IT безопасность и инфраструктура

Обзор

Платформа MainEDC™ разработана для того, чтобы помогать нашим Клиентам безопасно работать с данными и передавать их пользователям, клиентам и партнерам, а также способствовать улучшению результатов работы. Мы защищаем данные Клиентов и обеспечиваем соблюдение правил безопасности, а также минимизируем все потенциальные риски, что необходимо для предоставления услуг на высоком уровне. Команда Дата Менеджмент 365 применяет риск-ориентированный подход к безопасности и технологиям, внедренным с целью защиты наших клиентов.

Наша система обеспечения безопасности позволяет нам придерживаться следующих стандартов и передовых методов работы, отражая нашу ориентацию на безопасность и конфиденциальность данных клиентов:

• FDA CFR 21 Part 11
• Закон об охране и ответственности за информацию, полученную в результате медицинского страхования (HIPAA)
• Общий регламент по защите данных; постановление Европейского Союза 2016/679 (GDPR)

Нормы Евразийского экономического союза:

• ГОСТ Р 52379-2005 «Надлежащая клиническая практика»
• ГОСТ Р ИСО 14155-2014 «Надлежащая клиническая практика. Clinical investigations. Good clinical practice»
• Решение Совета Евразийской Экономической Комиссии N 79 от 3 ноября 2016 года «Об утверждении Правил надлежащей клинической практики Евразийского экономического союза»

Уровни Защиты

Мы используем только лучшие отраслевые практики для того, чтобы сохранить и защитить данные клиентов, начиная от физической защиты в дата центрах и заканчивая полным контролем c использованием документального следа:

• Уровень процессов (SOPs, IQs, PQs, WPs)
• Физический уровень
• Уровень инфраструктуры
• Уровень виртуальной среды
• Уровень приложения
• Уровень пользователя
• Уровень записей

Процессы и процедуры

Наша стратегия направлена на безопасность данных клиентов. Ключевым приоритетом для нас является высококвалифицированный персонал, который понимает свою ответственность и требования действующих процедур Компании. Процедуры в сфере обеспечения качества (QA) нашей компании предоставляют всеобъемлющие рекомендации для процессов и политик безопасности с целью обеспечения защиты всех данных клиента. Мы используем электронную систему обучения (Learning Management System - LMS), чтобы убедиться, что наши сотрудники вовремя проходят обучение и знакомы с применяемыми стандартными рабочими процедурами и практиками.

Пожалуйста, свяжитесь с нашим отделом качества для получения подробной информации.

FDA CFR 21 Part 11

MainEDC™ соответствует всем требованиям части 11 главы 21 Свода Федеральных Документов CFR, выпускаемого организацией Food and Drug Administration (США), включая:

• Безопасное хранение электронных данных, быстрый и точный поиск в течение всего периода их хранения
• Автоматически сгенерированный документальный след, который фиксирует дату и время каждого действия, производимого всеми пользователями системы
• Подтверждение учётных данных гарантирует, что только уполномоченные лица могут использовать систему в соответствии со своими правами доступа
• Операционная система проверяет соблюдение последовательности действий и событий в системе
• Срок действия пароля и другие процессы конфиденциальности обеспечивают высокий уровень безопасности данных наших клиентов
• Протокол электронной подписи обеспечивает целостность между записью и подписью, прикреплённой к ней

Дата Менеджмент 365 подтверждает соответствие техническим требованиям части 11 главы 21 Свода Федеральных Документов CFR путём использования необходимых операционных процедур и механизмов контроля, включая проверку достоверности G-P функций системы для обеспечения точности, надёжности, последовательности исполнения и умения распознать недействительные или изменённые записи.

Общий регламент по защите данных (GDPR)

Мы предоставляем нашим клиентам инструменты, отвечающие стандартам GDPR. Примерами таких инструментов являются:

• Инструменты для псевдонимизации данных (как того требует Статья 32 GDPR)
• Строгий контроль прав доступа к системе
• Наличие инструмента для загрузки данных на сайтах в конце исследования. В соответствии с требованием Статьи 28.3 GDPR: процессор удаляет или возвращает все персональные данные контролёру после окончания предоставления услуг, связанных с обработкой данных.
• Весь трафик шифруется с помощью TLS/SSL протокола, который использует SHA-2 или AES алгоритмы
• Все доступы к интерфейсам пользователя шифруются по HTTPS/SSL

Непрерывность бизнес-процессов и аварийное восстановление

Обеспечение непрерывности бизнес-процессов и аварийного восстановления данных является неотъемлемой частью системного подхода в работе нашей компании. В бизнес-процесс вовлечены все функциональные сферы, включая службу поддержки, кадровые ресурсы, функции управления и план аварийного восстановления приложений заказчика.

Пожалуйста, свяжитесь нашим отделом качества для получения подробной информации.

Центры обработки данных

Одним из самых важных аспектов нашей работы наряду с многофункциональностью и гибкостью является надёжность хранения данных и бесперебойный доступ к нашим услугам. Мы используем новейшие безотказные технологии для обеспечения доступности и сохранности данных.

Мы используем только сертифицированные центры обработки данных:

• Надёжное оборудование
• Создание виртуальной среды
• Кластеризация
• Хранение данных на частном отдельном облаке для каждого клиента
• Круглосуточная система мониторинга
• Надёжное резервное восстановление данных
• Строгие правила доступа

Наши центры обработки данных

На данный момент компания Дата Менеджмент 365 использует следующие центры обработки данных:

• Hetzner Online (Фалькенштайн, Германия)
• Hetzner Online (Нюрнберг, Германия)
• Selectel (Санкт-Петербург, Россия)
• Selectel (Moсква, Россия)
• IBM Softlayer (Сингапур)
• Webzilla (Tехас, США)

Мы постоянно расширяем список наших центров обработки данных. Некоторые центры используются как часть специального клиент-специфичного соглашения.

Виртуализация, Копирование и Кластеризация

Мы используем Microsoft Hyper-V Server 2019 и технологии кластеризации.

Частное облако хранения данных

Каждому клиенту предоставляется собственное частное облако, размещённое на Windows 2019. Мы не используем общих баз данных, паролей к ним или различных ссылок доступа для разных клиентов в рамках одного сайта. Каждый сайт имеет свой собственный уровень доступа и собственные резервные копии, таким образом уменьшая возможность утечки данных разных клиентов до абсолютного нуля.

Мониторинг

Все наши сервисы находятся под круглосуточной системой мониторинга. Мы используем как внешние сервисы (Monitis) для общего оповещения (ping, https доступ и т.д.) так и глубокий мониторинг с использованием инструмента в Zabbix. Любые потенциальные проблемы инфраструктуры, сложности с подключением постоянно проверяются и, если система распознаёт возможные проблемы, служба технической поддержки компании немедленно получает оповещения по электронной почте, смс и Telegram сообщения.

Резервное копирование данных

Мы берём на себя полную ответственность за сохранность данных, поэтому мы используем передовой опыт в области хранения данных и технологии резервного копирования.

Мы используем GFS (grandfather-father-son) HDD rotation strategy

Мы выполняем инкрементальное резервное копирование два раза в день, включая выходные.

Мы выполняем полное резервное копирование каждый день, включая выходные.

Мы держим данные последних двух недель на 14 жёстких дисках, данные предыдущих двух недель на одном диске, данные за каждый месяц года на одном диске и также на одном диске каждый год в течение всего времени.

Каждый понедельник мы добавляем зашифрованное резервное копирование (ключ 2048) в банковский сейф (вне нашего центра обработки данных).

Физическая защита

Все дата центры, используемые компанией Дата Менеджмент 365, прошли процедуру оценки поставщиков в соответствии со строгими корпоративными стандартами. Все центры обработки данных соответствуют следующим критериям:

• Имеют необходимую сертификацию
• Используют надёжное оборудование
• Технологии поддержания в заданных пределах параметров воздуха и резервного питания с двойным резервированием (Feature N+1 redundant HVAC and UPS)
• Предоставляют частное облако для хранения данных каждому клиенту
• Гарантируют надежное резервное восстановление данных
• Обеспечивают круглосуточную систему мониторинга
• Имеют строгие правила доступа
• Расположены в неприметных зданиях.

Оборудование и Интернет-каналы

Мы используем только надежные физические серверы, произведенные компаниями Dell, HP и Supermicro. Стандартной спецификацией является: 2x Intel Xeon Silver 4114 2.2 GHz, 20 cores, 128Gb DDR3, 6x 960 GB SSD, Raid 1 + Raid 10 (хранение данных), интернет-каналы 1000 Mbit/s.

Инфраструктура

Дата Менеджмент 365 использует самое лучшее решение с точки зрения надёжности хранения и доступности данных. На уровне ОS мы используем проверенные временем решения от Microsoft – Microsoft Hyper-V Server 2016 для поддержания эффективной стратегии аварийного восстановления, мы используем две основные технологии – репликации и кластеризации (см. раздел резервного копирования). Мы храним все внутренние данные и данные клиентов только на виртуальных машинах.

Репликация

Благодаря решениям Microsoft Hyper V любая виртуальная машина со всеми данными реплицируется онлайн в другой центр обработки данных.

Кластеризация

Функция отказоустойчивой кластеризации позволяет компании Дата Менеджмент 365 создавать и управлять отказоустойчивыми кластерами. Отказоустойчивый кластер представляет собой группу независимых компьютеров, которые работают вместе, чтобы повысить доступность приложений и служб. Кластерные серверы подключены к репликации через онлайн протокол https. Если у одного узла кластера происходит сбой, то другой узел сразу начинает обеспечивать обслуживание. Мы следим за тем, чтобы возможные неудобства пользователей в этом случае были минимальными.

Сегментированные/изолированные данные клиента

Платформа Дата Менеджмент 365 предоставляет каждому клиенту собственную виртуальную среду и персональный домен для доступа к приложению. Таким образом, смешивание данных исключено. Это является мерой физической безопасности в дополнение к логической мере безопасности.

Firewalls

Весь сетевой доступ к узлам защищён многоуровневым Firewall, работающим в режиме deny-all mode. Доступ в интернет разрешён только очевидно открытым портам и только для ряда определённых хостов.

Вирусы, боты и шпионское сканирование

В дополнение к нашей Firewall команда Дата Менеджмент 365 использует целый ряд инструментов сканирования для последующей чистки всех данных до их передачи в центры обработки данных. Данные инструменты сканирования оповещают нас, если что-то вредоносное прошло через нашу систему защиты и могло попытаться проникнуть в наши системы.

Нетворкинг

Сервера Дата Менеджмент 365 выделяются в различные группы безопасности с конкретными параметрами безопасности. Отдельные виртуальные локальные сети используются для сплит-тестирования, отдела качества и развёртывания сред.

Приложения Дата Менеджмент 365

Пароли пользователей

Приложения компании Дата Менеджмент 365 предоставляют клиентам возможность доступа к данным, контролируют все параметры безопасности пользователей каждой системы в соответствии с клиент-специфичной моделью. Построение безопасности опирается на централизованную проверку подлинности и авторизацию системы для управления доступом к сервисам. По умолчанию каждый пользователь должен менять пароль каждые 90 дней. Пароли должны быть сложными и выполнять ряд требований: включать числа и различные типы символов.

Система контролирует количество попыток авторизации и блокирует использование пароля после третьей попытки доступа, чтобы уменьшить риск автоматизированных атак к данным клиента. Наши клиенты могут также соединить реализацию единого входа (SSO) с их собственной политикой доступа (в том числе мульти-факторный доступ) и интегрировать аутентификацию пользователей с их собственной политикой (например Active Directory).

Мульти-Факторная Авторизация

Наша EDC&IWRS система поддерживает Мульти-Факторную Авторизацию (MFA) и в качестве третьего фактора использует электронную почту и текстовые оповещения.

Окончание сессии пользователя

Окончание сессии пользователя (тайм-аут) позволяет нашим клиентам задать период бездействия, после которого сеанс пользователя прекращается, а пользователи автоматически выходят из системы. В соответствии с лучшими отраслевыми практиками мы рекомендуем настроить время действия сессии пользователя согласно требованиям HIPAA или другим решениям по безопасности. По умолчанию период завершения сеанса в системе длится 20 минут, что может быть изменено в соответствии с определёнными настройками клиента.

Encryption-in-Transit

Весь входящий и исходящий трафик EDC&IWRS системы нашей компании шифруется с помощью TLS/SSL протокола, который использует SHA-2 либо AES алгоритмы.

Доступ к приложению

Получает ли конечный пользователь доступ к панели информации или отчётам пользовательского интерфейса EDC&IWRS системы или администратор настраивает среду пользователя с помощью инструментов конфигурации - весь доступ к интерфейсу пользователя зашифрован с помощью HTTPS/SSL.

Интеграция

Любая интеграция с программным интерфейсом приложения (API) использует протокол шифрования HTTPS/SSL.

Доступ к приложению

Данные клиента могут быть доступны только через приложение. Будь это доступ через пользовательский интерфейс или через доступный API — это обеспечение контроля доступа пользователя к клиентским данным только авторизованным пользователям и сотрудникам Дата Менеджмент 365. Дата Менеджмент 365 не предоставляет прямого доступа к любой базе данных.

Конечный пользователь и Роли

Безопасность пользователя обеспечивается через ряд мер безопасности, позволяя только авторизованным пользователям просматривать строго определённый набор данных, согласно роли пользователя и личным настройкам. Например, пользователь с CRA ролью не сможет получить доступ к финансовым данным и т.д.

Список разрешённых IP адресов

Список разрешённых IP адресов — это дополнительная мера безопасности предоставляемая компанией Дата Менеджмент 365. Эта функция предполагает ограничение и контроля доступа на основе списка определённых IP адресов или диапазонов адресов, с которых пользователи могут получить доступ к EDC&IWRS системе. В соответствии с лучшими отраслевыми практиками, мы рекомендуем нашим клиентам настраивать список разрешённых IP адресов согласно требованиям HIPAA.

Документальный след

Документальные следы сохраняют запись активностей системы и процессов в приложениях, а также активностей пользователя в системе и приложениях. В сочетании с соответствующими инструментами и процедурами, документальные следы могут помогать в обнаружении нарушения безопасности, проблемами производительности и недостатками в приложениях. Используя документальный след, мы всегда можем восстановить любое событие в системе. Мы используем документальный след для всех активностей (включая операции входа/выхода, добавления, обновления и удаления), которые всегда остаются в приложении на весь период его существования только в режиме чтения. Любая запись в документальном следе включает имя пользователя и дату в международном формате.

Внутренние и Внешние Аудиты

Периодическое тестирование на выявление уязвимостей системы.

Ежегодно вендор сканирует наши порты и безопасность на выявление уязвимостей в приложениях.

Мы гордимся, что данные наших клиентов надёжно защищены при таком подходе и мы открыты для обсуждения любых практик и новых подходов.

Аккредитация

В 2015 году компания Дата Менеджмент 365 получила аккредитацию Министерства связи и массовых коммуникаций Российской Федерации, которая позволяет нам осуществлять деятельность в сфере информационных технологий (№5538). Эта аккредитация – подтверждение того, что Дата Менеджмент 365 соответствует требованиям, определённым в регуляциях «О государственной аккредитации организаций, осуществляющих деятельность в области информационных технологий», одобренных Резолюцией № 758 Правительства Российской федерации 6 ноября 2007 года. Компания была внесена в государственный реестр информационно-технологических компаний.

Дата Менеджмент 365 является членом программы Microsoft BizSpark ®. Как участник данной программы, наша компания получила доступ к инструментам разработки программного обеспечения и серверных продуктов при поддержке и обучении компании Microsoft.

Дата Менеджмент 365 также зарегистрирована в качестве оператора, осуществляющего обработку персональных данных, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) на основании приказа № 10 от 22 января 2019, номер 78-19-005811.