Ofertas de SAP para compliance
La Ley de Resiliencia Operativa Digital (DORA)
SAP ha sido designado oficialmente por las AES (Autoridades Europeas de Supervisión) como Proveedor Crítico de Servicios TIC de Terceros (CTPP). SAP está abordando a nivel global las implicancias para nuestros clientes, partners y proveedores.
Calendario de desempeño SOC y C5 AF 2025-2026
SAP está comprometida con la presentación de informes oportuna y transparente. Los informes SOC 1 están destinados a publicarse dentro de los 90 días posteriores a cada período de desempeño. Los informes SOC 2 siguen un ciclo de auditoría de 12 meses, y la próxima publicación está programada para la primera mitad de 2026. Por cualquier pregunta, su ejecutivo de cuenta o partner de éxito del cliente está listo para brindarle ayudar.
ISO/IEC 42001 para sistemas de gestión con IA
SAP ha obtenido la certificación ISO/IEC 42001, el primer estándar global para sistemas de gestión con IA. Esto refleja nuestra implementación de un sistema de gestión de IA estructurado y auditado de manera independiente.
Conozca nuestras ofertas para compliance que dan soporte a las necesidades de negocio de nuestros clientes
SAP se compromete a priorizar el compliance a través de prácticas y estándares precisos que garanticen integridad de los datos, la adhesión regulatoria y una conducta ética en todas las operaciones de nuestros clientes.
Documentos de compliance on-demand
El portal para clientes SAP for Me es el punto de acceso central y destino de referencia para que los clientes existentes de SAP descarguen documentos sobre compliance elegibles on-demand. La función está disponible en la sección "Portfolio & Products" de SAP for Me.
Informes de SAP Central Cloud Services
SAP publicará nuevos informes SOC 1, SOC 2 y C5 como SAP Central Cloud Services. Estos informes reemplazan los anteriores informes SOC 1 de SAP Business Technology Platform, SAP Cloud Infrastructure, y SAP Cell and Gene Therapy Orchestration y SAP Intelligent Clinical Supply Management.
Ofertas de compliance global de SAP
SAP construye su base de seguridad sobre estándares globales y compliance para enfrentar desafíos en evolución. Explore nuestras certificaciones, informes y declaraciones más recientes como garantía de confianza.
Sistema de gestión de IA ISO/IEC 42001
La norma ISO 42001 establece requisitos de auditoría para una gobernanza responsable de la inteligencia artificial en cuanto a políticas, gestión de riesgos, implementación, monitoreo y mejora continua. Brinda soporte a la transparencia, supervisión humana, seguridad, privacidad y necesidades regulatorias de los usuarios.
Sistema para gestión de calidad ISO 9001
La norma ISO 9001 se basa en principios de gestión de la calidad (tales como un fuerte enfoque en el cliente) que involucran a la dirección ejecutiva de SAP.
Sistema para gestión de seguridad ISO 27001
ISO/IEC 27001 brinda un enfoque holístico y basado en riesgos para la seguridad, así como un conjunto integral y medible de prácticas de gestión de la seguridad de la información.
BS 10012 ‑ Sistema para gestión de la información personal
BS 10012 incluye capacitación en concientización sobre seguridad para colaboradores, evaluaciones de riesgos, retención y eliminación de datos.
Código de prácticas para información de identificación personal ISO 27018
ISO/IEC 27018 establece directrices para que los proveedores de servicios en la nube protejan la información de identificación personal. También brinda soporte a la norma ISO 27001 recomendando controles de seguridad de la información para proteger los datos personales en la nube pública.
Código de prácticas para seguridad de la información de servicios en la nube ISO 27017
ISO/IEC 27001 brinda controles de seguridad de la información para servicios en la nube. También da soporte a la norma ISO 27001 al proporcionar orientación sobre controles de seguridad de la información específicos para la nube.
Sostenibilidad ISO 14001 e ISO 50001
Un certificado multisitio confirma que el sistema para gestión ambiental de SAP cumple con el estándar internacional ISO 14001:2015. El Apéndice de este certificado incluye todos los sitios certificados cubiertos por el sistema de SAP para gestión ambiental. En algunos sitios tenemos una certificación ISO50001:2018, la cual garantiza que estamos alineados con los estándares de gestión de energía.
Sistema para gestión de continuidad del negocio ISO 22301
Protege las operaciones de negocio frente a disrupciones graves tales como clima extremo, incendios, desastres naturales, robos, cortes de TI, y más.
Informes SOC 1
Los auditores de los estados financieros de los clientes de SAP reciben información de SAP sobre los controles de soluciones en la nube, la cual suele ser relevante para el control interno respecto a la información financiera de un cliente. Este informe de SOC 1 sigue los estándares SSAE 18 e ISAE 3402 para auditar los compromisos, e incluye una descripción detallada del diseño (tipo I/tipo II) y la eficacia (tipo II) de los controles auditados.
Informes SOC 2
Los usuarios obtienen información estratégica relevante sobre la seguridad, disponibilidad e integridad del procesamiento, así como la confidencialidad o privacidad de los datos de los sistemas de control. Los informes SOC 2 siguen las normas de auditoría ISAE 3000 y AT 101, y se basan en los principios de servicios de confianza de la AICPA. Incluye una descripción detallada del diseño (tipo I/tipo II) y la eficacia (tipo II) de los controles auditados.
Bridge letters
Las bridge letters informan a los clientes sobre cualquier cambio significativo en sus entornos de control, desde la fecha de finalización del informe SOC más reciente hasta la fecha de emisión de la bridge letter.
Estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS)
Este estándar global de seguridad de datos es adoptado por las marcas de tarjetas de pago para todas las entidades que procesan, almacenan o transmiten datos de titulares de tarjetas. PCI DSS consiste en pasos que reflejan las mejores prácticas de seguridad en todas las industrias.
Guías y regulaciones de calidad para buenas prácticas (GxP)
Esta colección de guías y regulaciones se crea para garantizar que los productos biofarmacéuticos sean seguros, cumplan con sus usos previstos y adhieran a procesos de calidad durante la fabricación, control, almacenamiento y distribución.
Intercambio de evaluación de seguridad sobre información confiable (TISAX)
TISAX habilita la aceptación mutua de evaluaciones de seguridad de la información en la industria automotriz, y brinda un protocolo común para la evaluación y el intercambio.
Las siguientes ubicaciones de SAP han sido evaluadas en TISAX AL3 (alta necesidad de protección) con cero falta de conformidad en las áreas de control examinadas: St. Leon-Rot y Walldorf, Alemania; Bengaluru, India; San Pedro Garza García, México; Bucarest, Rumania; Chicago, Colorado Springs, Newton Square y Palo Alto, Estados Unidos.
Encuentre evaluaciones TISAX con estos términos de búsqueda:
ID del alcance: S0R94X
ID de la evaluación: AMFL1Y-1, AMFL1Y-2
Accesibilidad
SAP brinda bajo solicitud información sobre compliance de nuestros productos con los estándares US Section 508, WCAG 2.2 y EN 301 549, basada en la Plantilla Voluntaria de Accesibilidad de Productos.
Alianza para la seguridad en la nube (CSA)
Cloud Security Alliance (CSA), una organización sin fines de lucro que desarrolla y promueve las mejores prácticas de seguridad para computación en la nube, brinda enfoque y orientación para implementaciones de SAP.
Ética y compliance
SAP está comprometida con los más altos estándares de prácticas de negocio éticas. Nos esforzamos por hacer negocios con integridad y seguir tanto el espíritu como la letra de la ley en todos los mercados globales en los cuales operamos.
IDW PS 880
Constancias de conformidad del software de SAP con el instituto de auditores públicos de Alemania (IDW).
Ofertas regionales de compliance de SAP
CANADÁ
Canadian Centre for Cyber Security Cloud Compliance
El Government of Canada Cloud Service Provider Security Assessment Process brinda un medio para que los prestadores de servicios en la nube se sometan a evaluaciones estandarizadas que informen a los propietarios responsables sobre la evaluación y autorización de seguridad. Los servicios en la nube de SAP han sido evaluados conforme al perfil de control Protected B/Medium Integrity/Medium Availability (PBMM).
Federal Risk and Authorization Management Program (FedRAMP) de EE. UU.
Para las agencias gubernamentales, la seguridad está en el corazón de todo proyecto de TI. FedRAMP ofrece un enfoque estandarizado para la evaluación de seguridad, autorización y monitoreo continuo de productos y servicios en la nube.
UE
Catálogo de controles de cumplimiento para computación en la nube (C5)
Debido a su neutralidad, alcance, naturaleza compacta y capacidad de prueba, C5 se ha consolidado como una certificación para una base estable en la auditoría interna y en la gestión de la seguridad de la información en industrias reguladas.
UE
Directivas sobre redes e información (NIS2)
La NIS2 es la directiva más reciente de la UE destinada a armonizar y mejorar el marco de ciberseguridad para los proveedores de infraestructuras críticas (CI). Además de ser un proveedor de CI registrado, SAP también brinda soporte a los proveedores de CI en el cumplimiento de las regulaciones de ciberseguridad de sus respectivos países. SAP es un proveedor de CI registrado en Alemania (KRITIS), sujeto a la jurisdicción alemana. Estamos monitoreando la adopción del proyecto de ley NIS2 por parte de Alemania y brindaremos actualizaciones adicionales a medida que evolucionen los acontecimientos.
UE
La Ley de Resiliencia Operativa Digital (DORA)
SAP ha sido designada oficialmente por las Autoridades Europeas de Supervisión (ESAs) como Proveedor Crítico de Servicios TIC de Terceros (CTPP) el 17 de noviembre de 2025. Esta designación reconoce el rol esencial de SAP en dar soporte a la infraestructura digital del sector financiero. Como CTPP, SAP está sujeta a la supervisión directa de las ESA, lo cual garantiza una mayor resiliencia operativa y gestión de riesgos. Para nuestros clientes de servicios financieros, esta designación refuerza la transparencia y la confianza, demostrando que SAP cumple con los más altos estándares de seguridad y continuidad en la prestación de servicios TIC para la industria financiera.
UE
Código de Conducta en la Nube de la UE
Respaldado por el Comité Europeo de Protección de Datos y aprobado por la Autoridad de Protección de Datos de Bélgica, el Código de Conducta en la Nube de la UE permite a los proveedores de servicios en la nube demostrar el cumplimiento del Artículo 28 del RGPD y artículos relacionados.
UE
Ley de Datos de la UE
La Ley de Datos (vigente desde el 12 de septiembre de 2025) está diseñada para mejorar la economía de datos de la UE y fomentar un mercado de datos competitivo haciendo que estos sean más accesibles y utilizables, alentando la innovación impulsada por datos y aumentando su disponibilidad. La ley está vigente en los 27 estados miembros de la UE y ofrece a los usuarios de servicios de procesamiento de datos en la nube el derecho a cambiar de proveedor dentro de un período de preaviso definido.
UE
Ley de Inteligencia Artificial de la UE (Ley de IA de la UE)
La Ley de IA de la UE es una nueva legislación integral diseñada para abordar los posibles riesgos para la salud, la seguridad y los derechos fundamentales derivados del desarrollo y uso de tecnologías de inteligencia artificial.
ESPAÑA
Marco Nacional de Seguridad (ENS) de España
El Esquema Nacional de Seguridad (ENS) de España está conformado por los principios básicos y requisitos mínimos necesarios para una adecuada protección de la información procesada y para los servicios prestados por una organización. El cumplimiento del ENS ayuda a garantizar el acceso, la confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de los datos y servicios procesados por medios electrónicos.
Reino Unido
Certificación Cyber Essentials del Reino Unido
Cyber Essentials es un programa de certificación en ciberseguridad respaldado por el gobierno del Reino Unido que ayuda a las organizaciones a protegerse contra amenazas cibernéticas comunes. La certificación está disponible en dos niveles:
- Cyber Essentials (Nivel Uno) es una autoevaluación en la que las organizaciones completan un cuestionario, el cual es revisado posteriormente por un organismo de certificación independiente.
- Cyber Essentials Plus (Nivel Dos) es una auditoría técnica de los sistemas de TI definidos, realizada por un organismo de certificación independiente.
AUSTRALIA
Evaluación de seguridad en la nube (IRAP-CSA)
El Cloud Security Assessment and Authorization Framework del gobierno australiano define un medio para que los equipos de ciberseguridad, arquitectos en la nube y representantes de negocios de una organización realicen conjuntamente una evaluación de riesgos y usen de forma segura los servicios de SAP en la nube.
CHINA
Esquema de protección clasificada de ciberseguridad (CCPS)
Toda organización que posea, opere o administre sistemas o redes en la China continental está legalmente obligada a cumplir con el CCPS, una certificación regional de ciberseguridad regulatoria exigida por el Artículo 21 de la Ley de Ciberseguridad de China. CCPS es un programa de seguridad a nivel nacional que brinda un enfoque estandarizado para el diseño, evaluación, auditoría, certificación, renovación y monitoreo continuo de la seguridad conforme a los requisitos básicos de seguridad de CCPS para sistemas y redes alojados en la China continental.
JAPÓN
Programa para gestión y evaluación de la seguridad de sistemas de información (ISMAP) de Japón
ISMAP es el programa de Japón para la gestión y evaluación de seguridad de los sistemas de información que le permite a los gobiernos evaluar y registrar servicios en la nube que cumplen con los requisitos de seguridad del gobierno. Este programa se basa en el marco básico para el sistema de evaluación de seguridad de los servicios en la nube de los sistemas de información gubernamentales.
COREA DEL SUR
South Korea Financial Security Institute
Soluciones seleccionadas de SAP han completado con éxito la Evaluación Delegada de la Regulación de Monitoreo de Transacciones Financieras Electrónicas (RSEFT). El sector financiero en Corea del Sur está obligado a cumplir con una serie de estándares y regulaciones de ciberseguridad. Las instituciones financieras en Corea del Sur que aprueben la Evaluación Delegada pueden implementar soluciones SAP en regla para procesar y almacenar datos, siempre que cumplan con las medidas de seguridad vigentes.
Recursos de cumplimiento
Ética y cumplimiento en SAP
Haciendo negocios de la manera correcta, de acuerdo con nuestro código global de ética y conducta en los negocios, SAP puede tener un impacto positivo en el desarrollo social y económico, fomentando la educación, justicia, democracia, prosperidad, desarrollo y salud en todo el mundo.