Veeva一直深受客户、员工和社区的信任,我们以此为豪。我们的解决方案涉及存储和传输客户的专有信息、医疗专业人员的个人信息、患者和临床试验参与者的个人信息以及其他敏感信息(统称为“数据”)。我们认为,我们保持这些数据的保密性、完整性和可用性的能力对我们的成功至关重要。本概述描述了我们的安全方案、我们对第三方服务的利用方式,以及我们获得的隐私和安全认证。
| 保障领域 | 措施 |
|---|---|
组织层面 |
程序Veeva维护一个文档化的信息隐私、安全和风险管理方案,明确定义了与该项目相关的角色、职责、政策和程序。该方案遵循以下标准:
Veeva会定期根据技术、法规、法律、风险、行业和安全实践及其他业务需求的变化审查和修改Veeva的安全方案。 安全组织与管理Veeva的安全管理有明确的责任和问责架构,旨在:
Veeva已委任一名信息安全官,协助业务经理、用户、IT人员等履行信息安全责任。 |
人员层面 |
角色和职责Veeva对包括可操作系统的管理和控制、通信网络管理和支持以及新系统开发在内的所有信息处理活动,均有明确的角色和责任划分。计算机使用者和系统管理员的角色和访问权限,与网络和系统开发人员的角色和访问权限互不交叠。 此外,Veeva设定了运作程序,以:
培训Veeva针对不同角色开展特定的安全和安全意识培训。此外,Veeva每两年会针对所有在职员工和承包商进行安全意识培训。某些角色的员工(例如,客户支持代表、开发人员和招聘经理)每年都会接受更深入、更广泛的数据安全培训。 |
身份和访问管理 |
访问政策Veeva的访问政策基于最小权限原则。Veeva根据文档化的访问政策赋予系统、应用程序和相关信息的访问权限。访问权限通过自动化方式部署,相关人员获得授权后方具备系统访问权限。Veeva通过安全技术(例如,TLS, SSH,基于SSL的FTP或VPN)实现命令和控制。 特殊权限Veeva的访问控制机制运行安全,且符合良好的安全实践规范(例如,不显示密码,以加密形式存储密码等)。授权程序已经过正式定义且符合商业标准,包括:
身份验证Veeva以符合行业标准的实践来识别和验证授权用户。Veeva的认证方法充分考虑业务风险(比如,强认证应用于“高风险”用户等)。密码按照行业标准进行管理。 登录过程实施个人问责制,并执行访问规则,规则包括:
访问日志Veeva维护访问日志以记录访问信息,在破坏性事件发生后可展开溯源并追溯个人责任。Veeva对日志进行定期审查,以及时发现未经授权的访问或更改。 Veeva维护访问日志,用以在诊断破坏性事件和追溯个人责任时提供充分的信息参考; 并定期审查该日志,以发现未经授权的访问或更改。 |
安全架构 |
Veeva设计并使用一套信息资源安全架构,该架构包含一组已定义的安全机制和支持标准:
Veeva维护关键信息资产清单和处理该资产的应用程序清单。每当Veeva业务或技术实践发生重大变化,可能影响数据的隐私、机密性、安全性、完整性或可用性时,我们都会进行信息安全风险评估。 |
物理环境的保护 |
物理访问Veeva确保第三方数据中心提供商已采取措施,防止Veeva用于存储数据的设备和设施丢失或损坏,这些措施包括:
防止干扰Veeva利用专业设备来保障生产环境,以:
|
网络通信与系统管理 |
防火墙Veeva部署了符合行业标准的防火墙。Veeva设置了程序来管理和更新防火墙规则(访问控制机制)。 用于生产目的的信息资源与用于系统开发或验收测试的信息资源是分开的。 防病毒/防恶意软件管理Veeva部署最新的软件和对应流程来检测和防止病毒和其他形式的恶意代码的扩散。这些控制只适用于开发和交付托管应用程序时使用的内部计算环境。 可接受使用政策
拒绝服务Veeva确保Veeva的数据中心基础设施提供商已经采用并部署了针对拒绝服务攻击的适当对策举措。 媒介清除当数据不再需要或被授权时,Veeva使用符合行业标准流程和技术的方法将其永久删除。 |
加密 |
如果数据在不受信任的网络进行传输,Veeva使用不低于传输层安全(TLS)1.2版的行业标准加密传输协议。对于静态数据,Veeva使用高级加密标准(AES) 256或等效算法进行加密。 |
漏洞和渗透测试 |
Veeva对应用程序、数据库、网络和资源进行监控,以识别漏洞,保护应用程序。Veeva的所有解决方案在发布之前都会进行内部漏洞测试。Veeva已经建立内部渗透测试系统,每年至少开展一次自动化和人工执行的软件漏洞评估。 Veeva每年聘请第三方安全专家对Veeva的系统进行漏洞和渗透测试。面向互联网的系统会定期开展漏洞扫描。 |
容灾措施 |
Veeva的解决方案旨在避免单点故障,以减少业务中断。Veeva维护文档化的恢复流程。在企业IT基础设施和处理客户数据的生产基础设施发生重大业务中断时,这些流程可以被激活。Veeva至少每年进行一次测试,以验证恢复流程的有效性。 Veeva还实施了各种容灾措施,以最大限度地减少单个数据中心发生灾难时的数据损失。Veeva使用冗余配置来构建解决方案,以最大限度地减少服务中断。Veeva不断监控Veeva的解决方案的任何故障迹象,采取先发制人的行动,以尽量减少或避免停机。 |
事故响应 |
事故由专门的团队按照正式的事故响应政策和流程进行管理。Veeva的人员受过良好培训,能够对安全事故做出及时反映。Veeva建立了一个公开的“数据安全声明”网页,以显示预期的维护停机时间以及数据中心事故和安全相关的通告。 |
软件开发周期 |
Veeva维护符合行业标准的软件全生命周期管理流程,如控制和管理软件的开发和变更(包括所有的更新、升级和补丁)。Veeva的流程包括安全软件开发实践以及针对应用程序进行的安全分析和测试。 |
供应商 |
在运营以及为客户提供解决方案时,Veeva使用第三方数据中心、基于云的服务和其他供应商的服务。Veeva根据这些供应商提供的服务类型和他们可以访问的信息类型,要求其与Veeva签订下游协议,如保密协议、数据处理协议、业务伙伴协议等。Veeva要求供应商填写数据安全调查问卷,同时,Veeva会进行风险评估,以确保供应商的安全方案的能力和适当性。Veeva采用基于风险的方法定期审查供应商的安全状况。 Veeva的供应商都维护自己的安全方案。本简介并未涉及Veeva任何供应商安全项目的内容。 |
认证
|
ISO(国际标准化组织)27001标准Veeva每年至少接受一次经认可的第三方认证机构的审核,以确保符合ISO(国际标准化组织)27001和ISO 27018的控制标准。Veeva获得的证书上已列明符合该标准的Veeva旗下产品和配套基础设施。ISO 27001标准是全球认可的安全标准,为企业的数据安全提供政策和控制准则。该体系标准包含了全球认可的要求和实践,为基于风险/威胁的信息安全管理系统的开发、部署和管理提供了系统化方法。ISO 27018标准是全球认可的实践准则,为云服务供应商的隐私控制提供统一的标准。 |
|
服务组织控制措施Veeva定期通过对Veeva产品和配套基础设施的安全、保密性和可用性控制系统进行第三方合规审计。同时,Veeva也会发布安全和可用信任服务原则 (TSPs)下的《服务组织控制措施2》 (SOC 2) 类型II报告。Veeva的数据中心提供商会发布他们自己的SOC 2报告。 |