Le présent avenant relatif à la qualité des fournisseurs (le «SQA”) est conclu entre SG Systems, LLC, une société à responsabilité limitée organisée et existante en vertu des lois de l'État du Texas, dont le siège social est situé au 6944 Meadowbriar Lane, Dallas, TX 75230 («Provider), et la personne physique ou morale qui a conclu le contrat-cadre de services du fournisseur («Le client»).

Objectif. Ce contrat d'assurance qualité logicielle (SQA) définit le cadre de qualité opérationnelle et les responsabilités qui soutiennent l'utilisation réglementée par le client des logiciels et services du fournisseur, y compris les attentes en matière de contrôle des changements, de gestion des incidents/problèmes de qualité, de support d'audit, de services de support de validation (lorsqu'ils sont achetés) et de responsabilités de déploiement pour les services hébergés par rapport aux installations sur site.

À qui cela s'adresse-t-il ? Cette assurance qualité fournisseur est généralement exigée par les clients soumis aux exigences des BPF/BPF (par exemple, dans le secteur pharmaceutique et les environnements de chaîne d'approvisionnement réglementés). Les clients non soumis à ces réglementations n'ont généralement pas besoin d'un avenant relatif à la qualité des fournisseurs.

Incorporation. Ce contrat de services de qualité (CSQ) est destiné à être intégré et régi par le contrat-cadre de services du fournisseur (le «mondiale) situé à https://sgsystemsglobal.com/master-services-agreement/Les termes en majuscules non définis dans ce SQA ont la signification qui leur est attribuée dans le MSA.

Pas de doublons. Lorsque les sujets sont déjà régis par le MSA (par exemple, la confidentialité, la limitation de responsabilité, les frais et les obligations générales de sécurité), cette SQA renverra le lecteur à la ou aux sections applicables du MSA plutôt que de les répéter.

1.1 Relation avec l'AMS. Ce contrat d'assurance qualité (SQA) complète le contrat-cadre de services (MSA) pour les comptes réglementés/GxP et vise à faciliter la qualification des fournisseurs et à répondre aux exigences d'audit. Les conditions commerciales, les licences, la confidentialité, la protection des données personnelles, la propriété intellectuelle, les exclusions de garantie, les indemnités, les limitations de responsabilité et le règlement des litiges sont régis par le contrat-cadre de services (voir, par exemple, les articles 12 à 18 du MSA).

1.2 Quand cette SQA s'applique. Cette SQA s'applique uniquement si elle est mentionnée dans un bon de commande signé / une proposition signée ou un avenant écrit exécuté par les deux parties.

1.3 Ordre de préséance. En cas de conflit, l'ordre suivant s'applique :

• (1) Bon de commande / Proposition signée (pour le périmètre, les livrables, les choix de déploiement et les sélections commerciales telles que le niveau de SLA) ;
• (2) Ce SQA (pour les obligations opérationnelles de qualité réglementées et les mécanismes de soutien aux comptes réglementés); et
• (3) L'AMS (pour tous les autres termes, y compris le cadre juridique/commercial).

1.4 Absence d'extension de responsabilité. Rien dans ce SQA n’étend la responsabilité du fournisseur au-delà de ce qui est énoncé dans la limitation de responsabilité et les exclusions de responsabilité du MSA (voir MSA §§15–17).

2.1 Dans le champ d'application. Cette SQA s'applique aux logiciels et services du fournisseur achetés par le client dans le cadre du MSA et du formulaire de commande/proposition signé applicable, y compris (le cas échéant) les services hébergés, le support d'installation sur site et les services de support de compte réglementés.

2.2 Hors champ d'application. Le client reste responsable de son système qualité, de ses SOP, de ses définitions d'utilisation prévue, de la conception de ses processus, de la formation des utilisateurs et de l'exécution/approbation de la validation dans son environnement (voir MSA §7.2 et §10).

2.3 Frontière entre l'hébergement et l'infrastructure sur site. Les responsabilités liées au déploiement dépendent du déploiement sélectionné dans le formulaire de commande/la proposition signée applicable :

• Services hébergés. Le fournisseur est responsable de l'exploitation des services hébergés conformément au SLA sélectionné et aux exigences applicables du MSA (voir les articles 4.2, 9 et 11 du MSA). Le client demeure responsable de ses contrôles de processus réglementés, de ses décisions en matière de gouvernance des accès et de leur validation au sein de son système de gestion de la qualité.
• Installation sur site. Le client est responsable de l'infrastructure, de la sécurité, des sauvegardes et de la reprise après sinistre de son environnement sur site, sauf indication contraire écrite (voir les articles 4.3 et 9.4 du contrat-cadre). Le fournisseur assure le support et la documentation relatifs aux logiciels, conformément au contrat-cadre et aux services souscrits.

3.1 « Compte réglementé » désigne un engagement client dans lequel le client exige des documents de qualification des fournisseurs et/ou des accords formels avec les fournisseurs conformes aux exigences GxP.

3.2 « Problème de qualité » désigne un problème suspecté ou confirmé susceptible d’avoir un impact sur le comportement pertinent aux BPF, l’intégrité des données, la traçabilité, l’auditabilité, la disponibilité des opérations réglementées ou les contrôles système documentés.

3.3 « Événement de qualité » désigne un problème de qualité qui est confirmé ou qui fait l'objet d'une enquête formelle et d'une correction documentée, y compris des mesures correctives et/ou préventives le cas échéant.

3.4 « Services de validation » désigne les services professionnels payants qui soutiennent les activités de validation du client telles que l'assistance IQ/OQ et/ou la facilitation UAT, lorsqu'ils sont explicitement achetés et définis dans un formulaire de commande / une proposition signée (voir MSA §3 et §7.4).

3.5 « Niveau SLA » désigne la sélection du niveau de service (le cas échéant) spécifiée dans le formulaire de commande applicable / la proposition signée qui définit les objectifs de disponibilité et de récupération pour les services hébergés (voir MSA §11).

3.6 « Environnement hébergé » désigne l'environnement d'hébergement cloud sélectionné pour les Services hébergés, tel qu'AWS, Microsoft Azure ou un autre fournisseur convenu d'un commun accord, comme indiqué dans le formulaire de commande/la proposition signée applicable.

4.1 Canal principal pour les problèmes de qualité suspectés. Le client doit signaler tout problème de qualité suspecté via le support du fournisseur à l'adresse suivante : support@sgsystemsglobal.com.

4.2 Billetterie et traçabilité (« boucle fermée »). Le processus opérationnel standard du fournisseur pour la prise en charge et la résolution des problèmes est le suivant :

• Admission: L'e-mail du client adressé au service d'assistance est enregistré comme un dossier dans le système de support client du fournisseur (Salesforce) et se voit attribuer un identifiant de dossier.
• Suivi technique : Lorsque des travaux d'ingénierie sont nécessaires, le fournisseur crée et lie un élément de travail correspondant dans son système de suivi des développements (Jira).
• Résolution et clôture : Le fournisseur consigne les notes de résolution, les références de version (le cas échéant) et l'état de clôture du dossier d'assistance, bouclant ainsi la boucle pour l'auditabilité.

4.3 Objectifs de réponse. Pour les services hébergés, les délais de réponse et de résolution sont régis par le SLA du contrat-cadre de services (voir MSA §11.4). Pour les installations sur site, le fournisseur mettra en œuvre tous les efforts commercialement raisonnables pour répondre conformément au modèle de support défini dans le bon de commande/la proposition signée applicable et dans le contrat-cadre de services (voir MSA §11.2).

4.4 Escalade client. Si un problème de qualité est susceptible d'avoir un impact sur les enregistrements réglementés, les pistes d'audit ou le comportement des contrôles du système, le client doit déclarer :Impact potentiel sur les BPF et l'intégrité des données« » dans l’objet du courriel afin de faciliter un tri approprié.

5.1 Principe de responsabilité partagée. La conformité réglementaire est une responsabilité partagée. Le fournisseur accompagne l'utilisation réglementée grâce à des contrôles logiciels, une documentation et, le cas échéant, des services d'assistance à la validation. Le client demeure responsable de l'utilisation prévue, des choix de configuration, des contrôles procéduraux, de la formation et de l'exécution/approbation de la validation au sein de son système qualité (voir MSA §7.2 et §10).

5.2 Répartition pratique des responsabilités.

5.3 Confidentialité et droits sur les données. La propriété, la confidentialité et le traitement des données client sont régis par le MSA (voir MSA §12, y compris §12.3 à §12.5, et DPA le cas échéant).

6.1 Support de base (inclus). Pendant la durée d'un abonnement actif, le fournisseur fournit une assistance raisonnable pour les questions concernant le comportement et la configuration du système, et fournit une documentation standard et des notes de version dans le cadre de la prestation de services normale (voir MSA §7.4 et §2.23).

6.2 Entreprise / Services de validation payants. Pour les comptes réglementés, le fournisseur propose des services de validation payants qui peuvent inclure :

• Assistance IQ/OQ : des modèles de packages et une assistance à distance raisonnable, adaptés à l'exécution par le Client dans son environnement ;
• Soutien à la facilitation des tests d'acceptation utilisateur : soutien à la planification, coordination du cycle de test, triage des problèmes/coordination des nouveaux tests (selon le périmètre défini) ;
• Assistance réglementée à la mise en service : assistance structurée à la transition, alignée sur l'approche de validation/mise en service prévue par le client.

6.3 Comment les services de validation sont achetés. Les services de validation sont non inclus par défaut. Ils sont généralement proposés pour Entreprise Les engagements sont tarifés et définis dans le formulaire de commande/la proposition signée applicable en tant que services professionnels payants supplémentaires (voir MSA §3 et §3.6).

6.4 Le client reste responsable. Le client reste responsable de la stratégie de validation finale, de l'exécution, de l'examen, de l'approbation et des décisions d'examen périodique en cours au sein du système qualité du client (voir MSA §7.2 et §10.1).

7.1 Évaluation indépendante. Le système du fournisseur a été évalué de manière indépendante par Dr Bob McDowall pour l'alignement avec les contrôles techniques généralement associés à 21 CFR partie 11 attentes.

7.2 Accès à la documentation d’évaluation (accord de confidentialité requis). À la demande du Client, le Prestataire peut mettre la documentation d'évaluation à la disposition du Client à des fins de qualification interne des fournisseurs et d'audit, sous réserve que :

• Le client a signé l'accord de non-divulgation (NDA) du fournisseur (ou les parties ont conclu un NDA acceptable pour le fournisseur) ;
• Le client dispose d'un abonnement actif et en règle ; et
• Le client convient que la documentation est une information confidentielle et sera traitée conformément aux termes de confidentialité du MSA (voir MSA §12).

7.3 Limitation importante. L’existence d’une évaluation indépendante soutient les activités de qualification des fournisseurs du Client, mais elle ne remplace pas les responsabilités de validation du Client ni la détermination de l’utilisation prévue (voir MSA §7.2 et §10.1).

8.1 Mises à jour contrôlées. Le fournisseur gère les mises à jour logicielles selon une approche de gestion des changements adaptée aux environnements réglementés. Pour connaître les conditions de gestion des changements faisant foi, veuillez vous référer à la section « Gestion des changements et mises à jour » du contrat-cadre de services (voir MSA § 8).

8.2 Déploiement des services hébergés. Pour les services hébergés, le fournisseur contrôle le calendrier de déploiement et fournit un préavis pour les mises à jour majeures conformément au MSA (voir MSA §8.1), à l'exception des correctifs de sécurité d'urgence (voir MSA §8.4).

8.3 Déploiement sur site. Pour les installations sur site, le client contrôle le déploiement des mises à jour dans ses environnements. Le fournisseur fournit des notes de version et une assistance adaptée pour faciliter l'évaluation et les tests par le client (voir les sections 8.2 et 8.3 du contrat de services).

Documentation de la version 8.4. Les notes de version du fournisseur identifieront les changements importants et, le cas échéant, incluront des considérations de validation pour les changements qui peuvent avoir un impact sur les pistes d'audit, les contrôles d'accès ou les flux de travail réglementés (voir MSA §8.3 et §7.4).

9.1 Admission et triage. Les problèmes de qualité suspectés sont signalés via support@sgsystemsglobal.comLe fournisseur effectuera un tri, demandera des informations complémentaires si nécessaire et classera la gravité en utilisant l'approche de support alignée sur le modèle SLA/support (voir MSA §11.4 pour les services hébergés).

9.2 Enquête et documentation. Pour les événements qualité confirmés, le fournisseur documentera les notes d'enquête, les facteurs contributifs et l'état de la correction dans le dossier Salesforce lié et l'élément de travail Jira (le cas échéant).

9.3 Action corrective et préventive. Lorsque cela est raisonnable et approprié, le fournisseur mettra en œuvre des mesures correctives (correctifs, mises à jour, modifications de processus) et préventives afin de réduire le risque de récidive. L'étendue des investigations et de la documentation pourra varier selon la gravité et l'impact du problème.

9.4 Commandes côté client. Le client est responsable de la gestion des écarts, du contrôle des changements et de l'évaluation des impacts au sein de son système de management de la qualité (SMQ). Le prestataire s'engage à répondre dans la mesure du possible aux demandes d'information du client nécessaires à son évaluation, sous réserve des règles de confidentialité et des dispositions de l'accord-cadre de services (voir articles 7.2, 7.5 et 12 de l'accord-cadre de services).

10.1 Sélection de l'environnement hébergé. Pour les services hébergés, le client peut sélectionner l'environnement hébergé (par exemple, AWS, Microsoft Azure ou un autre fournisseur convenu d'un commun accord) comme spécifié dans le formulaire de commande applicable / la proposition signée.

10.2 Les objectifs de reprise après sinistre et de récupération dépendent du niveau de SLA. Pour les services hébergés, la reprise après sinistre et les objectifs de reprise (y compris RTO/RPO le cas échéant) sont régis par les Niveau SLA sélectionné dans le formulaire de commande / la proposition signée et les termes du SLA MSA (voir MSA §11.5 et §11.9).

10.3 Sécurité et réponse aux incidents. Les obligations de sécurité du fournisseur et ses engagements en matière de réponse aux incidents de sécurité pour les services hébergés sont régis par le contrat-cadre de services (voir le contrat-cadre de services, article 9, notamment l'article 9.2). Pour les installations sur site, le client est responsable de la sécurité de l'infrastructure et des mesures de protection (voir le contrat-cadre de services).

10.4 Maintenance planifiée et exclusions. La disponibilité des services hébergés et les exclusions du SLA sont décrites dans le MSA (voir MSA §11.10).

11.1 Principe de soutien à l'audit. Le fournisseur coopérera raisonnablement avec les audits du client relatifs aux contrôles logiciels et, pour les services hébergés, aux enregistrements pertinents de prestation de services/sécurité, sous réserve de confidentialité et d'une planification raisonnable (voir MSA §7.5 et §12).

11.2 Approche d'audit (efficace par défaut). Afin de limiter les perturbations et de protéger les informations sensibles en matière de sécurité, le fournisseur prend généralement en charge la qualification des fournisseurs à l'aide de :

• Ensemble de documentation standard du fournisseur (par exemple, notes de version et résumés des contrôles) ;
• Réponses au questionnaire ; et
• Discussions ciblées limitées aux limites du système et aux contrôles applicables.

11.3 Assistance à l'inspection. Si le Client informe le Fournisseur qu'il fait l'objet d'une inspection réglementaire pouvant concerner les logiciels/services du Fournisseur, ce dernier déploiera des efforts commercialement raisonnables pour répondre aux demandes d'information relatives aux composants contrôlés par le Fournisseur, sous réserve de la confidentialité et du MSA.

11.4 Frais pour les demandes extraordinaires. Si le Client demande une participation étendue à l'audit, une documentation personnalisée, des activités sur site ou un travail allant au-delà d'une coopération raisonnable, ce travail peut nécessiter des frais supplémentaires et un accord écrit (conformément au modèle de services professionnels des MSA §3 et §7.4).

12.1 Droits sur les données et confidentialité. La propriété des données client, leur confidentialité et l'assistance standard à l'exportation sont régies par le MSA (voir MSA §12.3–§12.5) et par tout DPA applicable (voir MSA §12.4).

12.2 Copie de la base de données SQL après la résiliation (comptes réglementés). Pour les comptes réglementés couverts par le présent contrat de service de sécurité (SQA), en cas de résiliation ou d'expiration de l'abonnement applicable, pour quelque raison que ce soit, le client peut demander une copie de la base de données SQL associée à son environnement de production. Le fournisseur mettra cette copie à la disposition du client. dans un délai de trente (30) jours de résiliation, à condition que :

• Le client soumet sa demande par écrit à support@sgsystemsglobal.com (ou autre canal d'assistance désigné) ;
• Toutes les sommes dues et non contestées ont été payées ; et
• La demande est techniquement réalisable dans les limites du système et n'oblige pas le fournisseur à divulguer les données d'autres clients ou des informations confidentielles du fournisseur.

12.3 Format et livraison. Le fournisseur livrera la copie de la base de données SQL par un moyen commercialement raisonnable et adapté à un transfert sécurisé. Si le client exige un format d'exportation spécifique, une transformation ou des extractions de données supplémentaires au-delà de la copie standard de la base de données, ces travaux pourront faire l'objet de frais supplémentaires et d'un accord écrit.

12.4 Fenêtre de récupération hébergée. Les délais supplémentaires de récupération et de suppression des données après la résiliation des services hébergés sont régis par le contrat-cadre de services (voir l'article 5.4). Cette section du contrat-cadre de services (SQA) fournit une prestation spécifique au compte réglementé (copie de la base de données SQL) et n'étend pas les obligations de support après la résiliation.

13.1 Fournisseurs d'hébergement. Les services hébergés sont fournis par un fournisseur d'hébergement cloud tiers dans l'environnement hébergé sélectionné, tel que spécifié dans le formulaire de commande / la proposition signée.

13.2 Sous-traitants et tiers. L'utilisation par le fournisseur de sous-traitants et de prestataires de services tiers, y compris les obligations en matière de protection des données, est régie par le MSA et (le cas échéant) par la DPA (voir MSA §12.4).

13.3 Écoulement descendant. Le fournisseur déploiera des efforts commercialement raisonnables pour s'assurer que les obligations pertinentes soient transmises aux tiers concernés utilisés pour fournir les services hébergés, conformément aux pratiques standard de gestion des fournisseurs du fournisseur.

14.1 Term. Le présent SQA entre en vigueur lorsqu'il est incorporé par référence dans un formulaire de commande / une proposition signée (ou un avenant exécuté) et reste en vigueur pour la durée de l'abonnement applicable, sauf résiliation anticipée conformément au MSA.

14.2 Amendements. Toute modification de ce SQA doit être faite par écrit et signée par les deux Parties, conformément aux exigences de modification du MSA (voir MSA §18.9).

14.2.1 Version du document. Ce document HTML SQA est la version 1.10 du document du fournisseur, en vigueur à compter du 20 avril 2026. Le bloc de version et le journal des modifications inclus dans ce document sont intégrés à des fins de contrôle et de référence du document.

14.3 Références croisées MSA utiles.

• Responsabilité réglementaire et partagée : MSA §7 et §10
• Contrôle des modifications et mises à jour : MSA §8
• Sécurité et réponse aux incidents : MSA §9
• SLA (Services hébergés) : MSA §11
• Confidentialité et données client : MSA §12
• Durée/résiliation et récupération des données hébergées : MSA §5
• Services professionnels / intégration : MSA §3

Contact 14.4. Pour tout problème de qualité, toute suspicion de problème d'intégrité des données ou toute demande relative à un compte réglementé dans le cadre de cette assurance qualité, veuillez contacter : support@sgsystemsglobal.com.