Sikkerhet og tillit

Styring, kontroll og revisjonsberedskap

versjon 2.16

Gyldig fra 23. februar 2026

Sikkerhet og tillit – omfang, anvendelighet og dokumenthierarki Kunderettet sikkerhets- og tillitssammendrag for V5-sporbarhet, ment å støtte leverandørkvalifisering, gjennomgang av bedriftsrisiko og diskusjoner om regulert bruk.

Omfang. Denne siden oppsummerer SG Systems Globalsikkerhets- og tillitsposisjon for V5-sporbarhet og relaterte tjenester, inkludert Vertsbaserte tjenester og Installasjoner på stedet som valgt i et gjeldende bestillingsskjema / signert forslag.

Dokumenthierarki (prioritetsrekkefølge). Hvis det er en konflikt, er de styrende dokumentene:

  • (1) Bestillingsskjema / Signert tilbud (omfang, valg av utplassering, nivåvalg, ikrafttredelsesdatoer);
  • (2) Tillegg om leverandørkvalitet (SQA) (regulerte/GxP-operative konstruksjoner), kun hvis de er innlemmet ved referanse for oppdraget; og
  • (3) Hovedavtale for tjenester (MSA) (juridisk/kommersielt rammeverk, tjenestenivåavtale, sikkerhetsforpliktelser, vilkår for kundedata).

Kontraktsjustering. Denne siden er kun til informasjon og endrer ikke kontraktsvilkårene. Eventuelle servicenivåmålinger, varslingsfrister og bindende forpliktelser er definert i MSA/SLA og gjeldende bestillingsskjema (og SQA der det er innlemmet).

Fjernstyrte operasjoner først. SG Systems Global opererer som en fjernstyrt organisasjon. Kontroller vektlegger identitet, tilgangsstyring, sikker bruk av endepunkter og kontrollert administrasjon av systemer.

Referanser: Hovedavtale for tjenester (MSA, inkluderer SLA) | Tillegg for leverandørkvalitet (SQA) | V5-systemkrav | Onboarding og implementering | Uavhengig vurdering i henhold til 21 CFR del 11

Sikkerhetskontakt: support@sgsystemsglobal.com

1) Styring av sikkerhetsprogram

SG Systems Global har et risikobasert informasjonssikkerhetsprogram som har som mål å beskytte konfidensialiteten, integriteten og tilgjengeligheten til kundedata og -tjenester, og å støtte drift i regulerte produksjonsmiljøer.

Programelementer inkluderer:

  • Ansvarlighet og tilsyn: definert sikkerhetseierskap for kontrolleffektivitet, eskaleringer og korrigerende tiltak.
  • Risikostyring: identifisering og vurdering av risikoer, valg av kontroller og sporing av utbedringsaktiviteter.
  • Kontroll av retningslinjer og prosedyrer: dokumenterte rutiner for sikkerhetsrelevante aktiviteter (tilgang, endringskontroll, hendelseshåndtering, kontinuitet).
  • Periodisk gjennomgang: Sikkerhetspraksis gjennomgås og oppdateres etter hvert som systemer, trusler og kundeforventninger utvikler seg.
Regulerte kunder: Leverandørkvalifisering og kvalitetsmessige driftskonstruksjoner er adressert i kvalitetskontrollen når de er innlemmet i oppdraget.
2) Implementeringsgrenser og delt ansvar (hostet vs. lokalt)

Ansvaret avhenger av hvilken distribusjon som er valgt i bestillingsskjemaet / det signerte tilbudet. V5-sporbarhet kan leveres som vertsbaserte tjenester eller som en lokal installasjon.

KontrollområdeVertsbaserte tjenester (leverandørfokus)Installasjon på stedet (kundefokus)
Infrastruktur sikkerhetDriver den vertsbaserte grensen i samsvar med MSA/SLA og gjeldende bestillingsskjema.Ansvarlig for servere, nettverkssikkerhet, patching, sikkerhetskopiering/DR og støttende infrastrukturkontroller.
Tilgjengelighet og gjenopprettingTilgjengelighets- og gjenopprettingsmål (hvis aktuelt) er definert i MSA/SLA og bestillingsskjemaet.Ansvarlig for oppetid, gjenopprettingsmål og gjenopprettingstesting med mindre annet er skriftlig avtalt.
Styring av brukertilgangKunden definerer roller/tillatelser, godkjenner tilgang, utfører klargjøring/avklaring og forbyr delt legitimasjon.
Validering og tiltenkt brukKunden er ansvarlig for validering/kvalifisering og beslutninger om tiltenkt bruk innenfor kundens kvalitetsstyringssystem. Leverandøren leverer dokumentasjon og støttekonstruksjoner i henhold til MSA/SQA.
Endre kontrollLeverandøren kontrollerer utrullingen og publiserer utgivelsesdokumentasjon for vertsbaserte tjenester i samsvar med MSA/SQA.Kunden kontrollerer distribusjonstidspunktet og testing for lokale oppdateringer; leverandøren tilbyr utgivelsesdokumentasjon og støtte i henhold til MSA/SQA.

Referanser: MSA, SQA, Systemkrav.

3) Identitet, autentisering og tilgangskontroll

Tilgangskontroll er utformet for å støtte minst mulig privilegier, ansvarlighet og kontrollert administrasjon. I regulerte miljøer er tilgangskontroll en kombinert teknisk og prosedyremessig disiplin.

  • Rollebasert tilgang: Tillatelser tildeles per rolle for å samkjøre funksjoner med jobbansvar.
  • Unik ansvarlighet: Brukere bør identifiseres unikt; bruk av delt legitimasjon bør forbys.
  • Tilgangsstyring: Kunder kontrollerer klargjøring/avklaring, rolledesign og periodiske tilgangsgjennomganger i sine SOP-er.
  • Privilegert tilgang: Administrativ tilgang er begrenset til autorisert personell for operative behov.
Kundens ansvar: I regulert virksomhet bør kunder opprettholde prosedyrer for kontoadministrasjon, periodisk gjennomgang, opplæringsstyring og (der det er aktuelt) elektronisk signaturautorisasjon og betydning.
4) Revisjonsspor, elektroniske registre og dataintegritet (GxP-kontekst)

V5 Sporbarhet støtter sporbarhetsorientert arkivering og er utformet for å støtte kontrollatferd som vanligvis forventes for regulerte elektroniske arkiver, inkludert tilskrivbare handlinger, revisjonssporatferd, kontroller av arkivintegritet og elektronisk signaturatferd der det er aktuelt og konfigurert.

Uavhengig vurdering (kontekst i henhold til 21 CFR del 11). V5 Sporbarhet har en uavhengig vurderingsartefakt som er ment å støtte leverandørkvalifisering og CSV-diskusjoner. Se: Uavhengig vurdering i henhold til 21 CFR del 11.

Reguleringsgrense: Uavhengige vurderingsartefakter støtter leverandørkvalifisering og kontrollevaluering. De erstatter ikke kundevalidering, bestemmelse av tiltenkt bruk eller kundens prosedyremessige kontroller.
5) Databeskyttelse og konfidensialitet

SG Systems Global beskytter kundeinformasjon ved hjelp av administrative, tekniske og kontraktsmessige kontroller som er i tråd med mål for konfidensialitet, integritet og tilgjengelighet. Kontraktsmessig konfidensialitet, rettigheter til kundedata og vilkår for personvernbehandling (der det er aktuelt) er regulert av MSA og relaterte dokumenter.

  • Konfidensialitet: kontroller som har som mål å forhindre uautorisert utlevering av kundeinformasjon.
  • Integritet: kontroller som er ment å bevare registreringsintegriteten og støtte revisjonsklar sporbarhet.
  • Tilgjengelighet: driftskontroller som er passende for den valgte utplasseringstypen; mål for den vertsbaserte tjenesten (hvis aktuelt) er definert i MSA/SLA.

For bindende konfidensialitets- og kundedatavilkår, se MSA.

6) Sikker utviklingslivssyklus (SDLC) og utgivelsesdisiplin

V5 Sporbarhet utvikles og vedlikeholdes ved hjelp av kontrollerte praksiser som er ment å støtte en pålitelig og reviderbar utgivelsesstruktur for regulerte kunder.

SDLC-kontrollsammendrag inkluderer:

  • Introduksjon til kontrollert endring: endringer planlegges, implementeres og gjennomgås før lansering.
  • Gjennomgå disiplin: Kode- og konfigurasjonsendringer må gjennomgås før utrulling.
  • Miljøseparasjon: Utviklings-/testings- og produksjonsaktiviteter kontrolleres for å redusere risikoen for uautoriserte endringer.
  • Utgivelsesdokumentasjon: Utgivelsesnotatene beskriver vesentlige endringer og, der det er relevant, valideringshensyn.
Regulerte kunder: Forpliktelser til endringskontroll og utgivelsespraksis er regulert av MSA og, der det er innlemmet, SQA.
7) Endringsledelse (sammendrag av kundeorientert kontroll)

SG Systems Global bruker en kontrollert tilnærming til endringshåndtering for å støtte forutsigbar tjenestelevering og forventninger til regulert bruk.

Sammendrag av kontrollene for endringshåndtering inkluderer:

  • Endringsevaluering: endringer vurderes med tanke på potensiell kundepåvirkning, inkludert hensyn til regulert påvirkning der det er aktuelt.
  • Godkjenningsdisiplin: Produksjonsendringer er underlagt dokumentert godkjenning før utgivelse.
  • Distribusjonskontroll: Implementering av vertsbaserte tjenester kontrolleres av leverandøren, mens implementeringer på stedet kontrolleres av kunden.
  • Nødstilfeller: Nødsituasjoner i sikkerheten kan utføres når det er nødvendig for å håndtere aktive trusler; slike endringer dokumenteres og kommuniseres i samsvar med kontraktsvilkår.

Bindende endringskontrollbegreper er definert i MSA og, der det er innlemmet, SQA.

8) Sårbarhetshåndtering

SG Systems Global håndterer sårbarheter gjennom identifisering, sortering, utbedring og verifisering, med prioritering basert på alvorlighetsgrad og utnyttbarhet.

Sammendrag av kontrollene for sårbarhetshåndtering inkluderer:

  • Triage og prioritering: evaluer omfang, alvorlighetsgrad, utnyttbarhet og potensiell kundepåvirkning.
  • Utbedring: implementere rettelser/oppdateringer og dokumentere vesentlige endringer i utgivelsesdokumentasjonen der det er hensiktsmessig.
  • Kommunikasjon: Kundekommunikasjon følger de kontraktsmessige og driftsmessige konstruksjonene i MSA/SQA.

For å rapportere en mistenkt sårbarhet eller sikkerhetsproblem, send en e-post support@sgsystemsglobal.com med emne: Security Concern.

9) Hendelseshåndtering og sikkerhetshendelsesrespons

SG Systems Global opprettholder en prosess for hendelseshåndtering og sikkerhetshendelsesrespons som er ment å støtte rask triage, inneslutning, etterforskning og kundekommunikasjon, inkludert hensyn til regulert bruk der arkivintegriteten kan bli påvirket.

Sammendrag av kontroll av hendelseshåndtering inkluderer:

  • Klassifisering: Hendelser vurderes og klassifiseres basert på alvorlighetsgrad og potensiell innvirkning på konfidensialitet, integritet og tilgjengelighet.
  • Eskalering: Eskaleringsveier brukes for hendelser med høyere alvorlighetsgrad og bekymringer med regulert innvirkning.
  • Etterforskning: etterforskningen dokumenteres, og vesentlige hendelser gjennomgås i etterkant av hendelsen.
  • Korrigerende tiltak: Korrigerende tiltak spores for å redusere risikoen for gjentakelse.
Varsel og rapportering om vertsbaserte tjenester: Bindende varsling om sikkerhetshendelser og rapporteringsforpliktelser (inkludert eventuelle tidslinjer) er definert i MSA for vertsbaserte tjenester. For lokale implementeringer kontrollerer kunden hendelseshåndteringen for kundekontrollert infrastruktur; leverandøren støtter programvarefokuserte problemer i samsvar med MSA/SQA.

Rapporteringskanal: support@sgsystemsglobal.comVed mistanke om bekymringer knyttet til regulerte registre/dataintegritet, inkluder: Potential GxP / data integrity impact.

10) Sikkerhetskopiering, katastrofegjenoppretting og forretningskontinuitet

Forventninger til kontinuitet og gjenoppretting avhenger av distribusjonstype. For vertsbaserte tjenester er gjeldende tilgjengelighets- og gjenopprettingsmål (hvis noen) definert i MSA/SLA og bestillingsskjemaet. For lokale installasjoner er kunden ansvarlig for sikkerhetskopiering, katastrofegjenoppretting og gjenopprettingstesting med mindre annet er skriftlig avtalt.

Sammendrag av kontinuitetskontroll inkluderer:

  • Dokumentert gjenopprettingsmetode: dokumenterte gjenopprettingsprosedyrer i samsvar med den valgte utrullingsmodellen.
  • Hensikt med sikkerhetskopieringintegritet: kontroller som er ment å støtte gjenoppretting og redusere risikoen for datatap innenfor den definerte grensen.
  • Hensikt med gjenopprettingstesting: periodiske gjenopprettingsberedskapsaktiviteter som er passende for den vertsbaserte grensen og tjenestedesignet.
Autoritativ referanse: tilgjengelighetsforpliktelser, unntak og eventuelle RTO/RPO-mål er definert i MSA (inkluderer tjenestenivåavtale) og det gjeldende bestillingsskjemaet.
11) Tredjepartsleverandører, underdatabehandlere og personvern

Vertsbaserte tjenester kan leveres ved hjelp av tredjepartsleverandører som spesifisert i bestillingsskjemaet / det signerte tilbudet. Leverandørens bruk av underdatabehandlere og vilkår for personvernbehandling (der det er aktuelt) er regulert av MSA og eventuelle gjeldende tillegg for databehandling (DPA).

  • Underbehandlere: engasjert under skriftlige avtaler som har som mål å beskytte kundedata og i samsvar med konfidensialitetsforpliktelser.
  • Databehandling: Der det er lovpålagt, er personvernvilkårene behandlet via en databehandleravtale som er innlemmet ved referanse og gjort tilgjengelig på forespørsel.
  • Systemgrense: Ansvar varierer avhengig av vertsbasert kontra lokal distribusjon og er definert kontraktsmessig.
12) Leverandørkvalifisering, revisjonsstøtte og dokumentasjon

SG Systems Global støtter kundeundersøkelser og leverandørkvalifisering ved hjelp av dokumentasjon og strukturerte svar som er tilpasset systemgrensen og distribusjonstypen. For regulerte/GxP-oppdrag definerer SQA (når den er innlemmet) det kvalitetsmessige og operasjonelle rammeverket, inkludert revisjonsstøttekonstruksjoner og ansvar for regulert bruk.

  • Kvalifiseringsstøtte: Svar og artefakter gis for å støtte arbeidsflyter for kvalifisering av kunders leverandører.
  • Revisjonssamarbeid: gitt underlagt konfidensialitet og rimelig tidsplanlegging som definert i MSA/SQA.
  • Uavhengig vurdering: Assessorforfattet artefakt støtter diskusjoner og kontrollevaluering i del 11.

Referanser: SQA | MSA | Uavhengig vurdering

13) Be om sikkerhetsdokumentasjon

Ytterligere sikkerhets- og samsvarsdokumentasjon kan gis til kunder og kvalifiserte potensielle kunder for å støtte due diligence og leverandørkvalifisering, underlagt taushetsplikt (MSA) og, der det er aktuelt, taushetspliktvilkår.

Eksempler på dokumentasjon tilgjengelig på forespørsel (hvis aktuelt):

  • Sammendrag av endringshåndtering og utgivelsesdokumentasjon
  • Sammendrag av hendelsesrespons i samsvar med kontraktsmessige forpliktelser
  • Sammendrag av sikkerhetskopiering/DR-kontinuitet justert til implementeringsgrensen
  • Uavhengig vurderingsdokumentasjon (21 CFR del 11)
  • Liste over underdatabehandlere og mal for databehandlingsavtale (der det er aktuelt)
  • Strukturerte spørreskjemasvar (SIG/CAIQ-stil) når det er forespurt
Be om: Epost support@sgsystemsglobal.com og inkluder firmanavn, distribusjonstype (hostet eller lokalt), tidslinje og sjekkliste.
14) Dokumentkontroll
DocumentSikkerhet og tillit (sammendrag for kunder)
Versjon2.16
Juridisk enhetSG Systems, LLC
Adresse6944 Meadowbriar Lane, Dallas, TX 75230
Godkjent avStuart Hunt; Simon Hartley
Kontaktsupport@sgsystemsglobal.com
Referansesett:

Denne siden er kun til informasjonsformål og endrer ikke kontraktsvilkårene.