Penetrationstests
Sicherheitsbewertung
Roche stellt Ressourcen für die Aufrechterhaltung von internen und externen Penetrationstestaktivitäten gemäß Branchenstandard zur Verfügung, um die Patient:innen- und Benutzer:innensicherheit zu gewährleisten.
Schutz der Patient:innensicherheit: Engagement für Penetrationstests durch Roche
Roche hat sich dem Schutz der Patient:innen- und Benutzer:innensicherheit verschrieben, indem es ein objektives und einheitliches Sicherheitsvalidierungsprogramm implementiert. Im Rahmen unserer umfassenden Sicherheitsstrategie stellen wir beträchtliche Ressourcen für die Aufrechterhaltung branchenführender interner und externer Penetrationstests bereit.
Kontinuierliche und umfassende Sicherheitsvalidierung
Bei Roche werden Sicherheitstests nicht als Einzelereignis durchgeführt. Es handelt sich um einen kontinuierlichen und adaptiven Prozess. Penetrationstests werden systematisch in kritischen Momenten durchgeführt, z. B.:
Vor einer Produkteinführung
Nach signifikanten Änderungen der Architektur
Regelmäßig in Anpassung an eine sich verändernde Sicherheitslandschaft
Um die kontinuierliche Vigilanz weiter zu fördern, ergänzen wir diese internen Tests mit Bug-Bounty-Programmen und laden Sicherheitsexperten ein, bei der Identifizierung potenzieller Schwachstellen zu helfen.
Durchdachte und gründliche Planung
Unsere Penetrationstests beinhalten eine sorgfältige Planung, die dafür sorgen soll, dass die gesamte Angriffsfläche unserer Produkte berücksichtigt wird. Dazu gehören umfassende Bewertungen unserer cloudbasierten Lösungen:
Webanwendungen
APIs
Cloud-Infrastruktur
mobilen Anwendungen
Darüber hinaus erstreckt sich die Sicherheitsvalidierung auf unser Instrumentierungsportfolio für Medizinprodukte.
Unabhängige Expertise und verifizierte Qualität
Zur Wahrung der Objektivität werden Penetrationstests von einem dedizierten, unabhängigen internen Sicherheitsteam durchgeführt, das nicht Teil der Entwicklungsorganisationen ist. Diese Trennung entspricht IEC 81001-5-1:2021 und wird gelegentlich von führenden externen Partner:innen ergänzt. Die umfangreiche Erfahrung und die technischen Fähigkeiten unserer Spezialisten werden durch international anerkannte Zertifizierungen bestätigt, darunter:
Offensive Security Certified Professional (OSCP): Erweiterte praktische Penetrationstests
CREST Registered Penetration Tester (CRT): Professionelle, ethische und qualitativ hochwertige Tests
Certified Ethical Hacker (CEH): Grundlegende ethische Hackertechniken
Diese hohe Qualifikation sorgt dafür, dass unsere Testmethoden auf dem neuesten Stand bleiben und den bewährten Praktiken entsprechen.
Transparenz und verantwortungsvolle Abhilfe
Unsere Tests verwenden eine strenge „White-Box“-Methodik, was eine umfassende Bewertung ermöglicht, die auf die Ziele des Testplans abgestimmt ist. Tester haben beispielsweise Zugang zu Folgendem:
Technische Informationen
Code
Konfigurationsdetails
Produkt- und Systemarchitekturen
Diese Bemühungen ermöglichen es Testern, eine umfassende Bewertung durchzuführen. Unser Prozess entspricht den branchenführenden bewährten Praktiken und Sicherheitsframeworks, wie dem Open Worldwide Application Security Project (OWASP) Top 10 und den vom Center for Internet Security (CIS) festgelegten Benchmarks.
- Nicht jedes digitale Produkt ist in allen Ländern erhältlich. Die Nutzung von Drittanbieter-Apps unterliegt einer separaten Lizenzvereinbarung mit dem jeweiligen Entwickler der Drittanbieter-App. Roche übernimmt keine Garantie (weder ausdrücklich noch stillschweigend) in Bezug auf Apps von Drittanbietern. Drittanbieter-Apps sind möglicherweise in Ihrem Land nicht verfügbar. Da diese Website und ihr Inhalt weltweit zugänglich sein können, übernimmt Roche keine Gewähr für den Zugriff auf diese Informationen, der möglicherweise nicht mit den in Ihrem Land geltenden Gesetzen oder Vorschriften vereinbar ist.
- MC-19710