Veeva一直深受客户、员工和社区的信任,我们以此为豪。我们的解决方案涉及存储和传输客户的专有信息、医疗专业人员的个人信息、患者和临床试验参与者的个人信息以及其他敏感信息(统称为“数据”)。我们认为,我们保持这些数据的保密性、完整性和可用性的能力对我们的成功至关重要。本概述描述了我们的安全方案、我们对第三方服务的利用方式,以及我们获得的隐私和安全认证。
| 保障领域 | 措施 |
|---|---|
组织层面 |
程序Veeva维护一个文档化的信息隐私、安全和风险管理方案,明确定义了与该项目相关的角色、职责、政策和程序。该方案遵循以下标准:
Veeva会定期根据技术、法规、法律、风险、行业和安全实践及其他业务需求的变化审查和修改Veeva的安全方案。 安全组织与管理Veeva的安全管理有明确的责任和问责架构,旨在:
Veeva已委任一名信息安全官,协助业务经理、用户、IT人员等履行信息安全责任。 |
人员层面 |
角色和职责Veeva对包括可操作系统的管理和控制、通信网络管理和支持以及新系统开发在内的所有信息处理活动,均有明确的角色和责任划分。计算机使用者和系统管理员的角色和访问权限,与网络和系统开发人员的角色和访问权限互不交叠。 此外,Veeva设定了运作程序,以:
培训Veeva针对不同角色开展特定的安全和安全意识培训。此外,Veeva每年会针对所有在职员工和承包商进行安全意识培训。某些角色的员工(例如,客户支持代表、开发人员和招聘经理)每年都会接受更深入、更广泛的数据安全培训。 |
身份和访问管理 |
访问政策Veeva的访问政策基于最小权限原则。Veeva根据文档化的访问政策赋予系统、应用程序和相关信息的访问权限。我们通过自动化方式实施这些特殊权限。人员需要获得授权后才能访问系统。Veeva通过安全技术(例如,TLS, SSH,VPN)实现命令和控制。 特殊权限访问机制运作安全,并符合良好的安全作法(例如,不显示密码,以加密形式存储密码等)。授权程序已经过正式定义且符合商业标准,包括:
身份验证Veeva以符合行业标准的实践来识别和验证授权用户。Veeva的认证方法充分考虑业务风险(比如,强认证应用于“高风险”用户等)。密码按照行业标准进行管理。 登录过程实施个人问责制,并执行访问规则,规则包括:
访问日志我们维护基础设施和访问日志,旨在提供足够的信息,以诊断破坏性事件并建立个人责任。我们使用监控工具来分析所选日志数据中的异常活动,如未经授权的访问或更改,并提醒我们注意此类异常活动。 |
安全架构 |
Veeva设计并使用一套信息资源安全架构,该架构包含一组已定义的安全机制和支持标准:
Veeva维护关键信息资产清单和处理该资产的应用程序清单。每当我们的业务或技术实践发生可能影响数据的安全性、隐私性、保密性、完整性或可用性的重大变化时,我们都会进行信息安全风险评估。 |
物理环境的保护 |
物理访问Veeva确保第三方数据中心提供商已采取措施,防止Veeva用于存储数据的设备和设施丢失或损坏,这些措施包括:
防止干扰Veeva利用专业设备来保障生产环境,以:
|
网络通信与系统管理 |
防火墙Veeva部署了符合行业标准的防火墙。Veeva设置了程序来管理和更新防火墙规则(访问控制机制)。 用于生产目的的信息资源与用于系统开发或验收测试的信息资源是分开的。 防病毒/防恶意软件管理Veeva部署最新的软件和对应流程来检测和防止病毒和其他形式的恶意代码的扩散。这些控制只适用于开发和交付托管应用程序时使用的内部计算环境。网络和主机入侵检测服务用于保护关键系统,包括连接互联网的系统。 可接受使用政策
拒绝服务Veeva确保Veeva的数据中心基础设施提供商已经采用并部署了针对拒绝服务攻击的适当对策举措。 媒介清除当数据不再需要或被授权时,Veeva使用符合行业标准流程和技术的方法将其永久删除。 |
加密 |
如果数据在不受信任的网络进行传输,Veeva使用不低于传输层安全(TLS)1.2版的行业标准加密传输协议。对于静态数据,Veeva使用高级加密标准(AES) 256或等效算法进行加密。 |
漏洞和渗透测试 |
Veeva对应用程序、数据库、网络和资源进行监控,以识别漏洞,保护应用程序。Veeva的所有解决方案在发布之前都会进行内部漏洞测试。Veeva已经建立内部渗透测试系统,每年至少开展一次自动化和人工执行的软件漏洞评估。 Veeva每年聘请第三方安全专家对Veeva的系统进行漏洞和渗透测试。面向互联网的系统会定期开展漏洞扫描。 |
容灾措施 |
Veeva的解决方案旨在避免单点故障,以减少业务中断。Veeva维护文档化的恢复流程。在企业IT基础设施和处理客户数据的生产基础设施发生重大业务中断时,这些流程可以被激活。Veeva至少每年进行一次测试,以验证恢复流程的有效性。 Veeva还实施了各种容灾措施,以最大限度地减少单个数据中心发生灾难时的数据损失。Veeva使用冗余配置来构建解决方案,以最大限度地减少服务中断。Veeva不断监控Veeva的解决方案的任何故障迹象,采取先发制人的行动,以尽量减少或避免停机。 |
事故响应 |
事故由专门的团队按照正式的事故响应政策和流程进行管理。Veeva的人员受过良好培训,能够对安全事故做出及时反映。我们提供公开的「信任」网页,显示即将发生的维护停机、数据中心事故和安全通讯。 |
软件开发周期 |
Veeva维护符合行业标准的软件全生命周期管理流程,如控制和管理软件的开发和变更(包括所有的更新、升级和补丁)。Veeva的流程包括安全软件开发实践以及针对应用程序进行的安全分析和测试。 |
供应商 |
在运营以及为客户提供解决方案时,Veeva使用第三方数据中心、基于云的服务和其他供应商的服务。Veeva根据这些供应商提供的服务类型和他们可以访问的信息类型,要求其与Veeva签订下游协议,如保密协议、数据处理协议、业务伙伴协议等。Veeva要求供应商填写数据安全调查问卷,同时,Veeva会进行风险评估,以确保供应商的安全方案的能力和适当性。Veeva采用基于风险的方法定期审查供应商的安全状况。 Veeva的供应商都维护自己的安全方案。本简介并未涉及Veeva任何供应商安全项目的内容。 |
认证
|
ISO(国际标准化组织)27001 标准Veeva每年至少接受一次经认可的第三方认证机构的审核,以确保符合ISO(国际标准化组织)27001和ISO 27018的控制标准。Veeva获得的证书上已列明符合该标准的Veeva旗下产品和配套基础设施。ISO 27001标准是全球认可的安全标准,为企业的数据安全提供政策和控制准则。该体系标准包含了全球认可的要求和实践,为基于风险/威胁的信息安全管理系统的开发、部署和管理提供了系统化方法。ISO 27018标准是全球认可的实践准则,为云服务供应商的隐私控制提供统一的标准。 |
|
服务组织控制措施Veeva定期通过对Veeva产品和配套基础设施的安全、保密性和可用性控制系统进行第三方合规审计。同时,Veeva也会发布安全和可用信任服务原则 (TSPs)下的《服务组织控制措施2》 (SOC 2) 类型II报告。Veeva的数据中心提供商会发布他们自己的SOC 2报告。 |
|
根据2002年3月4日颁布的第2002-303号法,我们为所有托管个人健康数据的实体提供健康数据托管(HDS)证书。本认证涵盖我们证书中描述的Veeva产品,仅适用于法国公共卫生法第L.1111-8条规定的在法国提供医疗保健的健康数据。依赖此证书的客户必须遵守PGSSI-S(医疗保健行业全球信息安全政策),该政策规定了电子医疗服务的安全标准。 有关 Veeva 遵循 HDS 第 31 号要求的相关信息,可在此查阅: veeva.com/privacy/hds-compliance/. |
|
ISO(国际标准化组织)9001 标准我们的质量管理体系持有 ISO 9001 认证。该认证涵盖了我们证书中所列出的 Veeva 产品。ISO 9001 通过一套建立在“以客户为中心”、“基于风险的决策”以及“持续改进”基础上的框架,确保我们的产品和服务拥有始终如一的品质。它要求采用系统化的过程方法,使领导层与业务运营保持一致,从而满足所有利益相关方的需求。 |
|
独立 GxP 鉴证我们已委派生命科学合规领域的第三方 GxP 审计专家,对 Veeva 的质量管理体系(QMS)及主服务协议(MSA)控制措施提供独立审计报告。这些专注于 GxP 的鉴证报告,能够从独立第三方的视角,让客户深入了解 Veeva 的业务流程与合规情况。您可从以下渠道购买独立 GxP 审计报告: Rx-360 – https://rx-360.org/licenseanauditreport/ USDM – 联系方式 – enorthigton@usdm.com Diligent Pharma – 在此处获取报告 – https://www.diligentpharma.com/veeva-vqa-report/ |
