本供应商质量附录（以下简称“本附录”）品质保证”）由 SG Systems, LLC一家根据德克萨斯州法律组织和存在的有限责任公司，其主要办事处位于德克萨斯州达拉斯市梅多布里尔巷6944号（邮编75230）（“Provider”），以及已签订提供商主服务协议的个人或实体（“客户“）。

目的。 本软件质量保证定义了支持客户规范使用提供商软件和服务的运营质量框架和责任，包括变更控制、事件/质量问题处理、审计支持、验证支持服务（如已购买）以及托管服务与本地安装的部署责任等方面的期望。

这是给谁看的？ 此项供应商质量保证通常应在符合GMP/GxP规范的环境下（例如，制药生产和受监管的供应链环境）的客户要求提供。不受监管的客户通常不需要供应商质量补充协议。

公司成立。 本服务质量保证旨在纳入并受供应商主服务协议（“主服务协议”）的约束。海事局”）位于 https://sgsystemsglobal.com/master-services-agreement/本软件质量保证协议中未定义的术语，其含义与主服务协议中给出的含义相同。

不重复。 如果某些主题已由 MSA 管辖（例如，保密性、责任限制、费用和一般安全义务），则本 SQA 将引导读者查阅适用的 MSA 章节，而不是重新阐述这些章节。

1.1 与 MSA 的关系。 本供应商资质保证书 (SQA) 是对受监管/GxP 账户的管理服务协议 (MSA) 的补充，旨在支持供应商资质认证和审核预期。商业条款、许可、保密、隐私、知识产权、免责声明、赔偿、责任限制和争议解决均受 MSA 的约束（例如，参见 MSA 第 12-18 条）。

1.2 本SQA适用情况。 本SQA仅在双方签署的订单/提案或书面补充协议中提及时适用。

1.3 优先顺序。 如果发生冲突，则按以下顺序执行：

• （1）订单/已签署的提案 （包括范围、交付成果、部署选择和商业选择，例如 SLA 等级）
• （2）本SQA （针对受监管的质量运营义务和受监管的账户支持结构）；以及
• （3）MSA （适用于所有其他条款，包括法律/商业框架）。

1.4 不扩大责任范围。 本 SQA 中的任何内容均未将提供商的责任扩大到 MSA 责任限制和免责声明中规定的范围之外（参见 MSA 第 15-17 节）。

2.1 适用范围。 本软件质量保证适用于客户根据主服务协议 (MSA) 和适用的订单/签署的提案购买的提供商软件和服务，包括（如适用）托管服务、本地安装支持和受监管帐户支持服务。

2.2 超出范围。 客户仍需对其质量体系、标准操作规程、预期用途定义、流程设计、用户培训以及客户环境中的验证执行/批准负责（参见 MSA 第 7.2 节和第 10 节）。

2.3 托管与本地部署的界限。 部署职责取决于适用订单/已签署提案中选择的部署方式：

• 托管服务。 服务提供商负责按照所选服务级别协议 (SLA) 和适用的主服务协议 (MSA) 要求（参见 MSA 第 4.2、9 和 11 条）运营托管服务。客户仍需负责其质量管理体系 (QMS) 内的受监管流程控制、访问管理决策和验证。
• 本地安装。 除非另有书面约定（参见 MSA 第 4.3 节和第 9.4 节），客户负责本地环境的基础设施、安全、备份和灾难恢复。服务提供商根据 MSA 和任何已购买的服务，提供以软件为中心的支持和文档。

3.1 “受监管账户” 指客户要求供应商提供符合 GxP 要求的资质证明文件和/或正式供应商协议的客户互动。

3.2 “质量问题” 指可能影响 GxP 相关行为、数据完整性、可追溯性、可审计性、受监管运营的可用性或已记录的系统控制的疑似或已确认的问题。

3.3 “质量事件” 指已确认或已上报进行正式调查和记录在案的整改的质量问题，包括在适当情况下采取纠正和/或预防措施。

3.4 “验证服务” 指付费的专业服务，用于支持客户验证活动，例如 IQ/OQ 协助和/或 UAT 促进，这些服务已在订单/签署的提案中明确购买和确定范围（参见 MSA 第 3 节和第 7.4 节）。

3.5 “SLA 等级” 指适用的订单表格/签署的提案中规定的服务级别选择（如有），该选择定义了托管服务的可用性和恢复目标（参见 MSA §11）。

3.6 “托管环境” 指为托管服务选择的云托管环境，例如 AWS、Microsoft Azure 或其他双方同意的提供商，如适用的订单/签署的提案中所述。

4.1 疑似质量问题的主要渠道。 客户应通过供应商支持渠道报告疑似质量问题： support@sgsystemsglobal.com.

4.2 票务和可追溯性（“闭环”）。 服务提供商处理问题接收和结案的标准操作流程如下：

• 录取： 客户向支持部门发送的电子邮件会在提供商的客户支持系统（Salesforce）中记录为一个案例，并分配一个案例标识符。
• 工程跟踪： 当需要进行工程工作时，提供商会在提供商的开发跟踪系统（Jira）中创建并链接相应的工程项。
• 决议与结案： 提供商在支持案例中记录解决方案说明、发布参考（如适用）和关闭状态，从而形成可审计性的闭环。

4.3 响应目标。 对于托管服务，响应和解决目标受 MSA SLA 的约束（参见 MSA 第 11.4 条）。对于本地部署，提供商将尽商业上合理的努力，按照适用的订单/已签署的提案和 MSA 中的支持模式做出响应（参见 MSA 第 11.2 条）。

4.4 客户升级。 如果怀疑质量问题会影响受监管的记录、审计跟踪或系统控制行为，客户应声明“潜在的GxP/数据完整性影响请在邮件主题栏中注明“”，以便进行正确的分类处理。

5.1 共同责任原则。 合规性是双方的共同责任。供应商通过软件控制、文档以及（如已购买）验证支持服务来支持合规使用。客户仍需负责其质量体系内的预期用途、配置决策、程序控制、培训以及验证的执行/批准（参见 MSA 第 7.2 节和第 10 节）。

5.2 实际责任划分。

5.3 保密性和数据权利。 客户数据的所有权、保密性和隐私处理受 MSA 的约束（参见 MSA 第 12 节，包括第 12.3 节至第 12.5 节，以及适用的 DPA）。

6.1 基线支持（已包含）。 在有效订阅期间，提供商会为有关系统行为和配置的问题提供合理的帮助，并提供标准文档和发行说明作为正常服务交付的一部分（参见 MSA 第 7.4 节和第 2.23 节）。

6.2 企业/付费验证服务。 对于受监管账户，服务提供商提供付费验证服务，其中可能包括：

• IQ/OQ支持： 模板包和合理的远程协助，以适应客户在客户环境中的执行需求；
• 用户验收测试 (UAT) 协助支持： 计划支持、测试周期协调、问题分类/重新测试协调（按范围）；
• 规范化的上线支持： 提供与客户计划的验证/上线方案相一致的结构化切换协助。

6.3 验证服务的购买方式。 验证服务是 不包括 默认情况下。它们通常提供用于 企业版 业务范围和定价均在适用的订单/签署的提案中作为额外的付费专业服务确定（参见 MSA 第 3 节和第 3.6 节）。

6.4 客户保留责任。 客户仍负责客户质量体系内的最终验证策略、执行、审查、批准和持续定期审查决策（参见 MSA 第 7.2 节和第 10.1 节）。

7.1 独立评估。 该服务提供商的系统已由独立机构进行评估。 鲍勃·麦克道尔博士 为了与通常相关的技术控制保持一致 21 CFR第11部分 期望。

7.2 获取评估文件（需签署保密协议）。 应客户要求，供应商可提供评估文件，供客户内部供应商资质审核和审计支持之用，但前提是：

• 客户已签署提供商的保密协议（NDA）（或双方已签署提供商可接受的保密协议）；
• 客户拥有有效且信誉良好的订阅；
• 客户同意该文档属于机密信息，并将按照 MSA 保密条款进行处理（参见 MSA 第 12 条）。

7.3 重要局限性。 独立评估的存在支持客户的供应商资质认证活动，但不能取代客户的验证责任或预期用途确定（参见 MSA 第 7.2 节和第 10.1 节）。

8.1 受控更新。 供应商采用适用于受监管环境的受控变更方法管理软件更新。有关权威的变更控制术语，请参阅 MSA 变更控制和更新部分（参见 MSA 第 8 节）。

8.2 托管服务部署。 对于托管服务，提供商控制部署时间，并根据 MSA（参见 MSA 第 8.1 节）提前通知重大更新，但紧急安全补丁除外（参见 MSA 第 8.4 节）。

8.3 本地部署。 对于本地部署，客户可自行控制何时将更新部署到客户环境。服务提供商将提供发行说明和合理的支持，以协助客户进行评估和测试（参见 MSA 第 8.2 节和第 8.3 节）。

8.4 版本发布文档。 提供商发布说明将明确指出重大变更，并在适用时包括可能影响审计跟踪、访问控制或受监管工作流程的变更的验证考虑因素（参见 MSA 第 8.3 节和第 7.4 节）。

9.1 接收和分诊。 疑似质量问题通过以下方式报告 support@sgsystemsglobal.com提供商将进行分类，根据需要请求澄清信息，并使用与 SLA/支持模型一致的支持方法对严重程度进行分类（有关托管服务，请参阅 MSA §11.4）。

9.2 调查和记录。 对于已确认的质量事件，提供商将在关联的 Salesforce 案例和 Jira 工作项（如适用）中记录调查笔记、促成因素和补救状态。

9.3 纠正和预防措施。 在合理且适当的情况下，服务提供商将实施纠正措施（修复/补丁/流程变更）和预防措施，以降低再次发生的风险。调查和记录的深度可能因问题的严重程度和影响而有所不同。

9.4 客户侧控制。 客户负责在其质量管理体系内开展偏差管理、变更控制和影响评估活动。供应商将在遵守保密原则和主服务协议（MSA）（参见MSA第7.2、7.5和12条）的前提下，合理支持客户提出的评估所需信息请求。

10.1 托管环境选择。 对于托管服务，客户可以选择适用订单/已签署提案中规定的托管环境（例如 AWS、Microsoft Azure 或其他双方同意的提供商）。

10.2 灾难恢复和恢复目标取决于 SLA 等级。 对于托管服务，灾难恢复和恢复目标（包括适用的 RTO/RPO）受以下条款约束： 服务水平协议等级 在订单表格/已签署的提案和 MSA SLA 条款中选择（参见 MSA §11.5 和 §11.9）。

10.3 安全和事件响应。 托管服务的提供商安全义务和安全事件响应承诺受主服务协议 (MSA) 的约束（参见 MSA 第 9 条，包括第 9.2 条）。对于本地部署，客户负责基础设施安全和保护控制（参见 MSA 第 9.4 条）。

10.4 计划维护和除外事项。 托管服务的可用性和 SLA 例外情况在 MSA 中进行了描述（参见 MSA §11.10）。

11.1 审计支持原则。 提供商将合理配合客户对软件控制的审计，对于托管服务，还将配合客户对相关服务交付/安全记录的审计，但须遵守保密性和合理的安排（参见 MSA 第 7.5 节和第 12 节）。

11.2 审计方法（默认高效）。 为减少干扰并保护敏感安全信息，服务提供商通常通过以下方式支持供应商资质认证：

• 提供商的标准文档集（例如，发行说明和控制摘要）；
• 问卷调查结果；以及
• 讨论重点仅限于系统边界和适用的控制措施。

11.3 检查支持。 如果客户通知提供商客户正在接受可能涉及提供商软件/服务的监管检查，提供商将尽商业上合理的努力支持与提供商控制的组件相关的信息请求，但须遵守保密性和主服务协议。

11.4 特殊请求的费用。 如果客户要求进行广泛的审计参与、定制文档、现场活动或超出合理合作范围的工作，则此类工作可能需要额外费用和书面协议（与 MSA 第 3 节和第 7.4 节中的专业服务模式一致）。

12.1 数据权利和保密性。 客户数据的所有权、保密性和标准出口协助受 MSA（参见 MSA 第 12.3 节至第 12.5 节）和任何适用的 DPA（参见 MSA 第 12.4 节）的约束。

12.2 终止后 SQL 数据库副本（受监管账户）。 对于受本软件质量保证协议 (SQA) 约束的受监管账户，无论出于何种原因，在适用订阅终止或到期后，客户均可请求获取与其生产环境关联的 SQL 数据库副本。提供商将向客户提供该 SQL 数据库副本。 三十 (30) 天内 终止，但须满足以下条件：

• 客户以书面形式向……提交请求 support@sgsystemsglobal.com （或其他指定的支持渠道）；
• 所有无争议的应付款项均已支付；
• 该请求在系统边界内技术上是可行的，并且不需要提供商披露其他客户的数据或提供商的机密信息。

12.3 格式和交付。 服务提供商将采用商业上合理的安全传输方式交付 SQL 数据库副本。如果客户需要特殊的导出格式、数据转换或标准数据库副本之外的其他数据提取，则可能需要额外费用并签订书面协议。

12.4 托管检索窗口。 任何额外的终止后数据检索窗口和托管服务删除时间表均受主服务协议 (MSA) 的约束（参见 MSA 第 5.4 条）。本软件质量保证 (SQA) 部分提供受监管账户的特定交付物（SQL 数据库副本），并不扩展终止后的支持义务。

13.1 主机提供商。 托管服务由第三方云托管提供商在选定的托管环境中提供，具体内容以订单/已签署的提案为准。

13.2 分包商和第三方。 提供商对子处理者和第三方服务提供商的使用，包括数据保护义务，受 MSA 和（如适用）DPA 的约束（参见 MSA 第 12.4 节）。

13.3 向下流动。 服务提供商将尽商业上合理的努力，确保相关义务向下传递给用于提供托管服务的适用第三方，并符合服务提供商的标准供应商管理惯例。

14.1 术语。 本SQA通过引用纳入订单/签署的提案（或已执行的补充协议）后生效，并在适用订阅期限内保持有效，除非根据MSA提前终止。

14.2 修正案。 对本 SQA 的任何更改都必须以书面形式作出，并由双方签字，符合 MSA 修订要求（见 MSA 第 18.9 条）。

14.2.1 文档版本。 此 HTML SQA 为提供商文档版本 1.10，生效日期为 2026 年 4 月 20 日。本文档中包含的版本块和变更日志仅用于文档控制和参考目的。

14.3 有用的 MSA 交叉引用。

• 监管与共同责任： MSA 第 7 条和第 10 条
• 变更控制与更新： MSA §8
• 安全与事件响应： MSA §9
• 服务级别协议（托管服务）： MSA §11
• 保密性和客户数据： MSA §12
• 期限/终止及托管数据检索： MSA §5
• 专业服务/入职培训： MSA §3

14.4联系方式。 如遇质量问题、疑似数据完整性问题或根据本软件质量保证协议提出的受监管账户请求，请联系： support@sgsystemsglobal.com.