Testes de penetração
Avaliação de segurança
A Roche atribui recursos para manter atividades de testes de penetração internos e externos padrão do setor para proteger a segurança dos pacientes e dos usuários.
A Roche dedica-se a proteger a segurança dos pacientes e dos utilizadores através da implementação de um programa de validação de segurança objetivo e consistente. Atribuímos recursos significativos para manter as atividades líderes do setor de testes de penetração internos e externos, como parte central da nossa estratégia de segurança abrangente.
Na Roche, os testes de segurança não são realizados como um único evento. É um processo contínuo e adaptativo. Os testes de penetração são realizados sistematicamente em momentos críticos, tais como:
Antes do lançamento de um produto
Após alterações significativas à arquitetura
Numa base recorrente para ser adaptável a um cenário de segurança em mudança
Para incentivar ainda mais a vigilância contínua, complementamos estes testes internos com programas de recompensa por bugs, convidando a comunidade de especialistas em segurança a ajudar a identificar possíveis vulnerabilidades.
O âmbito das nossas atividades de testes de penetração envolve um planeamento cuidadoso, concebido para assegurar que é considerada toda a superfície de ataque dos nossos produtos. Isto inclui avaliações abrangentes das nossas soluções baseadas na nuvem:
Aplicações Web
API
Infraestrutura da nuvem
Aplicações móveis
Além disso, a validação de segurança estende-se ao nosso portfólio de equipamentos de dispositivos médicos.
Para manter a objetividade, os testes de penetração são realizados por uma equipa de segurança interna independente e dedicada, separada das organizações de desenvolvimento. Esta separação cumpre a norma IEC 81001-5-1:2021 e é ocasionalmente complementada por parceiros líderes de terceiros. A vasta experiência e competência técnica dos nossos especialistas são validadas por certificações reconhecidas internacionalmente, incluindo:
Offensive Security Certified Professional (OSCP): testes de penetração práticos avançados
CREST Registered Penetration Tester (CRT): testes profissionais, éticos e de alta qualidade
Certified Ethical Hacker (CEH): técnicas fundamentais de hacking ético
Esta elevada qualificação garante que as nossas metodologias de teste permanecem atuais e alinhadas com as melhores práticas.
Os nossos testes empregam uma metodologia rigorosa, permitindo uma avaliação exaustiva alinhada com os objetivos do plano de testes. Os responsáveis pelos testes têm acesso a elementos como:
Informações técnicas
Código
Detalhes de configuração
Arquiteturas de produtos e sistemas
Este esforço permite que os responsáveis pelos testes facilitem uma avaliação abrangente. O nosso processo cumpre as melhores práticas e estruturas de segurança líderes do setor, como o Open Worldwide Application Security Project (OWASP) Top 10 e os parâmetros estabelecidos pelo Center for Internet Security (CIS).