Turvallisuus ja luottamus

Hallinto, valvonta ja tarkastusvalmius

Security and Trust | S.G. Systems, LLC

Versio 2.16

Voimassa 20. huhtikuuta 2026 alkaen

Turvallisuus ja luottamus — Soveltamisala, sovellettavuus ja asiakirjahierarkia Asiakkaalle suunnattu V5-jäljitettävyyden tietoturva- ja luotettavuusyhteenveto, jonka tarkoituksena on tukea toimittajien kelpuutusta, yrityksen riskien arviointia ja säännellyn käytön keskusteluja.

Laajuus. Tämä sivu tiivistää SG Systems Globaln tietoturva- ja luotettavuusasema V5-jäljitettävyydelle ja siihen liittyville palveluille, mukaan lukien Isännöidyt palvelut ja Paikalliset asennukset kuten soveltuvassa tilauslomakkeessa / allekirjoitetussa ehdotuksessa on valittu.

Asiakirjahierarkia (tärkeysjärjestys). Jos ristiriitaa on, ohjaavat asiakirjat ovat:

  • (1) Tilauslomake / Allekirjoitettu tarjous (laajuus, käyttöönoton valinta, tasovalinnat, voimaantulopäivät);
  • (2) Toimittajan laatua koskeva liite (SQA) (säännellyt/GxP-toiminnalliset rakenteet), vain jos ne sisällytetään toimeksiantoon viittauksella, ja
  • (3) Pääpalvelusopimus (MSA) (oikeudellinen/kaupallinen viitekehys, palvelutasosopimus, tietoturvavelvoitteet, asiakastietojen ehdot).

Sopimusten yhdenmukaistaminen. Tämä sivu on tiedottava eikä muuta sopimusehtoja. Palvelutasomittarit, ilmoitusajat ja sitovat velvoitteet on määritelty MSA/SLA-sopimuksessa ja sovellettavassa tilauslomakkeessa (ja palvelulaatusopimuksessa, jos se on sisällytetty).

Etätyö ensisijaisesti. SG Systems Global toimii etätyöhön keskittyvänä organisaationa. Kontrolleissa korostuvat identiteetin ja pääsynhallinta, päätepisteiden turvallinen käyttö ja järjestelmien hallittu hallinta.

Viitteet: Pääpalvelusopimus (MSA, sisältää SLA:n) | Toimittajan laatua koskeva liite (SQA) | V5-järjestelmävaatimukset | Perehdytys ja käyttöönotto | Riippumaton 21 CFR Part 11 -arviointi

Turvallisuusyhteyshenkilö: support@sgsystemsglobal.com

1) Turvallisuusohjelman hallinto

SG Systems Global ylläpitää riskiperusteista tietoturvaohjelmaa, jonka tarkoituksena on suojata asiakastietojen ja -palveluiden luottamuksellisuutta, eheyttä ja saatavuutta sekä tukea toimintaa säännellyissä tuotantoympäristöissä.

Ohjelman elementtejä ovat:

  • Vastuullisuus ja valvonta: määritellyt tietoturvavastuut valvonnan tehokkuuden, eskalointien ja korjaavien toimenpiteiden osalta.
  • Riskienhallinta: riskien tunnistaminen ja arviointi, kontrollien valinta ja korjaavien toimien seuranta.
  • Politiikan ja menettelytapojen hallinta: dokumentoidut käytännöt turvallisuuteen liittyville toimille (käyttöoikeudet, muutostenhallinta, häiriöiden käsittely, jatkuvuus).
  • Säännöllinen tarkastelu: Tietoturvakäytäntöjä tarkastellaan ja päivitetään järjestelmien, uhkien ja asiakkaiden odotusten kehittyessä.
Valvotut asiakkaat: Toimittajien kelpoisuusvaatimukset ja laatuun liittyvät operatiiviset näkökohdat käsitellään palvelutason laadunvarmistuksessa (SQA), kun se sisällytetään toimeksiantoon.
2) Käyttöönoton raja ja jaettu vastuu (isännöity vs. paikallinen)

Vastuut riippuvat tilauslomakkeessasi / allekirjoitetussa tarjouksessasi valitusta käyttöönotosta. V5-jäljitettävyys voidaan toimittaa isännöityinä palveluina tai paikallisena asennuksena.

Valvonta -alueIsännöidyt palvelut (palveluntarjoajan painopiste)Paikallinen asennus (asiakaslähtöisyys)
Infrastruktuurin turvallisuusYlläpitää isännöityä rajaa MSA/SLA:n ja sovellettavan tilauslomakkeen mukaisesti.Vastaa palvelimista, verkon tietoturvasta, korjauspäivityksistä, varmuuskopioista/DR:stä ja tukevista infrastruktuurin hallintajärjestelmistä.
Saatavuus ja palautuminenSaatavuus- ja palautumistavoitteet (jos sovellettavissa) on määritelty MSA/SLA-sopimuksessa ja tilauslomakkeessa.Vastaa käyttöajasta, palautumistavoitteista ja palautumistestauksesta, ellei kirjallisesti toisin sovita.
Käyttäjien käyttöoikeuksien hallintaAsiakas määrittelee roolit/käyttöoikeudet, hyväksyy käyttöoikeudet, suorittaa käyttöönotto-/poisto-oikeudet ja kieltää jaetut tunnistetiedot.
Validointi ja käyttötarkoitusAsiakas on vastuussa validoinnista/kelpoisuudesta ja käyttötarkoitukseen liittyvistä päätöksistä asiakkaan laatujärjestelmän puitteissa; Toimittaja toimittaa dokumentaation ja tukirakenteet MSA/SQA:n mukaisesti.
Muuta ohjaustaPalveluntarjoaja hallitsee käyttöönottoa ja julkaisee isännöityjen palveluiden julkaisudokumentaation MSA/SQA:n mukaisesti.Asiakas hallitsee On-Prem-päivitysten käyttöönottoajoitusta ja testausta; Palveluntarjoaja tarjoaa julkaisudokumentaation ja tuen MSA/SQA:n mukaisesti.

Viitteet: MSA, SQA, Tekniset vaatimukset.

3) Henkilöllisyys, todennus ja pääsynhallinta

Pääsyoikeuksien hallinta on suunniteltu tukemaan vähiten oikeuksia, vastuullisuutta ja kontrolloitua hallintaa. Säännellyissä ympäristöissä pääsyoikeuksien hallinta on yhdistetty tekninen ja menettelyyn kuria.

  • Roolipohjainen käyttöoikeus: käyttöoikeudet määritetään roolin mukaan toimintojen yhdenmukaistamiseksi työtehtävien vastuiden kanssa.
  • Ainutlaatuinen vastuullisuus: käyttäjät tulisi tunnistaa yksilöllisesti; jaettujen tunnistetietojen käyttö tulisi kieltää.
  • Pääsynhallinta: Asiakkaat hallitsevat käyttöönottoa/poistoa, roolien suunnittelua ja säännöllisiä käyttöoikeustarkistuksia SOP-menettelyjensä puitteissa.
  • Etuoikeutettu pääsy: Ylläpitäjän käyttöoikeudet ovat rajoitettu valtuutetulle henkilöstölle operatiivisiin tarpeisiin.
Asiakkaan vastuu: Säännellyissä toiminnoissa asiakkaiden tulisi ylläpitää menettelytapoja asiakkuuksien hallintaan, säännöllisiin tarkastuksiin, koulutuksen hallintaan ja (soveltuvin osin) sähköisen allekirjoituksen valtuuksiin ja merkitykseen.
4) Auditointilokit, sähköiset tiedot ja tietojen eheys (GxP-konteksti)

V5 Traceability tukee jäljitettävyyteen keskittyvää kirjanpitoa ja on suunniteltu tukemaan säänneltyjen sähköisten asiakirjojen osalta yleisesti odotettavia valvontatoimia, mukaan lukien attribuutiotoimenpiteet, tarkastusketjun toiminta, asiakirjojen eheyden valvonnat ja sähköisen allekirjoituksen toiminta soveltuvin osin ja konfiguroituna.

Riippumaton arviointi (21 CFR Part 11 -kontekstissa). V5-jäljitettävyydellä on itsenäinen arviointiartefakti, joka on tarkoitettu tukemaan toimittajien kelpuutusta ja CSV-keskusteluja. Katso: Riippumaton 21 CFR Part 11 -arviointi.

Sääntelyraja: Riippumattomat arviointiin liittyvät esineet tukevat toimittajien kelpuutusta ja valvontaa. Ne eivät korvaa asiakkaan validointia, käyttötarkoituksen määrittämistä tai asiakkaan menettelyohjeita.
5) Tietosuoja ja luottamuksellisuus

SG Systems Global suojaa asiakastietoja hallinnollisilla, teknisillä ja sopimusteknisillä valvontamekanismeilla, jotka on yhdenmukaistettu luottamuksellisuuden, eheyden ja saatavuuden tavoitteiden kanssa. Sopimusluottamuksellisuutta, asiakkaiden tietoihin liittyviä oikeuksia ja yksityisyyden käsittelyehtoja (soveltuvin osin) säännellään MSA:ssa ja siihen liittyvissä asiakirjoissa.

  • Luottamuksellisuus: asiakastietojen luvattoman paljastamisen estämiseksi tarkoitetut toimenpiteet.
  • Rehellisyys: kontrollit, joiden tarkoituksena on säilyttää tietueiden eheys ja tukea tarkastusvalmiutta jäljitettävyyttä.
  • Saatavuus: valitun käyttöönottotyypin mukaiset operatiiviset kontrollit; Isännöidyn palvelun tavoitteet (jos sovellettavissa) on määritelty MSA/SLA-sopimuksessa.

Sitovat luottamuksellisuus- ja asiakastietojen ehdot löytyvät kohdasta MSA.

6) Turvallinen kehityssykli (SDLC) ja julkaisukuri

V5-jäljitettävyyttä kehitetään ja ylläpidetään valvottujen käytäntöjen avulla, joiden tarkoituksena on tukea luotettavaa ja auditoitavaa julkaisutilannetta säännellyille asiakkaille.

SDLC-kontrolliyhteenvedot sisältävät:

  • Hallitun muutoksen käyttöönotto: Muutokset suunnitellaan, toteutetaan ja tarkistetaan ennen julkaisua.
  • Arviointikuri: Koodi- ja määritysmuutokset voidaan tarkistaa ennen käyttöönottoa.
  • Ympäristön erottelu: Kehitys-/testaus- ja tuotantotoimintaa valvotaan luvattomien muutosten riskin vähentämiseksi.
  • Julkaisudokumentaatio: Julkaisutiedoissa kuvataan olennaiset muutokset ja tarvittaessa validointiin liittyvät näkökohdat.
Valvotut asiakkaat: Muutoshallintavelvoitteita ja julkaisukäytäntöjä säätelevät MSA ja, jos se on sisällytetty, SQA.
7) Muutosjohtaminen (asiakaskohtaavan hallinnan yhteenveto)

SG Systems Global käyttää hallittua muutoshallintamenetelmää tukeakseen ennustettavaa palveluntarjoamista ja säännellyn käytön odotuksia.

Muutoshallinnan yhteenvedot sisältävät:

  • Muutoksen arviointi: Muutoksia arvioidaan niiden mahdollisten asiakasvaikutusten osalta, mukaan lukien tarvittaessa sääntelyyn liittyvät vaikutukset.
  • Hyväksymiskuri: Tuotantomuutokset edellyttävät dokumentoitua hyväksyntää ennen julkaisua.
  • Käyttöönoton hallinta: Palveluntarjoaja hallinnoi isännöityjen palveluiden käyttöönottoa; Asiakas hallinnoi paikallisia käyttöönottoja.
  • Hätätilanteen muutokset: Hätätilanteiden tietoturvamuutoksia voidaan suorittaa tarvittaessa aktiivisten uhkien torjumiseksi; tällaiset muutokset dokumentoidaan ja niistä tiedotetaan sopimusehtojen mukaisesti.

Sitovat muutoshallintaehdot on määritelty MSA ja, jos se on sisällytetty, SQA.

8) Haavoittuvuuksien hallinta

SG Systems Global hallitsee haavoittuvuuksia tunnistamisen, luokittelun, korjaamisen ja varmentamisen avulla, priorisoimalla vakavuuden ja hyödynnettävyyden perusteella.

Haavoittuvuuksien hallinnan yhteenvedot sisältävät:

  • Triage ja priorisointi: arvioi laajuutta, vakavuutta, hyödynnettävyyttä ja mahdollista vaikutusta asiakkaisiin.
  • Korjaus: tee korjauksia/päivityksiä ja dokumentoi olennaiset muutokset julkaisudokumentaatioon tarvittaessa.
  • Viestintä: Asiakasviestintä noudattaa MSA/SQA:n sopimus- ja operatiivisia periaatteita.

Ilmoita epäillystä haavoittuvuudesta tai tietoturvaongelmasta lähettämällä sähköpostia support@sgsystemsglobal.com aiheen kanssa: Security Concern.

9) Tapahtumien hallinta ja tietoturvatapahtumiin reagointi

SG Systems Global ylläpitää tapausten hallinta- ja tietoturvatapahtumiin reagointiprosessia, jonka tarkoituksena on tukea nopeaa luokittelua, eristämistä, tutkintaa ja asiakasviestintää, mukaan lukien säännellyn käytön näkökohdat, jos tietueiden eheys voi vaarantua.

Tapahtumien hallinnan yhteenvedot sisältävät:

  • Luokitus: Tapahtumat arvioidaan ja luokitellaan vakavuuden ja luottamuksellisuuteen, eheyteen ja saatavuuteen kohdistuvien mahdollisten vaikutusten perusteella.
  • suurentaminen: Eskalointipolkuja käytetään vakavampiin tapahtumiin ja säänneltyihin vaikutuksiin liittyviin huolenaiheisiin.
  • Investigation: Tutkimukset dokumentoidaan ja olennaiset tapahtumat tarkastetaan jälkikäteen.
  • Korjaavat toimenpiteet: korjaavia toimenpiteitä seurataan toistumisriskin pienentämiseksi.
Isännöityjen palveluiden ilmoitus ja raportointi: Sitovat tietoturvahäiriöilmoitus- ja raportointivelvoitteet (mukaan lukien aikataulut) on määritelty isännöityjen palveluiden MSA-sopimuksessa. Paikallisissa käyttöönottoissa asiakas vastaa asiakkaan hallinnoiman infrastruktuurin tapahtumien hallinnasta; tarjoaja tukee ohjelmistoon liittyviä ongelmia MSA/SQA-sopimuksen mukaisesti.

Ilmoituskanava: support@sgsystemsglobal.comJos epäillään säänneltyjen asiakirjojen/tietojen eheyteen liittyviä huolenaiheita, sisällytä mukaan seuraavat tiedot: Potential GxP / data integrity impact.

10) Varmuuskopiot, katastrofien jälkeinen palautus ja liiketoiminnan jatkuvuus

Jatkuvuus- ja palautumisodotukset riippuvat käyttöönottotyypistä. Isännöityjen palveluiden osalta sovellettavat saatavuus- ja palautustavoitteet (jos sellaisia ​​on) on määritelty MSA/SLA-sopimuksessa ja tilauslomakkeessa. Paikallisissa asennuksissa asiakas on vastuussa varmuuskopioista, palautuksesta ja palautustestauksesta, ellei kirjallisesti toisin sovita.

Jatkuvuuden hallinnan yhteenvedot sisältävät:

  • Dokumentoitu toipumismenetelmä: dokumentoidut palautusmenettelyt, jotka on linjattu valitun käyttöönottomallin kanssa.
  • Varmuuskopion eheystarkoitus: kontrollit, joiden tarkoituksena on tukea palautettavuutta ja vähentää tietojen menetysriskiä määritellyissä rajoissa.
  • Palautumistestauksen tarkoitus: säännölliset palautumisvalmiustoimet, jotka ovat asianmukaisia ​​isäntäalueen rajan ja palvelusuunnittelun kannalta.
Luotettava viite: saatavuussitoumukset, poikkeukset ja mahdolliset RTO/RPO-tavoitteet on määritelty MSA (sisältää palvelutasosopimuksen) ja sovellettava tilauslomake.
11) Kolmannen osapuolen palveluntarjoajat, alihankkijat ja tietosuoja

Isännöityjä palveluita voidaan toimittaa käyttämällä kolmannen osapuolen palveluntarjoajia, kuten tilauslomakkeessa / allekirjoitetussa tarjouksessa on määritelty. Palveluntarjoajan alihankkijoiden käyttöön ja tietosuojan käsittelyehtoihin (soveltuvin osin) sovelletaan MSA:a ja kaikkia sovellettavia tietojenkäsittelyä koskevia liitteitä (DPA).

  • Alikäsittelijät: tehty kirjallisten sopimusten mukaisesti, joiden tarkoituksena on suojata asiakastietoja ja noudattaa salassapitovelvoitteita.
  • Tietojenkäsittely: Lain niin vaatiessa tietosuojaa koskevat ehdot käsitellään viittauksella sisällytetyssä tietosuojasopimuksessa, joka on saatavilla pyynnöstä.
  • Järjestelmän raja: Vastuut vaihtelevat isännöidyn ja paikallisen käyttöönoton mukaan, ja ne määritellään sopimuksella.
12) Toimittajien kelpuutus, auditointituki ja todisteet

SG Systems Global tukee asiakkaan tuntemisvelvollisuutta ja toimittajien kelpoisuutta dokumentaation ja järjestelmärajojen ja käyttöönottotyypin mukaisten jäsenneltyjen vastausten avulla. Säännellyissä/GxP-toimeksiannoissa SQA (jos se on sisällytetty) määrittelee laatuun ja toimintaan liittyvän kehyksen, mukaan lukien auditointituen rakenteet ja säännellyn käytön vastuut.

  • Pätevyystuki: Vastauksia ja artefakteja tarjotaan asiakkaiden ja toimittajien kelpuutustyönkulkujen tueksi.
  • Tilintarkastusyhteistyö: toimitetaan luottamuksellisesti ja kohtuullisessa aikataulussa MSA/SQA-määritellyn mukaisesti.
  • Riippumaton arviointi: Arvioijan laatima artefakti tukee osan 11 keskusteluja ja kontrollin arviointia.

Viitteet: SQA | MSA | Riippumaton arviointi

13) Pyydä turvallisuusasiakirjoja

Asiakkaille ja päteville potentiaalisille asiakkaille voidaan tarjota lisätietoja turvallisuus- ja vaatimustenmukaisuusasiakirjoista due diligence -tarkastusten ja toimittajien kelpoisuuden tukemiseksi salassapitovelvoitteiden (MSA) ja soveltuvin osin NDA-ehtojen mukaisesti.

Esimerkkejä pyynnöstä saatavilla olevista asiakirjoista (tarvittaessa):

  • Muutoshallinnan ja julkaisudokumentaation yhteenvedot
  • Sopimusvelvoitteisiin mukautettu yhteenveto tapauskohtaisista vastauksista
  • Vara-/DR-jatkuvuuden yhteenveto käyttöönottorajojen mukaisesti
  • Riippumattoman arvioinnin dokumentointi (21 CFR osa 11)
  • Alikäsittelijöiden luettelo ja tietosuojasopimuksen malli (tarvittaessa)
  • Strukturoidut kyselyvastaukset (SIG/CAIQ-tyyliin) pyydettäessä
Pyyntö: Sähköposti support@sgsystemsglobal.com ja sisällytä yrityksen nimi, käyttöönottotyyppi (isännöity tai paikallinen), aikajana ja tarkistuslistasi.
14) Asiakirjojen hallinta
AsiakirjaTurvallisuus ja luottamus (asiakaskohtainen yhteenveto)
Versio2.16
Laillinen tahoSG Systems, LLC
Osoite6944 Meadowbriar Lane, Dallas, TX 75230
HyväksymäStuart Hunt; Simon Hartley
Ota yhteyttäsupport@sgsystemsglobal.com
Viitesarja:

Tämä sivu on tarkoitettu tiedoksi eikä se muuta sopimusehtoja.

15) Change Log

Version 2.16 — Effective April 20th 2026.

  • Added the document version and effective date at the top of the page in the same style used for the MSA and SQA.
  • Adjusted typography weights to better align with the lighter presentation style used across the updated legal and trust pages.
  • Retained Document Control as a collapsed accordion and kept the existing content structure intact.

This update is intended as a presentation and document-control revision unless otherwise stated in a separately approved contractual document.