Sicherheit & Vertrauen

Governance, Kontrollen und Auditbereitschaft

Version 2.16

Gültig ab dem 23. Februar 2026

Sicherheit und Vertrauen – Geltungsbereich, Anwendbarkeit und Dokumentenhierarchie Zusammenfassung der Sicherheits- und Vertrauenswürdigkeitskriterien für V5 Traceability, die für Kunden gedacht ist und die Qualifizierung von Lieferanten, die Überprüfung von Unternehmensrisiken und Gespräche über die regulierte Nutzung unterstützen soll.

Umfang. Diese Seite fasst Folgendes zusammen SG Systems GlobalSicherheits- und Vertrauenslage für V5 Traceability und zugehörige Dienste, einschließlich Gehostete Dienste und Installationen vor Ort wie in einem entsprechenden Bestellformular / unterzeichneten Angebot ausgewählt.

Dokumentenhierarchie (Rangfolge der Priorität). Im Falle eines Konflikts sind folgende Dokumente maßgebend:

  • (1) Bestellformular / Unterzeichnetes Angebot (Geltungsbereich, Einsatzwahl, Stufenauswahl, Gültigkeitsdaten);
  • (2) Lieferantenqualitätszusatz (SQA) (regulierte/GxP-konforme operative Konstrukte), nur wenn sie durch Bezugnahme in das Projekt einbezogen werden; und
  • (3) Rahmenvertrag für Dienstleistungen (MSA) (rechtlicher/kommerzieller Rahmen, SLA, Sicherheitsverpflichtungen, Bestimmungen zum Kundendatenschutz).

Vertragsabstimmung. Diese Seite dient lediglich der Information und ändert keine Vertragsbedingungen. Sämtliche Service-Level-Kennzahlen, Benachrichtigungsfristen und verbindliche Verpflichtungen sind im Rahmenvertrag (MSA/SLA) und dem entsprechenden Bestellformular (sowie gegebenenfalls im SQA) definiert.

Ferngesteuerte Betriebsabläufe. SG Systems Global Das Unternehmen agiert als Remote-First-Organisation. Die Kontrollmechanismen legen Wert auf Identitätsmanagement, Zugriffsverwaltung, sichere Endgerätenutzung und kontrollierte Systemadministration.

Referenzen: (Die Referenzliste bleibt in der wissenschaftlichen Zitierweise erhalten) Rahmenvertrag für Dienstleistungen (MSA, einschließlich SLA) | Lieferantenqualitätszusatz (SQA) | V5-Systemanforderungen | Onboarding & Implementierung | Unabhängige Bewertung gemäß 21 CFR Teil 11

Sicherheitskontakt: support@sgsystemsglobal.com

1) Governance des Sicherheitsprogramms

SG Systems Global unterhält ein risikobasiertes Informationssicherheitsprogramm, das darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten und -diensten zu schützen und den Betrieb in regulierten Produktionsumgebungen zu unterstützen.

Zu den Programmelementen gehören:

  • Verantwortung und Aufsicht: Definierte die Sicherheitsverantwortung für die Wirksamkeit der Kontrollen, Eskalationen und Korrekturmaßnahmen.
  • Risikomanagement: Identifizierung und Bewertung von Risiken, Auswahl von Kontrollmaßnahmen und Nachverfolgung von Abhilfemaßnahmen.
  • Richtlinien- und Verfahrenssteuerung: dokumentierte Vorgehensweisen für sicherheitsrelevante Aktivitäten (Zugriff, Änderungskontrolle, Vorfallsbearbeitung, Kontinuität).
  • Regelmäßige Überprüfung: Die Sicherheitspraktiken werden regelmäßig überprüft und aktualisiert, da sich Systeme, Bedrohungen und Kundenerwartungen weiterentwickeln.
Regulierte Kunden: Die Lieferantenqualifizierung und die Qualitäts- und Betriebsstrukturen werden in der Lieferantenqualitätsanalyse (SQA) berücksichtigt, wenn diese für das Projekt einbezogen wird.
2) Bereitstellungsgrenzen und geteilte Verantwortung (gehostet vs. lokal)

Die Verantwortlichkeiten hängen von der in Ihrem Bestellformular/unterzeichneten Angebot gewählten Bereitstellung ab. V5 Traceability kann als gehosteter Service oder als On-Premise-Installation bereitgestellt werden.

KontrollbereichGehostete Dienste (Anbieterfokus)Installation vor Ort (Kundenorientierung)
InfrastruktursicherheitBetreibt die gehostete Grenze in Übereinstimmung mit dem MSA/SLA und dem entsprechenden Bestellformular.Verantwortlich für Server, Netzwerksicherheit, Patching, Backups/DR und die Unterstützung der Infrastrukturkontrollen.
Verfügbarkeit und WiederherstellungVerfügbarkeits- und Wiederherstellungsziele (sofern zutreffend) werden im Rahmenvertrag/Service-Level-Agreement und im Bestellformular definiert.Verantwortlich für die Betriebszeit, die Wiederherstellungsziele und die Wiederherstellungstests, sofern nichts anderes schriftlich vereinbart wurde.
BenutzerzugriffsverwaltungDer Kunde definiert Rollen/Berechtigungen, genehmigt Zugriffe, führt die Bereitstellung/Entfernung von Berechtigungen durch und verbietet die gemeinsame Nutzung von Anmeldeinformationen.
Validierung und vorgesehene VerwendungDer Kunde ist für die Validierung/Qualifizierung und die Entscheidungen über den Verwendungszweck innerhalb des Kunden-QMS verantwortlich; der Anbieter stellt die Dokumentation und die unterstützenden Konstrukte gemäß MSA/SQA bereit.
Kontrolle ändernDer Provider steuert die Bereitstellung und veröffentlicht die Release-Dokumentation für Hosted Services in Übereinstimmung mit MSA/SQA.Der Kunde steuert den Zeitpunkt der Bereitstellung und die Tests für On-Premise-Updates; der Anbieter stellt die Release-Dokumentation und den Support gemäß MSA/SQA bereit.

Referenzen: (Die Referenzliste bleibt in der wissenschaftlichen Zitierweise erhalten) MSA, SQA, Systemanforderungen.

3) Identität, Authentifizierung und Zugriffskontrolle

Zugriffskontrolle ist so konzipiert, dass sie das Prinzip der minimalen Berechtigungen, Verantwortlichkeit und kontrollierte Verwaltung unterstützt. In regulierten Umgebungen ist Zugriffskontrolle eine Kombination aus technisch und prozedural Disziplin.

  • Rollenbasierter Zugriff: Berechtigungen werden rollenbasiert vergeben, um Funktionen mit Stellenverantwortlichkeiten in Einklang zu bringen.
  • Einzigartige Verantwortlichkeit: Benutzer sollten eindeutig identifiziert werden; die gemeinsame Nutzung von Zugangsdaten sollte verboten sein.
  • Zugangssteuerung: Die Kunden steuern die Bereitstellung/Entzug von Berechtigungen, die Rollengestaltung und die regelmäßigen Zugriffsüberprüfungen im Rahmen ihrer Standardarbeitsanweisungen.
  • Privilegierter Zugriff: Der administrative Zugriff ist für betriebliche Zwecke auf autorisiertes Personal beschränkt.
Verantwortung des Kunden: Bei regulierten Geschäftsvorgängen sollten Kunden Verfahren für die Kontoverwaltung, regelmäßige Überprüfungen, Schulungsrichtlinien und (gegebenenfalls) die Befugnis und Bedeutung elektronischer Signaturen aufrechterhalten.
4) Prüfprotokolle, elektronische Aufzeichnungen und Datenintegrität (GxP-Kontext)

V5 Traceability unterstützt die rückverfolgbare Datenerfassung und ist so konzipiert, dass es die für regulierte elektronische Aufzeichnungen üblicherweise erwarteten Kontrollverhaltensweisen unterstützt, einschließlich zurechenbarer Aktionen, Audit-Trail-Verhalten, Kontrollen der Datensatzintegrität und elektronisches Signaturverhalten, sofern anwendbar und konfiguriert.

Unabhängige Bewertung (Kontext von 21 CFR Part 11). V5 Traceability verfügt über ein unabhängiges Bewertungsdokument, das die Lieferantenqualifizierung und die Diskussionen über CSV-Verträge unterstützen soll. Siehe: Unabhängige Bewertung gemäß 21 CFR Teil 11.

Regulatorische Grenze: Unabhängige Bewertungsdokumente unterstützen die Lieferantenqualifizierung und die Bewertung der Kontrollmechanismen. Sie ersetzen jedoch nicht die Kundenvalidierung, die Bestimmung des Verwendungszwecks oder die kundenseitigen Verfahrenskontrollen.
5) Datenschutz und Vertraulichkeit

SG Systems Global Kundendaten werden durch administrative, technische und vertragliche Maßnahmen geschützt, die auf Vertraulichkeit, Integrität und Verfügbarkeit ausgerichtet sind. Vertragliche Vertraulichkeit, Kundendatenrechte und Datenschutzbestimmungen (sofern zutreffend) sind im Rahmenvertrag und den zugehörigen Dokumenten geregelt.

  • Vertraulichkeit: Kontrollmechanismen zur Verhinderung der unbefugten Weitergabe von Kundendaten.
  • Integrität: Kontrollmechanismen zur Wahrung der Integrität der Datensätze und zur Unterstützung einer revisionssicheren Rückverfolgbarkeit.
  • Verfügbarkeit: Die für den gewählten Bereitstellungstyp geeigneten betrieblichen Kontrollen sowie die Ziele des Hosted Service (falls zutreffend) werden im Rahmen des MSA/SLA definiert.

Die verbindlichen Bestimmungen zur Vertraulichkeit und zum Umgang mit Kundendaten finden Sie in der MSA.

6) Sicherer Entwicklungslebenszyklus (SDLC) und Release-Disziplin

Die Rückverfolgbarkeit von V5 wird mithilfe kontrollierter Verfahren entwickelt und gepflegt, um eine zuverlässige und nachvollziehbare Freigabesituation für regulierte Kunden zu gewährleisten.

Die SDLC-Kontrollübersichten umfassen:

  • Einführung kontrollierter Veränderungen: Änderungen werden geplant, umgesetzt und vor der Veröffentlichung überprüft.
  • Disziplinarprüfung: Code- und Konfigurationsänderungen werden vor der Bereitstellung überprüft.
  • Umgebungstrennung: Die Entwicklungs-/Test- und Produktionsaktivitäten werden kontrolliert, um das Risiko unautorisierter Änderungen zu minimieren.
  • Release-Dokumentation: Die Versionshinweise beschreiben wesentliche Änderungen und, falls relevant, Überlegungen zur Validierung.
Regulierte Kunden: Die Verpflichtungen zur Änderungskontrolle und die Freigabeverfahren werden durch die MSA und, sofern diese einbezogen ist, durch die SQA geregelt.
7) Änderungsmanagement (Zusammenfassung der kundenorientierten Kontrollmaßnahmen)

SG Systems Global setzt einen kontrollierten Ansatz für das Änderungsmanagement ein, um eine vorhersehbare Leistungserbringung und die Einhaltung der regulierten Nutzungserwartungen zu gewährleisten.

Zusammenfassungen der Änderungsmanagement-Kontrollen umfassen:

  • Veränderungsbewertung: Änderungen werden hinsichtlich ihrer potenziellen Auswirkungen auf die Kunden bewertet, gegebenenfalls unter Berücksichtigung regulatorischer Auswirkungen.
  • Genehmigungsdisziplin: Änderungen in der Produktion bedürfen vor der Freigabe einer dokumentierten Genehmigung.
  • Einsatzsteuerung: Die Bereitstellung gehosteter Dienste wird vom Anbieter gesteuert; die Bereitstellung vor Ort wird vom Kunden gesteuert.
  • Notfalländerungen: Sicherheitsmaßnahmen können bei Bedarf zur Abwehr akuter Bedrohungen vorgenommen werden; diese Änderungen werden gemäß den Vertragsbedingungen dokumentiert und kommuniziert.

Die verbindlichen Bedingungen für die Änderungskontrolle sind in der MSA und, sofern eingebunden, SQA.

8) Schwachstellenmanagement

SG Systems Global Die Schwachstellen werden durch Identifizierung, Priorisierung, Behebung und Verifizierung behoben, wobei die Priorisierung auf der Grundlage von Schweregrad und Ausnutzbarkeit erfolgt.

Zusammenfassungen der Maßnahmen zum Schwachstellenmanagement umfassen:

  • Triage & Priorisierung: Umfang, Schweregrad, Ausnutzbarkeit und potenzielle Auswirkungen auf den Kunden bewerten.
  • Abhilfe: Wenden Sie gegebenenfalls Korrekturen/Patches an und dokumentieren Sie wesentliche Änderungen in der Release-Dokumentation.
  • Kommunikation: Die Kundenkommunikation richtet sich nach den vertraglichen und betrieblichen Vorgaben des Rahmenvertrags/der Qualitätsvereinbarung.

Um eine vermutete Sicherheitslücke oder ein Sicherheitsproblem zu melden, senden Sie eine E-Mail. support@sgsystemsglobal.com mit Betreff: Security Concern.

9) Vorfallmanagement und Reaktion auf Sicherheitsvorfälle

SG Systems Global unterhält einen Prozess für das Vorfallmanagement und die Reaktion auf Sicherheitsvorfälle, der eine schnelle Triage, Eindämmung, Untersuchung und Kundenkommunikation unterstützt, einschließlich der Berücksichtigung von Nutzungsbestimmungen, bei denen die Integrität von Datensätzen beeinträchtigt werden könnte.

Zusammenfassungen der Maßnahmen zur Vorfallsbewältigung umfassen:

  • Klassifizierung: Die Ereignisse werden anhand ihrer Schwere und ihrer potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit bewertet und klassifiziert.
  • Eskalation: Eskalationswege werden bei schwerwiegenderen Ereignissen und Bedenken mit Auswirkungen auf regulierte Bereiche angewendet.
  • Ermittlung: Die Untersuchungen werden dokumentiert, und wesentliche Ereignisse werden im Nachhinein überprüft.
  • Korrekturmaßnahmen: Korrekturmaßnahmen werden überwacht, um das Risiko eines erneuten Auftretens zu verringern.
Benachrichtigung und Berichterstattung zu gehosteten Diensten: Die verbindlichen Melde- und Berichtspflichten für Sicherheitsvorfälle (einschließlich etwaiger Fristen) sind im Rahmenvertrag für gehostete Dienste definiert. Bei On-Premise-Bereitstellungen ist der Kunde für das Vorfallmanagement seiner Infrastruktur verantwortlich; der Anbieter unterstützt softwarebezogene Probleme gemäß Rahmenvertrag/Sicherheitsqualitätsvereinbarung.

Meldekanal: support@sgsystemsglobal.comBei Verdacht auf Probleme mit der Integrität regulierter Aufzeichnungen/Daten sollten Sie Folgendes berücksichtigen: Potential GxP / data integrity impact.

10) Datensicherung, Notfallwiederherstellung und Geschäftskontinuität

Die Erwartungen an Kontinuität und Wiederherstellung hängen vom Bereitstellungstyp ab. Bei gehosteten Diensten sind die geltenden Verfügbarkeits- und Wiederherstellungsziele (sofern vorhanden) im Rahmenvertrag (MSA/SLA) und im Bestellformular definiert. Bei On-Premise-Installationen ist der Kunde für Datensicherung, Notfallwiederherstellung und Wiederherstellungstests verantwortlich, sofern nichts anderes schriftlich vereinbart wurde.

Zusammenfassungen zur Kontinuitätskontrolle umfassen:

  • Dokumentierter Wiederherstellungsansatz: dokumentierte Wiederherstellungsverfahren, die auf das gewählte Einsatzmodell abgestimmt sind.
  • Absicht der Datensicherungsintegrität: Kontrollmechanismen, die die Wiederherstellbarkeit unterstützen und das Risiko von Datenverlusten innerhalb der definierten Grenzen verringern sollen.
  • Ziel des Wiederherstellungstests: regelmäßige Wiederherstellungsvorbereitungsmaßnahmen, die der gehosteten Grenze und dem Service-Design angemessen sind.
Maßgebliche Referenz: Verfügbarkeitszusagen, Ausschlüsse und etwaige RTO/RPO-Ziele werden in der MSA (einschließlich SLA) und das entsprechende Bestellformular.
11) Drittanbieter, Unterauftragnehmer und Datenschutz

Gehostete Dienste können, wie im Bestellformular/unterzeichneten Angebot angegeben, über Drittanbieter bereitgestellt werden. Die Nutzung von Unterauftragnehmern durch den Anbieter und die Datenschutzbestimmungen (sofern zutreffend) unterliegen dem Rahmenvertrag (MSA) und etwaigen anwendbaren Nachträgen zur Datenverarbeitung (DPA).

  • Unterauftragsverarbeiter: Die Verträge basieren auf schriftlichen Vereinbarungen, die den Schutz von Kundendaten gewährleisten und die Einhaltung von Vertraulichkeitsverpflichtungen sicherstellen sollen.
  • Datenverarbeitung: Soweit gesetzlich vorgeschrieben, werden Datenschutzbestimmungen in einer durch Bezugnahme einbezogenen und auf Anfrage zur Verfügung gestellten Datenschutzvereinbarung geregelt.
  • Systemgrenze: Die Verantwortlichkeiten variieren je nach Bereitstellungsart (Hosted vs. On-Premise) und werden vertraglich festgelegt.
12) Lieferantenqualifizierung, Auditunterstützung und Nachweise

SG Systems Global Unterstützt die Kundenprüfung und Lieferantenqualifizierung durch Dokumentation und strukturierte Antworten, die auf die Systemgrenzen und den Bereitstellungstyp abgestimmt sind. Bei regulierten/GxP-Projekten definiert die SQA (sofern integriert) den qualitätsorientierten Rahmen, einschließlich der Konstrukte zur Unterstützung von Audits und der Verantwortlichkeiten für die regulierte Nutzung.

  • Unterstützung bei der Qualifizierung: Antworten und Dokumente werden bereitgestellt, um die Arbeitsabläufe zur Qualifizierung von Kundenlieferanten zu unterstützen.
  • Zusammenarbeit bei der Prüfung: Die Bereitstellung erfolgt vorbehaltlich der Vertraulichkeit und einer angemessenen Terminplanung gemäß MSA/SQA.
  • Unabhängige Bewertung: Das vom Gutachter erstellte Artefakt unterstützt die Diskussionen in Teil 11 und die Kontrollbewertung.

Referenzen: (Die Referenzliste bleibt in der wissenschaftlichen Zitierweise erhalten) SQA | MSA | Unabhängige Bewertung

13) Sicherheitsdokumentation anfordern

Zusätzliche Sicherheits- und Compliance-Dokumente können Kunden und qualifizierten Interessenten zur Unterstützung der Due-Diligence-Prüfung und der Lieferantenqualifizierung zur Verfügung gestellt werden, vorbehaltlich der Vertraulichkeitsverpflichtungen (MSA) und gegebenenfalls der NDA-Bestimmungen.

Beispiele für auf Anfrage erhältliche Dokumente (sofern zutreffend):

  • Zusammenfassungen der Änderungsmanagement- und Release-Dokumentation
  • Zusammenfassung der Vorfallsreaktion gemäß den vertraglichen Verpflichtungen
  • Zusammenfassung der Backup-/DR-Kontinuität, abgestimmt auf die Bereitstellungsgrenze
  • Dokumentation der unabhängigen Bewertung (21 CFR Teil 11)
  • Liste der Unterauftragnehmer und Vorlage der Datenverarbeitungsvereinbarung (sofern zutreffend)
  • Strukturierte Fragebogenantworten (im SIG/CAIQ-Stil) auf Anfrage
Request: E-Mail support@sgsystemsglobal.com und geben Sie den Firmennamen, die Art der Bereitstellung (gehostet oder lokal), den Zeitplan und Ihre Checkliste an.
14) Dokumentenkontrolle
DokumentAAASicherheit und Vertrauen (Zusammenfassung für Kunden)
Version2.16
Juristische PersonSG Systems, LLC
Adresse6944 Meadowbriar Lane, Dallas, TX 75230
Genehmigt durchStuart Hunt; Simon Hartley
Kontaktsupport@sgsystemsglobal.com
Referenzset:

Diese Seite dient nur zu Informationszwecken und ändert keine Vertragsbedingungen.