Ofertas de SAP para compliance
Conozca nuestras ofertas para compliance que dan soporte a las necesidades de negocio de nuestros clientes
SAP se compromete a priorizar el compliance a través de prácticas y estándares precisos que garanticen integridad de los datos, adhesión regulatoria y conducta ética en todas las operaciones de nuestros clientes. Explore cómo obtener información estratégica sobre estas áreas críticas.
Documentos de compliance on-demand
El portal para clientes SAP for Me es el punto de acceso central y destino de referencia para que los clientes existentes de SAP descarguen documentos sobre compliance elegibles on-demand. La función está disponible en la sección "Portfolio & Products" de SAP for Me.
Informes de SAP Central Cloud Services
SAP lanzará nuevos informes de SOC1, SOC2 y C5 como “SAP Central Cloud Services”. Estos informes reemplazan los informes previos de “SAP Business Technology Platform”, “SAP Cloud Infrastructure” y “SAP Cell and Gene Therapy Orchestration and SAP Intelligent Clinical Supply Management” (solo SOC1).
ISO/IEC 42001 para sistemas de gestión con IA
SAP ha obtenido la certificación ISO/IEC 42001, el primer estándar global para sistemas de gestión con IA. Esto refleja nuestra implementación de un sistema de gestión de IA estructurado y auditado de manera independiente.
Actualizaciones de DORA
Con la aplicabilidad de la Ley de Resiliencia Operativa Digital (DORA) de la UE desde enero de 2025, SAP aborda sus implicaciones para nuestros clientes, partners y proveedores a nivel global. Revise la información útil para los esfuerzos de compliance de su empresa.
Ofertas de SAP para compliance: explore certificados, informes y certificaciones
En SAP, nos mantenemos al tanto de los crecientes desafíos de seguridad construyendo una base tecnológica a partir de estándares, compliance y requisitos regulatorios de la industria. Vea nuestras últimas ofertas e informes de compliance de seguridad.
Sistema de gestión con IA ISO/IEC 42001
Establece requisitos auditados para la gobernanza responsable de la IA en políticas, gestión de riesgos, implementación, monitoreo y mejora continua. Brinda soporte a la transparencia, supervisión humana, seguridad y privacidad, y ayuda a los usuarios con las necesidades regulatorias.
Sistema para gestión de calidad ISO 9001
Basado en principios de gestión de calidad que incluyen un foco claro sobre el cliente e involucran a la alta gerencia de SAP con el objetivo final de la mejora continua.
Sistema para gestión de seguridad ISO/IEC 27001
Brinda un enfoque holístico y basado en riesgos y un conjunto mensurable y comprensible de prácticas para gestión de seguridad de la información.
Sistema para gestión de continuidad del negocio ISO 22301
Protege las operaciones de negocio frente a disrupciones graves tales como clima extremo, incendios, desastres naturales, robos, cortes de TI, y más.
BS 10012 ‑ Sistema para gestión de la información personal
Incluye capacitación de concientización sobre seguridad del empleado, evaluaciones de riesgo, retención y eliminación de datos.
Código de prácticas para información de identificación personal ISO/IEC 27018
Orientación para que prestadores de servicios en la nube protejan información de identificación personal (PII). Brinda soporte al ISO/IEC 27001 recomendando controles de seguridad de la información para proteger datos personales en la nube pública.
Código de prácticas para seguridad de la información de servicios en la nube ISO/IEC 27017
Códigos de práctica para controles de seguridad de la información de servicios en la nube. Brinda soporte al ISO/IEC 27001 con orientación sobre controles de seguridad de la información específicos de la nube.
Sostenibilidad ISO 14001 e ISO 50001
Un certificado multisitio confirma que el sistema para gestión ambiental de SAP cumple con el estándar internacional ISO 14001:2015. El Apéndice de este certificado incluye todos los sitios certificados cubiertos por el sistema de SAP para gestión ambiental. En algunos sitios tenemos una certificación ISO50001:2018, la cual garantiza que estamos alineados con los estándares de gestión de energía.
Informes SOC 1
Los auditores de estados financieros del cliente reciben información de SAP sobre los controles de las soluciones en la nube, la cual suele ser relevante para el control interno de un cliente. Este informe de SOC 1 sigue los estándares SSAE 18 e ISAE 3402 para auditar los compromisos, e incluye una descripción detallada del diseño (tipo I/tipo II) y la eficacia (tipo II) de los controles auditados.
Informes SOC 2
Clientes y prospectos obtienen información estratégica sobre el sistema de control, la cual es relevante para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de los datos. El informe de SOC 2 sigue los estándares de auditoría ISAE 3000 y AT 101 y se basa en los principios de AICPA para servicios confiables. Incluye una descripción detallada del diseño (tipo I/tipo II) y la eficacia (tipo II) de los controles auditados.
Bridge letters
Las bridge letters están pensadas para cubrir la brecha entre la fecha de finalización del informe al que se hace referencia y la fecha de emisión de la bridge letter. Las bridge letters brindan a los clientes información sobre si hubo algún cambio significativo en su entorno de controles que pueda afectar de modo negativo a las conclusiones alcanzadas en el último examen del SOC recientemente finalizado.
Estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS)
Este estándar global para seguridad de datos, también conocido como PCI DSS, es adoptado por las marcas de tarjetas de pago de todas las entidades que procesan, almacenan o transmiten datos sobre los titulares. Consta de pasos que reflejan las mejores prácticas de seguridad en toda la industria.
Directivas y regulaciones de calidad de las buenas prácticas (GxP)
GxP es una colección de directrices y normativas de calidad creadas para garantizar que los productos biofarmacéuticos sean seguros, cumplan con el uso previsto, y adhieran a procesos de calidad durante la fabricación, control, almacenamiento y distribución.
Intercambio de evaluación de seguridad sobre información confiable (TISAX)
TISAX habilita la aceptación mutua de evaluaciones de seguridad de la información en la industria automotriz, y brinda un protocolo común para evaluación e intercambio.
Las siguientes ubicaciones de SAP SE son evaluadas según la TISAX AL3 (Necesidades de Alta Protección) con cero falta de conformidad para las áreas de control examinadas. Walldorf (Alemania), Bangalore (India), Bucarest (Rumania), Chicago (EE. UU.), Colorado Springs (EE. UU.), Newton Square (EE. UU.), Chicago (EE. UU.), St. Leon-Rot (Alemania), San Pedro Garza García (México) y Palo Alto (EE.UU.).
ID del alcance: S0R94X
ID de la evaluación: AMFL1Y-1, AMFL1Y-2
Europa
Catálogo de controles de cumplimiento para computación en la nube (C5)
Debido a su neutralidad, alcance, compactibilidad y capacidad para pruebas, el C5 de Alemania ha demostrado ser en las industrias reguladas un ejemplo de base estable para auditorías internas y para gestión de seguridad de la información.
La Ley de Resiliencia Operativa Digital (DORA)
DORA es un reglamento de la UE sobre ciberseguridad aplicable a partir del 17 de enero de 2025. Su objetivo es reforzar la seguridad y resiliencia de los servicios de tecnologías de información y comunicación (TIC) de entidades financieras tales como bancos, compañías aseguradoras y empresas de inversión, ayudando a mantener y restablecer las funciones financieras en caso de disrupción operativa grave. DORA armoniza varios requisitos legales de ciberseguridad para 20 tipos diferentes de entidades financieras y para prestadores de servicios de TIC externos. Alineada y basada en los requisitos NIS2, la DORA se vuelve prioritaria cuando implica a entidades financieras (lex specialis).
Código de conducta en la nube de la UE (EU Cloud CoC)
Avalado por el Comité Europeo de Protección de Datos y aprobado por la Autoridad de Protección de Datos de Bélgica, el EU Cloud CoC habilita a los prestadores de servicios en la nube para que demuestren su adhesión a los requisitos del RGPD (Artículo 28 y sus relacionados).
La Ley de Datos de la UE
La Ley de Datos (vigente desde el 12 de septiembre de 2025) está diseñada para mejorar la economía de datos de la UE y fomentar un mercado de datos competitivo haciendo que estos sean más accesibles y utilizables, alentando la innovación impulsada por datos y aumentando su disponibilidad. Aplicable en los 27 estados miembros de la Unión Europea, la ley otorga a los clientes de servicios en la nube (para servicios de procesamiento de datos) el derecho de cambiar de proveedores dentro de un período de aviso definido.
Directiva sobre redes e información (NIS2)
La NIS2 es la directiva más reciente de la UE destinada a armonizar y mejorar el marco de ciberseguridad para los proveedores de infraestructuras críticas (CI). Además de ser una proveedora registrada de CI, SAP presta servicios a proveedores de infraestructura crítica (CI) en muchos países de todo el mundo y contribuye al compliance de sus respectivas regulaciones de ciberseguridad. SAP es una proveedora registrada de CI en Alemania (KRITIS), sujeta a la jurisdicción alemana. Estamos monitoreando la adopción por parte de Alemania de su proyecto de ley NIS2 y brindaremos más actualizaciones a medida que evolucione la materia.
Marco Nacional de Seguridad (ENS) de España
El Esquema Nacional de Seguridad (ENS) de España está conformado por los principios básicos y requisitos mínimos necesarios para una adecuada protección de la información procesada y los servicios prestados por una organización. El cumplimiento del ENS ayuda a garantizar el acceso, confidencialidad, integridad, trazabilidad, autenticidad, disponibilidad y conservación de los datos y servicios procesados por medios electrónicos.
Certificación Cyber Essentials del Reino Unido
Cyber Essentials es un esquema de certificación de ciberseguridad respaldado por el gobierno del Reino Unido que ayuda a las organizaciones a protegerse contra amenazas cibernéticas comunes. Cyber Essentials está disponible en los siguientes niveles de certificación:
(Nivel Uno) Cyber Essentials: una autoevaluación, en la cual las organizaciones completan un cuestionario que luego es revisado y calificado por un organismo de certificación independiente.
(Nivel Dos) Cyber Essentials Plus: una auditoría técnica de sistemas informáticos delimitados por un organismo de certificación independiente.
Asia-Pacífico y Japón
Evaluación de seguridad en la nube (IRAP-CSA)
El Cloud Security Assessment and Authorization Framework del gobierno australiano define un medio para que los equipos de ciberseguridad, arquitectos en la nube y representantes de negocios de una organización realicen conjuntamente una evaluación de riesgos y usen de forma segura los servicios de SAP en la nube.
Esquema de protección clasificada de ciberseguridad (CCPS)
CCPS es una certificación de seguridad regulatoria regional de China, exigida por el artículo 21 de la Ley de Ciberseguridad de China (CCSL), que tiene como objetivo garantizar la ciberseguridad. Es un programa de seguridad nacional de China que brinda un enfoque estandarizado para el diseño, evaluación, auditoría, certificación, renovación y monitoreo continuo contra los requisitos de seguridad básicos de CCPS para sistemas/redes alojados en el territorio continental de China. Cada organización que posee/opera/administra sistemas/redes en el territorio continental de China tiene la obligación legal de compliance con la certificación CCPS.
Programa para gestión y evaluación de la seguridad de sistemas de información (ISMAP) de Japón
ISMAP es el programa de Japón para la gestión y evaluación de seguridad de los sistemas de información que le permite a los gobiernos evaluar y registrar servicios en la nube que cumplen con los requisitos de seguridad del gobierno. Este programa se fundamenta en el marco básico para la evaluación de seguridad de los servicios en la nube de sistemas de información gubernamentales de Japón.
South Korea Financial Security Institute
Soluciones seleccionadas de SAP han completado con éxito el Programa de Evaluación de Seguridad de Proveedores de Servicios en la Nube (CSP) de Corea del Sur de 2024, también conocido como la Evaluación Delegada de la Regulación de Supervisión de Transacciones Financieras Electrónicas (RSEFT). El sector financiero en Corea del Sur está obligado a cumplir con una serie de estándares y regulaciones de ciberseguridad. Tras aprobar la Evaluación Delegada realizada por el South Korea Financial Security Institute, las instituciones financieras en Corea del Sur ahora pueden implementar estas soluciones de SAP para mantener el compliance al procesar y almacenar datos, sujeto al cumplimiento de las medidas de seguridad aplicables para las empresas financieras.
Norteamérica
Canadian Centre for Cyber Security Cloud Compliance
El Government of Canada Cloud Service Provider Security Assessment Process brinda un medio para que los prestadores de servicios en la nube se sometan a evaluaciones estandarizadas que informen a los propietarios responsables sobre la evaluación y autorización de seguridad. Los servicios en la nube de SAP se evaluaron en función de los perfiles de control PROTECTED B / Medium Integrity / Medium Availability (Medium Cloud).
Federal Risk and Authorization Management Program (FedRAMP) de EE. UU.
Para las agencias gubernamentales, la seguridad está en el corazón de todo proyecto de TI. El Federal Risk and Authorization Management Program (FedRAMP) de EE. UU. brinda un enfoque estandarizado para evaluación de seguridad, autorizaciones, y monitoreo continuo de productos y servicios en la nube.
Accesibilidad del software de SAP
SAP brinda bajo solicitud información sobre el compliance de nuestros productos con los estándares US Section 508, WCAG 2.2 y EN 301 549 basados en VPAT(R). También están disponibles más detalles sobre la Accessibility Development Policy de SAP.
Alianza para la seguridad en la nube (CSA)
La Cloud Security Alliance (CSA), una organización sin fines de lucro que desarrolla y promueve las mejores prácticas de seguridad para computación en la nube, brinda enfoque y orientación para implementaciones de SAP.
Ética y compliance
SAP está comprometida con los más altos estándares de prácticas de negocio éticas. Nos esforzamos por hacer negocios con integridad y seguir tanto el espíritu como la letra de la ley en todos los mercados globales en los cuales operamos.
IDW PS 880
Constancias de conformidad del software de SAP con el instituto de auditores públicos de Alemania (IDW).
Recursos de cumplimiento
Ética y cumplimiento en SAP
Haciendo negocios de la manera correcta, de acuerdo con nuestro código global de ética y conducta en los negocios, SAP puede tener un impacto positivo en el crecimiento social y económico, fomentando la educación, justicia, democracia, prosperidad, desarrollo y salud en todo el mundo.
Procesos de prestación de servicios en la nube
Obtenga información estratégica sobre nuestros procesos de prestación en la nube y las formas en que dan soporte a las operaciones de negocio críticas para los servicios en la nube.