《数字运营弹性法案》(DORA)
SAP 已被欧洲监管机构 (ESAs) 正式指定为关键 ICT 第三方服务提供商 (CTPP)。SAP 采取了一系列措施来应对 DORA 对全球 SAP 客户、合作伙伴和供应商的影响。
2025-2026 财年 SOC 和 C5 绩效日历
SAP 致力于及时透明地发布报告。SOC 1 报告计划在每个绩效评估期结束后的 90 天内发布。SOC 2 报告遵循 12 个月的审计周期,下一版报告计划于 2026 年上半年发布。如有任何问题,请随时联系你的客户经理或客户成功合作伙伴获取帮助。
AI 管理体系 ISO/IEC 42001 认证
SAP 获得 ISO/IEC 42001 认证,这是全球首个针对 AI 管理体系的国际标准。这一认证表明我们所实施的是经过独立审计的结构化 AI 管理体系。
SAP 通过各种合规认证,满足客户的业务需求
SAP 非常注重合规性,始终坚持遵循严格的标准和实践,确保在客户的运营中,保证数据的完整性,遵守法律法规,并以符合道德规范的方式行事。
按需获取合规文档
SAP for Me 客户门户是一个集中访问点。在这里,SAP 客户可以按需下载符合条件的合规文档。前往 SAP for Me 的 “Portfolio & Products”(产品组合和产品)板块,即可找到该功能。
SAP Central Cloud Services 报告
SAP 将发布全新的 SOC 1、SOC 2 和 C5 报告作为 SAP Central Cloud Services。这些报告会取代之前的 SOC 1 SAP Business Technology Platform [业务技术云平台]、SAP Cloud Infrastructure 以及 SAP Cell and Gene Therapy Orchestration 和 SAP Intelligent Clinical Supply Management 报告。
SAP 全球合规产品和服务
SAP 以全球安全标准与合规要求为基石构建安全体系,积极应对不断变化的挑战。查看 SAP 的最新合规证书、报告和证明,获得可信赖的保障。
ISO/IEC 42001 AI 管理体系
ISO 42001 为负责任 AI 治理制定审计要求,涵盖政策、风险管理、部署、监控和持续改进等环节。该管理体系支持透明化运作、人工监督、安全保障和隐私保护,并帮助客户满足监管需求。
ISO 27018 个人身份信息处理实务守则
ISO/IEC 27018 体系为云服务提供商提供了个人身份信息保护指南。此外,该守则还支持 ISO 27001 标准,能够为公有云中的个人数据保护提供信息安全控制建议。
ISO 27017 云服务信息安全实务守则
ISO/IEC 27001 体系提供了云服务信息安全控制机制。该守则还支持 ISO 27001 标准,能够为云特定信息安全控制提供指南。
可持续发展管理体系 ISO 14001 和 ISO 50001
这种多站点认证确认了 SAP 的环境管理系统符合国际 ISO 14001:2015 标准。此认证的附录中列出了 SAP 环境管理系统中涵盖的所有经过认证的站点。部分站点还通过了 ISO50001:2018 认证,确保我们符合能源管理标准。
SOC 1 报告
SAP 客户财务报表的审计师会收到 SAP 云解决方案控制措施的相关信息,因为这通常关系到客户对财务报表的内部控制。SOC 1 报告采用 SSAE 18 和 ISAE 3402 审计标准,详细说明了所审计的控制措施的设计(Ⅰ 类/Ⅱ 类)和效能(Ⅱ 类)。
SOC 2 报告
通过该报告,客户能够了解 SAP 采取了哪些控制措施来确保数据的安全性、可用性、处理完整性、机密性或隐私性。SOC 2 报告采用 ISAE 3000 和 AT 101 审计标准,以 AICPA 的信托服务原则为基础,详细说明了所审计控制措施的设计(Ⅰ 类/Ⅱ 类)和效能(Ⅱ 类)。
支付卡行业数据安全标准 (PCI DSS)
这一全球数据安全标准被支付卡品牌用于规范所有处理、存储或传输持卡人数据的实体。PCI DSS 标准包含了一系列反映各行各业安全管理卓越实践的步骤。
可信信息安全评估交换 (TISAX)
可信信息安全评估交换(简称 TISAX)可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
SAP 设在以下地点的运营机构被评估为 TISAX AL3(高保护需求)级别,且接受评估的控制领域的不合格项为零:圣里昂洛特和瓦尔多夫(德国);班加罗尔(印度);圣佩德罗加尔萨加西亚(墨西哥);布加勒斯特(罗马尼亚);芝加哥、科罗拉多斯普林斯、新城广场和帕洛阿尔托(美国)。
使用以下搜索条件查找 TISAX 评估文件:
范围 ID:S0R94X
评估 ID:AMFL1Y-1、AMFL1Y-2
无障碍设计
SAP 将根据要求,按照自愿性产品无障碍功能模板 (Voluntary Product Accessibility Template),提供有关 SAP 产品符合美国《康复法案第 508 条》、《Web 内容无障碍指南 2.2》(WCAG 2.2) 以及欧洲无障碍性标准 EN 301 549 的信息。
SAP 各区域合规产品和服务
加拿大
加拿大网络安全云合规中心
加拿大政府云服务提供商安全评估流程为云服务商提供了标准化的评估机制,旨在协助风险责任方开展安全评估与授权工作。SAP 云服务已经根据 Protected B/Medium Integrity/Medium Availability 控制配置文件 (PBMM) 完成了合规性评估。
联邦风险和授权管理计划
对于政府机构而言,安全性是所有 IT 项目的核心。联邦风险和授权管理计划(简称 FedRAMP)为云产品和服务提供了标准化的安全评估、授权和持续监控方法。
欧盟
网络和信息系统指令 (NIS2)
NIS2 是欧盟最新颁布的指令,旨在协调和改进针对关键基础设施 (CI) 提供商的网络安全框架。SAP 不仅是注册的 CI 提供商,还为多个国家和地区的 CI 提供商提供支持,帮助他们遵守相应的网络安全法规。作为德国注册的 CI 提供商 (KRITIS) ,SAP 受德国司法管辖。我们一直在密切关注德国通过 NIS2 法律草案的情况,并将根据事态发展提供进一步的更新。
欧盟
《数字运营弹性法案》(DORA)
SAP 已于 2025 年 11 月 17 日被欧洲监管机构 (ESAs) 正式指定为关键 ICT 第三方服务提供商 (CTPP)。此项资质认定认可了 SAP 在支持金融行业数字化基础架构方面发挥的关键作用。作为 CTPP,SAP 接受 ESAs 的直接监管,这样能够确保加强运营韧性和风险管理。对于 SAP 的金融服务行业客户而言,此项资质认定加强了他们对 SAP 的了解和信任,充分证明 SAP 在为金融行业提供 ICT 服务时,已达到安全和业务连续性方面的最高标准。
欧盟
欧盟云行为准则
《欧盟云行为准则》获得了欧洲数据保护委员会认可,并通过了比利时数据保护局的批准,可以帮助云服务提供商证明自身遵守 GDPR 第 28 条要求及其相关条款。
欧盟
欧盟《数据法案》
欧盟《数据法案》(自 2025 年 9 月 12 日起生效)旨在通过提升数据可访问性和易用性、鼓励数据驱动的创新以及提高数据可用性,增强欧盟数据经济,促进竞争性数据市场。该法案适用于欧盟 27 个成员国,赋予了数据处理服务云客户在规定通知期限内更换提供商的权利。
欧盟
欧盟《人工智能法案》(EU AI Act)
欧盟《人工智能法案》是一部新出台的综合性法案,旨在应对人工智能技术在研发和应用过程中,对人类健康、安全及基本权利构成的各类潜在风险。
西班牙
西班牙国家安全框架
为了充分保护企业所处理的信息和提供的服务,西班牙国家安全框架 (ENS) 规定了一系列必要的基本原则和最低要求。遵守该框架可以确保以电子方式处理的数据和服务的可访问性、机密性、完整性、可追溯性、真实性、可用性和受保护性。
英国
英国 Cyber Essentials 认证
Cyber Essentials 是英国政府推出的一项网络安全认证计划,旨在帮助组织防范常见的网络威胁。这项认证包含两个级别:
- Cyber Essentials(一级):进行自我评估,企业自行填写问卷,然后由独立的认证机构进行审查。
- Cyber Essentials Plus(二级): 由独立认证机构对评估的 IT 系统进行技术审核。
中国
网络安全等级保护制度 (CCPS)
在中国大陆境内拥有、运营或管理系统或网络的任何组织,均需依法遵守中国网络安全等级保护制度(简称 CCPS)。该制度是依据《中华人民共和国网络安全法》第 21 条设立的区域性监管网络安全认证体系。作为一项国家网络安全计划,CCPS 制度针对托管在中国大陆境内的系统和网络的安全设计、评估、审计、认证、续期及持续监控提供了标准化的方法,确保其符合 CCPS 基线安全要求。
日本
信息系统安全管理和评估计划 (ISMAP)
ISMAP 是日本的一项信息系统安全管理和评估计划,旨在帮助政府评估和注册符合其安全要求的云服务。该计划基于“政府信息系统云服务安全评估体系基本框架”创建。
韩国
韩国金融安全研究院
部分 SAP 解决方案已经成功完成 2024 年《电子金融交易监督条例》(RSEFT) 授权评估。在韩国,金融业必须遵守多项网络安全标准和法规。通过了授权评估认证的韩国金融机构可以在确保落实适用安全措施的前提下,部署合规的 SAP 解决方案用于处理和存储数据。
合规资源
SAP 商业伦理与合规管理
SAP 严格遵守 《全球商业行为与道德准则》(Global Code of Ethics and Business Conduct),坚持合规经营,为社会和经济发展作出积极的贡献,推动全球教育、司法、民主建设和医疗卫生领域的进步,实现经济繁荣、社会发展。