Home · Veeva und Datenschutz

Veeva und Sicherheit

Zuletzt aktualisiert: 30. January 2025

Veeva Security-Programm – Überblick

Wir bei Veeva sind stolz darauf, das Vertrauen unserer Kunden, Mitarbeiter und der Gesellschaft zu erhalten. Unsere Lösungen umfassen die Speicherung und Übermittlung von geschützten Informationen unserer Kunden, personenbezogenen Daten von medizinischen Fachkräften, personenbezogenen Daten von Patienten und von Teilnehmern an klinischen Studien sowie anderen sensiblen Informationen (gemeinsam als „Daten“ bezeichnet). Wir sind uns bewusst, dass unsere Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten zu wahren, für unseren Erfolg entscheidend ist. Dieser Überblick beschreibt unser Sicherheitsprogramm, unsere Nutzung von Drittanbietern und die von uns erhaltenen Datenschutz- und Sicherheitszertifizierungen.

Sicherheitsmaßnahmen Praktiken

Organisatorisch

Prozedural

Wir verfügen über ein dokumentiertes Programm für Datenschutz, Sicherheit und Risikomanagement mit klar definierten Rollen, Verantwortlichkeiten, Richtlinien und Verfahren. Unser Programm richtet sich nach den folgenden Normen und Modellen:

  • ISO 9001:2015 – Qualitätsmanagementsysteme
  • ISO/IEC 27001:2013 – Informations-Sicherheits-Management-Systeme
  • SOC2 Type II – System- und Organisationskontrollen
  • SEI Capability Maturity Model Integration (v1.3)
  • IT Infrastructure Library (ITIL) version 3
  • ICH Q9 – Qualitätsrisikomanagement

Unser Sicherheitsprogramm wird regelmäßig überprüft und angepasst, um sich ändernden Technologien, Vorschriften, Gesetzen, Risiken, Branchen- und Sicherheitspraktiken sowie sonstigen geschäftlichen Anforderungen Rechnung zu tragen.

Sicherheitsorganisation und -management

Wir unterhalten eine Struktur der Verantwortung und Rechenschaftspflicht für das Sicherheitsmanagement, die dafür konzipiert ist:

  • unsere Vorkehrungen für die Informationssicherheit zu koordinieren;
  • Ansprechpartner zu Fragen der Informationssicherheit zu beschreiben;
  • die Wirksamkeit der Sicherheitsvorkehrungen zu prüfen; und
  • genehmigte Sicherheitsstandards aufrechterhalten.

Wir haben einen Beauftragten für Informationssicherheit ernannt, der Business Manager, Benutzer, IT-Mitarbeiter und andere Personen bei der Wahrnehmung Ihrer Verantwortlichkeiten im Bereich der Informationssicherheit unterstützt.

Personal

Rolle und Verantwortlichkeiten

Wir haben klar definierte Rollen und Verantwortlichkeiten für alle Informationsverarbeitungstätigkeiten, einschließlich des Managements und der Kontrolle der operationalen Systeme, der Verwaltung und Unterstützung von Kommunikationsnetzwerken und der Entwicklung von neuen Systemen. Die Rollen und Zugriffsrechte von Computeranwendern und Systemadministratoren sind von denen der Netzwerk- und Systementwickler getrennt.

Zusätzlich unterhalten wir Verfahren, um:

  • die Informationsverarbeitungstätigkeit zu überwachen,
  • die Gefahr von unzulässigen Aktivitäten oder Fehlern zu minimieren, und
  • Bewerber für sicherheitssensible Positionen zu überprüfen.

Schulungen

Wir verlangen rollenbasierte Schulungen zur Sicherheit und zur Sensibilisierung für Sicherheitsbelange. Alle aktiven Arbeitnehmer und freie Mitarbeiter müssen alle zwei Jahre eine Auffrischungsschulung zum Sicherheitsbewusstsein absolvieren. Mitarbeiter in bestimmten Rollen (z. B. Kundensupport, Entwickler und Hiring Manager) erhalten darüber hinaus eine jährliche und umfassendere Schulung zum Thema Datensicherheit.

Identitäts- und Zugriffs verwaltung

Zugriffsrichtlinie

Wir vergeben Zugriff auf Systeme, Anwendungen und damit verbundene Informationen gemäß unseren dokumentierten Zugriffsrichtlinien, die auf dem Prinzip der geringsten Rechte beruhen. Diese Privilegien werden mithilfe automatisierter Methoden durchgesetzt. Mitarbeiter müssen eine Genehmigung einholen, bevor sie Zugang zum System erhalten. Wir verwenden sichere Techniken für Befehls- und Kontrollfunktionen (z. B. TLS, SSH, SSL-fähige FTP-Verbindung oder VPN).

Berechtigungen

Die Zugangsmechanismen funktionieren sicher und entsprechen bewährten Sicherheitsverfahren (z. B. keine Anzeige von Passwörtern, Speicherung von Passwörtern in verschlüsselter Form). Die Autorisierungsverfahren sind formal definiert und entsprechen den geschäftsüblichen Standards, u. a.:

  • Einrichtung einer erhöhten Kontrolle über die Vergabe besonderer Zugangsberechtigungen und
  • Sicherstellung, dass nicht mehr benötigte Berechtigungen widerrufen werden.

Authentifizierung

Wir verwenden branchenübliche Praktiken zur Identifizierung und Authentifizierung autorisierter Benutzer. Unsere Authentifizierungsmethoden sind am Geschäftsrisiko ausgerichtet (d. h. bei Benutzern mit „hohem Risiko“ wird eine starke Authentifizierung angewendet). Die Passwortverwaltung entspricht den Branchenstandards.

Der Anmeldeprozess unterstützt die individuelle Verantwortlichkeit und setzt Zugriffsmechanismen durch, die Folgendes umfassen:

  • Unterdrücken von Informationen, die die unbefugte Verwendung erleichtern könnten;
  • Validierung der Anmeldedaten erst nach vollständiger Eingabe;
  • Sperren von Benutzern nach einer bestimmten Anzahl erfolgloser Anmeldeversuche; und
  • Anforderung regelmäßiger Passwortänderungen.

Zugriffsprotokolle

Wir führen Infrastruktur- und Zugriffsprotokolle, die so konzipiert sind, dass sie ausreichende Informationen liefern, um die Diagnose störender Ereignisse zu ermöglichen und die individuelle Verantwortlichkeit festzustellen. Wir verwenden Überwachungstools, um ausgewählte Protokolldaten auf anomale Aktivitäten wie unbefugte Zugriffe oder Änderungen zu analysieren und uns über solche anomalen Aktivitäten zu informieren.

Sicherheitsarchitektur

Wir haben eine übergreifende Sicherheitsarchitektur für unsere Informationsressourcen entwickelt und umgesetzt. Die Architektur umfasst ein definiertes Set an Sicherheitsmechanismen und unterstützenden Standards. Die Architektur:

  • unterstützt Informationsressourcen, die unterschiedliche Schutzniveaus erfordern;
  • ermöglicht den sicheren Informationsfluss innerhalb und zwischen technischen Umgebungen;
  • stellt autorisierten Benutzern ein effizientes Mittel für den Zugriff auf Informationsressourcen in verschiedenen technischen Umgebungen bereit; und
  • ermöglicht den Entzug von Zugriffsrechten für einzelne Benutzer, wenn diese das Unternehmen verlassen oder den Arbeitsplatz wechseln.

Wir führen ein Verzeichnis unserer kritischen Informationen und der zu ihrer Verarbeitung verwendeten Applikationen. Wir führen Risikobewertungen im Bereich der Informationssicherheit durch, wenn es wesentliche Änderungen in unseren Geschäfts- oder Technologiepraktiken gibt, die sich auf die Sicherheit, den Datenschutz, die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Daten auswirken können.

Physische Sicherheit und
Umgebungssicherheit

Physischer Zugang

Wir stellen sicher, dass unsere externen Rechenzentrumsanbieter Maßnahmen zum Schutz der von uns für das Hosting von Daten genutzten Geräte und Räumlichkeiten vor Verlust oder Beschädigung getroffen haben, unter anderem durch:

  • Beschränkung des physischen Zugangs auf Mitarbeiter mit entsprechender Autorisierung; und
  • Sicherstellen der Präsenz von Sicherheitspersonal, wo dies zweckmäßig ist

Schutz vor Störungen

Unsere Produktionsumgebungen nutzen spezialisiertes Equipment, um:

  • vor Stromausfall/Störungen der Stromversorgung zu schützen;
  • eine schnelle Wiederherstellung der Anlagen bei einem Ausfall zu ermöglichen;
  • die Energieversorgung, der Netzwerkinfrastruktur und der kritischen Systeme vor Beschädigung oder Beeinträchtigung zu schützen; und
  • Gebäude vor Naturkatastrophen oder einem gezielten Angriff zu schützen.

Netzwerkkommunikation
und
Management der Systeme

Firewalls

Wir setzen branchenübliche Firewall-Technologien ein. Wir haben Verfahren für das Management der Firewall-Regeln (Zugriffskontrollmechanismus) und zu den Änderungen dieser Regeln eingeführt.Informationsressourcen, die für Produktionszwecke verwendet werden, sind von Ressourcen getrennt, die für Systementwicklung oder Abnahmetests verwendet werden.

Antivirus-/Antimalware-Management

Wir setzen aktuelle Software und entsprechende Verfahren ein, um die Verbreitung von Viren und anderen Formen von Malicious Code zu erkennen und zu verhindern. Diese Kontrollen gelten nur für interne Computing-Umgebungen, die für die Entwicklung und Bereitstellung unserer gehosteten Applikationen genutzt werden.

Allgemeine Nutzungsbedingungen

  • Die Internetnutzung wird durch klare, unternehmensweit geltende Richtlinien und Standards geregelt.
  • Netzwerk- und hostbasierte Intrusion Detection Services werden zum Schutz kritischer Systeme, einschließlich mit dem Internet verbundener Systeme, eingesetzt.

Denial of Service

Wir stellen sicher, dass unsere Provider von Rechenzentrumsinfrastruktur geeignete Gegenmaßnahmen für Denial-of-Service-Angriffe verabschiedet und implementiert haben.

Mediensanierung und -entfernung

Wir setzen dem Branchenstandard entsprechende Verfahren und Technologien ein, um Daten dauerhaft zu löschen, wenn sie nicht mehr benötigt werden oder nicht mehr autorisiert sind.

Verschlüsselung

Für Daten in Transit, die über ein nicht vertrauenswürdiges Netzwerk übermittelt werden, verwenden wir verschlüsselte Transportprotokolle gemäß Branchenstandard, mindestens jedoch Transport Layer Security (TLS) v1.2. Daten im Ruhezustand verschlüsseln wir anhand des Advanced Encryption Standard (AES) 256 oder eines gleichwertigen Algorithmus.

Vulnerabilitäts- und
Penetrationstests

Wir monitoren Anwendungen, Datenbanken, Netzwerke und Ressourcen, um eventuelle Schwachstellen zu erkennen und unsere Anwendungen zu schützen. Unsere Lösungen werden vor der Freigabe internen Vulnerabilitätstests unterzogen. Wir haben unsere eigenen internen Penetrationstest-Systeme gebaut und führen mindestens einmal im Jahr eine Vulnerabilitätsbewertung unserer Software anhand automatisierter und manueller Methoden durch.

Wir beauftragen jährlich externe Sicherheitsspezialisten mit der Durchführung von Vulnerabilitäts- und Penetrationstests für unsere Systeme. Mit dem Internet verbundene Systeme werden regelmäßig auf Schwachstellen gescannt.

Betriebskontinuität
und Notfallwiederherstellung

Unsere Lösungen sind konzipiert, um einzelne Ausfallpunkte (Single Points of Failure) zu vermeiden und die Wahrscheinlichkeit einer Betriebsstörung zu reduzieren. Wir besitzen formell dokumentierte Wiederherstellungsprozesse , die im Falle einer erheblichen Betriebsstörung sowohl für unsere eigene IT-Infrastruktur als auch für die Produktionsinfrastruktur, die unsere Kundendaten verarbeitet, aktiviert werden können. Wir führen mindestens einmal jährlich Tests durch, um die Validität der Wiederherstellungsprozesse zu überprüfen.

Wir implementieren auch verschiedene Maßnahmen zur Wiederherstellung von Daten (Disaster Recovery Maßnahmen), um einen Datenverlust im Falle eines Notfalls in einem einzelnen Rechenzentrum zu minimieren. Die Architektur unserer Lösungen verwendet redundante Konfigurationen, um Dienstunterbrechungen zu minimieren. Wir überwachen unsere Lösungen kontinuierlich auf Anzeichen von Störungen oder drohenden Störungen und ergreifen Präventivmaßnahmen, um Ausfallzeiten zu minimieren oder zu verhindern.

Incident Response

Incidents (Cybersicherheitsvorfälle) werden von einem speziellen Team gemäß einer offiziellen Incident-Response-Richtlinie und eines Incident-Response-Prozesses gemanagt. Unsere Mitarbeiter sind darauf geschult, jeden Sicherheitsvorfall unverzüglich zu melden. Wir verfügen über eine öffentliche „Trust“-Webseite, auf der anstehende Wartungsausfälle, Vorfälle im Rechenzentrum und Sicherheitsmitteilungen angezeigt werden.

Softwareentwicklungs-
Lebenszyklus

Wir unterhalten branchenübliche Softwareentwicklungs-Lebenszyklusprozesse und -kontrollen, die die Entwicklung und Änderungen unserer Software, einschließlich aller Updates, Upgrades und Patches, regeln. Unser Prozess umfasst sichere Softwareentwicklungsverfahren sowie die Analyse und Prüfung der Applikationssicherheit.

Lieferanten

Im Rahmen unserer betrieblichen Tätigkeit und zur Bereitstellung von Lösungen für unsere Kunden nutzen wir Rechenzentren Dritter, Cloud-basierte Dienste und andere Dienstleister. Wir verlangen, dass diese Lieferanten nachgelagerte Vereinbarungen mit uns eingehen, z. B. Geheimhaltungsvereinbarungen, Auftragsdatenverarbeitungsverträge, Business Associate-Vereinbarungen und ähnliches, je nach der Art der von ihnen erbrachten Dienste und der Art der Informationen, auf die sie Zugriff haben. Wir verlangen von unseren Lieferanten, dass sie Fragebögen zur Datensicherheit ausfüllen, und führen Risikoabschätzungen durch, um die Eignung und Angemessenheit ihres Sicherheitsprogramms sicherzustellen. Bei der regelmäßigen Überprüfung des Sicherheitsstatus (Security Posture) unserer Lieferanten gehen wir risikobasiert vor.

Unsere Lieferanten unterhalten jeweils eigene Sicherheitsprogramme. Diese Übersicht beschreibt nicht das Sicherheitsprogramm eines unserer Lieferanten.

Zertifizierungen

ISO (Internationale Organisation für Normung) 27001

Mindestens einmal pro Jahr durchlaufen wir einen Audit einer akkreditierten externen Zertifizierungsstelle auf Einhaltung der Kontrollen gemäß ISO (Internationale Organisation für Normung) 27001 und ISO 27018. Diese Zertifizierungen umfassen verschiedene Veeva-Produkte und die unterstützende Infrastruktur, wie in unserem Zertifikat beschrieben. ISO 27001 ist eine weltweit anerkannte Sicherheitsnorm, die die Richtlinien und Kontrollen regelt, die eine Organisation zum Schutz ihrer Daten einsetzt. Die Norm formuliert international vereinbarte Anforderungen und „best practices“ für einen systematischen Ansatz bei der Entwicklung, Einführung und Verwaltung eines risiko-/bedrohungsbasierten Informationssicherheitsmanagementsystems. ISO 27018 ist ein internationaler Verhaltenskodex, dessen Fokus auf Datenschutzkontrollen für Cloud-Anbieter liegt.

Serviceorganisationskontrollen

Wir unterziehen uns regelmäßig Audits durch Dritte, um die Einhaltung der Sicherheits-, Vertraulichkeits- und Verfügbarkeitskontrollen für verschiedene Veeva-Produkte und die unterstützende Infrastruktur zu überprüfen. Wir veröffentlichen unseren Serviceorganisationskontrollen 2-(SOC 2-)Bericht unter den Grundsätzen vertrauenswürdiger Dienste (Trust Services Principles, TSP): Sicherheit und Verfügbarkeit. Unsere Rechenzentrumsanbieter veröffentlichen ihre eigenen SOC2-Berichte.

HDS-Zertifizierung

Wir verfügen über ein “Health Data Hosting”-Zertifikat (Hébergeurs de Données de Santé, HDS), das nach französischem Recht Nr. 2002-303 vom 4. März 2002 für alle Einrichtungen, die personenbezogene Gesundheitsdaten hosten, vorgeschrieben ist. Diese Zertifizierung deckt die in unserem Zertifikat beschriebenen Veeva-Produkte ab und gilt nur für Gesundheitsdaten, die in Frankreich im Rahmen der Gesundheitsversorgung gemäß Artikel L.1111-8 des französischen Gesetzes über das öffentliche Gesundheitswesen erzeugt werden. Kunden, die sich auf dieses Zertifikat berufen, müssen die PGSSI-S (Global Information Security Policy for the Healthcare Sector) einhalten, in der die Sicherheitsstandards für eHealth-Dienste festgelegt sind.