セキュリティポリシー

セキュリティとインフラストラクチャ

データセキュリティはVeevaと顧客の双方にとって最重要課題であり、Veevaは世界水準の物理的、ネットワーク、アプリケーションおよびデータレベルでの防護手段を構築することで、顧客のデータを保護しています。 さらに、Veevaは革新性、拡張性、予測可能性、安全性に優れたグローバルな環境を提供するために、現在利用可能な最も高度な最先端のインフラストラクチャに投資しています。

Update: Zoom for Enterprise Meetings at Veeva

情報の保護

Veevaは顧客データの秘匿性、保全性、可用性を確保するため、ISO27001に準拠した包括的安全保障プログラムを維持しています。弊社システムは、契約書に記載のオペレーションや操作に十分対応することができ、エントリーに生体認証や24時間対応のオンサイト監視などの対策を採用することで、物理的や論理的な不正アクセスを防止しており、弊社のシステム処理が完全、正確、かつ適時でオーソライズされたものであるという保証を得ています。

サービス委託機関の管理

Veevaは安全性、秘匿性、可用性の管理に関し、第三者機関によるコンプライアンス監査を定期的に行っています。VeevaはSecurity and Availability Trust Service Principles (TSPs:安全性と可用性に関する信託業務基準) に基づき、Service Organization Controls 2(SOC2:サービス委託機関の管理規約 2)様式IIの報告書を発行しています。Veeva データセンターおよびサービス会社も同様に、SSAE16 SOC1様式IIとSOC3 (Sys Trust)報告書を発行しています。これらの報告書によりVeevaがデータセンターの運営に関し、設備の設置、ハードウェア、ネットワーク、ファイアウォールなどの運営と監視などにおいて、安全で信頼性があり、高品質な運営基準を持っていることが明確になっています。これらの報告書の配布先は限定されており、守秘協定 (CDA)の下で保持することが許されています。希望者は各人が所属するVeevaアカウント担当役員やカスタマーサービスの代表者を通じて資料を請求してください。

ISO27001
ISO(国際標準化機構)27001

Veevaは、情報セキュリティマネジメントシステム(ISMS)についてISO(国際標準化機構)27001認証を、またプライバシー管理についてISO27018認証を取得しており、認証書に記載された弊社のあらゆる製品および支援設備が対象となっています。ISO 27001は、国際的に認められているセキュリティ基準で、組織のデータ保護の方針・管理について指針を示すものです。本基準は、リスクベースの情報セキュリティマネジメントシステムの開発・展開・管理に向けた体系的な取り組みについて、国際的合意を得た要件や最良事例を提示しています。ISO 27018は、クラウドサービスのプライバシー管理に重点を置いた、国際実施基準です。

SKYHIGH NETWORKS

Skyhigh Networksは、クラウドセキュリティアライアンス(CSA)と連携して開発した詳細な評価基準に基づき、企業のクラウドサービスに対する準備状況を客観的かつ詳細に評価します。クラウドシステムの認証機関であるSkyhigh Enterprise-Ready用として用意されたサービスは、クラウドシステムの最高格付けであるCloudTrust(TM)による認証を取得しており、データ保護、身元証明、サービスの安全性、業務への適用性、法的保護に関し最も厳しい要求を満たしています。

Veeva CRM Engage MeetingとZoomのセキュリティ

Veeva CRM Engage Meetingアプリケーションの中核を成すのは、Zoomのテクノロジーです。VeevaはEngageのビデオ会議のパートナーとしてZoomを選びました。Zoomがエンタープライズグレードのセキュリティと業界トップレベルの使いやすさを備え、製品の完全性と安定性に重点を置いているからです。

さらにZoomのSDKによる、ZoomとVeeva CRMの統合により、Veevaと顧客のどちらもエンドユーザーのZoomの動作を制御できるようになりました。VeevaはZoomの各種機能を利用して、Engage Meetingのセキュリティと機密性を確保しています。

  • 送信中のデータをAES256-GCM暗号化で保護
  • Engage Meetingを使用したすべてのミーティングでパスワードが必須
  • デスクトップ全体ではなく特定のウィンドウのみを共有可能
  • ファイル共有は無効
  • セッションの記録は無効。ホストと参加者のどちらも随時ビデオを無効化可能
  • 退出させた参加者を自動的にブラックリストに登録
  • ミーティングホストのみがミーティングを開催可能

インフラストラクチャ

Veevaは、革新性、拡張性、予測可能性、安全性に優れたグローバルな環境を提供するために、最先端のクラウドインフラストラクチャを利用しています。

Veeva CRMは、Salesforceのプラットフォーム上でホストされます。Salesforceのセキュリティプログラムの詳細はこちらをご覧ください。Salesforceはプライバシーシールドの認定を受け、EUモデル条項およびビジネスアソシエイト契約(HIPAA)をVeevaと締結しています。各地域の規制に準拠するため、アプリケーションデータはこちらのSalesforce.comのヘルプページに記載された主要地域に置かれ、バックアップされます。

Veevaは、当社顧客からのニーズの高まりに対応するために、アマゾン ウェブ サービス(AWS)を主要クラウドインフラストラクチャプロバイダーとして利用しています。

AWSはプライバシーシールドの認定を受け、EUモデル条項およびビジネスアソシエイト契約(HIPAA)をVeevaと締結しています。詳細はAWSコンプライアンスプログラムをご覧ください。各地域の規制に準拠するため、アプリケーションデータは主要地域である米国(東海岸・西海岸)、ヨーロッパ(ドイツ・アイルランド)、および日本に置かれ、バックアップされます。