Bewährte Sicherheit für die digitale Gesundheitsversorgung
Roche schützt die Daten- und Gesundheitsinfrastruktur durch eine Kombination aus administrativen, technischen und physischen organisatorischen Maßnahmen. Das Unternehmen überwacht Bedrohungen aktiv und reagiert zeitnah auf Schwachstellen. Das nach ISO/IEC 27001 zertifizierte Informationssicherheits-Managementsystem fördert die Compliance mit Gesetzen und Branchenstandards.
Unsere Mitarbeitenden, Prozesse und Technologien sorgen gemeinsam für Vertraulichkeit, Integrität und Verfügbarkeit von Daten und für die Compliance mit relevanten Gesetzen und Standards.
Roche glaubt daran, Vertrauen durch Transparenz aufzubauen. Die Produktsicherheitsseite ist deine zentrale Anlaufstelle für wichtige Cybersicherheits- und Datenschutzinformationen zu unseren Lösungen.
Im Rahmen der Defense-in-Depth- Strategie von Roche klassifizieren Produktteams Daten, analysieren Risiken und führen Bedrohungsmodellierung während der Entwicklung und Vermarktung durch. Diese Bemühungen helfen bei der Identifizierung der technischen Kontrollanforderungen, um die Compliance mit Gesetzen und Vorschriften, Standards und Roche-Richtlinien zu unterstützen.
navify gehostete Lösungen werden durch eine Cloud-Firewall auf der von Roche gepflegten navify Platform geschützt. Wenn eine navify Lösung vor Ort bereitgestellt wird, sind Kund:innen für die Sicherheitskontrollen verantwortlich.
Seit dem 1. Mai 2019 schreibt Roche eine dedizierte, von Roche verwaltete Hardware-Firewall für bestimmte laborbasierte Geräte vor. Dies schafft ein mikrosegmentiertes Roche-Labornetzwerk (RLN), das für die Einhaltung gesetzlicher Vorschriften und die Patient:innensicherheit unerlässlich ist und folgenden Mehrwert bietet:
Bietet primäre Abwehr und ermöglicht Roche die Überwachung von Cyberbedrohungen
Etabliert eine sichere, isolierte Zone für den Betrieb, wodurch die Systemresilienz verbessert wird
Ermöglicht Remote-Systemzugriff, Software-Updates und Reaktion auf potenzielle Cybersicherheitsvorfälle
Data protection standards
Die Sicherheitsfunktionen können je nach Lösung variieren. Produktspezifische Details erhältst du von den Roche-Vertreter:innen.
navify Produkte verwenden verschiedene Sicherheitsmaßnahmen und -richtlinien, die Schwachstellen und Angriffsbedrohungen minimieren sollen.
Roche schützt Daten im Ruhezustand/während der Übertragung mit Branchenstandardverschlüsselung. Bei Verwendung reduziert diese das Risiko einer Datenkompromittierung.
Roche setzt eine Defense-in-Depth-Strategie ein, um den Zugriff zu schützen. Dazu gehören Passwortprotokollen, Multifaktor-Authentifizierung und rollenbasierte Zugriffskontrollen (RBAC).
Roche arbeitet mit Unternehmen wie AWS zusammen, um digitale Lösungen zu hosten und zu schützen. Wir verlangen von allen Servicepartnern, Anonymisierung, Pseudonymisierung oder gleichwertige Datenschutzmaßnahmen einzusetzen.
Roche bietet flexible Hosting-Optionen (vor Ort oder in der Cloud) für navify Lösungen an, um die vielfältigen regionalen Anforderungen zu erfüllen, wobei die Patientensicherheit und die örtliche Compliance im Vordergrund stehen.
Für das Cloud-Hosting arbeitet Roche mit führenden Cloud-Hosting-Anbietern zusammen und stellt sicher, dass Daten über ihren gesamten Lebenszyklus sicher verwaltet werden, die globalen Datenschutzgesetze eingehalten werden und der Kunde die Kontrolle hat.
Als vertrauenswürdiger Partner wird Roche stets
Verträge nutzen, um die Handhabung von Daten zu beschreiben
Datenflüsse und Zugriffszwecke transparent offenlegen
für den Zugriff durch Roche-Mitarbeitende die Einwilligung von Kunden einholen
geltende Gesetze und Vorschriften befolgen
Für Roche-Lösungen, die an einem Kund:innenstandort gehostet werden müssen, müssen einige wichtige Punkte beachtet werden:
Zum Schutz der Roche-Geräte muss zwingend die von Roche validierte Firewall verwendet werden.*
Für alle Hosting-Umgebungen, die möglicherweise außerhalb der Roche-Firewall verbleiben müssen, sind Kund:innen für alle Sicherheitsmaßnahmen für jegliche Hard- und Software verantwortlich, die Roche nicht bereitstellt.
Roche-Verträge legen die gegenseitigen Pflichten zur Einhaltung von Vorschriften sowohl für Roche als auch für Kund:innen klar dar.
* Roche-Point-of-Care- und navify Cloud-Softwarelösungen bilden eine Ausnahme von dieser Pflicht zur physischen Firewall.
Viele Roche-Kund:innen nutzen die Vorteile, die Cloud-Technologien bieten, und hosten navify Lösungen auf der navify Plattform. Cloud-Lösungen von Roche:
stellen Sicherheitsmaßnahmen nach Branchenstandard bereit, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen
werden unter Verwendung von Tools und Services gemäß Gesetzen, Vorschriften und Branchenstandards konfiguriert und gepflegt
werden durch technische und automatisierte Lösungen kontinuierlich überwacht mit dem Ziel, Cybersicherheitsvorfälle zu erkennen und zu verhindern
Sicherheit und Compliance von navify Lösungen werden während ihres gesamten Lebenszyklus über ein Qualitätsmanagementsystem verwaltet, das durch das nach ISO/IEC 27001 zertifizierte Roche-Informationssicherheits-Managementsystem (ISMS) umfassend gespeist wird. In diesem ISMS wird die Mindestsicherheitsgrundlage festgelegt, um die Compliance mit relevanten Gesetzen, Vorschriften und Branchenstandards zu gewährleisten.