puis examiné par un organisme de certification indépendant.
- Cyber Essentials Plus (niveau 2) : audit technique des systèmes IT inclus dans le périmètre par un organisme de certification indépendant.
AUSTRALIE
Évaluation de la sécurité cloud (IRAP-CSA)
Le cadre d'autorisation et d'évaluation de la sécurité cloud du gouvernement australien propose aux équipes cybersécurité des entreprises, aux architectes cloud et aux commerciaux une méthode pour effectuer une évaluation des risques conjointe et utiliser les services cloud SAP de manière sûre.
CHINE
Programme de protection en cybersécurité (CCPS)
Chaque entreprise qui détient, gère ou exploite des systèmes ou des réseaux dans la Chine continentale est tenue par la loi de se conformer au CCPS, une certification de cybersécurité réglementaire régionale imposée par l'article 21 de la loi chinoise sur la cybersécurité. Le CCPS est un programme de sécurité national qui définit une approche standardisée de la conception, de l'évaluation, de l'audit, de la certification, du renouvellement et du suivi continu en matière de sécurité sur le fondement des exigences de sécurité de base pour les systèmes et les réseaux hébergés en Chine continentale.
JAPON
Programme de gestion et d'évaluation de la sécurité des systèmes d'information (ISMAP)
Le programme japonais de gestion et d'évaluation de la sécurité des systèmes d'information (ISMAP) permet aux administrations publiques d'évaluer et d'enregistrer les services cloud qui répondent à leurs exigences de sécurité. Ce programme se fonde sur le cadre de base pour le système d'évaluation de la sécurité des services cloud dans les systèmes d'information des administrations publiques.
CORÉE DU SUD
Institut de sécurité financière de Corée du Sud
Certaines solutions SAP ont répondu aux exigences de l'évaluation déléguée 2024 du règlement sur la supervision des transactions financières électroniques (RSEFT). En Corée du Sud, le secteur financier est soumis à diverses normes et règles en matière de cybersécurité. Les établissements financiers jugés conformes à la suite de l'évaluation déléguée peuvent déployer des solutions SAP conformes pour traiter et conserver des données, sous réserve de respecter les mesures de sécurité applicables.
Ressources conformité
Éthique et conformité chez SAP
Fidèle à son code de déontologie et sa charte de conduite dans ses activités, SAP a un effet positif sur le développement social et économique, et promeut ainsi l'éducation, la justice, la démocratie, la prospérité et la santé dans le monde.