セキュリティポリシー

情報の保護

データセキュリティはVeevaと顧客の双方にとって最重要課題であり、Veevaは世界水準の物理的、ネットワーク、アプリケーションおよびデータレベルでの防護手段を構築することで、顧客のデータを保護しています。

Veevaは顧客データの秘匿性、保全性、可用性を確保するため、ISO27001に準拠した包括的安全保障プログラムを維持しています。弊社システムは、契約書に記載のオペレーションや操作に十分対応することができ、エントリーに生体認証や24時間対応のオンサイト監視などの対策を採用することで、物理的や論理的な不正アクセスを防止しており、弊社のシステム処理が完全、正確、かつ適時でオーソライズされたものであるという保証を得ています。

サービス委託機関の管理

Veevaは安全性、秘匿性、可用性の管理に関し、第三者機関によるコンプライアンス監査を定期的に行っています。VeevaはSecurity and Availability Trust Service Principles (TSPs:安全性と可用性に関する信託業務基準) に基づき、Service Organization Controls 2(SOC2:サービス委託機関の管理規約 2)様式IIの報告書を発行しています。Veeva データセンターおよびサービス会社も同様に、SSAE16 SOC1様式IIとSOC3 (Sys Trust)報告書を発行しています。これらの報告書によりVeevaがデータセンターの運営に関し、設備の設置、ハードウェア、ネットワーク、ファイアウォールなどの運営と監視などにおいて、安全で信頼性があり、高品質な運営基準を持っていることが明確になっています。これらの報告書の配布先は限定されており、守秘協定 (CDA)の下で保持することが許されています。希望者は各人が所属するVeevaアカウント担当役員やカスタマーサービスの代表者を通じて資料を請求してください。

ISO27001
ISO(国際標準化機構)27001

Veevaは、情報セキュリティマネジメントシステム(ISMS)についてISO(国際標準化機構)27001認証を、またプライバシー管理についてISO27018認証を取得しており、認証書に記載された弊社のあらゆる製品および支援設備が対象となっています。ISO 27001は、国際的に認められているセキュリティ基準で、組織のデータ保護の方針・管理について指針を示すものです。本基準は、リスクベースの情報セキュリティマネジメントシステムの開発・展開・管理に向けた体系的な取り組みについて、国際的合意を得た要件や最良事例を提示しています。ISO 27018は、クラウドサービスのプライバシー管理に重点を置いた、国際実施基準です。

SKYHIGH NETWORKS

Skyhigh Networksは、クラウドセキュリティアライアンス(CSA)と連携して開発した詳細な評価基準に基づき、企業のクラウドサービスに対する準備状況を客観的かつ詳細に評価します。クラウドシステムの認証機関であるSkyhigh Enterprise-Ready用として用意されたサービスは、クラウドシステムの最高格付けであるCloudTrust(TM)による認証を取得しており、データ保護、身元証明、サービスの安全性、業務への適用性、法的保護に関し最も厳しい要求を満たしています。

インフラストラクチャ

Veevaは最新のクラウドインフラを活用し、革新的で拡張性があり、グローバルで、予測可能かつ安全な環境を提供します。パブリッククラウドプロバイダーを総合的に評価し、アマゾン ウェブ サービス(AWS)は将来的にも当社顧客の高まるニーズに対応できるクラウドインフラプロバイダーであると判断しました。

AWSはプライバシーシールドの認定を受け、EUモデル条項および業務提携契約(HIPAA)をVeevaと締結しています。詳しくはAWS認定証明書をご確認ください。現地の規制準拠を確保するため、アプリケーションデータは、米国(西海岸と東海岸)、欧州(ドイツとアイルランド)、日本といった主要地理的地域に残したままバックアップを取ります。

2017年12月までにAWSに移行します。Veeva CRMトランザクションデータはsalesforce.comのインフラに残るため、AWS移行による影響は受けません。Veeva CRMアプリケーションサーバーとサポーティングインフラのみAWSに移行します。

VeevaのAWS移行に関する詳細はこちらをご覧ください。