Sicurezza e fiducia

Governance, controlli e prontezza all'audit

Versione: 2.16

In vigore dal 23 febbraio 2026

Sicurezza e affidabilità: ambito, applicabilità e gerarchia dei documenti Riepilogo sulla sicurezza e la fiducia rivolte al cliente per la tracciabilità V5, destinato a supportare la qualificazione dei fornitori, la revisione dei rischi aziendali e le discussioni sull'uso regolamentato.

Scopo. Questa pagina riassume SG Systems Globalla postura di sicurezza e affidabilità per la tracciabilità V5 e i servizi correlati, inclusi Servizi ospitati e Installazioni in sede come scelto in un Modulo d'Ordine/Proposta Firmata applicabile.

Gerarchia dei documenti (ordine di precedenza). In caso di conflitto, i documenti di controllo sono:

  • (1) Modulo d'ordine / Proposta firmata (ambito, elezione dell'implementazione, selezione dei livelli, date di entrata in vigore);
  • (2) Addendum sulla qualità del fornitore (SQA) (costrutti operativi regolamentati/GxP), solo se incorporati per riferimento per l'impegno; e
  • (3) Contratto quadro di servizi (MSA) (quadro giuridico/commerciale, SLA, obblighi di sicurezza, termini sui dati dei clienti).

Allineamento contrattuale. Questa pagina è informativa e non modifica i termini contrattuali. Eventuali parametri relativi al livello di servizio, tempi di notifica e obblighi vincolanti sono definiti nell'MSA/SLA e nel Modulo d'Ordine applicabile (e nell'SQA, ove incorporato).

Operazioni da remoto. SG Systems Global Opera come un'organizzazione che privilegia il lavoro da remoto. I controlli enfatizzano l'identità, la gestione degli accessi, l'utilizzo sicuro degli endpoint e l'amministrazione controllata dei sistemi.

Riferimenti: Contratto quadro di servizi (MSA, include SLA) | Addendum sulla qualità del fornitore (SQA) | Requisiti di sistema V5 | Onboarding e implementazione | Valutazione indipendente 21 CFR Parte 11

Contatto per la sicurezza: support@sgsystemsglobal.com

1) Governance del programma di sicurezza

SG Systems Global mantiene un programma di sicurezza delle informazioni basato sul rischio, volto a proteggere la riservatezza, l'integrità e la disponibilità dei dati e dei servizi dei clienti e a supportare le operazioni in ambienti di produzione regolamentati.

Gli elementi del programma includono:

  • Responsabilità e supervisione: definizione della proprietà della sicurezza per l'efficacia del controllo, le escalation e le azioni correttive.
  • Gestione del rischio: identificazione e valutazione dei rischi, selezione dei controlli e monitoraggio delle attività di bonifica.
  • Controllo delle politiche e delle procedure: pratiche documentate per attività rilevanti per la sicurezza (accesso, controllo delle modifiche, gestione degli incidenti, continuità).
  • Revisione periodica: le pratiche di sicurezza vengono riviste e aggiornate man mano che i sistemi, le minacce e le aspettative dei clienti evolvono.
Clienti regolamentati: La qualificazione dei fornitori e i costrutti operativi di qualità vengono affrontati nell'SQA quando incorporati nell'incarico.
2) Limiti di distribuzione e responsabilità condivisa (ospitato vs. on-premise)

Le responsabilità dipendono dall'implementazione selezionata nel modulo d'ordine/proposta firmata. V5 Traceability può essere fornito come servizio ospitato o come installazione on-premise.

Area di controlloServizi ospitati (focus sul provider)Installazione in sede (attenzione al cliente)
Sicurezza dell'infrastrutturaGestisce il confine ospitato in conformità con l'MSA/SLA e il modulo d'ordine applicabile.Responsabile dei server, della sicurezza di rete, dell'applicazione di patch, dei backup/DR e del supporto ai controlli dell'infrastruttura.
Disponibilità e recuperoGli obiettivi di disponibilità e ripristino (se applicabili) sono definiti nell'MSA/SLA e nel modulo d'ordine.Responsabile dei tempi di attività, degli obiettivi di ripristino e dei test di ripristino, salvo diverso accordo scritto.
Governance dell'accesso degli utentiIl cliente definisce ruoli/autorizzazioni, approva l'accesso, esegue il provisioning/deprovisioning e vieta la condivisione delle credenziali.
Validazione e utilizzo previstoIl cliente è responsabile della convalida/qualificazione e delle decisioni sull'uso previsto nell'ambito del QMS del cliente; il fornitore fornisce la documentazione e supporta i costrutti secondo MSA/SQA.
Cambia controlloIl provider controlla la distribuzione e pubblica la documentazione di rilascio per i servizi ospitati in conformità con MSA/SQA.Il cliente controlla i tempi di distribuzione e i test per gli aggiornamenti on-premise; il fornitore fornisce la documentazione di rilascio e il supporto in base a MSA/SQA.

Riferimenti: MSA, SQA, Requisiti di sistema.

3) Identità, autenticazione e controllo degli accessi

Il controllo degli accessi è progettato per supportare privilegi minimi, responsabilità e amministrazione controllata. Negli ambienti regolamentati, il controllo degli accessi è un sistema combinato tecnico e procedurale disciplina.

  • Accesso basato sul ruolo: le autorizzazioni vengono assegnate in base al ruolo per allineare le funzioni alle responsabilità lavorative.
  • Responsabilità unica: gli utenti dovrebbero essere identificati in modo univoco; l'uso di credenziali condivise dovrebbe essere proibito.
  • Governance degli accessi: i clienti controllano il provisioning/deprovisioning, la progettazione dei ruoli e le revisioni periodiche degli accessi all'interno delle loro procedure operative standard.
  • Accesso privilegiato: l'accesso amministrativo è limitato al personale autorizzato per esigenze operative.
Responsabilità del cliente: Nelle operazioni regolamentate, i clienti devono mantenere procedure per la gestione degli account, la revisione periodica, la governance della formazione e (ove applicabile) l'autorità e il significato della firma elettronica.
4) Piste di controllo, registri elettronici e integrità dei dati (contesto GxP)

V5 Traceability supporta la tenuta dei registri orientata alla tracciabilità ed è progettato per supportare i comportamenti di controllo comunemente previsti per i registri elettronici regolamentati, tra cui azioni attribuibili, comportamento della traccia di controllo, controlli di integrità dei registri e comportamento della firma elettronica, ove applicabile e configurato.

Valutazione indipendente (contesto 21 CFR Parte 11). La tracciabilità V5 dispone di un artefatto di valutazione indipendente pensato per supportare la qualificazione dei fornitori e le discussioni sui CSV. Vedere: Valutazione indipendente 21 CFR Parte 11.

Confine normativo: Gli artefatti di valutazione indipendenti supportano la qualificazione dei fornitori e la valutazione dei controlli. Non sostituiscono la convalida del cliente, la determinazione dell'uso previsto o i controlli procedurali del cliente.
5) Protezione dei dati e riservatezza

SG Systems Global salvaguarda le informazioni dei clienti utilizzando controlli amministrativi, tecnici e contrattuali allineati agli obiettivi di riservatezza, integrità e disponibilità. La riservatezza contrattuale, i diritti dei clienti in materia di dati personali e i termini di trattamento della privacy (ove applicabili) sono disciplinati dall'MSA e dai documenti correlati.

  • Riservatezza: controlli volti a impedire la divulgazione non autorizzata delle informazioni sui clienti.
  • Integrità: controlli volti a preservare l'integrità dei registri e a supportare la tracciabilità pronta per la verifica.
  • Disponibilità: controlli operativi appropriati al tipo di distribuzione scelto; gli obiettivi del servizio ospitato (se applicabili) sono definiti nell'MSA/SLA.

Per i termini vincolanti sulla riservatezza e sui dati dei clienti, fare riferimento a MSA.

6) Ciclo di vita dello sviluppo sicuro (SDLC) e disciplina del rilascio

La tracciabilità V5 è sviluppata e mantenuta utilizzando pratiche controllate volte a supportare una posizione di rilascio affidabile e verificabile per i clienti regolamentati.

I riepiloghi di controllo SDLC includono:

  • Introduzione al cambiamento controllato: le modifiche vengono pianificate, implementate e riviste prima del rilascio.
  • Revisione della disciplina: le modifiche al codice e alla configurazione sono soggette a revisione prima della distribuzione.
  • Separazione dell'ambiente: le attività di sviluppo/test e produzione sono controllate per ridurre il rischio di modifiche non autorizzate.
  • Documentazione di rilascio: le note di rilascio descrivono le modifiche sostanziali e, ove pertinenti, le considerazioni sulla convalida.
Clienti regolamentati: Gli obblighi di controllo delle modifiche e le pratiche di rilascio sono disciplinati dall'MSA e, ove incorporato, dall'SQA.
7) Gestione del cambiamento (Riepilogo del controllo rivolto al cliente)

SG Systems Global adotta un approccio di gestione del cambiamento controllato per supportare la fornitura di servizi prevedibili e le aspettative di utilizzo regolamentato.

I riepiloghi del controllo di gestione del cambiamento includono:

  • Valutazione del cambiamento: le modifiche vengono valutate in base al potenziale impatto sul cliente, comprese, ove applicabile, considerazioni sull'impatto regolamentato.
  • Disciplina di approvazione: le modifiche alla produzione sono soggette ad autorizzazione documentata prima del rilascio.
  • Controllo della distribuzione: L'implementazione dei servizi ospitati è controllata dal fornitore; le implementazioni on-premise sono controllate dal cliente.
  • Modifiche di emergenza: È possibile apportare modifiche di sicurezza di emergenza quando necessario per far fronte a minacce attive; tali modifiche vengono documentate e comunicate in conformità con i termini contrattuali.

I termini di controllo delle modifiche vincolanti sono definiti nel MSA e, ove incorporato, SQA.

8) Gestione delle vulnerabilità

SG Systems Global gestisce le vulnerabilità attraverso l'identificazione, la selezione, la correzione e la verifica, con una priorità basata sulla gravità e sulla sfruttabilità.

I riepiloghi dei controlli di gestione delle vulnerabilità includono:

  • Triage e priorità: valutare la portata, la gravità, la sfruttabilità e il potenziale impatto sul cliente.
  • Riparazione: applicare correzioni/patch e documentare le modifiche sostanziali nella documentazione di rilascio, ove opportuno.
  • Comunicazione: le comunicazioni con i clienti seguono le strutture contrattuali e operative dell'MSA/SQA.

Per segnalare una sospetta vulnerabilità o un problema di sicurezza, inviare un'e-mail a support@sgsystemsglobal.com con oggetto: Security Concern.

9) Gestione degli incidenti e risposta agli incidenti di sicurezza

SG Systems Global mantiene un processo di gestione degli incidenti e di risposta agli incidenti di sicurezza volto a supportare un rapido triage, contenimento, indagine e comunicazioni con i clienti, comprese considerazioni sull'uso regolamentato in cui l'integrità dei record potrebbe essere compromessa.

I riepiloghi del controllo di gestione degli incidenti includono:

  • Classificazione: gli eventi vengono valutati e classificati in base alla gravità e al potenziale impatto sulla riservatezza, l'integrità e la disponibilità.
  • escalation: i percorsi di escalation vengono applicati per eventi di maggiore gravità e problematiche di impatto regolamentato.
  • Indagine: le indagini sono documentate e gli eventi rilevanti sono soggetti a revisione post-incidente.
  • Azioni correttive: vengono monitorate le azioni correttive per ridurre il rischio di recidiva.
Avviso e segnalazione dei servizi ospitati: Gli obblighi vincolanti di notifica e segnalazione degli incidenti di sicurezza (incluse eventuali tempistiche) sono definiti nell'MSA per i Servizi Ospitati. Per le distribuzioni on-premise, il Cliente controlla la gestione degli incidenti per l'infrastruttura gestita dal Cliente; il Fornitore supporta le problematiche software in linea con l'MSA/SQA.

Canale di segnalazione: support@sgsystemsglobal.comIn caso di sospetti problemi di integrità dei dati/registri regolamentati, includere: Potential GxP / data integrity impact.

10) Backup, ripristino di emergenza e continuità aziendale

Le aspettative di continuità e ripristino dipendono dal tipo di implementazione. Per i Servizi Ospitati, gli obiettivi di disponibilità e ripristino applicabili (se presenti) sono definiti nell'MSA/SLA e nel Modulo d'Ordine. Per le Installazioni On-Premise, il Cliente è responsabile dei backup, del ripristino di emergenza e dei test di ripristino, salvo diverso accordo scritto.

I riepiloghi del controllo di continuità includono:

  • Approccio di recupero documentato: procedure di ripristino documentate allineate al modello di distribuzione scelto.
  • Intento di integrità del backup: controlli volti a supportare la recuperabilità e a ridurre il rischio di perdita di dati entro i limiti definiti.
  • Intento del test di recupero: attività periodiche di preparazione al ripristino appropriate al confine ospitato e alla progettazione del servizio.
Riferimento autorevole: gli impegni di disponibilità, le esclusioni e tutti gli obiettivi RTO/RPO sono definiti nel MSA (include SLA) e il Modulo d'Ordine applicabile.
11) Fornitori terzi, subappaltatori e privacy

I Servizi Ospitati possono essere forniti tramite fornitori terzi, come specificato nel Modulo d'Ordine/Proposta Firmata. L'utilizzo di subappaltatori da parte del fornitore e i termini di trattamento della privacy (ove applicabili) sono regolati dall'MSA e da qualsiasi Addendum sul Trattamento dei Dati (DPA) applicabile.

  • Sub-responsabili: impegnati in base ad accordi scritti volti a proteggere i dati dei clienti e ad allinearsi agli obblighi di riservatezza.
  • Elaborazione dati: ove richiesto dalla legge, i termini sulla privacy sono trattati tramite un DPA incorporato per riferimento e reso disponibile su richiesta.
  • Confine del sistema: le responsabilità variano a seconda che si tratti di implementazione ospitata o on-premise e sono definite contrattualmente.
12) Qualifica del fornitore, supporto di audit e prove

SG Systems Global Supporta la due diligence del cliente e la qualificazione dei fornitori utilizzando documentazione e risposte strutturate, allineate ai confini del sistema e al tipo di implementazione. Per gli incarichi regolamentati/GxP, l'SQA (quando incorporato) definisce il quadro operativo di qualità, inclusi i costrutti di supporto all'audit e le responsabilità per l'uso regolamentato.

  • Supporto alla qualificazione: vengono fornite risposte e artefatti per supportare i flussi di lavoro di qualificazione dei fornitori dei clienti.
  • Cooperazione di revisione contabile: forniti nel rispetto della riservatezza e di una programmazione ragionevole come definito nell'MSA/SQA.
  • Valutazione indipendente: l'artefatto redatto dal valutatore supporta le discussioni della Parte 11 e la valutazione di controllo.

Riferimenti: SQA | MSA | Valutazione indipendente

13) Richiedi la documentazione di sicurezza

Ai clienti e ai potenziali clienti qualificati può essere fornita ulteriore documentazione sulla sicurezza e sulla conformità per supportare la due diligence e la qualificazione dei fornitori, nel rispetto degli obblighi di riservatezza (MSA) e, ove applicabile, dei termini NDA.

Esempi di documentazione disponibili su richiesta (ove applicabile):

  • Riepiloghi della documentazione di gestione delle modifiche e delle versioni
  • Riepilogo della risposta agli incidenti allineato agli obblighi contrattuali
  • Riepilogo della continuità di backup/DR allineato al limite di distribuzione
  • Documentazione di valutazione indipendente (21 CFR Parte 11)
  • Elenco dei sub-responsabili e modello DPA (ove applicabile)
  • Risposte al questionario strutturato (stile SIG/CAIQ) quando richiesto
Richiesta: E-mail support@sgsystemsglobal.com e includi il nome dell'azienda, il tipo di distribuzione (ospitata o in sede), la sequenza temporale e la tua checklist.
14) Controllo dei documenti
funzionalità diSicurezza e fiducia (riepilogo rivolto al cliente)
Versione2.16
Entità legaleSG Systems, LLC
Indirizzo6944 Meadowbriar Lane, Dallas, TX 75230
Approvato daStuart Hunt; Simon Hartley
Contattisupport@sgsystemsglobal.com
Set di riferimento:

La presente pagina è fornita a scopo informativo e non modifica i termini contrattuali.