Seguridad y confianza

Alcance. Esta página resume SG Systems GlobalLa postura de seguridad y confianza de para la trazabilidad V5 y los servicios relacionados, incluidos Servicios alojados y Instalaciones locales según lo elegido en un formulario de pedido/propuesta firmada correspondiente.

Jerarquía de documentos (orden de precedencia). En caso de conflicto los documentos de control son:

• (1) Formulario de pedido / Propuesta firmada (alcance, elección de implementación, selección de niveles, fechas de vigencia);
• (2) Anexo de calidad del proveedor (SQA) (construcciones operativas reguladas/GxP), solo si se incorporan por referencia para el compromiso; y
• (3) Acuerdo Marco de Servicios (MSA) (marco legal/comercial, SLA, obligaciones de seguridad, condiciones de datos del cliente).

Alineación de contratos. Esta página es informativa y no modifica los términos contractuales. Las métricas de nivel de servicio, los plazos de notificación y las obligaciones vinculantes se definen en el Acuerdo de Nivel de Servicio (MSA)/SLA y el Formulario de Pedido aplicable (y el Acuerdo de Calidad de Servicio (SQA), si se incluye).

Operaciones remotas primero. SG Systems Global Opera como una organización que prioriza el trabajo remoto. Los controles priorizan la identidad, la gestión de acceso, el uso seguro de los endpoints y la administración controlada de los sistemas.

Contacto de seguridad: soporte@sgsystemsglobal.com

SG Systems Global Mantiene un programa de seguridad de la información basado en riesgos destinado a proteger la confidencialidad, integridad y disponibilidad de los datos y servicios de los clientes, y a respaldar la operación en entornos de fabricación regulados.

Los elementos del programa incluyen:

• Rendición de cuentas y supervisión: propiedad de seguridad definida para la efectividad del control, escaladas y acciones correctivas.
• Gestión de riesgos: identificación y evaluación de riesgos, selección de controles y seguimiento de actividades de remediación.
• Control de políticas y procedimientos: prácticas documentadas para actividades relevantes para la seguridad (acceso, control de cambios, manejo de incidentes, continuidad).
• Revisión periódica: Las prácticas de seguridad se revisan y actualizan a medida que evolucionan los sistemas, las amenazas y las expectativas de los clientes.

Las responsabilidades dependen de la implementación seleccionada en su formulario de pedido o propuesta firmada. V5 Traceability se puede ofrecer como servicios alojados o como instalación local.

Referencias: Contratos regionales, SQA, Requisitos del sistema.

El control de acceso está diseñado para facilitar el mínimo privilegio, la rendición de cuentas y una administración controlada. En entornos regulados, el control de acceso es una combinación de... técnico y procesal disciplina.

• Acceso basado en roles: Los permisos se asignan por rol para alinear las funciones con las responsabilidades laborales.
• Responsabilidad única: Los usuarios deben ser identificados de forma única y debe prohibirse el uso de credenciales compartidas.
• Gobernanza de acceso: Los clientes controlan el aprovisionamiento/desaprovisionamiento, el diseño de roles y las revisiones periódicas de acceso dentro de sus SOP.
• Acceso privilegiado: El acceso administrativo está restringido al personal autorizado para necesidades operativas.

V5 Traceability admite el mantenimiento de registros orientado a la trazabilidad y está diseñado para respaldar los comportamientos de control comúnmente esperados para los registros electrónicos regulados, incluidas las acciones atribuibles, el comportamiento del registro de auditoría, los controles de integridad de registros y el comportamiento de la firma electrónica cuando corresponda y esté configurado.

Evaluación independiente (contexto 21 CFR Parte 11). La Trazabilidad V5 cuenta con un sistema de evaluación independiente diseñado para respaldar la calificación de proveedores y las discusiones sobre CSV. Ver: Evaluación independiente según la Parte 11 del Título 21 del CFR.

SG Systems Global Protege la información de sus clientes mediante controles administrativos, técnicos y contractuales, alineados con los objetivos de confidencialidad, integridad y disponibilidad. La confidencialidad contractual, los derechos de los datos de los clientes y las condiciones de procesamiento de la privacidad (cuando corresponda) se rigen por el MSA y los documentos relacionados.

• Confidencialidad: controles destinados a evitar la divulgación no autorizada de información del cliente.
• Integridad: controles destinados a preservar la integridad de los registros y respaldar la trazabilidad lista para auditoría.
• Disponibilidad: controles operativos apropiados para el tipo de implementación elegido; los objetivos del servicio alojado (si corresponde) se definen en el MSA/SLA.

Para conocer los términos vinculantes de confidencialidad y de datos de clientes, consulte la Contratos regionales.

La trazabilidad V5 se desarrolla y mantiene utilizando prácticas controladas destinadas a respaldar una postura de liberación confiable y auditable para los clientes regulados.

Los resúmenes de control SDLC incluyen:

• Introducción de cambios controlados: Los cambios se planifican, implementan y revisan antes del lanzamiento.
• Revisar la disciplina: Los cambios de código y configuración están sujetos a revisión antes de la implementación.
• Separación de ambientes: Las actividades de desarrollo/prueba y producción están controladas para reducir el riesgo de cambios no autorizados.
• Documentación de lanzamiento: Las notas de la versión describen cambios materiales y, cuando es relevante, consideraciones de validación.

SG Systems Global aplica un enfoque de gestión de cambios controlados para respaldar la prestación de servicios predecibles y las expectativas de uso regulado.

Los resúmenes de control de gestión de cambios incluyen:

• Evaluación del cambio: Se evalúan los cambios en función del impacto potencial en el cliente, incluidas las consideraciones de impacto regulado cuando corresponda.
• Disciplina de aprobación: Los cambios de producción están sujetos a autorización documentada antes de su lanzamiento.
• Control de implementación: La implementación de los servicios alojados está controlada por el proveedor; las implementaciones locales están controladas por el cliente.
• Cambios de emergencia: Se pueden realizar cambios de seguridad de emergencia cuando sea necesario para abordar amenazas activas; dichos cambios se documentan y comunican de acuerdo con los términos contractuales.

Los términos vinculantes de control de cambios se definen en el Contratos regionales y, cuando se incorpore, SQA.

SG Systems Global Gestiona vulnerabilidades mediante identificación, clasificación, remediación y verificación, con priorización basada en gravedad y explotabilidad.

Los resúmenes de control de gestión de vulnerabilidades incluyen:

• Triaje y priorización: evaluar el alcance, la gravedad, la explotabilidad y el impacto potencial en el cliente.
• Remediación: Aplicar correcciones/parches y documentar cambios materiales en la documentación de la versión cuando corresponda.
• Comunicación: Las comunicaciones con los clientes siguen las construcciones contractuales y operativas del MSA/SQA.

Para informar sobre una sospecha de vulnerabilidad o un problema de seguridad, envíe un correo electrónico a soporte@sgsystemsglobal.com con asunto: Security Concern.

SG Systems Global mantiene un proceso de gestión de incidentes y respuesta a incidentes de seguridad destinado a respaldar la clasificación rápida, la contención, la investigación y las comunicaciones con los clientes, incluidas las consideraciones de uso regulado donde la integridad de los registros puede verse afectada.

Los resúmenes de control de gestión de incidentes incluyen:

• Clasificación: Los eventos se evalúan y clasifican según su gravedad y el impacto potencial en la confidencialidad, la integridad y la disponibilidad.
• Escalada: Las vías de escalada se aplican para eventos de mayor gravedad y preocupaciones de impacto regulado.
• Investigación: Las investigaciones se documentan y los eventos materiales están sujetos a revisión posterior al incidente.
• Acciones correctivas: Se realiza un seguimiento de las acciones correctivas para reducir el riesgo de recurrencia.

Canal de denuncia: soporte@sgsystemsglobal.comEn caso de sospecha de problemas de integridad de registros/datos regulados, incluya: Potential GxP / data integrity impact.

Las expectativas de continuidad y recuperación dependen del tipo de implementación. Para los Servicios Hospedados, los objetivos de disponibilidad y recuperación aplicables (si los hubiera) se definen en el MSA/SLA y el Formulario de Pedido. Para las Instalaciones Locales, el Cliente es responsable de las copias de seguridad, la recuperación ante desastres y las pruebas de recuperación, salvo acuerdo escrito en contrario.

Los resúmenes de control de continuidad incluyen:

• Enfoque de recuperación documentado: procedimientos de recuperación documentados alineados con el modelo de implementación elegido.
• Intención de integridad de la copia de seguridad: controles destinados a respaldar la recuperabilidad y reducir el riesgo de pérdida de datos dentro del límite definido.
• Intención de prueba de recuperación: actividades periódicas de preparación para la recuperación apropiadas para el límite alojado y el diseño del servicio.

Los Servicios Alojados pueden prestarse a través de proveedores externos, según lo especificado en el Formulario de Pedido/Propuesta Firmada. El uso de subencargados por parte del proveedor y las condiciones de procesamiento de datos de privacidad (cuando corresponda) se rigen por el Acuerdo de Servicios de Maestría (MSA) y cualquier Anexo de Procesamiento de Datos (APD) aplicable.

• Subprocesadores: comprometidos con acuerdos escritos destinados a proteger los datos de los clientes y cumplir con las obligaciones de confidencialidad.
• Procesamiento de datos: Cuando lo exija la ley, los términos de privacidad se abordan a través de un DPA incorporado por referencia y se pone a disposición a pedido.
• Límite del sistema: Las responsabilidades varían según la implementación alojada o local y se definen contractualmente.

SG Systems Global Apoya la debida diligencia del cliente y la calificación de proveedores mediante documentación y respuestas estructuradas, alineadas con los límites del sistema y el tipo de implementación. Para compromisos regulados/GxP, el SQA (cuando se incorpora) define el marco de calidad-operativo, incluyendo los constructos de apoyo a la auditoría y las responsabilidades de uso regulado.

• Apoyo a la cualificación: Se proporcionan respuestas y artefactos para respaldar los flujos de trabajo de calificación de clientes y proveedores.
• Cooperación en materia de auditoría: proporcionado sujeto a confidencialidad y programación razonable según lo definido en el MSA/SQA.
• Evaluación independiente: El artefacto creado por el evaluador respalda las discusiones de la Parte 11 y la evaluación de control.

Referencias: SQA | Contratos regionales | Evaluación independiente

Se puede proporcionar documentación adicional de seguridad y cumplimiento a los clientes y prospectos calificados para respaldar la debida diligencia y la calificación de proveedores, sujeto a las obligaciones de confidencialidad (MSA) y, cuando corresponda, a los términos del NDA.

Ejemplos de documentación disponible a solicitud (cuando corresponda):

• Resúmenes de documentación de lanzamiento y gestión de cambios
• Resumen de respuesta a incidentes alineado con las obligaciones contractuales
• Resumen de continuidad de respaldo/DR alineado con el límite de implementación
• Documentación de evaluación independiente (21 CFR Parte 11)
• Lista de subencargados del tratamiento y plantilla de DPA (cuando corresponda)
• Respuestas a cuestionarios estructurados (estilo SIG/CAIQ) cuando se soliciten

Esta página se proporciona con fines informativos y no modifica los términos contractuales.