Cambiar región o idioma

Pruebas de penetración

Evaluación de la seguridad

Roche asigna recursos para mantener las actividades de pruebas de penetración internas y externas estándar del sector para proteger la seguridad de los pacientes y los usuarios.

Protección de la seguridad del paciente: compromiso de Roche con las pruebas de penetración

Roche se dedica a proteger la seguridad de los pacientes y los usuarios mediante la implementación de un programa de validación de seguridad objetivo y coherente. Asignamos recursos significativos para mantener las actividades de pruebas de penetración (pentesting) internas y externas líderes en la industria como parte fundamental de nuestra estrategia de seguridad integral.

Validación de seguridad continua e integral

En Roche, las pruebas de seguridad no se realizan como un solo evento. Es un proceso continuo y adaptativo. Las pruebas de penetración se realizan sistemáticamente en momentos críticos como:

  • Antes del lanzamiento de un producto.

  • Después de cambios arquitectónicos significativos.

  • De forma recurrente para adaptarse a un panorama de seguridad cambiante.

Para fomentar aún más la vigilancia continua, complementamos estas pruebas internas con programas Bug Bounty, invitando a la comunidad de expertos en seguridad a ayudar a identificar posibles vulnerabilidades.

Planificación cuidadosa y exhaustiva

El alcance de nuestras actividades de pruebas de penetración implica una planificación cuidadosa que está diseñada para garantizar que se tenga en cuenta toda la superficie de ataque de nuestros productos. Esto incluye evaluaciones exhaustivas de nuestras soluciones basadas en la nube:

  • Aplicaciones web.

  • API.

  • Infraestructura en la nube.

  • Aplicaciones móviles.

Además, la validación de la seguridad se extiende a nuestra cartera de instrumentos de dispositivos médicos.

Experiencia independiente y calidad verificada

Para mantener la objetividad, las pruebas de penetración las realiza un equipo de seguridad interno independiente y dedicado, separado de las organizaciones de desarrollo. Esta separación se adhiere a la norma IEC 81001-5-1:2021 y, en ocasiones, se complementa con socios terceros líderes de su sector. La amplia experiencia y habilidades técnicas de nuestros especialistas están validadas por certificaciones reconocidas internacionalmente, incluyendo:

  • Profesional certificado en seguridad ofensiva (OSCP): pruebas de penetración prácticas avanzadas

  • Probador de penetración registrado (CRT) CREST: pruebas profesionales, éticas y de alta calidad

  • Hacker ético certificado (CEH): técnicas fundamentales de hackeo ético

Esta alta cualificación garantiza que nuestras metodologías analíticas permanezcan actualizadas y se ajusten a las mejores prácticas.

Transparencia y medidas correctivas responsables

Nuestras pruebas emplean una metodología rigurosa de "caja blanca", que permite una evaluación exhaustiva que está alineada con los objetivos del plan de pruebas. Los evaluadores tienen acceso a cosas como:

  • Información técnica.

  • Código.

  • Detalles de configuración.

  • Arquitecturas de productos y sistemas.

Este esfuerzo permite a los evaluadores facilitar una evaluación exhaustiva. Nuestro proceso se adhiere a las mejores prácticas y marcos de seguridad líderes de la industria, como el Open Worldwide Application Security Project (OWASP) Top 10 y los puntos de referencia establecidos por el Center for Internet Security (CIS).

Aviso legal
  • No todos los productos digitales están disponibles en todos los mercados. El uso de cualquier aplicación de terceros está sujeto a un acuerdo de licencia independiente con el desarrollador de aplicaciones correspondiente. Roche no ofrece garantías (expresas ni implícitas) con respecto a ninguna aplicación de terceros. Es posible que las aplicaciones de terceros no estén disponibles en su país. Este sitio web y su contenido pueden ser accesibles en todo el mundo, Roche no asume ninguna responsabilidad con respecto al acceso a la información, que puede no ser compatible con las legislaciones o reglamentos vigentes en su país.
  • MC--19710
Soluciones digitales navify® | Programa de pruebas de penetración