Säkerhet & tillit

Styrning, kontroller och revisionsberedskap

version 2.16

Gäller från och med den 23 februari 2026

Säkerhet och förtroende – omfattning, tillämpbarhet och dokumenthierarki Kundvänd säkerhets- och förtroendesammanfattning för V5-spårbarhet, avsedd att stödja leverantörskvalificering, granskning av företagsrisker och diskussioner om reglerad användning.

Omfattning. Den här sidan sammanfattar SG Systems Globalsäkerhets- och förtroendeställning för V5 Traceability och relaterade tjänster, inklusive Hosted Services och Installationer på plats som valts i en tillämplig beställningsblankett/undertecknat förslag.

Dokumenthierarki (prioritetsordning). Om det finns en konflikt är de styrande dokumenten:

  • (1) Beställningsformulär / Undertecknat förslag (omfattning, val av driftsättning, nivåval, ikraftträdandedatum);
  • (2) Tillägg om leverantörskvalitet (SQA) (reglerade/GxP operativa konstruktioner), endast om de införlivas genom hänvisning för uppdraget; och
  • (3) Huvudavtal för tjänster (MSA) (rättsligt/kommersiellt ramverk, servicenivåavtal, säkerhetsskyldigheter, kunddatavillkor).

Avtalsjustering. Denna sida är avsedd för information och ändrar inte avtalsvillkoren. Alla servicenivåmått, tidsfrister för meddelanden och bindande skyldigheter definieras i MSA/SLA och tillämpligt beställningsformulär (och SQA där det införlivats).

Fjärrstyrda operationer. SG Systems Global fungerar som en fjärrstyrd organisation. Kontrollerna betonar identitet, åtkomsthantering, säker användning av slutpunkter och kontrollerad administration av system.

Referenser: Huvudavtal för tjänster (MSA, inkluderar SLA) | Tillägg för leverantörskvalitet (SQA) | V5-systemkrav | Onboarding och implementering | Oberoende bedömning enligt 21 CFR del 11

Säkerhetskontakt: support@sgsystemsglobal.com

1) Styrning av säkerhetsprogrammet

SG Systems Global upprätthåller ett riskbaserat informationssäkerhetsprogram som syftar till att skydda konfidentialiteten, integriteten och tillgängligheten för kunddata och tjänster, och för att stödja drift i reglerade tillverkningsmiljöer.

Programelement inkluderar:

  • Ansvar och tillsyn: definierat säkerhetsägarskap för kontrolleffektivitet, eskaleringar och korrigerande åtgärder.
  • Riskhantering: identifiering och bedömning av risker, val av kontroller och uppföljning av åtgärdsaktiviteter.
  • Policy- och procedurkontroll: dokumenterade rutiner för säkerhetsrelevanta aktiviteter (åtkomst, ändringskontroll, incidenthantering, kontinuitet).
  • Regelbunden granskning: Säkerhetsrutiner granskas och uppdateras i takt med att system, hot och kundförväntningar utvecklas.
Reglerade kunder: Leverantörskvalificering och kvalitetsoperativa konstruktioner behandlas i kvalitetsbedömningen när de införlivas i uppdraget.
2) Implementeringsgränser och delat ansvar (hostad vs. lokal)

Ansvaret beror på vilken driftsättning som valts i din beställningsblankett/signerade offert. V5-spårbarhet kan levereras som värdbaserade tjänster eller som en lokal installation.

KontrollområdeHostade tjänster (leverantörsfokus)Installation på plats (kundfokus)
Infrastruktur säkerhetDrivs av den värdbaserade gränsen i enlighet med MSA/SLA och tillämpligt orderformulär.Ansvarig för servrar, nätverkssäkerhet, patchning, säkerhetskopior/DR och stödjande infrastrukturkontroller.
Tillgänglighet och återställningTillgänglighets- och återställningsmål (om tillämpligt) definieras i MSA/SLA och orderformuläret.Ansvarig för drifttid, återställningsmål och återställningstester om inte annat skriftligen överenskommits.
Styrning av användaråtkomstKunden definierar roller/behörigheter, godkänner åtkomst, utför provisionering/avprovisionering och förhindrar delade autentiseringsuppgifter.
Validering och avsedd användningKunden ansvarar för validering/kvalificering och beslut om avsedd användning inom kundens kvalitetsledningssystem. Leverantören tillhandahåller dokumentation och stödkonstruktioner enligt MSA/SQA.
Förändring kontrollLeverantören kontrollerar distributionen och publicerar versionsdokumentation för värdtjänster i enlighet med MSA/SQA.Kunden kontrollerar distributionstidpunkten och testningen av lokala uppdateringar; Leverantören tillhandahåller versionsdokumentation och support enligt MSA/SQA.

Referenser: MSA, SQA, Systemkrav.

3) Identitet, autentisering och åtkomstkontroll

Åtkomstkontroll är utformad för att stödja lägsta möjliga privilegier, ansvarsskyldighet och kontrollerad administration. I reglerade miljöer är åtkomstkontroll en kombinerad teknisk och procedur disciplin.

  • Rollbaserad åtkomst: Behörigheter tilldelas per roll för att anpassa funktioner till arbetsuppgifter.
  • Unik ansvarsskyldighet: Användare bör vara unikt identifierade; användning av delade inloggningsuppgifter bör vara förbjuden.
  • Åtkomststyrning: Kunder kontrollerar provisionering/avprovisionering, rolldesign och regelbundna åtkomstgranskningar inom sina SOP:er.
  • Privilegierad åtkomst: Administrativ åtkomst är begränsad till behörig personal för operativa behov.
Kundens ansvar: I reglerad verksamhet bör kunder upprätthålla rutiner för kontohantering, regelbunden granskning, utbildningsstyrning och (i förekommande fall) behörighet och betydelse för elektroniska signaturer.
4) Revisionsspår, elektroniska register och dataintegritet (GxP-kontext)

V5 Spårbarhet stöder spårbarhetsorienterad dokumenthantering och är utformad för att stödja kontrollbeteenden som vanligtvis förväntas för reglerade elektroniska dokument, inklusive hänförbara åtgärder, beteende för revisionsspår, kontroller av dokumentintegritet och beteende för elektroniska signaturer där så är tillämpligt och konfigurerat.

Oberoende bedömning (sammanhang enligt 21 CFR del 11). V5 Spårbarhet har en oberoende bedömningsartefakt avsedd att stödja leverantörskvalificering och CSV-diskussioner. Se: Oberoende bedömning enligt 21 CFR del 11.

Regulatorisk gräns: Oberoende bedömningsartefakter stöder leverantörskvalificering och kontrollutvärdering. De ersätter inte kundvalidering, bestämning av avsedd användning eller kundprocedurkontroller.
5) Dataskydd och sekretess

SG Systems Global skyddar kundinformation med hjälp av administrativa, tekniska och avtalsenliga kontroller i linje med mål för konfidentialitet, integritet och tillgänglighet. Avtalsenlig konfidentialitet, kunddatarättigheter och villkor för integritetsbehandling (i förekommande fall) regleras av MSA och relaterade dokument.

  • Sekretess: kontroller avsedda att förhindra obehörigt avslöjande av kundinformation.
  • Integritet: kontroller avsedda att bevara registerintegriteten och stödja spårbarhet som är redo för revision.
  • Tillgänglighet: operativa kontroller som är lämpliga för den valda driftsättningstypen; mål för värdtjänsten (om tillämpligt) definieras i MSA/SLA.

För bindande sekretess- och kunddatavillkor, se MSA.

6) Säker utvecklingslivscykel (SDLC) och releasedisciplin

V5 Spårbarhet utvecklas och underhålls med hjälp av kontrollerade metoder avsedda att stödja en tillförlitlig och granskningsbar utgivningsstruktur för reglerade kunder.

SDLC-kontrollsammanfattningar inkluderar:

  • Introduktion till kontrollerad förändring: ändringar planeras, implementeras och granskas innan lansering.
  • Granska disciplin: Kod- och konfigurationsändringar kan granskas före driftsättning.
  • Miljöseparation: Utvecklings-/testnings- och produktionsaktiviteter kontrolleras för att minska risken för obehöriga ändringar.
  • Utgivningsdokumentation: Versionsinformationen beskriver väsentliga ändringar och, där det är relevant, valideringsaspekter.
Reglerade kunder: Ändringskontrollskyldigheter och utgivningspraxis regleras av MSA och, där sådant har införlivats, SQA.
7) Förändringshantering (Sammanfattning av kundorienterad kontroll)

SG Systems Global använder en kontrollerad förändringshanteringsmetod för att stödja förutsägbar tjänsteleverans och förväntningar på reglerad användning.

Sammanfattningar av kontrollen för ändringshantering inkluderar:

  • Förändringsutvärdering: förändringar bedöms med avseende på potentiell påverkan på kunderna, inklusive överväganden om reglerad påverkan där så är tillämpligt.
  • Godkännandedisciplin: Produktionsändringar är föremål för dokumenterat godkännande före lansering.
  • Distributionskontroll: Implementeringen av värdtjänster styrs av leverantören; implementeringar på plats styrs av kunden.
  • Akuta förändringar: Nödsituationer i säkerhetsfrågor kan vid behov utföras för att hantera aktiva hot; sådana förändringar dokumenteras och kommuniceras i enlighet med avtalsvillkoren.

Bindande ändringskontrolltermer definieras i MSA och, där det ingår, SQA.

8) Sårbarhetshantering

SG Systems Global hanterar sårbarheter genom identifiering, prioritering, åtgärd och verifiering, med prioritering baserad på allvarlighetsgrad och utnyttjandemöjligheter.

Sammanfattningar av sårbarhetshanteringskontroller inkluderar:

  • Triage och prioritering: utvärdera omfattning, allvarlighetsgrad, utnyttjandebarhet och potentiell kundpåverkan.
  • Sanering: tillämpa korrigeringar/patchar och dokumentera väsentliga ändringar i releasedokumentationen där så är lämpligt.
  • Kommunikation: Kundkommunikation följer de avtalsenliga och operativa konstruktionerna i MSA/SQA.

För att rapportera en misstänkt sårbarhet eller säkerhetsproblem, skicka e-post support@sgsystemsglobal.com med ämne: Security Concern.

9) Incidenthantering och säkerhetsincidentrespons

SG Systems Global upprätthåller en process för incidenthantering och säkerhetsincidentrespons avsedd att stödja snabb triage, inneslutning, utredning och kundkommunikation, inklusive överväganden vid reglerad användning där registerintegriteten kan påverkas.

Sammanfattningar av incidenthanteringskontroller inkluderar:

  • Klassificering: Händelser bedöms och klassificeras baserat på allvarlighetsgrad och potentiell påverkan på konfidentialitet, integritet och tillgänglighet.
  • Upptrappning: Eskaleringsvägar tillämpas för händelser med högre allvarlighetsgrad och problem med reglerad påverkan.
  • Undersökning: utredningar dokumenteras och väsentliga händelser granskas efter incidenten.
  • Korrigerande åtgärder: Korrigerande åtgärder följs upp för att minska risken för återfall.
Meddelande och rapportering om värdtjänster: Bindande meddelanden om säkerhetsincidenter och rapporteringsskyldigheter (inklusive eventuella tidslinjer) definieras i MSA för värdtjänster. För lokala driftsättningar kontrollerar kunden incidenthanteringen för kundkontrollerad infrastruktur; leverantören stöder programvarufokuserade problem i enlighet med MSA/SQA.

Rapporteringskanal: support@sgsystemsglobal.comVid misstänkta problem med reglerad register-/dataintegritet, inkludera: Potential GxP / data integrity impact.

10) Säkerhetskopiering, katastrofåterställning och affärskontinuitet

Förväntningar på kontinuitet och återställning beror på distributionstyp. För värdbaserade tjänster definieras tillämpliga tillgänglighets- och återställningsmål (om några) i MSA/SLA och orderformuläret. För lokala installationer ansvarar kunden för säkerhetskopiering, katastrofåterställning och återställningstestning om inte annat skriftligen avtalats.

Sammanfattningar av kontinuitetskontroll inkluderar:

  • Dokumenterad återställningsmetod: dokumenterade återställningsprocedurer i linje med den valda driftsättningsmodellen.
  • Avsikt med säkerhetskopieringintegritet: kontroller avsedda att stödja återställningsbarhet och minska risken för dataförlust inom den definierade gränsen.
  • Avsikt med återställningstestning: periodiska återställningsberedskapsaktiviteter som är lämpliga för den värdbaserade gränsen och tjänstedesignen.
Auktoritativ referens: tillgänglighetsåtaganden, undantag och eventuella RTO/RPO-mål definieras i MSA (inkluderar SLA) och tillämplig beställningsblankett.
11) Tredjepartsleverantörer, underleverantörer och integritet

Hostade tjänster kan levereras med hjälp av tredjepartsleverantörer enligt vad som anges i beställningsformuläret/det undertecknade förslaget. Leverantörens användning av underleverantörer och villkor för integritetsbehandling (i förekommande fall) regleras av MSA och eventuella tillämpliga tillägg till databehandling (DPA).

  • Underbiträden: anlitade enligt skriftliga avtal avsedda att skydda kunddata och i enlighet med sekretessförpliktelser.
  • Databehandling: Där det krävs enligt lag behandlas sekretessvillkor via ett dataskyddsavtal som införlivats genom hänvisning och görs tillgängligt på begäran.
  • Systemgräns: Ansvarsområdena varierar beroende på värdbaserad respektive lokal distribution och definieras avtalsenligt.
12) Leverantörskvalificering, revisionsstöd och bevis

SG Systems Global stödjer kundkännedom och leverantörskvalificering med hjälp av dokumentation och strukturerade svar anpassade till systemgränser och implementeringstyp. För reglerade/GxP-uppdrag definierar SQA (när den införlivas) det kvalitetsoperativa ramverket, inklusive revisionsstödkonstruktioner och ansvar för reglerad användning.

  • Kvalificeringsstöd: Svar och artefakter tillhandahålls för att stödja arbetsflöden för kvalificering av kunders leverantörer.
  • Revisionssamarbete: tillhandahålls med förbehåll för sekretess och rimlig tidsplanering enligt definitionen i MSA/SQA.
  • Oberoende bedömning: Bedömarförfattad artefakt stöder diskussioner och kontrollutvärdering i del 11.

Referenser: SQA | MSA | Oberoende bedömning

13) Begär säkerhetsdokumentation

Ytterligare säkerhets- och efterlevnadsdokumentation kan tillhandahållas kunder och kvalificerade potentiella kunder för att stödja due diligence och leverantörskvalificering, i enlighet med sekretessåtaganden (MSA) och, i tillämpliga fall, sekretessvillkor.

Exempel på dokumentation tillgänglig på begäran (i förekommande fall):

  • Sammanfattningar av ändringshantering och releasedokumentation
  • Sammanfattning av incidentrespons i linje med avtalsförpliktelser
  • Sammanfattning av säkerhetskopiering/DR-kontinuitet anpassad till distributionsgränsen
  • Oberoende bedömningsdokumentation (21 CFR del 11)
  • Lista över underbiträden och mall för dataskyddsförklaring (i förekommande fall)
  • Strukturerade frågeformulärssvar (i SIG/CAIQ-stil) när så önskas
Begäran: E-post support@sgsystemsglobal.com och inkludera företagsnamn, distributionstyp (hostad eller lokal), tidslinje och din checklista.
14) Dokumentkontroll
DokumentSäkerhet och förtroende (kundvändig sammanfattning)
version2.16
Juridisk enhetSG Systems, LLC
Adress6944 Meadowbriar Lane, Dallas, TX 75230
Godkänd avStuart Hunt; Simon Hartley
Kontaktsupport@sgsystemsglobal.com
Referensuppsättning:

Denna sida tillhandahålls i informationssyfte och ändrar inte avtalsvillkoren.