Met Duitse vlag en wimpel geslaagd voor de audit van farmaceutisch bedrijf Pohl Boskamp
Pohl Boskamp is een van onze klanten en actief in de medisch-farmaceutische industrie. Door de strenge regelgeving in deze sector is het belangrijk dat softwareoplossingen zoals CAPP LMS aan alle relevante standaarden en vereisten voldoen. Daarom heeft Pohl Boskamp een audit van Defacto en de software gedaan.
Samenvattend stelt Pohl Boskamp dat alles naar volledige tevredenheid is geregeld. Verder vinden ze dat de audit in een open sfeer heeft plaatsgevonden en dat alle activiteiten en processen uitgebreid getoond zijn en besproken konden worden. We zijn zelf ook zeer tevreden dat onze aandacht voor gegevensbeveiliging, software ontwikkeling en service positief beoordeeld is.
Belangrijk onderdeel van deze positieve beoordeling is onder andere de betrouwbaarheid van de Test Driven Development werkwijze die Defacto hanteert. In het bijzonder hoe we met het gebruik van GitHub alle wijzigingen overzichtelijk vastleggen en er automatisch tests op de software worden uitgevoerd. Daarnaast zorgen we dat elke feature en update door het vier-ogen-principe handmatig beoordeeld wordt. Het vier-ogen-principe houdt in dat de developer die een feature of update heeft ontwikkeld, altijd een tweede developer om beoordeling vraagt. Dit garandeert dat features en updates pas na grondige beoordeling en goedkeuring doorgevoerd worden. Na implementatie van goedgekeurde features en updates vindt er een automatische test plaats van de gehele softwareomgeving, iets wat Pohl Boskamp zeer tevredenstelde.
Een belangrijk aspect van onze diensten is een robuuste server infrastructuur, hierbij is gekozen voor Heroku. Dit is een internationaal erkend Platform as a Service (PaaS). Bij de audit is met name gekeken naar de certificaten die Heroku heeft, hoe het gesteld is met back-up recovery en de bewaring van gegevens. Heroku heeft de volgende relevante certificeringen:
- PCI DSS Level 1 (Service provider)
- HIPAA (Protected Health Information)
- ISO 27001 (Security Management Controls)
- ISO 27017 (Cloud Specific Controls)
- ISO 27018 (Personal Data Protection)
- TÜV Rheinland (Certified Cloud Service)
Wat erg positief uit de audit komt is het bereik van de back-up recovery, dat er op verzoek snapshots van de gegevens gemaakt kunnen worden en in geval van extreme noodsituaties het van korte duur is voordat alle diensten weer volledig operationeel zijn.
Er is op het gebied van de beveiliging gekeken naar hoe we hier mee omgaan. Voor medewerkers van Defacto is het verplicht dat ze gebruikmaken van 2 Factor Authenticatie en een password manager voor toegang tot de software. Externe partijen zoals Zerocopter doen regelmatig tests om mogelijke kwetsbaarheden in (de toegang tot) onze software te voorkomen.
De conclusie van de audit is dan ook dat Pohl Boskamp volledig vertrouwen heeft in de werking en beveiliging van de software, de diensten die we leveren en Defacto als organisatie.