Sikkerhed og tillid

Styring, kontrol og revisionsberedskab

Version 2.16

Gældende fra 23. februar 2026

Sikkerhed og tillid — Omfang, anvendelighed og dokumenthierarki Kundeorienteret sikkerheds- og tillidsoversigt for V5-sporbarhed, beregnet til at understøtte leverandørkvalificering, gennemgang af virksomhedsrisici og diskussioner om reguleret brug.

Omfang. Denne side opsummerer SG Systems Globals sikkerheds- og tillidsforhold for V5 Sporbarhed og relaterede tjenester, herunder Hostede tjenester og Installationer på stedet som valgt i en gældende bestillingsseddel/underskrevet forslag.

Dokumenthierarki (prioriteret rækkefølge). Hvis der er en konflikt, er de styrende dokumenter:

  • (1) Bestillingsformular / Underskrevet tilbud (omfang, valg af implementering, niveauvalg, ikrafttrædelsesdatoer);
  • (2) Tillæg om leverandørkvalitet (SQA) (regulerede/GxP operationelle konstruktioner), kun hvis de er indarbejdet ved reference i forbindelse med opgaven; og
  • (3) Hovedserviceaftale (MSA) (juridisk/kommerciel ramme, SLA, sikkerhedsforpligtelser, vilkår for kundedata).

Kontraktjustering. Denne side er til information og ændrer ikke kontraktvilkår. Eventuelle serviceniveaumålinger, tidsfrister for varsel og bindende forpligtelser er defineret i MSA/SLA og den gældende ordreformular (og SQA, hvor den er indarbejdet).

Fjernstyrede operationer. SG Systems Global fungerer som en fjernorienteret organisation. Kontrollerne lægger vægt på identitet, adgangsstyring, sikker brug af endpoints og kontrolleret administration af systemer.

Referencer: Hovedserviceaftale (MSA, inklusive SLA) | Tillæg om leverandørkvalitet (SQA) | V5-systemkrav | Onboarding og implementering | Uafhængig 21 CFR Del 11 Vurdering

Sikkerhedskontakt: support@sgsystemsglobal.com

1) Styring af sikkerhedsprogrammet

SG Systems Global opretholder et risikobaseret informationssikkerhedsprogram, der har til formål at beskytte fortroligheden, integriteten og tilgængeligheden af ​​kundedata og -tjenester og at understøtte drift i regulerede produktionsmiljøer.

Programelementer omfatter:

  • Ansvarlighed og tilsyn: defineret sikkerhedsejerskab for kontroleffektivitet, eskaleringer og korrigerende handlinger.
  • Risikostyring: identifikation og vurdering af risici, udvælgelse af kontroller og sporing af afhjælpende aktiviteter.
  • Politik- og procedurekontrol: dokumenterede praksisser for sikkerhedsrelevante aktiviteter (adgang, ændringskontrol, hændelseshåndtering, kontinuitet).
  • Periodisk gennemgang: Sikkerhedspraksis gennemgås og opdateres i takt med at systemer, trusler og kundernes forventninger udvikler sig.
Regulerede kunder: Leverandørkvalifikation og kvalitetsmæssige operationelle konstruktioner er behandlet i kvalitetssikringen, når de er indarbejdet i engagementet.
2) Implementeringsgrænser og delt ansvar (hostet vs. lokalt)

Ansvaret afhænger af den valgte implementering i din ordreformular/underskrevne tilbud. V5 Sporbarhed kan leveres som hostede tjenester eller som en on-premise installation.

KontrolområdeHostede tjenester (udbyderfokus)Installation på stedet (kundefokus)
Infrastruktur sikkerhedDriver den hostede grænse i overensstemmelse med MSA/SLA og gældende ordreformular.Ansvarlig for servere, netværkssikkerhed, patching, backups/DR og understøttende infrastrukturkontroller.
Tilgængelighed og gendannelseTilgængeligheds- og genoprettelsesmål (hvis relevant) er defineret i MSA/SLA og ordreformularen.Ansvarlig for oppetid, mål for genoprettelse og test af genoprettelse, medmindre andet er skriftligt aftalt.
Styring af brugeradgangKunden definerer roller/tilladelser, godkender adgang, udfører klargøring/deklarering og forbyder delte legitimationsoplysninger.
Validering og tilsigtet anvendelseKunden er ansvarlig for validering/kvalificering og beslutninger om tilsigtet anvendelse inden for kundens kvalitetsstyringssystem (QMS). Leverandøren leverer dokumentation og supportkonstruktioner i henhold til MSA/SQA.
Skift kontrolUdbyderen styrer implementeringen og udgiver udgivelsesdokumentation for hostede tjenester i overensstemmelse med MSA/SQA.Kunden styrer implementeringstidspunktet og testningen af ​​On-Prem-opdateringer; Udbyderen leverer udgivelsesdokumentation og support i henhold til MSA/SQA.

Referencer: MSA, SQA, Systemkrav.

3) Identitet, godkendelse og adgangskontrol

Adgangskontrol er designet til at understøtte færrest mulige rettigheder, ansvarlighed og kontrolleret administration. I regulerede miljøer er adgangskontrol en kombineret teknisk og proceduremæssige disciplin.

  • Rollebaseret adgang: Tilladelser tildeles efter rolle for at afstemme funktioner med jobansvar.
  • Unik ansvarlighed: Brugere bør identificeres entydigt; brug af delte legitimationsoplysninger bør forbydes.
  • Adgangsstyring: Kunder styrer klargøring/deklarering, rolledesign og periodiske adgangsgennemgange i deres SOP'er.
  • Privilegeret adgang: Administrativ adgang er begrænset til autoriseret personale til operationelle behov.
Kundens ansvar: I regulerede operationer bør kunder opretholde procedurer for kontoadministration, periodisk gennemgang, træningsstyring og (hvor det er relevant) elektronisk signaturautorisation og betydning.
4) Revisionsspor, elektroniske optegnelser og dataintegritet (GxP-kontekst)

V5 Sporbarhed understøtter sporbarhedsorienteret registrering og er designet til at understøtte kontroladfærd, der almindeligvis forventes for regulerede elektroniske registreringer, herunder tilskrivelige handlinger, adfærd i revisionsspor, kontroller af registreringsintegritet og adfærd i elektroniske signaturer, hvor det er relevant og konfigureret.

Uafhængig vurdering (kontekst i henhold til 21 CFR del 11). V5 Sporbarhed har en uafhængig vurderingsartefakt, der er beregnet til at understøtte leverandørkvalificering og CSV-diskussioner. Se: Uafhængig 21 CFR Del 11 Vurdering.

Reguleringsgrænse: Uafhængige vurderingsartefakter understøtter leverandørkvalificering og kontrolevaluering. De erstatter ikke kundevalidering, bestemmelse af tilsigtet anvendelse eller kundens proceduremæssige kontroller.
5) Databeskyttelse og fortrolighed

SG Systems Global beskytter kundeoplysninger ved hjælp af administrative, tekniske og kontraktlige kontroller, der er afstemt med målsætninger om fortrolighed, integritet og tilgængelighed. Kontraktlig fortrolighed, kundedatarettigheder og vilkår for privatlivsbehandling (hvor det er relevant) er underlagt MSA og relaterede dokumenter.

  • Fortrolighed: kontrolforanstaltninger, der har til formål at forhindre uautoriseret videregivelse af kundeoplysninger.
  • Integritet: kontroller, der har til formål at bevare registreringers integritet og understøtte revisionsklar sporbarhed.
  • tilgængelighed: driftskontroller, der er passende for den valgte implementeringstype; mål for den hostede tjeneste (hvis relevant) er defineret i MSA/SLA.

For bindende fortrolighed og vilkår for kundedata henvises til MSA.

6) Sikker udviklingslivscyklus (SDLC) og udgivelsesdisciplin

V5 Sporbarhed udvikles og vedligeholdes ved hjælp af kontrollerede praksisser, der har til formål at understøtte en pålidelig og auditerbar udgivelsesstruktur for regulerede kunder.

SDLC-kontrolresuméer inkluderer:

  • Introduktion til kontrollerede ændringer: Ændringer planlægges, implementeres og gennemgås inden udgivelsen.
  • Gennemgå disciplin: Kode- og konfigurationsændringer skal gennemgås inden implementering.
  • Miljøadskillelse: Udviklings-/test- og produktionsaktiviteter kontrolleres for at reducere risikoen for uautoriserede ændringer.
  • Udgivelsesdokumentation: Udgivelsesnoterne beskriver væsentlige ændringer og, hvor det er relevant, overvejelser om validering.
Regulerede kunder: Forpligtelser til ændringskontrol og udgivelsespraksis er underlagt MSA og, hvor det er indarbejdet, SQA.
7) Ændringshåndtering (opsummering af kundeorienteret kontrol)

SG Systems Global anvender en kontrolleret tilgang til ændringsstyring for at understøtte forudsigelig servicelevering og forventninger til reguleret brug.

Oversigter over ændringer i kontrolstyringen omfatter:

  • Ændringsevaluering: Ændringer vurderes med hensyn til potentiel indvirkning på kunderne, herunder overvejelser om reguleret indvirkning, hvor det er relevant.
  • Godkendelsesdisciplin: Produktionsændringer er underlagt dokumenteret godkendelse inden frigivelse.
  • Implementeringskontrol: Implementering af hostede tjenester styres af udbyderen; implementeringer på stedet styres af kunden.
  • Nødændringer: Nødsituationer i sikkerheden kan udføres, når det er nødvendigt for at imødegå aktive trusler; sådanne ændringer dokumenteres og kommunikeres i overensstemmelse med kontraktvilkår.

Bindende ændringskontrolvilkår er defineret i MSA og, hvor det er inkorporeret, SQA.

8) Sårbarhedshåndtering

SG Systems Global håndterer sårbarheder gennem identifikation, triage, afhjælpning og verifikation, med prioritering baseret på alvorlighed og udnyttelsesmulighed.

Oversigter over sårbarhedsstyringskontroller inkluderer:

  • Triage og prioritering: evaluer omfang, alvor, udnyttelsesevne og potentiel kundepåvirkning.
  • Udbedring: Anvend rettelser/patches og dokumenter væsentlige ændringer i udgivelsesdokumentationen, hvor det er relevant.
  • Kommunikation: Kundekommunikation følger de kontraktlige og operationelle konstruktioner i MSA/SQA.

For at rapportere en mistænkt sårbarhed eller et sikkerhedsproblem, send en e-mail support@sgsystemsglobal.com med emne: Security Concern.

9) Hændelseshåndtering og sikkerhedshændelsesrespons

SG Systems Global opretholder en hændelsesstyrings- og sikkerhedshændelsesresponsproces, der har til formål at understøtte hurtig triage, inddæmning, undersøgelse og kundekommunikation, herunder overvejelser om reguleret brug, hvor registreringsintegriteten kan være påvirket.

Oversigter over kontrol af hændelsesstyring omfatter:

  • Klassifikation: Hændelser vurderes og klassificeres baseret på alvor og potentiel indvirkning på fortrolighed, integritet og tilgængelighed.
  • optrapning: Eskaleringsveje anvendes ved hændelser med højere alvorlighed og bekymringer med reguleret indvirkning.
  • Efterforskning: Undersøgelser dokumenteres, og væsentlige begivenheder er underlagt gennemgang efter hændelsen.
  • Korrigerende handlinger: Korrigerende handlinger spores for at reducere risikoen for gentagelse.
Meddelelse og rapportering om hostede tjenester: Bindende forpligtelser til at varsle om sikkerhedshændelser og rapportere dem (herunder eventuelle tidsfrister) er defineret i MSA'en for hostede tjenester. For implementeringer på stedet styrer kunden hændelsesstyringen for den kundekontrollerede infrastruktur; udbyderen understøtter softwarefokuserede problemer i overensstemmelse med MSA/SQA.

Rapporteringskanal: support@sgsystemsglobal.comVed mistanke om bekymringer vedrørende regulerede registreringer/dataintegritet skal følgende medtages: Potential GxP / data integrity impact.

10) Sikkerhedskopier, katastrofegendannelse og forretningskontinuitet

Forventningerne til kontinuitet og gendannelse afhænger af implementeringstypen. For hostede tjenester er gældende tilgængelighed og gendannelsesmål (hvis nogen) defineret i MSA/SLA og ordreformularen. For lokale installationer er kunden ansvarlig for sikkerhedskopier, gendannelse efter katastrofer og gendannelsestest, medmindre andet er skriftligt aftalt.

Kontinuitetskontroloversigter omfatter:

  • Dokumenteret genopretningsmetode: dokumenterede genoprettelsesprocedurer, der er afstemt med den valgte implementeringsmodel.
  • Hensigt med sikkerhedskopieringintegritet: kontroller, der har til formål at understøtte gendannelsesmuligheder og reducere risikoen for datatab inden for den definerede grænse.
  • Hensigt med gendannelsestest: periodiske genopretningsberedskabsaktiviteter, der er passende til den hostede grænse og tjenestedesignet.
Autoritativ reference: Tilgængelighedsforpligtelser, undtagelser og eventuelle RTO/RPO-mål er defineret i MSA (inkluderer SLA) og den gældende bestillingsformular.
11) Tredjepartsudbydere, underdatabehandlere og privatliv

Hostede tjenester kan leveres ved hjælp af tredjepartsudbydere som angivet i ordreformularen/det underskrevne tilbud. Udbyderens brug af underdatabehandlere og vilkår for privatlivsbehandling (hvor det er relevant) er underlagt MSA og ethvert gældende databehandlingstillæg (DPA).

  • Underdatabehandlere: engageret i henhold til skriftlige aftaler, der har til formål at beskytte kundedata og overholde fortrolighedsforpligtelser.
  • Databehandling: Hvor det er påkrævet ved lov, er privatlivsbetingelserne behandlet via en databeskyttelsesaftale, der er indarbejdet ved henvisning og stillet til rådighed efter anmodning.
  • Systemgrænse: Ansvarsområderne varierer afhængigt af hostet vs. on-prem implementering og er defineret kontraktligt.
12) Leverandørkvalificering, revisionsstøtte og dokumentation

SG Systems Global understøtter kundeundersøgelser og leverandørkvalificering ved hjælp af dokumentation og strukturerede svar, der er afstemt med systemgrænsen og implementeringstypen. For regulerede/GxP-engagementer definerer SQA (når den er indarbejdet) den kvalitetsmæssige og operationelle ramme, herunder revisionsstøttekonstruktioner og ansvar for reguleret brug.

  • Kvalifikationsstøtte: Svar og artefakter leveres for at understøtte arbejdsgange for kvalificering af kundernes og leverandørernes leverandørkvalifikation.
  • Revisionssamarbejde: leveres underlagt fortrolighed og rimelig tidsplanlægning som defineret i MSA/SQA.
  • Uafhængig vurdering: Assessor-forfattet artefakt understøtter del 11-diskussioner og kontrolevaluering.

Referencer: SQA | MSA | Uafhængig vurdering

13) Anmod om sikkerhedsdokumentation

Yderligere sikkerheds- og overholdelsesdokumentation kan leveres til kunder og kvalificerede potentielle kunder for at understøtte due diligence og leverandørkvalificering, underlagt fortrolighedsforpligtelser (MSA) og, hvor det er relevant, NDA-vilkår.

Eksempler på dokumentation tilgængelig på anmodning (hvor relevant):

  • Opsummeringer af ændringsstyring og udgivelsesdokumentation
  • Resumé af hændelser i overensstemmelse med kontraktlige forpligtelser
  • Oversigt over backup-/DR-kontinuitet justeret til implementeringsgrænsen
  • Dokumentation for uafhængig vurdering (21 CFR del 11)
  • Liste over underdatabehandlere og skabelon til databeskyttelsesforpligtelse (hvor relevant)
  • Strukturerede spørgeskemabesvarelser (SIG/CAIQ-stil) efter anmodning
Anmodning: E-mail support@sgsystemsglobal.com og inkluder firmanavn, implementeringstype (hostet eller lokalt), tidslinje og din tjekliste.
14) Dokumentkontrol
DokumentSikkerhed og tillid (kundeorienteret oversigt)
Udgave2.16
Juridisk enhedSG Systems, LLC
Adresse6944 Meadowbriar Lane, Dallas, TX 75230
Godkendt afStuart Hunt; Simon Hartley
Kontaktsupport@sgsystemsglobal.com
Referencesæt:

Denne side er til orientering og ændrer ikke kontraktvilkårene.