Sekuriteit en vertroue

Bestuur, Beheer en Ouditgereedheid

weergawe 2.16

Effektief vanaf 23 Februarie 2026

Sekuriteit en Vertroue — Omvang, Toepaslikheid en Dokumenthiërargie Kliëntgerigte sekuriteits- en vertrouensopsomming vir V5-naspeurbaarheid, bedoel om verskafferskwalifikasie, ondernemingsrisiko-oorsig en besprekings oor gereguleerde gebruik te ondersteun.

Omvang. Hierdie bladsy som op SG Systems Globalse sekuriteits- en vertrouenshouding vir V5-naspeurbaarheid en verwante dienste, insluitend Gasheerdienste en Installasies op die perseel soos verkies in 'n toepaslike Bestelvorm / Getekende Voorstel.

Dokumenthiërargie (volgorde van prioriteit). Indien daar 'n konflik is, is die beherende dokumente:

  • (1) Bestelvorm / Getekende Voorstel (omvang, ontplooiingsverkiesing, vlakkeuses, effektiewe datums);
  • (2) Verskafferkwaliteit-bylaag (SQA) (gereguleerde/GxP-operasionele konstrukte), slegs indien dit deur verwysing vir die opdrag ingesluit word; en
  • (3) Meesterdienste-ooreenkoms (MSA) (wetlike/kommersiële raamwerk, SLA, sekuriteitsverpligtinge, kliëntdataterme).

Kontrakbelyning. Hierdie bladsy is inligtingsgewys en verander nie kontraktuele bepalings nie. Enige diensvlakmetrieke, kennisgewingstydlyne en bindende verpligtinge word in die MSA/SLA en toepaslike bestelvorm (en SQA waar ingesluit) gedefinieer.

Afstand-eerste bedrywighede. SG Systems Global funksioneer as 'n afstand-eerste organisasie. Kontroles beklemtoon identiteit, toegangsbestuur, veilige eindpuntgebruik en beheerde administrasie van stelsels.

Verwysings: Meesterdienste-ooreenkoms (MSA, sluit SLA in) | Verskafferkwaliteit-bylaag (SQA) | V5-stelselvereistes | Aanboording en Implementering | Onafhanklike 21 CFR Deel 11 Assessering

Sekuriteitskontak: ondersteuning@sgsystemsglobal.com

1) Sekuriteitsprogrambestuur

SG Systems Global handhaaf 'n risikogebaseerde inligtingsekuriteitsprogram wat bedoel is om die vertroulikheid, integriteit en beskikbaarheid van kliëntdata en -dienste te beskerm, en om bedrywighede in gereguleerde vervaardigingsomgewings te ondersteun.

Programelemente sluit in:

  • Aanspreeklikheid en toesig: gedefinieerde sekuriteitseienaarskap vir beheerdoeltreffendheid, eskalasies en korrektiewe aksies.
  • Risiko bestuur: identifisering en assessering van risiko's, seleksie van beheermaatreëls en dophou van remediëringsaktiwiteite.
  • Beleid- en prosedurebeheer: gedokumenteerde praktyke vir sekuriteitsrelevante aktiwiteite (toegang, veranderingsbeheer, voorvalhantering, kontinuïteit).
  • Periodieke hersiening: Sekuriteitspraktyke word hersien en opgedateer soos stelsels, bedreigings en kliëntverwagtinge ontwikkel.
Gereguleerde kliënte: Verskafferkwalifikasie en kwaliteit-operasionele konstrukte word in die SQA aangespreek wanneer dit vir die aanstelling ingesluit word.
2) Implementeringsgrens en gedeelde verantwoordelikheid (gehuisves teenoor op die perseel)

Verantwoordelikhede hang af van die implementering wat in u bestelvorm / getekende voorstel gekies is. V5-naspeurbaarheid kan as gehoste dienste of as 'n installasie op die perseel gelewer word.

BeheerareaGehoste Dienste (Verskafferfokus)Installasie op die perseel (kliëntefokus)
Infrastruktuur sekuriteitBedryf die gehuisveste grens in ooreenstemming met die MSA/SLA en toepaslike bestelvorm.Verantwoordelik vir bedieners, netwerksekuriteit, opdaterings, rugsteun/DR, en ondersteunende infrastruktuurbeheer.
Beskikbaarheid en herstelBeskikbaarheids- en hersteldoelwitte (indien van toepassing) word in die MSA/SLA en Bestelvorm gedefinieer.Verantwoordelik vir bedryfstyd, hersteldoelwitte en hersteltoetsing, tensy anders skriftelik ooreengekom.
GebruikertoegangbeheerDie kliënt definieer rolle/toestemmings, keur toegang goed, voer voorsiening/devoorsiening uit en verbied gedeelde geloofsbriewe.
Validering en beoogde gebruikDie kliënt is verantwoordelik vir validering/kwalifikasie en beoogde gebruiksbesluite binne die kliënt se kwaliteitsbestuurstelsel (QMS); die verskaffer verskaf dokumentasie en ondersteuningskonstrukte per MSA/SQA.
Verander beheerVerskaffer beheer ontplooiing en publiseer vrystellingsdokumentasie vir Gehoste Dienste in ooreenstemming met MSA/SQA.Kliënt beheer ontplooiingstydsberekening en toetsing vir On-Prem-opdaterings; Verskaffer verskaf vrystellingsdokumentasie en ondersteuning per MSA/SQA.

Verwysings: MSA, SQA, System Requirements.

3) Identiteit, Verifikasie en Toegangsbeheer

Toegangsbeheer is ontwerp om die minste voorreg, aanspreeklikheid en beheerde administrasie te ondersteun. In gereguleerde omgewings is toegangsbeheer 'n gekombineerde tegniese en prosedurele dissipline.

  • Rolgebaseerde toegang: Toestemmings word per rol toegeken om funksies met werksverantwoordelikhede in lyn te bring.
  • Unieke aanspreeklikheid: gebruikers moet uniek geïdentifiseer word; gedeelde geloofsbriewe moet verbied word.
  • Toegangsbeheer: kliënte beheer voorsiening/devoorsiening, rolontwerp en periodieke toegangsoorsigte binne hul SOP's.
  • Bevoorregte toegang: administratiewe toegang is beperk tot gemagtigde personeel vir operasionele behoeftes.
Kliëntverantwoordelikheid: In gereguleerde bedrywighede moet kliënte prosedures handhaaf vir rekeningbestuur, periodieke hersiening, opleidingsbeheer en (waar van toepassing) elektroniese handtekeningmagtiging en betekenis.
4) Ouditroetes, Elektroniese Rekords en Data-integriteit (GxP-konteks)

V5 Naspeurbaarheid ondersteun naspeurbaarheidsgeoriënteerde rekordhouding en is ontwerp om beheergedrag te ondersteun wat algemeen verwag word vir gereguleerde elektroniese rekords, insluitend toerekenbare aksies, ouditspoorgedrag, rekordintegriteitskontroles en elektroniese handtekeninggedrag waar van toepassing en gekonfigureer.

Onafhanklike assessering (21 CFR Deel 11 konteks). V5 Naspeurbaarheid het 'n onafhanklike assesseringsartefak wat bedoel is om verskafferskwalifikasie en CSV-besprekings te ondersteun. Sien: Onafhanklike 21 CFR Deel 11 Assessering.

Regulatoriese grens: Onafhanklike assesseringsartefakte ondersteun verskafferkwalifikasie en beheer-evaluering. Hulle vervang nie kliëntvalidering, beoogde gebruiksbepaling of kliëntprosedurele beheermaatreëls nie.
5) Databeskerming en vertroulikheid

SG Systems Global beskerm kliëntinligting deur administratiewe, tegniese en kontraktuele beheermaatreëls te gebruik wat in lyn is met vertroulikheids-, integriteits- en beskikbaarheidsdoelwitte. Kontraktuele vertroulikheid, kliëntdataregte en privaatheidsverwerkingsbepalings (waar van toepassing) word deur die MSA en verwante dokumente gereguleer.

  • Vertroulikheid: beheermaatreëls wat bedoel is om ongemagtigde openbaarmaking van kliëntinligting te voorkom.
  • Integriteit: beheermaatreëls wat bedoel is om rekordintegriteit te bewaar en ouditgereed naspeurbaarheid te ondersteun.
  • beskikbaarheid: operasionele beheermaatreëls wat toepaslik is vir die gekose ontplooiingstipe; Gehoste Diens-doelwitte (indien van toepassing) word in die MSA/SLA gedefinieer.

Vir bindende vertroulikheid en kliëntdata-bepalings, verwys na die MSA.

6) Veilige Ontwikkelingslewensiklus (SDLC) en Vrystellingsdissipline

V5 Naspeurbaarheid word ontwikkel en in stand gehou deur middel van beheerde praktyke wat bedoel is om 'n betroubare en ouditeerbare vrystellingshouding vir gereguleerde kliënte te ondersteun.

SDLC-beheeropsommings sluit in:

  • Inleiding tot beheerde verandering: veranderinge word beplan, geïmplementeer en hersien voor vrystelling.
  • Hersien dissipline: Kode- en konfigurasieveranderinge is onderhewig aan hersiening voor ontplooiing.
  • Omgewingskeiding: ontwikkelings-/toetsings- en produksieaktiwiteite word beheer om die risiko van ongemagtigde veranderinge te verminder.
  • Vrystellingsdokumentasie: Vrystellingsnotas beskryf wesenlike veranderinge en, waar relevant, valideringsoorwegings.
Gereguleerde kliënte: Veranderingsbeheerverpligtinge en vrystellingspraktyke word deur die MSA en, waar geïnkorporeer, die SQA beheer.
7) Veranderingsbestuur (Opsomming van Kliëntgerigte Beheer)

SG Systems Global bedryf 'n beheerde veranderingsbestuursbenadering om voorspelbare dienslewering en gereguleerde gebruiksverwagtinge te ondersteun.

Opsommings van veranderingsbestuursbeheer sluit in:

  • Verandering evaluering: veranderinge word beoordeel vir potensiële impak op kliënte, insluitend oorwegings rakende gereguleerde impak waar van toepassing.
  • Goedkeuringsdissipline: produksieveranderinge is onderhewig aan gedokumenteerde magtiging voor vrystelling.
  • Ontplooiingsbeheer: Die implementering van gehoste dienste word deur die verskaffer beheer; implementerings op die perseel word deur die kliënt beheer.
  • Noodveranderinge: Noodsekuriteitsveranderinge kan uitgevoer word wanneer nodig om aktiewe bedreigings aan te spreek; sulke veranderinge word gedokumenteer en gekommunikeer in ooreenstemming met kontraktuele bepalings.

Bindende veranderingsbeheerterme word gedefinieer in die MSA en, waar geïnkorporeer, SQA.

8) Kwetsbaarheidsbestuur

SG Systems Global bestuur kwesbaarhede deur identifisering, triage, remediëring en verifikasie, met prioritisering gebaseer op erns en uitbuitbaarheid.

Opsommings van kwetsbaarheidsbestuursbeheer sluit in:

  • Triage en prioritisering: evalueer omvang, erns, benutbaarheid en potensiële kliëntimpak.
  • Remediëring: pas regstellings/kolle toe en dokumenteer wesenlike veranderinge in vrystellingsdokumentasie waar toepaslik.
  • Kommunikasie: Kliëntekommunikasie volg die kontraktuele en operasionele konstrukte in die MSA/SQA.

Om 'n vermeende kwesbaarheid of sekuriteitsprobleem aan te meld, stuur 'n e-pos ondersteuning@sgsystemsglobal.com met onderwerp: Security Concern.

9) Voorvalbestuur en Sekuriteitsvoorvalreaksie

SG Systems Global handhaaf 'n proses vir voorvalbestuur en sekuriteitsvoorvalreaksie wat bedoel is om vinnige triage, inperking, ondersoek en kliëntkommunikasie te ondersteun, insluitend oorwegings vir gereguleerde gebruik waar rekordintegriteit beïnvloed kan word.

Opsommings van voorvalbestuursbeheer sluit in:

  • Klassifikasie: Gebeurtenisse word beoordeel en geklassifiseer op grond van erns en potensiële impak op vertroulikheid, integriteit en beskikbaarheid.
  • eskalasie: Eskalasiepaaie word toegepas vir gebeurtenisse met 'n hoër erns en bekommernisse met 'n gereguleerde impak.
  • Ondersoek: ondersoeke word gedokumenteer, en wesenlike gebeure is onderhewig aan hersiening na die voorval.
  • Regstellende aksies: korrektiewe aksies word dopgehou om die risiko van herhaling te verminder.
Kennisgewing en rapportering van gasheerdienste: Bindende sekuriteitsvoorvalkennisgewing en rapporteringsverpligtinge (insluitend enige tydlyne) word in die MSA vir Gehoste Dienste gedefinieer. Vir implementerings op die perseel beheer die Kliënt voorvalbestuur vir Kliënt-beheerde infrastruktuur; die Verskaffer ondersteun sagteware-gefokusde kwessies in ooreenstemming met die MSA/SQA.

Rapporteringskanaal: ondersteuning@sgsystemsglobal.comVir vermeende gereguleerde rekord-/data-integriteitskwessies, sluit in: Potential GxP / data integrity impact.

10) Rugsteun, Rampherstel en Besigheidskontinuïteit

Kontinuïteit- en herstelverwagtinge hang af van die ontplooiingstipe. Vir Gehoste Dienste word toepaslike beskikbaarheids- en hersteldoelwitte (indien enige) in die MSA/SLA en Bestelvorm gedefinieer. Vir Installasies op die Perseel is die Kliënt verantwoordelik vir rugsteun, rampherstel en hersteltoetsing, tensy anders skriftelik ooreengekom.

Kontinuïteitsbeheeropsommings sluit in:

  • Gedokumenteerde herstelbenadering: gedokumenteerde herstelprosedures in lyn met die gekose ontplooiingsmodel.
  • Rugsteunintegriteitsvoorneme: beheermaatreëls wat bedoel is om herwinbaarheid te ondersteun en dataverliesrisiko binne die gedefinieerde grens te verminder.
  • Hersteltoetsingsdoel: periodieke herstelgereedheidsaktiwiteite wat toepaslik is vir die gehuisveste grens en diensontwerp.
Gesaghebbende verwysing: beskikbaarheidsverbintenisse, uitsluitings en enige RTO/RPO-doelwitte word gedefinieer in die MSA (sluit SLA in) en die toepaslike Bestelvorm.
11) Derdepartyverskaffers, subverwerkers en privaatheid

Gehoste Dienste kan gelewer word deur middel van derdepartyverskaffers soos gespesifiseer in die Bestelvorm / Getekende Voorstel. Verskaffers se gebruik van subverwerkers en privaatheidsverwerkingsvoorwaardes (waar van toepassing) word beheer deur die MSA en enige toepaslike Dataverwerkingsbylaag (DPA).

  • Subverwerkers: aangestel kragtens skriftelike ooreenkomste wat bedoel is om kliëntedata te beskerm en in lyn te kom met vertroulikheidsverpligtinge.
  • Data verwerking: waar deur die wet vereis, word privaatheidsvoorwaardes aangespreek via 'n DPA wat deur verwysing opgeneem is en op versoek beskikbaar gestel word.
  • Stelselgrens: verantwoordelikhede wissel tussen gehoste teenoor plaaslike implementering en word kontraktueel gedefinieer.
12) Verskafferkwalifikasie, Ouditondersteuning en Bewyse

SG Systems Global ondersteun kliënte-due diligence en verskafferskwalifikasie deur middel van dokumentasie en gestruktureerde reaksies wat in lyn is met die stelselgrens en ontplooiingstipe. Vir gereguleerde/GxP-opdragte definieer die SQA (wanneer geïnkorporeer) die kwaliteits-operasionele raamwerk, insluitend ouditondersteuningskonstrukte en verantwoordelikhede vir gereguleerde gebruik.

  • Kwalifikasieondersteuning: antwoorde en artefakte word verskaf om werkvloeie vir kliëntverskafferkwalifikasie te ondersteun.
  • Oudit samewerking: verskaf onderhewig aan vertroulikheid en redelike skedulering soos gedefinieer in die MSA/SQA.
  • Onafhanklike assessering: Die artefak wat deur die assessor geskryf is, ondersteun Deel 11-besprekings en kontrole-evaluering.

Verwysings: SQA | MSA | Onafhanklike assessering

13) Versoek sekuriteitsdokumentasie

Bykomende sekuriteits- en voldoeningsdokumentasie kan aan kliënte en gekwalifiseerde voornemende kliënte verskaf word om behoorlike sorgvuldigheid en verskafferskwalifikasie te ondersteun, onderhewig aan vertroulikheidsverpligtinge (MSA) en, waar van toepassing, NDA-voorwaardes.

Voorbeelde van dokumentasie beskikbaar op aanvraag (waar van toepassing):

  • Veranderingsbestuur en vrystellingsdokumentasie-opsommings
  • Opsomming van insidentrespons in lyn met kontraktuele verpligtinge
  • Rugsteun/DR-kontinuïteitsopsomming in lyn met ontplooiingsgrens
  • Onafhanklike assesseringsdokumentasie (21 CFR Deel 11)
  • Subverwerkerlys en DPA-sjabloon (waar van toepassing)
  • Gestruktureerde vraelysantwoorde (SIG/CAIQ-styl) wanneer versoek
versoek: E-posadres ondersteuning@sgsystemsglobal.com en sluit die maatskappy se naam, ontplooiingstipe (gehuisves of op die perseel), tydlyn en jou kontrolelys in.
14) Dokumentbeheer
DocumentSekuriteit en Vertroue (Kliëntgerigte Opsomming)
weergawe2.16
RegspersoonSG Stelsels, LLC
Adres6944 Meadowbriar Laan, Dallas, TX 75230
Goedgekeur deurStuart Hunt; Simon Hartley
Kontak Onsondersteuning@sgsystemsglobal.com
Verwysingsstel:

Hierdie bladsy word vir inligtingsdoeleindes verskaf en verander nie die kontraktuele bepalings nie.