Domande frequenti sulla privacy e la sicurezza SIP per centri e ricercatori
Sommario
Privacy
1. Dove posso trovare l’informativa sulla privacy per SIP? ... 3
2. Dove posso trovare i termini d’uso di SIP? ... 3
3. A cosa devo prestare il consenso quando mi registro come utente SIP? ... 3
4. Cosa succede se non voglio prestare il consenso a tutto ciò?... 3
5. Che cos’è il Registro dei ricercatori? ... 4
6. Dopo aver prestato il consenso, quali delle mie informazioni verranno raccolte? ... 4
7. Chi sarà il Titolare del trattamento dei miei dati, dal momento che tutte le aziende avranno accesso a ogni centro/profilo utente? ... 6
8. Quale base giuridica viene utilizzata per il trattamento dei dati? ... 6
9. Come faccio a sapere quali sponsor avranno accesso alle mie informazioni? ... 6
10. C’è un modo per limitare l’accesso alle mie informazioni a sponsor selezionati?... 6
11. Le mie informazioni sono condivise con terze parti? Quali? ... 6
12. Come posso revocare il mio consenso per la condivisione delle mie informazioni all’interno di SIP? ... 7
13. Come posso revocare il mio consenso alla condivisione delle mie informazioni all’interno dl Registro? ... 7
14. Per quanto tempo il mio account/le mie informazioni saranno mantenuti attivi all’interno di SIP? ... 7
15. Come posso cancellare il mio account? ... 7
16. Esiste un consenso separato per configurare un profilo di struttura o un reparto? ... 8
17. Quali informazioni vengono acquisite su ciascuno dei membri dello staff del centro? ... 8
18. Se il mio staff si registra in SIP, chi avrà accesso alle loro informazioni? ... 10 19. C’è un modo per limitare l’accesso alle informazioni del mio istituto o staff a sponsor selezionati? .... 10 20. L’istituto riceverà una notifica quando le rispettive informazioni saranno condivise con altre parti? ... 10 21. Il sistema utilizza i cookie? ... 10
Sicurezza
1. Come vengono determinati gli accessi utente del centro e le autorizzazioni per i dati? ... 13 2. Come indicato nei termini d’uso, non è possibile garantire al 100% che SIP sia privo di
malware. Perché? ... 14 3. Cosa posso fare per assicurarmi che i miei dati siano sicuri? ... 14 4. Quali misure di sicurezza sono in atto per evitare un potenziale “uso improprio” dei dati in SIP? ... 14
Conformità, in generale
1. SIP è conforme al regolamento generale sulla protezione dei dati (“GDPR”)? ... 16 2. SIP è conforme ai requisiti GCP (Good Clinical Practice)? ... 16
Domande frequenti sulla privacy e la sicurezza SIP per centri e ricercatori
I. Privacy
1. Dove posso trovare l’informativa sulla privacy per SIP?
L’informativa sulla privacy è disponibile alla pagina di destinazione di SIP
(https://www.sharedinvestigator.com/home). I potenziali utenti possono leggere la politica prima di effettuare la registrazione, se lo desiderano, oppure al momento della registrazione.
Una volta che un utente si è registrato, sarà presente un collegamento all’informativa sulla privacy nella parte inferiore di ogni pagina del sistema.
Nota bene: il servizio Single Sign-On fornito da Exostar dispone di un’informativa sulla privacy separata, accessibile anche sulla pagina di registrazione o sul sito Web di Exostar.
2. Dove posso trovare i termini d’uso di SIP?
I termini d’uso sono disponibili alla pagina di destinazione di SIP
(https://www.sharedinvestigator.com/home). I potenziali utenti possono leggere i termini d’uso prima di effettuare la registrazione, se lo desiderano, oppure al momento della registrazione.
3. A cosa devo prestare il consenso quando mi registro come utente SIP?
Prima di registrarsi con SIP, è necessario ottenere un accesso Single Sign-On da Exostar, se non si dispone già di uno. Come parte di tale processo, è necessario prestare consenso all’informativa sulla privacy e ai termini d’uso di Exostar.
Nella schermata di registrazione SIP, verrà richiesto di accettare l’informativa sulla privacy SIP e i termini d’uso. Verrà inoltre chiesto di fornire il consenso per l’hosting delle proprie informazioni sulla Piattaforma condivisa del ricercatore e nel Registro dei ricercatori, dove saranno messe a disposizione di tutti gli sponsor partecipanti per facilitare il reclutamento di ricercatori per le sperimentazioni cliniche.
4. Cosa succede se non voglio prestare il consenso a tutto ciò?
I ricercatori non possono registrarsi in SIP senza selezionare tutte le caselle di consenso.
Tuttavia, hai il diritto di ritirare il tuo consenso in qualsiasi momento e smettere di utilizzare il sistema.
5. Che cos’è il Registro dei ricercatori?
Il Registro dei ricercatori è un archivio condiviso di dettagli dei ricercatori che hanno prestato il consenso, dei centri e degli studi creato da DrugDev e TransCelerate Biopharma, Inc. e dalle rispettive società membro. Il database è progettato per permettere una più rapida identificazione e reclutamento di ricercatori qualificati sulla base delle esperienze precedenti e impedirà la duplicazione delle attività di qualificazione del centro. Partecipando a SIP,
acconsenti alla condivisione delle tue informazioni all’interno del Registro dei ricercatori.
6. Dopo aver prestato il consenso, quali delle mie informazioni verranno raccolte?
SIP acquisisce le seguenti informazioni sui ricercatori nel profilo utente SIP.
Categoria di dati Intestazione
sezione Elemento dei dati Obbligatorio per la
generazione del CV Dettagli di base
Nome e
informazioni di contatto necessarie
Titolo
Nome Sì
Secondo nome
Cognome Sì
Suffisso Iniziali
Dispositivo mobile/Cellulare Sì Indirizzo/i e-mail
Titolo
professionale e Ruolo
Titolo professionale/
Professione Sì
Ruolo Sì
Indirizzo principale dell’azienda
Nome azienda/istituto
Via e numero civico Sì Edificio/Piano/Camera/Suite Sì Informazioni aggiuntive
sull’indirizzo
Paese Sì
Stato/Provincia/Regione Sì
Città Sì
CAP Altre
informazioni di contatto
Telefono principale/ore diurne
Telefono ore serali
Telefono attivo 24 ore su 24 Numero di fax
Numero cercapersone Strutture
N/A
Struttura È necessaria almeno una
struttura Reparto
Stato/Provincia/Regione
Paese Istruzione
N/A
Laurea/Certificato Aggiungere almeno un record o contrassegnare la sezione come “Non applicabile”
Istituto Specialità
Anno di completamento Esperienza
professionale
N/A
Titolo professionale Aggiungere almeno un record o contrassegnare la sezione come “Non applicabile”
Istituto/Reparto Anno di inizio Posizione corrente Anno di completamento Esperienza di
ricerca Tipo di studio Opzioni di selezione multipla Selezionare almeno un’opzione per “Tipo di studio” e “Fasi dello studio clinico” e aggiungere un record per “Aree terapeutiche di competenza” ed
“Esperienza di ricerca clinica totale” oppure contrassegnare la sezione come “Non
applicabile”
Fasi dello studio
clinico Opzioni di selezione multipla Aree
terapeutiche di competenza
Area terapeutica di competenza
Area terapeutica secondaria Esperienza di
ricerca clinica totale
Area terapeutica
Area terapeutica secondaria Numero di studi completati Numero di studi in corso Formazione
BPC
N/A
Fornitore del corso Aggiungere almeno un record o rispondere “No” alla sezione
Data di completamento Data di scadenza Stato
Certificato di formazione Dettagli licenza
N/A
Tipo di licenza Aggiungere almeno un record o contrassegnare la sezione come “Non applicabile”
Emittente della licenza Numero di licenza professionale
Stato/Provincia/Regione Paese
Data di emissione Data di scadenza
Documento di supporto
Allegati profilo N/A Nome documento Non richiesto
Descrizione del documento Non richiesto Pubblicazioni e
presentazioni Pubblicazioni Riviste/Citazione astratta Non richiesto Data di pubblicazione Non richiesto Presentazioni
Titolo presentazione Non richiesto
Luogo Non richiesto
Data Non richiesto
7. Chi sarà il Titolare del trattamento dei miei dati, dal momento che tutte le aziende avranno accesso a ogni centro/profilo utente?
I titolari del trattamento dei dati dei ricercatori (gli unici dati personali trattati in SIP) sono le società sponsor partecipanti. Né Cognizant, né Exostar, né DrugDev sono titolari del
trattamento dei dati dei ricercatori raccolti in SIP.
Exostar è il titolare del trattamento dei dati di accesso e registrazione inviati da un utente per configurare un account Exostar per l’accesso a SIP. Questo è il nome utente e l’indirizzo e- mail dell’utente. Exostar deve disporre della titolarità del trattamento di questi dati perché il sistema di SSO è un sistema autonomo con altri client al di fuori di SIP.
8. Quale base giuridica viene utilizzata per il trattamento dei dati?
Il consenso è la base giuridica per il trattamento dei dati aggiunti dall’utente in SIP.
9. Come faccio a sapere quali sponsor avranno accesso alle mie informazioni?
Un elenco degli sponsor che attualmente partecipano a SIP è disponibile tramite un
collegamento ipertestuale nella pagina di registrazione e nella Sezione 8 dell’Informativa sulla privacy. Quando nuovi sponsor si uniscono al sistema, ti verranno inviati avvisi indicanti che si sono uniti al sistema. Questi nuovi sponsor avranno accesso anche alle informazioni del ricercatore, ma non ai dati delle sperimentazioni cliniche specifiche. Come sempre, hai il diritto di ritirare il tuo consenso e smettere di utilizzare il sistema in qualsiasi momento.
Un elenco degli sponsor attualmente presenti nel Registro dei ricercatori è disponibile nella Sezione 8 dell’Informativa sulla privacy.
10. C’è un modo per limitare l’accesso alle mie informazioni a sponsor selezionati?
Tutti gli sponsor SIP partecipanti avranno accesso in sola lettura alle informazioni del profilo utente di tutti gli utenti del centro registrati. Qualsiasi altra informazione fornita tramite la Piattaforma, ad esempio le comunicazioni con uno Sponsor, non verrà condivisa con altri Sponsor.
11. Le mie informazioni sono condivise con terze parti? Quali?
Gli Sponsor condividono le tue informazioni con i fornitori che forniscono i servizi necessari per gestire la Piattaforma o il Registro, inclusi Cognizant e DrugDev, e come altrimenti indicato nella presente Informativa sulla privacy. Gli Sponsor possono condividere le tue informazioni anche con partner di terze parti che forniscono assistenza nello svolgimento delle sperimentazioni cliniche, ad esempio organizzazioni di ricerca clinica. Il sistema utilizza anche altre terze parti attendibili per fornire servizi aggiuntivi, ad esempio Exostar LLC, che fornisce servizi di gestione dell’accesso alle identità. Le tue informazioni saranno quindi disponibili e utilizzate da questi partner di terze parti, laddove necessario per poter fornire i loro servizi agli Sponsor.
12. Come posso revocare il mio consenso per la condivisione delle mie informazioni all’interno di SIP?
È possibile contattare l’Help Desk SIP all’indirizzo [email protected]. Si prega di notare che il ritiro del consenso alla condivisione delle informazioni all’interno di SIP copre solo SIP, e non il registro.
Tuttavia, tieni presente che non cancelleremo le informazioni relative alle sperimentazioni cliniche in corso o alle informazioni che gli Sponsor devono conservare per soddisfare i loro requisiti normativi. Di conseguenza:
Se stai partecipando a una sperimentazione clinica in corso, la tua richiesta non verrà accettata e dovrai inviare nuovamente la richiesta al termine della sperimentazione.
Se in precedenza hai partecipato a una sperimentazione clinica che utilizza la Piattaforma, anche se il tuo profilo non sarà più visibile nella Piattaforma, tieni presente che gli Sponsor pertinenti conserveranno le tue informazioni necessarie per i propri obblighi di registrazione.
13. Come posso revocare il mio consenso alla condivisione delle mie informazioni all’interno dl Registro?
È possibile contattare l’Help Desk SIP all’indirizzo [email protected] che si occuperà dell’operazione nel Registro.
14. Per quanto tempo il mio account/le mie informazioni saranno mantenuti attivi all’interno di SIP?
A condizione di non aver eliminato il tuo account, se non accedi alla Piattaforma per tre anni, il tuo account verrà chiuso automaticamente e le tue informazioni potrebbero essere eliminate successivamente (ad eccezione delle informazioni che è necessario conservare per scopi di registrazione). Riceverai una notifica via e-mail prima della chiusura del tuo account, in modo da avere il tempo di accedere al tuo account e impedirne la chiusura.
15. Come posso cancellare il mio account?
Se desideri chiudere il tuo account in modo da non essere più visibile nella Piattaforma, contatta l’Help Desk SIP all’indirizzo [email protected]. Tuttavia, tieni presente che non cancelleremo le informazioni relative alle sperimentazioni cliniche in corso o alle informazioni che gli Sponsor devono conservare per soddisfare i loro requisiti normativi. Di conseguenza:
Se stai partecipando a una sperimentazione clinica in corso, la tua richiesta non verrà accettata e dovrai inviare nuovamente la richiesta al termine della sperimentazione.
Se in precedenza hai partecipato a una sperimentazione clinica che utilizza la Piattaforma, anche se il tuo profilo non sarà più visibile nella Piattaforma, tieni presente che gli Sponsor pertinenti conserveranno le tue informazioni necessarie per i propri obblighi di registrazione.
16. Esiste un consenso separato per configurare un profilo di struttura o un reparto?
Gli utenti del centro acconsentono a tutti i termini durante la registrazione iniziale. Un utente del centro non è tenuto ad accettare alcun consenso aggiuntivo durante la creazione della struttura o del reparto.
Per ulteriori informazioni, fare riferimento alla Sezione 8 – Titolari del trattamento dei dati del SEE nell’Informativa sulla privacy.
17. Quali informazioni vengono acquisite su ciascuno dei membri dello staff del centro?
SIP acquisisce le seguenti informazioni sullo staff del centro nel profilo utente SIP. Le informazioni acquisite per gli utenti dello staff del centro sono le stesse dei ricercatori. Le uniche differenze sono i campi obbligatori per la generazione di CV.
Categoria di dati
Intestazione sezione Elemento dei dati Staff del centro - Obbligatorio per la generazione del CV Dettagli di base
Nome e informazioni di contatto necessarie
Titolo
Nome Sì
Secondo nome
Cognome Sì
Suffisso Iniziali
Dispositivo mobile/Cellulare Sì
Indirizzo e-mail Sì
Titolo professionale e Ruolo
Titolo professionale/
Professione
Ruolo Sì
Indirizzo principale dell’azienda
Nome azienda/istituto
Via e numero civico Sì Edificio/Piano/Camera/Suite Sì Informazioni aggiuntive
sull’indirizzo
Paese Sì
Stato/Provincia/Regione Sì
Città Sì
CAP
Altre informazioni di contatto
Telefono principale/ore diurne
Telefono ore serali
Telefono attivo 24 ore su 24 Numero di fax
Numero cercapersone Strutture
N/A
Struttura È necessaria almeno
una struttura Reparto
Stato/Provincia/Regione
Paese Istruzione
N/A
Laurea/Certificato Aggiungere
almeno un record o contrassegnare la sezione come “Non applicabile”
Istituto Specialità
Anno di completamento Esperienza
professionale
N/A
Titolo professionale Aggiungere
almeno un record o contrassegnare la sezione come “Non applicabile”
Istituto/Reparto Anno di inizio Posizione corrente Anno di completamento Esperienza di
ricerca Tipo di studio Opzioni di selezione multipla Selezionare almeno un’opzione per “Tipo di studio” e “Fasi dello studio clinico” e aggiungere un record per “Aree terapeutiche di competenza” ed
“Esperienza di ricerca clinica totale” oppure contrassegnare la sezione come “Non applicabile”
Fasi dello studio
clinico Opzioni di selezione multipla Aree terapeutiche di
competenza
Area terapeutica di competenza
Area terapeutica secondaria
Esperienza di ricerca clinica totale
Area terapeutica
Area terapeutica secondaria Numero di studi completati Numero di studi in corso Formazione BPC
N/A
Fornitore del corso Aggiungere almeno un record o rispondere
“No” alla sezione Data di completamento
Data di scadenza Stato
Certificato di formazione Dettagli licenza
N/A
Tipo di licenza Aggiungere
almeno un record o contrassegnare la sezione come “Non applicabile”
Emittente della licenza Numero di licenza professionale
Stato/Provincia/Regione Paese
Data di emissione Data di scadenza
Documento di supporto Allegati profilo
N/A Nome documento Non richiesto
Descrizione del documento Non richiesto Pubblicazioni e
presentazioni Pubblicazioni Riviste/Citazione astratta Non richiesto Data di pubblicazione Non richiesto Presentazioni
Titolo presentazione Non richiesto
Luogo Non richiesto
Data Non richiesto
18. Se il mio staff si registra in SIP, chi avrà accesso alle loro informazioni?
Tutti gli utenti sponsor partecipanti in SIP hanno accesso ai profili utente del centro SIP per tutti gli utenti del centro registrati in SIP. Gli utenti del centro non possono visualizzare i profili utente di altri utenti del centro, con le seguenti eccezioni:
Responsabili del profilo della struttura – Gli individui con ruoli di Responsabile del profilo della struttura, Direttore della struttura e Direttore delegato della struttura possono visualizzare i profili utente dei ricercatori e dello staff del centro che hanno aggiunto la struttura al proprio profilo utente.
Responsabili del profilo del reparto – Gli individui con ruoli di Responsabile del profilo del reparto, Direttore della struttura e Direttore delegato della struttura possono visualizzare i profili utente dei ricercatori e dello staff del centro che hanno aggiunto il reparto al proprio profilo utente.
Delegati del profilo utente – Gli individui scelti come Delegati del profilo utente da un ricercatore o da un membro dello staff del centro possono visualizzare e aggiornare il profilo utente.
Staff dell’organizzazione – Le organizzazioni che hanno una relazione confermata con una struttura possono visualizzare i profili utente dello staff iscritto a tali strutture. La possibilità di visualizzare i profili dipende dalla natura della relazione tra l’Organizzazione e la Struttura. Questa è una novità della versione R3.1. I dettagli su questa relazione sono disponibili nel profilo dell’organizzazione.
Fare riferimento alle definizioni di struttura, reparto e organizzazione qui.
19. C’è un modo per limitare l’accesso alle informazioni del mio istituto o staff a sponsor selezionati?
No. Tutti gli sponsor SIP partecipanti avranno accesso in sola lettura alle informazioni del profilo utente di tutti gli utenti del centro registrati. Gli sponsor avranno anche accesso in sola lettura ai profili di tutte le strutture/reparti e delle organizzazioni in SIP.
20. L’istituto riceverà una notifica quando le rispettive informazioni saranno condivise con altre parti?
Come parte del processo di registrazione, ciascun utente presta consenso all’utilizzo delle proprie informazioni nella Piattaforma condivisa del ricercatore e nel Registro dei ricercatori, dove saranno messe a disposizione di tutti gli sponsor partecipanti per facilitare il reclutamento di ricercatori per le sperimentazioni cliniche. L’istituto non riceverà alcuna notifica ogni volta che vengono visualizzate le informazioni.
21. Il sistema utilizza i cookie?
Sì. Di seguito è riportata una tabella indicante i tipi di cookie, i rispettivi usi e la possibilità di effettuare il rifiuto esplicito e come farlo.
Tipo di cookie Perché è usato? Come effettuare il rifiuto esplicito?
Cookie di analisi La Piattaforma utilizza i cookie per raccogliere informazioni analitiche utilizzate per motivi di reporting aziendale interno e per aiutarci a
migliorare e a sviluppare la Piattaforma.
È possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie di autenticazione (cookie di terze parti,
ad esempio quelli forniti da Exostar,
LLC)
Utilizzati per verificare le credenziali di accesso fornite dagli utenti autorizzati che desiderano accedere alla Piattaforma. Le terze parti installano cookie ai dispositivi degli Utenti Autorizzati verificati per consentire loro di accedere ad aree sicure della Piattaforma.
Questi cookie sono strettamente necessari per fornire un accesso sicuro alla Piattaforma.
Tuttavia, è possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie di personalizzazione (cookie di terze parti,
ad esempio quelli forniti da Exostar,
LLC)
Questi cookie consentono di accedere a una versione personalizzata della Piattaforma, ad esempio impostando il tipo di browser utilizzato per accedere alla Piattaforma, la configurazione territoriale da cui si accede alla Piattaforma, ecc.
È possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Cookie
essenziali/tecnici Sono cookie che consentono a un Utente Autorizzato di navigare sulla Piattaforma e di utilizzare le diverse opzioni o servizi, ad esempio fare in modo che la
Piattaforma ricordi chi è l’utente quando è all’interno delle pagine della
Piattaforma.
Questi cookie sono strettamente necessari per utilizzare la Piattaforma.
Tuttavia, è possibile rimuovere questi cookie modificando le impostazioni del browser, come descritto di seguito.
Se lo si desidera, è possibile disabilitare i cookie sul proprio dispositivo indicandolo nei menu delle preferenze o delle opzioni del browser. Tuttavia, disattivando determinati cookie, alcune sezioni della piattaforma non funzioneranno correttamente. Si consiglia di consultare il fornitore/produttore del browser per domande relative alla disabilitazione dei cookie.
È possibile configurare le impostazioni dei cookie o disattivare i cookie sui principali browser disponibili ai seguenti collegamenti:
o Google Chrome https://support.google.com/accounts/answer/61416?hl=en
o Mozilla Firefox https://support.mozilla.org/en-US/kb/enable-and-disable-cookies- website-preferences
o Internet Explorer http://windows.microsoft.com/en-gb/internet-explorer/delete- manage-cookies#ie=ie-10-win-7
o Safari https://support.apple.com/kb/PH17191?viewlocale=enUS&locale=enUS o Safari per IOS (iPhone e iPad) https://support.apple.com/en-gb/HT201265
o Chrome per Android https://support.google.com/chrome/answer/2392971?hl=en-GB
II. Sicurezza
1. Come vengono determinati gli accessi utente del centro e le autorizzazioni per i dati?
SIP controlla l’accesso utente alle informazioni in base ai ruoli assegnati a ciascun utente.
Quando l’utente del centro è registrato in SIP come ricercatore o utente di ricerca clinica prima di partecipare a uno studio, ha accesso solo ai seguenti dati in SIP:
a. Profilo utente proprio e delegato (fare riferimento ai dettagli del campo CV dalla domanda n° 7),
b. Propri corsi di formazione assegnati e completati, BPC e corsi di programma informativi in SIP.
c. Nome e indirizzo delle strutture disponibili in SIP. L’accesso ai seguenti dettagli della struttura viene concesso solo se l’utente è associato alla struttura.
Contatti della struttura
Aree terapeutiche e popolazione di pazienti
IRB/ERB/Comitato Etico
Locale, Centrale, Solo revisione IRB/ERB/Comitato Etico
Altre bacheche di revisione
Laboratorio locale
Consenso e formazione
Struttura e apparecchiature
Prodotto in sperimentazione (Investigational Product, IP) e sostanze controllate
Documentazione di origine
Ulteriori informazioni e allegati
d. Sondaggi assegnati di cui l’utente del centro è destinatario
e. Documenti comuni come il proprio CV, la licenza medica, gli allegati del profilo utente, i certificati di formazione, i documenti della struttura associata come gli allegati IRB/ERB/Comitato Etico locali e centrali, la documentazione sui prodotti in sperimentazione e le sostanze controllate.
f. Relazione sulla registrazione utente del centro e sulle informazioni di contatto struttura/reparto
Una volta che l’utente del centro è associato a uno studio, vengono concesse ulteriori
autorizzazioni per accedere ai dati dell’area di lavoro dello studio e ai dati del centro di studio per il quale l’utente opera come membro dello staff del centro. In base al ruolo di staff del centro assegnato, le autorizzazioni vengono estese alla visualizzazione delle relazioni di studio nel sistema. Se un utente viene rimosso dallo staff del centro, viene revocata l’autorizzazione del ruolo per la visualizzazione dell’area di lavoro Studio e per l’accesso ai dati dello studio.
Queste autorizzazioni per ogni ruolo assegnato a un utente del centro in SIP sono definite in una matrice “basata sui ruoli” completa, che stabilisce l’accesso per ogni ruolo Sponsor e utente del centro a livello di modulo/funzione aziendale.
La matrice del ruolo SIP viene aggiornata in ogni versione SIP e il sistema viene testato per garantire che agli utenti venga concesso l’accesso alle informazioni corrette in base al ruolo.
Le modifiche principali all’accesso basato su ruolo vengono comunicate agli utenti in base alle esigenze.
Eventuali modifiche all’accesso ai dati che influiscono sulla privacy degli utenti verrebbero comunicate agli utenti prima del rilascio di queste informazioni.
2. Come indicato nei termini d’uso, non è possibile garantire al 100% che SIP sia privo di malware. Perché?
Il venditore non è in grado di fornire una garanzia del 100% perché, purtroppo, i malintenzionati sono sempre in azione sul web ed è impossibile garantire la completa immunità da questi attacchi. Tuttavia, sono in atto misure di sicurezza per proteggere SIP.
Per ulteriori informazioni su tali misure, vedere di seguito.
3. Cosa posso fare per assicurarmi che i miei dati siano sicuri?
Tutti gli utenti SIP sono responsabili della segretezza delle proprie password e di non condividere le proprie credenziali di accesso con altri membri del proprio staff. Ogni utente del centro deve avere il proprio account e la delega di lavoro deve essere formalmente assegnata nel sistema, piuttosto che consentire a più persone dello staff di utilizzare un unico account. Questo è fondamentale dal punto di vista della sicurezza.
Se un individuo ritiene che il suo account sia stato compromesso e che non sia più sicuro, contattare immediatamente l’Help Desk SIP all’indirizzo [email protected].
4. Quali misure di sicurezza sono in atto per evitare un potenziale “uso improprio” dei dati in SIP?
SIP dispone delle seguenti misure di sicurezza per garantire la sicurezza delle informazioni:
Infrastruttura: SIP è ospitato in data center protetti all’interno di una zona
demilitarizzata (De-Militarized Zone, DMZ) . Ciò è possibile utilizzando firewall e altri strumenti che forniscono capacità di monitoraggio e scansione. Tutti gli eventi attivati dagli strumenti vengono inviati al supporto tecnico che li gestisce in base a SOP ben definite.
Firewall - I firewall e il modulo del sistema di prevenzione delle intrusioni (Intrusion Prevention System, IPS) associato forniscono sicurezza di rete impedendo traffico di rete indesiderato o dannoso e dirigendo correttamente il traffico di rete lecito in base alla sua origine e destinazione. Ci sono moduli IPS associati a ogni istanza del firewall che sono configurati per la scansione del traffico DMZ. I firewall forniscono inoltre la funzionalità VPN SSL per la gestione remota dell’infrastruttura. La soluzione VPN
SSL è integrata con l’autenticazione RSA a 2 fattori per fornire maggiore sicurezza.
RSA utilizza una combinazione di due fattori (codice PIN e token) per convalidare l’autenticazione dell’utente.
Anti-Virus – Lo strumento antivirus utilizzato è dotato di funzionalità antivirus, antispyware, firewall e di tecnologie di prevenzione delle intrusioni per bloccare e rimuovere software dannoso. Estende inoltre la copertura ai nuovi rischi per la sicurezza e riduce i costi di risposta alle epidemie con l’impatto più basso del settore sulle prestazioni del sistema.
Security Information and Event Management (SIEM): SIP utilizza un software SIEM che raccoglie e aggrega i dati di log generati in tutta l’infrastruttura, dai sistemi e applicazioni host ai dispositivi di rete e di sicurezza come firewall e filtri antivirus.
Crittografia - La piattaforma utilizza la crittografia “Secure Socket Layer” a 128 bit standard del settore per proteggere le informazioni personali quando si accede ad aree sicure della piattaforma.
Algoritmo AES (Advanced Encryption Standard) utilizzato per la crittografia a livello di colonna e la decrittografia dei dati PII
Il pacchetto standard Oracle DBMS_CRYPTO con algoritmo AES128 viene utilizzato per archiviare le informazioni personali (dati PII) in formato crittografato Si noti che nessuna trasmissione su Internet o su qualsiasi rete pubblica può mai essere considerata sicura al 100% e non possiamo assumerci la responsabilità per qualsiasi compromissione della sicurezza delle trasmissioni su tali reti.
Controllo degli accessi – L’applicazione SIP gestisce le informazioni di controllo di accesso del singolo utente per gestire set di dati importanti come Studio, Centro, Ruoli e così via.
Controlli di autorizzazione: l’applicazione SIP verifica se l’utente connesso è autorizzato ad accedere alla risorsa o al set di dati richiesto dall’utente. Ad esempio, quando gli utenti fanno clic su uno studio o su un centro di studio specifico, l’applicazione esegue un controllo delle autorizzazioni per garantire che l’utente disponga di un accesso valido a tale centro di studio e/o a tale studio prima di fornire l’accesso alle informazioni nel database.
Query di database – Il sistema è progettato utilizzando query di database che
garantiscono che vengano restituiti solo dati accessibili da un determinato utente e da una determinata organizzazione.
Single Sign-On – Gli utenti Sponsor (indicati a volte anche come utenti della società membro) che hanno effettuato l’accesso tramite SSO da cui l’applicazione riceve le informazioni sull’organizzazione a cui è associato l’utente.
Exostar – Exostar amministra le credenziali dell’utente del centro ed esegue
l’autenticazione dell’utente del centro. Per ulteriori dettagli sulla sicurezza del nostro provider SSO, contattare Exostar all’indirizzo [email protected].
Sicurezza a livello di Sponsor - Gli Sponsor e i loro fornitori di servizi sono anche responsabili dell’apposizione di adeguate misure tecniche, amministrative e organizzative
per garantire che le informazioni personali siano protette da distruzioni accidentali o illecite e da perdite accidentali, alterazioni, divulgazione o accesso non autorizzati, nonché da tutte le altre forme illecite di trattamento. Per ulteriori informazioni sulla sicurezza delle informazioni dello Sponsor, contattare ciascuno sponsor direttamente. I Contatti Sponsor sono disponibili tramite l’Help Desk SIP.
Motore antivirus sulla piattaforma: SIP utilizza un motore antivirus, che viene avviato ogni volta che una richiesta di caricamento di file raggiunge Portal Server. Se il file da caricare è un file infetto da virus, lo scanner genera un’eccezione che viene rilevata per visualizzare il messaggio personalizzato sulla schermata SIP.
Valutazioni periodiche delle vulnerabilità – I team di sviluppo e supporto SIP sono coinvolti in verifiche periodiche del codice dell’applicazione e dell’infrastruttura. Il team esegue una verifica del codice su base regolare.
Il test Static Application Security Testing (SAST) viene utilizzato per esaminare la code base per le vulnerabilità, come definito da OWASP TOP 9 (Open Web Application Security Project)
DaST (Dynamic Application Security Testing) viene utilizzato per rilevare condizioni indicative di una vulnerabilità di sicurezza in un’applicazione nello stato in esecuzione
La verifica delle vulnerabilità dell’infrastruttura viene eseguita per rilevare vulnerabilità con il software e l’hardware su cui è ospitata l’applicazione
I test di penetrazione vengono eseguiti per rilevare una qualsiasi delle vulnerabilità note come difetti di configurazione del sistema o password deboli e cercare di entrare nella rete.
III. Conformità, in generale
1. SIP è conforme al regolamento generale sulla protezione dei dati (“GDPR”)?
Sì.
2. SIP è conforme ai requisiti GCP (Good Clinical Practice)?
Sì, i requisiti GCP sono inclusi nei nostri Requisiti utente e il sistema viene testato per garantire che questi requisiti siano soddisfatti durante ogni rilascio.
