セキュリティと信頼

範囲。 このページでは、 SG Systems GlobalV5トレーサビリティおよび関連サービスに対するセキュリティと信頼の姿勢（以下を含む） ホスト型サービス の三脚と オンプレミスインストール 該当する注文書/署名済み提案書で選択されたとおり。

ドキュメントの階層 (優先順位)。 矛盾がある場合、制御文書は次のようになります。

• （1）注文書／署名入り提案書 (範囲、展開の選択、層の選択、有効日);
• （２）サプライヤー品質補足条項（SQA） （規制対象/GxP運用構成）、契約に参照により組み込まれた場合のみ。
• （３）マスターサービス契約（MSA） (法的/商業的枠組み、SLA、セキュリティ義務、顧客データ条件)。

契約の調整。 このページは情報提供のみを目的としており、契約条件を変更するものではありません。サービスレベル指標、通知期限、および拘束力のある義務については、MSA/SLAおよび該当する注文書（およびSQA（組み込まれている場合））に定義されます。

リモートファーストの運用。 SG Systems Global 当社はリモートファーストの組織として運営されています。管理においては、アイデンティティ、アクセス管理、エンドポイントの安全な使用、システムの管理を重視しています。

セキュリティ連絡先: support@sgsystemsglobal.com

SG Systems Global 顧客データとサービスの機密性、整合性、可用性を保護し、規制された製造環境での運用をサポートすることを目的としたリスクベースの情報セキュリティ プログラムを維持しています。

プログラム要素には次のものが含まれます。

• 説明責任と監督: 制御の有効性、エスカ​​レーション、および是正措置に関するセキュリティの所有権を定義しました。
• 危機管理： リスクの特定と評価、制御の選択、修復活動の追跡。
• ポリシーと手順の制御: セキュリティ関連のアクティビティ (アクセス、変更管理、インシデント処理、継続性) に関する文書化されたプラクティス。
• 定期レビュー： セキュリティ対策は、システム、脅威、顧客の期待の変化に応じて見直され、更新されます。

責任範囲は、注文書/署名済み提案書で選択された導入形態によって異なります。V5 Traceability は、ホスト型サービスまたはオンプレミスインストールとして提供できます。

参照： MSA, SQA, システム要件.

アクセス制御は、最小限の権限、説明責任、そして管理された管理をサポートするように設計されています。規制された環境では、アクセス制御は 技術的 の三脚と 手続き的 規律

• ロールベースのアクセス: 権限は役割ごとに割り当てられ、機能と職務責任を一致させます。
• 独自の説明責任: ユーザーは一意に識別される必要があり、共有資格情報の使用は禁止される必要があります。
• アクセスガバナンス: 顧客は、SOP 内でプロビジョニング/デプロビジョニング、ロール設計、定期的なアクセス レビューを制御します。
• 特権アクセス: 管理アクセスは、運用上の必要性から許可された担当者に制限されます。

V5 Traceability は、トレーサビリティ指向の記録管理をサポートし、適用可能かつ構成されている場合の帰属アクション、監査証跡の動作、記録整合性制御、電子署名の動作など、規制対象の電子記録に一般的に期待される制御動作をサポートするように設計されています。

独立した評価 (21 CFR Part 11 のコンテキスト)。 V5 Traceabilityには、サプライヤーの適格性評価とCSVに関する議論を支援するための独立した評価アーティファクトがあります。以下をご覧ください。 独立した21 CFR Part 11評価.

SG Systems Global 当社は、機密性、完全性、および可用性の目標に沿った管理、技術、および契約上の管理体制を用いて顧客情報を保護します。契約上の機密性、顧客データの権利、およびプライバシー処理条件（該当する場合）は、MSAおよび関連文書に準拠します。

• 守秘義務： 顧客情報の不正な開示を防ぐための管理。
• Integrity: 記録の整合性を維持し、監査対応のトレーサビリティをサポートすることを目的とした制御。
• 在庫: 選択された展開タイプに適した運用管理。ホスト サービスの目標 (該当する場合) は、MSA/SLA で定義されます。

拘束力のある機密保持および顧客データに関する条件については、 MSA.

V5 トレーサビリティは、規制対象の顧客向けに信頼性が高く監査可能なリリース体制をサポートすることを目的とした、管理されたプラクティスを使用して開発および維持されます。

SDLC 制御サマリーには次のものが含まれます。

• 制御された変更の導入: 変更はリリース前に計画、実装、レビューされます。
• レビュー規律: コードと構成の変更は、展開前にレビューされる必要があります。
• 環境分離: 開発/テストおよび生産活動は、不正な変更のリスクを軽減するために管理されています。
• リリースドキュメント: リリース ノートには、重要な変更点と、該当する場合は検証に関する考慮事項が記載されています。

SG Systems Global 予測可能なサービスの提供と規制された使用の期待をサポートするために、制御された変更管理アプローチを運用します。

変更管理制御の概要には次のものが含まれます。

• 変更評価: 変更は、該当する場合は規制の影響を考慮した上で、潜在的な顧客への影響について評価されます。
• 承認規律: 製造上の変更は、リリース前に文書化された承認を受ける必要があります。
• 展開制御: ホスト サービスの展開はプロバイダーによって制御され、オンプレミスの展開は顧客によって制御されます。
• 緊急の変更: アクティブな脅威に対処するために必要になった場合、緊急のセキュリティ変更が実行されることがあります。このような変更は、契約条件に従って文書化され、伝達されます。

拘束力のある変更管理条件は、 MSA そして、法人化されている場合、 SQA.

SG Systems Global 重大度と悪用可能性に基づいて優先順位を付け、識別、トリアージ、修復、検証を通じて脆弱性を管理します。

脆弱性管理制御の概要には次のものが含まれます。

• トリアージと優先順位付け: 範囲、重大度、悪用可能性、および潜在的な顧客への影響を評価します。
• 修復： 必要に応じて修正/パッチを適用し、リリース ドキュメントに重要な変更を文書化します。
• Communication: 顧客とのコミュニケーションは、MSA/SQA の契約および運用構造に従います。

脆弱性やセキュリティ上の懸念が疑われる場合は、メールでご連絡ください。 support@sgsystemsglobal.com 件名: Security Concern.

SG Systems Global 記録の整合性が影響を受ける可能性がある規制された使用の考慮を含む、迅速なトリアージ、封じ込め、調査、および顧客とのコミュニケーションをサポートすることを目的としたインシデント管理およびセキュリティ インシデント対応プロセスを維持します。

インシデント管理制御の概要には次のものが含まれます。

• 分類： イベントは、重大度と機密性、整合性、可用性への潜在的な影響に基づいて評価および分類されます。
• エスカレーション： より重大度の高いイベントおよび規制影響の懸念には、エスカレーション パスウェイが適用されます。
• 調査： 調査は文書化され、重大な出来事は事後検討の対象となります。
• 是正措置: 再発リスクを軽減するために是正措置が追跡されます。

報告チャネル: support@sgsystemsglobal.com規制対象の記録/データの整合性に関する懸念が疑われる場合は、次の事項を含めます。 Potential GxP / data integrity impact.

継続性と復旧の期待値は導入の種類によって異なります。ホスト型サービスの場合、適用される可用性および復旧目標（該当する場合）は、MSA/SLAおよび注文書に定義されます。オンプレミス導入の場合、書面による別段の合意がない限り、お客様はバックアップ、災害復旧、および復旧テストの責任を負います。

継続性制御の概要には次のものが含まれます。

• 文書化された回復アプローチ: 選択された展開モデルに合わせて文書化された回復手順。
• バックアップ整合性の意図: 定義された境界内での回復可能性をサポートし、データ損失のリスクを軽減することを目的とした制御。
• 回復テストの目的: ホスト境界とサービス設計に適した定期的な回復準備活動。

ホスティングサービスは、注文書／署名済み提案書に記載されているとおり、サードパーティプロバイダーを利用して提供される場合があります。プロバイダーによるサブプロセッサーの利用およびプライバシー処理条件（該当する場合）は、MSAおよび該当するデータ処理補足契約（DPA）に準拠します。

• サブプロセッサー: 顧客データを保護し、機密保持義務を遵守することを目的とした書面による契約に基づいて業務に従事します。
• 情報処理： 法律で義務付けられている場合、プライバシー条項は参照により組み込まれたDPAを通じて対処され、リクエストに応じて提供されます。
• システム境界: 責任はホスト型展開とオンプレミス展開によって異なり、契約で定義されます。

SG Systems Global システム境界と導入タイプに合わせた文書化と構造化された対応を用いて、顧客デューデリジェンスとサプライヤーの適格性確認をサポートします。規制対象/GxPの業務においては、SQA（組み込まれている場合）が、監査支援体制や規制対象使用における責任を含む、品質運用フレームワークを定義します。

• 資格サポート: 顧客のサプライヤー認定ワークフローをサポートするために、応答と成果物が提供されます。
• 監査協力: MSA/SQA で定義された機密保持と合理的なスケジュールに従って提供されます。
• 独立した評価: 評価者が作成したアーティファクトは、パート 11 の議論と制御の評価をサポートします。

参照： SQA | MSA | 独立した評価

機密保持義務 (MSA) および該当する場合は NDA 条件に従って、デューデリジェンスとサプライヤー認定をサポートするために、追加のセキュリティおよびコンプライアンス ドキュメントが顧客および適格な見込み顧客に提供される場合があります。

リクエストに応じて入手可能なドキュメントの例（該当する場合）:

• 変更管理とリリースドキュメントの概要
• 契約上の義務に沿ったインシデント対応の概要
• 展開境界に合わせたバックアップ/DR継続性の概要
• 独立評価文書（21 CFR Part 11）
• サブプロセッサーリストとDPAテンプレート（該当する場合）
• 要求に応じて構造化されたアンケート回答（SIG/CAIQ スタイル）

このページは情報提供のみを目的としており、契約条件を変更するものではありません。