Erfolgreiches IT Sicherheits Audit bei Defacto durch Pharmaunternehmen Pohl-Boskamp
G. Pohl-Boskamp GmbH & Co. KG, ein erfolgreiches Pharmaunternehmen in Deutschland, ist seit diesem Jahr einer unserer Kunden. Aufgrund der strengen Vorschriften im pharmazeutischen Sektor ist es wichtig, dass Softwarelösungen wie CAPP LMS alle relevanten Normen und Anforderungen erfüllen. Darum hat G. Pohl-Boskamp GmbH & Co. KG ein Audit bei Defacto und dessen Software durchgeführt.
Zusammenfassend wurde von dem Leiter der Qualitätssicherung, Torben Sura, konstatiert, dass das Audit in einer offenen Atmosphäre stattfand und dass alle Vorgänge und Prozesse transparent kommuniziert und diskutiert wurden.
“Die beiden Hauptpunkte des Audits „Softwareentwicklung und Updates” sowie „Ausfallsicherheit und Zugriffssicherheit” der Cloud Systeme wurde zur vollen Zufriedenheit präsentiert. Es wurden keine Abweichungen festgestellt.“
Auch wir sind sehr zufrieden, dass unser Fokus bezüglich Datensicherheit, Software Entwicklung und Service positiv beurteilt wurde.
Ein wichtiger Punkt dieser positiven Beurteilung ist unter anderem die Verlässlichkeit der „Test Driven Development“ Programmiermethode, die Defacto umsetzt. Besonders hervorgehoben wurde, wie wir das Programm GitHub verwenden, um alle Änderungen eindeutig zu dokumentieren und damit automatisch Tests der Software durchführen. Außerdem werden alle Funktionalitäten und Updates nach dem 4-Augen-Prinzip manuell beurteilt. Das 4-Augen-Prinzip bedeutet, dass ein Developer, der eine Funktionalität oder Update entwickelt hat, immer einen zweiten Developer um eine Beurteilung bittet. Dies garantiert, dass Funktionalitäten und Updates erst nach gründlicher Beurteilung und Zustimmung durchgeführt werden. Nachdem die so abgestimmten Funktionalitäten und Updates implementiert wurden, werden automatische Tests der ganzen Softwareumgebung durchgeführt. Dies stellte G. Pohl-Boskamp GmbH & Co. KG sehr zufrieden.
Ein wichtiger Aspekt unseres Service ist eine sehr leistungsfähige und sichere Server-Infrastruktur, daher haben wir uns für Heroku entschieden. Dies ist eine international erkannte „Plattform as a Service“ (PaaS). Beim Audit wurden insbesondere die Zertifikate von Heroku in Augenschein genommen, die Prozesse rund um das Backup, die Notfallwiederherstellung und die Datensicherung. Heroku ist unter anderem zertifiziert nach:
- PCI DSS Level 1 (Service Provider)
- HIPAA (Protected Health Information)
- ISO 27001 (Security Management Controls)
- ISO 27017 (Cloud Specific Controls)
- ISO 27018 (Personal Data Protection)
- TÜV Rheinland (Certified Cloud Service)
Ein positiver Punkt des Audits ist der Zeitraum der „Back-up recovery“ Strategie, dass auf Wunsch Snapshots bereitgestellt werden können und dass in Notfällen in kurzer Zeit alle Dienste wieder voll funktionsfähig sind.
Es wurde untersucht wie Defacto im Bereich der Sicherheit agiert. Für Mitarbeiter von Defacto ist es verpflichtend 2 Factor Authentication und einen Password Manager für den Zugang der Software zu nutzen. Externe Parteien wie Zerocopter führen regelmäßige Tests aus, um mögliche Schwachstellen in und im Zugang zu unserer Software zu verhindern.
Die Schlussfolgerung von diesem Audit ist, dass G. Pohl-Boskamp GmbH & Co. KG vollständiges Vertrauen hat in die Funktionsfähigkeit, Sicherheit der Software, die Dienste die wir bereitstellen und Defacto als Unternehmen.