Sécurité et confiance

Gouvernance, contrôles et préparation à l'audit

Sécurité et confiance | SG Systems, LLC

Version 2.16

En vigueur à compter du 20 avril 2026

Sécurité et confiance — Portée, applicabilité et hiérarchie des documents Résumé de sécurité et de confiance destiné aux clients pour la traçabilité V5, conçu pour faciliter la qualification des fournisseurs, l'examen des risques d'entreprise et les discussions sur l'utilisation réglementée.

Portée. Cette page résume SG Systems Globalla posture de sécurité et de confiance de [nom de l'entreprise] pour la traçabilité V5 et les services associés, y compris Services hébergés et Installations sur site tel que sélectionné dans un formulaire de commande applicable / une proposition signée.

Hiérarchie des documents (ordre de priorité). En cas de conflit, les documents de référence sont :

  • (1) Bon de commande / Proposition signée (portée, choix du déploiement, sélection des niveaux, dates d'entrée en vigueur) ;
  • (2) Addendum relatif à la qualité du fournisseur (SQA) (structures opérationnelles réglementées/GxP), uniquement si elles sont incorporées par référence pour l'engagement ; et
  • (3) Contrat-cadre de services (MSA) (cadre juridique/commercial, SLA, obligations de sécurité, conditions relatives aux données client).

Alignement des contrats. Cette page est informative et ne modifie pas les termes contractuels. Les indicateurs de niveau de service, les délais de notification et les obligations contractuelles sont définis dans le contrat-cadre de services (MSA/SLA) et le formulaire de commande applicable (ainsi que dans l'assurance qualité logicielle, le cas échéant).

Opérations privilégiant le télétravail. SG Systems Global L'entreprise fonctionne selon un modèle privilégiant le télétravail. Ses contrôles mettent l'accent sur l'identité, la gestion des accès, la sécurité des terminaux et l'administration contrôlée des systèmes.

Références: Contrat-cadre de services (MSA, incluant le SLA) | Addendum relatif à la qualité des fournisseurs (SQA) | Configuration système requise V5 | Intégration et mise en œuvre | Évaluation indépendante de la partie 11 du titre 21 du CFR

Contact sécurité : support@sgsystemsglobal.com

1) Gouvernance du programme de sécurité

SG Systems Global maintient un programme de sécurité de l'information basé sur les risques, destiné à protéger la confidentialité, l'intégrité et la disponibilité des données et des services clients, et à soutenir les opérations dans des environnements de fabrication réglementés.

Les éléments du programme comprennent :

  • Responsabilité et contrôle : définition des responsabilités en matière de sécurité pour l'efficacité des contrôles, les escalades et les actions correctives.
  • Gestion des risques: identification et évaluation des risques, sélection des mesures de contrôle et suivi des activités de remédiation.
  • Contrôle des politiques et des procédures : pratiques documentées pour les activités liées à la sécurité (accès, contrôle des changements, gestion des incidents, continuité).
  • Révision périodique : Les pratiques de sécurité sont revues et mises à jour en fonction de l'évolution des systèmes, des menaces et des attentes des clients.
Clients réglementés : La qualification des fournisseurs et les mécanismes qualité-opérationnels sont abordés dans l'assurance qualité des fournisseurs (AQF) lorsqu'ils sont intégrés à la mission.
2) Limites de déploiement et responsabilité partagée (hébergé ou sur site)

Les responsabilités dépendent du déploiement choisi dans votre bon de commande/proposition signée. La traçabilité V5 peut être fournie sous forme de services hébergés ou installée sur site.

Zone de contrôleServices hébergés (axés sur le fournisseur)Installation sur site (axée sur le client)
Sécurité de l'infrastructureExploite le périmètre hébergé conformément au MSA/SLA et au formulaire de commande applicable.Responsable des serveurs, de la sécurité du réseau, des correctifs, des sauvegardes/reprise après sinistre et des contrôles d'infrastructure de support.
Disponibilité et récupérationLes objectifs de disponibilité et de récupération (le cas échéant) sont définis dans le MSA/SLA et le formulaire de commande.Responsable de la disponibilité, des objectifs de reprise et des tests de reprise, sauf accord contraire écrit.
gouvernance des accès utilisateursLe client définit les rôles/autorisations, approuve l'accès, effectue le provisionnement/le déprovisionnement et interdit le partage des identifiants.
Validation et utilisation prévueLe client est responsable de la validation/qualification et des décisions relatives à l'utilisation prévue au sein de son système de gestion de la qualité ; le fournisseur fournit la documentation et les éléments de support conformément au contrat de services de gestion/assurance qualité.
Le contrôle des changementsLe fournisseur contrôle le déploiement et publie la documentation de version des services hébergés conformément au MSA/SQA.Le client contrôle le calendrier de déploiement et les tests des mises à jour sur site ; le fournisseur fournit la documentation de version et le support conformément au MSA/SQA.

Références: mondiale, SQA, Configuration requise.

3) Identité, authentification et contrôle d'accès

Le contrôle d'accès est conçu pour garantir le principe du moindre privilège, la responsabilisation et une administration contrôlée. Dans les environnements réglementés, le contrôle d'accès est une combinaison de plusieurs éléments. technique et de procédure la discipline.

  • Accès basé sur les rôles : Les autorisations sont attribuées en fonction du rôle afin d'aligner les fonctions sur les responsabilités professionnelles.
  • Responsabilité unique : Les utilisateurs doivent être identifiés de manière unique ; l'utilisation d'identifiants partagés doit être interdite.
  • Gouvernance de l'accès : Les clients contrôlent le provisionnement/déprovisionnement, la conception des rôles et les examens périodiques des accès dans le cadre de leurs procédures opérationnelles standard.
  • Accès privilégié : L'accès administratif est limité au personnel autorisé pour les besoins opérationnels.
Responsabilité du client : Dans le cadre des opérations réglementées, les clients doivent maintenir des procédures de gestion de compte, d'examen périodique, de gouvernance de la formation et (le cas échéant) d'autorisation et de signification de la signature électronique.
4) Pistes d’audit, enregistrements électroniques et intégrité des données (contexte GxP)

La traçabilité V5 prend en charge la tenue de registres axée sur la traçabilité et est conçue pour prendre en charge les comportements de contrôle généralement attendus pour les documents électroniques réglementés, notamment les actions attribuables, le comportement de la piste d'audit, les contrôles d'intégrité des enregistrements et le comportement de la signature électronique, le cas échéant et selon la configuration.

Évaluation indépendante (contexte de la partie 11 du titre 21 du CFR). La traçabilité V5 dispose d'un outil d'évaluation indépendant destiné à faciliter la qualification des fournisseurs et les discussions relatives aux CSV. Voir : Évaluation indépendante de la partie 11 du titre 21 du CFR.

Limite réglementaire : Les éléments d'évaluation indépendants contribuent à la qualification des fournisseurs et à l'évaluation des contrôles. Ils ne remplacent pas la validation du client, la détermination de l'utilisation prévue ni les contrôles procéduraux du client.
5) Protection et confidentialité des données

SG Systems Global Nous protégeons les informations client grâce à des contrôles administratifs, techniques et contractuels conformes aux objectifs de confidentialité, d'intégrité et de disponibilité. La confidentialité contractuelle, les droits des clients sur leurs données et les modalités de traitement de la vie privée (le cas échéant) sont régis par l'accord-cadre de services (MSA) et les documents connexes.

  • Confidentialité : des contrôles destinés à empêcher la divulgation non autorisée d'informations sur les clients.
  • Intégrité: Des contrôles destinés à préserver l'intégrité des enregistrements et à faciliter la traçabilité en vue d'un audit.
  • Disponibilité: Les contrôles opérationnels sont adaptés au type de déploiement choisi ; les objectifs du service hébergé (le cas échéant) sont définis dans le MSA/SLA.

Pour connaître les conditions contraignantes en matière de confidentialité et de données clients, veuillez vous référer au mondiale.

6) Cycle de vie de développement sécurisé (SDLC) et discipline de mise en production

La traçabilité V5 est développée et maintenue selon des pratiques contrôlées visant à garantir une posture de publication fiable et auditable pour les clients réglementés.

Les résumés des contrôles du cycle de vie du développement logiciel (SDLC) comprennent :

  • Introduction du changement contrôlé : Les modifications sont planifiées, mises en œuvre et examinées avant leur publication.
  • Discipline à examiner : Les modifications de code et de configuration sont soumises à un examen avant leur déploiement.
  • Séparation des environnements : Les activités de développement, de test et de production sont contrôlées afin de réduire les risques de modifications non autorisées.
  • Documentation de la version : Les notes de version décrivent les changements importants et, le cas échéant, les considérations relatives à la validation.
Clients réglementés : Les obligations de contrôle des changements et les pratiques de mise en production sont régies par le MSA et, lorsqu'il est intégré, par le SQA.
7) Gestion du changement (Résumé des contrôles destinés aux clients)

SG Systems Global met en œuvre une approche de gestion du changement contrôlée afin de garantir une prestation de services prévisible et le respect des attentes en matière d'utilisation réglementée.

Les résumés des contrôles de gestion des changements comprennent :

  • Évaluation du changement : Les modifications sont évaluées en fonction de leur impact potentiel sur les clients, y compris les considérations relatives à l'impact réglementaire le cas échéant.
  • Discipline d'approbation : Les modifications apportées à la production sont soumises à une autorisation documentée avant leur diffusion.
  • Contrôle du déploiement : Le déploiement des services hébergés est contrôlé par le fournisseur ; les déploiements sur site sont contrôlés par le client.
  • Modifications d'urgence : Des modifications d'urgence en matière de sécurité peuvent être apportées lorsque cela s'avère nécessaire pour faire face à des menaces actives ; ces modifications sont documentées et communiquées conformément aux termes contractuels.

Les conditions de contrôle des modifications contraignantes sont définies dans le mondiale et, lorsqu'il est incorporé, SQA.

8) Gestion des vulnérabilités

SG Systems Global Gère les vulnérabilités par l'identification, le triage, la correction et la vérification, avec une priorisation basée sur la gravité et l'exploitabilité.

Les résumés des contrôles de gestion des vulnérabilités comprennent :

  • Tri et priorisation : évaluer la portée, la gravité, l'exploitabilité et l'impact potentiel sur les clients.
  • Correction : Appliquer les correctifs et documenter les modifications importantes dans la documentation de la version, le cas échéant.
  • La communication: Les communications avec les clients suivent les structures contractuelles et opérationnelles du MSA/SQA.

Pour signaler une vulnérabilité ou un problème de sécurité suspecté, veuillez envoyer un courriel. support@sgsystemsglobal.com avec sujet : Security Concern.

9) Gestion des incidents et réponse aux incidents de sécurité

SG Systems Global maintient un processus de gestion des incidents et de réponse aux incidents de sécurité destiné à faciliter le triage, le confinement, l'enquête et la communication avec les clients, y compris les considérations relatives à l'utilisation réglementée lorsque l'intégrité des enregistrements peut être affectée.

Les résumés des contrôles de gestion des incidents comprennent :

  • Classification: Les événements sont évalués et classés en fonction de leur gravité et de leur impact potentiel sur la confidentialité, l'intégrité et la disponibilité.
  • Escalade: Des procédures d'escalade sont appliquées aux événements plus graves et aux problèmes ayant un impact réglementé.
  • Enquête: Les enquêtes sont documentées et les événements importants font l'objet d'un examen post-incident.
  • Mesures correctives: Les mesures correctives sont suivies afin de réduire le risque de récidive.
Avis et rapports concernant les services hébergés : Les obligations contraignantes de notification et de signalement des incidents de sécurité (y compris les délais) sont définies dans le contrat-cadre de services (MSA) pour les services hébergés. Pour les déploiements sur site, le client gère les incidents liés à son infrastructure ; le fournisseur prend en charge les problèmes logiciels conformément au MSA/SQA.

Canal de signalement : support@sgsystemsglobal.comEn cas de suspicion de problème d'intégrité des données/enregistrements réglementés, veuillez inclure : Potential GxP / data integrity impact.

10) Sauvegardes, reprise après sinistre et continuité des activités

Les attentes en matière de continuité et de reprise d'activité dépendent du type de déploiement. Pour les services hébergés, les objectifs de disponibilité et de reprise applicables (le cas échéant) sont définis dans le contrat de niveau de service (MSA/SLA) et le bon de commande. Pour les installations sur site, le client est responsable des sauvegardes, de la reprise après sinistre et des tests de reprise, sauf accord écrit contraire.

Les résumés des contrôles de continuité comprennent :

  • Approche de rétablissement documentée : procédures de récupération documentées et alignées sur le modèle de déploiement choisi.
  • Intention d'intégrité de la sauvegarde : des contrôles destinés à faciliter la récupération et à réduire le risque de perte de données dans le périmètre défini.
  • Objectif des tests de récupération : activités périodiques de préparation à la reprise d'activité adaptées à la limite d'hébergement et à la conception du service.
Référence faisant autorité : Les engagements de disponibilité, les exclusions et les objectifs RTO/RPO sont définis dans le MSA (incluant le SLA) et le formulaire de commande applicable.
11) Prestataires tiers, sous-traitants et confidentialité

Les services hébergés peuvent être fournis par des prestataires tiers, comme indiqué dans le bon de commande/la proposition signée. Le recours à des sous-traitants et les conditions de traitement des données (le cas échéant) sont régis par le contrat-cadre de services (MSA) et tout avenant relatif au traitement des données (DPA) applicable.

  • Sous-traitants : engagés dans le cadre d'accords écrits destinés à protéger les données des clients et à respecter les obligations de confidentialité.
  • Traitement de l'information: Lorsque la loi l'exige, les conditions relatives à la protection de la vie privée sont traitées par le biais d'un accord de protection des données incorporé par référence et mis à disposition sur demande.
  • Limites du système : Les responsabilités varient selon que le déploiement est hébergé ou sur site et sont définies contractuellement.
12) Qualification des fournisseurs, soutien à l'audit et preuves

SG Systems Global Ce service accompagne la vérification préalable des clients et la qualification des fournisseurs grâce à une documentation et des réponses structurées, adaptées au périmètre du système et au type de déploiement. Pour les engagements réglementés/GxP, l'assurance qualité logicielle (lorsqu'elle est intégrée) définit le cadre opérationnel de qualité, incluant les mécanismes de soutien à l'audit et les responsabilités liées à l'utilisation réglementée.

  • Soutien à la qualification : Des réponses et des éléments concrets sont fournis pour faciliter les processus de qualification des fournisseurs clients.
  • Coopération en matière d'audit : fourni sous réserve de confidentialité et d'un calendrier raisonnable tel que défini dans le MSA/SQA.
  • Évaluation indépendante : Le document rédigé par l'évaluateur appuie les discussions de la partie 11 et l'évaluation du contrôle.

Références: SQA | mondiale | Évaluation indépendante

13) Demander la documentation de sécurité

Des documents supplémentaires relatifs à la sécurité et à la conformité peuvent être fournis aux clients et aux prospects qualifiés afin de faciliter la vérification préalable et la qualification des fournisseurs, sous réserve des obligations de confidentialité (MSA) et, le cas échéant, des termes de l'accord de non-divulgation.

Exemples de documents disponibles sur demande (le cas échéant) :

  • Résumés de la documentation relative à la gestion des changements et aux mises en production
  • Résumé de la réponse à l'incident conforme aux obligations contractuelles
  • Résumé de la continuité de sauvegarde/reprise après sinistre aligné sur la limite de déploiement
  • Documentation d'évaluation indépendante (21 CFR Partie 11)
  • Liste des sous-traitants et modèle DPA (le cas échéant)
  • Réponses à un questionnaire structuré (de type SIG/CAIQ) sur demande
Demande: Email support@sgsystemsglobal.com et incluez le nom de l'entreprise, le type de déploiement (hébergé ou sur site), le calendrier et votre liste de contrôle.
14) Contrôle des documents
DocumentsSécurité et confiance (Résumé destiné aux clients)
Version2.16
Entité légaleSG Systems, LLC
Adresse6944 Meadowbriar Lane, Dallas, TX 75230
Approuvé parStuart Hunt ; Simon Hartley
Contactsupport@sgsystemsglobal.com
Ensemble de référence :

Cette page est fournie à titre informatif et ne modifie pas les termes contractuels.

15) Journal des modifications

Version 2.16 — En vigueur à compter du 20 avril 2026.

  • Ajout de la version du document et de la date d'entrée en vigueur en haut de la page, dans le même style que celui utilisé pour le MSA et le SQA.
  • Graisses typographiques ajustées pour mieux correspondre au style de présentation plus léger utilisé sur les pages juridiques et fiduciaires mises à jour.
  • Le contrôle des documents a été conservé sous forme d'accordéon replié, tandis que la structure du contenu existant est restée intacte.

Cette mise à jour constitue une révision de la présentation et du contrôle des documents, sauf indication contraire dans un document contractuel approuvé séparément.