Infraestructura de Google Cloud:
CRIO opera de manera que minimiza la dependencia de activos locales, incluyendo espacio de oficina, servidores, discos duros, impresoras o archivadores. La aplicación CRIO en sí misma está alojada en la infraestructura de Google Cloud Platform y sigue los protocolos estándar del sector para garantizar la disponibilidad y el tiempo de actividad.
La amplia cartera de certificaciones de seguridad de Google ofrece importantes ventajas en términos de seguridad de los datos, cumplimiento normativo y confianza de los clientes. Google Cloud cuenta con certificaciones que cumplen una amplia gama de estándares del sector, lo que garantiza que su infraestructura cumple rigurosos requisitos en materia de privacidad de los datos, seguridad y controles operativos. Estas certificaciones garantizan que los datos alojados en Google Cloud se ajustan a las mejores prácticas del sector para proteger la información confidencial y cumplen las normas de conformidad de diferentes regiones y sectores.
Google Cloud como estándar del sector
Google se somete periódicamente a auditorías independientes realizadas por terceros para verificar su cumplimiento de las normas del sector en materia de seguridad, privacidad y controles de cumplimiento. Algunas de las principales normas internacionales con las que se compara Google son:
- ISO 27001 (Gestión de la seguridad de la información)
- ISO 27017 (Seguridad en la nube)
- ISO 27018 (Privacidad en la nube)
- ISO/IEC 27701 (Privacidad: procesador de datos)
- Informes SOC 2 y SOC 3
- NIST 800-53
- PCI DSS
- Estrella CSA
- GxP
Google también participa en marcos específicos de sectores y países, como FedRAMP (Gobierno de EE. UU.), BSI C5 (Alemania), MTCS (Singapur), HIPAA (Gobierno de EE. UU.), iRAP (Australia), MeitY (India) y muchos otros. Google también proporciona documentos de referencia y correspondencias con marcos y leyes en los que puede que no se requieran o apliquen certificaciones o acreditaciones formales.
Para sectores muy regulados, como la sanidad y la investigación clínica, las ventajas de estas certificaciones son especialmente valiosas. El cumplimiento de las normas SOC e ISO por parte de Google Cloud simplifica el cumplimiento de marcos normativos como HIPAA, GDPR y FedRAMP, que exigen medidas estrictas de protección de datos.
Al utilizar la infraestructura certificada de Google, CRIO puede centrarse en crear y ampliar sus aplicaciones sin necesidad de realizar grandes inversiones para duplicar los esfuerzos de cumplimiento normativo a nivel de infraestructura. En su lugar, CRIO aprovecha los controles de Google para cumplir muchos requisitos de cumplimiento normativo.
Además de las certificaciones que mantiene Google, CRIO ha implementado sólidos controles internos para reforzar aún más nuestra postura de seguridad. Estos controles adicionales incluyen una rigurosa gestión de accesos, auditorías internas periódicas y procesos de supervisión continua para garantizar que los estándares de seguridad de CRIO cumplan o superen los de su proveedor de servicios en la nube.
Juntos, la infraestructura certificada de Google Cloud y los controles internos de CRIO crean un enfoque por capas para la seguridad y el cumplimiento normativo, lo que brinda a los clientes la confianza de que sus datos están bien protegidos tanto en la capa de infraestructura como en la de aplicaciones.
Copia de seguridad de datos:
Nuestros datos están protegidos mediante el sistema de recuperación puntual de Google, con objetivos de restauración precisos de los últimos 7 días, con una precisión de segundos. Los objetivos de restauración de más de 7 días pueden tener una precisión de intervalos de 12 horas, y los de más de 90 días, de intervalos de 24 horas. Todos los datos se copian en la región en la que se recopilaron.
El mecanismo de copia de seguridad de datos de CRIO refuerza la fiabilidad, la resiliencia y la disponibilidad de los datos almacenados en la infraestructura de Google Cloud. El procedimiento de CRIO que describe el proceso de copia de seguridad y restauración es SOP-IT-002 Copia de seguridad y restauración.
Fortalecimiento de nuestra infraestructura:
Además de la estrategia de copia de seguridad descrita anteriormente, CRIO utiliza un conjunto de herramientas de gestión y supervisión de vulnerabilidades. Los controles de supervisión incluyen revisiones de seguridad y cumplimiento dentro del Centro de seguridad de Google Cloud, revisión de registros de Google Cloud, instalación y verificación de parches, análisis de código de aplicaciones, análisis de redes, revisión y aplicación multifactorial, y revisiones de registros de la Consola de administración de Google.
La supervisión y revisión continuas del rendimiento se llevan a cabo mediante numerosos productos de software, entre los que se incluyen DataDog y otras herramientas de supervisión de aplicaciones que forman parte de la infraestructura de Google Cloud. Los diferentes dominios de aplicaciones de CRIO reciben una solicitud HTTPS cada minuto, y CRIO recibe una alerta si una solicitud no devuelve una respuesta OK. Esto permite responder rápidamente a cualquier problema que pueda estar afectando a la aplicación.
Auditorías independientes y certificaciones de terceros
Como parte del proceso de gestión de proveedores de nuestros clientes, CRIO es auditada con frecuencia por clientes actuales y potenciales. Con una base de clientes diversa, que abarca desde grandes empresas farmacéuticas hasta CRO, redes de centros y Clinicas individuales Clinicas CRIO ha sido objeto del escrutinio de auditores de garantía de calidad y ha superado todas las auditorías.
Además, los clientes de CRIO se han sometido a numerosas auditorías reglamentarias para estudios los que se utilizó la aplicación CRIO. Hasta la fecha, ninguna inspección reglamentaria ha dado lugar a observaciones para CRIO.
Para obtener más información, póngase en contacto con:
Marc Wartenberger
Director sénior de Seguridad, Control de Calidad Corporativo y Cumplimiento Normativo
[email protected]