Este Anexo de Calidad del Proveedor (el “SQA") Se ingresa por y entre Sistemas SG, LLC, una compañía de responsabilidad limitada organizada y existente bajo las leyes del Estado de Texas, con su oficina principal ubicada en 6944 Meadowbriar Lane, Dallas, TX 75230 (“Proveedor”), y la persona o entidad que haya celebrado el Acuerdo Marco de Servicios del Proveedor (“El cliente").

Propósito. Este SQA define el marco de calidad operativa y las responsabilidades que respaldan el uso regulado por parte del Cliente del software y los servicios del Proveedor, incluidas las expectativas en torno al control de cambios, el manejo de incidentes/problemas de calidad, el soporte de auditoría, los servicios de soporte de validación (cuando se adquieran) y las responsabilidades de implementación para los Servicios alojados frente a las Instalaciones locales.

¿Para quién es esto? Este SQA suele ser solicitado por clientes que operan bajo las normas GMP/GxP (por ejemplo, fabricación farmacéutica y entornos de cadena de suministro regulados). Los clientes no regulados no suelen requerir un anexo de calidad para proveedores.

Incorporación. Este SQA está destinado a ser incorporado y regido por el Acuerdo Marco de Servicios del Proveedor (el “Contratos regionales”) ubicado en https://sgsystemsglobal.com/master-services-agreement/Los términos en mayúscula no definidos en este SQA tienen los significados que se les dan en el MSA.

Sin duplicación. Cuando los temas ya están regidos por el MSA (por ejemplo, confidencialidad, limitación de responsabilidad, tarifas y obligaciones generales de seguridad), este SQA dirigirá al lector a las secciones del MSA aplicables en lugar de reformularlas.

1.1 Relación con el MSA. Este SQA complementa el MSA para cuentas reguladas/GxP y tiene como objetivo respaldar la calificación de proveedores y las expectativas de auditoría. Los términos comerciales, las licencias, la confidencialidad, la privacidad, la propiedad intelectual, las exenciones de garantía, las indemnizaciones, las limitaciones de responsabilidad y la resolución de disputas se rigen por el MSA (véanse, por ejemplo, los §§12-18 del MSA).

1.2 Cuándo se aplica este SQA. Este SQA se aplica únicamente si se hace referencia a él en un formulario de pedido firmado/propuesta firmada o en una adenda escrita ejecutada por ambas partes.

1.3 Orden de precedencia. En caso de conflicto se aplicará el siguiente orden:

• (1) Formulario de pedido / Propuesta firmada (para alcance, entregables, elecciones de implementación y selecciones comerciales como nivel de SLA);
• (2) Este SQA (para obligaciones operativas de calidad reguladas y estructuras de apoyo a cuentas reguladas); y
• (3) El MSA (para todos los demás términos, incluido el marco legal/comercial).

1.4 No ampliación de responsabilidad. Nada de lo dispuesto en este SQA amplía la responsabilidad del Proveedor más allá de lo establecido en la limitación de responsabilidad y exenciones de responsabilidad del MSA (consulte los §§15-17 del MSA).

2.1 Dentro del alcance. Este SQA se aplica al software y los servicios del proveedor adquiridos por el cliente bajo el MSA y el formulario de pedido/propuesta firmada correspondiente, incluidos (según corresponda) los servicios alojados, el soporte de instalación en las instalaciones y los servicios de soporte de cuentas reguladas.

2.2 Fuera de alcance. El Cliente sigue siendo responsable de su sistema de calidad, sus procedimientos operativos estándar (SOP), sus definiciones de uso previsto, su diseño de procesos, su capacitación de usuarios y la ejecución/aprobación de la validación dentro de su entorno (consulte MSA §7.2 y §10).

2.3 Límite entre hospedado y local. Las responsabilidades de implementación dependen de la implementación seleccionada en el formulario de pedido/propuesta firmada correspondiente:

• Servicios alojados. El Proveedor es responsable de operar los Servicios Alojados de acuerdo con el SLA seleccionado y los requisitos aplicables del MSA (véanse los §4.2, §9 y §11 del MSA). El Cliente es responsable de los controles de sus procesos regulados, las decisiones de gobernanza de acceso y la validación dentro de su SGC.
• Instalación local. El cliente es responsable de la infraestructura, la seguridad, las copias de seguridad y la recuperación ante desastres del entorno local, a menos que se indique lo contrario por escrito (véanse los apartados 4.3 y 9.4 del MSA). El proveedor proporciona soporte y documentación centrados en el software, de conformidad con el MSA y los servicios adquiridos.

3.1 “Cuenta Regulada” significa un compromiso del Cliente en el que el Cliente requiere artefactos de calificación de proveedores y/o acuerdos formales con proveedores consistentes con las expectativas de GxP.

3.2 “Problema de calidad” significa un problema sospechado o confirmado que puede afectar el comportamiento relevante de GxP, la integridad de los datos, la trazabilidad, la auditabilidad, la disponibilidad de operaciones reguladas o los controles documentados del sistema.

3.3 “Evento de Calidad” significa un problema de calidad que se confirma o se escala para una investigación formal y una remediación documentada, incluidas acciones correctivas y/o preventivas cuando corresponda.

3.4 “Servicios de Validación” significa servicios profesionales pagos que respaldan actividades de validación del Cliente tales como asistencia IQ/OQ y/o facilitación UAT, cuando se compran explícitamente y se especifican en un Formulario de pedido/Propuesta firmada (ver MSA §3 y §7.4).

3.5 “Nivel de SLA” significa la selección del nivel de servicio (si la hay) especificada en el Formulario de pedido/Propuesta firmada correspondiente que define los objetivos de disponibilidad y recuperación para los Servicios alojados (consulte MSA §11).

3.6 “Entorno alojado” significa el entorno de alojamiento en la nube seleccionado para los Servicios alojados, como AWS, Microsoft Azure u otro proveedor acordado mutuamente, como se indica en el Formulario de pedido/Propuesta firmada correspondiente.

4.1 Canal principal para sospechas de problemas de calidad. El cliente deberá informar sobre los problemas de calidad sospechosos a través del soporte del proveedor a: soporte@sgsystemsglobal.com.

4.2 Ticketing y trazabilidad (“bucle cerrado”). El proceso operativo estándar del proveedor para la recepción y el cierre de problemas es:

• Admisión: El correo electrónico del cliente al soporte se registra como un caso en el sistema de soporte al cliente del proveedor (Salesforce) y se le asigna un identificador de caso.
• Seguimiento de ingeniería: Cuando se requiere trabajo de ingeniería, Provider crea y vincula un elemento de trabajo correspondiente en el sistema de seguimiento de desarrollo de Provider (Jira).
• Resolución y cierre: El proveedor registra notas de resolución, referencias de versión (si corresponde) y estado de cierre en el caso de soporte, cerrando el ciclo para la auditabilidad.

4.3 Objetivos de respuesta. Para los Servicios Alojados, los objetivos de respuesta y resolución se rigen por el Acuerdo de Nivel de Servicio (ANS) del MSA (véase el §11.4 del ANS). Para las Instalaciones Locales, el Proveedor hará todos los esfuerzos comercialmente razonables para responder de acuerdo con el modelo de soporte establecido en el Formulario de Pedido/Propuesta Firmada y el ANS correspondientes (véase el §11.2 del ANS).

4.4 Escalada de clientes. Si se sospecha que un problema de calidad afecta los registros regulados, los registros de auditoría o el comportamiento del control del sistema, el Cliente debe indicar “Impacto potencial en GxP/integridad de datos” en la línea de asunto para facilitar una clasificación adecuada.

5.1 Principio de responsabilidad compartida. El cumplimiento normativo es una responsabilidad compartida. El proveedor respalda el uso regulado mediante controles de software, documentación y servicios de soporte de validación (en caso de contratación). El cliente es responsable del uso previsto, las decisiones de configuración, los controles de procedimiento, la capacitación y la ejecución/aprobación de la validación dentro de su sistema de calidad (véanse los apartados 7.2 y 10 del MSA).

5.2 División práctica de la responsabilidad.

5.3 Confidencialidad y derechos sobre los datos. La propiedad, la confidencialidad y el procesamiento de la privacidad de los datos del cliente se rigen por el MSA (consulte el §12 del MSA, incluidos los §12.3–§12.5, y el DPA si corresponde).

6.1 Soporte de línea base (incluido). Durante una suscripción activa, el Proveedor proporciona asistencia razonable para preguntas sobre el comportamiento y la configuración del sistema, y ​​proporciona documentación estándar y notas de la versión como parte de la prestación normal del servicio (consulte MSA §7.4 y §2.23).

6.2 Servicios de validación empresariales/pagados. Para las cuentas reguladas, el proveedor ofrece servicios de validación pagos que pueden incluir:

• Soporte IQ/OQ: paquetes de plantillas y asistencia remota razonable alineados con la ejecución del Cliente en el entorno del Cliente;
• Apoyo a la facilitación de UAT: apoyo a la planificación, coordinación del ciclo de pruebas, coordinación de triaje de problemas/repetición de pruebas (según el alcance);
• Soporte regulado para puesta en marcha: Asistencia de transición estructurada alineada con el enfoque de validación/puesta en marcha planificado por el Cliente.

6.3 Cómo se adquieren los Servicios de Validación. Los servicios de validación son no incluido Por defecto. Normalmente se ofrecen para Empresa compromisos y tienen un precio y alcance dentro del Formulario de pedido / Propuesta firmada correspondiente como servicios profesionales pagos adicionales (consulte MSA §3 y §3.6).

6.4 El cliente conserva la responsabilidad. El Cliente sigue siendo responsable de la estrategia de validación final, la ejecución, la revisión, la aprobación y las decisiones de revisión periódica continua dentro del sistema de calidad del Cliente (consulte MSA §7.2 y §10.1).

7.1 Evaluación independiente. El proveedor ha hecho que su sistema sea evaluado de forma independiente por Dr. Bob McDowall para la alineación con los controles técnicos comúnmente asociados con 21 CFR Parte 11 esperanzas de heredar.

7.2 Acceso a la documentación de evaluación (se requiere NDA). A solicitud del Cliente, el Proveedor puede poner a disposición la documentación de evaluación para fines de calificación interna de proveedores y apoyo de auditoría del Cliente, siempre que:

• El Cliente ha ejecutado el acuerdo de confidencialidad (NDA) del Proveedor (o las Partes tienen un NDA vigente aceptable para el Proveedor);
• El cliente tiene una suscripción activa al día; y
• El cliente acepta que la documentación es información confidencial y se manejará según los términos de confidencialidad de MSA (consulte MSA §12).

7.3 Limitación importante. La existencia de una evaluación independiente respalda las actividades de calificación de proveedores del Cliente, pero no reemplaza las responsabilidades de validación del Cliente ni la determinación del uso previsto (consulte MSA §7.2 y §10.1).

8.1 Actualizaciones controladas. El proveedor gestiona las actualizaciones de software con un enfoque de control de cambios adecuado para entornos regulados. Para conocer los términos de control de cambios autorizados, consulte la sección Control de Cambios y Actualizaciones de MSA (véase MSA §8).

8.2 Implementación de servicios alojados. Para los servicios alojados, el proveedor controla el tiempo de implementación y proporciona un aviso anticipado para actualizaciones importantes de acuerdo con el MSA (consulte MSA §8.1), excepto los parches de seguridad de emergencia (consulte MSA §8.4).

8.3 Implementación local. En instalaciones locales, el Cliente controla cuándo se implementan las actualizaciones en sus entornos. El Proveedor proporciona notas de la versión y soporte razonable para facilitar la evaluación y las pruebas del Cliente (véanse los artículos 8.2 y 8.3 del MSA).

8.4 Documentación de lanzamiento. Las notas de la versión del proveedor identificarán cambios materiales y, cuando corresponda, incluirán consideraciones de validación para cambios que puedan afectar los registros de auditoría, los controles de acceso o los flujos de trabajo regulados (consulte MSA §8.3 y §7.4).

9.1 Admisión y triaje. Los problemas de calidad sospechosos se informan a través de soporte@sgsystemsglobal.comEl proveedor realizará la clasificación, solicitará información aclaratoria según sea necesario y clasificará la gravedad utilizando el enfoque de soporte alineado con el SLA/modelo de soporte (consulte MSA §11.4 para Servicios alojados).

9.2 Investigación y documentación. Para los eventos de calidad confirmados, el proveedor documentará las notas de investigación, los factores contribuyentes y el estado de la remediación dentro del caso de Salesforce vinculado y el elemento de trabajo de Jira (según corresponda).

9.3 Acciones correctivas y preventivas. Cuando sea razonable y apropiado, el Proveedor implementará acciones correctivas (correcciones, parches o cambios de proceso) y preventivas para reducir el riesgo de recurrencia. La profundidad de la investigación y la documentación puede variar según la gravedad y el impacto.

9.4 Controles del lado del cliente. El Cliente es responsable de sus propias actividades de gestión de desviaciones, control de cambios y evaluación de impacto dentro de su SGC. El Proveedor respaldará razonablemente las solicitudes del Cliente de información necesaria para su evaluación, con sujeción a la confidencialidad y al Acuerdo de Seguridad Mínima (véanse los apartados 7.2, 7.5 y 12 del Acuerdo de Seguridad Mínima).

10.1 Selección del entorno alojado. Para los servicios alojados, el cliente puede seleccionar el entorno alojado (por ejemplo, AWS, Microsoft Azure u otro proveedor acordado mutuamente) según se especifica en el formulario de pedido/propuesta firmada correspondiente.

10.2 Los objetivos de recuperación y DR dependen del nivel de SLA. Para los servicios alojados, la recuperación ante desastres y los objetivos de recuperación (incluidos RTO/RPO cuando corresponda) se rigen por las Nivel de SLA seleccionado en el formulario de pedido/propuesta firmada y los términos del SLA de MSA (consulte MSA §11.5 y §11.9).

10.3 Seguridad y respuesta a incidentes. Las obligaciones de seguridad del proveedor y los compromisos de respuesta ante incidentes de seguridad para los Servicios Alojados se rigen por el MSA (véase el §9 del MSA, incluido el §9.2). En el caso de las instalaciones locales, el Cliente es responsable de los controles de seguridad y protección de la infraestructura (véase el §9.4 del MSA).

10.4 Mantenimiento programado y exclusiones. La disponibilidad de los servicios alojados y las exclusiones del SLA se describen en el MSA (consulte MSA §11.10).

11.1 Principio de apoyo a la auditoría. El proveedor cooperará razonablemente con las auditorías del cliente relacionadas con los controles de software y, para los servicios alojados, los registros de seguridad/prestación de servicios pertinentes, sujeto a la confidencialidad y una programación razonable (consulte MSA §7.5 y §12).

11.2 Enfoque de auditoría (eficiente por defecto). Para reducir las interrupciones y proteger la información de seguridad confidencial, el Proveedor generalmente admite la calificación de proveedores mediante:

• Conjunto de documentación estándar del proveedor (por ejemplo, notas de la versión y resúmenes de control);
• Respuestas al cuestionario; y
• Discusiones centradas en los límites del sistema y los controles aplicables.

11.3 Apoyo a la inspección. Si el Cliente notifica al Proveedor que está siendo sometido a una inspección regulatoria que puede involucrar el software/servicios del Proveedor, el Proveedor realizará esfuerzos comercialmente razonables para respaldar las solicitudes de información relacionadas con los componentes controlados por el Proveedor, sujeto a la confidencialidad y al MSA.

11.4 Tarifas por solicitudes extraordinarias. Si el Cliente solicita una participación extensa en una auditoría, documentación personalizada, actividades en el sitio o trabajo que vaya más allá de la cooperación razonable, dicho trabajo puede requerir tarifas adicionales y un acuerdo escrito (de acuerdo con el modelo de servicios profesionales en MSA §3 y §7.4).

12.1 Derechos y confidencialidad de los datos. La propiedad de los Datos del Cliente, la confidencialidad y la asistencia estándar para la exportación se rigen por el MSA (consulte MSA §12.3–§12.5) y cualquier DPA aplicable (consulte MSA §12.4).

12.2 Copia de base de datos SQL posterior a la terminación (cuentas reguladas). Para las Cuentas Reguladas cubiertas por este Acuerdo de Calidad de Servicio (SQA), tras la rescisión o vencimiento de la suscripción correspondiente por cualquier motivo, el Cliente podrá solicitar una copia de la base de datos SQL asociada a su entorno de producción. El Proveedor pondrá dicha copia a disposición del Cliente. dentro de treinta (30) días de terminación, siempre que:

• El cliente presenta la solicitud por escrito a soporte@sgsystemsglobal.com (u otro canal de soporte designado);
• Se hayan pagado todos los importes adeudados no disputados; y
• La solicitud es técnicamente factible dentro de los límites del sistema y no requiere que el Proveedor revele datos de otros clientes ni información confidencial del Proveedor.

12.3 Formato y entrega. El Proveedor entregará la copia de la base de datos SQL mediante un método comercialmente razonable y adecuado para una transferencia segura. Si el Cliente requiere un formato de exportación especializado, una transformación o extracciones de datos adicionales a la copia estándar de la base de datos, dicho trabajo podría requerir tarifas adicionales y un acuerdo por escrito.

12.4 Ventana de recuperación alojada. Cualquier período adicional de recuperación de datos posterior a la rescisión y los plazos de eliminación de los Servicios Alojados se rigen por el MSA (véase el MSA §5.4). Esta sección del SQA proporciona un entregable específico para cada cuenta regulada (copia de la base de datos SQL) y no amplía las obligaciones de soporte posterior a la rescisión.

13.1 Proveedores de alojamiento. Los servicios alojados se prestan mediante un proveedor de alojamiento en la nube de terceros en el entorno alojado seleccionado, como se especifica en el formulario de pedido/propuesta firmada.

13.2 Subencargados del tratamiento y terceros. El uso de subprocesadores y proveedores de servicios externos por parte del proveedor, incluidas las obligaciones de protección de datos, se rige por la MSA y (cuando corresponda) la DPA (consulte MSA §12.4).

13.3 Flujo descendente. El proveedor realizará esfuerzos comercialmente razonables para garantizar que las obligaciones relevantes se transmitan a los terceros correspondientes utilizados para brindar los servicios alojados, de conformidad con las prácticas de gestión de proveedores estándar del proveedor.

Término 14.1. Este SQA entra en vigencia cuando se incorpora por referencia en un Formulario de pedido/Propuesta firmada (o adenda ejecutada) y permanece vigente durante el plazo de la(s) suscripción(es) correspondiente(s), a menos que se rescinda antes de conformidad con el MSA.

14.2 Enmiendas. Cualquier cambio a este SQA debe realizarse por escrito y estar firmado por ambas partes, de conformidad con los requisitos de modificación del MSA (consulte MSA §18.9).

14.2.1 Versión del documento. Este documento HTML SQA es la versión 1.10 del documento del proveedor, vigente a partir del 20 de abril de 2026. El bloque de versiones y el registro de cambios incluidos en este documento se incorporan para fines de control y referencia del documento.

14.3 Referencias cruzadas útiles de MSA.

• Responsabilidad regulatoria y compartida: MSA §7 y §10
• Control de cambios y actualizaciones: MSA §8
• Seguridad y respuesta a incidentes: MSA §9
• SLA (Servicios alojados): MSA §11
• Confidencialidad y datos del cliente: MSA §12
• Término/terminación y recuperación de datos alojados: MSA §5
• Servicios profesionales / incorporación: MSA §3

Contacto con 14.4. Para problemas de calidad, sospechas de integridad de datos o solicitudes de cuentas reguladas según este SQA, comuníquese con: soporte@sgsystemsglobal.com.