Güvenlik ve Güven

Yönetişim, Kontroller ve Denetim Hazırlığı

Sürüm 2.16

23 Şubat 2026 tarihinden itibaren geçerli

Güvenlik ve Güven — Kapsam, Uygulanabilirlik ve Belge Hiyerarşisi Tedarikçi yeterlilik değerlendirmesi, kurumsal risk incelemesi ve düzenlemeye tabi kullanım görüşmelerini desteklemek amacıyla hazırlanan, V5 İzlenebilirlik için müşteri odaklı güvenlik ve güven özeti.

Dürbün. Bu sayfa özetliyor SG Systems GlobalV5 İzlenebilirlik ve ilgili hizmetler için güvenlik ve güven duruşu, aşağıdakiler dahil: Barındırılan Hizmetler ve Yerinde Kurulumlar İlgili Sipariş Formu / İmzalı Teklifte belirtildiği şekilde.

Belge hiyerarşisi (öncelik sırası). Bir uyuşmazlık olması durumunda, geçerli belgeler şunlardır:

  • (1) Sipariş Formu / İmzalı Teklif (kapsam, dağıtım seçimi, kademe seçimleri, geçerlilik tarihleri);
  • (2) Tedarikçi Kalite Ek Belgesi (SQA) (düzenlenmiş/GxP operasyonel yapıları), yalnızca katılım için referans olarak dahil edilmişse; ve
  • (3) Ana Hizmet Sözleşmesi (MSA) (yasal/ticari çerçeve, hizmet seviyesi sözleşmesi (SLA), güvenlik yükümlülükleri, müşteri verisi şartları).

Sözleşme uyumu. Bu sayfa bilgilendirme amaçlıdır ve sözleşme şartlarını değiştirmez. Hizmet seviyesi ölçütleri, bildirim süreleri ve bağlayıcı yükümlülükler, MSA/SLA ve ilgili Sipariş Formunda (ve dahil edildiği durumlarda SQA'da) tanımlanmıştır.

Uzaktan öncelikli operasyonlar. SG Systems Global Uzaktan çalışma odaklı bir kuruluş olarak faaliyet göstermektedir. Kontroller, kimlik, erişim yönetimi, güvenli uç nokta kullanımı ve sistemlerin kontrollü yönetimine odaklanmaktadır.

Referanslar: Ana Hizmet Sözleşmesi (MSA, SLA'yı da içerir) | Tedarikçi Kalite Ek Belgesi (SQA) | V5 Sistem Gereksinimleri | İşe Alım ve Uygulama | Bağımsız 21 CFR Bölüm 11 Değerlendirmesi

Güvenlik irtibat kişisi: support@sgsystemsglobal.com

1) Güvenlik Programı Yönetimi

SG Systems Global Müşteri verilerinin ve hizmetlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumayı ve düzenlemeye tabi üretim ortamlarında faaliyetleri desteklemeyi amaçlayan risk tabanlı bir bilgi güvenliği programı yürütmektedir.

Program öğeleri şunları içerir:

  • Hesap verebilirlik ve gözetim: Kontrol etkinliği, sorunların tırmandırılması ve düzeltici eylemler için tanımlanmış güvenlik sahipliği.
  • Risk yönetimi: Risklerin belirlenmesi ve değerlendirilmesi, kontrol önlemlerinin seçilmesi ve iyileştirme faaliyetlerinin takibi.
  • Politika ve prosedür kontrolü: Güvenlikle ilgili faaliyetlere yönelik belgelenmiş uygulamalar (erişim, değişiklik kontrolü, olay yönetimi, iş sürekliliği).
  • Periyodik inceleme: Sistemler, tehditler ve müşteri beklentileri geliştikçe güvenlik uygulamaları gözden geçirilir ve güncellenir.
Düzenlemeye tabi müşteriler: Tedarikçi yeterlilik ve kalite-operasyonel yapıları, iş birliğine dahil edildiğinde SQA'da ele alınır.
2) Dağıtım Sınırı ve Ortak Sorumluluk (Barındırılan vs. Şirket İçi)

Sorumluluklar, Sipariş Formunuzda/İmzalı Teklifinizde seçilen dağıtım şekline bağlıdır. V5 İzlenebilirlik, Barındırılan Hizmetler veya Yerinde Kurulum olarak sunulabilir.

Kontrol AlanıBarındırılan Hizmetler (Sağlayıcı Odaklı)Yerinde Kurulum (Müşteri Odaklılık)
Altyapı güvenliğiBarındırılan sınır ağını MSA/SLA ve ilgili Sipariş Formuna uygun olarak işletir.Sunucular, ağ güvenliği, yama yükleme, yedekleme/felaket kurtarma ve destekleyici altyapı kontrollerinden sorumludur.
Kullanılabilirlik ve kurtarmaKullanılabilirlik ve kurtarma hedefleri (varsa) MSA/SLA ve Sipariş Formunda tanımlanır.Aksi yazılı olarak kararlaştırılmadıkça, çalışma süresi, kurtarma hedefleri ve kurtarma testlerinden sorumludur.
Kullanıcı erişim yönetimiMüşteri rolleri/izinleri tanımlar, erişimi onaylar, yetkilendirme/yetki kaldırma işlemlerini gerçekleştirir ve paylaşılan kimlik bilgilerini yasaklar.
Doğrulama ve kullanım amacıMüşteri, Müşteri Kalite Yönetim Sistemi (QMS) çerçevesinde doğrulama/nitelendirme ve kullanım amacına ilişkin kararlardan sorumludur; Sağlayıcı ise MSA/SQA'ya göre dokümantasyon ve destek yapıları sağlar.
Kontrolü değiştirHizmet sağlayıcı, MSA/SQA ile uyumlu olarak Barındırılan Hizmetlerin dağıtımını kontrol eder ve sürüm dokümantasyonunu yayınlar.Müşteri, şirket içi güncellemeler için dağıtım zamanlamasını ve testlerini kontrol eder; Sağlayıcı, MSA/SQA'ya göre sürüm dokümantasyonu ve desteği sağlar.

Referanslar: MSA, SQA, Sistem Gereksinimleri.

3) Kimlik, Kimlik Doğrulama ve Erişim Kontrolü

Erişim kontrolü, en az ayrıcalık ilkesini, hesap verebilirliği ve kontrollü yönetimi desteklemek üzere tasarlanmıştır. Düzenlemeye tabi ortamlarda, erişim kontrolü birleşik bir süreçtir. teknik ve prosedürel disiplin.

  • Rol tabanlı erişim: İzinler, işlevleri iş sorumluluklarıyla uyumlu hale getirmek için rol bazında atanır.
  • Eşsiz hesap verebilirlik: Kullanıcılar benzersiz şekilde tanımlanmalı; ortak kimlik bilgilerinin kullanımı yasaklanmalıdır.
  • Erişim yönetimi: Müşteriler, kendi standart işletim prosedürleri (SOP'ler) dahilinde yetkilendirme/yetki kaldırma, rol tasarımı ve periyodik erişim incelemelerini kontrol ederler.
  • Ayrıcalıklı erişim: İdari erişim, operasyonel ihtiyaçlar için yalnızca yetkili personele kısıtlanmıştır.
Müşteri sorumluluğu: Düzenlemeye tabi işlemlerde, müşterilerin hesap yönetimi, periyodik inceleme, eğitim yönetimi ve (uygulanabilir olduğu durumlarda) elektronik imza yetkisi ve anlamı için prosedürler oluşturması gerekmektedir.
4) Denetim İzleri, Elektronik Kayıtlar ve Veri Bütünlüğü (GxP Bağlamı)

V5 İzlenebilirlik, izlenebilirlik odaklı kayıt tutmayı destekler ve düzenlemeye tabi elektronik kayıtlar için yaygın olarak beklenen kontrol davranışlarını desteklemek üzere tasarlanmıştır; bunlar arasında atfedilebilir eylemler, denetim izi davranışı, kayıt bütünlüğü kontrolleri ve uygulanabilir ve yapılandırılmış durumlarda elektronik imza davranışı yer alır.

Bağımsız değerlendirme (21 CFR Bölüm 11 bağlamı). V5 İzlenebilirlik, tedarikçi yeterlilik ve CSV görüşmelerini desteklemek amacıyla tasarlanmış bağımsız bir değerlendirme belgesine sahiptir. Bkz: Bağımsız 21 CFR Bölüm 11 Değerlendirmesi.

Düzenleyici sınır: Bağımsız değerlendirme belgeleri, tedarikçi yeterlilik ve kontrol değerlendirmesini destekler. Müşteri doğrulamasının, kullanım amacının belirlenmesinin veya müşteri prosedürel kontrollerinin yerini almazlar.
5) Veri Koruma ve Gizlilik

SG Systems Global Müşteri bilgilerini gizlilik, bütünlük ve erişilebilirlik hedeflerine uygun idari, teknik ve sözleşmesel kontroller kullanarak korur. Sözleşmesel gizlilik, müşteri veri hakları ve gizlilik işleme şartları (uygulanabilir olduğu durumlarda) MSA ve ilgili belgelerle düzenlenir.

  • Gizlilik: Müşteri bilgilerinin yetkisiz olarak ifşa edilmesini önlemeyi amaçlayan kontroller.
  • Dürüstlük: Kayıt bütünlüğünü korumayı ve denetime hazır izlenebilirliği desteklemeyi amaçlayan kontroller.
  • Durumu: Seçilen dağıtım türüne uygun operasyonel kontroller; Barındırılan Hizmet hedefleri (varsa) MSA/SLA'da tanımlanmıştır.

Gizlilik ve müşteri verileriyle ilgili bağlayıcı şartlar için lütfen aşağıdaki belgeye bakın. MSA.

6) Güvenli Geliştirme Yaşam Döngüsü (SDLC) ve Yayın Disiplini

V5 İzlenebilirlik, düzenlemeye tabi müşteriler için güvenilir ve denetlenebilir bir sürüm oluşturma sürecini desteklemek amacıyla kontrollü uygulamalar kullanılarak geliştirilmekte ve sürdürülmektedir.

SDLC kontrol özetleri şunları içerir:

  • Kontrollü değişim tanıtımı: Değişiklikler planlanır, uygulanır ve yayınlanmadan önce gözden geçirilir.
  • İnceleme disiplini: Kod ve yapılandırma değişiklikleri, dağıtımdan önce incelemeye tabidir.
  • Çevresel ayrım: Yetkisiz değişiklik riskini azaltmak için geliştirme/test ve üretim faaliyetleri kontrol altında tutulmaktadır.
  • Sürüm dokümantasyonu: Sürüm notları, önemli değişiklikleri ve ilgili durumlarda doğrulama hususlarını açıklamaktadır.
Düzenlemeye tabi müşteriler: Değişiklik kontrolü yükümlülükleri ve sürüm yayınlama uygulamaları, MSA ve (eğer dahil edilmişse) SQA tarafından düzenlenir.
7) Değişim Yönetimi (Müşteri Odaklı Kontrol Özeti)

SG Systems Global Öngörülebilir hizmet sunumunu ve düzenlenmiş kullanım beklentilerini desteklemek için kontrollü bir değişim yönetimi yaklaşımı uygulamaktadır.

Değişiklik yönetimi kontrol özetleri şunları içerir:

  • Değişim değerlendirmesi: Değişiklikler, uygulanabilir olduğu durumlarda düzenlemeye tabi etkiler de dahil olmak üzere, potansiyel müşteri etkileri açısından değerlendirilir.
  • Onay disiplini: Üretim değişiklikleri, yayınlanmadan önce belgelenmiş onaya tabidir.
  • Dağıtım kontrolü: Barındırılan hizmetlerin dağıtımı sağlayıcı tarafından kontrol edilir; şirket içi dağıtımlar ise müşteri tarafından kontrol edilir.
  • Acil değişiklikler: Aktif tehditlere karşı önlem alınması gerektiğinde acil güvenlik değişiklikleri yapılabilir; bu değişiklikler sözleşme şartlarına uygun olarak belgelenir ve iletilir.

Bağlayıcı değişiklik kontrol şartları şu şekilde tanımlanmıştır: MSA ve, dahil edildiği yerlerde, SQA.

8) Güvenlik Açığı Yönetimi

SG Systems Global Güvenlik açıklarını belirleme, önceliklendirme, giderme ve doğrulama yoluyla yönetir; önceliklendirme, ciddiyet ve istismar edilebilirlik esasına dayanır.

Güvenlik açığı yönetimi kontrol özetleri şunları içerir:

  • Önceliklendirme ve triyaj: Kapsamı, ciddiyeti, istismar edilebilirliği ve potansiyel müşteri etkisini değerlendirin.
  • Düzeltme: Gerektiğinde düzeltmeleri/yama işlemlerini uygulayın ve önemli değişiklikleri sürüm dokümanında belgeleyin.
  • İletişim: Müşteri iletişimleri, MSA/SQA'daki sözleşmesel ve operasyonel yapılara uygun olarak gerçekleştirilir.

Şüpheli bir güvenlik açığını veya güvenlik sorununu bildirmek için e-posta gönderin. support@sgsystemsglobal.com Konu ile birlikte: Security Concern.

9) Olay Yönetimi ve Güvenlik Olaylarına Müdahale

SG Systems Global Olay yönetimi ve güvenlik olaylarına müdahale sürecini sürdürerek, kayıt bütünlüğünün etkilenebileceği durumlarda düzenlenmiş kullanım hususları da dahil olmak üzere, hızlı önceliklendirme, kontrol altına alma, soruşturma ve müşteri iletişimini desteklemeyi amaçlamaktadır.

Olay yönetimi kontrol özetleri şunları içerir:

  • sınıflandırma: Olaylar, ciddiyetine ve gizlilik, bütünlük ve erişilebilirlik üzerindeki potansiyel etkisine göre değerlendirilir ve sınıflandırılır.
  • Escalation: Daha ciddi olaylar ve düzenlemeye tabi etki endişeleri için kademeli çözüm yolları uygulanır.
  • İncelenmesi: Soruşturmalar belgelenir ve önemli olaylar olay sonrası incelemeye tabi tutulur.
  • Düzeltici eylemler: Tekrarlanma riskini azaltmak için düzeltici eylemler takip edilir.
Barındırılan Hizmetler bildirimi ve raporlaması: Barındırılan Hizmetler için bağlayıcı güvenlik olayı bildirimi ve raporlama yükümlülükleri (herhangi bir zaman çizelgesi dahil) MSA'da tanımlanmıştır. Şirket içi dağıtımlar için, Müşteri, kendi kontrolündeki altyapı için olay yönetimini kontrol eder; Sağlayıcı, MSA/SQA'ya uygun olarak yazılım odaklı sorunları destekler.

Haber kanalı: support@sgsystemsglobal.comŞüpheli düzenlemeye tabi kayıt/veri bütünlüğü sorunları için şunları ekleyin: Potential GxP / data integrity impact.

10) Yedeklemeler, Felaket Kurtarma ve İş Sürekliliği

Süreklilik ve kurtarma beklentileri, dağıtım türüne bağlıdır. Barındırılan Hizmetler için, geçerli kullanılabilirlik ve kurtarma hedefleri (varsa) MSA/SLA ve Sipariş Formunda tanımlanmıştır. Yerinde Kurulumlar için, aksi yazılı olarak kararlaştırılmadıkça, yedeklemelerden, felaket kurtarmadan ve kurtarma testlerinden Müşteri sorumludur.

İş sürekliliği kontrol özetleri şunları içerir:

  • Belgelenmiş iyileşme yaklaşımı: Seçilen dağıtım modeline uygun, belgelenmiş kurtarma prosedürleri.
  • Yedekleme bütünlüğünün amacı: Tanımlanan sınırlar dahilinde veri kurtarılabilirliğini desteklemek ve veri kaybı riskini azaltmak amacıyla tasarlanmış kontroller.
  • Kurtarma testinin amacı: Bölge sınırlarına ve hizmet tasarımına uygun periyodik iyileşme hazırlık faaliyetleri.
Güvenilir referans: Kullanılabilirlik taahhütleri, istisnalar ve herhangi bir RTO/RPO hedefi şurada tanımlanmıştır: MSA (SLA dahil) ve ilgili Sipariş Formu.
11) Üçüncü Taraf Sağlayıcılar, Alt İşlemciler ve Gizlilik

Barındırılan Hizmetler, Sipariş Formunda / İmzalı Teklifte belirtildiği gibi üçüncü taraf sağlayıcılar kullanılarak sunulabilir. Sağlayıcının alt yüklenicileri kullanması ve gizlilik işleme şartları (varsa), MSA ve geçerli Veri İşleme Ek Sözleşmesi (DPA) tarafından yönetilir.

  • Alt işlemciler: Müşteri verilerini korumayı ve gizlilik yükümlülüklerine uymayı amaçlayan yazılı anlaşmalar kapsamında görevlendirilmiş kişiler.
  • Veri işleme: Kanunen gerekli olduğu durumlarda, gizlilik şartları, referans olarak dahil edilen ve talep üzerine sunulan bir Veri Koruma Sözleşmesi (DPA) aracılığıyla ele alınır.
  • Sistem sınırı: Sorumluluklar, barındırma (hosted) ve şirket içi (on-prem) dağıtıma göre değişir ve sözleşmeyle tanımlanır.
12) Tedarikçi Yeterliliği, Denetim Desteği ve Kanıtları

SG Systems Global Sistem sınırlarına ve dağıtım türüne uygun dokümantasyon ve yapılandırılmış yanıtlar kullanarak müşteri durum tespiti ve tedarikçi yeterlilik süreçlerini destekler. Düzenlemeye tabi/GxP anlaşmaları için, (dahil edildiğinde) SQA, denetim destek yapıları ve düzenlemeye tabi kullanım sorumlulukları da dahil olmak üzere kalite-operasyonel çerçeveyi tanımlar.

  • Niteliklendirme desteği: Müşteri-tedarikçi yeterlilik süreçlerini desteklemek amacıyla yanıtlar ve çıktılar sağlanmaktadır.
  • Denetim işbirliği: MSA/SQA'da tanımlanan gizlilik ve makul zamanlama şartlarına tabi olarak sağlanır.
  • Bağımsız değerlendirme: Değerlendirici tarafından hazırlanan belge, Bölüm 11 tartışmalarını ve kontrol değerlendirmesini destekler.

Referanslar: SQA | MSA | Bağımsız Değerlendirme

13) Güvenlik Belgelerini Talep Edin

Gizlilik yükümlülüklerine (MSA) ve geçerli olduğu durumlarda gizlilik sözleşmesi (NDA) şartlarına tabi olarak, durum tespiti ve tedarikçi yeterliliğini desteklemek amacıyla müşterilere ve nitelikli potansiyel müşterilere ek güvenlik ve uyumluluk belgeleri sağlanabilir.

Talep üzerine temin edilebilecek belgelere örnekler (uygulanabilir olduğu durumlarda):

  • Değişiklik yönetimi ve sürüm dokümantasyon özetleri
  • Olay müdahale özeti, sözleşmesel yükümlülüklerle uyumlu hale getirilmiştir.
  • Dağıtım sınırına göre hizalanmış Yedekleme/Felaket Kurtarma sürekliliği özeti
  • Bağımsız değerlendirme dokümantasyonu (21 CFR Bölüm 11)
  • Alt yüklenici listesi ve DPA şablonu (uygulanabilirse)
  • Talep edildiğinde yapılandırılmış anket yanıtları (SIG/CAIQ tarzı).
İstek: E-posta support@sgsystemsglobal.com Şirket adınızı, dağıtım türünü (Barındırılan veya Şirket İçi), zaman çizelgesini ve kontrol listenizi ekleyin.
14) Belge Kontrolü
belgeGüvenlik ve Güven (Müşteri Odaklı Özet)
Sürümü2.16
Tüzel KişiSG Sistemleri, LLC
Adres6944 Meadowbriar Lane, Dallas, TX 75230
Tarafından onaylandıStuart Hunt; Simon Hartley
İletişimsupport@sgsystemsglobal.com
Referans seti:

Bu sayfa bilgilendirme amacıyla sunulmuştur ve sözleşme şartlarını değiştirmez.