Veiligheid en vertrouwen

Bestuur, controles en auditgereedheid

Security and Trust | S.G. Systems, LLC

versie 2.16

Ingangsdatum: 20 april 2026

Beveiliging en vertrouwen — Omvang, toepasbaarheid en documenthiërarchie Een klantgerichte samenvatting over beveiliging en vertrouwen voor V5 Traceability, bedoeld ter ondersteuning van leverancierskwalificatie, risicobeoordeling binnen de onderneming en discussies over gereguleerd gebruik.

Scope. Deze pagina geeft een samenvatting. SG Systems Globalde beveiligings- en vertrouwenspositie van voor V5 Traceability en gerelateerde diensten, inclusief Gehoste diensten en Installaties op locatie zoals gekozen in een van toepassing zijnde bestelformulier/ondertekend voorstel.

Documenthiërarchie (volgorde van prioriteit). Bij een conflict zijn de volgende documenten leidend:

  • (1) Bestelformulier / Ondertekend voorstel (bereik, keuze voor implementatie, niveauselectie, ingangsdata);
  • (2) Leverancierskwaliteitsaddendum (SQA) (gereguleerde/GxP-operationele constructies), alleen indien deze door middel van een verwijzing in de opdracht zijn opgenomen; en
  • (3) Master Services Agreement (MSA) (juridisch/commercieel kader, SLA, beveiligingsverplichtingen, voorwaarden voor klantgegevens).

Contractafstemming. Deze pagina is informatief en wijzigt de contractuele voorwaarden niet. Alle serviceniveau-indicatoren, kennisgevingstermijnen en bindende verplichtingen zijn vastgelegd in de MSA/SLA en het van toepassing zijnde bestelformulier (en SQA indien van toepassing).

Operaties worden primair op afstand uitgevoerd. SG Systems Global De organisatie opereert als een remote-first organisatie. De controles leggen de nadruk op identiteitsbeheer, toegangsbeheer, veilig gebruik van eindpunten en gecontroleerd systeembeheer.

Referenties: Master Services Agreement (MSA, inclusief SLA) | Aanvulling op de kwaliteitsnormen voor leveranciers (SQA) | V5 Systeemvereisten | Onboarding & Implementatie | Onafhankelijke beoordeling volgens 21 CFR Deel 11

Beveiligingscontactpersoon: support@sgsystemsglobal.com

1) Governance van het beveiligingsprogramma

SG Systems Global Het bedrijf hanteert een op risico's gebaseerd informatiebeveiligingsprogramma dat is bedoeld om de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens en -diensten te beschermen en om de bedrijfsvoering in gereguleerde productieomgevingen te ondersteunen.

Programma-elementen omvatten:

  • Verantwoording en toezicht: De verantwoordelijkheid voor de beveiliging is vastgelegd, met het oog op de effectiviteit van de controles, escalaties en corrigerende maatregelen.
  • Risicomanagement: Identificatie en beoordeling van risico's, selectie van beheersmaatregelen en monitoring van herstelactiviteiten.
  • Controle van beleid en procedures: Gedocumenteerde procedures voor beveiligingsgerelateerde activiteiten (toegang, wijzigingsbeheer, incidentafhandeling, continuïteit).
  • Periodieke beoordeling: Beveiligingsprocedures worden herzien en bijgewerkt naarmate systemen, bedreigingen en klantverwachtingen veranderen.
Gereguleerde klanten: Leverancierskwalificatie en kwaliteits- en operationele aspecten komen in de SQA aan bod wanneer deze bij de opdracht worden betrokken.
2) Implementatiegrens en gedeelde verantwoordelijkheid (gehost versus on-premise)

De verantwoordelijkheden zijn afhankelijk van de implementatie die u in uw bestelformulier/ondertekende offerte hebt geselecteerd. V5 Traceability kan worden geleverd als gehoste service of als een installatie op locatie.

ControlegebiedGehoste services (gericht op de provider)Installatie op locatie (klantgericht)
InfrastructuurbeveiligingBeheert de gehoste grens in overeenstemming met de MSA/SLA en het toepasselijke bestelformulier.Verantwoordelijk voor servers, netwerkbeveiliging, patches, back-ups/noodherstel en ondersteunende infrastructuurbeheersmaatregelen.
Beschikbaarheid en herstelBeschikbaarheids- en hersteldoelstellingen (indien van toepassing) zijn vastgelegd in de MSA/SLA en het bestelformulier.Verantwoordelijk voor de uptime, hersteldoelstellingen en hersteltesten, tenzij schriftelijk anders is overeengekomen.
GebruikerstoegangsbeheerDe klant definieert rollen/machtigingen, keurt toegang goed, voert het aanmaken/intrekken van accounts uit en verbiedt het delen van inloggegevens.
Validatie en beoogd gebruikDe klant is verantwoordelijk voor de validatie/kwalificatie en de beslissingen over het beoogde gebruik binnen het kwaliteitsmanagementsysteem van de klant; de leverancier levert de documentatie en ondersteunende constructies conform de MSA/SQA.
Verander controleDe provider beheert de implementatie en publiceert de releasedocumentatie voor gehoste services in overeenstemming met MSA/SQA.De klant bepaalt het tijdstip van implementatie en het testen van on-premise updates; de provider levert de releasedocumentatie en ondersteuning conform de MSA/SQA.

Referenties: MSA, SQA, Systeem vereisten.

3) Identiteit, authenticatie en toegangscontrole

Toegangscontrole is ontworpen om het principe van minimale bevoegdheden, verantwoording en gecontroleerd beheer te ondersteunen. In gereguleerde omgevingen is toegangscontrole een gecombineerde aanpak. technisch en procedureel discipline.

  • Op rollen gebaseerde toegang: Toegangsrechten worden per rol toegewezen om functies af te stemmen op de verantwoordelijkheden van de functie.
  • Unieke verantwoordelijkheid: Gebruikers moeten uniek worden geïdentificeerd; het delen van inloggegevens moet worden verboden.
  • Toegangsbeheer: Klanten bepalen zelf binnen hun standaardprocedures (SOP's) of toegang wordt verleend of ingetrokken, hoe rollen worden ontworpen en periodieke toegangscontroles worden uitgevoerd.
  • Bevoorrechte toegang: De administratieve toegang is beperkt tot bevoegd personeel voor operationele doeleinden.
Verantwoordelijkheid van de klant: Bij gereguleerde activiteiten dienen klanten procedures te hanteren voor accountbeheer, periodieke evaluatie, trainingsbeheer en (indien van toepassing) de bevoegdheid en betekenis van elektronische handtekeningen.
4) Auditsporen, elektronische records en gegevensintegriteit (GxP-context)

V5 Traceability ondersteunt traceerbaarheidsgerichte registratie en is ontworpen om controlemechanismen te ondersteunen die doorgaans worden verwacht voor gereguleerde elektronische documenten, waaronder toewijsbare acties, audit trail-gedrag, controle op de integriteit van documenten en, waar van toepassing en geconfigureerd, gedrag van elektronische handtekeningen.

Onafhankelijke beoordeling (context van 21 CFR Deel 11). V5 Traceability beschikt over een onafhankelijk beoordelingsinstrument ter ondersteuning van leverancierskwalificatie en CSV-besprekingen. Zie: Onafhankelijke beoordeling volgens 21 CFR Deel 11.

Regelgevingsgrens: Onafhankelijke beoordelingsinstrumenten ondersteunen de kwalificatie van leveranciers en de evaluatie van interne controles. Ze vervangen echter niet de klantvalidatie, de bepaling van het beoogde gebruik of de procedurele controles van de klant.
5) Gegevensbescherming en vertrouwelijkheid

SG Systems Global Beschermt klantgegevens met behulp van administratieve, technische en contractuele controles die zijn afgestemd op de doelstellingen van vertrouwelijkheid, integriteit en beschikbaarheid. Contractuele vertrouwelijkheid, klantgegevensrechten en privacybepalingen (indien van toepassing) worden geregeld door de MSA en bijbehorende documenten.

  • Vertrouwelijkheid: Controles bedoeld om ongeoorloofde openbaarmaking van klantgegevens te voorkomen.
  • Integrity: controles bedoeld om de integriteit van gegevens te waarborgen en traceerbaarheid te ondersteunen die geschikt is voor audits.
  • Beschikbaarheid: Operationele beheersmaatregelen die passen bij het gekozen implementatietype; doelstellingen voor gehoste services (indien van toepassing) zijn gedefinieerd in de MSA/SLA.

Voor bindende geheimhoudings- en klantgegevensvoorwaarden verwijzen wij u naar de MSA.

6) Veilige ontwikkelingslevenscyclus (SDLC) en release-discipline

V5 Traceability wordt ontwikkeld en onderhouden met behulp van gecontroleerde procedures, bedoeld om een ​​betrouwbare en controleerbare vrijgaveprocedure te ondersteunen voor gereguleerde klanten.

SDLC-controleoverzichten omvatten:

  • Inleiding tot gecontroleerde verandering: Wijzigingen worden gepland, doorgevoerd en geëvalueerd voordat ze worden uitgebracht.
  • Beoordelingsdiscipline: Code- en configuratiewijzigingen worden vóór de implementatie beoordeeld.
  • Scheiding van de omgeving: Ontwikkelings-, test- en productieactiviteiten worden gecontroleerd om het risico op ongeautoriseerde wijzigingen te verkleinen.
  • Releasedocumentatie: De release-opmerkingen beschrijven materiële wijzigingen en, waar relevant, validatieoverwegingen.
Gereguleerde klanten: De verplichtingen met betrekking tot wijzigingsbeheer en releaseprocedures worden geregeld door de MSA en, indien van toepassing, de SQA.
7) Wijzigingsbeheer (Samenvatting van klantgerichte controlemaatregelen)

SG Systems Global hanteert een gecontroleerde aanpak voor verandermanagement om voorspelbare dienstverlening en gereguleerde gebruiksverwachtingen te ondersteunen.

Samenvattingen van de beheersmaatregelen voor wijzigingsbeheer omvatten:

  • Evaluatie van de verandering: Wijzigingen worden beoordeeld op hun potentiële impact op de klant, waarbij, waar van toepassing, rekening wordt gehouden met de gevolgen voor de regelgeving.
  • Goedkeuringsdiscipline: Productiewijzigingen zijn onderworpen aan schriftelijke goedkeuring voorafgaand aan de release.
  • Implementatiebeheer: De implementatie van gehoste services wordt beheerd door de provider; on-premise implementaties worden beheerd door de klant.
  • Noodwijzigingen: Noodzakelijke beveiligingsaanpassingen kunnen worden doorgevoerd wanneer dit nodig is om actieve dreigingen aan te pakken; dergelijke aanpassingen worden gedocumenteerd en gecommuniceerd in overeenstemming met de contractuele bepalingen.

Bindende wijzigingsbeheervoorwaarden worden gedefinieerd in de MSA en, indien opgenomen, SQA.

8) Kwetsbaarheidsbeheer

SG Systems Global Beheert kwetsbaarheden door middel van identificatie, triage, herstel en verificatie, met prioritering op basis van ernst en exploiteerbaarheid.

Een overzicht van de beheersmaatregelen voor kwetsbaarheden omvat:

  • Triage en prioritering: De omvang, ernst, exploiteerbaarheid en potentiële impact op de klant beoordelen.
  • Sanering: Pas correcties/patches toe en documenteer materiële wijzigingen in de releasedocumentatie waar nodig.
  • Communicatie: De communicatie met de klant volgt de contractuele en operationele kaders zoals vastgelegd in de MSA/SQA.

Om een ​​vermoedelijke kwetsbaarheid of beveiligingsprobleem te melden, kunt u een e-mail sturen naar [e-mailadres]. support@sgsystemsglobal.com met onderwerp: Security Concern.

9) Incidentbeheer en reactie op beveiligingsincidenten

SG Systems Global Hanteert een proces voor incidentbeheer en de afhandeling van beveiligingsincidenten, bedoeld om snelle triage, beheersing, onderzoek en klantcommunicatie te ondersteunen, inclusief overwegingen met betrekking tot gereguleerd gebruik waarbij de integriteit van gegevens in het geding kan komen.

De belangrijkste maatregelen voor incidentbeheer omvatten:

  • Indeling: Incidenten worden beoordeeld en geclassificeerd op basis van ernst en mogelijke impact op vertrouwelijkheid, integriteit en beschikbaarheid.
  • escalatie: Escalatieprocedures worden toegepast bij ernstigere incidenten en kwesties met een gereguleerde impact.
  • Onderzoek: Onderzoeken worden gedocumenteerd en belangrijke gebeurtenissen worden na afloop geëvalueerd.
  • Corrigerende acties: Corrigerende maatregelen worden bijgehouden om het risico op herhaling te verminderen.
Meldingen en rapportages met betrekking tot gehoste services: De bindende verplichtingen met betrekking tot melding en rapportage van beveiligingsincidenten (inclusief eventuele termijnen) zijn vastgelegd in de MSA voor gehoste services. Bij on-premise implementaties beheert de klant het incidentbeheer voor de door de klant beheerde infrastructuur; de provider ondersteunt softwaregerelateerde problemen conform de MSA/SQA.

Rapportagekanaal: support@sgsystemsglobal.comBij vermoedelijke problemen met de integriteit van gereguleerde gegevens, kunt u het volgende melden: Potential GxP / data integrity impact.

10) Back-ups, noodherstel en bedrijfscontinuïteit

De verwachtingen ten aanzien van continuïteit en herstel zijn afhankelijk van het implementatietype. Voor gehoste services worden de toepasselijke beschikbaarheids- en hersteldoelstellingen (indien van toepassing) gedefinieerd in de MSA/SLA en het bestelformulier. Bij on-premise installaties is de klant verantwoordelijk voor back-ups, noodherstel en hersteltesten, tenzij schriftelijk anders is overeengekomen.

Samenvattingen van de continuïteitscontrole omvatten:

  • Gedocumenteerde herstelmethode: Gedocumenteerde herstelprocedures die aansluiten op het gekozen implementatiemodel.
  • Doel van de back-upintegriteit: controles die bedoeld zijn om herstelbaarheid te ondersteunen en het risico op gegevensverlies binnen de gedefinieerde grenzen te verminderen.
  • Doel van de hersteltest: Periodieke activiteiten ter voorbereiding op herstel, afgestemd op de geografische grenzen en het serviceontwerp.
Gezaghebbende bron: Beschikbaarheidsverplichtingen, uitsluitingen en eventuele RTO/RPO-doelstellingen worden gedefinieerd in de MSA (inclusief SLA) en het bijbehorende bestelformulier.
11) Derden, subverwerkers en privacy

Gehoste diensten kunnen worden geleverd via externe providers zoals gespecificeerd in het bestelformulier/ondertekende voorstel. Het gebruik van subverwerkers door providers en de voorwaarden voor privacyverwerking (indien van toepassing) worden geregeld door de MSA en eventuele toepasselijke gegevensverwerkingsaddendum (DPA).

  • Subverwerkers: Ingeschakeld op basis van schriftelijke overeenkomsten die bedoeld zijn om klantgegevens te beschermen en te voldoen aan geheimhoudingsverplichtingen.
  • Gegevensverwerking: Indien wettelijk vereist, worden privacyvoorwaarden vastgelegd in een gegevensverwerkingsovereenkomst (DPA) die door middel van een verwijzing is opgenomen en op verzoek beschikbaar wordt gesteld.
  • Systeemgrens: De verantwoordelijkheden verschillen afhankelijk van of de implementatie gehost of on-premise is en worden contractueel vastgelegd.
12) Kwalificatie van leveranciers, auditondersteuning en bewijsmateriaal

SG Systems Global Ondersteunt de klantonderzoeksprocedure en de kwalificatie van leveranciers door middel van documentatie en gestructureerde antwoorden die zijn afgestemd op de systeemgrenzen en het implementatietype. Voor gereguleerde/GxP-projecten definieert de SQA (indien betrokken) het kwaliteits- en operationele kader, inclusief auditondersteunende structuren en verantwoordelijkheden voor gereguleerd gebruik.

  • Ondersteuning bij het behalen van de kwalificatie: Er worden antwoorden en documenten aangeleverd ter ondersteuning van de kwalificatieprocessen voor leveranciers door de klant.
  • Auditsamenwerking: mits vertrouwelijkheid en een redelijke planning zoals gedefinieerd in de MSA/SQA.
  • Onafhankelijke beoordeling: Het door de assessor opgestelde document ondersteunt de discussies en de controle-evaluatie in deel 11.

Referenties: SQA | MSA | Onafhankelijke beoordeling

13) Beveiligingsdocumentatie aanvragen

Aanvullende documentatie met betrekking tot beveiliging en naleving kan aan klanten en gekwalificeerde potentiële klanten worden verstrekt ter ondersteuning van due diligence en leverancierskwalificatie, onder voorbehoud van geheimhoudingsverplichtingen (MSA) en, indien van toepassing, NDA-voorwaarden.

Voorbeelden van documentatie die op verzoek beschikbaar zijn (indien van toepassing):

  • Samenvattingen van documentatie over wijzigingsbeheer en releases
  • Samenvatting van de incidentafhandeling in overeenstemming met de contractuele verplichtingen.
  • Samenvatting van de continuïteit van back-up/noodherstel, afgestemd op de implementatiegrens.
  • Onafhankelijke beoordelingsdocumentatie (21 CFR Deel 11)
  • Lijst met subverwerkers en DPA-sjabloon (indien van toepassing)
  • Gestructureerde vragenlijstantwoorden (SIG/CAIQ-stijl) indien gevraagd.
Verzoek: E-mail support@sgsystemsglobal.com Vermeld hierbij de bedrijfsnaam, het implementatietype (gehost of on-premise), de planning en uw checklist.
14) Documentbeheer
DocumentVeiligheid en vertrouwen (samenvatting voor de klant)
Versie2.16
RechtspersoonSG Systems, LLC
Adres6944 Meadowbriar Lane, Dallas, TX 75230
Goedgekeurd doorStuart Hunt; Simon Hartley
Contactsupport@sgsystemsglobal.com
Referentieset:

Deze pagina dient uitsluitend ter informatie en wijzigt de contractuele voorwaarden niet.

15) Change Log

Version 2.16 — Effective April 20th 2026.

  • Added the document version and effective date at the top of the page in the same style used for the MSA and SQA.
  • Adjusted typography weights to better align with the lighter presentation style used across the updated legal and trust pages.
  • Retained Document Control as a collapsed accordion and kept the existing content structure intact.

This update is intended as a presentation and document-control revision unless otherwise stated in a separately approved contractual document.