Securitate și încredere

Domeniu de aplicare. Această pagină rezumă SG Systems Globalpostura de securitate și încredere pentru trasabilitatea V5 și serviciile conexe, inclusiv Servicii găzduite și Instalări la fața locului așa cum este ales într-un Formular de Comandă / Propunere Semnată aplicabil.

Ierarhia documentelor (ordinea de prioritate). În caz de conflict, documentele de control sunt:

• (1) Formular de comandă / Propunere semnată (domeniu de aplicare, alegerea implementării, selecția nivelurilor, datele de intrare în vigoare);
• (2) Act adițional privind calitatea furnizorului (SQA) (constructe operaționale reglementate/GxP), numai dacă sunt încorporate prin referință pentru misiune; și
• (3) Acordul Cadru de Servicii (MSA) (cadrul juridic/comercial, SLA, obligații de securitate, termeni privind datele clienților).

Alinierea contractului. Această pagină are caracter informativ și nu modifică termenii contractuali. Orice indicatori privind nivelul serviciilor, termenele de notificare și obligațiile obligatorii sunt definite în MSA/SLA și în Formularul de comandă aplicabil (și SQA, acolo unde este inclus).

Operațiuni de la distanță (de la distanță). SG Systems Global funcționează ca o organizație care pune accentul pe munca la distanță. Controalele pun accent pe identitate, gestionarea accesului, utilizarea securizată a terminalelor și administrarea controlată a sistemelor.

Persoană de contact pentru securitate: support@sgsystemsglobal.com

SG Systems Global menține un program de securitate a informațiilor bazat pe riscuri, menit să protejeze confidențialitatea, integritatea și disponibilitatea datelor și serviciilor clienților și să sprijine operațiunile în medii de producție reglementate.

Elementele programului includ:

• Responsabilitate și supraveghere: a definit responsabilitatea privind securitatea pentru eficacitatea controlului, escaladări și acțiuni corective.
• Gestionarea riscurilor: identificarea și evaluarea riscurilor, selectarea controalelor și urmărirea activităților de remediere.
• Controlul politicilor și procedurilor: practici documentate pentru activitățile relevante pentru securitate (acces, controlul schimbărilor, gestionarea incidentelor, continuitate).
• Revizuire periodică: Practicile de securitate sunt revizuite și actualizate pe măsură ce sistemele, amenințările și așteptările clienților evoluează.

Responsabilitățile depind de implementarea selectată în Formularul de comandă / Propunerea semnată. Trasabilitatea V5 poate fi livrată ca Servicii Găzduite sau ca Instalare On-Premise.

Referinte: MSA, SQA, Cerințe de sistem.

Controlul accesului este conceput pentru a susține privilegiile minime, responsabilitatea și administrarea controlată. În mediile reglementate, controlul accesului este o combinație tehnic și procedural disciplina.

• Acces bazat pe roluri: Permisiunile sunt atribuite în funcție de rol pentru a alinia funcțiile cu responsabilitățile postului.
• Responsabilitate unică: Utilizatorii ar trebui să fie identificați în mod unic; utilizarea partajată a acreditărilor ar trebui interzisă.
• Guvernanța accesului: Clienții controlează furnizarea/defurnizarea, proiectarea rolurilor și revizuirile periodice ale accesului în cadrul SOP-urilor lor.
• Acces privilegiat: Accesul administrativ este restricționat personalului autorizat pentru nevoi operaționale.

Trasabilitatea V5 acceptă păstrarea înregistrărilor orientate spre trasabilitate și este concepută pentru a susține comportamentele de control așteptate în mod obișnuit pentru înregistrările electronice reglementate, inclusiv acțiuni atribuibile, comportamentul pistei de audit, controalele de integritate a înregistrărilor și comportamentul semnăturii electronice, acolo unde este cazul și configurat.

Evaluare independentă (contextul 21 CFR Partea 11). Trasabilitatea V5 are un artefact de evaluare independent menit să sprijine calificarea furnizorilor și discuțiile despre CSV. Vedeți: Evaluare independentă 21 CFR Partea 11.

SG Systems Global protejează informațiile clienților utilizând controale administrative, tehnice și contractuale aliniate la obiectivele de confidențialitate, integritate și disponibilitate. Confidențialitatea contractuală, drepturile clienților privind datele și termenii de prelucrare a confidențialității (unde este cazul) sunt guvernate de MSA și documentele aferente.

• Confidențialitate: controale menite să prevină divulgarea neautorizată a informațiilor despre clienți.
• Integritate: controale menite să păstreze integritatea înregistrărilor și să sprijine trasabilitatea gata de audit.
• Disponibilitate: controale operaționale adecvate tipului de implementare ales; obiectivele serviciului găzduit (dacă este cazul) sunt definite în MSA/SLA.

Pentru termenii și condițiile obligatorii de confidențialitate și date despre clienți, consultați MSA.

Trasabilitatea V5 este dezvoltată și întreținută folosind practici controlate menite să susțină o postură de lansare fiabilă și auditabilă pentru clienții reglementați.

Rezumatul controlului SDLC include:

• Introducerea schimbărilor controlate: modificările sunt planificate, implementate și revizuite înainte de lansare.
• Disciplina de revizuire: Modificările de cod și configurație sunt supuse revizuirii înainte de implementare.
• Separarea mediului: Activitățile de dezvoltare/testare și producție sunt controlate pentru a reduce riscul de modificări neautorizate.
• Documentația de lansare: Notele de lansare descriu modificările semnificative și, acolo unde este cazul, considerațiile de validare.

SG Systems Global operează o abordare de gestionare controlată a schimbărilor pentru a sprijini furnizarea previzibilă a serviciilor și așteptările privind utilizarea reglementată.

Rezumatul controlului managementului schimbărilor include:

• Evaluarea schimbărilor: Modificările sunt evaluate pentru impactul potențial asupra clienților, inclusiv considerațiile privind impactul reglementat, acolo unde este cazul.
• Disciplina de aprobare: Modificările de producție sunt supuse autorizării documentate înainte de lansare.
• Controlul implementării: Implementarea Serviciilor Găzduite este controlată de Furnizor; Implementările On-Prem sunt controlate de Client.
• Modificări de urgență: Modificările de securitate de urgență pot fi efectuate atunci când este necesar pentru a aborda amenințările active; astfel de modificări sunt documentate și comunicate în conformitate cu termenii contractuali.

Termenii de control al modificărilor obligatorii sunt definiți în MSA și, acolo unde sunt încorporate, SQA.

SG Systems Global gestionează vulnerabilitățile prin identificare, triere, remediere și verificare, cu prioritizare bazată pe severitate și exploatabilitate.

Rezumatele controlului de gestionare a vulnerabilităților includ:

• Triaj și prioritizare: evaluați domeniul de aplicare, severitatea, exploatabilitatea și impactul potențial asupra clienților.
• Remediere: aplicați corecții/patch-uri și documentați modificările materiale în documentația de lansare, acolo unde este cazul.
• Comunicare: Comunicările cu clienții respectă structurile contractuale și operaționale din MSA/SQA.

Pentru a raporta o vulnerabilitate suspectată sau o problemă de securitate, trimiteți un e-mail support@sgsystemsglobal.com cu subiect: Security Concern.

SG Systems Global menține un proces de gestionare a incidentelor și de răspuns la incidentele de securitate, menit să sprijine trierea promptă, izolarea, investigarea și comunicarea cu clienții, inclusiv considerații privind utilizarea reglementată în cazul în care integritatea înregistrărilor poate fi afectată.

Rezumatele controlului gestionării incidentelor includ:

• Clasificare: Evenimentele sunt evaluate și clasificate în funcție de gravitate și impactul potențial asupra confidențialității, integrității și disponibilității.
• Escaladare: Căile de escaladare sunt aplicate pentru evenimente de severitate mai mare și preocupări cu impact reglementat.
• Investigație: Investigațiile sunt documentate, iar evenimentele semnificative fac obiectul unei revizuiri ulterioare incidentului.
• Acțiuni corective: Acțiunile corective sunt urmărite pentru a reduce riscul de recurență.

Canal de raportare: support@sgsystemsglobal.comPentru suspiciunile de probleme legate de integritatea înregistrărilor/datelor reglementate, includeți: Potential GxP / data integrity impact.

Așteptările privind continuitatea și recuperarea depind de tipul de implementare. Pentru Serviciile Găzduite, obiectivele de disponibilitate și recuperare aplicabile (dacă există) sunt definite în MSA/SLA și în Formularul de Comandă. Pentru Instalările Locale, Clientul este responsabil pentru copii de rezervă, recuperare în caz de dezastru și testare a recuperării, cu excepția cazului în care se convine altfel în scris.

Rezumatele controlului continuității includ:

• Abordare documentată a recuperării: proceduri de recuperare documentate, aliniate la modelul de implementare ales.
• Intenția integrității copiei de rezervă: controale destinate să sprijine recuperabilitatea și să reducă riscul de pierdere a datelor în limitele definite.
• Intenția testării recuperării: activități periodice de pregătire pentru recuperare, adecvate limitei găzduite și designului serviciului.

Serviciile găzduite pot fi furnizate prin intermediul unor furnizori terți, așa cum este specificat în Formularul de comandă / Propunerea semnată. Utilizarea de către Furnizor a subcontractanților și termenii de prelucrare a confidențialității (unde este cazul) sunt guvernați de MSA și de orice Act adițional privind prelucrarea datelor (DPA) aplicabil.

• Subcontractanți: angajate în baza unor acorduri scrise menite să protejeze datele clienților și să se alinieze obligațiilor de confidențialitate.
• Procesarea datelor: Acolo unde este impus de lege, termenii de confidențialitate sunt abordați prin intermediul unui DPA încorporat prin referință și pus la dispoziție la cerere.
• Limita sistemului: Responsabilitățile variază în funcție de implementarea găzduită față de cea locală și sunt definite contractual.

SG Systems Global susține due diligence-ul clienților și calificarea furnizorilor utilizând documentație și răspunsuri structurate aliniate la limita sistemului și tipul de implementare. Pentru misiunile reglementate/GxP, SQA (atunci când este încorporat) definește cadrul operațional al calității, inclusiv constructele de suport pentru audit și responsabilitățile de utilizare reglementată.

• Suport pentru calificare: Răspunsurile și artefactele sunt furnizate pentru a sprijini fluxurile de lucru pentru calificarea clienților și a furnizorilor.
• Cooperare în audit: furnizate sub rezerva confidențialității și a unei programări rezonabile, așa cum sunt definite în MSA/SQA.
• Evaluare independentă: Artefactul elaborat de evaluator susține discuțiile din Partea 11 și evaluarea controlului.

Referinte: SQA | MSA | Evaluare independentă

Documentație suplimentară privind securitatea și conformitatea poate fi furnizată clienților și potențialilor clienți calificați pentru a susține diligența necesară și calificarea furnizorilor, sub rezerva obligațiilor de confidențialitate (MSA) și, acolo unde este cazul, a termenilor acordului de confidențialitate (NDA).

Exemple de documentație disponibilă la cerere (unde este cazul):

• Rezumate ale documentației privind gestionarea schimbărilor și lansarea
• Rezumatul răspunsului la incident aliniat la obligațiile contractuale
• Rezumatul continuității backup/DR aliniat la limita implementării
• Documentație de evaluare independentă (21 CFR Partea 11)
• Lista subcontractanților și modelul DPA (unde este cazul)
• Răspunsuri structurate la chestionar (stil SIG/CAIQ) la cerere

Această pagină este furnizată în scop informativ și nu modifică termenii contractuali.