Bezpečnost a důvěra

Řízení, kontroly a připravenost na audit

Bezpečnost a důvěra | SG Systems, LLC

Verze 2.16

Platné od 20. dubna 2026

Bezpečnost a důvěra – rozsah, použitelnost a hierarchie dokumentů Souhrn informací o zabezpečení a důvěře pro zákazníky v rámci systému V5 Traceability, určený pro podporu kvalifikace dodavatelů, kontroly podnikových rizik a diskusí o regulovaném použití.

Rozsah. Tato stránka shrnuje SG Systems Globalzabezpečení a důvěryhodnost pro V5 Traceability a související služby, včetně Hostované služby a Instalace na místě jak je zvolen v příslušném objednávkovém formuláři / podepsaném návrhu.

Hierarchie dokumentů (pořadí priorit). V případě konfliktu jsou řídícími dokumenty:

  • (1) Objednávkový formulář / Podepsaný návrh (rozsah, volba nasazení, výběr úrovní, data účinnosti);
  • (2) Dodatek o jakosti dodavatelů (SQA) (regulované/GxP operační konstrukty), pouze pokud jsou začleněny odkazem pro účely zakázky; a
  • (3) Hlavní smlouva o poskytování služeb (MSA) (právní/obchodní rámec, SLA, bezpečnostní závazky, podmínky pro ochranu osobních údajů zákazníků).

Sladění smluv. Tato stránka je informativní a nemění smluvní podmínky. Veškeré metriky úrovně služeb, lhůty pro oznámení a závazné povinnosti jsou definovány v MSA/SLA a příslušném objednávkovém formuláři (a SQA, pokud jsou zahrnuty).

Provoz primárně na dálku. SG Systems Global funguje jako organizace zaměřená především na vzdálenou správu. Kontrolní mechanismy kladou důraz na identitu, správu přístupů, bezpečné používání koncových bodů a kontrolovanou správu systémů.

Reference: Hlavní smlouva o poskytování služeb (MSA, včetně SLA) | Dodatek o jakosti dodavatelů (SQA) | Systémové požadavky V5 | Nástupní proces a implementace | Nezávislé posouzení dle 21 CFR část 11

Kontaktní osoba pro bezpečnost: support@sgsystemsglobal.com

1) Řízení bezpečnostních programů

SG Systems Global udržuje program informační bezpečnosti založený na riziku, jehož cílem je chránit důvěrnost, integritu a dostupnost zákaznických dat a služeb a podporovat provoz v regulovaném výrobním prostředí.

Mezi prvky programu patří:

  • Odpovědnost a dohled: definované vlastnictví bezpečnosti pro efektivitu kontroly, eskalace a nápravná opatření.
  • Řízení rizik: identifikace a posouzení rizik, výběr kontrolních opatření a sledování nápravných činností.
  • Řízení politik a postupů: zdokumentované postupy pro činnosti relevantní z hlediska bezpečnosti (přístup, řízení změn, řešení incidentů, zajištění kontinuity).
  • Pravidelná revize: Bezpečnostní postupy jsou kontrolovány a aktualizovány s vývojem systémů, hrozeb a očekávání zákazníků.
Regulovaní zákazníci: Kvalifikace dodavatelů a konstrukty kvality a provozu jsou řešeny v SQA při jejich začlenění do zakázky.
2) Hranice nasazení a sdílená odpovědnost (hostované vs. lokální)

Zodpovědnosti závisí na nasazení vybraném ve vašem objednávkovém formuláři / podepsané nabídce. V5 Traceability může být dodávána jako hostované služby nebo jako instalace na místě.

Kontrolní oblastHostované služby (zaměření na poskytovatele)Instalace na místě (zaměření na zákazníka)
Zabezpečení infrastrukturyProvozuje hostovanou hranici v souladu s MSA/SLA a příslušným objednávkovým formulářem.Zodpovědný za servery, zabezpečení sítě, opravy, zálohování/DR a podpůrné kontroly infrastruktury.
Dostupnost a obnovaCíle dostupnosti a obnovy (pokud existují) jsou definovány v MSA/SLA a v objednávkovém formuláři.Zodpovídá za provozuschopnost, cíle obnovy a testování obnovy, pokud není písemně dohodnuto jinak.
Správa přístupu uživatelůZákazník definuje role/oprávnění, schvaluje přístup, provádí zřizování/odstraňování zřizování a zakazuje sdílené přihlašovací údaje.
Validace a zamýšlené použitíZákazník je zodpovědný za validaci/kvalifikaci a rozhodnutí o zamýšleném použití v rámci systému managementu kvality zákazníka; Poskytovatel dodává dokumentaci a podpůrné struktury v souladu s MSA/SQA.
Změňte ovládáníPoskytovatel řídí nasazení a zveřejňuje dokumentaci k vydání hostovaných služeb v souladu s MSA/SQA.Zákazník řídí načasování nasazení a testování aktualizací pro místní prostředí; Poskytovatel poskytuje dokumentaci k vydání a podporu dle MSA/SQA.

Reference: MSA, S.Q.A., Požadavky na systém.

3) Identita, ověřování a řízení přístupu

Řízení přístupu je navrženo tak, aby podporovalo co nejmenší oprávnění, odpovědnost a kontrolovanou správu. V regulovaných prostředích je řízení přístupu kombinací... technický a procesní disciplína.

  • Přístup na základě rolí: Oprávnění jsou přiřazována podle rolí, aby se sladily funkce s pracovními povinnostmi.
  • Jedinečná odpovědnost: Uživatelé by měli být jednoznačně identifikováni; používání sdílených přihlašovacích údajů by mělo být zakázáno.
  • Řízení přístupu: Zákazníci řídí zřizování/rušení zřizování, návrh rolí a pravidelné kontroly přístupu v rámci svých standardních operačních postupů (SOP).
  • Privilegovaný přístup: Administrativní přístup je omezen na oprávněný personál z provozních důvodů.
Odpovědnost zákazníka: V regulovaných provozech by zákazníci měli dodržovat postupy pro správu účtů, pravidelné kontroly, řízení školení a (pokud je to relevantní) autoritu a význam elektronického podpisu.
4) Auditní záznamy, elektronické záznamy a integrita dat (kontext GxP)

V5 Traceability podporuje vedení záznamů orientované na sledovatelnost a je navržen tak, aby podporoval kontrolní chování běžně očekávané u regulovaných elektronických záznamů, včetně přiřaditelných akcí, chování auditních záznamů, kontrol integrity záznamů a chování elektronického podpisu, kde je to relevantní a nakonfigurované.

Nezávislé posouzení (kontext 21 CFR část 11). V5 Traceability má nezávislý artefakt hodnocení, který má podpořit kvalifikaci dodavatelů a diskuze o CSV. Viz: Nezávislé posouzení dle 21 CFR část 11.

Hranice regulace: Artefakty nezávislého hodnocení podporují kvalifikaci dodavatelů a hodnocení kontrol. Nenahrazují validaci zákazníka, určení zamýšleného použití ani procesní kontroly zákazníka.
5) Ochrana údajů a důvěrnost

SG Systems Global chrání informace o zákaznících pomocí administrativních, technických a smluvních kontrolních mechanismů v souladu s cíli důvěrnosti, integrity a dostupnosti. Smluvní důvěrnost, práva zákazníků na ochranu osobních údajů a podmínky zpracování osobních údajů (pokud existují) se řídí hlavní smlouvou o zabezpečení a souvisejícími dokumenty.

  • Důvěrnost: kontroly určené k zabránění neoprávněnému zveřejnění informací o zákaznících.
  • Integrita: kontroly určené k zachování integrity záznamů a podpoře sledovatelnosti připravené k auditu.
  • Dostupnost: provozní kontroly odpovídající zvolenému typu nasazení; cíle hostované služby (pokud existují) jsou definovány v MSA/SLA.

Závazné podmínky důvěrnosti a zákaznických údajů naleznete v MSA.

6) Bezpečný vývojový cyklus (SDLC) a pravidla pro vydávání verzí

Systém sledování V5 je vyvíjen a udržován s využitím kontrolovaných postupů, jejichž cílem je podpořit spolehlivý a auditovatelný postup uvolňování pro regulované zákazníky.

Souhrny kontrol SDLC zahrnují:

  • Zavedení řízených změn: Změny jsou plánovány, implementovány a kontrolovány před vydáním.
  • Disciplína v recenzi: Změny kódu a konfigurace podléhají kontrole před nasazením.
  • Oddělení prostředí: Vývojové/testovací a produkční aktivity jsou kontrolovány, aby se snížilo riziko neoprávněných změn.
  • Dokumentace k vydání: Poznámky k verzi popisují podstatné změny a případně i aspekty ověření.
Regulovaní zákazníci: Povinnosti v oblasti kontroly změn a postupy vydávání se řídí MSA a, pokud jsou začleněny, SQA.
7) Řízení změn (shrnutí kontrol zaměřených na zákazníka)

SG Systems Global používá přístup řízeného řízení změn na podporu předvídatelného poskytování služeb a očekávání regulovaného užívání.

Souhrny kontrolních mechanismů pro řízení změn zahrnují:

  • Vyhodnocení změn: Změny jsou posuzovány z hlediska potenciálního dopadu na zákazníka, včetně případných aspektů regulovaného dopadu.
  • Schvalovací disciplína: Změny ve výrobě podléhají před vydáním dokumentovanému schválení.
  • Řízení nasazení: Nasazení hostovaných služeb řídí Poskytovatel; nasazení v místních systémech řídí Zákazník.
  • Nouzové změny: V případě potřeby řešení aktivních hrozeb lze provést nouzové změny v zabezpečení; takové změny jsou dokumentovány a komunikovány v souladu se smluvními podmínkami.

Termíny pro řízení změn vazby jsou definovány v MSA a pokud je začleněna, S.Q.A..

8) Správa zranitelností

SG Systems Global spravuje zranitelnosti prostřednictvím identifikace, třídění, nápravy a ověřování s prioritizací na základě závažnosti a zneužitelnosti.

Souhrny kontrolních mechanismů pro správu zranitelností zahrnují:

  • Třídění a stanovování priorit: vyhodnotit rozsah, závažnost, zneužitelnost a potenciální dopad na zákazníka.
  • Náprava: v případě potřeby aplikovat opravy/záplaty a zdokumentovat podstatné změny v dokumentaci k vydání.
  • Sdělení: Komunikace se zákazníky se řídí smluvními a provozními ustanoveními MSA/SQA.

Chcete-li nahlásit podezření na zranitelnost nebo bezpečnostní problém, pošlete e-mail support@sgsystemsglobal.com s předmětem: Security Concern.

9) Řízení incidentů a reakce na bezpečnostní incidenty

SG Systems Global udržuje proces řízení incidentů a reakce na bezpečnostní incidenty, jehož cílem je podpořit rychlé třídění, omezení, vyšetřování a komunikaci se zákazníky, včetně aspektů regulovaného použití, kde může být ovlivněna integrita záznamů.

Souhrny kontrolních mechanismů pro řízení incidentů zahrnují:

  • Klasifikace: Události jsou posuzovány a klasifikovány na základě závažnosti a potenciálního dopadu na důvěrnost, integritu a dostupnost.
  • Eskalace: U událostí s vyšší závažností a u obav s regulovaným dopadem se používají eskalační postupy.
  • Vyšetřování: Vyšetřování jsou dokumentována a podstatné události jsou předmětem přezkumu po incidentu.
  • Nápravná opatření: Jsou sledována nápravná opatření, aby se snížilo riziko opakování.
Oznámení a hlášení o hostovaných službách: Závazné oznámení o bezpečnostních incidentech a povinnosti hlášení (včetně případných časových lhůt) jsou definovány v MSA pro hostované služby. U nasazení v místních systémech (On-Prem) řídí Zákazník správu incidentů pro infrastrukturu řízenou Zákazníkem; Poskytovatel podporuje řešení problémů zaměřených na software v souladu s MSA/SQA.

Kanál pro hlášení: support@sgsystemsglobal.comV případě podezření na obavy týkající se integrity regulovaných záznamů/dat uveďte: Potential GxP / data integrity impact.

10) Zálohy, obnova po havárii a zajištění kontinuity podnikání

Očekávání ohledně kontinuity a obnovy závisí na typu nasazení. U hostovaných služeb jsou příslušné cíle dostupnosti a obnovy (pokud existují) definovány v MSA/SLA a v objednávkovém formuláři. U instalací na místě je zákazník zodpovědný za zálohování, obnovu po havárii a testování obnovy, pokud není písemně dohodnuto jinak.

Souhrny kontroly kontinuity zahrnují:

  • Dokumentovaný přístup k obnově: zdokumentované postupy obnovy v souladu se zvoleným modelem nasazení.
  • Záměr integrity zálohy: kontroly určené k podpoře obnovitelnosti a snížení rizika ztráty dat v rámci definovaných hranic.
  • Záměr testování obnovy: Pravidelné činnosti zaměřené na připravenost k obnově odpovídající hostované hranici a návrhu služeb.
Autoritativní odkaz: Závazky týkající se dostupnosti, výjimky a jakékoli cíle RTO/RPO jsou definovány v Hlavní sazba (včetně SLA) a příslušný objednávkový formulář.
11) Poskytovatelé třetích stran, subzpracovatelé a ochrana osobních údajů

Hostované služby mohou být poskytovány prostřednictvím poskytovatelů třetích stran, jak je uvedeno v objednávkovém formuláři / podepsané nabídce. Využívání subdodavatelů poskytovateli a podmínky zpracování osobních údajů (pokud existují) se řídí hlavní smlouvou o ochraně osobních údajů (MSA) a veškerým příslušným dodatkem o zpracování dat (DPA).

  • Dílčí zpracovatelé: na základě písemných dohod, jejichž cílem je chránit zákaznická data a dodržovat povinnosti mlčenlivosti.
  • Zpracování dat: V případech, kdy to vyžaduje zákon, jsou podmínky ochrany osobních údajů řešeny prostřednictvím dohody o zpracování údajů, která je začleněna odkazem a je k dispozici na vyžádání.
  • Hranice systému: Zodpovědnosti se liší v závislosti na hostovaném a lokálním nasazení a jsou definovány smluvně.
12) Kvalifikace dodavatele, auditní podpora a důkazy

SG Systems Global podporuje due diligence zákazníka a kvalifikaci dodavatelů pomocí dokumentace a strukturovaných odpovědí sladěných s hranicemi systému a typem nasazení. U regulovaných/GxP zakázek definuje SQA (pokud je začleněna) rámec kvality a provozu, včetně konstrukcí podpory auditu a odpovědností za regulované použití.

  • Podpora kvalifikace: Pro podporu pracovních postupů kvalifikace dodavatelů zákazníků jsou poskytovány odpovědi a artefakty.
  • Spolupráce při auditu: poskytovány s výhradou důvěrnosti a s přiměřeným harmonogramem, jak je definováno v MSA/SQA.
  • Nezávislé posouzení: Artefakt vytvořený hodnotitelem podporuje diskuse dle Části 11 a hodnocení kontrol.

Reference: S.Q.A. | MSA | Nezávislé hodnocení

13) Vyžádejte si bezpečnostní dokumentaci

Zákazníkům a kvalifikovaným potenciálním zákazníkům může být poskytnuta dodatečná dokumentace týkající se zabezpečení a dodržování předpisů na podporu due diligence a kvalifikace dodavatele, a to v souladu s povinnostmi mlčenlivosti (MSA) a případně s podmínkami NDA.

Příklady dokumentace dostupné na vyžádání (pokud je to relevantní):

  • Souhrny dokumentace k řízení změn a vydání
  • Shrnutí reakce na incident v souladu se smluvními závazky
  • Souhrn kontinuity zálohování/DR zarovnaný s hranicemi nasazení
  • Dokumentace nezávislého posouzení (21 CFR část 11)
  • Seznam subzpracovatelů a šablona DPA (pokud je to relevantní)
  • Strukturované odpovědi na dotazník (ve stylu SIG/CAIQ) na vyžádání
Žádost: Email support@sgsystemsglobal.com a uveďte název společnosti, typ nasazení (hostované nebo místní), časový harmonogram a kontrolní seznam.
14) Řízení dokumentů
DokumentBezpečnost a důvěra (shrnutí pro zákazníky)
Verze2.16
Právnická osobaSG Systems, s.r.o.
Adresa6944 Meadowbriar Lane, Dallas, TX 75230
Schváleno kýmStuart Hunt; Simon Hartley
Kontaktsupport@sgsystemsglobal.com
Referenční sada:

Tato stránka je poskytována pro informační účely a nemění smluvní podmínky.

15) Záznam změn

Verze 2.16 – Platnost od 20. dubna 2026.

  • V horní části stránky byla přidána verze dokumentu a datum účinnosti ve stejném stylu, jaký se používá pro MSA a SQA.
  • Upravena váha typografie, aby lépe odpovídala lehčímu stylu prezentace použitému na aktualizovaných stránkách s právními informacemi a informacemi o důvěryhodnosti.
  • Zachoval jsem kontrolu dokumentů jako sbalený akordeon a zachoval stávající strukturu obsahu beze změny.

Tato aktualizace je zamýšlena jako revize prezentace a kontroly dokumentace, pokud není v samostatně schváleném smluvním dokumentu uvedeno jinak.