Bảo mật & Tin cậy

Phạm vi. Trang này tóm tắt SG Systems GlobalTình trạng bảo mật và độ tin cậy của 's đối với V5 Traceability và các dịch vụ liên quan, bao gồm: Dịch vụ được lưu trữ và Cài đặt tại chỗ như đã lựa chọn trong Đơn đặt hàng/Đề xuất đã ký áp dụng.

Thứ tự ưu tiên của tài liệu (thứ tự độ ưu tiên). Nếu có xung đột, các văn bản có tính quyết định sẽ là:

• (1) Đơn đặt hàng / Đề xuất đã ký (phạm vi, lựa chọn triển khai, lựa chọn cấp bậc, ngày có hiệu lực);
• (2) Phụ lục Chất lượng Nhà cung cấp (SQA) (các cấu trúc hoạt động được quy định/GxP), chỉ khi được tích hợp bằng cách tham chiếu cho sự tham gia; và
• (3) Thỏa thuận dịch vụ chính (MSA) (khuôn khổ pháp lý/thương mại, thỏa thuận mức dịch vụ (SLA), nghĩa vụ bảo mật, điều khoản dữ liệu khách hàng).

Sự phù hợp của hợp đồng. Trang này chỉ mang tính chất thông tin và không làm thay đổi các điều khoản hợp đồng. Mọi chỉ số về mức độ dịch vụ, thời hạn thông báo và nghĩa vụ ràng buộc đều được quy định trong MSA/SLA và Biểu mẫu đặt hàng áp dụng (và SQA nếu có).

Vận hành ưu tiên từ xa. SG Systems Global Hoạt động theo mô hình tổ chức ưu tiên làm việc từ xa. Các biện pháp kiểm soát tập trung vào quản lý danh tính, quyền truy cập, sử dụng thiết bị đầu cuối an toàn và quản trị hệ thống có kiểm soát.

Liên hệ an ninh: support@sgsystemsglobal.com

SG Systems Global Công ty duy trì chương trình bảo mật thông tin dựa trên rủi ro nhằm bảo vệ tính bí mật, toàn vẹn và khả dụng của dữ liệu và dịch vụ khách hàng, đồng thời hỗ trợ hoạt động trong môi trường sản xuất được quản lý chặt chẽ.

Các yếu tố chương trình bao gồm:

• Trách nhiệm giải trình và giám sát: Xác định rõ trách nhiệm bảo mật đối với hiệu quả kiểm soát, leo thang vấn đề và các hành động khắc phục.
• Quản lý rủi ro: Xác định và đánh giá rủi ro, lựa chọn biện pháp kiểm soát và theo dõi các hoạt động khắc phục.
• Kiểm soát chính sách và quy trình: Các quy trình được ghi chép lại cho các hoạt động liên quan đến bảo mật (quyền truy cập, kiểm soát thay đổi, xử lý sự cố, tính liên tục).
• Đánh giá định kỳ: Các biện pháp bảo mật được xem xét và cập nhật khi hệ thống, mối đe dọa và kỳ vọng của khách hàng thay đổi.

Trách nhiệm phụ thuộc vào hình thức triển khai được chọn trong Đơn đặt hàng / Đề xuất đã ký của bạn. V5 Traceability có thể được cung cấp dưới dạng Dịch vụ lưu trữ trên đám mây hoặc cài đặt tại chỗ.

Tài liệu tham khảo: MSA, kiểm toán viên, Đòi Hỏi Kỹ Thuật.

Kiểm soát truy cập được thiết kế để hỗ trợ nguyên tắc quyền hạn tối thiểu, trách nhiệm giải trình và quản trị có kiểm soát. Trong môi trường được quản lý chặt chẽ, kiểm soát truy cập là sự kết hợp của nhiều yếu tố. kỹ thuật và thủ tục kỷ luật.

• Quyền truy cập dựa trên vai trò: Quyền hạn được phân bổ theo vai trò để phù hợp hóa chức năng với trách nhiệm công việc.
• Trách nhiệm duy nhất: Người dùng cần được xác định danh tính riêng biệt; việc sử dụng chung thông tin đăng nhập cần bị cấm.
• Quản trị truy cập: Khách hàng tự kiểm soát việc cấp/thu hồi quyền truy cập, thiết kế vai trò và xem xét quyền truy cập định kỳ trong quy trình vận hành tiêu chuẩn (SOP) của họ.
• Quyền truy cập đặc quyền: Quyền truy cập quản trị chỉ giới hạn cho nhân viên được ủy quyền phục vụ các nhu cầu vận hành.

V5 Traceability hỗ trợ việc lưu trữ hồ sơ theo định hướng truy xuất nguồn gốc và được thiết kế để hỗ trợ các hành vi kiểm soát thường được mong đợi đối với các hồ sơ điện tử được quy định, bao gồm các hành động có thể quy kết, hành vi nhật ký kiểm toán, kiểm soát tính toàn vẹn của hồ sơ và hành vi chữ ký điện tử (nếu có và được cấu hình).

Đánh giá độc lập (trong bối cảnh Phần 11 của Quy định Liên bang 21 CFR). V5 Traceability có một tài liệu đánh giá độc lập nhằm hỗ trợ việc đánh giá năng lực nhà cung cấp và các cuộc thảo luận về CSV. Xem thêm: Đánh giá độc lập theo Phần 11 của Quy định 21 CFR.

SG Systems Global Công ty bảo vệ thông tin khách hàng bằng các biện pháp kiểm soát hành chính, kỹ thuật và hợp đồng phù hợp với các mục tiêu về bảo mật, tính toàn vẹn và tính khả dụng. Bảo mật theo hợp đồng, quyền dữ liệu của khách hàng và các điều khoản xử lý quyền riêng tư (nếu có) được quy định trong Thỏa thuận khung dịch vụ (MSA) và các tài liệu liên quan.

• Bảo mật: Các biện pháp kiểm soát nhằm ngăn chặn việc tiết lộ thông tin khách hàng trái phép.
• Tính toàn vẹn: Các biện pháp kiểm soát nhằm mục đích bảo toàn tính toàn vẹn của hồ sơ và hỗ trợ khả năng truy xuất nguồn gốc sẵn sàng cho kiểm toán.
• Khả dụng: Các biện pháp kiểm soát vận hành phù hợp với loại hình triển khai đã chọn; các mục tiêu của Dịch vụ Lưu trữ (nếu có) được xác định trong MSA/SLA.

Để biết các điều khoản ràng buộc về bảo mật và dữ liệu khách hàng, vui lòng tham khảo [liên kết đến tài liệu]. MSA.

Hệ thống truy xuất nguồn gốc V5 được phát triển và duy trì bằng các quy trình được kiểm soát nhằm hỗ trợ một quy trình phát hành đáng tin cậy và có thể kiểm toán được cho các khách hàng thuộc diện quản lý.

Tóm tắt quy trình kiểm soát SDLC bao gồm:

• Giới thiệu thay đổi có kiểm soát: Các thay đổi được lên kế hoạch, triển khai và xem xét trước khi phát hành.
• Ngành học cần đánh giá: Các thay đổi về mã và cấu hình sẽ được xem xét trước khi triển khai.
• Phân tách môi trường: Các hoạt động phát triển/thử nghiệm và sản xuất được kiểm soát để giảm thiểu rủi ro thay đổi trái phép.
• Tài liệu phát hành: Ghi chú phát hành mô tả những thay đổi quan trọng và, nếu có liên quan, các vấn đề cần xem xét khi xác thực.

SG Systems Global Áp dụng phương pháp quản lý thay đổi có kiểm soát để hỗ trợ việc cung cấp dịch vụ có thể dự đoán được và đáp ứng các kỳ vọng về sử dụng theo quy định.

Tóm tắt quy trình kiểm soát quản lý thay đổi bao gồm:

• Đánh giá sự thay đổi: Các thay đổi được đánh giá về tác động tiềm tàng đối với khách hàng, bao gồm cả các yếu tố tác động theo quy định nếu có.
• Kỷ luật phê duyệt: Việc thay đổi quy trình sản xuất phải được sự chấp thuận bằng văn bản trước khi phát hành.
• Kiểm soát triển khai: Việc triển khai dịch vụ lưu trữ (Hosted Services) do Nhà cung cấp kiểm soát; việc triển khai tại chỗ (On-Prem) do Khách hàng kiểm soát.
• Thay đổi khẩn cấp: Các thay đổi an ninh khẩn cấp có thể được thực hiện khi cần thiết để đối phó với các mối đe dọa hiện hữu; những thay đổi này được ghi chép và thông báo phù hợp với các điều khoản hợp đồng.

Các điều khoản kiểm soát thay đổi ràng buộc được định nghĩa trong MSA và, nếu được hợp nhất, kiểm toán viên.

SG Systems Global Quản lý các lỗ hổng bảo mật thông qua việc nhận diện, phân loại, khắc phục và xác minh, với việc ưu tiên dựa trên mức độ nghiêm trọng và khả năng khai thác.

Tóm tắt các biện pháp kiểm soát quản lý lỗ hổng bảo mật bao gồm:

• Phân loại và ưu tiên: Đánh giá phạm vi, mức độ nghiêm trọng, khả năng bị khai thác và tác động tiềm tàng đến khách hàng.
• Biện pháp khắc phục hậu quả: Áp dụng các bản sửa lỗi/vá lỗi và ghi lại các thay đổi quan trọng trong tài liệu phát hành khi cần thiết.
• Truyền thông: Việc liên lạc với khách hàng tuân theo các cấu trúc hợp đồng và vận hành được nêu trong MSA/SQA.

Để báo cáo về lỗ hổng bảo mật hoặc vấn đề an ninh bị nghi ngờ, vui lòng gửi email. support@sgsystemsglobal.com với chủ đề: Security Concern.

SG Systems Global Duy trì quy trình quản lý sự cố và ứng phó sự cố an ninh nhằm hỗ trợ việc phân loại, khoanh vùng, điều tra và liên lạc với khách hàng một cách nhanh chóng, bao gồm cả các cân nhắc về việc sử dụng theo quy định trong trường hợp tính toàn vẹn của hồ sơ có thể bị ảnh hưởng.

Tóm tắt các biện pháp kiểm soát quản lý sự cố bao gồm:

• Phân loại: Các sự kiện được đánh giá và phân loại dựa trên mức độ nghiêm trọng và tác động tiềm tàng đến tính bảo mật, tính toàn vẹn và tính khả dụng.
• Nâng cao: Các quy trình leo thang được áp dụng cho các sự kiện có mức độ nghiêm trọng cao hơn và các vấn đề liên quan đến phạm vi điều chỉnh của luật.
• Cuộc điều tra: Các cuộc điều tra được ghi chép lại và các sự kiện quan trọng được xem xét lại sau khi sự việc xảy ra.
• Hanh động đung đăn: Các biện pháp khắc phục được theo dõi để giảm nguy cơ tái diễn.

Kênh báo cáo: support@sgsystemsglobal.comĐối với các vấn đề nghi ngờ về tính toàn vẹn của hồ sơ/dữ liệu được quy định, vui lòng bao gồm: Potential GxP / data integrity impact.

Các kỳ vọng về tính liên tục và khả năng phục hồi phụ thuộc vào loại hình triển khai. Đối với Dịch vụ lưu trữ trên đám mây (Hosted Services), các mục tiêu về tính khả dụng và khả năng phục hồi áp dụng (nếu có) được xác định trong Thỏa thuận khung dịch vụ (MSA/SLA) và Đơn đặt hàng. Đối với Cài đặt tại chỗ (On-Premise Installations), Khách hàng chịu trách nhiệm sao lưu, phục hồi sau sự cố và kiểm thử phục hồi trừ khi có thỏa thuận khác bằng văn bản.

Tóm tắt kiểm soát tính liên tục bao gồm:

• Phương pháp phục hồi được ghi chép lại: Các quy trình phục hồi được ghi chép đầy đủ, phù hợp với mô hình triển khai đã chọn.
• Mục đích sao lưu tính toàn vẹn: Các biện pháp kiểm soát nhằm hỗ trợ khả năng phục hồi và giảm thiểu rủi ro mất dữ liệu trong phạm vi đã được xác định.
• Mục đích kiểm tra khả năng phục hồi: Các hoạt động chuẩn bị phục hồi định kỳ phù hợp với ranh giới lưu trữ và thiết kế dịch vụ.

Dịch vụ lưu trữ có thể được cung cấp thông qua các nhà cung cấp bên thứ ba như đã nêu trong Đơn đặt hàng / Đề xuất đã ký. Việc nhà cung cấp sử dụng các bên xử lý phụ và các điều khoản xử lý quyền riêng tư (nếu có) được điều chỉnh bởi Thỏa thuận khung dịch vụ (MSA) và bất kỳ Phụ lục xử lý dữ liệu (DPA) nào áp dụng.

• Bộ xử lý con: Được ký kết theo các thỏa thuận bằng văn bản nhằm bảo vệ dữ liệu khách hàng và tuân thủ các nghĩa vụ bảo mật.
• Xử lí dữ liệu: Trong trường hợp pháp luật yêu cầu, các điều khoản về quyền riêng tư được quy định trong Thỏa thuận bảo mật dữ liệu (DPA) được tích hợp bằng cách tham chiếu và được cung cấp theo yêu cầu.
• Ranh giới hệ thống: Trách nhiệm sẽ khác nhau tùy thuộc vào hình thức triển khai (Hosted) hay On-Prem và được quy định trong hợp đồng.

SG Systems Global Hỗ trợ quá trình thẩm định khách hàng và đánh giá năng lực nhà cung cấp bằng cách sử dụng tài liệu và phản hồi có cấu trúc phù hợp với ranh giới hệ thống và loại hình triển khai. Đối với các dự án tuân thủ quy định/GxP, SQA (khi được tích hợp) sẽ xác định khung vận hành chất lượng, bao gồm các cấu trúc hỗ trợ kiểm toán và trách nhiệm sử dụng theo quy định.

• Hỗ trợ chứng chỉ: Các phản hồi và tài liệu được cung cấp nhằm hỗ trợ quy trình đánh giá năng lực nhà cung cấp của khách hàng.
• Hợp tác kiểm toán: Việc cung cấp dịch vụ tuân theo điều kiện bảo mật và lịch trình hợp lý như được quy định trong MSA/SQA.
• Đánh giá độc lập: Tài liệu do người đánh giá biên soạn hỗ trợ các cuộc thảo luận về Phần 11 và đánh giá kiểm soát.

Tài liệu tham khảo: kiểm toán viên | MSA | Đánh giá độc lập

Các tài liệu bổ sung về bảo mật và tuân thủ có thể được cung cấp cho khách hàng và khách hàng tiềm năng đủ điều kiện để hỗ trợ quá trình thẩm định và đánh giá năng lực nhà cung cấp, tùy thuộc vào các nghĩa vụ bảo mật (MSA) và, nếu có, các điều khoản NDA.

Ví dụ về các tài liệu có sẵn theo yêu cầu (nếu có):

• Tóm tắt tài liệu quản lý thay đổi và phát hành.
• Tóm tắt quy trình xử lý sự cố phù hợp với các nghĩa vụ hợp đồng
• Tóm tắt tính liên tục sao lưu/phục hồi thảm họa phù hợp với ranh giới triển khai.
• Tài liệu đánh giá độc lập (21 CFR Phần 11)
• Danh sách nhà thầu phụ và mẫu thỏa thuận xử lý dữ liệu (nếu có)
• Trả lời các câu hỏi dạng bảng câu hỏi có cấu trúc (kiểu SIG/CAIQ) khi được yêu cầu.

Trang này chỉ cung cấp thông tin tham khảo và không làm thay đổi các điều khoản hợp đồng.