Home · About Veeva · Trust

Veeva Security Program Overview

Visão Geral do Programa de Segurança da Veeva

Na Veeva, nós nos orgulhamos de manter a confiança de nossos clientes, funcionários e da comunidade. Nossas soluções envolvem o armazenamento e a transmissão de informações proprietárias de nossos clientes, informações pessoais de profissionais médicos, informações pessoais de pacientes e participantes de estudos clínicos e outras informações confidenciais (coletivamente, “Dados”). Entendemos que nossa capacidade de manter a confidencialidade, a integridade e a disponibilidade desses Dados é fundamental para o nosso sucesso. Esta Visão Geral descreve nosso programa de segurança, nosso uso de prestadores de serviços terceirizados e as certificações de privacidade e segurança que recebemos.

Proteções	Práticas
Organizacional	Procedimentos Mantemos um programa documentado de privacidade de informações, segurança e gerenciamento de riscos com funções, responsabilidades, políticas e procedimentos claramente definidos. Nosso programa é baseado nos seguintes padrões: ISO 9001:2015 – Sistemas de gestão da qualidade ISO/IEC 27001:2013 – Gestão da segurança da informação SOC2 Tipo II – Controles de sistema e organização Integração do modelo de maturidade de capacidade do SEI (v1.3) Biblioteca de Infraestrutura de TI (ITIL) versão 3 ICH Q9 – Gerenciamento de risco de qualidade Revisamos e modificamos regularmente nosso programa de segurança para refletir as mudanças tecnológicas, regulamentações, leis, riscos, práticas do setor e de segurança e outras necessidades comerciais. Organização e gerenciamento de segurança Mantemos uma estrutura de responsabilidade e prestação de contas para o gerenciamento da segurança, projetada para: Coordenar nossos acordos de segurança da informação; Descrever o ponto de contato para questões de segurança da informação; Testar a eficácia das medidas de segurança; e Manter padrões de segurança aprovados. Nomeamos um responsável pela segurança da informação para ajudar os gerentes de negócios, usuários, equipe de TI e outros a cumprir suas responsabilidades de segurança da informação.
Pessoal	Papéis e Responsabilidades Mantemos funções e responsabilidades claramente definidas para todas as atividades de processamento de informações, incluindo o gerenciamento e o controle de sistemas operacionais, a administração e o suporte de redes de comunicação e o desenvolvimento de novos sistemas. As funções e os direitos de acesso dos operadores de computadores e administradores de sistemas são separados dos da equipe de desenvolvimento de redes e sistemas. Além disso, mantemos procedimentos para: Supervisionar a atividade de processamento de informações; Minimizar o risco de atividade imprópria ou erro; e Selecionar candidatos para cargos sensíveis à segurança. Treinamento Exigimos treinamento de segurança baseado em funções e conscientização sobre segurança. O treinamento subsequente de conscientização sobre segurança é exigido a cada dois anos para todos os funcionários ativos e contratados. Os funcionários em determinadas funções (por exemplo, representantes de suporte ao cliente, desenvolvedores e gerentes de contratação) recebem anualmente um treinamento de segurança de dados mais aprofundado e abrangente.
Gerenciamento de Identidade e Acesso	Política de acesso Atribuímos acesso a sistemas, aplicativos e informações associadas de acordo com nossas políticas de acesso documentadas, que incorporam os princípios do acesso menos privilegiado. Aplicamos esses privilégios por meios automatizados. Os funcionários devem obter autorização antes de obter acesso ao sistema. Usamos técnicas seguras para funções de comando e controle (por exemplo, TLS, SSH, FTP habilitado para SSL ou VPN). Privilégios Os mecanismos de acesso operam com segurança e estão de acordo com as boas práticas de segurança (por exemplo, não exibição de senhas, armazenamento de senhas de forma criptografada). Os procedimentos de autorização são formalmente definidos e estão em conformidade com as disciplinas padrão comerciais, incluindo: Estabelecer um controle maior sobre a questão dos privilégios de acesso especial; e Garantir o encerramento de autorizações que não são mais necessárias. Autenticação Usamos práticas padrão do setor para identificar e autenticar usuários autorizados. Alinhamos nossos métodos de autenticação com o risco comercial (ou seja, a autenticação forte é aplicada a usuários de “alto risco”). As senhas são gerenciadas de acordo com os padrões do setor. O processo de logon apoia a responsabilidade individual e impõe disciplinas de acesso que incluem: Supressão de informações que poderiam facilitar o uso não autorizado; Validar as informações de logon somente depois que todas elas tiverem sido inseridas; Desconectar usuários após um número definido de tentativas de logon sem sucesso; e Exigir que as senhas sejam alteradas periodicamente. Registros de acesso Mantemos registros de infraestrutura e de acesso projetados para fornecer informações suficientes para permitir o diagnóstico de eventos de interrupção e estabelecer a responsabilidade individual. Usamos ferramentas de monitoramento para analisar dados de registro selecionados em busca de atividades anômalas, como acesso não autorizado ou alterações, e para nos alertar sobre essas atividades anômalas.
Arquitetura de Segurança	Desenvolvemos e aplicamos uma arquitetura de segurança através de nossos recursos de informação. A arquitetura compreende um conjunto definido de mecanismos de segurança e padrões de suporte. A arquitetura: Oferece suporte a recursos de informação que exigem diferentes níveis de proteção; Permite o fluxo seguro de informações dentro e entre ambientes técnicos; Fornece aos usuários autorizados um meio eficiente de obter acesso aos recursos de informação em diferentes ambientes técnicos; e Permite que os privilégios de acesso de usuários individuais sejam revogados quando os usuários saem ou mudam de emprego. Mantemos um inventário de nossos ativos de informações essenciais e dos aplicativos usados para processá-los. Realizamos avaliações de risco de segurança das informações sempre que há uma mudança significativa em nossas práticas comerciais ou tecnológicas que possa afetar a segurança, a privacidade, a confidencialidade, a integridade ou a disponibilidade dos Dados.
Físico e Ambiental	Acesso físico Asseguramos que nossos fornecedores terceirizados de centros de dados tenham adotado medidas de proteção contra perda ou danos aos equipamentos e instalações que usamos para hospedar os Dados, inclusive por meio de: Restringir o acesso físico ao pessoal autorizado; e Garantir a presença da equipe de segurança, quando apropriado. Proteção contra Interrupção Nossos ambientes de produção utilizam equipamentos especializados para: Proteger contra interrupções/falhas de energia; Permitir a recuperação rápida dos ativos em caso de interrupção; Proteger a energia, a infraestrutura de rede e os sistemas essenciais contra danos ou comprometimento; e Proteger os edifícios contra desastres naturais ou ataques deliberados.
Gestão de Sistemas e Redes de Comunicação	Firewalls Implementamos tecnologias de firewall padrão do setor. Adotamos procedimentos para gerenciar as regras de firewall (mecanismo de controle de acesso) e as alterações nas regras. Os recursos informativos usados para fins de produção são separados daqueles usados para desenvolvimento de sistemas ou testes de aceitação. Gerenciamento de antivírus/antimalware Implementamos softwares atualizados e procedimentos relacionados com o objetivo de detectar e evitar a proliferação de vírus e outras formas de código malicioso. Esses controles se aplicam somente a ambientes internos de computação usados no desenvolvimento e fornecimento de nossos aplicativos hospedados. Política de uso aceitável O uso da Internet é regido por políticas e padrões claros que se aplicam a toda a empresa. Os serviços de detecção de intrusão baseados em rede e host são usados para proteger sistemas críticos, inclusive sistemas conectados à Internet. Negação de serviço Garantimos que nossos provedores de infraestrutura de data center tenham adotado e implementado contramedidas adequadas para ataques de negação de serviço. Sanitização e Remoção de Mídias Utilizamos processos e tecnologias padrão do setor para excluir permanentemente os Dados quando eles não forem mais necessários ou autorizados.
Criptografia	Usamos protocolos de transporte criptografado padrão do setor, com um mínimo de Transport Layer Security (TLS) v1.2, para dados em trânsito em uma rede não confiável. Criptografamos os dados em repouso usando a criptografia AES (Advanced Encryption Standard) 256 ou um algoritmo equivalente.
Teste de Penetração e Vulnerabilidade	Temos monitoramento de aplicativos, bancos de dados, redes e recursos para identificar quaisquer vulnerabilidades e proteger nossos aplicativos. Nossas soluções passam por testes internos de vulnerabilidade antes de serem lançadas. Criamos nossos próprios sistemas internos de teste de penetração e realizamos avaliações de vulnerabilidade em nosso software usando métodos automatizados e manuais, pelo menos anualmente. Contratamos anualmente especialistas em segurança terceirizados para realizar testes de vulnerabilidade e penetração em nossos sistemas. Os sistemas voltados para a Internet são examinados regularmente em busca de vulnerabilidades.
Continuação de Negócios e Recuperação de Desastres	Nossas soluções são projetadas para evitar pontos únicos de falha a fim de reduzir a chance de interrupção dos negócios. Mantemos processos de recuperação formalmente documentados que podem ser ativados no caso de uma interrupção significativa dos negócios, tanto para nossa infraestrutura de TI corporativa quanto para a infraestrutura de produção que processa os dados de nossos clientes. Realizamos testes, pelo menos anualmente, para verificar a validade dos processos de recuperação. Também implementamos várias medidas de recuperação de desastres para minimizar a perda de dados no caso de um único desastre no data center. Arquitetamos nossas soluções usando configurações redundantes para minimizar as interrupções de serviço. Monitoramos continuamente nossas soluções em busca de qualquer sinal de falha ou falha pendente e tomamos medidas preventivas para tentar minimizar ou evitar o tempo de inatividade.
Resposta a incidentes	Os incidentes são gerenciados por uma equipe dedicada, de acordo com uma política e um processo formal de resposta a incidentes. Nossa equipe é treinada para comunicar imediatamente qualquer incidente de segurança. Fornecemos uma página da Web pública de “confiança” que exibe as próximas paradas de manutenção, incidentes de data center e comunicações de segurança.
Ciclo de Vida de Desenvolvimento de Software	Mantemos processos e controles de ciclo de vida de desenvolvimento de software padrão do setor que regem o desenvolvimento e as alterações em nosso software, inclusive todas as atualizações, upgrades e patches. Nosso processo inclui práticas seguras de desenvolvimento de software e análises e testes de segurança de aplicativos.
Fornecedores	Usamos data centers de terceiros, serviços baseados em nuvem e outros fornecedores em nossas operações e para fornecer soluções aos nossos clientes. Exigimos que esses fornecedores celebrem contratos downstream conosco, como contratos de confidencialidade, contratos de processamento de dados, contratos de associação comercial e similares, conforme apropriado, com base no tipo de serviços que prestam e no tipo de informações às quais têm acesso. Exigimos que nossos fornecedores preencham questionários de segurança de dados e realizamos avaliações de risco para garantir a competência e a adequação de seu programa de segurança. Aplicamos uma abordagem baseada em riscos para revisar periodicamente a postura de segurança de nossos fornecedores. Cada um de nossos fornecedores mantém seus próprios programas de segurança. Esta visão geral não descreve o programa de segurança de nenhum de nossos fornecedores.
Certificações	ISO (Organização Internacional de Normalização) 27001 Pelo menos uma vez por ano, somos auditados por um órgão de certificação terceirizado credenciado para verificar a conformidade com os controles ISO (International Organization for Standardization) 27001 e ISO 27018. Essas certificações abrangem vários produtos Veeva e infraestrutura de suporte, conforme descrito em nosso certificado. A ISO 27001 é uma norma de segurança reconhecida mundialmente que fornece uma diretriz das políticas e dos controles que uma organização tem em vigor para proteger seus dados. A norma estabelece requisitos e práticas recomendadas acordados internacionalmente para a abordagem sistemática do desenvolvimento, implantação e gerenciamento de um sistema de gerenciamento de segurança de informações baseado em riscos/ameaças. A ISO 27018 é um código de prática internacional que se concentra em controles de privacidade para provedores de nuvem.
	Controles de Organização de Serviços Regularmente, passamos por auditorias de conformidade de terceiros sobre nossos controles de segurança, confidencialidade e disponibilidade para vários produtos Veeva e infraestrutura de suporte. Publicamos nosso relatório SOC 2 (Service Organization Controls 2) Tipo II de acordo com os TSPs (Trust Service Principles) de segurança e disponibilidade. Nossos fornecedores de data center publicam seus próprios relatórios SOC2.
Certificação HDS	Mantemos um certificado de Hospedagem de Dados de Saúde (HDS), conforme exigido para todas as entidades que hospedam dados pessoais de saúde de acordo com a legislação francesa pela Lei n°2002-303 de 4 de março de 2002. Essa certificação abrange os produtos Veeva descritos em nosso certificado e é aplicável somente a dados de saúde produzidos na França no contexto da prestação de serviços de saúde, conforme definido pelo Artigo L.1111-8 do Código de Saúde Pública da França. Os clientes que confiam nesse certificado devem estar em conformidade com a PGSSI-S (Política Global de Segurança da Informação para o Setor de Saúde), que define os padrões de segurança para serviços de saúde eletrônica.

VEEVA Development Cloud

Clinical Suite

Clinical Data Management

EDC

Coder

CDB

Clinical Operations

Study Startup

eTMF

CTMS

Payments

Site Connect

Saiba mais sobre Veeva Vault Platform

VEEVA Development Cloud

RIM Suite

Vault Registrations

Vault Submissions

Vault Submissions Publishing

Vault Submissions Archive

Saiba mais sobre Veeva Vault Platform

Quality Suite

Vault QMS

Vault Product Surveillance

Vault QualityDocs

Vault Station Manager

Vault Training

Saiba mais sobre Veeva Vault Platform

VEEVA Development Cloud

Safety Suite

Vault Safety

Vault SafetyDocs

Vault Signal

Saiba mais sobre Veeva Vault Platform

Veeva Medical Suite

Medical CRM

Veeva Link

Scientific Content

Learn About Veeva Vault Platform

VEEVA Commercial Cloud

Data

Customer Reference Data

Master Data Management

Veeva Link

Conteúdo

Vault Platform

Engagement

Multichannel CRM

Events Management

Territory Alignments

SOULUÇÕES DO CENTRO DE PESQUISA

SiteVault

eTMF

Clinical

EDC

eTMF

CTMS

Regulatory

Registrations

Submissions

Submissions Archive

Quality

QualityDocs

QMS

Product Surveillance

Training

Commercial Content

PromoMats

Medical Content

MedComms

Industries

Ciências da Vida

Pharma and Biotech

Consumer Health

Animal Health

Demo Center

Development Cloud

Safety Suite

Commercial Cloud

Veeva R&D and Quality Summit

Commercial Summit

Veeva R&D and Quality
Summit