ALCOA++
ConformePrincípios de integridade dos dados de ensaios clínicos — Atribuível, Legível, Contemporâneo, Original, Exato, mais a segunda camada Completo, Consistente, Duradouro, Disponível.
Conformidade · Segurança · Compras
Portal de Confiança
Tudo o que as equipas de compras, segurança e conformidade precisam para avaliar a Vitruvian Shield, num só lugar.
Estado de conformidade
Alinhamento atual face às normas relevantes para software de investigação clínica nos nossos mercados-alvo.
EU GDPR
ConformeRegulamento Geral sobre a Proteção de Dados — tratamento de dados de saúde de categoria especial (Artigo 9.º), enquadramento AIPD, fluxos de direitos dos titulares dos dados.
ISO 27001
Em cursoSistema de gestão de segurança da informação. Atualmente em preparação para auditoria.
ISO 13485
Em cursoSistema de gestão da qualidade para dispositivos médicos. Atualmente em preparação para auditoria.
ICH E6(R3) GCP
PlaneadoRevisão R3 da diretriz de Boas Práticas Clínicas — trabalho de preparação em curso, alinhamento completo agendado.
FDA 21 CFR Part 11
PlaneadoRequisitos da FDA para registos e assinaturas eletrónicos. Trabalho de validação da plataforma em curso; pacote pronto para submissão planeado.
EU MDR
PlaneadoRegulamento dos Dispositivos Médicos 2017/745. Análise de classificação e via de avaliação da conformidade planeadas com organismo notificado.
Biblioteca de Documentos
Descarregue o que já está publicado, ou solicite o restante através do formulário em linha. Os pedidos são analisados em dois dias úteis.
Modelo de Acordo de Processamento de Dados (DPA)
Modelo conforme com o Artigo 28.º do RGPD para uso entre a Vitruvian Shield e os responsáveis pelo tratamento dos clientes.
Disponível Mediante Pedido
Modelo de Acordo de Processamento de Dados (DPA)
Modelo conforme com o Artigo 28.º do RGPD para uso entre a Vitruvian Shield e os responsáveis pelo tratamento dos clientes.
Modelo AIPD (GDPR)
Modelo de Avaliação de Impacto sobre a Proteção de Dados pré-preenchido com os fluxos de dados específicos da plataforma e a categorização de risco.
Disponível Mediante Pedido
Modelo AIPD (GDPR)
Modelo de Avaliação de Impacto sobre a Proteção de Dados pré-preenchido com os fluxos de dados específicos da plataforma e a categorização de risco.
Sumário de Validação da Plataforma — preparação para 21 CFR Part 11
Sumário de validação do sistema informático que cobre registos eletrónicos, trilhos de auditoria, assinaturas eletrónicas e os controlos de sistema aberto aplicáveis a uma plataforma SaaS.
Disponível Mediante Pedido
Sumário de Validação da Plataforma — preparação para 21 CFR Part 11
Sumário de validação do sistema informático que cobre registos eletrónicos, trilhos de auditoria, assinaturas eletrónicas e os controlos de sistema aberto aplicáveis a uma plataforma SaaS.
Especificação Técnica do Trilho de Auditoria
Especificação detalhada do trilho de auditoria imutável, taxonomia de eventos, política de retenção e endpoints de exportação para o cliente.
Disponível Mediante Pedido
Especificação Técnica do Trilho de Auditoria
Especificação detalhada do trilho de auditoria imutável, taxonomia de eventos, política de retenção e endpoints de exportação para o cliente.
Questionário de Segurança de Fornecedores (resposta pré-preenchida)
Questionário de segurança de fornecedores pré-preenchido que cobre segurança organizacional, controlo de acessos, criptografia, resposta a incidentes, continuidade do negócio e gestão de subprocessadores.
Disponível Mediante Pedido
Questionário de Segurança de Fornecedores (resposta pré-preenchida)
Questionário de segurança de fornecedores pré-preenchido que cobre segurança organizacional, controlo de acessos, criptografia, resposta a incidentes, continuidade do negócio e gestão de subprocessadores.
Subprocessadores e residência dos dados
Terceiros que tratam dados em nome da Vitruvian Shield, com a respetiva finalidade, localização do tratamento e certificações de segurança.
| Subprocessador | Finalidade | Locais de tratamento | Certificações |
|---|---|---|---|
| Vercel Inc. | Alojamento de aplicação web (site institucional) e entrega na edge | USEU | SOC 2 Type II, ISO 27001 |
| Resend (Drift Net Inc.) | Entrega de email transacional para formulários do site | US | SOC 2 Type II |
| Google Analytics (Google LLC) | Estatísticas anonimizadas de tráfego do site. Sem dados da plataforma clínica. | USEU | ISO 27001, ISO 27017, ISO 27018 |
As alterações de subprocessadores são notificadas aos clientes com antecedência. Os dados da plataforma clínica são alojados na UE por defeito; consulte-nos sobre opções regionais de residência no momento da contratação.
Práticas de segurança
Como a Vitruvian Shield protege os dados clínicos e o acesso à plataforma.
O acesso aos dados da plataforma segue o princípio do menor privilégio. Todas as ações no lado do cliente são autenticadas, autorizadas contra um perfil e âmbito de projeto, e registadas num trilho de auditoria imutável. O acesso administrativo aos sistemas de produção está restrito a uma equipa de operações nomeada, protegido por autenticação multifator e registado de forma independente.
Os dados clínicos são cifrados em repouso com AES-256 e em trânsito com TLS 1.2 ou superior, com HSTS ativo. As chaves de cifragem são geridas pelo serviço de gestão de chaves do fornecedor de nuvem e rodadas no respetivo calendário, com políticas de acesso aplicadas na camada de chaves e não na camada aplicacional.
As dependências aplicacionais são acompanhadas num Software Bill of Materials continuamente atualizado. Os avisos de segurança contra dependências diretas e transitivas são triados em um dia útil para vulnerabilidades críticas, com correções aplicadas através do pipeline de lançamento padrão. O SBOM está disponível para clientes mediante pedido na Biblioteca de Documentos.
A resposta a incidentes segue um runbook documentado que cobre deteção, triagem, contenção, erradicação, recuperação e revisão pós-incidente. Os clientes afetados por um incidente são notificados dentro dos prazos exigidos pela regulamentação aplicável (72 horas em muitos casos do RGPD).
Testes de intrusão e divulgação de vulnerabilidades
Testes de segurança independentes e um caminho publicado para os investigadores reportarem problemas de forma responsável.
Teste independente mais recente
Aguarda Publicação
Superfície externa de aplicação web e API, com metodologia grey-box contra o ambiente de staging.
Divulgação responsável
Os investigadores de segurança que considerem ter encontrado uma vulnerabilidade na Vitruvian Shield são convidados a reportá-la através do contacto abaixo. Os reportes são confirmados em 72 horas e triados em cinco dias úteis. Não tomamos ações legais contra investigadores que sigam a nossa política de divulgação.
Roadmap de auditoria e certificação
Sequência prevista e estado atual das certificações em preparação. As datas-alvo são publicadas aqui assim que estiverem formalmente comprometidas com o auditor ou organismo notificado.
ISO 27001
Data-alvo a confirmar
ISO 13485
Data-alvo a confirmar
ICH E6(R3) GCP
Data-alvo a confirmar
FDA 21 CFR Part 11
Data-alvo a confirmar
EU MDR
Data-alvo a confirmar
Contactar um Responsável de Conformidade
Para questões específicas sobre normas, pedidos de due-diligence sobre subprocessadores, ou qualquer assunto não coberto acima.