Veeva 보안 프로그램 개요

Veeva는 고객, 직원 및 지역 사회의 신뢰를 유지하는 데 자부심을 갖고 있습니다. 당사의 솔루션에는 고객의 독점 정보, 의료 전문가의 개인 정보, 환자 및 임상 시험 참가자의 개인 정보, 기타 민감한 정보(총칭하여 “데이터”)의 저장 및 전송이 포함됩니다. 당사는 이 데이터의 기밀성, 무결성 및 가용성을 유지하는 능력이 우리의 성공에 매우 중요하다는 것을 이해합니다. 이 개요에서는 당사의 보안 프로그램, 제3자 서비스 제공업체의 이용, 당사가 받은 개인 정보 보호 및 보안 인증에 대해 설명합니다.

안전 장치 관행

조직

​​절차적

당사는 명확하게 정의된 역할, 책임, 정책 및 절차를 통해 문서화된 개인 정보 보호, 보안 및 위험 관리 프로그램을 유지 관리합니다. 이러한 프로그램은 다음 표준을 기반으로 합니다.

  • ISO 9001:2015 – 품질 경영 시스템
  • ISO/IEC 27001:2013 – 정보 보안 관리
  • SOC2 유형 II – 시스템 및 조직 제어
  • SEI 역량 성숙도 모델 통합(v1.3)
  • ITIL(IT 인프라 라이브러리) 버전 3
  • ICH Q9 – 품질 위험 관리

당사는 변화하는 기술, 규정, 법률, 위험, 산업 및 보안 관행, 기타 비즈니스 요구 사항을 반영하기 위해 정기적으로 보안 프로그램을 검토하고 수정합니다.

보안 조직 및 관리

당사는 다음과 같은 목적으로 보안 관리에 대한 책임과 담당 조직을 유지합니다.

  • 정보 보안 조치를 조정합니다.
  • 정보 보안 문제에 대한 연락처를 명시합니다.
  • 보안 조치의 효율성을 모니터링합니다.
  • 또한 승인된 보안 표준을 유지합니다.

당사는 비즈니스 관리자, 사용자, IT 직원 및 기타 임직원들이 정보 보안 책임을 충족할 수 있도록 정보 보안 책임자를 임명했습니다.

인사

역할과 책임

당사는 운영 시스템의 관리 및 제어, 통신 네트워크의 관리 및 지원, 새로운 시스템 개발을 포함하여 모든 정보 처리 활동에 대해 명확하게 정의된 역할과 책임을 유지합니다. 컴퓨터 운영자 및 시스템 관리자의 역할 및 접근 권한은 네트워크 및 시스템 개발 직원의 역할 및 접근 권한과 분리됩니다.

또한 다음과 같은 절차를 유지합니다.

  • 정보 처리 활동을 감독합니다.
  • 부적절한 활동이나 오류의 위험을 최소화합니다.
  • 그리고 보안에 민감한 직위에 대한 지원자를 선별합니다.

훈련

역할 기반 보안 및 보안 인식 교육을 운영합니다. 모든 현직 직원과 계약자는 2년마다 후속 보안 인식 교육을 받아야 합니다. 특정 역할(예: 고객 지원 담당자, 개발자, 채용 관리자)을 맡은 직원은 매년 더욱 광범위한 데이터 보안 교육을 이수하고 있습니다.

신원 및
액세스 관리

접근 정책

Veeva는 최소 권한 액세스 원칙을 포함하는 문서화된 액세스 정책에 따라 시스템, 애플리케이션 및 관련 정보에 대한 액세스 권한을 할당합니다. 당사는 자동화된 수단을 통해 이러한 권한을 시행합니다. 직원이 시스템에 접근하려면 먼저 승인을 받고 권한을 득해야 합니다. 당사는 명령 및 제어 기능(예: TLS, SSH, SSL 지원 FTP 또는 VPN)에 보안 기술을 사용합니다.

권한

액세스 메커니즘은 안전하고 우수한 보안 관행(예: 비밀번호 표시 금지, 암호화된 형태로 비밀번호 저장)에 따라 작동합니다. 승인 절차는 공식적으로 정의되어 있으며 다음을 포함한 상업적 표준 규율을 준수합니다.

  • 특별 접근 권한 문제에 대한 통제 강화,
  • 그리고 더 이상 필요하지 않은 승인 종료를 보장합니다.

입증

당사는 승인된 사용자를 식별하고 인증하기 위해 업계 표준 관행을 사용합니다. 당사는 인증 방법을 비즈니스 위험에 맞춰 조정합니다(즉, ‘고위험’ 사용자에게 강력한 인증이 적용됩니다). 비밀번호는 업계 표준에 따라 관리됩니다.

로그인 프로세스는 개인의 책임을 지원하고 다음을 포함하는 액세스 규정을 시행합니다.

  • 무단 사용을 용이하게 할 수 있는 정보를 억제합니다.
  • 로그인 정보를 모두 입력한 후에만 유효성을 검사합니다.
  • 사전정의된 로그인 시도 횟수 내에 로그인을 실패하면 사용자 연결을 끊습니다.
  • 비밀번호의 정기적인 변경을 요구합니다.

액세스 로그

당사는 방해가 되는 사건을 진단하고 개인의 책임을 확립하는 데 충분한 정보를 제공하도록 설계된 액세스 로그를 유지 관리합니다. 당사는 무단 액세스 또는 변경 징후가 있는지 로그를 정기적으로 검토합니다.

보안 아키텍처

당사는 정보 자원 전반에 걸쳐 보안 아키텍처를 고안하고 적용했습니다. 아키텍처는 정의된 보안 메커니즘과 지원 표준 세트로 구성됩니다. 아키텍처:

  • 다양한 수준의 보호가 필요한 정보 자원을 지원합니다.
  • 기술 환경 내에서 그리고 기술 환경 간에 안전한 정보 흐름을 가능하게 합니다.
  • 승인된 사용자에게 다양한 기술 환경에서 정보 자원에 접근할 수 있는 효율적인 수단을 제공합니다.
  • 또한 사용자가 이직하거나 보직을 변경할 때, 개별 사용자의 액세스 권한을 취소할 수 있습니다.

당사는 중요한 정보 자산과 이를 처리하는 데 사용되는 애플리케이션의 목록을 유지 관리합니다. 당사는 데이터의 개인 정보 보호, 기밀성, 보안, 무결성 또는 가용성에 영향을 미칠 수 있는 비즈니스 또는 기술 관행에 중대한 변화가 있을 때마다 정보 보안 위험 평가를 수행합니다.

물리 환경

물리적 접근

당사는 당사의 제3자 데이터 센터 제공업체가 다음을 포함하여 당사가 데이터를 호스팅하는 데 사용하는 장비 및 시설의 손실 또는 손상을 방지하기 위한 조치를 채택했는지 확인합니다.

  • 승인된 직원의 물리적 접근을 제한합니다. 그리고
  • 적절한 경우 보안 직원의 존재를 보장합니다.

중단으로부터 보호

당사의 생산 환경은 특수 장비를 활용하여 다음을 수행합니다.

  • 정전/고장으로부터 보호합니다.
  • 가동 중단 시 자산을 신속하게 복구할 수 있습니다.
  • 전원, 네트워크 인프라 및 중요 시스템을 손상이나 손상으로부터 보호합니다. 그리고
  • 자연재해나 고의적인 공격으로부터 건물을 보호합니다.

회로망
통신 및
시스템 관리

방화벽

당사는 업계 표준 방화벽 기술을 배포합니다. 당사는 방화벽 규칙(액세스 제어 메커니즘) 및 규칙 변경 사항을 관리하는 절차를 채택했습니다.

생산 목적으로 사용되는 정보 자원은 시스템 개발이나 승인 테스트에 사용되는 정보 자원과 분리됩니다.

바이러스 백신/맬웨어 방지 관리

당사는 바이러스 및 기타 악성 코드의 확산을 탐지하고 예방할 목적으로 최신 소프트웨어 및 관련 절차를 배포합니다. 이러한 통제는 호스팅된 애플리케이션의 개발 및 제공에 사용되는 내부 컴퓨팅 환경에만 적용됩니다.

허용되는 사용 정책

  • 인터넷 사용은 기업 전체에 적용되는 명확한 정책과 표준에 따라 관리됩니다.
  • 네트워크 및 호스트 기반 침입 탐지 서비스는 인터넷 연결 시스템을 포함한 중요한 시스템을 보호하는 데 사용됩니다.

서비스 거부

당사는 데이터 센터 인프라 제공업체가 서비스 거부 공격에 대한 적절한 대책을 채택하고 배포했는지 확인합니다.

미디어 정리 및 제거

당사는 데이터가 더 이상 필요하지 않거나 승인되지 않은 경우 업계 표준 프로세스 및 기술을 활용하여 데이터를 영구적으로 삭제합니다.

암호화

당사는 신뢰할 수 없는 네트워크를 통해 전송되는 데이터에 대해 최소 TLS(전송 계층 보안) v1.2를 갖춘 업계 표준 암호화 전송 프로토콜을 사용합니다. 당사는 AES(Advanced Encryption Standard) 256 암호화 또는 이에 상응하는 알고리즘을 사용하여 저장 데이터를 암호화합니다.

취약점 및
침투 테스트

당사는 취약점을 식별하고 애플리케이션을 보호하기 위한 애플리케이션, 데이터베이스, 네트워크 및 리소스 모니터링을 갖추고 있습니다. 당사의 솔루션은 출시 전에 내부 취약성 테스트를 통과해야 합니다. Veeva는 자체 내부 침투 테스트 시스템을 구축했으며, 적어도 매년 자동 및 수동 방법을 사용하여 소프트웨어에 대한 취약성 평가를 수행합니다.

당사는 매년 제3자 보안 전문가를 고용하여 당사 시스템의 취약성 및 침투 테스트를 수행합니다. 인터넷 연결 시스템은 정기적으로 취약점을 검사합니다.

비즈니스 연속성
및 재해 복구

당사의 솔루션은 단일 장애 지점을 방지하여 비즈니스 중단 가능성을 줄이도록 설계되었습니다. 당사는 공식적으로 문서화된 복구 프로세스를 유지 관리하고 있으며, 이 프로세스는 기업의 IT 인프라와 고객 데이터를 처리하는 프로덕션 인프라 모두에 심각한 비즈니스 중단이 발생할 경우 활성화될 수 있습니다. 더불어, 복구 프로세스의 유효성을 확인하기 위해 최소한 매년 테스트를 수행합니다.

또한 단일 데이터 센터 재해 발생 시 데이터 손실을 최소화하기 위해 다양한 재해 복구 조치를 구현합니다. 당사는 서비스 중단을 최소화하기 위해 중복 구성을 사용하여 솔루션을 설계합니다. 당사는 솔루션에 오류 또는 보류 중인 오류의 징후가 있는지 지속적으로 모니터링하고 가동 중지 시간을 최소화하거나 방지하기 위해 선제적인 조치를 취합니다.

사고 대응

사고는 공식적인 사고 대응 정책 및 프로세스에 따라 전담 팀에서 관리됩니다. 우리 직원은 보안 사고가 발생하면 즉시 보고하도록 교육을 받았습니다. 당사는 향후 유지 관리 중단 시간, 데이터 센터 사고 및 보안 통신을 표시하는 공개 “신뢰” 웹 페이지 (veeva.com/kr/trust) 를 제공합니다.

소프트웨어 개발
수명주기

당사는 모든 업데이트, 업그레이드 및 패치를 포함하여 소프트웨어의 개발 및 변경을 관리하는 업계 표준 소프트웨어 개발 수명주기 프로세스와 제어를 유지합니다. 당사의 프로세스에는 안전한 소프트웨어 개발 관행과 애플리케이션 보안 분석 및 테스트가 포함됩니다.

공급자

당사는 운영에 제3자 데이터 센터, 클라우드 기반 서비스 및 기타 공급업체를 활용하여 고객에게 솔루션을 제공합니다. 당사는 이러한 공급업체가 제공하는 서비스 유형과 액세스할 수 있는 정보 유형에 따라 적절하게 비공개 계약, 데이터 처리 계약, 비즈니스 협력 계약 등과 같은 하위 계약을 체결하도록 요구합니다. 당사는 공급업체가 데이터 보안 설문지를 작성하도록 요구하고 위험 평가를 실시하여 보안 프로그램의 역량과 적절성을 보장합니다. 당사는 위험 기반 접근 방식을 적용하여 공급업체의 보안 상태를 정기적으로 검토합니다.

Veeva의 공급업체는 각각 자체 보안 프로그램을 유지 관리합니다. 이 개요에서는 당사 공급업체의 보안 프로그램을 설명하지 않습니다.

인증

ISO (국제표준화기구) 27001

최소 연 1회 ISO(국제표준화기구) 27001 및 ISO 27018 관리규정 준수 여부에 대해 공인된 제3자 인증기관의 감사를 받습니다. 이러한 인증에는 당사의 인증서에 설명된 바와 같이 다양한 Veeva 제품 및 지원 인프라가 포함됩니다. ISO 27001은 세계적으로 공인된 보안 표준으로, 조직이 데이터를 보호하기 위해 시행하고 있는 정책 및 관리에 대한 지침을 제공합니다. 이 표준은 위험/위협 기반 정보 보안 관리 시스템의 개발, 구축 및 관리에 대한 체계적인 접근 방식에 대해 국제적으로 합의된 요구 사항과 모범 사례를 규정합니다. ISO 27018은 클라우드 제공자에 대한 개인 정보 보호 관리에 중점을 둔 국제적인 관행 코드입니다.

서비스 조직 통제

우리는 다양한 Veeva 제품 및 지원 인프라에 대한 보안, 기밀성 및 가용성 제어에 대한 제3자 규정 준수 감사를 정기적으로 받습니다. 우리는 보안 및 가용성 TSP(신뢰 서비스 원칙)에 따라 SOC 2(서비스 조직 제어 2) 유형 II 보고서를 게시합니다. 당사의 데이터 센터 제공업체는 자체 SOC2 보고서를 게시합니다.

HDS 인증

당사는 프랑스 공중보건법 제2002-303호 (2002년 3월 4일 개정)에 따라 개인 건강정보를 호스팅하는 모든 사업체에 필요한 건강데이터 호스팅 (HDS) 인증을 유지하고 있습니다. 이 인증은 당사 인증서에 명시된 Veeva 제품을 포함하며 프랑스 공중보건법 제 L.1111-8조에 정의된 의료 서비스 제공과 관련하여 프랑스에서 생성된 건강데이터에만 적용됩니다. 이 인증을 사용하는 고객은 전자 건강 서비스의 보안 기준을 정한 PGSSI-S (글로벌 정보 보안 정책)를 준수해야 합니다.