Segurança e confiança

Governança, Controles e Preparação para Auditoria

Security and Trust | S.G. Systems, LLC

versão 2.16

Em vigor a partir de 20 de abril de 2026.

Segurança e Confiança — Escopo, Aplicabilidade e Hierarquia de Documentos Resumo de segurança e confiança para o cliente no âmbito do V5 Traceability, destinado a apoiar a qualificação de fornecedores, a análise de riscos empresariais e as discussões sobre utilização regulamentada.

Escopo. Esta página resume SG Systems GlobalA postura de segurança e confiança da empresa para rastreabilidade V5 e serviços relacionados, incluindo Serviços hospedados e Instalações no local conforme selecionado em um Formulário de Pedido/Proposta Assinada aplicável.

Hierarquia de documentos (ordem de precedência). Em caso de conflito, os documentos que prevalecem são:

  • (1) Formulário de Pedido / Proposta Assinada (âmbito, eleição de implantação, seleção de níveis, datas de vigência);
  • (2) Adendo de Qualidade do Fornecedor (SQA) (construções operacionais regulamentadas/GxP), somente se incorporadas por referência para o engajamento; e
  • (3) Contrato de Prestação de Serviços (MSA) (Quadro jurídico/comercial, SLA, obrigações de segurança, termos de dados do cliente).

Alinhamento contratual. Esta página é meramente informativa e não modifica os termos contratuais. Quaisquer métricas de nível de serviço, prazos de notificação e obrigações vinculativas estão definidos no MSA/SLA e no Formulário de Pedido aplicável (e no SQA, quando incorporado).

Operações com foco no trabalho remoto. SG Systems Global Opera como uma organização que prioriza o trabalho remoto. Os controles enfatizam a identidade, o gerenciamento de acesso, o uso seguro de endpoints e a administração controlada de sistemas.

Referências: Contrato de Prestação de Serviços (MSA, inclui SLA) | Adendo de Qualidade do Fornecedor (SQA) | Requisitos do sistema V5 | Integração e implementação | Avaliação independente de acordo com a Parte 11 do Título 21 do CFR

Contato de segurança: support@sgsystemsglobal.com

1) Governança do Programa de Segurança

SG Systems Global Mantém um programa de segurança da informação baseado em riscos, destinado a proteger a confidencialidade, a integridade e a disponibilidade dos dados e serviços dos clientes, bem como a dar suporte às operações em ambientes de fabricação regulamentados.

Os elementos do programa incluem:

  • Responsabilidade e supervisão: Responsabilidades definidas em relação à segurança para garantir a eficácia dos controles, escalonamentos e ações corretivas.
  • Gerenciamento de riscos: Identificação e avaliação de riscos, seleção de controles e acompanhamento das atividades de remediação.
  • Controle de políticas e procedimentos: Práticas documentadas para atividades relevantes à segurança (acesso, controle de mudanças, tratamento de incidentes, continuidade).
  • Revisão periódica: As práticas de segurança são revistas e atualizadas à medida que os sistemas, as ameaças e as expectativas dos clientes evoluem.
Clientes regulamentados: A qualificação de fornecedores e os conceitos de qualidade operacional são abordados no SQA (Avaliação da Qualidade de Fornecedores) quando incorporados ao projeto.
2) Limites de Implantação e Responsabilidade Compartilhada (Hospedado vs. Local)

As responsabilidades dependem da implementação selecionada no seu Formulário de Pedido/Proposta Assinada. O V5 Traceability pode ser fornecido como Serviços Hospedados ou como uma Instalação Local.

Área de ControleServiços hospedados (com foco no provedor)Instalação no local (foco no cliente)
Segurança de infra-estruturaOpera o limite hospedado de acordo com o MSA/SLA e o Formulário de Pedido aplicável.Responsável por servidores, segurança de rede, aplicação de patches, backups/recuperação de desastres e suporte aos controles de infraestrutura.
Disponibilidade e recuperaçãoOs objetivos de disponibilidade e recuperação (se aplicável) são definidos no MSA/SLA e no Formulário de Pedido.Responsável pelo tempo de atividade, objetivos de recuperação e testes de recuperação, salvo acordo em contrário por escrito.
Governança de acesso do usuárioO cliente define funções/permissões, aprova o acesso, realiza o provisionamento/desprovisionamento e proíbe o compartilhamento de credenciais.
Validação e uso pretendidoO cliente é responsável pela validação/qualificação e pelas decisões de uso pretendido dentro do seu Sistema de Gestão da Qualidade (SGQ); o fornecedor fornece a documentação e os recursos de suporte conforme o MSA/SQA.
Controle de mudançaO provedor controla a implementação e publica a documentação de lançamento dos Serviços Hospedados, em conformidade com o MSA/SQA.O cliente controla o cronograma de implantação e os testes para atualizações On-Prem; o provedor fornece a documentação de lançamento e o suporte conforme o MSA/SQA.

Referências: Contrato Integral para Venda de Ativos, controle de qualidade, Requerimentos do sistema.

3) Identidade, Autenticação e Controle de Acesso

O controle de acesso foi projetado para promover o princípio do menor privilégio, a responsabilização e a administração controlada. Em ambientes regulamentados, o controle de acesso é uma combinação de diversas estratégias. técnico e processual disciplina.

  • Acesso baseado em função: As permissões são atribuídas por função para alinhar as atividades às responsabilidades do cargo.
  • Responsabilidade única: Os usuários devem ser identificados de forma única; o uso de credenciais compartilhadas deve ser proibido.
  • Governança de acesso: Os clientes controlam o provisionamento/desprovisionamento, a definição de funções e as revisões periódicas de acesso em seus Procedimentos Operacionais Padrão (POPs).
  • Acesso privilegiado: O acesso administrativo é restrito a pessoal autorizado para fins operacionais.
Responsabilidade do cliente: Em operações regulamentadas, os clientes devem manter procedimentos para gerenciamento de contas, revisão periódica, governança de treinamento e (quando aplicável) autoridade e significado da assinatura eletrônica.
4) Trilhas de auditoria, registros eletrônicos e integridade de dados (Contexto GxP)

O V5 Traceability oferece suporte à manutenção de registros orientada à rastreabilidade e foi projetado para suportar comportamentos de controle normalmente esperados para registros eletrônicos regulamentados, incluindo ações atribuíveis, comportamento de trilha de auditoria, controles de integridade de registros e comportamento de assinatura eletrônica, quando aplicável e configurado.

Avaliação independente (contexto da Parte 11 do Título 21 do CFR). O V5 Traceability possui um artefato de avaliação independente destinado a apoiar a qualificação de fornecedores e as discussões sobre CSV (Verificação de Valor Agregado). Consulte: Avaliação independente de acordo com a Parte 11 do Título 21 do CFR.

Limite regulatório: Os artefatos de avaliação independentes apoiam a qualificação de fornecedores e a avaliação de controles. Eles não substituem a validação do cliente, a determinação do uso pretendido ou os controles de procedimento do cliente.
5) Proteção de Dados e Confidencialidade

SG Systems Global Protege as informações do cliente utilizando controles administrativos, técnicos e contratuais alinhados aos objetivos de confidencialidade, integridade e disponibilidade. A confidencialidade contratual, os direitos de dados do cliente e os termos de processamento de privacidade (quando aplicáveis) são regidos pelo MSA e documentos relacionados.

  • Confidencialidade: Controles destinados a impedir a divulgação não autorizada de informações do cliente.
  • Integridade: Controles destinados a preservar a integridade dos registros e a dar suporte à rastreabilidade para fins de auditoria.
  • Disponibilidade: Controles operacionais adequados ao tipo de implantação escolhido; os objetivos do Serviço Hospedado (se aplicável) estão definidos no MSA/SLA.

Para termos vinculativos de confidencialidade e dados do cliente, consulte o Contrato Integral para Venda de Ativos.

6) Ciclo de Vida de Desenvolvimento Seguro (SDLC) e Disciplina de Lançamento

A rastreabilidade V5 é desenvolvida e mantida utilizando práticas controladas destinadas a garantir uma postura de liberação confiável e auditável para clientes regulamentados.

Os resumos de controle do SDLC incluem:

  • Introdução à mudança controlada: As alterações são planejadas, implementadas e revisadas antes do lançamento.
  • Revisão da disciplina: Alterações no código e na configuração estão sujeitas a revisão antes da implementação.
  • Separação ambiental: As atividades de desenvolvimento/teste e produção são controladas para reduzir o risco de alterações não autorizadas.
  • Documentação de lançamento: As notas de lançamento descrevem as alterações substanciais e, quando relevante, as considerações de validação.
Clientes regulamentados: As obrigações de controle de alterações e as práticas de lançamento são regidas pelo MSA e, quando incorporado, pelo SQA.
7) Gestão de Mudanças (Resumo dos Controles Voltados para o Cliente)

SG Systems Global Adota uma abordagem de gestão de mudanças controlada para dar suporte à prestação de serviços previsível e às expectativas de uso regulamentado.

Os resumos dos controles de gerenciamento de mudanças incluem:

  • Avaliação da mudança: As alterações são avaliadas quanto ao potencial impacto no cliente, incluindo considerações sobre o impacto regulatório, quando aplicável.
  • Disciplina de aprovação: As alterações de produção estão sujeitas a autorização documentada antes do lançamento.
  • Controle de implantação: A implantação de serviços hospedados é controlada pelo provedor; as implantações locais são controladas pelo cliente.
  • Alterações de emergência: Alterações de segurança de emergência podem ser realizadas quando necessário para lidar com ameaças ativas; tais alterações são documentadas e comunicadas de acordo com os termos contratuais.

Os termos de controle de alterações vinculantes são definidos em Contrato Integral para Venda de Ativos e, onde incorporado, controle de qualidade.

8) Gestão de Vulnerabilidades

SG Systems Global Gerencia vulnerabilidades por meio de identificação, triagem, remediação e verificação, com priorização baseada na gravidade e na explorabilidade.

Os resumos dos controles de gerenciamento de vulnerabilidades incluem:

  • Triagem e priorização: Avaliar o alcance, a gravidade, a possibilidade de exploração e o potencial impacto no cliente.
  • Correção: Aplicar correções/patches e documentar as alterações relevantes na documentação da versão, quando apropriado.
  • Comunicação: As comunicações com o cliente seguem as estruturas contratuais e operacionais do MSA/SQA.

Para reportar uma possível vulnerabilidade ou problema de segurança, envie um e-mail para support@sgsystemsglobal.com com o assunto: Security Concern.

9) Gestão de Incidentes e Resposta a Incidentes de Segurança

SG Systems Global Mantém um processo de gerenciamento de incidentes e resposta a incidentes de segurança destinado a dar suporte à triagem, contenção, investigação e comunicação com o cliente de forma rápida, incluindo considerações sobre uso regulamentado, onde a integridade dos registros pode ser afetada.

Os resumos de controle de gerenciamento de incidentes incluem:

  • Classificação: Os eventos são avaliados e classificados com base na gravidade e no impacto potencial sobre a confidencialidade, a integridade e a disponibilidade.
  • Escalação: Os mecanismos de escalonamento são aplicados a eventos de maior gravidade e a questões de impacto regulamentado.
  • Investigação: As investigações são documentadas e os eventos relevantes são submetidos a revisão pós-incidente.
  • Ações corretivas: As ações corretivas são monitoradas para reduzir o risco de recorrência.
Aviso e relatório de serviços hospedados: As obrigações vinculativas de notificação e reporte de incidentes de segurança (incluindo quaisquer prazos) estão definidas no MSA para Serviços Hospedados. Para implantações On-Premise, o Cliente controla o gerenciamento de incidentes para a infraestrutura controlada pelo Cliente; o Provedor oferece suporte a problemas relacionados a software, em conformidade com o MSA/SQA.

Canal de denúncias: support@sgsystemsglobal.comPara suspeitas de problemas de integridade de registros/dados regulamentados, inclua: Potential GxP / data integrity impact.

10) Cópias de segurança, recuperação de desastres e continuidade de negócios

As expectativas de continuidade e recuperação dependem do tipo de implantação. Para Serviços Hospedados, os objetivos de disponibilidade e recuperação aplicáveis ​​(se houver) são definidos no MSA/SLA e no Formulário de Pedido. Para Instalações Locais, o Cliente é responsável por backups, recuperação de desastres e testes de recuperação, a menos que seja acordado de outra forma por escrito.

Os resumos de controle de continuidade incluem:

  • Abordagem de recuperação documentada: Procedimentos de recuperação documentados e alinhados ao modelo de implantação escolhido.
  • Intenção de fazer backup da integridade: Controles destinados a apoiar a capacidade de recuperação e reduzir o risco de perda de dados dentro do limite definido.
  • Objetivo do teste de recuperação: Atividades periódicas de preparação para recuperação, adequadas ao limite de hospedagem e ao projeto do serviço.
Referência autorizada: Os compromissos de disponibilidade, exclusões e quaisquer objetivos de RTO/RPO são definidos no MSA (inclui SLA) e o Formulário de Pedido aplicável.
11) Fornecedores terceirizados, subcontratados e privacidade

Os Serviços Hospedados podem ser fornecidos por meio de provedores terceirizados, conforme especificado no Formulário de Pedido/Proposta Assinada. O uso de subcontratados pelo provedor e os termos de processamento de privacidade (quando aplicável) são regidos pelo MSA e por qualquer Adendo de Processamento de Dados (DPA) aplicável.

  • Subprocessadores: firmados sob contratos escritos destinados a proteger os dados do cliente e a cumprir as obrigações de confidencialidade.
  • Processamento de dados: Quando exigido por lei, os termos de privacidade são abordados por meio de um DPA incorporado por referência e disponibilizado mediante solicitação.
  • Limite do sistema: As responsabilidades variam conforme a implantação (hospedada ou local) e são definidas em contrato.
12) Qualificação de Fornecedores, Suporte à Auditoria e Evidências

SG Systems Global Apoia a diligência prévia do cliente e a qualificação de fornecedores usando documentação e respostas estruturadas alinhadas ao limite do sistema e ao tipo de implantação. Para projetos regulamentados/GxP, o SQA (quando incorporado) define a estrutura operacional de qualidade, incluindo mecanismos de suporte à auditoria e responsabilidades de uso regulamentado.

  • Apoio à qualificação: São fornecidas respostas e artefatos para dar suporte aos fluxos de trabalho de qualificação de fornecedores do cliente.
  • Cooperação em auditoria: desde que as informações sejam mantidas sob sigilo e com agendamento razoável, conforme definido no MSA/SQA.
  • Avaliação independente: O artefato elaborado pelo avaliador apoia as discussões da Parte 11 e a avaliação de controle.

Referências: controle de qualidade | Contrato Integral para Venda de Ativos | Avaliação Independente

13) Solicitar documentação de segurança

Documentação adicional de segurança e conformidade poderá ser fornecida a clientes e potenciais clientes qualificados para apoiar a due diligence e a qualificação de fornecedores, sujeita a obrigações de confidencialidade (MSA) e, quando aplicável, termos de NDA.

Exemplos de documentação disponíveis mediante solicitação (quando aplicável):

  • Resumos da documentação de gerenciamento de mudanças e lançamentos
  • Resumo da resposta a incidentes alinhado às obrigações contratuais
  • Resumo da continuidade de backup/DR alinhado ao limite de implantação
  • Documentação de avaliação independente (21 CFR Parte 11)
  • Lista de subprocessadores e modelo DPA (quando aplicável)
  • Respostas a questionários estruturados (estilo SIG/CAIQ) quando solicitadas.
Pedido: E-mail support@sgsystemsglobal.com Inclua o nome da empresa, o tipo de implantação (hospedado ou local), o cronograma e sua lista de verificação.
14) Controle de Documentos
ISOSegurança e Confiança (Resumo para o Cliente)
Versão2.16
Entidade legalSG Systems, LLC
Endereço6944 Meadowbriar Lane, Dallas, TX 75230
Aprovado porStuart Hunt; Simon Hartley
Contatosupport@sgsystemsglobal.com
Conjunto de referência:

Esta página é fornecida apenas para fins informativos e não modifica os termos contratuais.

15) Change Log

Version 2.16 — Effective April 20th 2026.

  • Added the document version and effective date at the top of the page in the same style used for the MSA and SQA.
  • Adjusted typography weights to better align with the lighter presentation style used across the updated legal and trust pages.
  • Retained Document Control as a collapsed accordion and kept the existing content structure intact.

This update is intended as a presentation and document-control revision unless otherwise stated in a separately approved contractual document.