Este Adendo de Qualidade do Fornecedor (o “controle de qualidade”) É celebrado por e entre SG Systems, LLC, uma sociedade de responsabilidade limitada organizada e existente sob as leis do Estado do Texas, com sua sede principal localizada em 6944 Meadowbriar Lane, Dallas, TX 75230 (“Provedor”), e a pessoa física ou jurídica que celebrou o Contrato Mestre de Prestação de Serviços do Fornecedor (“O cliente").

Objetivo Este documento de Garantia de Qualidade de Software (SQA) define a estrutura de qualidade operacional e as responsabilidades que dão suporte ao uso regulamentado do software e dos serviços do Fornecedor pelo Cliente, incluindo as expectativas em relação ao controle de mudanças, tratamento de incidentes/problemas de qualidade, suporte a auditorias, serviços de suporte à validação (quando adquiridos) e responsabilidades de implantação para Serviços Hospedados versus Instalações Locais.

Para quem é este produto? Este adendo de qualidade do fornecedor (SQA) geralmente é solicitado por clientes que operam sob as expectativas de BPF/GxP (por exemplo, fabricação farmacêutica e ambientes de cadeia de suprimentos regulamentados). Clientes não regulamentados normalmente não exigem um adendo de qualidade do fornecedor.

Incorporação. Este Acordo de Qualidade de Fornecedor (SQA) destina-se a ser incorporado e regido pelo Contrato de Prestação de Serviços Principal do Fornecedor (o “Contrato Integral para Venda de Ativos”) localizado em https://sgsystemsglobal.com/master-services-agreement/Os termos em maiúsculas não definidos neste SQA têm os significados atribuídos no MSA.

Proibida a duplicação. Nos casos em que os tópicos já são regidos pelo MSA (por exemplo, confidencialidade, limitação de responsabilidade, honorários e obrigações gerais de segurança), este SQA direcionará o leitor para a(s) seção(ões) aplicável(eis) do MSA, em vez de repeti-las.

1.1 Relação com o MSA. Este Acordo de Qualificação de Fornecedores (SQA) complementa o Acordo de Nível de Serviço (MSA) para contas regulamentadas/GxP e tem como objetivo apoiar a qualificação de fornecedores e as expectativas de auditoria. Os termos comerciais, licenciamento, confidencialidade, privacidade, propriedade intelectual, isenções de garantia, indenizações, limitações de responsabilidade e resolução de disputas são regidos pelo MSA (ver, por exemplo, MSA §§12–18).

1.2 Quando se aplica este SQA. Este Acordo de Qualidade de Serviço (SQA) aplica-se somente se for mencionado em um Formulário de Pedido assinado / Proposta assinada ou em um adendo escrito assinado por ambas as Partes.

1.3 Ordem de precedência. Em caso de conflito, aplica-se a seguinte ordem:

• (1) Formulário de Pedido / Proposta Assinada (para escopo, entregáveis, opções de implantação e seleções comerciais, como o nível de SLA);
• (2) Este SQA (para obrigações regulamentadas de qualidade operacional e estruturas de suporte a contas regulamentadas); e
• (3) O MSA (para todos os outros termos, incluindo o quadro jurídico/comercial).

1.4 Sem ampliação da responsabilidade. Nada neste SQA amplia a responsabilidade do Fornecedor além do que está estabelecido na limitação de responsabilidade e nas isenções de responsabilidade do MSA (ver MSA §§15–17).

2.1 Abrangência. Este Acordo de Qualidade de Software (SQA) aplica-se ao software e aos serviços do Fornecedor adquiridos pelo Cliente ao abrigo do Contrato de Nível de Serviço (MSA) e do Formulário de Encomenda/Proposta Assinada aplicável, incluindo (conforme o caso) Serviços de Alojamento, suporte à Instalação Local e serviços de suporte a contas regulamentadas.

2.2 Fora do escopo. O Cliente permanece responsável pelo seu sistema de qualidade, POPs (Procedimentos Operacionais Padrão), definições de uso pretendido, projeto de processo, treinamento de usuários e execução/aprovação de validação dentro do ambiente do Cliente (ver MSA §7.2 e §10).

2.3 Limites entre hospedagem e infraestrutura local. As responsabilidades de implantação dependem da implantação selecionada no Formulário de Pedido/Proposta Assinada aplicável:

• Serviços hospedados. O provedor é responsável pela operação dos Serviços Hospedados em conformidade com o SLA selecionado e os requisitos aplicáveis ​​do MSA (ver MSA §4.2, §9 e §11). O cliente permanece responsável pelos seus controles de processo regulamentados, decisões de governança de acesso e validação dentro do seu SGQ.
• Instalação no local. O cliente é responsável pela infraestrutura, segurança, backups e recuperação de desastres do ambiente local, salvo estipulação em contrário por escrito (ver MSA §4.3 e §9.4). O provedor oferece suporte e documentação focados em software, em conformidade com o MSA e quaisquer serviços adquiridos.

3.1 “Conta Regulamentada” Significa um envolvimento do Cliente onde o Cliente exige documentos de qualificação do fornecedor e/ou contratos formais com fornecedores, em conformidade com as expectativas de GxP.

3.2 “Problema de Qualidade” Significa um problema suspeito ou confirmado que pode afetar o comportamento relevante para as Boas Práticas de Fabricação (GxP), a integridade dos dados, a rastreabilidade, a auditabilidade, a disponibilidade das operações regulamentadas ou os controles de sistema documentados.

3.3 “Evento de Qualidade” Significa um Problema de Qualidade que foi confirmado ou encaminhado para investigação formal e remediação documentada, incluindo ações corretivas e/ou preventivas, quando apropriado.

3.4 “Serviços de Validação” Significa serviços profissionais pagos que dão suporte às atividades de validação do Cliente, como assistência em IQ/OQ e/ou facilitação de UAT, quando explicitamente adquiridos e definidos em um Formulário de Pedido / Proposta Assinada (ver MSA §3 e §7.4).

3.5 “Nível de SLA” Significa a seleção do nível de serviço (se houver) especificada no Formulário de Pedido/Proposta Assinada aplicável que define os objetivos de disponibilidade e recuperação para Serviços Hospedados (ver MSA §11).

3.6 “Ambiente hospedado” Significa o ambiente de hospedagem em nuvem selecionado para os Serviços Hospedados, como AWS, Microsoft Azure ou outro provedor mutuamente acordado, conforme declarado no Formulário de Pedido/Proposta Assinada aplicável.

4.1 Canal principal para suspeitas de problemas de qualidade. O cliente deverá reportar quaisquer problemas de qualidade suspeitos através do Suporte do Fornecedor, no seguinte endereço: support@sgsystemsglobal.com.

4.2 Emissão de bilhetes e rastreabilidade (“circuito fechado”). O processo operacional padrão do provedor para recebimento e resolução de problemas é o seguinte:

• Ingestão: O e-mail do cliente para o Suporte é registrado como um caso no sistema de suporte ao cliente do provedor (Salesforce) e recebe um identificador de caso.
• Rastreamento de engenharia: Quando for necessário trabalho de engenharia, o Fornecedor cria e vincula um item de trabalho correspondente no sistema de acompanhamento de desenvolvimento do Fornecedor (Jira).
• Resolução e encerramento: O provedor registra as notas de resolução, as referências de liberação (se aplicável) e o status de encerramento no caso de suporte, fechando o ciclo para fins de auditoria.

4.3 Metas de resposta. Para Serviços Hospedados, os prazos de resposta e resolução são regidos pelo SLA do MSA (consulte MSA §11.4). Para Instalações Locais, o Provedor fará todos os esforços comercialmente razoáveis ​​para responder de acordo com o modelo de suporte no Formulário de Pedido/Proposta Assinada aplicável e no MSA (consulte MSA §11.2).

4.4 Escalonamento por parte do cliente. Caso haja suspeita de que um problema de qualidade afete registros regulamentados, trilhas de auditoria ou o comportamento de controle do sistema, o Cliente deverá informar:Potencial impacto nas Boas Práticas de Fabricação (GxP) / integridade de dados"Inclua 'nome do usuário' na linha de assunto para facilitar a triagem adequada."

5.1 Princípio da responsabilidade compartilhada. A conformidade com as normas é uma responsabilidade compartilhada. O fornecedor oferece suporte ao uso regulamentado por meio de controles de software, documentação e (quando adquiridos) serviços de suporte à validação. O cliente permanece responsável pelo uso pretendido, pelas decisões de configuração, pelos controles de procedimento, pelo treinamento e pela execução/aprovação da validação dentro do sistema de qualidade do cliente (ver MSA §7.2 e §10).

5.2 Divisão prática de responsabilidades.

5.3 Confidencialidade e direitos de dados. A propriedade, a confidencialidade e o processamento da privacidade dos dados do cliente são regidos pelo MSA (consulte o MSA §12, incluindo §12.3 a §12.5, e o DPA, se aplicável).

6.1 Suporte básico (incluído). Durante uma assinatura ativa, o Provedor oferece assistência razoável para dúvidas sobre o comportamento e a configuração do sistema, além de fornecer documentação padrão e notas de versão como parte da prestação normal do serviço (consulte MSA §7.4 e §2.23).

6.2 Serviços de Validação Empresarial/Pagos. Para contas regulamentadas, o provedor oferece serviços de validação pagos que podem incluir:

• Suporte IQ/OQ: Pacotes de modelos e assistência remota adequada, alinhada à execução do Cliente no ambiente do Cliente;
• Suporte à facilitação de testes de aceitação do usuário (UAT): Apoio ao planejamento, coordenação do ciclo de testes, triagem de problemas/coordenação de novos testes (conforme definido);
• Suporte regulamentado para entrada em operação: Assistência estruturada na transição, alinhada à abordagem planejada de validação/entrada em produção do cliente.

6.3 Como os Serviços de Validação são adquiridos. Os serviços de validação são não incluso Por padrão. Normalmente são oferecidos por Empreendimento Os serviços contratados são precificados e definidos no Formulário de Pedido/Proposta Assinada aplicável como serviços profissionais adicionais pagos (ver MSA §3 e §3.6).

6.4 O cliente mantém a responsabilidade. O cliente permanece responsável pela estratégia de validação final, execução, revisão, aprovação e decisões de revisão periódica contínua dentro do sistema de qualidade do cliente (ver MSA §7.2 e §10.1).

7.1 Avaliação independente. O provedor teve seu sistema avaliado de forma independente por Dr. Bob McDowall para alinhamento com controles técnicos comumente associados a 21 CFR Part 11 expectativas.

7.2 Acesso à documentação de avaliação (Necessário acordo de confidencialidade). A pedido do Cliente, o Fornecedor poderá disponibilizar a documentação de avaliação para fins de qualificação interna de fornecedores e suporte a auditorias do Cliente, desde que:

• O Cliente assinou o acordo de confidencialidade (NDA) do Fornecedor (ou as Partes têm um NDA em vigor que é aceitável para o Fornecedor);
• O cliente possui uma assinatura ativa e em situação regular; e
• O cliente concorda que a documentação é informação confidencial e será tratada de acordo com os termos de confidencialidade do MSA (ver MSA §12).

7.3 Limitação importante. A existência de uma avaliação independente apoia as atividades de qualificação de fornecedores do Cliente, mas não substitui as responsabilidades de validação do Cliente ou a determinação do uso pretendido (ver MSA §7.2 e §10.1).

8.1 Atualizações controladas. O provedor gerencia as atualizações de software sob uma abordagem de controle de mudanças apropriada para ambientes regulamentados. Para os termos oficiais de controle de mudanças, consulte a seção Controle de Mudanças e Atualizações do MSA (ver MSA §8).

8.2 Implantação de serviços hospedados. Para Serviços Hospedados, o Provedor controla o cronograma de implantação e fornece aviso prévio para atualizações importantes, de acordo com o MSA (consulte MSA §8.1), exceto para patches de segurança de emergência (consulte MSA §8.4).

8.3 Implantação local. Para instalações locais, o cliente controla quando as atualizações são implantadas em seus ambientes. O fornecedor disponibiliza notas de versão e suporte adequado para auxiliar o cliente na avaliação e nos testes (consulte MSA §8.2 e §8.3).

Documentação da versão 8.4. As notas de lançamento do provedor identificarão as alterações materiais e, quando aplicável, incluirão considerações de validação para alterações que possam afetar trilhas de auditoria, controles de acesso ou fluxos de trabalho regulamentados (consulte MSA §8.3 e §7.4).

9.1 Admissão e triagem. Os problemas de qualidade suspeitos são relatados através de support@sgsystemsglobal.comO provedor fará a triagem, solicitará informações adicionais conforme necessário e classificará a gravidade usando a abordagem de suporte alinhada ao SLA/modelo de suporte (consulte MSA §11.4 para Serviços Hospedados).

9.2 Investigação e documentação. Para eventos de qualidade confirmados, o provedor documentará as notas de investigação, os fatores contribuintes e o status da remediação no caso do Salesforce e no item de trabalho do Jira vinculados (conforme aplicável).

9.3 Ações corretivas e preventivas. Quando razoável e apropriado, o Fornecedor implementará ações corretivas (correções/atualizações/alterações de processo) e ações preventivas para reduzir o risco de recorrência. A profundidade da investigação e da documentação pode variar de acordo com a gravidade e o impacto.

9.4 Controles do lado do cliente. O Cliente é responsável pela gestão de desvios, controle de mudanças e atividades de avaliação de impacto dentro do seu próprio Sistema de Gestão da Qualidade (SGQ). O Fornecedor apoiará, dentro do razoável, as solicitações do Cliente por informações necessárias para a sua avaliação, respeitando a confidencialidade e o Acordo de Nível de Serviço (ver MSA §7.2, §7.5 e §12).

10.1 Seleção do ambiente de hospedagem. Para serviços hospedados, o Cliente pode selecionar o ambiente de hospedagem (por exemplo, AWS, Microsoft Azure ou outro provedor mutuamente acordado), conforme especificado no Formulário de Pedido/Proposta Assinada aplicável.

10.2 Os objetivos de recuperação e desastres dependem do nível do SLA. Para serviços hospedados, a recuperação de desastres e os objetivos de recuperação (incluindo RTO/RPO, quando aplicável) são regidos pelo Nível de SLA selecionados no Formulário de Pedido / Proposta Assinada e os termos do SLA da MSA (ver MSA §11.5 e §11.9).

10.3 Segurança e resposta a incidentes. As obrigações de segurança do provedor e os compromissos de resposta a incidentes de segurança para serviços hospedados são regidos pelo MSA (consulte o MSA §9, incluindo o §9.2). Para instalações locais, o cliente é responsável pela segurança da infraestrutura e pelos controles de proteção (consulte o MSA §9.4).

10.4 Manutenção programada e exclusões. A disponibilidade dos Serviços Hospedados e as exclusões do SLA são descritas no MSA (consulte MSA §11.10).

11.1 Princípio de apoio à auditoria. O provedor cooperará de forma razoável com as auditorias do cliente relacionadas aos controles de software e, para serviços hospedados, aos registros relevantes de entrega/segurança do serviço, sujeitos à confidencialidade e a um cronograma razoável (ver MSA §7.5 e §12).

11.2 Abordagem de auditoria (eficiente por padrão). Para minimizar interrupções e proteger informações de segurança sensíveis, o provedor geralmente oferece suporte à qualificação de fornecedores por meio de:

• Conjunto de documentação padrão do fornecedor (por exemplo, notas de versão e resumos de controle);
• Respostas ao questionário; e
• Discussões focadas, limitadas aos limites do sistema e aos controles aplicáveis.

11.3 Suporte à inspeção. Caso o Cliente notifique o Fornecedor de que está sendo submetido a uma inspeção regulatória que possa envolver o software/serviços do Fornecedor, este fará todos os esforços comercialmente razoáveis ​​para atender às solicitações de informações relacionadas aos componentes controlados pelo Fornecedor, respeitando a confidencialidade e o MSA.

11.4 Taxas para pedidos extraordinários. Caso o Cliente solicite participação extensiva em auditorias, documentação personalizada, atividades no local ou trabalho que ultrapasse a cooperação razoável, tal trabalho poderá exigir taxas adicionais e um contrato por escrito (em conformidade com o modelo de serviços profissionais previsto nas Seções 3 e 7.4 do MSA).

12.1 Direitos de dados e confidencialidade. A propriedade, a confidencialidade e a assistência padrão à exportação dos dados do cliente são regidas pelo MSA (ver MSA §12.3–§12.5) e por qualquer DPA aplicável (ver MSA §12.4).

12.2 Cópia da base de dados SQL após o término do contrato (contas regulamentadas). Para contas regulamentadas cobertas por este Acordo de Qualidade de Software (SQA), após o término ou expiração da assinatura aplicável por qualquer motivo, o Cliente poderá solicitar uma cópia do banco de dados SQL associado ao seu ambiente de produção. O Provedor disponibilizará a cópia do banco de dados SQL ao Cliente. dentro de trinta (30) dias de rescisão, desde que:

• O cliente envia a solicitação por escrito para support@sgsystemsglobal.com (ou outro canal de suporte designado);
• Todos os valores devidos e incontroversos foram pagos; e
• A solicitação é tecnicamente viável dentro dos limites do sistema e não exige que o Provedor divulgue dados de outros clientes ou Informações Confidenciais do Provedor.

12.3 Formato e entrega. O fornecedor entregará a cópia do banco de dados SQL utilizando um método comercialmente razoável e adequado para transferência segura. Caso o cliente necessite de um formato de exportação especializado, transformação ou extração de dados adicionais além da cópia padrão do banco de dados, esse trabalho poderá estar sujeito a taxas adicionais e a um acordo por escrito.

12.4 Janela de recuperação hospedada. Qualquer período adicional para recuperação de dados e prazos de exclusão após o término do contrato para Serviços Hospedados é regido pelo MSA (consulte MSA §5.4). Esta seção de Garantia de Qualidade de Serviço (SQA) fornece um documento específico para contas regulamentadas (cópia do banco de dados SQL) e não amplia as obrigações de suporte pós-término.

13.1 Fornecedores de hospedagem. Os serviços hospedados são fornecidos por meio de um provedor de hospedagem em nuvem terceirizado no ambiente hospedado selecionado, conforme especificado no formulário de pedido/proposta assinada.

13.2 Subprocessadores e terceiros. A utilização de subcontratados e prestadores de serviços terceirizados pelo provedor, incluindo as obrigações de proteção de dados, é regida pelo MSA e (quando aplicável) pela DPA (ver MSA §12.4).

13.3 Fluxo descendente. O provedor envidará esforços comercialmente razoáveis ​​para garantir que as obrigações relevantes sejam repassadas aos terceiros aplicáveis ​​utilizados para fornecer os Serviços Hospedados, em conformidade com as práticas padrão de gestão de fornecedores do provedor.

14.1 Prazo. Este Acordo de Qualidade de Serviço (SQA) entra em vigor quando incorporado por referência em um Formulário de Pedido / Proposta Assinada (ou adendo executado) e permanece em vigor durante o período da(s) assinatura(s) aplicável(eis), a menos que seja rescindido antecipadamente de acordo com o MSA.

14.2 Alterações. Quaisquer alterações a este Acordo de Qualidade de Serviço (SQA) devem ser feitas por escrito e assinadas por ambas as Partes, em conformidade com os requisitos de alteração do MSA (ver MSA §18.9).

14.2.1 Versão do documento. Este documento HTML SQA é a versão 1.10 do documento do provedor, com vigência a partir de 20 de abril de 2026. O bloco de versão e o registro de alterações incluídos neste documento servem para fins de controle e referência.

14.3 Referências cruzadas úteis de MSA.

• Regulamentação e responsabilidade compartilhada: MSA §7 e §10
• Controle de alterações e atualizações: MSA §8
• Segurança e resposta a incidentes: MSA §9
• SLA (Serviços Hospedados): MSA §11
• Confidencialidade e dados do cliente: MSA §12
• Encerramento/rescisão e recuperação de dados hospedados: MSA §5
• Serviços profissionais / integração: MSA §3

Contato 14.4. Para questões de qualidade, suspeitas de integridade de dados ou solicitações relacionadas a contas regulamentadas sob este Acordo de Qualidade Padrão (SQA), entre em contato com: support@sgsystemsglobal.com.