Veeva y la seguridad

Programa de seguridad de Veeva

En Veeva, nos sentimos orgullosos de seguir ganándonos la confianza de nuestros clientes, así como la de nuestros empleados y la de la comunidad. Nuestras soluciones suponen el almacenamiento y la transmisión de información propiedad de nuestros clientes, información personal de profesionales médicos, información personal de pacientes y participantes de ensayos clínicos y otra información confidencial (en adelante, «datos»). Somos conscientes de que nuestra capacidad para mantener la confidencialidad, la integridad y la disponibilidad de estos datos es fundamental para garantizar nuestro éxito. Este resumen describe nuestro programa de seguridad, así como el uso que hacemos de proveedores de servicios externos y las certificaciones que hemos recibido en materia de privacidad y seguridad.

Garantías Prácticas

Organizativas

Procedimentales

Mantenemos un programa documentado de privacidad de la información, seguridad y gestión de riesgos con funciones, responsabilidades, políticas y procedimientos claramente definidos. Nuestro programa se basa en las normas siguientes:

  • ISO 9001:2015. Sistemas de gestión de la calidad
  • ISO/IEC 27001:2013. Gestión de la seguridad de la información
  • Auditoría SOC 2 tipo 2. Auditoría de los Controles de Servicio y Organización
  • Integración de modelos de madurez de capacidades del SEI (versión 1.3)
  • Biblioteca de Infraestructura de Tecnologías de Información (ITIL) versión 3
  • ICH Q9. Gestión de riesgos de calidad

Revisamos y modificamos nuestro programa de seguridad de forma periódica con el fin de reflejar los cambios que se van produciendo en las tecnologías, las normativas, las leyes, los riesgos, las prácticas del sector y de seguridad y otras necesidades empresariales.

Organización y gestión de la seguridad

A la hora de gestionar la seguridad, mantenemos una estructura de responsabilidad y rendición de cuentas diseñada para conseguir los siguientes objetivos:

  • coordinar nuestras medidas de seguridad de la información;
  • describir puntos de contacto en materia de seguridad de la información;
  • controlar la eficacia de las medidas de seguridad; y
  • mantener las normas de seguridad aprobadas.

Hemos nombrado a un responsable de la seguridad de la información para que ayude a los directivos de las empresas, así como a los usuarios, al personal de TI y a otras personas involucradas, a cumplir con sus responsabilidades en lo que respecta a la seguridad de la información.

Personal

Funciones y responsabilidades

Mantenemos funciones y responsabilidades claramente definidas para todas las actividades de procesamiento de la información, inclusive la gestión y el control de los sistemas operacionales, la administración y el apoyo de las redes de comunicación y el desarrollo de nuevos sistemas. Las funciones y los derechos de acceso de los usuarios informáticos y de los administradores de sistemas están separados de los del personal de desarrollo de redes y sistemas.

Además, contamos con procedimientos para las siguientes tareas:

  • supervisar la actividad de tratamiento de la información;
  • reducir al mínimo el riesgo de actividades indebidas o de errores; y
  • seleccionar a los candidatos idóneos para puestos sensibles para la seguridad.

Formación

Exigimos una formación sobre seguridad y concienciación en materia de seguridad basada en la función de que se trate. A continuación, todos los empleados activos y los contratistas deben recibir formación sobre concienciación en materia de seguridad cada dos años. Asimismo, los empleados que ocupan determinados cargos (como los representantes de atención al cliente, los desarrolladores o los responsables de contratación) reciben todos los años una formación más amplia sobre la seguridad de los datos.

Gestión de identidades
y de accesos

Política de acceso

Asignamos el acceso a los sistemas, las aplicaciones y la información asociada de acuerdo con nuestras políticas de acceso documentadas, que incorporan también los principios de acceso menos privilegiado. También nos ocupamos de que estos privilegios se cumplan mediante el uso de medios automatizados. Por ejemplo, el personal debe obtener una autorización antes de poder acceder a los sistemas y utilizamos técnicas seguras para las funciones de mando y control (como TLS, SSH o SSL habilitado para FTP o VPN).

Privilegios

Los mecanismos de acceso funcionan de forma segura y en consonancia con las prácticas correctas de seguridad (por ejemplo, las contraseñas no se muestran y se almacenan de forma cifrada). Los procedimientos de autorización se definen formalmente y se ajustan a las disciplinas comerciales estándar, inclusive:

  • establecer un mayor control sobre la cuestión de los privilegios especiales de acceso; y
  • garantizar la revocación de las autorizaciones que ya no sean necesarias.

Autenticación

Utilizamos las prácticas estándar del sector para identificar y autenticar a los usuarios autorizados. Ajustamos nuestros métodos de autenticación al riesgo empresarial existente (es decir, a los usuarios de «alto riesgo» se les aplica una autenticación más robusta) y las contraseñas se administran conforme a las normas del sector.

El proceso de inicio de sesión apoya la rendición de cuentas individual y aplica disciplinas de acceso como las siguientes:

  • suprimir la información que pueda facilitar un uso no autorizado;
  • validar la información de inicio de sesión únicamente después de haberla introducido en su totalidad;
  • desconectar a los usuarios después de un número definido de intentos fallidos de inicio de sesión; y
  • obligar a cambiar las contraseñas de forma periódica.

Registros de acceso

Mantenemos registros de acceso que están diseñados para proporcionar información suficiente que permita diagnosticar sucesos perturbadores, así como establecer responsabilidades individuales. Llevamos a cabo revisiones periódicas de los registros para detectar indicios de accesos o cambios no autorizados.

Arquitectura de seguridad

Hemos ideado y aplicado una arquitectura de seguridad en todos nuestros recursos de información. La arquitectura comprende un conjunto definido de mecanismos de seguridad y normas de apoyo. La arquitectura tiene las siguientes características:

  • promueve recursos de información que necesitan diferentes niveles de protección;
  • permite un flujo seguro de información dentro de los entornos técnicos y entre ellos;
  • proporciona a los usuarios autorizados un medio eficaz para acceder a los recursos de información en diferentes entornos técnicos; y
  • permite revocar los privilegios de acceso de usuarios individuales cuando estos abandonan un puesto o cambian de empleo.

Mantenemos un inventario de nuestros activos de información esenciales y de las aplicaciones utilizadas para procesarlos. Además, llevamos a cabo evaluaciones de los riesgos para la seguridad de la información siempre que se produce un cambio importante en nuestras prácticas empresariales o tecnológicas que pueda afectar a la privacidad, la confidencialidad, la seguridad, la integridad o la disponibilidad de los datos.

Aspectos físicos
y ambientales

Acceso físico

Nos aseguramos de que nuestros proveedores de centros de datos externos adopten medidas de protección adecuadas contra pérdidas o daños en los equipos o las instalaciones que utilizamos para alojar los datos, lo que incluye, entre otros:

  • restringir el acceso físico únicamente al personal autorizado; y
  • garantizar la presencia de personal de seguridad cuando proceda.

Protección contra perturbaciones

Nuestros entornos de producción utilizan equipos especializados para:

  • protegerse contra los apagones o los fallos en el suministro eléctrico;
  • proteger el suministro eléctrico, la infraestructura de la red y los sistemas esenciales frente a daños o riesgos; y
  • protect power, network infrastructure and critical systems from damage or compromise; and
  • proteger los edificios contra desastres naturales o ataques deliberados.

Gestión de sistemas
y comunicaciones en red

Firewalls

Implementamos las tecnologías de firewall estándar del sector y hemos adoptado procedimientos para gestionar las reglas de firewall (mediante un mecanismo de control de acceso) y los cambios en dichas reglas.

Los recursos de información que se utilizan con fines de producción se mantienen separados de los que se emplean para el desarrollo de sistemas o las pruebas de aceptación.

Administración de sistemas antivirus/antimalware

Aplicamos software actualizado y procedimientos relacionados con el fin de detectar y evitar la proliferación de virus y otras formas de código malicioso. Estos controles solo se aplican a los entornos informáticos internos que se utilizan en el desarrollo y la entrega de nuestras aplicaciones alojadas.

Política de uso aceptable

  • El uso de Internet se rige por políticas y normas claras que se aplican en toda la empresa.
  • Utilizamos servicios de detección y prevención de intrusiones basados en host y en la red con el fin de proteger los sistemas esenciales, inclusive los que están conectados a Internet.

Denegación de servicio

Nos aseguramos de que nuestros proveedores de infraestructuras de centros de datos adopten y apliquen contramedidas adecuadas para hacer frente a los diferentes ataques de denegación de servicio.

Saneamiento y eliminación de medios

Empleamos los procesos y las tecnologías estándar del sector para eliminar los datos de forma definitiva cuando ya no se necesitan o no se dispone de autorización para ellos.

Cifrado

Utilizamos protocolos de transporte cifrados estándar del sector, con al menos la seguridad de la capa de transporte (TLS) v1.2, para los datos que se transmiten a través de una red que no es de confianza. Ciframos los datos archivados utilizando el estándar de cifrado avanzado 256 (AES-256) o un algoritmo equivalente.

Pruebas de vulnerabilidad
y penetración

Disponemos de un mecanismo de supervisión de aplicaciones, bases de datos, redes y recursos que nos permite identificar cualquier vulnerabilidad y proteger nuestras aplicaciones. Todas nuestras soluciones se someten a pruebas de vulnerabilidad internas antes de su lanzamiento. Además, hemos creado nuestros propios sistemas para pruebas de penetración internas y, al menos una vez al año, llevamos a cabo evaluaciones de vulnerabilidad en nuestro software utilizando tanto métodos automatizados como manuales.

Por otro lado, todos los años contratamos a especialistas en seguridad externos para que realicen pruebas de vulnerabilidad y penetración en nuestros sistemas. También analizamos con regularidad todos los sistemas que dependen de Internet para detectar posibles vulnerabilidades.

Continuidad empresarial
y recuperación
ante desastres

Nuestras soluciones están diseñadas para evitar fallos en puntos individuales con el fin de reducir la posibilidad de que se produzcan interrupciones en la actividad empresarial. Mantenemos procesos de recuperación documentados formalmente que pueden activarse en caso de existir una interrupción importante de la actividad empresarial, tanto en lo que respecta a nuestra infraestructura corporativa de TI como en lo que se refiere a la infraestructura de producción que trata y procesa los datos de nuestros clientes. Y, al menos una vez al año, llevamos a cabo pruebas para verificar la validez de los procesos de recuperación.

También aplicamos varias medidas de recuperación ante desastres para reducir al mínimo la pérdida de datos en el caso de producirse un desastre en uno de nuestros centros de datos. Estructuramos nuestras soluciones utilizando configuraciones redundantes para reducir a un mínimo las interrupciones en el servicio. Supervisamos de forma continua nuestras soluciones para detectar cualquier signo de fallo o fallo inminente y, además, tomamos medidas preventivas para intentar reducir al mínimo o evitar los tiempos de inactividad.

Respuesta ante incidentes

La gestión de incidentes corre a cargo de un equipo especializado que sigue una política y un proceso formales de respuesta ante incidentes. Nuestro personal cuenta con la formación suficiente para notificar de inmediato cualquier incidente de seguridad. Además, ofrecemos una página web pública «trust.veeva.com» en la que pueden consultarse los próximos periodos de inactividad por motivos de mantenimiento, así como los incidentes que se puedan producir en el centro de datos y las comunicaciones de seguridad pertinentes.

Desarrollo de software
Ciclo de vida
Lifecycle

Mantenemos procesos y controles del ciclo de vida estándares del sector que rigen el desarrollo y los cambios de nuestro software, inclusive las actualizaciones, las mejoras y los parches correspondientes. Nuestros procesos incluyen prácticas seguras de desarrollo de software, así como análisis y pruebas de seguridad de las aplicaciones.

Proveedores

Utilizamos centros de datos de terceros, servicios basados en la nube y otros proveedores, no solo para nuestras propias operaciones, sino también para las soluciones que ofrecemos a nuestros clientes. Además, exigimos que estos proveedores celebren posteriormente acuerdos con nosotros, como acuerdos de confidencialidad, acuerdos de tratamiento de datos, acuerdos con socios comerciales y similares, según corresponda en función del tipo de servicios que presten y de la información a la que tengan acceso. También exigimos a nuestros proveedores que cumplimenten cuestionarios de seguridad de datos y llevamos a cabo evaluaciones de riesgos para garantizar la competencia y la adecuación de su programa de seguridad. Aplicamos un enfoque basado en los riesgos para revisar de forma periódica la posición de seguridad de nuestros proveedores.

Por su parte, todos y cada uno de nuestros proveedores mantienen sus propios programas de seguridad, aunque este resumen no describe el programa de seguridad de ninguno de ellos.

Certificaciones

ISO (Organización Internacional de Normalización) 27001

Al menos una vez al año, nos sometemos a una auditoría que corre a cargo de un organismo de certificación externo acreditado con el fin de confirmar el cumplimiento de los controles estipulados en las normas ISO (Organización Internacional de Normalización) 27001 e ISO 27018. Estas certificaciones se refieren a varios productos de Veeva y a la infraestructura de apoyo, tal como se describe en nuestro certificado. La ISO 27001 es una norma de seguridad reconocida en todo el mundo que ofrece una guía sobre las políticas y los controles que debe implantar una organización para proteger sus datos. La norma establece los requisitos y las prácticas correctas que se han acordado a nivel internacional para adoptar un enfoque sistemático en el desarrollo, la implantación y el seguimiento de un sistema de gestión de la seguridad de la información basado en los riesgos y las amenazas existentes. La ISO 27018 es un código internacional de prácticas que se centra en realizar controles de privacidad para los proveedores de la nube.

Controles de organización de servicios

De forma periódica, nos sometemos a auditorías de cumplimiento que corren a cargo de entidades externas y en las que se comprueban los controles de seguridad, confidencialidad y disponibilidad de los que disponemos para los diversos productos de Veeva, así como para la infraestructura de apoyo correspondiente. Publicamos nuestro informe de Controles de Servicio y Organización tipo 2 (SOC 2) conforme a los principios de servicios de confianza (TSP) en materia de seguridad y disponibilidad. Nuestros proveedores de centros de datos también publican sus propios informes SOC 2.