Mantenemos un programa de privacidad de la información, seguridad y gestión de riesgos documentado con funciones, responsabilidades, políticas y procedimientos claramente definidos. Nuestro programa se fundamenta en las siguientes normas:

• ISO 9001:2015 – Sistemas de gestión de calidad
• ISO/IEC 27001:2013 – Gestión de seguridad de la información
• SOC2 Type II – Controles del sistema y de la organización
• Integración de modelos de madurez de capacidades del Instituto de Ingeniería de Software (SEI, por sus siglas en inglés) (v1.3)
• Biblioteca de Infraestructura de TI (ITIL, por sus siglas en inglés), versión 3
• Guía Q9 de la ICH – Gestión de riesgos para la calidad

Revisamos y modificamos de manera periódica nuestro programa de seguridad para adaptarlo a la constante evolución de la tecnología, las regulaciones, las leyes, los riesgos, las prácticas del sector y de seguridad, entre otras necesidades empresariales.

Gestión y organización de la seguridad

Contamos con una estructura de responsabilidad y rendición de cuentas para la gestión de la seguridad diseñada para:

• coordinar nuestros acuerdos de seguridad de la información;
• describir los puntos de contacto en cuestiones de seguridad de la información;
• supervisar la eficacia de los acuerdos de seguridad; y
• mantener las normas de seguridad aprobadas.

Nombramos a un director de seguridad de la información para ayudar a los gerentes de empresas, usuarios, personal de TI, entre otros, a cumplir con sus responsabilidades en materia de seguridad de la información.

Mantenemos funciones y responsabilidades claramente definidas para todas las actividades de procesamiento de la información, incluidos la gestión y el control de los sistemas operativos, la administración y el soporte de las redes de comunicación y el desarrollo de nuevos sistemas. Las funciones y los derechos de acceso de los operadores informáticos y los administradores de sistemas son distintos e independientes de los del personal de desarrollo de redes y sistemas.

Además, tenemos procedimientos para:

• supervisar la actividad de procesamiento de la información;
• minimizar el riesgo de actividades indebidas o errores; y
• seleccionar a los candidatos para cargos de seguridad de información sensible.

Para nosotros, es indispensable que nuestros empleados cumplan con la seguridad y se capaciten sobre la concientización en materia de seguridad. Cada dos años, solicitamos a todos nuestros empleados y contratistas activos que se capaciten nuevamente sobre concientización en materia de seguridad. Los empleados que desempeñan determinadas funciones (p. ej., los representantes de atención a clientes, desarrolladores y gerentes de contratación) cada año reciben una capacitación adicional y más amplia sobre la seguridad de los datos.

Asignamos el acceso a sistemas, aplicaciones e información asociada de acuerdo con nuestras políticas de acceso documentadas, las cuales se basan en el principio del menor privilegio. Ejercemos estos privilegios a través de medios automatizados. El personal debe obtener autorización antes de poder acceder a los sistemas. Utilizamos técnicas seguras para las funciones de mando y control (p. ej., TLS, SSH, FTP a través de SSL o VPN)..

Los mecanismos de acceso funcionan de forma segura conforme a las buenas prácticas de seguridad (p. ej., no mostramos las contraseñas y las ciframos antes de almacenarlas). Los procedimientos de autorización se definen de manera formal y cumplen con las disciplinas comercialmente estándar, incluidas:

• establecer un mayor control sobre la concesión de privilegios de acceso especial; y
• garantizar la revocación de autorizaciones que ya no sean necesarias.

Seguimos las prácticas estándar del sector para identificar y autenticar a los usuarios autorizados. Alineamos nuestros métodos de autenticación con el riesgo empresarial (es decir, aplicamos una autenticación sólida a los usuarios de “alto riesgo”). Gestionamos las contraseñas de acuerdo con las normas del sector.

El proceso para iniciar sesión favorece la responsabilidad individual y aplica normas de acceso, que incluyen:

• suprimir la información que podría facilitar el uso no autorizado;
• validar la información al iniciar sesión solo tras haberla introducido en su totalidad;
• desconectar a los usuarios después de un número determinado de intentos fallidos para iniciar sesión; y
• exigir que las contraseñas se cambien de forma periódica.

Mantenemos registros de acceso diseñados para proporcionar información suficiente que permita diagnosticar incidentes disruptivos y definir responsabilidades individuales. Revisamos los registros cada cierto tiempo para detectar indicios de accesos no autorizados o cambios.

Utilizamos protocolos de transporte criptografados padrão da indústria, com mínimo de Segurança da Camada de Transporte (TLS) v1.2, para Dados em trânsito através de uma rede não confiável. Criptografamos Dados em repouso usando a criptografia Padrão de Criptografia Avançada (AES) 256 ou um algoritmo equivalente.

Elaboramos y aplicamos una arquitectura de seguridad en todos nuestros recursos de información. La arquitectura está conformada por un conjunto definido de mecanismos de seguridad y normas de soporte. La arquitectura:

• respalda los recursos de información que requieren distintos niveles de protección;
• permite que la información se transmita de manera segura dentro y entre los entornos técnicos;
• proporciona a los usuarios autorizados un medio eficaz para acceder a los recursos de información en distintos entornos técnicos; y
• permite revocar los privilegios de acceso de usuarios individuales cuando abandonan o cambian de trabajo.

Mantenemos un inventario de nuestros activos de información críticos y de las aplicaciones utilizadas para procesarlos. Realizamos evaluaciones de riesgo para la seguridad de la información siempre que se produce un cambio material en nuestras prácticas empresariales o tecnológicas que puedan afectar la privacidad, confidencialidad, seguridad, integridad o disponibilidad de los datos.

Nos aseguramos de que nuestros proveedores externos de centros de datos adopten medidas de protección contra pérdida o daño de los equipos y las instalaciones que utilizamos para alojar los Datos en el servidor, incluyendo:

• restringir el acceso físico al personal autorizado; y
• garantizar la presencia de personal de seguridad cuando sea necesario.

Protección frente a disrupciones En nuestros entornos de producción, utilizamos equipos especializados para:

• proteger en caso de que haya cortes o fallos de energía eléctrica;
• permitir una rápida recuperación de los activos en caso de algún corte de energía;
• proteger el suministro eléctrico, la infraestructura de red y los sistemas críticos de daños o riesgos; y
• proteger los edificios contra catástrofes naturales o ataques deliberados.

Utilizamos las tecnologías estándar de cortafuegos del sector. Adoptamos procedimientos para gestionar las reglas de cortafuegos (mecanismo de control de acceso) y los cambios en las reglas.

Los recursos informáticos utilizados con fines de producción son independientes de los utilizados para el desarrollo de sistemas o pruebas de aceptación.

Gestión de antivirus y antimalware

Utilizamos un software actualizado y procedimientos relacionados con el fin de detectar y prevenir la proliferación de virus y otras formas de código malicioso. Estos controles se aplican solo a los entornos informáticos internos utilizados en el desarrollo y la entrega de nuestras aplicaciones alojadas en el servidor.

Políticas de uso aceptable

• El uso de Internet se rige por políticas y normas claras que se aplican en toda la empresa.
• Se utilizan servicios de detección de intrusos basados en la red y en el servidor central para proteger los sistemas críticos, incluidos los sistemas conectados a Internet.

Denegación de servicio

Nos aseguramos de que nuestros proveedores de infraestructuras de centros de datos adopten e implementen las contramedidas adecuadas para los ataques de denegación de servicio.

Depuración y eliminación de medios

Aprovechamos los procesos y las tecnologías estándar del sector para eliminar de forma permanente los Datos cuando ya no son necesarios o no están autorizados.

Aplicamos los protocolos estándar de transporte cifrado del sector con la v1.2 de Seguridad de la Capa de Transporte (TLS, por sus siglas en inglés) como mínimo para los Datos que se encuentran en tránsito a través de una red no confiable. Ciframos los Datos en reposo utilizando el Estándar de Cifrado Avanzado (AES, por sus siglas en inglés) 256 o un algoritmo equivalente.

Contamos con monitoreo de aplicaciones, bases de datos, redes y recursos para identificar cualquier vulnerabilidad y proteger nuestras aplicaciones. Nuestras soluciones se someten a pruebas internas de vulnerabilidad antes de su lanzamiento. Creamos nuestros propios sistemas internos de pruebas de penetración y realizamos evaluaciones de vulnerabilidad en nuestro software al menos una vez al año utilizando métodos automatizados y manuales.

Cada año contratamos a especialistas en seguridad externos para que realicen pruebas de vulnerabilidad y penetración en nuestros sistemas. Los sistemas orientados a Internet se analizan de forma periódica en busca de vulnerabilidades.

Nuestras soluciones están diseñadas para evitar puntos de fallo únicos con el fin de reducir las posibilidades de que se presenten disrupciones del negocio. Mantenemos procesos de recuperación documentados de manera formal que pueden activarse en caso de que ocurra una disrupción significativa del negocio, tanto para nuestra infraestructura empresarial de TI como para la infraestructura de producción que procesa los Datos de nuestros clientes. Realizamos pruebas al menos una vez al año para verificar la validez de los procesos de recuperación.

También implementamos distintas medidas de recuperación de desastres para minimizar la pérdida de Datos en caso de se presente un desastre en un centro de datos. Diseñamos nuestras soluciones con configuraciones redundantes para minimizar las interrupciones del servicio. Monitoreamos de forma continua nuestras soluciones para detectar cualquier signo de fallo o fallo inminente y tomamos medidas de prevención para intentar minimizar o evitar el tiempo de inactividad.

Un equipo especializado gestiona los incidentes de acuerdo con una política y un proceso formal de respuesta a incidentes. Nuestro personal está capacitado para informar inmediatamente sobre cualquier incidente de seguridad que ocurra. Disponemos de una página web pública de “confianza” en la que publicamos los tiempos de inactividad programados por mantenimiento, los incidentes del centro de datos y las comunicaciones de seguridad.

Mantenemos los procesos y controles estándar del ciclo de vida del desarrollo de software del sector con los que se regula el desarrollo y los cambios de nuestro software, incluidas todas las actualizaciones, mejoras y parches. Nuestro proceso incluye prácticas seguras de desarrollo de software, además de análisis y pruebas de seguridad de las aplicaciones.

Utilizamos centros de datos de terceros, servicios basados en la nube y otros proveedores en nuestras operaciones y para brindarles soluciones a nuestros clientes. Exigimos que estos proveedores firmen acuerdos previos con nosotros, como acuerdos de confidencialidad, de procesamiento de datos, de asociación empresarial y otros similares, de acuerdo con la naturaleza de los servicios que prestan y el tipo de información a la que tienen acceso. Exigimos a nuestros proveedores que llenen cuestionarios de seguridad de los datos y realizamos evaluaciones de riesgos para garantizar la competencia y adecuación de su programa de seguridad. Aplicamos un enfoque basado en el riesgo para revisar periódicamente la postura de seguridad de nuestros proveedores.

Cada uno de nuestros proveedores mantiene sus propios programas de seguridad. En el presente resumen, no describimos el programa de seguridad de ninguno de nuestros proveedores.

Al menos una vez al año nos audita un organismo de certificación externo acreditado para comprobar que cumplimos con los controles establecidos en las normas ISO (Organización Internacional de Normalización) 27001 y 27018. Dichas certificaciones abarcan varios productos de Veeva y la infraestructura de soporte, tal como se describe en nuestro certificado. La ISO 27001 es una norma de seguridad reconocida a nivel mundial en la que se dictan los lineamientos de las políticas y controles que una organización debe establecer para asegurar sus datos. En la norma se establecen los requisitos acordados a nivel internacional y las mejores prácticas para el enfoque sistemático del desarrollo, la implementación y la gestión de un sistema de gestión de seguridad de la información basado en riesgos y amenazas. La norma ISO 27018 es un código internacional de buenas prácticas que se enfoca en los controles de privacidad para los proveedores de servicios en la nube.

Nos sometemos regularmente a rigurosas auditorías de cumplimiento realizadas por terceros en relación con nuestros controles de seguridad, confidencialidad y disponibilidad para diversos productos de Veeva e infraestructura de soporte. Publicamos nuestro informe de controles de organización de servicios 2 (SOC 2, por sus siglas en inglés) de tipo II conforme a los Principios de servicio de confianza de seguridad y disponibilidad (TSP, por sus siglas en inglés). Nuestros proveedores de centros de datos publican sus propios informes SOC2.