Aperçu du programme de sécurité de Veeva

Chez Veeva, nous sommes fiers de préserver la confiance de nos clients, de nos collaborateurs et de la communauté. Nos solutions impliquent le stockage et la transmission des informations de nos clients, des informations personnelles des professionnels de la santé, des informations personnelles des patients et des participants aux essais cliniques, ainsi que d’autres informations sensibles (collectivement, les « données »). Nous sommes conscients que notre capacité à assurer la confidentialité, l’intégrité et la disponibilité de ces données est essentielle à notre succès. Cet aperçu décrit notre programme de sécurité, notre recours à des prestataires de service tiers et les certifications de confidentialité et de sécurité que nous avons reçues.

Garanties Pratiques

Organisation

Procédure

Nous avons mis en place un programme documenté en matière de confidentialité de l’information, de sécurité et de gestion du risque, avec des rôles, des responsabilités, des politiques et des procédures clairement définis. Notre programme est basé sur les normes suivantes :

  • ISO 9001: 2015 – Systèmes de gestion de la qualité
  • ISO/IEC 27001:2013 – Gestion de la sécurité des informations
  • SOC2 Type II – Contrôles du système et de l’organisation
  • SEI Intégration du modèle de maturité des capacités (v1.3)
  • IT Infrastructure Library (ITIL) version 3
  • ICH Q9 – Gestion du risque qualité

Nous réexaminons et modifions notre programme de sécurité pour l’ajuster à l’évolution de la technologie, des réglementations, des lois, du risque, de l’industrie et des pratiques de sécurité, ainsi qu’à d’autres besoins commerciaux.

Organisation et gestion de la sécurité

Nous maintenons une structure de la responsabilité pour la gestion de la sécurité afin de :

  • coordonner nos dispositions de sécurité de l’information ;
  • décrire les points de contact pour toutes les questions de sécurité de l’information ;
  • contrôler l’efficacité des dispositions de sécurité ; et
  • assurer le respect des normes de sécurité approuvées.

Nous avons nommé un responsable de la sécurité de l’information pour aider les directeurs commerciaux, les utilisateurs, le personnel informatique et d’autres acteurs à s’acquitter de leurs responsabilités en termes de sécurité de l’information.

Personnel

Rôle et responsabilités

Nous maintenons des rôles et des responsabilités clairement définis pour toutes les activités de traitement de l’information, y compris la gestion et le contrôle des systèmes opérationnels, l’administration et la maintenance des réseaux de communication et le développement de nouveaux systèmes. Les rôles et les droits d’accès des opérateurs informatiques et des administrateurs du système sont distincts de ceux de l’équipe de développement du réseau et des systèmes.

En outre, nous maintenons des procédures pour :

  • superviser l’activité de traitement des informations ;
  • minimiser le risque d’activité non conforme ou d’erreur ; et
  • sélectionner les candidats à des postes sensibles liés à la sécurité.

Formation

Nous exigeons une formation à la sécurité et une formation de sensibilisation à la sécurité en fonction du rôle de chacun. Des formations ultérieures de sensibilisation à la sécurité sont nécessaires tous les deux ans pour tous les employés et contractuels actifs. Les collaborateurs occupant certains postes (par ex. représentants du service client, développeurs et responsables de l’embauche) reçoivent chaque année une formation plus poussée et plus approfondie sur la sécurité des données.

Gestion de l’identité et de l’accès

Politique d’accès

Nous accordons l’accès aux systèmes, applications et informations associées conformément à nos politiques d’accès documentées, qui incluent les principes de l’accès le moins privilégié. Nous appliquons ces privilèges par des moyens automatisés. Les collaborateurs doivent obtenir l’autorisation avant de pouvoir accéder aux systèmes. Nous utilisons des techniques sécurisées pour les fonctions de commande et de contrôle (par ex. TLS, SSH, SSL FTP activé ou VPN).

Privilèges

Les mécanismes d’accès fonctionnent de manière sécurisée conformément aux bonnes pratiques de sécurité (par ex. pas d’affichage des mots de passe, sauvegarde des mots de passe sous forme cryptée). Les procédures d’autorisation sont officiellement définies et sont conformes aux normes commerciales en vigueur, notamment :

  • en établissant un contrôle renforcé des questions de privilège d’accès spécial ; et
  • en veillant à la cessation des autorisations qui ne sont plus nécessaires.

Authentification

Nous faisons appel à des pratiques standards pour identifier et authentifier les utilisateurs autorisés. Nous ajustons nos méthodes d’authentification aux risques commerciaux (par ex. une authentification élevée s’applique aux utilisateurs à « haut risque »). Les mots de passe sont gérés selon les normes de l’industrie.

Le processus d’identification est conforme à la responsabilité individuelle et met en œuvre des disciplines d’accès comprenant :

  • la suppression des informations qui pourraient faciliter un usage non autorisé ;
  • la validation des informations d’identification uniquement après qu’elles aient toutes été saisies ;
  • la déconnexion des utilisateurs après un nombre défini de tentatives d’identification infructueuses ; et
  • la nécessité de changer régulièrement les mots de passe.

Journaux d’accès ou « logs »

Nous tenons des journaux d’accès (aussi appelés « logs ») qui sont conçus pour offrir des informations suffisantes afin de permettre le diagnostic des événements perturbateurs et établir une responsabilité individuelle. Nous menons des analyses périodiques afin de déceler des signes d’accès non autorisés ou de modifications.

Architecture de sécurité

Nous avons conçu et nous appliquons une architecture de sécurité à travers nos ressources d’information. Cette architecture comprend une série définie de mécanismes de sécurité et de normes associées. Cette architecture :

  • contient les ressources d’information nécessitant différents niveaux de protection ;
  • permet le flux sécurisé des informations dans et entre les environnements techniques ;
  • fournit aux utilisateurs autorisés des outils efficaces pour accéder aux ressources d’information dans différents environnements techniques ; et
  • permet que des accès privilégiés à certains utilisateurs soient annulés ou révoqués lorsque ces utilisateurs quittent leur emploi ou changent de poste.

Nous maintenons un inventaire de nos informations critiques et des applications utilisées pour les traiter. Nous réalisons des évaluations du risque de sécurité lors de tout changement matériel dans notre activité ou dans nos pratiques technologiques qui pourrait avoir un impact sur la confidentialité, la sécurité, l’intégrité ou la disponibilité des données.

Sécurité physique et environnementale

Accès physique

Nous veillons à ce que nos fournisseurs de centres de données tiers adoptent nos mesures de protection contre la perte ou les dommages causés à l’équipement et aux installations que nous utilisons pour héberger les données, y compris par :

  • la restriction de l’accès physique au personnel autorisé ; et
  • la présence de personnel de sécurité, le cas échéant.

Protection contre les perturbations

Nos environnements de production mettent en œuvre un équipement spécialisé pour :

  • se protéger contre les pannes/coupures d’électricité ;
  • permettre une récupération rapide des données en cas de coupure ;
  • protéger l’alimentation, l’infrastructure réseau et les systèmes critiques des dommages ou corruptions ; et
  • protéger les bâtiments contre les catastrophes naturelles ou les attaques délibérées.

Network
Communication réseau et gestion des systèmes

Pare-feu

Nous déployons des technologies de pare-feu conformément aux standards en vigueur. Nous avons adopté des procédures de gestion des règles de pare-feu (mécanismes de contrôle d’accès) et de modification des règles.

Les ressources d’information utilisées à des fins de production sont distinctes de celles utilisées pour les développements des systèmes ou pour les tests de validation.

Gestion antivirus/anti-programme malveillant

Nous déployons des logiciels à jour et des procédures associées afin de détecter et de prévenir la prolifération de virus et d’autres formes de codes malveillants. Ces contrôles s’appliquent uniquement aux environnements informatiques internes utilisés dans le développement et la fourniture de nos applications hébergées.

Politique d’utilisation acceptable

  • L’utilisation d’internet est régie par des politiques et des normes claires qui s’appliquent dans toute l’entreprise.
  • Des services de détection d’intrusion sur le réseau et l’hôte sont utilisés pour protéger les systèmes critiques, y compris les systèmes connectés à internet.

Déni de service

Nous veillons à ce que nos fournisseurs d’infrastructures de centres de données aient adopté et déployé des contre-mesures appropriées pour les attaques de déni de service.

Assainissement et suppression des supports

Nous mettons en œuvre des processus et des technologies conformément aux standards de l’industrie pour supprimer de manière permanente les données qui ne sont plus nécessaires ou autorisées.

Chiffrement

Nous utilisons des protocoles industriels standards de transport crypté avec au minimum Transport Layer Security (TLS) v1.2 pour les données en transit au sein de réseaux non fiables. Nous cryptons les données stockées en utilisant le chiffrement Advanced Encryption Standard (AES) 256 ou un algorithme équivalent.

Test de vulnérabilité et de pénétration

Nous disposons d’une surveillance des applications, de la base de données, du réseau et des ressources pour identifier toutes les vulnérabilités et protéger nos applications. Nos solutions sont soumises à un test interne de vulnérabilité avant leur mise en service. Nous avons construit nos propres systèmes internes de tests de pénétration et nous menons des évaluations de vulnérabilité sur notre logiciel en utilisant des méthodes automatisées et manuelles au moins une fois par an.

Nous faisons appel à des spécialistes externes de la sécurité chaque année de sorte à réaliser un test de vulnérabilité et de pénétration de nos systèmes. Les systèmes connectés à internet sont analysés régulièrement pour déceler des vulnérabilités.

Continuité de l’activité et reprise d’activité après sinistre

Nos solutions sont conçues pour éviter tous les points de défaillance afin de réduire le risque de perturbation de l’activité. Nous avons mis en place des processus de récupération formellement documentés qui peuvent être activés en cas de perturbation importante de l’activité à la fois pour l’infrastructure informatique de l’entreprise et pour l’infrastructure de production qui traite les données de nos clients. Nous réalisons des tests, au moins chaque année, pour vérifier la validité des processus de récupération.

Nous mettons également en œuvre différentes mesures de récupération après incident pour minimiser la perte de données en cas d’incident touchant un seul centre de données. Nous concevons nos solutions en utilisant des configurations redondantes de sorte à minimiser les interruptions de service. Nous surveillons nos solutions en continu pour déceler tout signe de panne ou de perturbation potentielle et nous prenons des mesures anticipées pour tenter de minimiser ou d’éviter les interruptions.

Réponses aux incidents

Les incidents sont gérés par une équipe dédiée selon une politique et un processus formalisé de réponse aux incidents. Nos collaborateurs sont formés à signaler immédiatement tout incident de sécurité. Nous offrons une page internet « fiable » qui affiche les interruptions à venir pour maintenance, les incidents de centre de données et les communications de sécurité.

Développement logiciel Cycle de vie

Nous maintenons des processus et des contrôles conformes à l’industrie du cycle de vie du développement logiciel et des modifications apportées à notre logiciel, comprenant l’ensemble des mises à jour, mises à niveau et corrections. Notre processus inclut des pratiques sécurisées de développement de logiciel et des analyses et tests de la sécurité des applications.

Fournisseurs

Nous faisons appel à des centres de données tiers, des services cloud et d’autres fournisseurs dans nos opérations et pour fournir des solutions à nos clients. Nous exigeons que ces fournisseurs signent des accords en amont avec nous, par exemple des accords de confidentialité, des accords relatifs au traitement des données, des accords de partenariat professionnel et autres selon les cas, en fonction du type de service fourni et du type d’informations auxquelles ils ont accès. Nous exigeons que nos fournisseurs remplissent des questionnaires relatifs à la sécurité des données et nous réalisons des évaluations du risque pour vérifier la performance et l’adéquation de leur programme de sécurité. Nous appliquons une approche fondée sur le risque pour effectuer une analyse périodique de la position de sécurité de nos fournisseurs.

Nous fournisseurs gèrent chacun leurs propres programmes de sécurité. Cet aperçu ne décrit pas le programme de sécurité de l’un de nos fournisseurs.

Certifications

ISO (Organisation mondiale de normalisation) 27001

Nous sommes audités au moins une fois par an par un organisme tiers de certification agréé qui vérifie la conformité avec les normes ISO (International Organization for Standardization) 27001 et ISO 27018. Ces certifications couvrent différents produits Veeva et leurs infrastructures respectives de support, comme indiqué dans notre certificat. ISO 27001 est une norme de sécurité reconnue au niveau mondial qui fournit des recommandations sur les politiques et les contrôles qu’une organisation a mis en place pour sécuriser ses données. Cette norme définit des exigences reconnues au niveau international et des meilleures pratiques pour l’approche systématique du développement, du déploiement et de la gestion d’un système de gestion de la sécurité des informations à risque/potentiellement menacées. ISO 27018 est un code international de pratique centré sur les contrôles de la confidentialité pour les fournisseurs de cloud.

Contrôles d’organisation du service

Nous sommes régulièrement soumis à des audits externes de conformité de nos contrôles de la sécurité, de la conformité et de la disponibilité de nos différents produits Veeva et de l’infrastructure support. Nous publions notre rapport Service Organization Controls 2 (SOC 2) conformément aux Trust Service Principles (TSPs) de sécurité et de disponibilité. Nos fournisseurs de centres de données publient leurs propres rapports SOC 2.