M-Files Compliance-Zentrum
M-Files verfügt über ein ISO- und SOC-zertifiziertes Qualitäts- und Informationssicherheitsmanagementsystem, um Ihnen einen sicheren und hochwertigen Service zu bieten, und verfolgt bei seinen Geschäftspraktiken stets einen rechtlichen und ethischen Ansatz.
ISO/IEC 27001:2013
M-Files wurde von einem unabhängigen Dritten für die Einhaltung der Anforderungen der Norm ISO/IEC 27001:2013 zertifiziert. Die Zertifizierung umfasst M-Files Cloud Operations.
SOC 2 und SOC 3
M-Files ist für die Einhaltung des SOC 2-Standards auf der Grundlage der Trust Services Criteria des American Institute of CPAs (AICPA) zertifiziert worden.
M-Files hat ebenfalls die SOC 3-Zertifizierung erhalten, die auf denselben Kriterien (Trust Services Criteria of security, availability and confidentiality) beruht.
ISO 9001:2015
M-Files wurde von einem unabhängigen Dritten für die Erfüllung der Anforderungen der Norm ISO 9001:2015 zertifiziert. Die Zertifizierung umfasst die Konzeption, Entwicklung, Bereitstellung und Unterstützung von Informationsmanagement-Software und damit verbundenen Dienstleistungen.
GDPR
M-Files erfüllt die GDPR sowohl als Auftragsverarbeiter als auch als für die Verarbeitung personenbezogener Daten Verantwortlicher. Als Datenverarbeiter erfüllt M-Files die geltenden GDPR-Bestimmungen für alle relevanten Dienstleistungen, die für Kunden erbracht werden. M-Files arbeitet auch mit unseren Kunden zusammen, um sie bei der Erfüllung ihrer GDPR-Verpflichtungen als Datenverantwortliche zu unterstützen.
Wir verpflichten uns zu hohen Standards der Informationssicherheit, des Datenschutzes und der Transparenz sowie zur Verwaltung von Daten in Übereinstimmung mit der GDPR. Wir haben unsere Datenschutzhinweise und andere GDPR-Dokumente auf unserer Seite zum Datenschutz zusammengestellt.
Anti-Sklaverei-Stellungnahme
M-Files verpflichtet sich zum Schutz vor Sklaverei und Menschenhandel in unserer Lieferkette oder in jedem Teil unseres Unternehmens. Obwohl M-Files als Anbieter von intelligenten Informationsmanagementlösungen kein hohes Risiko in Bezug auf Sklaverei, Menschenhandel oder andere Menschenrechtsfragen darstellt, verfolgt M-Files einen Null-Toleranz-Ansatz. Neben anderen Sicherheitsvorkehrungen gehört es zu den Geschäftspraktiken von M-Files , alle geltenden Gesetze einzuhalten und von seinen Lieferanten eine vertragliche Verpflichtung zu verlangen, alle geltenden Gesetze jederzeit einzuhalten, einschließlich des Modern Slavery Act 2015.
ISO/IEC 27017:2015
In Verbindung mit der Normenreihe ISO/IEC 27001 bietet ISO/IEC 27017 verbesserte Kontrollen für Cloud-Service-Anbieter und Cloud-Service-Kunden. M-Files Cloud-Infrastrukturanbieter Microsoft Azure wurde für den Betrieb eines Informationssicherheitsmanagementsystems zertifiziert, das die Anforderungen von ISO/IEC 27017:2015 erfüllt.
ISO/IEC 27018:2014
ISO/IEC 27018 bietet erweiterte Kontrollen für Anbieter von Public-Cloud-Computing-Diensten, die als Verarbeiter von personenbezogenen Daten fungieren. M-Files Cloud-Infrastrukturanbieter Microsoft Azure wurde für den Betrieb eines Informationssicherheitsmanagementsystems zertifiziert, das die Anforderungen von ISO/IEC 27018:2014 erfüllt.
ISO 22301:2012
Der ISO 22301:2012 Business Continuity Management Standard bietet Sicherheit für die Verpflichtung zur Geschäftskontinuität und Katastrophenvorsorge. Die Zertifizierung belegt die Einhaltung strenger Praktiken zur Vorbeugung, Abschwächung, Reaktion auf und Wiederherstellung nach Störfällen. M-Files Cloud-Infrastrukturanbieter Microsoft Azure wurde für den Betrieb eines Business Continuity Management Systems zertifiziert, das die Anforderungen von ISO 22301:2012 erfüllt.
Records Management - SÄHKE2, DoD 5015.2, MoReq2, etc.
SÄHKE2 ist ein Records Management Standard, der vom finnischen Nationalarchiv gepflegt wird. Das Produkt M-Files (Asianhallinta) wurde von einem unabhängigen Dritten für die Einhaltung der SÄHKE2-Anforderungen zertifiziert.
M-Files ist in Finnland offiziell für SÄHKE2 zertifiziert und unterstützt auch die wichtigsten Anforderungen anderer Records-Management-Spezifikationen, wie DoD 5015.2 und MoReq2.
FDA 21 CFR Teil 11
M-Files QMS erfüllt oder unterstützt die Anforderungen von U.S. 21 CFR Part 11 für elektronische Aufzeichnungen und elektronische Signaturen.
Teil 11 enthält
- Anforderungen, die sich auf das Computersystem selbst beziehen
- Anforderungen, die nur durch lokale Verfahren oder Personal erfüllt werden können
Wir haben eine Erklärung zur Einhaltung der Vorschriften erstellt, in der klar definiert ist, welche wir als letztere betrachten, und einige bewährte Verfahren oder Empfehlungen aufgeführt sind. Da die endgültige Vorschrift 21 CFR Part 11 ursprünglich 1997 veröffentlicht wurde, bedürfen einige ihrer Anforderungen auch der Auslegung oder Klärung auf der Grundlage heutiger IT-Standards.
Eudralex Band 4 Anhang 11
M-Files Das Qualitätsmanagementsystem (QMS) erfüllt oder unterstützt die Anforderungen von EudraLex Band 4, Gute Herstellungspraxis, Anhang 11: Computerisierte Systeme (2011).
Das Papier in Anhang 11 enthält im Wesentlichen zwei Arten von Anforderungen. Erstens können bestimmte Anforderungen auf ein einzelnes Computersystem angewendet werden, das im Zusammenhang mit GMP verwendet wird. Wir haben ein Dokument zur Konformitätserklärung erstellt, in dem wir erklären, wie jede dieser Anforderungen mit M-Files QMS erfüllt wird. Wir definieren klar, wo eine bestimmte Anforderung durch die Eigenschaften der Software selbst erfüllt wird und wo die Erfüllung der Anforderung auch bestimmte lokale Prozesse erfordert.
Zweitens enthält Anhang 11 Anforderungen darüber, wie die Organisation ihre IT-Funktion als Ganzes betreiben sollte. In der Konformitätserklärung erklären wir, wie M-Files QMS die Erfüllung dieser Anforderungen durch mehrere vordefinierte Prozesse und Arbeitsverfahren unterstützt.
HIPAA
M-Files Software kann verwendet werden, um die Einhaltung der Security Rule des U.S. Health Insurance Portability and Accountability Act von 1996 oder HIPAA zu fördern. Microsoft Azure und M-Files können zusammen validiert werden, um eine HIPAA konforme Lösung für Kunden zu erhalten.
Wir haben ein Dokument zur Konformitätserklärung erstellt, das die beiden wichtigsten erwarteten Anwendungsfälle von M-Files abdeckt. Im ersten Anwendungsfall ist M-Files selbst ein Repository, das HIPAA geschützte Gesundheitsdaten enthält, und daher muss das System über die entsprechenden Sicherheitsmaßnahmen, Kontrollen und Alarme verfügen. Im zweiten Anwendungsfall wird M-Files als Qualitätsmanagement-, SOP-, Schulungs- und Personalqualifizierungstool der Organisation verwendet, enthält aber keine tatsächlichen Patienten oder deren Gesundheitsdaten.
Einige HIPAA Regeln weisen eindeutig auf bestimmte Eigenschaften des Softwaresystems selbst hin. In solchen Fällen geben wir an, wie M-Files die jeweilige Anforderung erfüllt. Andere HIPAA Regeln beziehen sich auf lokale Prozesse, Arbeitsweisen und Personal. Für mehrere solcher Regeln schlagen wir eine Reihe von bewährten Verfahren und hilfreichen Tipps vor, wie M-Files durch seine Automatisierungs-, Benachrichtigungs-, Alarm- und Zugangskontrollfunktionen zur Einhaltung von HIPAA beitragen kann.
SOX-404
Wir weisen darauf hin, dass M-Files Compliance Kit, die qualitäts-, compliance- und regulierungsspezifische Erweiterung der M-Files Kernplattform, von einem professionellen internen Entwicklungsteam gemäß den in der Softwarebranche bekannten Best Practices entwickelt und getestet wurde. M-Files Produktentwicklung, Tests, Freigabe und Support werden gemäß dem Qualitätssystem der M-Files Corporation durchgeführt.
Bei der Konzeption, Entwicklung und Prüfung der Kernsoftware M-Files und ihrer Zusatzmodule wurden die Anforderungen an Qualität, Konformität und Vorschriften berücksichtigt. Unser Bewusstsein für Vorschriften umfasst unter anderem ISO 9001:2015, ISO 13485, 21 CFR Part 11, 21 CFR Part 820, Eudralex GMP Annex 11: Computerised Systems, SOX-404, HIPAA und GDPR.
FIPS 140-2 Stufe 2
Die Federal Information Processing Standard (FIPS) Publication 140-2 (FIPS PUB 140-2) ist ein Computersicherheitsstandard der US-Regierung, der zur Akkreditierung von kryptographischen Modulen verwendet wird. Anbieter können ihre kryptografischen Module anhand dieses Standards validieren.
Das kryptografische Modul, das M-Files nutzt (Microsoft Enhanced Cryptographic Provider), ist nach FIPS 140-2 validiert.
M-Files Der Server führt die AES-256-Verschlüsselung mit dem Microsoft Enhanced Cryptographic Provider (RSAENH) durch, der in Windows-Betriebssysteme integriert ist. Das RSAENH-Modul kapselt den AES-Algorithmus in einem kryptografischen Modul, auf das über die Microsoft CryptoAPI zugegriffen werden kann. M-Files hat das RSAENH-Modul dynamisch in die M-Files Server-Anwendung eingebunden und verwendet die Microsoft CryptoAPI zur Verschlüsselung. Daher verwendet M-Files Server eine nach FIPS 140-2 validierte Kryptografie.