SIP acquisisce le seguenti informazioni sullo staff del centro nel profilo utente SIP. Le informazioni acquisite per gli utenti dello staff del centro sono le stesse dei ricercatori. Le uniche differenze sono i campi obbligatori per la generazione di CV.
Categoria di dati
Intestazione sezione Elemento dei dati Staff del centro - Obbligatorio per la
Dispositivo mobile/Cellulare Sì
Indirizzo e-mail Sì
Titolo professionale e
Altre informazioni di contatto
Telefono principale/ore diurne
Telefono ore serali
Telefono attivo 24 ore su 24 Numero di fax
Numero cercapersone Strutture
N/A
Struttura È necessaria almeno
una struttura Reparto
Stato/Provincia/Regione
Paese Istruzione
N/A
Laurea/Certificato Aggiungere
almeno un record o contrassegnare la
Titolo professionale Aggiungere
almeno un record o contrassegnare la
ricerca Tipo di studio Opzioni di selezione multipla Selezionare almeno un’opzione per “Tipo di studio” e “Fasi dello studio clinico” e aggiungere un record
clinico Opzioni di selezione multipla Aree terapeutiche di
competenza
Area terapeutica di competenza
Area terapeutica secondaria
Esperienza di ricerca clinica totale
Area terapeutica
Area terapeutica secondaria Numero di studi completati Numero di studi in corso Formazione BPC
N/A
Fornitore del corso Aggiungere almeno un record o rispondere
Tipo di licenza Aggiungere
almeno un record o contrassegnare la
N/A Nome documento Non richiesto
Descrizione del documento Non richiesto Pubblicazioni e
presentazioni Pubblicazioni Riviste/Citazione astratta Non richiesto Data di pubblicazione Non richiesto Presentazioni
Titolo presentazione Non richiesto
Luogo Non richiesto
Data Non richiesto
18. Se il mio staff si registra in SIP, chi avrà accesso alle loro informazioni?
Tutti gli utenti sponsor partecipanti in SIP hanno accesso ai profili utente del centro SIP per tutti gli utenti del centro registrati in SIP. Gli utenti del centro non possono visualizzare i profili utente di altri utenti del centro, con le seguenti eccezioni:
Responsabili del profilo della struttura – Gli individui con ruoli di Responsabile del profilo della struttura, Direttore della struttura e Direttore delegato della struttura possono visualizzare i profili utente dei ricercatori e dello staff del centro che hanno aggiunto la struttura al proprio profilo utente.
Responsabili del profilo del reparto – Gli individui con ruoli di Responsabile del profilo del reparto, Direttore della struttura e Direttore delegato della struttura possono visualizzare i profili utente dei ricercatori e dello staff del centro che hanno aggiunto il reparto al proprio profilo utente.
Delegati del profilo utente – Gli individui scelti come Delegati del profilo utente da un ricercatore o da un membro dello staff del centro possono visualizzare e aggiornare il profilo utente.
Staff dell’organizzazione – Le organizzazioni che hanno una relazione confermata con una struttura possono visualizzare i profili utente dello staff iscritto a tali strutture. La possibilità di visualizzare i profili dipende dalla natura della relazione tra l’Organizzazione e la Struttura. Questa è una novità della versione R3.1. I dettagli su questa relazione sono disponibili nel profilo dell’organizzazione.
Fare riferimento alle definizioni di struttura, reparto e organizzazione qui.
19. C’è un modo per limitare l’accesso alle informazioni del mio istituto o staff a sponsor selezionati?
No. Tutti gli sponsor SIP partecipanti avranno accesso in sola lettura alle informazioni del profilo utente di tutti gli utenti del centro registrati. Gli sponsor avranno anche accesso in sola lettura ai profili di tutte le strutture/reparti e delle organizzazioni in SIP.
20. L’istituto riceverà una notifica quando le rispettive informazioni saranno condivise con altre parti?
Come parte del processo di registrazione, ciascun utente presta consenso all’utilizzo delle proprie informazioni nella Piattaforma condivisa del ricercatore e nel Registro dei ricercatori, dove saranno messe a disposizione di tutti gli sponsor partecipanti per facilitare il reclutamento di ricercatori per le sperimentazioni cliniche. L’istituto non riceverà alcuna notifica ogni volta che vengono visualizzate le informazioni.
21. Il sistema utilizza i cookie?
Sì. Di seguito è riportata una tabella indicante i tipi di cookie, i rispettivi usi e la possibilità di effettuare il rifiuto esplicito e come farlo.
Tipo di cookie Perché è usato? Come effettuare il rifiuto esplicito?
Cookie di analisi La Piattaforma utilizza i cookie per raccogliere informazioni analitiche utilizzate per motivi di reporting aziendale interno e per aiutarci a
migliorare e a sviluppare la Piattaforma.
È possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie di autenticazione (cookie di terze parti,
ad esempio quelli forniti da Exostar,
LLC)
Utilizzati per verificare le credenziali di accesso fornite dagli utenti autorizzati che desiderano accedere alla Piattaforma. Le terze parti installano cookie ai dispositivi degli Utenti Autorizzati verificati per consentire loro di accedere ad aree sicure della Piattaforma.
Questi cookie sono strettamente necessari per fornire un accesso sicuro alla Piattaforma.
Tuttavia, è possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie di personalizzazione (cookie di terze parti,
ad esempio quelli forniti da Exostar,
LLC)
Questi cookie consentono di accedere a una versione personalizzata della Piattaforma, ad esempio impostando il tipo di browser utilizzato per accedere alla Piattaforma, la configurazione territoriale da cui si accede alla Piattaforma, ecc.
È possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie
essenziali/tecnici Sono cookie che consentono a un Utente Autorizzato di navigare sulla Piattaforma e di utilizzare le diverse opzioni o servizi, ad esempio fare in modo che la
Piattaforma ricordi chi è l’utente quando è all’interno delle pagine della
Piattaforma.
Questi cookie sono strettamente necessari per utilizzare la Piattaforma.
Tuttavia, è possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Se lo si desidera, è possibile disabilitare i cookie sul proprio dispositivo indicandolo nei menu delle preferenze o delle opzioni del browser. Tuttavia, disattivando determinati cookie, alcune sezioni della piattaforma non funzioneranno correttamente. Si consiglia di consultare il fornitore/produttore del browser per domande relative alla disabilitazione dei cookie.
È possibile configurare le impostazioni dei cookie o disattivare i cookie sui principali browser disponibili ai seguenti collegamenti:
o Google Chrome https://support.google.com/accounts/answer/61416?hl=en
o Mozilla Firefox https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences
o Internet Explorer http://windows.microsoft.com/en-gb/internet-explorer/delete-manage-cookies#ie=ie-10-win-7
o Safari https://support.apple.com/kb/PH17191?viewlocale=enUS&locale=enUS o Safari per IOS (iPhone e iPad) https://support.apple.com/en-gb/HT201265
o Chrome per Android https://support.google.com/chrome/answer/2392971?hl=en-GB
II. Sicurezza
1. Come vengono determinati gli accessi utente del centro e le autorizzazioni per i dati?
SIP controlla l’accesso utente alle informazioni in base ai ruoli assegnati a ciascun utente.
Quando l’utente del centro è registrato in SIP come ricercatore o utente di ricerca clinica prima di partecipare a uno studio, ha accesso solo ai seguenti dati in SIP:
a. Profilo utente proprio e delegato (fare riferimento ai dettagli del campo CV dalla domanda n° 7),
b. Propri corsi di formazione assegnati e completati, BPC e corsi di programma informativi in SIP.
c. Nome e indirizzo delle strutture disponibili in SIP. L’accesso ai seguenti dettagli della struttura viene concesso solo se l’utente è associato alla struttura.
Contatti della struttura
Aree terapeutiche e popolazione di pazienti
IRB/ERB/Comitato Etico
Locale, Centrale, Solo revisione IRB/ERB/Comitato Etico
Altre bacheche di revisione
Laboratorio locale
Consenso e formazione
Struttura e apparecchiature
Prodotto in sperimentazione (Investigational Product, IP) e sostanze controllate
Documentazione di origine
Ulteriori informazioni e allegati
d. Sondaggi assegnati di cui l’utente del centro è destinatario
e. Documenti comuni come il proprio CV, la licenza medica, gli allegati del profilo utente, i certificati di formazione, i documenti della struttura associata come gli allegati IRB/ERB/Comitato Etico locali e centrali, la documentazione sui prodotti in sperimentazione e le sostanze controllate.
f. Relazione sulla registrazione utente del centro e sulle informazioni di contatto struttura/reparto
Una volta che l’utente del centro è associato a uno studio, vengono concesse ulteriori
autorizzazioni per accedere ai dati dell’area di lavoro dello studio e ai dati del centro di studio per il quale l’utente opera come membro dello staff del centro. In base al ruolo di staff del centro assegnato, le autorizzazioni vengono estese alla visualizzazione delle relazioni di studio nel sistema. Se un utente viene rimosso dallo staff del centro, viene revocata l’autorizzazione del ruolo per la visualizzazione dell’area di lavoro Studio e per l’accesso ai dati dello studio.
Queste autorizzazioni per ogni ruolo assegnato a un utente del centro in SIP sono definite in una matrice “basata sui ruoli” completa, che stabilisce l’accesso per ogni ruolo Sponsor e utente del centro a livello di modulo/funzione aziendale.
La matrice del ruolo SIP viene aggiornata in ogni versione SIP e il sistema viene testato per garantire che agli utenti venga concesso l’accesso alle informazioni corrette in base al ruolo.
Le modifiche principali all’accesso basato su ruolo vengono comunicate agli utenti in base alle esigenze.
Eventuali modifiche all’accesso ai dati che influiscono sulla privacy degli utenti verrebbero comunicate agli utenti prima del rilascio di queste informazioni.
2. Come indicato nei termini d’uso, non è possibile garantire al 100% che SIP sia privo di malware. Perché?
Il venditore non è in grado di fornire una garanzia del 100% perché, purtroppo, i malintenzionati sono sempre in azione sul web ed è impossibile garantire la completa immunità da questi attacchi. Tuttavia, sono in atto misure di sicurezza per proteggere SIP.
Per ulteriori informazioni su tali misure, vedere di seguito.
3. Cosa posso fare per assicurarmi che i miei dati siano sicuri?
Tutti gli utenti SIP sono responsabili della segretezza delle proprie password e di non condividere le proprie credenziali di accesso con altri membri del proprio staff. Ogni utente del centro deve avere il proprio account e la delega di lavoro deve essere formalmente assegnata nel sistema, piuttosto che consentire a più persone dello staff di utilizzare un unico account. Questo è fondamentale dal punto di vista della sicurezza.
Se un individuo ritiene che il suo account sia stato compromesso e che non sia più sicuro, contattare immediatamente l’Help Desk SIP all’indirizzo [email protected].
4. Quali misure di sicurezza sono in atto per evitare un potenziale “uso improprio” dei dati in SIP?
SIP dispone delle seguenti misure di sicurezza per garantire la sicurezza delle informazioni:
Infrastruttura: SIP è ospitato in data center protetti all’interno di una zona
demilitarizzata (De-Militarized Zone, DMZ) . Ciò è possibile utilizzando firewall e altri strumenti che forniscono capacità di monitoraggio e scansione. Tutti gli eventi attivati dagli strumenti vengono inviati al supporto tecnico che li gestisce in base a SOP ben definite.
Firewall - I firewall e il modulo del sistema di prevenzione delle intrusioni (Intrusion Prevention System, IPS) associato forniscono sicurezza di rete impedendo traffico di rete indesiderato o dannoso e dirigendo correttamente il traffico di rete lecito in base alla sua origine e destinazione. Ci sono moduli IPS associati a ogni istanza del firewall che sono configurati per la scansione del traffico DMZ. I firewall forniscono inoltre la funzionalità VPN SSL per la gestione remota dell’infrastruttura. La soluzione VPN
SSL è integrata con l’autenticazione RSA a 2 fattori per fornire maggiore sicurezza.
RSA utilizza una combinazione di due fattori (codice PIN e token) per convalidare l’autenticazione dell’utente.
Anti-Virus – Lo strumento antivirus utilizzato è dotato di funzionalità antivirus, antispyware, firewall e di tecnologie di prevenzione delle intrusioni per bloccare e rimuovere software dannoso. Estende inoltre la copertura ai nuovi rischi per la sicurezza e riduce i costi di risposta alle epidemie con l’impatto più basso del settore sulle prestazioni del sistema.
Security Information and Event Management (SIEM): SIP utilizza un software SIEM che raccoglie e aggrega i dati di log generati in tutta l’infrastruttura, dai sistemi e applicazioni host ai dispositivi di rete e di sicurezza come firewall e filtri antivirus.
Crittografia - La piattaforma utilizza la crittografia “Secure Socket Layer” a 128 bit standard del settore per proteggere le informazioni personali quando si accede ad aree sicure della piattaforma.
Algoritmo AES (Advanced Encryption Standard) utilizzato per la crittografia a livello di colonna e la decrittografia dei dati PII
Il pacchetto standard Oracle DBMS_CRYPTO con algoritmo AES128 viene utilizzato per archiviare le informazioni personali (dati PII) in formato crittografato Si noti che nessuna trasmissione su Internet o su qualsiasi rete pubblica può mai essere considerata sicura al 100% e non possiamo assumerci la responsabilità per qualsiasi compromissione della sicurezza delle trasmissioni su tali reti.
Controllo degli accessi – L’applicazione SIP gestisce le informazioni di controllo di accesso del singolo utente per gestire set di dati importanti come Studio, Centro, Ruoli e così via.
Controlli di autorizzazione: l’applicazione SIP verifica se l’utente connesso è autorizzato ad accedere alla risorsa o al set di dati richiesto dall’utente. Ad esempio, quando gli utenti fanno clic su uno studio o su un centro di studio specifico, l’applicazione esegue un controllo delle autorizzazioni per garantire che l’utente disponga di un accesso valido a tale centro di studio e/o a tale studio prima di fornire l’accesso alle informazioni nel database.
Query di database – Il sistema è progettato utilizzando query di database che
garantiscono che vengano restituiti solo dati accessibili da un determinato utente e da una determinata organizzazione.
Single Sign-On – Gli utenti Sponsor (indicati a volte anche come utenti della società membro) che hanno effettuato l’accesso tramite SSO da cui l’applicazione riceve le informazioni sull’organizzazione a cui è associato l’utente.
Exostar – Exostar amministra le credenziali dell’utente del centro ed esegue
l’autenticazione dell’utente del centro. Per ulteriori dettagli sulla sicurezza del nostro provider SSO, contattare Exostar all’indirizzo [email protected].
Sicurezza a livello di Sponsor - Gli Sponsor e i loro fornitori di servizi sono anche responsabili dell’apposizione di adeguate misure tecniche, amministrative e organizzative
per garantire che le informazioni personali siano protette da distruzioni accidentali o illecite e da perdite accidentali, alterazioni, divulgazione o accesso non autorizzati, nonché da tutte le altre forme illecite di trattamento. Per ulteriori informazioni sulla sicurezza delle informazioni dello Sponsor, contattare ciascuno sponsor direttamente. I Contatti Sponsor sono disponibili tramite l’Help Desk SIP.
Motore antivirus sulla piattaforma: SIP utilizza un motore antivirus, che viene avviato ogni volta che una richiesta di caricamento di file raggiunge Portal Server. Se il file da caricare è un file infetto da virus, lo scanner genera un’eccezione che viene rilevata per visualizzare il messaggio personalizzato sulla schermata SIP.
Valutazioni periodiche delle vulnerabilità – I team di sviluppo e supporto SIP sono coinvolti in verifiche periodiche del codice dell’applicazione e dell’infrastruttura. Il team esegue una verifica del codice su base regolare.
Il test Static Application Security Testing (SAST) viene utilizzato per esaminare la code base per le vulnerabilità, come definito da OWASP TOP 9 (Open Web Application Security Project)
DaST (Dynamic Application Security Testing) viene utilizzato per rilevare condizioni indicative di una vulnerabilità di sicurezza in un’applicazione nello stato in esecuzione
La verifica delle vulnerabilità dell’infrastruttura viene eseguita per rilevare vulnerabilità con il software e l’hardware su cui è ospitata l’applicazione
I test di penetrazione vengono eseguiti per rilevare una qualsiasi delle vulnerabilità note come difetti di configurazione del sistema o password deboli e cercare di entrare nella rete.
III. Conformità, in generale
1. SIP è conforme al regolamento generale sulla protezione dei dati (“GDPR”)?
Sì.
2. SIP è conforme ai requisiti GCP (Good Clinical Practice)?
Sì, i requisiti GCP sono inclusi nei nostri Requisiti utente e il sistema viene testato per garantire che questi requisiti siano soddisfatti durante ogni rilascio.