Bezpieczeństwo i zaufanie

Zarządzanie, kontrola i gotowość audytowa

Wersja 2.16

Obowiązuje od 23 lutego 2026 r.

Bezpieczeństwo i zaufanie — zakres, stosowalność i hierarchia dokumentów Podsumowanie informacji o bezpieczeństwie i zaufaniu dla klienta w ramach rozwiązania V5 Traceability, mające na celu wsparcie kwalifikacji dostawców, przeglądu ryzyka przedsiębiorstwa i dyskusji na temat regulowanego użytkowania.

Zakres. Ta strona podsumowuje SG Systems Globalpostawa bezpieczeństwa i zaufania do usługi V5 Traceability i powiązanych usług, w tym Usługi hostowane oraz Instalacje lokalne zgodnie z wyborem dokonanym w stosownym Formularzu zamówienia / Podpisanej propozycji.

Hierarchia dokumentów (kolejność pierwszeństwa). W przypadku wystąpienia konfliktu, dokumentami kontrolnymi są:

  • (1) Formularz zamówienia / Podpisana oferta (zakres, wybór wdrożenia, wybór poziomów, daty wejścia w życie);
  • (2) Dodatek dotyczący jakości dostawców (SQA) (regulowane/operacyjne konstrukcje GxP) wyłącznie w przypadku włączenia ich przez odniesienie do zaangażowania; i
  • (3) Umowa ramowa o świadczenie usług (MSA) (rama prawna/handlowa, umowa SLA, obowiązki bezpieczeństwa, warunki dotyczące danych klientów).

Wyrównywanie umów. Niniejsza strona ma charakter informacyjny i nie modyfikuje warunków umowy. Wszelkie wskaźniki poziomu usług, terminy powiadomień i wiążące zobowiązania są określone w umowie MSA/SLA oraz obowiązującym formularzu zamówienia (oraz SQA, jeśli jest on zawarty).

Operacje zdalne. SG Systems Global działa jako organizacja stawiająca na pracę zdalną. Kontrola kładzie nacisk na tożsamość, zarządzanie dostępem, bezpieczne korzystanie z punktów końcowych i kontrolowane administrowanie systemami.

Referencje: Umowa ramowa o świadczenie usług (MSA, obejmuje SLA) | Dodatek dotyczący jakości dostawców (SQA) | Wymagania systemowe V5 | Wdrażanie i wdrażanie | Niezależna ocena zgodnie z częścią 11 21 CFR

Kontakt w sprawie bezpieczeństwa: wsparcie@sgsystemsglobal.com

1) Zarządzanie programem bezpieczeństwa

SG Systems Global utrzymuje program bezpieczeństwa informacji oparty na ocenie ryzyka, którego celem jest ochrona poufności, integralności i dostępności danych i usług klientów oraz wspieranie działalności w regulowanych środowiskach produkcyjnych.

Elementy programu obejmują:

  • Odpowiedzialność i nadzór: zdefiniowano odpowiedzialność za bezpieczeństwo w celu zapewnienia skuteczności kontroli, eskalacji i działań korygujących.
  • Zarządzanie ryzykiem: identyfikacja i ocena ryzyka, wybór środków kontroli i śledzenie działań naprawczych.
  • Kontrola polityki i procedur: udokumentowane praktyki dotyczące działań istotnych z punktu widzenia bezpieczeństwa (dostęp, kontrola zmian, obsługa incydentów, ciągłość).
  • Przegląd okresowy: praktyki bezpieczeństwa są weryfikowane i aktualizowane w miarę rozwoju systemów, zagrożeń i oczekiwań klientów.
Klienci objęci regulacjami: Kwalifikacja dostawców i konstrukcje jakościowo-operacyjne są uwzględniane w ocenie jakości (SQA) w przypadku włączenia ich do zaangażowania.
2) Granica wdrożenia i wspólna odpowiedzialność (hostowane czy lokalne)

Zakres odpowiedzialności zależy od wdrożenia wybranego w formularzu zamówienia / podpisanej ofercie. Rozwiązanie V5 Traceability może być dostarczane w formie usług hostowanych lub instalacji lokalnej.

Obszar kontrolnyUsługi hostowane (w centrum uwagi dostawcy)Instalacja na miejscu (koncentracja na kliencie)
Bezpieczeństwo infrastrukturyZarządza granicami hostowanymi zgodnie z MSA/SLA i obowiązującym Formularzem zamówienia.Odpowiedzialny za serwery, bezpieczeństwo sieci, stosowanie poprawek, tworzenie kopii zapasowych/odzyskiwanie po awarii oraz kontrolę infrastruktury pomocniczej.
Dostępność i odzyskiwanieCele dotyczące dostępności i odzyskiwania (jeśli mają zastosowanie) są określone w umowie MSA/SLA i formularzu zamówienia.Odpowiedzialny za dostępność, cele odzyskiwania i testowanie odzyskiwania, chyba że uzgodniono inaczej na piśmie.
Zarządzanie dostępem użytkownikówKlient definiuje role/uprawnienia, zatwierdza dostęp, wykonuje czynności związane z dostarczaniem/usuwaniem danych uwierzytelniających i zabrania udostępniania danych uwierzytelniających.
Walidacja i przeznaczenieKlient jest odpowiedzialny za decyzje dotyczące walidacji/kwalifikacji i przeznaczenia produktu w ramach Systemu Zarządzania Jakością Klienta; Dostawca dostarcza dokumentację i konstrukcje pomocnicze zgodnie z MSA/SQA.
Zmień kontrolęDostawca kontroluje wdrażanie i publikuje dokumentację wydań dla Usług Hostowanych zgodną z MSA/SQA.Klient kontroluje czas wdrażania i testowania aktualizacji lokalnych; Dostawca zapewnia dokumentację wydań i wsparcie zgodnie z MSA/SQA.

Referencje: MSA, Kontrola jakości, Wymagania systemowe.

3) Tożsamość, uwierzytelnianie i kontrola dostępu

Kontrola dostępu została zaprojektowana tak, aby wspierać minimalne uprawnienia, rozliczalność i kontrolowane zarządzanie. W środowiskach regulowanych kontrola dostępu to połączenie technical oraz proceduralny dyscyplina.

  • Dostęp oparty na rolach: uprawnienia są przypisywane według roli, aby dopasować funkcje do obowiązków służbowych.
  • Unikalna odpowiedzialność: użytkownicy powinni być jednoznacznie identyfikowani; używanie wspólnych danych uwierzytelniających powinno być zabronione.
  • Zarządzanie dostępem: klienci kontrolują zapewnianie/usuwanie dostępu, projektowanie ról i okresowe przeglądy dostępu w ramach swoich procedur operacyjnych (SOP).
  • Dostęp uprzywilejowany: dostęp administracyjny jest ograniczony do upoważnionego personelu i ograniczony do potrzeb operacyjnych.
Odpowiedzialność klienta: W przypadku działalności regulowanej klienci powinni wdrożyć procedury dotyczące zarządzania kontem, okresowych przeglądów, zarządzania szkoleniami oraz (w stosownych przypadkach) uprawnień i znaczenia podpisu elektronicznego.
4) Ślady audytu, zapisy elektroniczne i integralność danych (kontekst GxP)

Rozwiązanie V5 Traceability obsługuje prowadzenie dokumentacji zorientowane na śledzenie i zostało zaprojektowane tak, aby obsługiwać zachowania kontrolne powszechnie oczekiwane w przypadku regulowanych zapisów elektronicznych, w tym działania przypisywalne, zachowanie ścieżki audytu, kontrolę integralności zapisów i zachowanie podpisu elektronicznego, jeśli ma to zastosowanie i zostało skonfigurowane.

Niezależna ocena (w kontekście 21 CFR część 11). V5 Traceability posiada niezależny artefakt oceny, który ma wspierać kwalifikację dostawców i dyskusje na temat plików CSV. Zobacz: Niezależna ocena zgodnie z częścią 11 21 CFR.

Granica regulacyjna: Artefakty niezależnej oceny wspierają kwalifikację dostawców i ocenę kontroli. Nie zastępują one walidacji dokonywanej przez klienta, określenia przeznaczenia ani procedur kontrolnych klienta.
5) Ochrona danych i poufność

SG Systems Global chroni informacje klientów, stosując środki administracyjne, techniczne i umowne, dostosowane do celów poufności, integralności i dostępności. Poufność umowna, prawa klientów do danych oraz warunki przetwarzania danych osobowych (w stosownych przypadkach) podlegają ustawie MSA i powiązanym dokumentom.

  • Poufność: kontrole mające na celu zapobieganie nieautoryzowanemu ujawnieniu informacji o klientach.
  • Integralność: kontrole mające na celu zachowanie integralności zapisów i umożliwienie śledzenia ich przebiegu w celu przeprowadzenia audytu.
  • Dostępność: kontrole operacyjne właściwe dla wybranego typu wdrożenia; cele Usługi Hostowanej (jeśli mają zastosowanie) są określone w umowie MSA/SLA.

Aby zapoznać się z wiążącymi warunkami dotyczącymi poufności i danych klientów, zapoznaj się z MSA.

6) Bezpieczny cykl życia rozwoju (SDLC) i dyscyplina wydawnicza

Rozwiązanie V5 Traceability jest opracowywane i utrzymywane przy użyciu kontrolowanych praktyk mających na celu zapewnienie niezawodnego i podlegającego audytowi sposobu udostępniania danych regulowanym klientom.

Podsumowania kontroli SDLC obejmują:

  • Wprowadzanie kontrolowanych zmian: zmiany są planowane, wdrażane i sprawdzane przed udostępnieniem.
  • Przegląd dyscypliny: zmiany w kodzie i konfiguracji podlegają przeglądowi przed wdrożeniem.
  • Separacja środowiskowa: Działania związane z rozwojem/testowaniem i produkcją są kontrolowane w celu ograniczenia ryzyka nieautoryzowanych zmian.
  • Dokumentacja wydania: W notatkach dotyczących wydania opisano istotne zmiany oraz, w stosownych przypadkach, kwestie związane z walidacją.
Klienci objęci regulacjami: Obowiązki dotyczące kontroli zmian i praktyki dotyczące udostępniania danych są regulowane przez ustawę MSA oraz, tam gdzie jest ona włączona, przez ustawę SQA.
7) Zarządzanie zmianą (podsumowanie kontroli skierowanej do klienta)

SG Systems Global stosuje kontrolowane podejście do zarządzania zmianą w celu zapewnienia przewidywalnego świadczenia usług i oczekiwań dotyczących regulowanego użytkowania.

Podsumowania kontroli zarządzania zmianą obejmują:

  • Ocena zmian: zmiany oceniane są pod kątem potencjalnego wpływu na klientów, w tym, w stosownych przypadkach, pod kątem wpływu na regulacje.
  • Dyscyplina zatwierdzania: zmiany w produkcji wymagają udokumentowanego zatwierdzenia przed ich udostępnieniem.
  • Kontrola wdrażania: Za wdrożenie usług hostowanych odpowiada Dostawca; za wdrożenie lokalne odpowiada Klient.
  • Zmiany awaryjne: W razie konieczności przeciwdziałania aktywnym zagrożeniom możliwe jest wprowadzenie awaryjnych zmian w zabezpieczeniach; zmiany te muszą być dokumentowane i komunikowane zgodnie z warunkami umowy.

Terminy wiążącej kontroli zmian są zdefiniowane w MSA i, w przypadku włączenia, Kontrola jakości.

8) Zarządzanie podatnościami

SG Systems Global zarządza lukami w zabezpieczeniach poprzez ich identyfikację, selekcję, naprawę i weryfikację, przy czym priorytetyzacja zależy od stopnia zagrożenia i możliwości wykorzystania luk.

Podsumowania kontroli zarządzania podatnościami obejmują:

  • Triaż i ustalanie priorytetów: ocenić zakres, powagę, podatność na wykorzystanie oraz potencjalny wpływ na klienta.
  • Rekultywacja: stosować poprawki/łatki i dokumentować istotne zmiany w dokumentacji wydania, jeśli jest to właściwe.
  • Komunikacja: komunikacja z klientami odbywa się zgodnie z konstrukcjami umownymi i operacyjnymi zawartymi w MSA/SQA.

Aby zgłosić podejrzenie luki w zabezpieczeniach lub problem dotyczący bezpieczeństwa, wyślij wiadomość e-mail wsparcie@sgsystemsglobal.com z tematem: Security Concern.

9) Zarządzanie incydentami i reagowanie na incydenty bezpieczeństwa

SG Systems Global prowadzi proces zarządzania incydentami i reagowania na incydenty bezpieczeństwa, którego celem jest umożliwienie szybkiej selekcji, powstrzymania, zbadania i komunikacji z klientami, w tym uwzględnienie kwestii regulowanego użytkowania, w których integralność rekordów może zostać naruszona.

Podsumowania kontroli zarządzania incydentami obejmują:

  • Klasyfikacja: zdarzenia są oceniane i klasyfikowane na podstawie ich wagi i potencjalnego wpływu na poufność, integralność i dostępność.
  • Eskalacja: ścieżki eskalacji stosuje się w przypadku zdarzeń o większej wadze i obaw o regulowany wpływ.
  • Dochodzenie: dochodzenia są dokumentowane, a istotne zdarzenia podlegają przeglądowi po incydencie.
  • Działania korygujące: Działania korygujące są monitorowane w celu ograniczenia ryzyka ponownego wystąpienia problemu.
Powiadomienia i raporty dotyczące usług hostowanych: Wiążące powiadomienia o incydentach bezpieczeństwa i obowiązki raportowania (w tym wszelkie harmonogramy) są określone w Umowie MSA dla Usług Hostowanych. W przypadku wdrożeń lokalnych Klient kontroluje zarządzanie incydentami w infrastrukturze kontrolowanej przez Klienta; Dostawca obsługuje kwestie związane z oprogramowaniem zgodnie z Umową MSA/SQA.

Kanał raportowania: wsparcie@sgsystemsglobal.comW przypadku podejrzenia naruszenia integralności danych/rekordów regulowanych należy uwzględnić: Potential GxP / data integrity impact.

10) Kopie zapasowe, odzyskiwanie po awarii i ciągłość działania firmy

Oczekiwania dotyczące ciągłości i odzyskiwania danych zależą od rodzaju wdrożenia. W przypadku Usług Hostowanych, obowiązujące cele dotyczące dostępności i odzyskiwania danych (jeśli takie istnieją) są określone w umowie MSA/SLA oraz formularzu zamówienia. W przypadku instalacji lokalnych, Klient ponosi odpowiedzialność za tworzenie kopii zapasowych, odzyskiwanie danych po awarii oraz testowanie odzyskiwania danych, o ile nie uzgodniono inaczej na piśmie.

Podsumowania kontroli ciągłości obejmują:

  • Udokumentowane podejście do odzyskiwania: udokumentowane procedury odzyskiwania dostosowane do wybranego modelu wdrożenia.
  • Zamiar zachowania integralności kopii zapasowej: kontrole mające na celu wspieranie odzyskiwania danych i ograniczanie ryzyka utraty danych w określonych granicach.
  • Cel testów odzyskiwania: okresowe czynności zapewniające gotowość do odzyskiwania danych, odpowiednie do granic hostowanych i projektu usługi.
Wiarygodne odniesienie: zobowiązania dotyczące dostępności, wykluczenia i wszelkie cele RTO/RPO są określone w MSA (obejmuje SLA) i obowiązującego Formularza Zamówienia.
11) Dostawcy zewnętrzni, podmioty przetwarzające i prywatność

Usługi Hostowane mogą być świadczone za pośrednictwem zewnętrznych dostawców, zgodnie z warunkami określonymi w Formularzu Zamówienia / Podpisanej Ofercie. Korzystanie przez dostawców z usług podprocesorów oraz zasady przetwarzania danych osobowych (w stosownych przypadkach) podlegają ustawie MSA oraz wszelkim obowiązującym Dodatkom dotyczącym Przetwarzania Danych (DPA).

  • Podprocesorzy: współpracują na podstawie pisemnych umów mających na celu ochronę danych klientów i przestrzeganie zobowiązań dotyczących poufności.
  • Przetwarzanie danych: Jeśli wymaga tego prawo, postanowienia dotyczące prywatności są określone w Umowie o ochronie danych osobowych, włączonej przez odniesienie i udostępnianej na żądanie.
  • Granica systemu: obowiązki różnią się w zależności od tego, czy wdrożenie jest hostowane, czy lokalne i są określone w umowie.
12) Kwalifikacja dostawców, wsparcie audytu i dowody

SG Systems Global wspiera należytą staranność klienta i kwalifikację dostawców, wykorzystując dokumentację i ustrukturyzowane odpowiedzi dostosowane do granic systemu i rodzaju wdrożenia. W przypadku działań regulowanych/GxP, SQA (jeśli jest wdrożony) definiuje ramy jakościowo-operacyjne, w tym konstrukcje wspierające audyt i obowiązki związane z regulowanym użytkowaniem.

  • Wsparcie kwalifikacyjne: odpowiedzi i artefakty są dostarczane w celu wsparcia procesów kwalifikacji klientów i dostawców.
  • Współpraca audytorska: świadczone z zastrzeżeniem zachowania poufności i rozsądnego harmonogramu, zgodnie z definicją zawartą w MSA/SQA.
  • Niezależna ocena: Artefakt autorstwa oceniającego wspiera dyskusje Części 11 i ocenę kontroli.

Referencje: Kontrola jakości | MSA | Niezależna ocena

13) Poproś o dokumentację bezpieczeństwa

Klienci i potencjalni klienci mogą otrzymać dodatkową dokumentację dotyczącą bezpieczeństwa i zgodności, która będzie służyć dobru klienta i kwalifikacji dostawców, z zastrzeżeniem zobowiązań dotyczących poufności (MSA) oraz, w stosownych przypadkach, warunków umowy NDA.

Przykłady dokumentacji dostępnej na żądanie (jeśli ma to zastosowanie):

  • Podsumowania dokumentacji dotyczącej zarządzania zmianami i wydań
  • Podsumowanie reakcji na incydenty zgodne z zobowiązaniami umownymi
  • Podsumowanie ciągłości tworzenia kopii zapasowych/odzyskiwania po awarii dostosowane do granic wdrożenia
  • Dokumentacja niezależnej oceny (21 CFR część 11)
  • Lista podprocesorów i wzór DPA (jeśli dotyczy)
  • Odpowiedzi na pytania w formie kwestionariusza strukturalnego (w stylu SIG/CAIQ) na żądanie
Żądanie: Email wsparcie@sgsystemsglobal.com i uwzględnij nazwę firmy, typ wdrożenia (hostowane lub lokalne), harmonogram i listę kontrolną.
14) Kontrola dokumentów
dokumentBezpieczeństwo i zaufanie (podsumowanie dla klienta)
Wersja2.16
Podmiot prawnySG Systems, LLC
Adres6944 Meadowbriar Lane, Dallas, TX 75230
Zaakceptowany przezStuart Hunt; Simon Hartley
Kontakt wsparcie@sgsystemsglobal.com
Zestaw referencyjny:

Niniejsza strona ma charakter informacyjny i nie zmienia warunków umowy.