Veeva安全方案概述

Veeva一直深受客户、员工和社区的信任,我们以此为豪。我们的解决方案涉及存储和传输客户的专有信息、医疗专业人员的个人信息、患者和临床试验参与者的个人信息以及其他敏感信息(统称为“数据”)。我们认为,我们保持这些数据的保密性、完整性和可用性的能力对我们的成功至关重要。本概述描述了我们的安全方案、我们对第三方服务的利用方式,以及我们获得的隐私和安全认证。

保障领域 措施

组织层面

程序

Veeva维护一个文档化的信息隐私、安全和风险管理方案,明确定义了与该项目相关的角色、职责、政策和程序。该方案遵循以下标准:

  • ISO 9001:2015质量管理体系
  • ISO/IEC 27001:2013信息安全管理体系
  • 系统和组织控制(SOC)2 类型2
  • SEI能力成熟度模型集成(1.3版)
  • 信息技术基础设施库(ITIL)(3.0版)
  • ICH Q9质量风险管理

Veeva会定期根据技术、法规、法律、风险、行业和安全实践及其他业务需求的变化审查和修改Veeva的安全方案。

安全组织与管理

Veeva的安全管理有明确的责任和问责架构,旨在:

  • 协调Veeva的信息安全规划;
  • 明确信息安全问题的联络点;
  • 督察安全管理规划的成效;
  • 维护认可的安全标准。

Veeva已委任一名信息安全官,协助业务经理、用户、IT人员等履行信息安全责任。

人员层面

角色和职责

Veeva对包括可操作系统的管理和控制、通信网络管理和支持以及新系统开发在内的所有信息处理活动,均有明确的角色和责任划分。计算机使用者和系统管理员的角色和访问权限,与网络和系统开发人员的角色和访问权限互不交叠。

此外,Veeva设定了运作程序,以:

  • 监督信息处理活动;
  • 将不当操作或错误的风险降至最低;
  • 筛选申请安全敏感职位的申请人。

培训

Veeva针对不同角色开展特定的安全和安全意识培训。此外,Veeva每两年会针对所有在职员工和承包商进行安全意识培训。某些角色的员工(例如,客户支持代表、开发人员和招聘经理)每年都会接受更深入、更广泛的数据安全培训。

身份和访问管理

访问政策

Veeva的访问政策基于最小权限原则。Veeva根据文档化的访问政策赋予系统、应用程序和相关信息的访问权限。访问权限通过自动化方式部署,相关人员获得授权后方具备系统访问权限。Veeva通过安全技术(例如,TLS, SSH,基于SSL的FTP或VPN)实现命令和控制。

特殊权限

Veeva的访问控制机制运行安全,且符合良好的安全实践规范(例如,不显示密码,以加密形式存储密码等)。授权程序已经过正式定义且符合商业标准,包括:

  • 加强对特殊访问权限的控制;
  • 确保不再需要的授权被终止。

身份验证

Veeva以符合行业标准的实践来识别和验证授权用户。Veeva的认证方法充分考虑业务风险(比如,强认证应用于“高风险”用户等)。密码按照行业标准进行管理。

登录过程实施个人问责制,并执行访问规则,规则包括:

  • 禁止可能导致未经授权使用的信息;
  • 登录信息全部输入后才进行验证;
  • 用户登录失败次数超过限定后,断开连接;
  • 要求定期修改密码。

访问日志

Veeva维护访问日志以记录访问信息,在破坏性事件发生后可展开溯源并追溯个人责任。Veeva对日志进行定期审查,以及时发现未经授权的访问或更改。

Veeva维护访问日志,用以在诊断破坏性事件和追溯个人责任时提供充分的信息参考; 并定期审查该日志,以发现未经授权的访问或更改。

安全架构

Veeva设计并使用一套信息资源安全架构,该架构包含一组已定义的安全机制和支持标准:

  • 支持对信息资源进行不同级别的保护;
  • 实现信息在技术环境内部和技术环境之间的安全流动;
  • 为授权用户提供在不同技术环境下访问信息资源的有效途径;
  • 用户离开或更换工作岗位时,可以撤销个人用户的访问权限。

Veeva维护关键信息资产清单和处理该资产的应用程序清单。每当Veeva业务或技术实践发生重大变化,可能影响数据的隐私、机密性、安全性、完整性或可用性时,我们都会进行信息安全风险评估。

物理环境的保护

物理访问

Veeva确保第三方数据中心提供商已采取措施,防止Veeva用于存储数据的设备和设施丢失或损坏,这些措施包括:

  • 限制授权人员的物理访问;
  • 在必要情况下,确保有保安人员在场。

防止干扰

Veeva利用专业设备来保障生产环境,以:

  • 防止停电/故障;
  • 在停电事件中快速恢复;
  • 保护电力、网络基础设施和关键系统免受损害;
  • 保护建筑物免受自然灾害或蓄意攻击。

网络通信与系统管理

防火墙

Veeva部署了符合行业标准的防火墙。Veeva设置了程序来管理和更新防火墙规则(访问控制机制)。

用于生产目的的信息资源与用于系统开发或验收测试的信息资源是分开的。

防病毒/防恶意软件管理

Veeva部署最新的软件和对应流程来检测和防止病毒和其他形式的恶意代码的扩散。这些控制只适用于开发和交付托管应用程序时使用的内部计算环境。

可接受使用政策

  • 互联网的使用受到适用于整个企业的明确政策和标准的管理;
  • 基于网络和主机的入侵检测服务用于保护关键系统,包括与互联网连接的系统。

拒绝服务

Veeva确保Veeva的数据中心基础设施提供商已经采用并部署了针对拒绝服务攻击的适当对策举措。

媒介清除

当数据不再需要或被授权时,Veeva使用符合行业标准流程和技术的方法将其永久删除。

加密

如果数据在不受信任的网络进行传输,Veeva使用不低于传输层安全(TLS)1.2版的行业标准加密传输协议。对于静态数据,Veeva使用高级加密标准(AES) 256或等效算法进行加密。

漏洞和渗透测试

Veeva对应用程序、数据库、网络和资源进行监控,以识别漏洞,保护应用程序。Veeva的所有解决方案在发布之前都会进行内部漏洞测试。Veeva已经建立内部渗透测试系统,每年至少开展一次自动化和人工执行的软件漏洞评估。

Veeva每年聘请第三方安全专家对Veeva的系统进行漏洞和渗透测试。面向互联网的系统会定期开展漏洞扫描。

容灾措施

Veeva的解决方案旨在避免单点故障,以减少业务中断。Veeva维护文档化的恢复流程。在企业IT基础设施和处理客户数据的生产基础设施发生重大业务中断时,这些流程可以被激活。Veeva至少每年进行一次测试,以验证恢复流程的有效性。

Veeva还实施了各种容灾措施,以最大限度地减少单个数据中心发生灾难时的数据损失。Veeva使用冗余配置来构建解决方案,以最大限度地减少服务中断。Veeva不断监控Veeva的解决方案的任何故障迹象,采取先发制人的行动,以尽量减少或避免停机。

事故响应

事故由专门的团队按照正式的事故响应政策和流程进行管理。Veeva的人员受过良好培训,能够对安全事故做出及时反映。Veeva建立了一个公开的“数据安全声明”网页,以显示预期的维护停机时间以及数据中心事故和安全相关的通告。

软件开发周期

Veeva维护符合行业标准的软件全生命周期管理流程,如控制和管理软件的开发和变更(包括所有的更新、升级和补丁)。Veeva的流程包括安全软件开发实践以及针对应用程序进行的安全分析和测试。

供应商

在运营以及为客户提供解决方案时,Veeva使用第三方数据中心、基于云的服务和其他供应商的服务。Veeva根据这些供应商提供的服务类型和他们可以访问的信息类型,要求其与Veeva签订下游协议,如保密协议、数据处理协议、业务伙伴协议等。Veeva要求供应商填写数据安全调查问卷,同时,Veeva会进行风险评估,以确保供应商的安全方案的能力和适当性。Veeva采用基于风险的方法定期审查供应商的安全状况。

Veeva的供应商都维护自己的安全方案。本简介并未涉及Veeva任何供应商安全项目的内容。

认证

ISO(国际标准化组织)27001标准

Veeva每年至少接受一次经认可的第三方认证机构的审核,以确保符合ISO(国际标准化组织)27001和ISO 27018的控制标准。Veeva获得的证书上已列明符合该标准的Veeva旗下产品和配套基础设施。ISO 27001标准是全球认可的安全标准,为企业的数据安全提供政策和控制准则。该体系标准包含了全球认可的要求和实践,为基于风险/威胁的信息安全管理系统的开发、部署和管理提供了系统化方法。ISO 27018标准是全球认可的实践准则,为云服务供应商的隐私控制提供统一的标准。

服务组织控制措施

Veeva定期通过对Veeva产品和配套基础设施的安全、保密性和可用性控制系统进行第三方合规审计。同时,Veeva也会发布安全和可用信任服务原则 (TSPs)下的《服务组织控制措施2》 (SOC 2) 类型II报告。Veeva的数据中心提供商会发布他们自己的SOC 2报告。