Безопасность и доверие

Управление, контроль и готовность к аудиту

Версия 2.16

Вступает в силу с 23 февраля 2026 года.

Безопасность и доверие — сфера применения, область применения и иерархия документов. Краткое описание вопросов безопасности и доверия для системы отслеживания V5, предназначенное для поддержки квалификации поставщиков, анализа корпоративных рисков и обсуждения вопросов, связанных с регулируемым использованием.

Объем. На этой странице приводится краткое изложение SG Systems Globalуровень безопасности и доверия к системе отслеживания V5 и связанным с ней сервисам, включая Размещенные услуги и Установка на месте как указано в соответствующей форме заказа / подписанном предложении.

Иерархия документов (порядок приоритета). В случае возникновения конфликта, определяющими документами являются:

  • (1) Бланк заказа / Подписанное предложение (Объем работ, выбор способа развертывания, выбор уровня, даты вступления в силу);
  • (2) Дополнение к соглашению о качестве поставщика (SQA) (регулируемые/операционные конструкции GxP), только если они включены в соглашение посредством ссылки; и
  • (3) Генеральное соглашение об оказании услуг (ГСА) (Правовая/коммерческая основа, соглашение об уровне обслуживания, обязательства по обеспечению безопасности, условия обработки данных клиентов).

Согласование контракта. Данная страница носит информационный характер и не вносит изменений в договорные условия. Все показатели уровня обслуживания, сроки уведомлений и обязательные условия определены в соглашении об уровне обслуживания (MSA/SLA) и соответствующей форме заказа (а также в соглашении о качестве обслуживания (SQA), если оно включено).

Операции с приоритетом удаленного доступа. SG Systems Global Организация работает в первую очередь в удаленном режиме. Основные меры контроля направлены на идентификацию, управление доступом, безопасное использование конечных устройств и контролируемое администрирование систем.

Ссылки: Генеральное соглашение об оказании услуг (MSA, включает SLA) | Дополнение к соглашению о качестве поставщика (SQA) | Системные требования V5 | Внедрение и внедрение | Независимая оценка в соответствии с 21 CFR Частью 11

Контактное лицо по вопросам безопасности: support@sgsystemsglobal.com

1) Управление программой безопасности

SG Systems Global Поддерживает программу информационной безопасности, основанную на оценке рисков, призванную защитить конфиденциальность, целостность и доступность данных и услуг клиентов, а также обеспечить бесперебойную работу в регулируемых производственных средах.

Элементы программы включают в себя:

  • Подотчетность и контроль: Определены ответственные за безопасность для обеспечения эффективности контроля, обработки эскалаций и принятия корректирующих мер.
  • Управление рисками: Выявление и оценка рисков, выбор мер контроля и отслеживание мероприятий по устранению последствий.
  • Контроль за соблюдением политик и процедур: Документированные процедуры для действий, связанных с безопасностью (доступ, управление изменениями, обработка инцидентов, обеспечение непрерывности работы).
  • Периодический обзор: Практики обеспечения безопасности пересматриваются и обновляются по мере развития систем, угроз и ожиданий клиентов.
Регулируемые клиенты: Вопросы квалификации поставщиков и операционные аспекты обеспечения качества рассматриваются в рамках соглашения об обеспечении качества поставщиков (SQA), если они включены в соглашение.
2) Границы развертывания и распределение ответственности (размещение на сервере или локальное развертывание)

Обязанности зависят от выбранного вами варианта развертывания, указанного в форме заказа/подписанном предложении. Отслеживаемость V5 может предоставляться как в виде размещенных сервисов, так и в виде локальной установки.

Зона управленияХостинг-услуги (ориентация на провайдера)Установка на месте (ориентация на клиента)
Инфраструктура безопасностиОбеспечивает работу размещенного сервера в соответствии с соглашением об уровне обслуживания (MSA/SLA) и применимой формой заказа.Отвечает за серверы, сетевую безопасность, установку обновлений, резервное копирование/аварийное восстановление и поддержку управления инфраструктурой.
Доступность и восстановлениеЦели по доступности и восстановлению (если применимо) определены в соглашении об уровне обслуживания (MSA/SLA) и форме заказа.Ответственность за время безотказной работы, цели восстановления и тестирование восстановления, если иное не оговорено в письменной форме.
управление доступом пользователейЗаказчик определяет роли/права доступа, утверждает доступ, выполняет предоставление/отмену доступа и запрещает совместное использование учетных данных.
Проверка достоверности и предполагаемое использованиеЗаказчик несет ответственность за принятие решений по валидации/квалификации и предполагаемому использованию в рамках системы управления качеством Заказчика; Поставщик предоставляет документацию и вспомогательные структуры в соответствии с соглашением о техническом обслуживании/обеспечении качества.
Смени управлениеПровайдер контролирует развертывание и публикует документацию по выпуску размещенных сервисов в соответствии с требованиями MSA/SQA.Заказчик контролирует сроки развертывания и тестирования обновлений для локальной инфраструктуры; провайдер предоставляет документацию по выпуску и поддержку в соответствии с соглашением об оказании услуг (MSA) и требованиями к качеству программного обеспечения (SQA).

Ссылки: MSA, СКА, Системные требования.

3) Идентификация, аутентификация и контроль доступа

Контроль доступа призван обеспечивать принцип минимальных привилегий, подотчетности и контролируемого управления. В регулируемых средах контроль доступа представляет собой комбинированный подход. технический и процедурный дисциплина.

  • Доступ на основе ролей: Права доступа назначаются в зависимости от роли, чтобы согласовать функции с должностными обязанностями.
  • Уникальная система подотчетности: Пользователи должны быть однозначно идентифицированы; использование общих учетных данных должно быть запрещено.
  • Управление доступом: В рамках стандартных операционных процедур (СОП) клиенты контролируют предоставление/отмену доступа, разработку ролей и периодические проверки доступа.
  • Привилегированный доступ: Административный доступ ограничен уполномоченным персоналом и предоставляется только для оперативных нужд.
Ответственность клиента: В регулируемых операциях клиенты должны поддерживать процедуры управления счетами, периодического пересмотра, управления обучением и (где это применимо) определения полномочий и значения электронной подписи.
4) Журналы аудита, электронные записи и целостность данных (в контексте GxP)

V5 Traceability поддерживает ведение документации, ориентированное на отслеживаемость, и предназначена для поддержки контрольных действий, обычно ожидаемых от регулируемых электронных записей, включая действия по отслеживанию, поведение журнала аудита, контроль целостности записей и поведение электронной подписи, где это применимо и настроено.

Независимая оценка (в контексте части 11 раздела 21 Свода федеральных правил). V5 Traceability содержит независимый оценочный документ, предназначенный для поддержки квалификации поставщиков и обсуждений в рамках CSV (Seasonal Value Video). См.: Независимая оценка в соответствии с 21 CFR Частью 11.

Нормативно-правовая граница: Независимые оценочные материалы служат основой для квалификации поставщиков и оценки контроля. Они не заменяют проверку заказчиком, определение предполагаемого использования или процедурный контроль со стороны заказчика.
5) Защита данных и конфиденциальность

SG Systems Global Обеспечивается защита информации о клиентах с использованием административных, технических и договорных мер контроля, соответствующих целям конфиденциальности, целостности и доступности. Договорная конфиденциальность, права клиентов на данные и условия обработки персональных данных (где применимо) регулируются Соглашением об оказании услуг и связанными с ним документами.

  • Конфиденциальность: меры контроля, предназначенные для предотвращения несанкционированного разглашения информации о клиентах.
  • Целостность: меры контроля, предназначенные для сохранения целостности записей и обеспечения возможности отслеживания данных для проведения аудита.
  • Доступность: Оперативные средства контроля, соответствующие выбранному типу развертывания; цели хостинга (если применимо) определены в соглашении об уровне обслуживания (MSA/SLA).

Условия соблюдения конфиденциальности и защиты данных клиентов см. в соответствующем разделе. MSA.

6) Безопасный жизненный цикл разработки (SDLC) и дисциплина выпуска релизов

Система отслеживания V5 разрабатывается и поддерживается с использованием контролируемых методов, призванных обеспечить надежную и поддающуюся аудиту систему выпуска продукции для регулируемых клиентов.

В сводные данные по управлению жизненным циклом разработки программного обеспечения входят:

  • Внедрение контролируемых изменений: Изменения планируются, внедряются и проверяются перед выпуском.
  • Дисциплина обзора: Изменения в коде и конфигурации подлежат проверке перед развертыванием.
  • Разделение сред: Процессы разработки/тестирования и производства контролируются с целью снижения риска несанкционированных изменений.
  • Документация по выпуску: В примечаниях к выпуску описаны существенные изменения и, где это уместно, вопросы валидации.
Регулируемые клиенты: Обязанности по управлению изменениями и порядок выпуска регулируются Соглашением об уровне обслуживания (MSA) и, в соответствующих случаях, Соглашением о качестве программного обеспечения (SQA).
7) Управление изменениями (краткое изложение мер контроля, применяемых в работе с клиентами)

SG Systems Global Применяет подход к управлению контролируемыми изменениями для обеспечения предсказуемого предоставления услуг и соответствия ожиданиям регулируемого использования.

В сводные отчеты по управлению изменениями входят следующие сведения:

  • Оценка изменений: Изменения оцениваются с точки зрения потенциального влияния на потребителей, включая, где это применимо, соображения, касающиеся воздействия на регулируемые организации.
  • Дисциплина утверждения: Изменения в производственной схеме подлежат документальному согласованию до выпуска продукта.
  • Управление развертыванием: Развертывание хостинговых сервисов контролируется провайдером; развертывание локальных сервисов контролируется заказчиком.
  • Экстренные изменения: В экстренных случаях могут быть внесены изменения в систему безопасности для противодействия активным угрозам; такие изменения документируются и доводятся до сведения в соответствии с условиями договора.

Обязывающие условия управления изменениями определены в MSA и, где это предусмотрено, СКА.

8) Управление уязвимостями

SG Systems Global Управляет уязвимостями посредством идентификации, сортировки, устранения и проверки, при этом приоритезация осуществляется на основе серьезности и возможности эксплуатации.

Сводные данные по мерам контроля уязвимостей включают:

  • Сортировка и определение приоритетов: Оценить масштаб, серьезность, возможность использования уязвимостей и потенциальное воздействие на клиентов.
  • Исправление: При необходимости вносите исправления/патчи и документируйте существенные изменения в документации к релизу.
  • Общение: Взаимодействие с клиентами осуществляется в соответствии с договорными и операционными условиями, изложенными в Соглашении о предоставлении услуг/Соглашении о качестве обслуживания клиентов.

Чтобы сообщить о предполагаемой уязвимости или проблеме безопасности, отправьте электронное письмо. support@sgsystemsglobal.com с темой: Security Concern.

9) Управление инцидентами и реагирование на инциденты безопасности

SG Systems Global Поддерживает процесс управления инцидентами и реагирования на инциденты безопасности, предназначенный для обеспечения оперативной сортировки, локализации, расследования и информирования клиентов, включая вопросы, касающиеся регулируемого использования, когда может быть затронута целостность записей.

В сводные данные по управлению инцидентами входят следующие пункты:

  • Классификация: События оцениваются и классифицируются на основе степени серьезности и потенциального воздействия на конфиденциальность, целостность и доступность информации.
  • Эскалация: Механизмы эскалации применяются в случаях более серьезных инцидентов и проблем, имеющих регулируемое воздействие.
  • Изучение: Результаты расследований документируются, а существенные события подлежат анализу после инцидента.
  • Корректирующие действия: Для снижения риска повторного возникновения проблемы отслеживаются корректирующие действия.
Уведомления и отчетность по хостинговым услугам: Обязательства по уведомлению об инцидентах безопасности и отчетности (включая любые сроки) определены в Соглашении об оказании услуг (MSA) для размещенных сервисов. В случае развертывания в локальной среде Заказчик контролирует управление инцидентами для инфраструктуры, находящейся в его ведении; Поставщик оказывает поддержку по вопросам, связанным с программным обеспечением, в соответствии с Соглашением об оказании услуг (MSA) и требованиями к обеспечению качества программного обеспечения (SQA).

Канал для сообщений: support@sgsystemsglobal.comВ случае подозрения на нарушение целостности регулируемых записей/данных, следует указать следующее: Potential GxP / data integrity impact.

10) Резервное копирование, аварийное восстановление и обеспечение непрерывности бизнеса

Ожидания относительно непрерывности и восстановления зависят от типа развертывания. Для размещенных сервисов применимые цели доступности и восстановления (если таковые имеются) определены в соглашении об уровне обслуживания (MSA/SLA) и форме заказа. Для локальных установок Заказчик несет ответственность за резервное копирование, аварийное восстановление и тестирование восстановления, если иное не согласовано в письменной форме.

Сводные данные по контролю непрерывности включают в себя:

  • Документированный подход к восстановлению: документированные процедуры восстановления, соответствующие выбранной модели развертывания.
  • Цель обеспечения целостности резервного копирования: Меры контроля, предназначенные для обеспечения возможности восстановления данных и снижения риска их потери в пределах установленных границ.
  • Цель тестирования восстановления: Периодические мероприятия по обеспечению готовности к восстановлению, соответствующие границам размещенной инфраструктуры и архитектуре предоставляемых услуг.
Авторитетный источник: Обязательства по доступности, исключения и любые цели RTO/RPO определены в Соглашение об уровне обслуживания (включает соглашение об уровне обслуживания) и соответствующий бланк заказа.
11) Сторонние поставщики, субподрядчики и конфиденциальность

Услуги хостинга могут предоставляться с использованием сторонних поставщиков, как указано в форме заказа/подписанном предложении. Использование поставщиком субподрядчиков и условия обработки персональных данных (где применимо) регулируются Соглашением об оказании услуг (MSA) и любым применимым Дополнением к соглашению об обработке данных (DPA).

  • Субпроцессоры: Мы сотрудничаем на основании письменных соглашений, направленных на защиту данных клиентов и соблюдение обязательств по обеспечению конфиденциальности.
  • Обработка данных: В случаях, когда это требуется законом, условия конфиденциальности регулируются Соглашением об обработке данных, включенным в него посредством ссылки и предоставляемым по запросу.
  • Границы системы: Обязанности различаются в зависимости от того, используется ли хостинг или локальная установка, и определяются договорными условиями.
12) Квалификация поставщиков, поддержка аудита и подтверждающие документы.

SG Systems Global Поддерживает проверку благонадежности клиентов и квалификацию поставщиков, используя документацию и структурированные ответы, соответствующие границам системы и типу развертывания. Для регулируемых/GxP проектов специалист по обеспечению качества (при его включении) определяет структуру обеспечения качества и операционной деятельности, включая механизмы поддержки аудита и обязанности по регулируемому использованию.

  • Поддержка в получении квалификации: Ответы и документы предоставляются для поддержки рабочих процессов квалификации поставщиков со стороны заказчика.
  • Сотрудничество в области аудита: Предоставляется при условии соблюдения конфиденциальности и разумного графика, как это определено в соглашении MSA/SQA.
  • Независимая оценка: Документ, подготовленный экспертом, служит основой для обсуждений в рамках Части 11 и оценки контроля.

Ссылки: СКА | MSA | Независимая оценка

13) Запросить документацию по безопасности

Для проведения комплексной проверки и квалификации поставщиков клиентам и потенциальным клиентам может быть предоставлена ​​дополнительная документация по вопросам безопасности и соответствия нормативным требованиям, при условии соблюдения обязательств по конфиденциальности (MSA) и, в соответствующих случаях, условий соглашения о неразглашении (NDA).

Примеры документации предоставляются по запросу (при наличии):

  • Сводные документы по управлению изменениями и выпуску релизов
  • Сводка по реагированию на инцидент, соответствующая договорным обязательствам.
  • Сводка по обеспечению непрерывности резервного копирования/аварийного восстановления, выровненная по границам развертывания.
  • Документация независимой оценки (21 CFR Часть 11)
  • Список субподрядчиков и шаблон соглашения об обработке данных (где применимо)
  • При необходимости предоставляются ответы на структурированные анкеты (в стиле SIG/CAIQ).
Запрос: Эл. адрес support@sgsystemsglobal.com Укажите название компании, тип развертывания (размещенное на сервере или локальное), сроки и ваш контрольный список.
14) Контроль документов
ДокументБезопасность и доверие (краткое изложение для клиентов)
Версия2.16
Юридическое лицоSG Systems, ООО
Адрес6944 Meadowbriar Lane, Даллас, Техас 75230
УтвержденоСтюарт Хант; Саймон Хартли
Контактыsupport@sgsystemsglobal.com
Набор эталонных данных:

Данная страница предоставлена ​​в информационных целях и не изменяет договорные условия.