Penetraatiotestaus
Tietoturvan arviointi
Roche kohdentaa resursseja alan standardien mukaisten sisäisten ja ulkoisten penetraatiotestaustoimien ylläpitämiseen potilas- ja käyttäjäturvallisuuden suojaamiseksi.
Potilasturvallisuuden suojaaminen: Rochen sitoutuminen penetraatiotestaukseen
Roche on sitoutunut suojaamaan potilas- ja käyttäjäturvallisuutta toteuttamalla puolueetonta ja johdonmukaista tietoturvan validointiohjelmaa. Kohdennamme merkittäviä resursseja alan johtavan sisäisen ja ulkoisen penetraatiotestauksen (pentestaus) tekemiseen keskeisenä osana kattavaa tietoturvastrategiaamme.
Jatkuva ja kattava tietoturvan validointi
Rochella tietoturvatestaus ei ole yksittäinen tapahtuma. Se on jatkuva ja mukautuva prosessi. Penetraatiotestejä tehdään järjestelmällisesti kriittisinä hetkinä, kuten:
Ennen tuotteen lanseerausta
Merkittävien arkkitehtuurimuutosten jälkeen
Toistuvasti, jotta muuttuvaan tietoturvaympäristöön voidaan mukautua
Kannustamme jatkuvaan valppauteen täydentämällä sisäisiä testejä Bug Bounty -ohjelmilla, joissa kutsumme tietoturva-asiantuntijoiden yhteisön auttamaan mahdollisten haavoittuvuuksien tunnistamisessa.
Huolellinen ja perusteellinen suunnittelu
Penetraatiotestauksemme laajuuteen kuuluu huolellinen suunnittelu, joka varmistaa, että tuotteidemme koko hyökkäyspinta otetaan huomioon. Tähän sisältyy kattavat arvioinnit pilvipohjaisista ratkaisuistamme:
Verkkosovellukset
API:t
Pilvi-infrastruktuuri
Mobiilisovellukset
Lisäksi tietoturvan validointi koskee myös lääkinnällisten laitteiden valikoimaamme.
Riippumaton asiantuntijuus ja vahvistettu laatu
Puolueettomuuden säilyttämiseksi penetraatiotestauksen tekee kehitysorganisaatioista erillinen, riippumaton sisäinen tietoturvatiimi. Tämä erottelu noudattaa IEC 81001-5-1:2021 -standardia, ja sitä täydennetään toisinaan käyttämällä johtavia ulkoisia kumppaneita. Asiantuntijoidemme laajaa kokemusta ja teknisiä taitoja on vahvistettu kansainvälisesti tunnustetuilla sertifikaateilla, kuten:
Offensive Security Certified Professional (OSCP): Advanced practical penetration testing
CREST Registered Penetration Tester (CRT): Professional, ethical and high-quality testing
Certified Ethical Hacker (CEH): Foundational ethical hacking techniques
Korkea pätevyystaso varmistaa, että testausmenetelmämme pysyvät ajan tasalla ja parhaiden käytäntöjen mukaisina.
Avoimuus ja vastuullinen korjaaminen
Testauksessamme käytetään tiukkaa "white box" -menetelmää, joka mahdollistaa kattavan ja testaussuunnitelman tavoitteiden kanssa yhdenmukaisen arvioinnin. Testaajilla on pääsy esimerkiksi seuraaviin:
Tekniset tiedot
Koodi
Kokoonpanotiedot
Tuote- ja järjestelmäarkkitehtuurit
Näin testaajat voivat tehdä kattavan arvioinnin. Prosessimme noudattaa alan johtavia parhaita käytäntöjä ja tietoturvakehyksiä, kuten Open Worldwide Application Security Project (OWASP) Top 10 ja Center for Internet Security (CIS) -keskuksen asettamat vertailuarvot.
- Kaikkia digitaalisia tuotteita ei ole saatavilla kaikilla markkinoilla. Kolmannen osapuolen sovellusten käyttö edellyttää erillistä lisenssisopimusta kyseisen sovelluskehittäjän kanssa. Roche ei anna mitään takuita (suoria tai epäsuoria) kolmannen osapuolen sovelluksille. Kolmannen osapuolen sovellukset eivät ehkä ole saatavilla maassasi. Tämä sivusto ja sen sisältö voivat olla käytettävissä maailmanlaajuisesti. Roche ei ole vastuussa tietojen saatavuudesta, mikä ei välttämättä ole maasi voimassa olevien lakien tai asetusten mukaista.
- MC-FI-03325