M-Files Compliance Center
M-Files käyttää ISO- ja SOC-sertifioitua laadun- ja tietoturvanhallintajärjestelmää tarjotakseen sinulle turvallista ja laadukasta palvelua, ja se noudattaa aina laillista ja eettistä lähestymistapaa liiketoimintakäytännöissään.
ISO/IEC 27001:2013
M-Files riippumaton kolmas osapuoli on sertifioinut, että se täyttää ISO/IEC 27001:2013 -standardin vaatimukset. Sertifiointi kattaa M-Files Cloud Operations.
SOC 2 ja SOC 3
M-Files on sertifioitu American Institute of CPAs (AICPA) Trust Services Criteria -standardin SOC 2 -standardin mukaiseksi.
M-Files on myös saanut SOC 3 -sertifikaatin, joka perustuu samoihin kriteereihin (Trust Services Criteria of security, availability and confidentiality).
ISO 9001:2015
M-Files on saanut riippumattoman kolmannen osapuolen myöntämän sertifikaatin, jonka mukaan se täyttää ISO 9001:2015 -standardin vaatimukset. Sertifiointi kattaa tiedonhallintaohjelmistojen ja niihin liittyvien palvelujen suunnittelun, kehittämisen, toimittamisen ja tuen.
GDPR
M-Files noudattaa yleistä tietosuoja-asetusta sekä henkilötietojen käsittelijänä että rekisterinpitäjänä. Tietojen käsittelijänä M-Files noudattaa sovellettavia GDPR-säännöksiä kaikkien asiakkaille tarjottavien palveluiden osalta. M-Files tekee myös yhteistyötä asiakkaidemme kanssa auttaakseen heitä täyttämään GDPR-velvoitteensa rekisterinpitäjinä.
Olemme sitoutuneet korkeisiin tietoturva-, tietosuoja- ja avoimuusstandardeihin sekä tietojen hallintaan GDPR:n mukaisesti. Olemme koonneet tietosuojailmoituksemme ja muut GDPR-asiakirjat Tietosuojaseloste-sivullemme.
Orjuuden vastainen kannanotto
M-Files on sitoutunut suojautumaan orjuudelta ja ihmiskaupalta toimitusketjussa tai missä tahansa liiketoimintamme osassa. Vaikka M-Files :n liiketoiminta älykkäiden tiedonhallintaratkaisujen tarjoamisena ei ole orjuuden, ihmiskaupan tai muiden ihmisoikeuskysymysten kannalta riskialtista, M-Files noudattaa nollatoleranssia. Muiden turvatoimien lisäksi M-Files liiketoimintakäytäntönä on noudattaa kaikkia sovellettavia lakeja ja pyytää toimittajiltaan sopimussitoumusta noudattaa kaikkia sovellettavia lakeja, mukaan lukien Modern Slavery Act 2015.
ISO/IEC 27017:2015
Yhdessä ISO/IEC 27001 -standardisarjan kanssa ISO/IEC 27017 tarjoaa tehostettua valvontaa pilvipalvelujen tarjoajille ja pilvipalvelujen asiakkaille. M-Files pilvipalveluiden infrastruktuurin tarjoaja Microsoft Azure on sertifioitu käyttämään tietoturvan hallintajärjestelmää, joka täyttää ISO/IEC 27017:2015:n vaatimukset.
ISO/IEC 27018:2014
ISO/IEC 27018 tarjoaa tehostettua valvontaa julkisten pilvipalvelujen tarjoajille, jotka toimivat PII:n käsittelijöinä. M-Files pilvi-infrastruktuurin tarjoaja Microsoft Azure on sertifioitu käyttämään tietoturvallisuuden hallintajärjestelmää, joka vahvistaa ISO/IEC 27018:2014:n vaatimukset.
ISO 22301:2012
ISO 22301:2012 Business Continuity Management -standardi takaa sitoutumisen liiketoiminnan jatkuvuuteen ja katastrofivalmiuteen. Sertifiointi osoittaa, että noudatetaan tiukkoja käytäntöjä häiriötilanteiden ehkäisemiseksi, lieventämiseksi, niihin reagoimiseksi ja niistä toipumiseksi. M-Files pilvipalveluiden infrastruktuurin tarjoaja Microsoft Azure on sertifioitu käyttämään ISO 22301:2012 -standardin vaatimukset täyttävää liiketoiminnan jatkuvuuden hallintajärjestelmää.
Arkistonhallinta - SÄHKE2, DoD 5015.2, MoReq2 jne.
Sähke2 on Kansallisarkiston ylläpitämä arkistonhallintastandardi. M-Files tuote (Asianhallinta) on riippumattoman kolmannen osapuolen sertifioima SÄHKE2-vaatimusten mukainen.
M-Files on virallisesti sertifioitu Suomessa SÄHKE2:lle, ja se tukee myös muiden asiakirjahallintomääritysten, kuten DoD 5015.2:n ja MoReq2:n, keskeisiä vaatimuksia.
FDA 21 CFR osa 11
M-Files QMS täyttää tai tukee Yhdysvaltain 21 CFR:n osan 11 vaatimuksia sekä sähköisten asiakirjojen että sähköisten allekirjoitusten osalta.
Osa 11 sisältää
- vaatimukset, jotka koskevat itse tietokonejärjestelmää
- vaatimukset, jotka voidaan täyttää vain paikallisten menettelyjen tai henkilöstön avulla.
Olemme laatineet asiakirjan, jossa määritellään selkeästi, mitkä niistä ovat mielestämme jälkimmäistä tyyppiä, sekä joitakin parhaita käytäntöjä tai suosituksia. Koska 21 CFR:n osan 11 lopullinen sääntö julkaistiin alun perin vuonna 1997, jotkin sen vaatimuksista vaativat myös tulkintaa tai selvennystä nykyisten tietotekniikkastandardien perusteella.
Eudralex Vol 4 Liite 11
M-Files Laadunhallintajärjestelmä (QMS) täyttää tai tukee EudraLex Volume 4., Good Manufacturing Practice, Annex 11: Computerised Systems (2011) -julkaisun vaatimuksia.
Liitteessä 11 oleva asiakirja sisältää periaatteessa kahdenlaisia vaatimuksia. Ensinnäkin tiettyjä vaatimuksia voidaan soveltaa yksittäiseen tietokonejärjestelmään, joka on GMP:hen liittyvässä käytössä. Olemme laatineet vaatimustenmukaisuusilmoitusasiakirjan, jossa selitämme, miten kukin tällainen vaatimus täyttyy M-Files QMS:n avulla. Määrittelemme selkeästi, missä tapauksessa tietty vaatimus täyttyy itse ohjelmiston ominaisuuksien ansiosta ja missä tapauksessa vaatimuksen täyttäminen edellyttää myös tiettyä paikallista prosessia.
Toiseksi liite 11 sisältää vaatimuksia siitä, miten organisaation olisi hoidettava tietotekniikkatoimintonsa kokonaisuutena. Vaatimustenmukaisuusilmoituksessa selitämme, miten M-Files QMS tukee näiden vaatimusten täyttämistä useiden ennalta määriteltyjen prosessien ja työkäytäntöjen avulla.
HIPAA
M-Files ohjelmistoa voidaan käyttää edistämään Yhdysvaltain vuoden 1996 sairausvakuutuslain (U.S. Health Insurance Portability and Accountability Act of 1996) turvallisuussäännön noudattamista, tai HIPAA. Microsoft Azure ja M-Files voidaan validoida yhdessä, jotta asiakkaat saavat HIPAA -vaatimusten mukaisen ratkaisun.
Olemme laatineet vaatimustenmukaisuusilmoitusasiakirjan, joka kattaa kaksi tärkeintä odotettua M-Files-käyttötapausta. Ensimmäisessä käyttötapauksessa M-Files on itse HIPAA -suojattuja terveystietoja sisältävä arkisto, joten järjestelmässä on oltava asianmukaiset turvatoimenpiteet, valvonta ja hälytykset. Toisessa käyttötapauksessa M-Files käytetään organisaation laadunhallinta-, SOP-, koulutus- ja henkilöstön pätevöintivälineenä, mutta se ei sisällä varsinaisia potilaita tai heidän terveystietojaan.
Jotkin HIPAA -säännöt osoittavat selvästi tiettyjä ominaisuuksia itse ohjelmistojärjestelmässä. Tällaisissa tapauksissa ilmoitamme, miten M-Files täyttää kunkin vaatimuksen. Muut HIPAA säännöt koskevat paikallisia prosesseja, työkäytäntöjä ja henkilöstöä. Useiden tällaisten sääntöjen osalta ehdotamme useita hyviä käytäntöjä ja hyödyllisiä vinkkejä siitä, miten M-Files voi edistää HIPAA sääntöjen noudattamista automaation, ilmoitusten, hälytysten ja pääsynvalvontaominaisuuksiensa avulla.
SOX-404
Vakuutamme, että M-Files Compliance Kit, laatu-, vaatimustenmukaisuus- ja sääntelykysymyksiä käsittelevä M-Files -ydinalustan lisäosa, on kehitetty ja testattu ohjelmistoalan tunnettujen parhaiden käytäntöjen mukaisesti ammattitaitoisen sisäisen kehitystiimin toimesta. M-Files -tuotekehitys, testaus, julkaisu ja tuki toteutetaan M-Files Corporationin laatujärjestelmän mukaisesti.
Laatu-, vaatimustenmukaisuus- ja sääntelyvaatimukset on otettu huomioon suunniteltaessa, kehitettäessä ja testattaessa M-Files -ydinohjelmistoa ja sen lisäosia. Sääntelytietoisuutemme kattaa muun muassa ISO 9001:2015, ISO 13485, 21 CFR Part 11, 21 CFR Part 820, Eudralex GMP Annex 11: Computerised systems, SOX-404, HIPAA ja GDPR.
FIPS 140-2 taso 2
Federal Information Processing Standard (FIPS) Publication 140-2, (FIPS PUB 140-2) on Yhdysvaltain hallituksen tietoturvastandardi, jota käytetään salausmoduulien akkreditointiin. Valmistajat voivat validoida salausmoduulinsa tämän standardin mukaisesti.
Salausmoduuli, jota M-Files käyttää (Microsoft Enhanced Cryptographic Provider), on validoitu FIPS 140-2:n mukaisesti.
M-Files Palvelin suorittaa AES-256-salauksen käyttämällä Windows-käyttöjärjestelmiin upotettua Microsoft Enhanced Cryptographic Provider (RSAENH) -palvelinta. RSAENH-moduuli kapseloi AES-algoritmin kryptografiseen moduuliin, johon pääsee käsiksi Microsoft CryptoAPI:n kautta. M-Files on linkittänyt RSAENH-moduulin dynaamisesti M-Files Server-sovellukseen ja käyttää Microsoft CryptoAPI:tä salaukseen. Näin ollen M-Files Server käyttää FIPS 140-2 -validoitua salausta.