Veeva e la sicurezza

Programma Veeva in materia di sicurezza

Noi di Veeva siamo orgogliosi di godere dell’immutata fiducia dei nostri clienti, dei nostri dipendenti e della comunità. Le nostre soluzioni comportano l’archiviazione e la trasmissione di informazioni di proprietà dei nostri clienti, informazioni personali di professionisti del settore sanitario, informazioni personali di pazienti e partecipanti a trial clinici e altre informazioni sensibili (denominate collettivamente “Dati”). Siamo consapevoli del fatto che la nostra capacità di mantenere la riservatezza, l’integrità e la disponibilità di tali Dati è fondamentale per il nostro successo. Questa panoramica descrive il nostro programma di sicurezza, l’utilizzo di fornitori di servizi terzi e le certificazioni in materia di privacy e sicurezza che abbiamo ricevuto.

Protezioni Prassi

Organizzative

Procedurali

Manteniamo un programma documentato di gestione della privacy, della sicurezza e del rischio con ruoli, responsabilità, politiche e procedure ben definiti. Il nostro programma si basa sui seguenti standard:

  • ISO 9001:2015 – Quality Management Systems
  • ISO/IEC 27001:2013 – Information Security Management
  • SOC2 Type II – System and Organization Controls
  • SEI Capability Maturity Model Integration (v1.3)
  • IT Infrastructure Library (ITIL) version 3
  • ICH Q9 – Quality Risk Management

Rivediamo e aggiorniamo regolarmente il nostro programma di sicurezza per riflettere l’evoluzione della tecnologia, delle normative, delle leggi, dei rischi, delle pratiche di settore e di sicurezza e altre esigenze aziendali.

Organizzazione e gestione della sicurezza

Manteniamo una struttura di responsabilità per la gestione della sicurezza creata per:

  • coordinare le nostre disposizioni in materia di sicurezza delle informazioni;
  • descrivere i punti di contatto in materia di sicurezza delle informazioni;
  • monitorare l’efficacia delle disposizioni di sicurezza; e
  • mantenere gli standard di sicurezza approvati.

Abbiamo nominato un responsabile della sicurezza delle informazioni per aiutare i dirigenti aziendali, gli utenti, il personale IT e altri soggetti nelle loro responsabilità in materia di sicurezza delle informazioni.

Personale

Ruolo e responsabilità

Manteniamo ruoli e responsabilità chiaramente definiti per tutte le attività di elaborazione delle informazioni, tra cui la gestione e il controllo dei sistemi operativi, l’amministrazione e il supporto delle reti di comunicazione e lo sviluppo di nuovi sistemi. I ruoli e i diritti di accesso degli operatori informatici e degli amministratori di sistema sono separati da quelli del personale addetto allo sviluppo di reti e sistemi.

Inoltre, manteniamo procedure per:

  • supervisionare l’attività di elaborazione delle informazioni;
  • ridurre al minimo il rischio di attività improprie o di errori; e
  • selezionare i candidati per posizioni delicate dal punto di vista della sicurezza.

Training

Richiediamo una formazione sulla sicurezza e sulla consapevolezza in materia di sicurezza basata sui ruoli. Tutti i dipendenti e gli appaltatori attivi devono seguire una formazione di sensibilizzazione alla sicurezza con cadenza biennale. I dipendenti che ricoprono determinati ruoli (ad esempio i rappresentanti del supporto clienti, gli sviluppatori e i responsabili delle assunzioni) ricevono annualmente una formazione più approfondita sulla sicurezza dei dati.

Identità e gestione degli accessi

Politica in materia di accessi

Assegniamo l’accesso ai sistemi, alle applicazioni e alle informazioni corrispondenti in conformità alle nostre politiche di accesso documentate che incorporano i principi del privilegio minimo. Applichiamo questi privilegi attraverso strumenti automatizzati. Il personale dovrà ottenere un’autorizzazione prima di poter accedere ai sistemi. Utilizziamo tecniche sicure per le funzioni di comando e controllo (ad es. TLS, SSH, FTP abilitato SSL o VPN).

Privilegi

I meccanismi di accesso funzionano in modo sicuro e in linea con le buone pratiche di sicurezza (ad esempio nessuna visualizzazione delle password, conservazione delle password in forma criptata). Le procedure di autorizzazione sono definite in modo formale e sono conformi alle discipline standard del settore tra cui:

  • l’istituzione di un controllo rafforzato sull’emissione di privilegi di accesso speciali; e
  • la garanzia della cessazione delle autorizzazioni non più necessarie.

Autenticazione

Utilizziamo pratiche standard del settore per identificare e autenticare gli utenti autorizzati. Allineiamo i nostri metodi di autenticazione al rischio aziendale (ovvero l’autenticazione forte viene applicata agli utenti “ad alto rischio”). Le password sono gestite secondo gli standard del settore.

Il processo di accesso supporta la responsabilità individuale e applica discipline di accesso che includono:

  • la soppressione delle informazioni che potrebbero facilitare un uso non autorizzato;
  • la convalida delle informazioni di accesso solo dopo che sono state tutte inserite;
  • la disconnessione degli utenti dopo un determinato numero di tentativi di accesso non riusciti; e
  • la richiesta di cambiare periodicamente le password.

Log di accesso

Manteniamo log di accesso che sono progettati per fornire informazioni sufficienti a consentire la diagnosi di eventi di disturbo e definire la responsabilità individuale. Esaminiamo periodicamente i log alla ricerca di segni di accesso non autorizzato o di modifiche.

Architettura di sicurezza

Abbiamo ideato e applicato un’architettura di sicurezza per tutte le nostre risorse informative. L’architettura comprende un set definito di meccanismi di sicurezza e di standard di supporto. L’architettura:

  • supporta le risorse informative che richiedono diversi livelli di protezione;
  • consente il flusso sicuro delle informazioni all’interno e tra gli ambienti tecnici;
  • fornisce agli utenti autorizzati un mezzo efficiente per accedere alle risorse informative in diversi ambienti tecnici; e
  • consente di revocare i privilegi di accesso ai singoli utenti quando questi lasciano l’azienda o cambiano lavoro.

Manteniamo un inventario delle nostre risorse informative critiche e delle applicazioni utilizzate per elaborarle. Eseguiamo valutazioni del rischio per la sicurezza delle informazioni ogni volta che si verifica un cambiamento sostanziale nelle nostre pratiche aziendali o tecnologiche che può avere un impatto sulla privacy, sulla riservatezza, sulla sicurezza, sull’integrità o sulla disponibilità dei dati.

Fisica e ambientale

Accesso fisico

Ci assicuriamo che i nostri fornitori terzi di data center abbiano adottato misure di protezione contro la perdita o il danneggiamento delle apparecchiature e delle strutture che utilizziamo per ospitare i Dati, tra cui:

  • limitazione dell’accesso fisico al solo personale autorizzato; e
  • garanzia della presenza di personale di sicurezza ove opportuno.

Protezione dalle interruzioni

I nostri ambienti di produzione si avvalgono di apparecchiature specializzate per:

  • proteggere da interruzioni/guasti di corrente;
  • consentire un rapido recupero degli asset in caso di interruzione;
  • proteggere l’alimentazione, l’infrastruttura di rete e i sistemi critici da danni o compromissioni; e
  • proteggere gli edifici da calamità naturali o attacchi deliberati.

Comunicazioni di rete e gestione di sistemi

Firewall

Utilizziamo tecnologie firewall standard del settore. Abbiamo adottato procedure per gestire le regole del firewall (meccanismo di controllo degli accessi) e le modifiche alle regole.

Le risorse informative utilizzate per la produzione sono separate da quelle utilizzate per lo sviluppo dei sistemi o per i test di accettazione.

Gestione antivirus/antimalware

Implementiamo un software aggiornato e le relative procedure allo scopo di rilevare e prevenire la proliferazione di virus e altre forme di codice malevolo. Questi controlli si applicano solo agli ambienti informatici interni utilizzati per lo sviluppo e la fornitura delle nostre applicazioni in hosting.

Politica di utilizzo accettabile

  • L’uso di Internet è regolato da politiche e standard chiari che si applicano a tutta l’azienda.
  • Utilizziamo servizi di rilevamento delle intrusioni basati su rete e su host per proteggere sistemi critici, compresi i sistemi connessi a Internet.

Denial of Service (DoS)

Ci assicuriamo che i nostri fornitori di infrastrutture di data center abbiano adottato e implementato contromisure adeguate per gli attacchi denial of service.

Sanificazione e rimozione dei supporti

Ci avvaliamo di processi e tecnologie standard del settore per eliminare definitivamente i Dati quando non sono più necessari o autorizzati.

Crittografia

Utilizziamo protocolli di trasporto criptati standard del settore, con un minimo di Transport Layer Security (TLS) v1.2, per i Dati in transito su una rete non affidabile. Cifriamo i Dati inattivi utilizzando la crittografia Advanced Encryption Standard (AES) 256 o un algoritmo equivalente.

Test di vulnerabilità e penetrazione

Disponiamo di un monitoraggio delle applicazioni, dei database, della rete e delle risorse per identificare eventuali vulnerabilità e proteggere le nostre applicazioni. Le nostre soluzioni sono sottoposte a test di vulnerabilità interni prima del rilascio. Abbiamo costruito i nostri sistemi interni di test di penetrazione e conduciamo valutazioni di vulnerabilità sul nostro software avvalendoci di metodi automatici e manuali almeno una volta all’anno.

Incarichiamo annualmente partner esterni specialisti della sicurezza di eseguire test di vulnerabilità e penetrazione dei nostri sistemi. I sistemi esposti a Internet vengono regolarmente esaminati per identificare l’eventuale presenza di vulnerabilità.

Continuità dell’attività e Disaster Recovery

Le nostre soluzioni sono progettate per evitare SPOF (single points of failure) e ridurre le possibilità di interruzione dell’attività. Manteniamo processi di ripristino formalmente documentati che possono essere attivati in caso di interruzione significativa dell’attività sia per la nostra infrastruttura IT aziendale sia per l’infrastruttura di produzione che elabora i Dati dei clienti. Effettuiamo test, almeno una volta all’anno, per verificare la validità dei processi di ripristino.

Implementiamo inoltre diverse misure di disaster recovery per ridurre al minimo la perdita di Dati in caso di disastro di un singolo data center. Progettiamo le nostre soluzioni utilizzando configurazioni ridondanti per ridurre al minimo le interruzioni del servizio. Monitoriamo costantemente le nostre soluzioni per individuare qualsiasi segno di guasto o di imminente guasto e adottiamo misure preventive per cercare di ridurre o prevenire i tempi di inattività.

Risposta agli incidenti

Gli incidenti sono gestiti da un team dedicato in conformità a una politica e a un processo di risposta formale agli incidenti. Il nostro personale è addestrato a segnalare immediatamente qualsiasi evento che pregiudichi la sicurezza. Forniamo una pagina web “trust” pubblica che mostra i tempi di inattività pianificati per la manutenzione, gli incidenti nei data center e le comunicazioni sulla sicurezza.

Ciclo di vita dello sviluppo software

Manteniamo processi e controlli standard del settore per il ciclo di vita dello sviluppo del software che regolano lo sviluppo e le modifiche al nostro software, compresi tutti gli aggiornamenti, gli upgrade e le patch. Il nostro processo include pratiche di sviluppo del software sicure e analisi e test di sicurezza delle applicazioni.

Fornitori

Ci avvaliamo di data center di terzi, servizi basati su cloud e altri fornitori, per le nostre attività e per fornire soluzioni ai nostri clienti. Richiediamo che questi fornitori stipulino con noi accordi a valle, quali accordi di non divulgazione, accordi di trattamento dei dati, accordi di associazione d’impresa e simili, a seconda del tipo di servizi che forniscono e del tipo di informazioni a cui hanno accesso. Chiediamo ai nostri fornitori di compilare questionari sulla sicurezza dei dati e conduciamo valutazioni del rischio per garantire la competenza e l’adeguatezza del loro programma di sicurezza. Adottiamo un approccio basato sul rischio per rivedere periodicamente lo stato di sicurezza dei nostri fornitori.

Ciascuno dei nostri fornitori mantiene i propri programmi di sicurezza. Questa panoramica non descrive il programma di sicurezza di nessuno dei nostri fornitori.

Certificazioni

ISO (International Organization for Standardization) 27001

Almeno una volta all’anno siamo sottoposti a un audit da parte di un organismo di certificazione terzo accreditato per verificare la conformità ai controlli ISO (International Organization for Standardization) 27001 e ISO 27018. Tali certificazioni riguardano vari prodotti Veeva e infrastrutture di supporto come descritto nel nostro certificato. ISO 27001 è uno standard di sicurezza riconosciuto a livello mondiale che fornisce linee guida alle politiche e ai controlli che le organizzazioni mettono in atto per proteggere i propri dati. Lo standard definisce i requisiti e le migliori prassi concordate a livello internazionale per un approccio sistematico allo sviluppo, all’implementazione e alla gestione di un sistema di gestione della sicurezza delle informazioni basato su rischi e minacce. ISO 27018 è un codice di pratica internazionale che si concentra sui controlli della privacy per i fornitori di cloud.

Controlli dell’organizzazione dei servizi

Ci sottoponiamo regolarmente ad audit di conformità da parte di terzi in riferimento ai nostri controlli di sicurezza, riservatezza e disponibilità per vari prodotti Veeva e per l’infrastruttura di supporto. Pubblichiamo il nostro rapporto Service Organization Controls 2 (SOC 2) Type II nell’ambito dei Security and Availability Trust Service Principles (TSP). I nostri fornitori di data center pubblicano i loro rapporti SOC2.