Dette tillegget for leverandørkvalitet («SQA«) inngås mellom SG Systems, LLC, et aksjeselskap organisert og eksistert i henhold til lovene i delstaten Texas, med hovedkontor på 6944 Meadowbriar Lane, Dallas, TX 75230 («Provider”), og personen eller enheten som har inngått hovedavtalen for leverandørtjenester (“Kunde-").

Hensikt. Denne kvalitetssikringen definerer rammeverket for operativ kvalitet og ansvar som støtter kundens regulerte bruk av leverandørens programvare og tjenester, inkludert forventninger rundt endringskontroll, håndtering av hendelser/kvalitetsproblemer, revisjonsstøtte, valideringsstøttetjenester (der det er kjøpt) og implementeringsansvar for vertsbaserte tjenester versus lokale installasjoner.

Hvem dette er for. Denne kvalitetssikringen (SQA) etterspørres vanligvis av kunder som opererer under GMP/GxP-forventninger (f.eks. farmasøytisk produksjon og regulerte forsyningskjedemiljøer). Ikke-regulerte kunder trenger vanligvis ikke et tillegg for leverandørkvalitet.

Inkorporering. Denne kvalitetskontrollen er ment å bli innlemmet i og regulert av leverandørens hovedavtale for tjenester («MSA) som ligger på https://sgsystemsglobal.com/master-services-agreement/Begreper med store bokstaver som ikke er definert i denne kvalitetskontrollen har betydningen som er gitt i MSA-en.

Ingen duplisering. Der emner allerede er regulert av MSA (f.eks. konfidensialitet, ansvarsbegrensning, gebyrer og generelle sikkerhetsforpliktelser), vil denne SQA-en henvise leseren til den/de gjeldende MSA-delen(e) i stedet for å gjenta dem.

1.1 Forholdet til MSA. Denne kvalitetssikringsavtalen (SQA) supplerer MSA-en for regulerte/GxP-kontoer og er ment å støtte forventningene til leverandørkvalifisering og revisjon. De kommersielle vilkårene, lisensiering, konfidensialitet, personvern, immaterielle rettigheter, garantifraskrivelser, erstatninger, ansvarsbegrensninger og tvisteløsning er regulert av MSA-en (se for eksempel MSA §§12–18).

1.2 Når denne kvalitetskontrollen gjelder. Denne SQA-en gjelder kun dersom den er referert til i et signert bestillingsskjema / signert tilbud eller et skriftlig tillegg utstedt av begge parter.

1.3 Prioriteringsrekkefølge. Ved konflikt gjelder følgende rekkefølge:

• (1) Bestillingsskjema / Signert tilbud (for omfang, leveranser, distribusjonsvalg og kommersielle valg som SLA-nivå);
• (2) Denne kvalitetssikringen (for regulerte kvalitetsdriftsforpliktelser og støttekonstruksjoner for regulerte kontoer); og
• (3) MSA-en (for alle andre vilkår, inkludert juridisk/kommersielt rammeverk).

1.4 Ingen utvidelse av ansvar. Ingenting i denne SQA-en utvider leverandørens ansvar utover det som er angitt i MSA-ansvarsbegrensningene og ansvarsfraskrivelsene (se MSA §§15–17).

2.1 Inngår i omfanget. Denne SQA-en gjelder for leverandørens programvare og tjenester som er kjøpt av kunden i henhold til hovedavtalen og gjeldende bestillingsskjema/signert tilbud, inkludert (etter behov) vertsbaserte tjenester, støtte for installasjon på stedet og regulerte kontostøttetjenester.

2.2 Utenfor omfanget. Kunden er fortsatt ansvarlig for kundens kvalitetssystem, standard operasjonsoperasjoner (SOP-er), definisjoner av tiltenkt bruk, prosessdesign, brukeropplæring og utførelse/godkjenning av validering i kundens miljø (se MSA §7.2 og §10).

2.3 Grense mellom vertsbasert og lokal drift. Ansvaret for utplassering avhenger av utplasseringen som er valgt i det aktuelle bestillingsskjemaet / det signerte tilbudet:

• Vertsbaserte tjenester. Leverandøren er ansvarlig for å drifte de vertsbaserte tjenestene i samsvar med den valgte tjenestenivåavtalen og gjeldende MSA-krav (se MSA §4.2, §9 og §11). Kunden er fortsatt ansvarlig for sine regulerte prosesskontroller, beslutninger om tilgangsstyring og validering innenfor sitt kvalitetsstyringssystem.
• Installasjon på stedet. Kunden er ansvarlig for infrastruktur, sikkerhet, sikkerhetskopiering og katastrofegjenoppretting for det lokale miljøet, med mindre annet er skriftlig angitt (se MSA §4.3 og §9.4). Leverandøren tilbyr programvarefokusert støtte og dokumentasjon i samsvar med MSA og eventuelle kjøpte tjenester.

3.1 «Regulert konto» betyr et kundeengasjement der kunden krever leverandørkvalifikasjonsartefakter og/eller formelle leverandøravtaler i samsvar med GxP-forventningene.

3.2 «Kvalitetsproblem» betyr et mistenkt eller bekreftet problem som kan påvirke GxP-relevant atferd, dataintegritet, sporbarhet, revideringsmulighet, tilgjengelighet av regulerte operasjoner eller dokumenterte systemkontroller.

3.3 «Kvalitetsarrangement» betyr et kvalitetsproblem som er bekreftet eller eskalert for formell undersøkelse og dokumentert utbedring, inkludert korrigerende og/eller forebyggende tiltak der det er aktuelt.

3.4 «Valideringstjenester» betyr betalte profesjonelle tjenester som støtter kundens valideringsaktiviteter, som IQ/OQ-assistanse og/eller UAT-tilrettelegging, der det er eksplisitt kjøpt og omfattet av et bestillingsskjema/signert tilbud (se MSA §3 og §7.4).

3.5 «SLA-nivå» betyr valget av tjenestenivå (hvis noen) spesifisert i det gjeldende bestillingsskjemaet / det signerte tilbudet som definerer tilgjengelighet og gjenopprettingsmål for vertsbaserte tjenester (se MSA §11).

3.6 «Vertsbasert miljø» betyr skyhostingmiljøet som er valgt for vertsbaserte tjenester, for eksempel AWS, Microsoft Azure eller en annen gjensidig avtalt leverandør, som angitt i det gjeldende bestillingsskjemaet/signerte tilbudet.

4.1 Primærkanal for mistenkte kvalitetsproblemer. Kunden skal rapportere mistenkte kvalitetsproblemer gjennom leverandørstøtte på: support@sgsystemsglobal.com.

4.2 Billettsystem og sporbarhet («lukket sløyfe»). Leverandørens standard driftsprosess for innsamling og lukking av problemer er:

• inntak: Kundens e-post til kundestøtte logges som en sak i leverandørens kundestøttesystem (Salesforce) og tildeles en saksidentifikator.
• Ingeniørsporing: Når det kreves ingeniørarbeid, oppretter og lenker leverandøren et tilsvarende arbeidselement i leverandørens utviklingssporingssystem (Jira).
• Løsning og avslutning: Leverandøren registrerer løsningsnotater, utgivelsesreferanser (hvis aktuelt) og avslutningsstatus i støttesaken, og lukker dermed sløyfen for revisjonsmuligheter.

4.3 Responsmål. For vertsbaserte tjenester styres respons- og løsningsmål av MSA-tjenestenivåavtalen (se MSA §11.4). For lokale installasjoner skal leverandøren gjøre kommersielt rimelige anstrengelser for å svare i samsvar med supportmodellen i det gjeldende bestillingsskjemaet / signerte tilbudet og MSA (se MSA §11.2).

4.4 Kundeeskalering. Hvis det er mistanke om at et kvalitetsproblem påvirker regulerte registre, revisjonsspor eller systemkontrollatferd, skal kunden oppgi «Potensiell innvirkning på GxP / dataintegritet« i emnefeltet for å legge til rette for riktig sortering.

5.1 Prinsippet om delt ansvar. Overholdelse av regulerte bestemmelser er et delt ansvar. Leverandøren støtter regulert bruk gjennom programvarekontroller, dokumentasjon og (der det er kjøpt) valideringsstøttetjenester. Kunden er fortsatt ansvarlig for tiltenkt bruk, konfigurasjonsbeslutninger, prosedyrekontroller, opplæring og utførelse/godkjenning av validering innenfor kundens kvalitetssystem (se MSA §7.2 og §10).

5.2 Praktisk ansvarsfordeling.

5.3 Konfidensialitet og datarettigheter. Eierskap av kundedata, konfidensialitet og personvernbehandling er regulert av MSA (se MSA §12, inkludert §12.3–§12.5, og DPA hvis aktuelt).

6.1 Grunnleggende støtte (inkludert). Under et aktivt abonnement gir Leverandøren rimelig assistanse for spørsmål om systemoppførsel og konfigurasjon, og tilbyr standarddokumentasjon og utgivelsesnotater som en del av normal tjenestelevering (se MSA §7.4 og §2.23).

6.2 Bedrifts- / betalte valideringstjenester. For regulerte kontoer tilbyr leverandøren betalte valideringstjenester som kan omfatte:

• IQ/OQ-støtte: malpakker og rimelig fjernhjelp tilpasset kundens utførelse i kundens miljø;
• Støtte til UAT-tilrettelegging: planleggingsstøtte, koordinering av testsyklus, koordinering av problemstilling/retester (etter omfang);
• Regulert støtte for igangsetting: strukturert assistanse ved overgang til sluttbruker i tråd med kundens planlagte validerings-/go-live-tilnærming.

6.3 Hvordan valideringstjenester kjøpes. Valideringstjenester er ikke inkludert som standard. De tilbys vanligvis for Enterprise oppdrag og er priset og omfattet av gjeldende bestillingsskjema / signert tilbud som ytterligere betalte profesjonelle tjenester (se MSA §3 og §3.6).

6.4 Kunden beholder ansvaret. Kunden er fortsatt ansvarlig for endelig valideringsstrategi, utførelse, gjennomgang, godkjenning og løpende periodiske gjennomgangsbeslutninger innenfor kundens kvalitetssystem (se MSA §7.2 og §10.1).

7.1 Uavhengig vurdering. Leverandøren har fått systemet sitt uavhengig vurdert av Dr. Bob McDowall for samsvar med tekniske kontroller som vanligvis er forbundet med 21 CFR del 11 forventningene.

7.2 Tilgang til vurderingsdokumentasjon (krever taushetserklæring). På kundens forespørsel kan leverandøren gjøre vurderingsdokumentasjonen tilgjengelig for kundens interne leverandørkvalifisering og revisjonsstøtte, forutsatt at:

• Kunden har undertegnet Leverandørens taushetserklæring (eller partene har en taushetserklæring på plass som Leverandøren kan akseptere);
• Kunden har et aktivt abonnement med god anseelse; og
• Kunden samtykker i at dokumentasjonen er konfidensiell informasjon og vil bli håndtert i henhold til MSAs konfidensialitetsvilkår (se MSA §12).

7.3 Viktig begrensning. Eksistensen av en uavhengig vurdering støtter kundens leverandørkvalifiseringsaktiviteter, men den erstatter ikke kundens valideringsansvar eller bestemmelse av tiltenkt bruk (se MSA §7.2 og §10.1).

8.1 Kontrollerte oppdateringer. Leverandøren administrerer programvareoppdateringer under en kontrollert endringstilnærming som er passende for regulerte miljøer. For de autoritative vilkårene for endringskontroll, se MSA-delen av endringskontroll og oppdateringer (se MSA §8).

8.2 Implementering av vertsbaserte tjenester. For vertsbaserte tjenester kontrollerer leverandøren distribusjonstidspunktet og gir forhåndsvarsel om større oppdateringer i samsvar med MSA (se MSA §8.1), med unntak av nødsikkerhetsoppdateringer (se MSA §8.4).

8.3 Lokal distribusjon. For lokale installasjoner kontrollerer kunden når oppdateringer distribueres til kundens miljøer. Leverandøren tilbyr utgivelsesnotater og rimelig støtte for å bistå kunden med evaluering og testing (se MSA §8.2 og §8.3).

8.4 Utgivelsesdokumentasjon. Leverandørens utgivelsesnotater vil identifisere vesentlige endringer og, når det er aktuelt, inkludere valideringshensyn for endringer som kan påvirke revisjonsspor, tilgangskontroller eller regulerte arbeidsflyter (se MSA §8.3 og §7.4).

9.1 Inntak og triage. Mistenkte kvalitetsproblemer rapporteres via support@sgsystemsglobal.comLeverandøren vil prioritere, be om avklarende informasjon etter behov og klassifisere alvorlighetsgrad ved hjelp av støttetilnærmingen som er i tråd med SLA-/støttemodellen (se MSA §11.4 for vertsbaserte tjenester).

9.2 Undersøkelse og dokumentasjon. For bekreftede kvalitetshendelser vil leverandøren dokumentere undersøkelsesnotater, medvirkende faktorer og status for utbedring i den lenkede Salesforce-saken og Jira-arbeidselementet (etter behov).

9.3 Korrigerende og forebyggende tiltak. Der det er rimelig og hensiktsmessig, vil leverandøren iverksette korrigerende tiltak (rettelser/oppdateringer/prosessendringer) og forebyggende tiltak for å redusere risikoen for gjentakelse. Omfanget av undersøkelser og dokumentasjon kan variere avhengig av alvorlighetsgrad og konsekvens.

9.4 Kundesidekontroller. Kunden er ansvarlig for kundens egen avvikshåndtering, endringskontroll og konsekvensutredningsaktiviteter innenfor kundens kvalitetsstyringssystem. Leverandøren skal i rimelig grad støtte kundens forespørsler om informasjon som er nødvendig for kundens vurdering, underlagt konfidensialitet og MSA (se MSA §7.2, §7.5 og §12).

10.1 Valg av vertsbasert miljø. For vertsbaserte tjenester kan kunden velge det vertsbaserte miljøet (f.eks. AWS, Microsoft Azure eller en annen gjensidig avtalt leverandør) som spesifisert i det gjeldende bestillingsskjemaet/det signerte tilbudet.

10.2 DR- og gjenopprettingsmål avhenger av SLA-nivå. For vertsbaserte tjenester styres målene for katastrofegjenoppretting og gjenoppretting (inkludert RTO/RPO der det er aktuelt) av SLA-nivå valgt i bestillingsskjemaet / det signerte tilbudet og MSA SLA-vilkårene (se MSA §11.5 og §11.9).

10.3 Sikkerhet og hendelsesrespons. Leverandørens sikkerhetsforpliktelser og forpliktelser til håndtering av sikkerhetshendelser for vertsbaserte tjenester er regulert av MSA (se MSA §9, inkludert §9.2). For lokale installasjoner er kunden ansvarlig for sikkerhets- og beskyttelseskontroller for infrastrukturen (se MSA §9.4).

10.4 Planlagt vedlikehold og unntak. Tilgjengelighet av vertsbaserte tjenester og unntak fra tjenestenivåavtaler er beskrevet i hovedavtalen (MSA) (se MSA §11.10).

11.1 Prinsipp for revisjonsstøtte. Leverandøren skal samarbeide på rimelig vis med kundens revisjoner knyttet til programvarekontrollene og, for vertsbaserte tjenester, relevante tjenesteleverings-/sikkerhetsregistre, underlagt konfidensialitet og rimelig planlegging (se MSA §7.5 og §12).

11.2 Revisjonsmetoden (effektiv som standard). For å redusere avbrudd og beskytte sensitiv sikkerhetsinformasjon støtter leverandøren generelt leverandørkvalifisering ved hjelp av:

• Leverandørens standard dokumentasjonssett (f.eks. utgivelsesnotater og kontrollsammendrag);
• Svar på spørreskjemaet; og
• Fokuserte diskusjoner begrenset til systemgrensene og gjeldende kontroller.

11.3 Inspeksjonsstøtte. Hvis Kunden varsler Leverandøren om at Kunden gjennomgår en myndighetsinspeksjon som kan involvere Leverandørens programvare/tjenester, skal Leverandøren gjøre kommersielt rimelige anstrengelser for å støtte informasjonsforespørsler knyttet til Leverandørkontrollerte komponenter, underlagt konfidensialitet og MSA.

11.4 Gebyrer for ekstraordinære forespørsler. Dersom kunden ber om omfattende revisjonsdeltakelse, tilpasset dokumentasjon, aktiviteter på stedet eller arbeid utover rimelig samarbeid, kan slikt arbeid kreve tilleggsgebyrer og en skriftlig avtale (i samsvar med modellen for profesjonelle tjenester i MSA §3 og §7.4).

12.1 Datarettigheter og konfidensialitet. Eierskap til kundedata, konfidensialitet og standard eksporthjelp er regulert av MSA (se MSA §12.3–§12.5) og eventuell gjeldende DPA (se MSA §12.4).

12.2 Kopi av SQL-database etter oppsigelse (regulerte kontoer). For regulerte kontoer som dekkes av denne SQA-en, kan kunden, ved opphør eller utløp av det aktuelle abonnementet uansett årsak, be om en kopi av SQL-databasen som er knyttet til kundens produksjonsmiljø. Leverandøren skal gjøre SQL-databasekopien tilgjengelig for kunden. innen tretti (30) dager av oppsigelse, forutsatt at:

• Kunden sender inn forespørselen skriftlig til support@sgsystemsglobal.com (eller annen angitt støttekanal);
• Alle ubestridte forfalte beløp er betalt; og
• Forespørselen er teknisk gjennomførbar innenfor systemgrensene og krever ikke at leverandøren utleverer andre kunders data eller leverandørens konfidensielle informasjon.

12.3 Format og levering. Leverandøren skal levere SQL-databasekopien ved hjelp av en kommersielt rimelig metode som er egnet for sikker overføring. Hvis kunden krever et spesialisert eksportformat, transformasjon eller ytterligere datauttrekk utover standard databasekopien, kan slikt arbeid kreve tilleggsgebyrer og skriftlig avtale.

12.4 Vindu for vertsbasert henting. Eventuelle ytterligere vinduer for henting av data og tidslinjer for sletting av vertsbaserte tjenester etter opphør av tjenesteavtalen (se MSA §5.4). Denne SQA-delen inneholder en regulert, kontospesifikk leveranse (kopi av SQL-database) og utvider ikke forpliktelsene til støtte etter opphør av tjenesteavtalen på annen måte.

13.1 Hostingleverandører. Hostede tjenester leveres ved hjelp av en tredjeparts skyhostingleverandør i det valgte hostede miljøet, som spesifisert i bestillingsskjemaet / det signerte tilbudet.

13.2 Underdatabehandlere og tredjeparter. Leverandørens bruk av underdatabehandlere og tredjeparts tjenesteleverandører, inkludert forpliktelser til databeskyttelse, er regulert av MSA og (der det er aktuelt) DPA (se MSA §12.4).

13.3 Nedstrømning. Leverandøren skal gjøre en kommersielt rimelig innsats for å sikre at relevante forpliktelser overføres til aktuelle tredjeparter som brukes til å levere vertsbaserte tjenester, i samsvar med leverandørens standard praksis for leverandøradministrasjon.

14.1 Varighet. Denne SQA-en trer i kraft når den er innlemmet ved referanse i et bestillingsskjema / signert forslag (eller undertegnet tillegg) og forblir gjeldende i løpet av det/de aktuelle abonnementsperioden, med mindre den sies opp tidligere i samsvar med MSA.

14.2 Endringer. Eventuelle endringer i denne SQA-en må være skriftlige og signert av begge parter, i samsvar med MSA-endringskravene (se MSA §18.9).

14.2.1 Dokumentversjon. Denne HTML SQA-en er leverandørdokumentversjon 1.10, gjeldende fra 20. april 2026. Versjonsblokken og endringsloggen som er inkludert i dette dokumentet, er innlemmet for dokumentkontroll og referanseformål.

14.3 Nyttige MSA-kryssreferanser.

• Reguleringsmessig og delt ansvar: MSA §7 og §10
• Endringskontroll og oppdateringer: MSA §8
• Sikkerhet og hendelsesrespons: MSA §9
• SLA (hostede tjenester): MSA §11
• Konfidensialitet og kundedata: MSA §12
• Termin/oppsigelse og henting av vertsbaserte data: MSA §5
• Profesjonelle tjenester / onboarding: MSA §3

14.4 Kontakt. Ved kvalitetsproblemer, mistenkte bekymringer om dataintegritet eller forespørsler om regulerte kontoer i henhold til denne kvalitetskontrollen, kontakt: support@sgsystemsglobal.com.