Infraestrutura do Google Cloud:
O CRIO funciona de forma a minimizar a dependência de recursos locais, incluindo espaços de escritório, servidores, discos rígidos, impressoras ou arquivos físicos. A própria aplicação CRIO está alojada na infraestrutura da Google Cloud Platform e segue protocolos padrão do setor para garantir a disponibilidade e o tempo de funcionamento.
O vasto portfólio de certificações de segurança da Google oferece vantagens significativas em termos de segurança de dados, conformidade regulamentar e confiança dos clientes. O Google Cloud possui certificações de acordo com uma ampla gama de normas do setor, garantindo que a sua infraestrutura cumpre requisitos rigorosos em matéria de privacidade de dados, segurança e controlos operacionais. Estas certificações garantem que os dados alojados no Google Cloud seguem as melhores práticas do setor para a proteção de informações confidenciais e estão em conformidade com as normas de conformidade em diferentes regiões e setores.
O Google Cloud como padrão do setor
O Google é regularmente submetido a auditorias independentes realizadas por entidades externas para verificar a sua conformidade com as normas do setor em matéria de segurança, privacidade e controlos de conformidade. Algumas das principais normas internacionais em relação às quais o Google é auditado são:
- ISO 27001 (Gestão da Segurança da Informação)
- ISO 27017 (Segurança na Nuvem)
- ISO 27018 (Privacidade na Nuvem)
- ISO/IEC 27701 (Privacidade – Subcontratante)
- Relatórios SOC 2 e SOC 3
- NIST 800-53
- PCI DSS
- CSA Star
- GxP
A Google também participa em quadros regulamentares específicos por setor e por país, tais como o FedRAMP (governo dos EUA), o BSI C5 (Alemanha), o MTCS (Singapura), o HIPAA (governo dos EUA), o iRAP (Austrália), o MeitY (Índia) e muitos outros. A Google também disponibiliza documentos de referência e correspondências com quadros regulamentares e legislação nos casos em que certificações ou atestados formais possam não ser exigidos ou aplicáveis.
Para setores altamente regulamentados, como os cuidados de saúde e a investigação clínica, as vantagens destas certificações são particularmente valiosas. A conformidade do Google Cloud com as normas SOC e ISO simplifica o cumprimento de quadros normativos como a HIPAA, o RGPD e o FedRAMP, que exigem medidas rigorosas de proteção de dados.
Ao utilizar a infraestrutura certificada da Google, a CRIO pode concentrar-se no desenvolvimento e na expansão das suas aplicações sem ter de investir tanto na duplicação de esforços de conformidade ao nível da infraestrutura. Em vez disso, a CRIO recorre aos controlos da Google para cumprir muitos requisitos de conformidade.
Para além das certificações mantidas pela Google, a CRIO implementou controlos internos robustos para reforçar ainda mais a nossa postura de segurança. Estes controlos adicionais incluem uma gestão rigorosa dos acessos, auditorias internas regulares e processos de monitorização contínua, a fim de garantir que as normas de segurança da CRIO cumprem ou excedem as do seu fornecedor de serviços na nuvem.
Em conjunto, a infraestrutura certificada do Google Cloud e os controlos internos da CRIO criam uma abordagem em camadas à segurança e à conformidade, dando aos clientes a certeza de que os seus dados estão bem protegidos tanto na camada de infraestrutura como na camada de aplicações.
Cópia de segurança de dados:
Os nossos dados são protegidos através do sistema de recuperação pontual da Google, com objetivos de restauração precisos dos últimos 7 dias, com precisão de segundos. Os objetivos de restauração anteriores a 7 dias podem ter uma precisão de intervalos de 12 horas, e os objetivos anteriores a 90 dias podem ter uma precisão de intervalos de 24 horas. Todos os dados são copiados para uma cópia de segurança na região onde foram recolhidos.
O mecanismo de cópia de segurança de dados da CRIO reforça a fiabilidade, a resiliência e a disponibilidade dos dados mantidos na infraestrutura do Google Cloud. O procedimento da CRIO que descreve o processo de cópia de segurança e restauração é SOP-IT-002 Backup e Restauração.
Reforço das nossas infraestruturas:
Para além da estratégia de cópias de segurança descrita acima, a CRIO está a utilizar um conjunto de ferramentas de gestão e monitorização de vulnerabilidades. Os controlos de monitorização incluem análises de segurança e conformidade no Google Cloud Security Command Center, análise dos registos do Google Cloud, instalação e verificação de correções, análises do código das aplicações, análises de rede, análise e aplicação da autenticação multifator, bem como análises dos registos da Consola de Administração do Google.
A monitorização e análise contínuas do desempenho são realizadas através de vários produtos de software, incluindo o DataDog e outras ferramentas de monitorização de aplicações que fazem parte da infraestrutura do Google Cloud. Os diferentes domínios de aplicações do CRIO são testados com uma solicitação HTTPS a cada minuto, e o CRIO é alertado caso uma solicitação não retorne com uma resposta «OK». Isto permite uma resposta rápida a qualquer problema que possa estar a afetar a aplicação.
Auditorias independentes e certificações por terceiros
No âmbito do processo de gestão de fornecedores dos nossos clientes, a CRIO é frequentemente auditada tanto por clientes atuais como por potenciais clientes. Com uma carteira de clientes diversificada – desde grandes empresas farmacêuticas a CROs, redes de centros de ensaio e centros individuais –, a CRIO tem sido submetida ao escrutínio de auditores de garantia de qualidade e tem sido aprovada em todas as auditorias.
Além disso, os clientes da CRIO foram submetidos a várias auditorias regulamentares relativas a estudos em que a aplicação CRIO foi utilizada. Até à data, nenhuma inspeção regulamentar resultou em observações relativas à CRIO.
Para mais informações, contacte:
Marc Wartenberger
Diretor Sénior, Segurança, Controlo de Qualidade Corporativo e Conformidade
[email protected]