M-Filesin sertifikaatit & muuta tietoa vaatimustenmukaisuuden noudattamisesta
M-Filesin laadunhallintajärjestelmällä ja tiedon suojauksen hallintajärjestelmällä on ISO- ja SOC-sertifioinnit, jotka varmistavat tarjoamiemme palvelujen turvallisuuden ja laadukkuuden.
ISO/IEC 27001:2013
Riippumaton kolmas osapuoli on sertifioinut M-Filesin ISO/IEC 27001:2013 -vaatimustenmukaisuuden. Sertifiointi kattaa M-Files Cloud -toiminnot.
SOC 2 ja SOC 3
M-Filesilla on AICPA:n (American Institute of CPAs) Trust Services -ehtoihin perustuva SOC 2 -sertifiointi.
M-Filesillä on myös samoihin ehtoihin (Trust Services -ehdot tietoturvalle, saatavuudelle ja luottamuksellisuudelle) perustuva SOC 3 -sertifiointi.
ISO 9001:2015
Riippumaton kolmas osapuoli on sertifioinut M-Filesin ISO 9001:2015 -vaatimustenmukaisuuden. Sertifiointi kattaa tiedonhallintaohjelmistojen ja niihin liittyvien palvelujen suunnittelun, kehityksen, toimituksen ja tuen.
Yleinen tietosuoja-asetus (GDPR)
M-Files noudattaa yleistä tietosuoja-asetusta sekä tietojen käsittelijänä että rekisterinpitäjänä. Tietojen käsittelijänä M-Files noudattaa soveltuvia yleisen tietosuoja-asetuksen määräyksiä kaikissa asiakkaille toimittamissaan palveluissa. Lisäksi M-Files tekee yhteistyötä asiakkaiden kanssa auttaakseen heitä täyttämään rekisterinpitäjiä koskevat yleisen tietosuoja-asetuksen velvoitteet.
Olemme sitoutuneet noudattamaan korkeita tiedon suojauksen, tietoturvan ja läpinäkyvyyden standardeja sekä hallinnoimaan tietoja yleisen tietosuoja-asetuksen mukaisesti. Olemme keränneet tietosuojailmoituksemme ja muun yleiseen tietosuoja-asetukseen liittyvän dokumentaation Tietosuojakäytäntö-sivullemme.
ISO/IEC 27017:2015
Yhdessä ISO/IEC 27001 -standardien kanssa käytettynä ISO/IEC 27017 tarjoaa tehostettuja valvontamekanismeja pilvipalvelujen tarjoajille ja asiakkaille. M-Filesin pilvi-infrastruktuurin toimittaja Microsoft Azure käyttää ISO/IEC 27017:2015 -sertifioitua tiedon suojauksen hallintajärjestelmää.
ISO/IEC 27018:2014
ISO/IEC 27018 tarjoaa tehostettuja valvontamekanismeja julkisen pilvialustan palveluntarjoajille, jotka toimivat henkilötietojen käsittelijöinä. M-Filesin pilvi-infrastruktuurin toimittaja Microsoft Azure käyttää ISO/IEC 27018:2014 -sertifioitua tiedon suojauksen hallintajärjestelmää.
ISO 22301:2012
Liiketoiminnan jatkuvuuden hallinnan standardi ISO 22301:2012 varmistaa sitoutumisen liiketoiminnan jatkuvuuteen ja hyvään valmistautumiseen hätätilanteiden varalta. Sertifiointi osoittaa, että noudatamme häiriötapahtumien estämistä ja lieventämistä, niihin reagointia ja niistä palautumista koskevia tiukkoja standardeja. M-Filesin pilvi-infrastruktuurin toimittaja Microsoft Azure käyttää ISO 22301:2012 -sertifioitua liiketoiminnan jatkuvuuden hallintajärjestelmää.
Tallenteiden hallinta – SÄHKE2, DoD 5015.2, MoReq2 jne.
Sähke2 on Kansallisarkiston ylläpitämä tallenteiden hallintastandardi. Riippumaton kolmas osapuoli on sertifioinut M-Filesin tuotteen (Asianhallinta) SÄHKE2-vaatimustenmukaisuuden.
M-Filesillä on muodollinen SÄHKE2-sertifiointi, ja sen tuotteet tukevat myös muiden tallenteiden hallintamääritysten, kuten DoD 5015.2:n ja MoReq2:n tärkeimpiä vaatimuksia.
FDA 21 CFR Part 11
M-Filesin laadunhallintajärjestelmä täyttää Yhdysvaltain 21 CFR Part 11 -säännösten sähköisiä tallenteita ja allekirjoituksia koskevat vaatimukset tai tukee niitä.
Part 11 sisältää
– itse tietokonejärjestelmää koskevia vaatimuksia
– vaatimuksia, jotka voidaan täyttää vain paikallisten menettelyjen tai henkilöstön avulla.
Olemme valmistelleet vaatimustenmukaisuusdokumentin, joka määrittää selkeästi, minkä vaatimusten katsomme olevan jälkimmäistä tyyppiä. Dokumentti sisältää myös joitakin parhaita käytäntöjä ja suosituksia. Koska lopullinen 21 CFR Part 11 -sääntö julkaistiin alun perin vuonna 1997, jotkin sen vaatimukset edellyttävät tulkintaa tai selvennystä nykypäivän IT-standardien perusteella.
Eudralex Vol 4 Annex 11
M-Filesin laadunhallintajärjestelmä (QMS) täyttää EudraLexin hyvien valmistuskäytäntöjen (EudraLex Volume 4., Good Manufacturing Practice, Annex 11: Computerised Systems 2011) vaatimukset tai tukee niitä.
Annex 11 sisältää kahdentyyppisiä vaatimuksia. Ensinnäkin tiettyjä vaatimuksia voidaan kohdistaa GMP-käytössä olevaan yksittäiseen tietokonejärjestelmään. Olemme valmistelleet vaatimustenmukaisuusdokumentin, jossa selitämme, miten M-Filesin laadunhallintaohjelmisto täyttää tällaiset vaatimukset. Määritämme selvästi, milloin ohjelmisto itse täyttää tällaiset vaatimukset ja milloin vaatimuksen täyttyminen edellyttää lisäksi paikallisia prosesseja.
Toiseksi Annex 11 sisältää myös vaatimuksia siitä, miten organisaation tulisi hoitaa IT-toimintonsa kokonaisuutena. Vaatimustenmukaisuusdokumentissa selitämme, miten M-Filesin laadunhallintajärjestelmä tukee tällaisten vaatimusten täyttämistä useilla esimääritetyillä prosesseilla ja työskentelykäytännöillä.
HIPAA
M-Files-ohjelmistoa voidaan käyttää tehostamaan Yhdysvaltain HIPAA-lain (Health Insurance Portability and Accountability Act 1996) vaatimusten täyttämistä. Microsoft Azuren ja M-Filesin yhdistelmä voidaan validoida tarjoamaan asiakkaille HIPAA-vaatimukset täyttävä ratkaisu.
Olemme valmistelleet vaatimustenmukaisuusdokumentin, joka kattaa kaksi M-Filesin odotettua käyttötapausta. Ensimmäisessä käyttötapauksessa M-Files itsessään on tietovarasto, joka sisältää HIPAA-lain suojaamia terveystietoja, joten järjestelmässä on oltava sisäänrakennettuina riittävät tietoturvamenetelmät, valvontamekanismit ja hälytystoiminnot. Toisessa käyttötapauksessa M-Filesia käytetään organisaation laadunhallinta-, SOP-, koulutus- ja pätevöintityökaluna, mutta se ei sisällä mitään oikeiden potilaiden tietoja.
Jotkin HIPAA-säännöt liittyvät selvästi tiettyihin ohjelmistojärjestelmän omiin ominaisuuksiin. Tällaisten tapausten kohdalla ilmoitamme, miten M-Files täyttää kunkin vaatimuksen. Toisissa HIPAA-säännöissä on kyse paikallisista prosesseista, työskentelytavoista ja henkilöstöstä. Monien tällaisten sääntöjen tapauksessa ehdotamme erilaisia hyviä käytäntöjä ja annamme hyödyllisiä vinkkejä siihen, miten M-Filesin automaatio, ilmoitukset, hälytykset ja käyttöoikeuksien valvontaominaisuudet voivat parantaa HIPAA-vaatimustenmukaisuutta.
SOX-404
We state that M-Files Compliance Kit, the Quality, Compliance and Regulation specific extension to the M-Files core platform, has been developed and tested according to software industry known best practices by professional in-house development team. M-Filesin tuotekehitys, testaus, julkaisu ja tuki toteutetaan M-Files Oy:n laatujärjestelmän mukaisesti.
Sekä M-Filesin ydinohjelmiston että sen lisäosien suunnittelussa, kehityksessä ja testauksessa on otettu huomion laadun, vaatimustenmukaisuuden ja säännösten edellytykset. Noudatamme muun muassa seuraavia lakeja ja standardeja: ISO 9001:2015, ISO 13485, 21 CFR Part 11, 21 CFR Part 820, Eudralex GMP Annex 11: Computerised systems, SOX-404, HIPAA ja yleinen tietosuoja-asetus (GDPR).
FIPS 140-2 Level 2
FIPS (Federal Information Processing Standard) Publication 140-2, (FIPS PUB 140-2) on Yhdysvaltain hallituksen tietokoneiden turvallisuutta koskeva standardi, jota käytetään salausmoduulien akkreditointiin. Toimittajat voivat validoida salausmoduulinsa tämän standardin perusteella.
M-Filesin käyttämä salausmoduuli (Microsoft Enhanced Cryptographic Provider) on validoitu FIPS 140-2:n mukaisesti.
M-Files Server suorittaa AES-256-salauksen käyttämällä Windows-käyttöjärjestelmään upotettua Microsoft Enhanced Cryptographic Provider (RSAENH) -moduulia. RSAENH-moduuli sisältää AES-algoritmin salausmoduuliin, joka on käytettävissä Microsoft CryptoAPI -liittymän kautta. M-Files on linkittänyt RSAENH-moduulin M-Files Server -sovellukseen dynaamisesti ja käyttää salauksessa Microsoft CryptoAPI -liittymää. M-Files Server käyttää siis FIPS 140-2 -validoitua salausta.