Home · About Veeva · Trust

Trust

Medidas técnicas y organizativas

En Veeva, nos enorgullecemos de mantener la confianza de nuestros clientes, empleados y la comunidad. Nuestras soluciones implican el almacenamiento y la transmisión de información de propiedad exclusiva de nuestros clientes, información personal de profesionales médicos, información personal de pacientes y participantes en ensayos clínicos, y otra información sensible (colectivamente, “Datos”). Entendemos que nuestra capacidad para mantener la confidencialidad, integridad y disponibilidad de estos datos es fundamental para nuestro éxito. Este resumen describe nuestro programa de seguridad, nuestro uso de proveedores de servicios externos y las certificaciones de privacidad y seguridad que hemos recibido.

Garantías	Prácticas
Organización	Procedimiento Mantenemos un programa documentado de privacidad de la información, seguridad y gestión de riesgos con funciones, responsabilidades, políticas y procedimientos claramente definidos. Nuestro programa se basa en las siguientes normas: ISO 9001:2015 – Sistemas de gestión de la calidad ISO/IEC 27001:2013 – Gestión de la seguridad de la información SOC2 Tipo II – Controles del sistema y de la organización Integración del Modelo de Madurez de las Capacidades del SEI (v1.3) Biblioteca de Infraestructuras de TI (ITIL) versión 3 ICH Q9 – Gestión de riesgos para la calidad Revisamos y modificamos periódicamente nuestro programa de seguridad para adaptarlo a la evolución de la tecnología, la normativa, las leyes, los riesgos, las prácticas del sector y de seguridad y otras necesidades empresariales. Organización y gestión de la seguridad Mantenemos una estructura de responsabilidad y rendición de cuentas para la gestión de la seguridad diseñada para: Coordinar nuestros dispositivos de seguridad de la información; Describir los puntos de contacto sobre cuestiones de seguridad de la información; Comprobar la eficacia de los dispositivos de seguridad; y Mantener las normas de seguridad aprobadas. Hemos nombrado a un responsable de seguridad de la información para ayudar a los directores de empresa, usuarios, personal informático y otras personas a cumplir con sus responsabilidades en materia de seguridad de la información.
Personal	Funciones y responsabilidades Mantenemos funciones y responsabilidades claramente definidas para todas las actividades de tratamiento de la información, incluida la gestión y el control de los sistemas operativos, la administración y el soporte de las redes de comunicación y el desarrollo de nuevos sistemas. Las funciones y los derechos de acceso de los operadores informáticos y administradores de sistemas están separados de los del personal de desarrollo de redes y sistemas. Además, mantenemos procedimientos para: Supervisar la actividad de tratamiento de la información; Minimizar el riesgo de actividad indebida o error; y Examinar a los candidatos a puestos sensibles desde el punto de vista de la seguridad. Formación Exigimos una formación sobre seguridad y concienciación en materia de seguridad basada en funciones. Todos los empleados en activo y los contratistas deben recibir una formación de concienciación sobre seguridad cada dos años. Los empleados que desempeñan determinadas funciones (por ejemplo, representantes de atención al cliente, desarrolladores y responsables de contratación) reciben anualmente una formación más amplia sobre la seguridad de los datos.
Identidad y acceso Gestión	Política de acceso Asignamos el acceso a sistemas, aplicaciones e información asociada de acuerdo con nuestras políticas de acceso documentadas, que incorporan los principios de acceso menos privilegiado. Aplicamos estos privilegios a través de medios automatizados. El personal debe obtener autorización antes de poder acceder al sistema. Utilizamos técnicas seguras para las funciones de mando y control (por ejemplo, TLS, SSH, FTP habilitado para SSL o VPN). Privilegios Los mecanismos de acceso funcionan de forma segura y se ajustan a las buenas prácticas de seguridad (por ejemplo, no se muestran las contraseñas, se almacenan cifradas). Los procedimientos de autorización están formalmente definidos y se ajustan a las disciplinas comercialmente normalizadas, entre ellas: Establecer un mayor control sobre la concesión de privilegios especiales de acceso; y Garantizar la finalización de las autorizaciones que ya no son necesarias. Autenticación Utilizamos prácticas estándar del sector para identificar y autenticar a los usuarios autorizados. Ajustamos nuestros métodos de autenticación al riesgo empresarial (es decir, se aplica una autenticación fuerte a los usuarios de “alto riesgo”). Las contraseñas se gestionan según las normas del sector. El proceso de inicio de sesión apoya la responsabilidad individual e impone disciplinas de acceso que incluyen: Suprimir información que pudiera facilitar un uso no autorizado; Validar la información de inicio de sesión sólo después de que se haya introducido toda; Desconectar a los usuarios tras un número determinado de intentos fallidos de inicio de sesión; y Exigir que las contraseñas se cambien periódicamente. Registros de acceso Mantenemos registros de infraestructura y acceso diseñados para proporcionar información suficiente que permita diagnosticar incidentes perturbadores y establecer responsabilidades individuales. Utilizamos herramientas de supervisión para analizar los datos de registro seleccionados en busca de actividades anómalas, como accesos o cambios no autorizados, y para alertarnos de dichas actividades anómalas.
Arquitectura de Seguridad	Hemos concebido y aplicado una arquitectura de seguridad en todos nuestros recursos de información. La arquitectura comprende un conjunto definido de mecanismos de seguridad y normas de apoyo. La arquitectura: Soporta recursos de información que requieren distintos niveles de protección; Permite el flujo seguro de información dentro de los entornos técnicos y entre ellos; Proporciona a los usuarios autorizados un medio eficaz de acceder a los recursos de información en distintos entornos técnicos; y Permite revocar los privilegios de acceso de usuarios individuales cuando éstos abandonan o cambian de trabajo. Mantenemos un inventario de nuestros activos de información críticos y de las aplicaciones utilizadas para procesarlos. Llevamos a cabo evaluaciones de riesgos para la seguridad de la información siempre que se produce un cambio sustancial en nuestras prácticas empresariales o tecnológicas que pueda afectar a la seguridad, privacidad, confidencialidad, integridad o disponibilidad de los Datos.
Física y Medio ambiente	Acceso físico Nos aseguramos de que nuestros proveedores de centros de datos externos hayan adoptado medidas de protección contra la pérdida o el daño de los equipos y las instalaciones que utilizamos para alojar los Datos, entre otras: Restringir el acceso físico al personal autorizado; y Garantizar la presencia de personal de seguridad cuando proceda. Protección contra las perturbaciones Nuestros entornos de producción aprovechan equipos especializados para: Protección contra cortes o fallos de electricidad; Permitir una rápida recuperación de los activos en caso de interrupción del servicio; Proteger la energía, la infraestructura de red y los sistemas críticos frente a daños o riesgos. Proteger los edificios contra catástrofes naturales o ataques deliberados.
Comunicaciones de Red y Gestión de Sistemas	Cortafuegos Desplegamos tecnologías de cortafuegos estándar del sector. Hemos adoptado procedimientos para gestionar las reglas del cortafuegos (mecanismo de control de acceso) y los cambios en las reglas. Los recursos informativos utilizados con fines de producción están separados de los utilizados para el desarrollo de sistemas o las pruebas de aceptación. Gestión de Antivirus y Antimalware Desplegamos software actualizado y procedimientos relacionados con el fin de detectar y prevenir la proliferación de virus y otras formas de código malicioso. Estos controles se aplican únicamente a los entornos informáticos internos utilizados en el desarrollo y la entrega de nuestras aplicaciones alojadas. Política de uso aceptable El uso de Internet se rige por políticas y normas claras que se aplican en toda la empresa. Los servicios de detección de intrusos basados en la red y en el host se utilizan para proteger los sistemas críticos, incluidos los conectados a Internet. Denegación de Servicio Nos aseguramos de que nuestros proveedores de infraestructuras de centros de datos hayan adoptado y desplegado las contramedidas adecuadas para los ataques de denegación de servicio. Saneamiento y Retirada de Medios Aprovechamos los procesos y tecnologías estándar del sector para eliminar permanentemente los Datos cuando ya no son necesarios o no están autorizados.
Cifrado	Utilizamos protocolos de transporte cifrados estándar del sector, con un mínimo de Seguridad de la Capa de Transporte (TLS) v1.2, para los Datos en tránsito a través de una red no fiable. Ciframos los Datos en reposo utilizando el estándar de cifrado avanzado (AES) 256 o un algoritmo equivalente.
Vulnerabilidad y Pruebas de Penetración	Disponemos de supervisión de aplicaciones, bases de datos, redes y recursos para identificar cualquier vulnerabilidad y proteger nuestras aplicaciones. Nuestras soluciones se someten a pruebas internas de vulnerabilidad previas a su lanzamiento. Hemos creado nuestros propios sistemas internos de pruebas de penetración y realizamos evaluaciones de vulnerabilidad de nuestro software mediante métodos automatizados y manuales, al menos una vez al año. Contratamos anualmente a especialistas en seguridad externos para que realicen pruebas de vulnerabilidad y penetración en nuestros sistemas. Los sistemas orientados a Internet se analizan periódicamente en busca de vulnerabilidades.
Continuidad de la Actividad y Recuperación en Caso de Catástrofe	Nuestras soluciones están diseñadas para evitar puntos únicos de fallo y reducir así las posibilidades de interrupción de la actividad empresarial. Mantenemos procesos de recuperación formalmente documentados que pueden activarse en caso de una interrupción significativa del negocio, tanto para nuestra infraestructura corporativa de TI como para la infraestructura de producción que procesa los datos de nuestros clientes. Realizamos pruebas, al menos una vez al año, para verificar la validez de los procesos de recuperación. También aplicamos diversas medidas de recuperación ante desastres para minimizar la pérdida de datos en caso de desastre en un único centro de datos. Diseñamos nuestras soluciones utilizando configuraciones redundantes para minimizar las interrupciones del servicio. Supervisamos continuamente nuestras soluciones para detectar cualquier signo de fallo o fallo inminente, y tomamos medidas preventivas para intentar minimizar o evitar el tiempo de inactividad.
Respuesta a incidentes	Los incidentes son gestionados por un equipo especializado de acuerdo con una política y un proceso formales de respuesta a incidentes. Nuestro personal está formado para informar inmediatamente de cualquier incidente de seguridad. Disponemos de una página web pública de “confianza” que muestra los próximos periodos de inactividad por mantenimiento, los incidentes del centro de datos y las comunicaciones de seguridad.
Ciclo de Vida del Desarrollo de Software	Mantenemos los procesos y controles del ciclo de vida de desarrollo de software estándar del sector que rigen el desarrollo y los cambios de nuestro software, incluidas todas las actualizaciones, mejoras y parches. Nuestro proceso incluye prácticas seguras de desarrollo de software y análisis y pruebas de seguridad de las aplicaciones.
Proveedores	Utilizamos centros de datos de terceros, servicios basados en la nube y otros proveedores en nuestras operaciones y para ofrecer soluciones a nuestros clientes. Exigimos que estos proveedores suscriban acuerdos posteriores con nosotros, como acuerdos de confidencialidad, acuerdos de procesamiento de datos, acuerdos de asociación empresarial y similares, según proceda en función del tipo de servicios que prestan y el tipo de información a la que tienen acceso. Exigimos a nuestros proveedores que cumplimenten cuestionarios de seguridad de datos y realizamos evaluaciones de riesgos para garantizar la competencia y adecuación de su programa de seguridad. Aplicamos un enfoque basado en el riesgo para revisar periódicamente la postura de seguridad de nuestros proveedores. Cada uno de nuestros proveedores mantiene sus propios programas de seguridad. Este resumen no describe el programa de seguridad de ninguno de nuestros proveedores.
Certificaciones	ISO (Organización Internacional de Normalización) 27001 Al menos una vez al año somos auditados por un organismo de certificación externo acreditado para comprobar el cumplimiento de los controles ISO (Organización Internacional de Normalización) 27001 e ISO 27018. Estas certificaciones cubren varios productos de Veeva y la infraestructura de apoyo, como se describe en nuestro certificado. ISO 27001 es una norma de seguridad reconocida a nivel mundial que proporciona una guía de las políticas y controles que una organización tiene establecidos para asegurar sus datos. La norma establece los requisitos acordados internacionalmente y las mejores prácticas para el enfoque sistemático del desarrollo, despliegue y gestión de un sistema de gestión de la seguridad de la información basado en riesgos/amenazas. ISO 27018 es un código internacional de buenas prácticas centrado en los controles de privacidad para proveedores de servicios en la nube.
	Controles de la Organización de Servicios Periódicamente nos sometemos a auditorías de cumplimiento por parte de terceros de nuestros controles de seguridad, confidencialidad y disponibilidad para diversos productos Veeva e infraestructura de apoyo. Publicamos nuestro informe de Controles de Organización de Servicios 2 (SOC 2) Tipo II bajo los Principios de Servicio de Confianza (TSP) de Seguridad y Disponibilidad. Nuestros proveedores de centros de datos publican sus propios informes SOC2.
Certificación HDS	Mantenemos un certificado de alojamiento de datos sanitarios (HDS), tal y como se exige a todas las entidades que alojan datos sanitarios personales en virtud de la ley francesa n°2002-303 de 4 de marzo de 2002. Esta certificación cubre los productos Veeva descritos en nuestro certificado y sólo es aplicable a los datos sanitarios producidos en Francia en el contexto de la prestación de asistencia sanitaria, tal y como se define en el artículo L.1111-8 del Código de Salud Pública Francés. Los clientes que confíen en este certificado deben cumplir la PGSSI-S (Política Global de Seguridad de la Información para el Sector Sanitario), que establece las normas de seguridad para los servicios de sanidad electrónica.

VEEVA Development Cloud

Clinical Suite

Gestión de Datos Clínicos

EDC

Coder

CDB

Operaciones Clínicas

Study Startup

eTMF

CTMS

Payments

Site Connect

Conoce más sobre Veeva Vault Platform

VEEVA Development Cloud

RIM Suite

Vault Registrations

Vault Submissions

Vault Submissions Publishing

Vault Submissions Archive

Conoce más sobre Veeva Vault Platform

Quality Suite

Vault QMS

Vault Product Surveillance

Vault QualityDocs

Vault Station Manager

Vault Training

Conoce más sobre Veeva Vault Platform

VEEVA Development Cloud

Safety Suite

Vault Safety

Vault SafetyDocs

Vault Signal

Conoce más sobre Veeva Vault Platform

Veeva Medical Suite

Medical CRM

Veeva Link

Scientific Content

Conoce más sobre Veeva Vault Platform

VEEVA Commercial Cloud

Datos

Customer Reference Data

Veeva Network

Veeva Link

Contenido

Vault PromoMats/MedComms

Engagement

Multichannel CRM

Events Management

Veeva Align/Align+

RESEARCH SITE SOLUTIONS

eRegulatory

SiteVault

eTMF

Clinical

EDC

eTMF

CTMS

Regulatory

Registrations

Submissions

Submissions Archive

Quality

QualityDocs

QMS

Product Surveillance

Training

Commercial Content

PromoMats

Medical Content

MedComms

Industries

Life Sciences

Pharma and Biotech

Consumer Health

Animal Health

Demo Center

Development Cloud

Safety Suite

Medical Suite

Commercial Cloud

Veeva R&D and Quality
Summit