Mantemos um programa documentado de privacidade da informação, segurança e gestão de riscos com papéis, responsabilidades, políticas e procedimentos claramente definidos. Nosso programa é baseado nos seguintes padrões:

• ISO 9001:2015 – Sistemas de Gestão da Qualidade
• ISO/IEC 27001:2013 – Gestão da Segurança da Informação
• SOC2 Tipo II – Controles de Sistema e Organização
• SEI Modelo de Maturidade de Capacidade de Integração (v1.3)
• Biblioteca de Infraestrutura de TI (ITIL) versão 3
• ICH Q9 – Gestão de Risco de Qualidade

Revisamos e modificamos regularmente nosso programa de segurança para refletir as mudanças na tecnologia, regulamentos, leis, riscos, práticas de segurança e necessidades de negócios da indústria.

Organização e Gestão de Segurança

Mantemos uma estrutura de responsabilidade e responsabilização para a gestão de segurança projetada para:

• coordenar nossos arranjos de segurança da informação;
• descrever pontos de contato sobre questões de segurança da informação;
• monitorar a eficácia dos arranjos de segurança; e
• manter padrões de segurança aprovados.

Nomeamos um oficial de segurança da informação para ajudar os gestores de negócios, usuários, equipe de TI e outros a satisfazer suas responsabilidades de segurança da informação.

Mantemos papéis e responsabilidades claramente definidos para todas as atividades de processamento de informações, incluindo o gerenciamento e controle de sistemas operacionais, administração e suporte de redes de comunicação e o desenvolvimento de novos sistemas. Os papéis e direitos de acesso dos operadores de computador e administradores de sistema são separados daqueles da equipe de desenvolvimento de rede e sistemas.

Além disso, mantemos procedimentos para:

• supervisionar a atividade de processamento de informações;
• minimizar o risco de atividade imprópria ou erro; e
• avaliar candidatos para posições sensíveis à segurança.

Exigimos treinamento de segurança baseado em funções e conscientização sobre segurança. Treinamentos subsequentes de conscientização sobre segurança são requeridos a cada dois anos para todos os funcionários ativos e contratados. Funcionários em certos papéis (por exemplo, representantes de suporte ao cliente, desenvolvedores e gerentes de contratação) recebem treinamento de segurança de dados mais aprofundado e extenso anualmente.

Atribuímos acesso a sistemas, aplicativos e informações associadas de acordo com nossas políticas de acesso documentadas, que incorporam os princípios do acesso privilegiado mínimo. Reforçamos esses privilégios através de meios automatizados. O pessoal é obrigado a obter autorização antes que possam ter acesso aos sistemas. Utilizamos técnicas seguras para funções de comando e controle (por exemplo, TLS, SSH, FTP habilitado para SSL ou VPN).

Os mecanismos de acesso operam de forma segura e alinhados com boas práticas de segurança (por exemplo, sem exibição de senhas, armazenamento de senhas em forma criptografada). Os procedimentos de autorização são formalmente definidos e estão em conformidade com disciplinas padrão comerciais, incluindo:

• estabelecer controle reforçado sobre a emissão de privilégios de acesso especial; e
• garantir a terminação de autorizações que não são mais necessárias.

Utilizamos práticas padrão da indústria para identificar e autenticar usuários autorizados. Alinhamos nossos métodos de autenticação com o risco empresarial (ou seja, autenticação rigorosa é aplicada a usuários ‘de alto risco’). As senhas são gerenciadas de acordo com os padrões da indústria.

O processo de login prevê a responsabilidade individual e reforça as disciplinas de acesso, que incluem:

• suprimir informações que poderiam facilitar o uso não autorizado;
• validar as informações de login apenas após terem sido todas inseridas;
• desconectar usuários após um número definido de tentativas de login sem sucesso; e
• exigir que as senhas sejam alteradas periodicamente.

Mantemos registros de acesso que são projetados para fornecer informações suficientes para possibilitar o diagnóstico de eventos disruptivos e estabelecer responsabilidade individual. Realizamos revisões periódicas dos registros em busca de sinais de acesso não autorizado ou alterações.

Desenvolvemos e aplicamos uma arquitetura de segurança através de nossos recursos de informação. A arquitetura compreende um conjunto definido de mecanismos de segurança e padrões de suporte. A arquitetura:

• suporta recursos de informação que requerem diferentes níveis de proteção;
• possibilita o fluxo seguro de informações dentro e entre ambientes técnicos;
• fornece aos usuários autorizados um meio eficiente de obter acesso aos recursos de informação em diferentes ambientes técnicos; e
• permite que privilégios de acesso para usuários individuais sejam revogados quando os usuários saem ou mudam de emprego.

Mantemos um inventário de nossos ativos críticos de informação e dos aplicativos usados para processá-los. Realizamos avaliações de risco de segurança da informação sempre que há uma mudança significativa em nossas práticas de negócios ou tecnologia que possa impactar a privacidade, confidencialidade, segurança, integridade ou disponibilidade dos Dados.

Asseguramos que nossos provedores de centros de dados terceirizados adotem medidas para proteger contra a perda ou dano aos equipamentos e instalações que usamos para hospedar Dados, incluindo:

• restringir o acesso físico a pessoal autorizado; e
• garantir a presença de equipe de segurança onde apropriado.

Proteção contra Interrupção

Nossos ambientes de produção utilizam equipamentos especializados para:

• proteger contra interrupções/falhas de energia;
• permitir a recuperação rápida de ativos em caso de uma interrupção;
• proteger energia, infraestrutura de rede e sistemas críticos de danos ou comprometimento; e
• proteger edifícios contra desastres naturais ou ataques deliberados.

Implementamos tecnologias de firewall padrão do setor. Adotamos procedimentos para gerenciar as regras do firewall (mecanismo de controle de acesso) e as alterações nessas regras. Recursos informativos usados para fins de produção são separados daqueles usados para desenvolvimento de sistemas ou testes de aceitação.

Gerenciamento de Antivírus/Antimalware

Implementamos software atualizado e procedimentos relacionados para detectar e prevenir a proliferação de vírus e outras formas de código malicioso. Esses controles se aplicam apenas a ambientes de computação internos usados no desenvolvimento e entrega de nossos aplicativos hospedados.

Política de Uso Aceitável

• O uso da Internet é regido por políticas e padrões claros que se aplicam em toda a empresa.
• Serviços de detecção de intrusão em rede e baseados em host são usados para proteger sistemas críticos, incluindo sistemas conectados à Internet.

Negação de Serviço

Garantimos que nossos provedores de infraestrutura de data center adotem e implementem contramedidas apropriadas para ataques de negação de serviço.

Sanitização e Remoção de Mídias

Utilizamos processos e tecnologias padrão da indústria para deletar permanentemente Dados quando eles não são mais necessários ou autorizados.

Utilizamos protocolos de transporte criptografados padrão da indústria, com mínimo de Segurança da Camada de Transporte (TLS) v1.2, para Dados em trânsito através de uma rede não confiável. Criptografamos Dados em repouso usando a criptografia Padrão de Criptografia Avançada (AES) 256 ou um algoritmo equivalente.

Temos monitoramento de aplicação, banco de dados, rede e recursos em vigor para identificar quaisquer vulnerabilidades e proteger nossos aplicativos. Nossas soluções passam por testes de vulnerabilidade internos antes do lançamento. Construímos nossos próprios sistemas internos de teste de penetração, e realizamos avaliações de vulnerabilidade em nosso software usando métodos automatizados e manuais, pelo menos anualmente.

Contratamos anualmente especialistas em segurança terceirizados para realizar testes de vulnerabilidade e penetração em nossos sistemas. Sistemas com exposição à internet são regularmente verificados em busca de vulnerabilidades.

Nossas soluções são projetadas para evitar pontos únicos de falha a fim de reduzir a chance de interrupções nos negócios. Mantemos processos de recuperação formalmente documentados que podem ser ativados no caso de uma interrupção significativa nos negócios tanto de nossa infraestrutura de TI corporativa, quanto a infraestrutura de produção, que processa os Dados de nossos clientes. Realizamos testes, pelo menos anualmente, para verificar a validade dos processos de recuperação.

Também implementamos várias medidas de recuperação de desastres para minimizar a perda de Dados no caso de um desastre em um único centro de dados. Projetamos nossas soluções usando configurações redundantes para minimizar interrupções no serviço. Monitoramos continuamente nossas soluções para qualquer sinal de falha ou falha iminente, e tomamos atitudes preventivas na tentativa de minimizar ou evitar tempo de inatividade

Incidentes são gerenciados por uma equipe dedicada de acordo com uma política e processos formais de resposta a incidentes. Nosso pessoal é treinado para relatar imediatamente qualquer incidente de segurança. Fornecemos uma página pública de “confiança” que mostra os tempos de inatividade programados para manutenção, incidentes no centro de dados e comunicações de segurança.

Mantemos processos e controles padrão da indústria para o ciclo de vida de desenvolvimento de software, governando o desenvolvimento e as alterações em nosso software, incluindo todas as atualizações, melhorias e correções. Nosso processo inclui práticas seguras de desenvolvimento de software e análise e testes de segurança de aplicativos.

Utilizamos centros de dados de terceiros, serviços baseados na nuvem e outros fornecedores em nossas operações e para fornecer soluções aos nossos clientes. Exigimos que esses fornecedores concordem com nossos acordos a subsequentes, como acordos de não divulgação, acordos de processamento de dados, acordos de associados comerciais e similares, conforme apropriado com base no tipo de serviços que eles fornecem e no tipo de informação a que têm acesso. Exigimos que nossos fornecedores completem questionários de segurança de dados e realizamos avaliações de risco para assegurar a competência e adequação de seus programas de segurança. Aplicamos uma abordagem baseada em risco para revisar periodicamente a postura de segurança de nossos fornecedores.

Nossos fornecedores mantêm seus próprios programas de segurança. Esta visão geral não descreve o programa de segurança de nenhum de nossos fornecedores.

Ao menos uma vez por ano somos auditados por um organismo de certificação terceirizado e acreditado para conformidade com a ISO (Organização Internacional de Normalização) 27001 e controles ISO 27018. Essas certificações abrangem vários produtos Veeva e a infraestrutura de suporte, conforme descrito em nosso certificado. ISO 27001 é um padrão de segurança globalmente reconhecido que fornece uma diretriz das políticas e controles que uma organização tem em vigor para proteger seus dados. O padrão estabelece requisitos acordados internacionalmente e melhores práticas para a abordagem sistemática do desenvolvimento, implementação e gerenciamento de um sistema de gestão de segurança da informação baseado em risco/ameaça. ISO 27018 é um código de prática internacional que foca em controles de privacidade para provedores de nuvem.

Passamos regularmente por auditorias de conformidade de terceiros de nossos controles de segurança, confidencialidade e disponibilidade para vários produtos Veeva e infraestrutura de suporte. Publicamos nosso relatório de Controles de Organização de Serviços 2 (SOC 2) Tipo II sob os Princípios de Serviço de Confiança de Segurança e Disponibilidade (TSPs). Nossos provedores de centro de dados publicam seus próprios relatórios SOC2.