Безпека та довіра

Управління, контроль та готовність до аудиту

версія 2.16

Набуває чинності 23 лютого 2026 року

Безпека та довіра — сфера застосування, застосовність та ієрархія документів Зведена інформація про безпеку та довіру, орієнтована на клієнта, для V5 Traceability, призначена для підтримки кваліфікації постачальників, аналізу ризиків підприємства та обговорення регульованого використання.

Область застосування. На цій сторінці підсумовано SG Systems Globalбезпека та довіра до V5 Traceability та пов'язаних послуг, включаючи Розміщені послуги та Локальні установки як обраний у відповідній формі замовлення / підписаній пропозиції.

Ієрархія документів (порядок пріоритету). У разі виникнення конфлікту, контрольними документами є:

  • (1) Форма замовлення / Підписана пропозиція (сфера застосування, вибір розгортання, вибір рівнів, дати набрання чинності);
  • (2) Додаток щодо якості постачальника (SQA) (регульовані/GxP операційні конструкції), лише якщо вони включені шляхом посилання для залучення; та
  • (3) Генеральна угода про надання послуг (MSA) (правова/комерційна база, угода про рівень обслуговування, зобов'язання щодо безпеки, умови обробки даних клієнтів).

Узгодження контракту. Ця сторінка є інформаційною та не змінює договірних умов. Будь-які показники рівня обслуговування, терміни повідомлень та обов'язкові зобов'язання визначені в MSA/SLA та відповідній формі замовлення (та SQA, де це включено).

Дистанційні операції. SG Systems Global працює як організація, орієнтована на дистанційне керування. Контрольні заходи зосереджені на ідентифікації, управлінні доступом, безпечному використанні кінцевих точок та контрольованому адмініструванні систем.

Список використаної літератури: Генеральна угода про надання послуг (MSA, включає SLA) | Додаток щодо якості постачальників (SQA) | Системні вимоги V5 | Адаптація та впровадження | Незалежна оцінка згідно з розділом 11 розділу 21 CFR

Контактна особа служби безпеки: support@sgsystemsglobal.com

1) Управління програмою безпеки

SG Systems Global підтримує програму інформаційної безпеки, що базується на ризиках, призначену для захисту конфіденційності, цілісності та доступності даних і послуг клієнтів, а також для підтримки роботи в регульованих виробничих середовищах.

Елементи програми включають:

  • Підзвітність і нагляд: визначена відповідальність за безпеку для ефективності контролю, ескалації та коригувальних дій.
  • Управління ризиками: ідентифікація та оцінка ризиків, вибір заходів контролю та відстеження заходів щодо усунення наслідків.
  • Контроль політики та процедур: задокументовані практики для діяльності, пов'язаної з безпекою (доступ, контроль змін, обробка інцидентів, забезпечення безперервності).
  • Періодичний огляд: Практики безпеки переглядаються та оновлюються в міру розвитку систем, загроз та очікувань клієнтів.
Регульовані клієнти: Кваліфікація постачальників та концепції якості та операційної діяльності розглядаються в оцінці якості (SQA) під час їх включення до завдання.
2) Межі розгортання та спільна відповідальність (розміщене чи локальне)

Обов'язки залежать від обраного вами розгортання у вашій формі замовлення / підписаній пропозиції. V5 Traceability може бути надано як розміщені послуги або як локальна інсталяція.

Зона управлінняХостингові послуги (орієнтація на постачальника)Встановлення на місці (орієнтація на клієнта)
Безпека інфраструктуриКерує розміщеною межею відповідно до MSA/SLA та відповідної форми замовлення.Відповідає за сервери, мережеву безпеку, встановлення патчів, резервне копіювання/DR та допоміжні засоби керування інфраструктурою.
Доступність та відновленняЦілі доступності та відновлення (якщо застосовно) визначені в MSA/SLA та формі замовлення.Відповідає за безперебійну роботу, цілі відновлення та тестування відновлення, якщо інше не погоджено письмово.
Управління доступом користувачівКлієнт визначає ролі/дозволи, схвалює доступ, виконує налаштування/скасування налаштування та забороняє спільні облікові дані.
Валідація та цільове використанняЗамовник несе відповідальність за рішення щодо валідації/кваліфікації та цільового використання в рамках СУЯ Замовника; Постачальник надає документацію та допоміжні конструкції відповідно до Угоди про забезпечення якості матеріалів (MSA/SQA).
Змінити контрольПостачальник контролює розгортання та публікує документацію щодо випуску Розміщених послуг відповідно до MSA/SQA.Клієнт контролює терміни розгортання та тестування локальних оновлень; Постачальник надає документацію щодо випуску та підтримку відповідно до MSA/SQA.

Список використаної літератури: MSA, SQA, Системні вимоги.

3) Ідентифікація, автентифікація та контроль доступу

Контроль доступу розроблений для забезпечення мінімальних привілеїв, підзвітності та контрольованого адміністрування. У регульованих середовищах контроль доступу є комбінованим... технічний та процедурні дисципліни.

  • Доступ на основі ролей: Дозволи призначаються за ролями для узгодження функцій з посадовими обов'язками.
  • Унікальна відповідальність: Користувачі повинні бути однозначно ідентифіковані; використання спільних облікових даних має бути заборонено.
  • Управління доступом: Клієнти контролюють надання/видалення ресурсів, розробку ролей та періодичні перевірки доступу в рамках своїх стандартних операційних процедур (SOP).
  • Привілейований доступ: адміністративний доступ обмежений уповноваженим персоналом для операційних потреб.
Відповідальність клієнта: У регульованих операціях клієнти повинні дотримуватися процедур управління обліковими записами, періодичного перегляду, управління навчанням та (де це можливо) визначення повноважень та значення електронного підпису.
4) Журнали аудиту, електронні записи та цілісність даних (контекст GxP)

V5 Traceability підтримує ведення записів, орієнтоване на відстеження, та розроблено для підтримки поведінки контролю, яка зазвичай очікується для регульованих електронних записів, включаючи дії, що відносяться до них, поведінку журналу аудиту, контроль цілісності записів та поведінку електронного підпису, де це застосовно та налаштовано.

Незалежна оцінка (контекст 21 CFR Частина 11). V5 Traceability має незалежний артефакт оцінки, призначений для підтримки кваліфікації постачальників та обговорення CSV. Див.: Незалежна оцінка згідно з розділом 11 розділу 21 CFR.

Регулятивні межі: Артефакти незалежної оцінки підтримують кваліфікацію постачальників та оцінку контролю. Вони не замінюють перевірку клієнта, визначення цільового використання або процедурний контроль клієнта.
5) Захист даних та конфіденційність

SG Systems Global захищає інформацію клієнтів, використовуючи адміністративні, технічні та договірні засоби контролю, що відповідають цілям конфіденційності, цілісності та доступності. Договірна конфіденційність, права клієнтів на дані та умови обробки конфіденційності (де це застосовується) регулюються Угодою про технічне обслуговування клієнтів (MSA) та пов’язаними документами.

  • Конфіденційність: засоби контролю, призначені для запобігання несанкціонованому розголошенню інформації про клієнтів.
  • Цілісність: засоби контролю, призначені для збереження цілісності записів та підтримки можливості відстеження, що підлягає аудиту.
  • наявність: операційні засоби контролю, що відповідають обраному типу розгортання; цілі розміщеного сервісу (якщо застосовно) визначені в MSA/SLA.

Щодо обов’язкових умов конфіденційності та обробки даних клієнтів, зверніться до MSA.

6) Безпечний життєвий цикл розробки (SDLC) та дисципліна випуску

Система відстеження V5 розроблена та підтримується з використанням контрольованих практик, призначених для підтримки надійного та перевіряного стану випуску для регульованих клієнтів.

Зведені дані контролю SDLC включають:

  • Впровадження контрольованих змін: зміни плануються, впроваджуються та перевіряються перед випуском.
  • Дисципліна рецензування: Зміни коду та конфігурації підлягають перевірці перед розгортанням.
  • Розділення середовища: Діяльність з розробки/тестування та виробництва контролюється для зменшення ризику несанкціонованих змін.
  • Документація випуску: У примітках до випуску описано суттєві зміни та, де це доречно, міркування щодо перевірки.
Регульовані клієнти: Зобов'язання щодо контролю змін та практики випуску регулюються Угодою про технічне обслуговування та розробку (MSA) та, де це включено, Угодою про якість (SQA).
7) Управління змінами (підсумок контролю, орієнтованого на клієнта)

SG Systems Global застосовує підхід до контрольованого управління змінами для підтримки передбачуваного надання послуг та очікувань щодо регульованого використання.

Зведення контролю управління змінами включають:

  • Оцінювання змін: зміни оцінюються з точки зору потенційного впливу на клієнтів, включаючи, де це можливо, враховуючи вплив, що регулюється нормативними актами.
  • Дисципліна затвердження: Зміни у виробництві підлягають документальному затвердженню перед випуском.
  • Контроль розгортання: Розгортання розміщених послуг контролюється Постачальником; локальні розгортання контролюються Клієнтом.
  • Екстрені зміни: Екстрені зміни в безпеці можуть бути внесені, коли це необхідно для реагування на активні загрози; такі зміни документуються та повідомляються відповідно до договірних умов.

Терміни контролю змін у зв'язуванні визначені в MSA та, де це включено, SQA.

8) Управління вразливостями

SG Systems Global керує вразливостями шляхом ідентифікації, сортування, усунення та перевірки, з пріоритезацією на основі серйозності та можливості використання.

Зведені відомості про контрольні заходи щодо управління вразливостями включають:

  • Тріаж та визначення пріоритетів: оцінити обсяг, серйозність, придатність для використання та потенційний вплив на клієнта.
  • Санація: застосовувати виправлення/патчі та документувати суттєві зміни в документації до випуску, де це доречно.
  • Спілкування: Спілкування з клієнтами відповідає договірним та операційним положенням, викладеним у MSA/SQA.

Щоб повідомити про підозрювану вразливість або проблему безпеки, надішліть електронного листа support@sgsystemsglobal.com з темою: Security Concern.

9) Управління інцидентами та реагування на інциденти безпеки

SG Systems Global підтримує процес управління інцидентами та реагування на інциденти безпеки, призначений для підтримки оперативного сортування, локалізації, розслідування та зв'язку з клієнтами, включаючи питання регламентованого використання, коли може бути порушена цілісність записів.

Зведення контролю управління інцидентами включають:

  • Класифікація: Події оцінюються та класифікуються на основі ступеня серйозності та потенційного впливу на конфіденційність, цілісність та доступність.
  • Ескалація: Шляхи ескалації застосовуються для подій вищого ступеня серйозності та проблем із регульованим впливом.
  • Розслідування: розслідування документуються, а суттєві події підлягають перегляду після інциденту.
  • Виправні дії: відстежуються коригувальні дії для зменшення ризику рецидиву.
Повідомлення та звітність щодо розміщених послуг: Обов’язкові повідомлення про інциденти безпеки та зобов’язання щодо звітності (включаючи будь-які терміни) визначені в Угоді про технічне забезпечення безпеки (MSA) для Розміщених послуг. Для локальних розгортань Клієнт контролює управління інцидентами для інфраструктури, що контролюється Клієнтом; Постачальник підтримує вирішення проблем, пов’язаних із програмним забезпеченням, відповідно до Угоди про технічне забезпечення безпеки (MSA/SQA).

Канал звітності: support@sgsystemsglobal.comУ разі підозри на проблеми з цілісністю регульованих записів/даних, вкажіть: Potential GxP / data integrity impact.

10) Резервне копіювання, аварійне відновлення та забезпечення безперервності бізнесу

Очікування щодо безперервності та відновлення залежать від типу розгортання. Для розміщених послуг відповідні цілі доступності та відновлення (якщо такі є) визначаються в MSA/SLA та Формі замовлення. Для локальних інсталяцій Клієнт несе відповідальність за резервне копіювання, аварійне відновлення та тестування відновлення, якщо інше не погоджено письмово.

Зведення контролю безперервності включають:

  • Документований підхід до відновлення: задокументовані процедури відновлення, узгоджені з обраною моделлю розгортання.
  • Намір забезпечення цілісності резервного копіювання: засоби контролю, призначені для підтримки відновлюваності та зменшення ризику втрати даних у визначених межах.
  • Мета тестування відновлення: періодичні заходи щодо забезпечення готовності до відновлення, що відповідають розміщеній межі та дизайну послуг.
Авторитетне посилання: зобов'язання щодо доступності, винятки та будь-які цілі RTO/RPO визначені в MSA (включає SLA) та відповідну форму замовлення.
11) Сторонні постачальники, субпідрядники та конфіденційність

Розміщені послуги можуть надаватися за допомогою сторонніх постачальників, як зазначено у Формі замовлення / Підписаній пропозиції. Використання постачальниками субобробників та умови обробки конфіденційності (де це застосовується) регулюються Угодою про обробку даних (MSA) та будь-яким чинним Додатком до обробки даних (DPA).

  • Субпроцесори: залучені за письмовими угодами, спрямованими на захист даних клієнтів та дотримання зобов'язань щодо конфіденційності.
  • Обробка даних: Там, де це вимагається законом, умови конфіденційності розглядаються через Угоду про захист даних, що включається шляхом посилання та надається за запитом.
  • Межа системи: Обов'язки відрізняються залежно від розміщеного та локального розгортання та визначаються контрактно.
12) Кваліфікація постачальника, підтримка аудиту та докази

SG Systems Global підтримує належну перевірку клієнтів та кваліфікацію постачальників, використовуючи документацію та структуровані відповіді, узгоджені з межами системи та типом розгортання. Для регульованих/GxP завдань, SQA (якщо включено) визначає структуру якості та операційної діяльності, включаючи конструкції підтримки аудиту та обов'язки щодо регульованого використання.

  • Підтримка кваліфікації: Відповіді та артефакти надаються для підтримки робочих процесів кваліфікації постачальників клієнтів.
  • Співпраця в аудиті: надається з дотриманням конфіденційності та дотриманням розумного графіку, як визначено в MSA/SQA.
  • Незалежна оцінка: Артефакт, створений оцінювачем, підтримує обговорення Частини 11 та оцінювання контролю.

Список використаної літератури: SQA | MSA | Незалежне оцінювання

13) Запит документації безпеки

Додаткова документація з безпеки та відповідності може бути надана клієнтам та кваліфікованим потенційним клієнтам для підтвердження належної перевірки та кваліфікації постачальників, з урахуванням зобов'язань щодо конфіденційності (MSA) та, де це застосовується, умов NDA.

Приклади документації надаються на запит (де це можливо):

  • Зведення документації з управління змінами та випуску
  • Зведена інформація про реагування на інциденти, узгоджена з договірними зобов'язаннями
  • Зведення безперервності резервного копіювання/DR, узгоджене з межами розгортання
  • Документація незалежної оцінки (21 CFR, частина 11)
  • Список субпідрядників та шаблон DPA (де застосовується)
  • Структуровані відповіді на анкету (у стилі SIG/CAIQ) за запитом
запит: Електронна пошта support@sgsystemsglobal.com та вкажіть назву компанії, тип розгортання (розміщено або локально), часові рамки та контрольний список.
14) Контроль документів
ДокументБезпека та довіра (короткий опис для клієнта)
версія2.16
Юридична особаSG Systems, ТОВ
Адреса6944 Медоубрайар Лейн, Даллас, Техас 75230
ЗатвердженоСтюарт Хант; Саймон Гартлі
Контактиsupport@sgsystemsglobal.com
Набір довідників:

Ця сторінка надається з інформаційною метою та не змінює договірних умов.