M-Files Compliance Center

M-Files använder sig av ett ISO- och SOC-certifierat system för kvalitetsstyrning och hantering av informationssäkerhet för att ge dig en säker tjänst av hög kvalitet.

ISO/IEC 27001:2013

M-Files har certifierats av en oberoende tredje part för att uppfylla kraven i standarden ISO/IEC 27001:2013. Certifieringen omfattar M-Files Cloud Operations.

SOC 2 och SOC 3

M-Files har certifierats för att uppfylla SOC 2-standarden som är baserad på Trust Services Criteria i American Institute of CPAs (AICPA).

M-Files har också fått SOC 3-certifiering, utifrån samma villkor (Trust Services Criteria för säkerhet, tillgänglighet och sekretess).

ISO 9001:2015

M-Files har certifierats av en oberoende tredje part för att uppfylla kraven i standarden ISO 9001:2015. Certifieringen omfattar design, utveckling, leverans och support för informationshanteringsprogram och relaterade tjänster.

Dataskyddsförordningen (GDPR)

M-Files uppfyller dataskyddsförordningen både som personuppgiftsbiträde och som personuppgiftsansvarig för personinformation. Som personuppgiftsbiträde uppfyller M-Files tillämpliga regler i dataskyddsförordningen för alla relevanta tjänster som levererats till kunder. M-Files samarbetar också med våra kunder för att hjälpa dem att uppfylla sina krav som personuppgiftsansvariga enligt dataskyddsförordningen.

Vi tillämpar högsta tänkbara normer i fråga om informationssäkerhet, datasekretess och transparens och hanterar data i enlighet med dataskyddsförordningen. Vi har samlat våra sekretessmeddelanden och annan dokumentation om dataskyddsförordningen på sidan med vår sekretesspolicy.

LÄS VÅR SEKRETESSPOLICY

ISO/IEC 27017:2015

Tillsammans med standardserien ISO/IEC 27001 ger ISO/IEC 27017 förbättrade kontroller för molntjänstleverantörer och molntjänstkunder. M-Files molninfrastrukturleverantör Microsoft Azure har certifierats för att driva ett system för hantering av informationssäkerhet som uppfyller kraven i ISO/IEC 27017:2015.

ISO/IEC 27018:2014

ISO/IEC 27018 ger förbättrade kontroller för leverantörer av publika molntjänster som agerar som personuppgiftsbiträden. M-Files molninfrastrukturleverantör Microsoft Azure har certifierats för att driva ett system för hantering av informationssäkerhet som uppfyller kraven i ISO/IEC 27018:2014.

ISO 22301:2012

ISO 22301:2012 Samhällssäkerhet – Ledningssystem för kontinuitet – Krav ger försäkran om åtagande i fråga om kontinuitet i verksamheten och katastrofberedskap. Certifieringen visar efterlevnad av strikta metoder för att förhindra, minimera, reagera på och återställa efter disruptiva händelser. M-Files molninfrastrukturleverantör Microsoft Azure har certifierats för att driva ett system för hantering av verksamhetskontinuitet som uppfyller kraven i ISO/IEC 22301:2012.

 

Registerhantering – SÄHKE2, DoD 5015.2, MoReq2 osv.

Sähke2 är en registerhanteringsstandard som underhålls av Riksarkivet i Finland. M-Files-produkten (Asianhallinta) har certifierats av en oberoende tredje part för att uppfylla kraven i SÄHKE2.

M-Files är formellt certifierat för SÄHKE2 i Finland och har också stöd för de viktigaste kraven i andra registerhanteringsspecifikationer, till exempel DoD 5015.2 och MoReq2.

FDA 21 CFR Part 11

M-Files QMS uppfyller eller har stöd för kraven i U.S. 21 CFR Part 11 för både elektroniska register och elektroniska signaturer.

Part 11 innehåller
– krav för själva datorsystemet
– krav som bara kan uppfyllas via lokala procedurer eller personal

Vi har upprättat ett dokument om regelefterlevnad som tydligt definierar vilka krav vi anser vara den senare typen, tillsammans med bästa metoder eller rekommendationer. Eftersom den senaste regeln i 21 CFR Part 11 ursprungligen publicerades 1997 är det lämpligt att tolka eller tydliggöra vissa av kraven utifrån dagens IT-standarder.

Eudralex Vol 4 Annex 11

M-Files system för kvalitetsstyrning (QMS) uppfyller eller har stöd för kraven i EudraLex Volume 4., Good Manufacturing Practice, Annex 11: Computerised Systems (2011).

Annex 11-dokumentet innehåller i princip två typer av krav. Först och främst kan vissa krav tillämpas på enskilda datorsystem som är i GMP-relaterad användning. Vi har upprättat ett dokument om regelefterlevnad där vi förklarar hur varje sådant krav uppfylls med M-Files QMS. Vi definierar tydligt var ett visst krav uppfylls av kvaliteterna i själva programvaran och var uppfyllande av kravet kräver även vissa lokala processer.

För det andra innehåller Annex 11 krav om hur organisationen ska köra sin IT-funktion i helhet. I dokumentet om regelefterlevnad förklarar vi hur M-Files QMS har stöd för att uppfylla sådana krav via flera fördefinierade processer och arbetsmetoder.

HIPAA

M-Files programvara kan användas för att främja regelefterlevnad med säkerhetsregeln i U.S. Health Insurance Portability and Accountability Act of 1996, eller HIPAA. Microsoft Azure och M-Files tillsammans kan valideras för att uppnå en HIPAA-kompatibel lösning för kunder.

Vi har upprättat ett dokument om regelefterlevnad som omfattar två övergripande, förväntade användningsfall med M-Files. I det första användningsfallet är själva M-Files ett användargränssnitt som innehåller HIPAA-skyddad hälsoinformation och därmed måste systemet ha rätt säkerhetsåtgärder, kontroller och larm. I det andra användningsfallet används M-Files som verktyg för organisationens kvalitetsstyrning, standardrutiner, utbildning och personalkvalificering, men innehåller inte några faktiska patienter eller deras hälsoinformation.

Vissa HIPAA-regler indikerar tydligt vissa kvaliteter i själva programvarusystemet. För sådana fall anger vi hur M-Files uppfyller varje krav. Andra HIPAA-regler handlar om lokala processer, arbetsmetoder och personal. För flera sådana regler föreslår vi ett antal bra metoder och användbara tips för hur M-Files kan bidra till HIPAA-efterlevnad genom automatisering, meddelanden, larm och åtkomstkontrollfunktioner.

SOX-404

We state that M-Files Compliance Kit, the Quality, Compliance and Regulation specific extension to the M-Files core platform, has been developed and tested according to software industry known best practices by professional in-house development team. M-Files produktutveckling, testning, utgivning och support utförs i enlighet med M-Files Corporations kvalitetssystem.

Vi har tagit hänsyn till kvalitets-, efterlevnads- och regelkrav i utformningen, utvecklingen och testningen av M-Files-kärnprogramvara och dess tillägg. Vår regelmedvetenhet omfattar, men är inte begränsad till, ISO 9001:2015, ISO 13485, 21 CFR Part 11, 21 CFR Part 820, Eudralex GMP Annex 11: Computerised systems, SOX-404, HIPAA och den allmänna dataskyddsförordningen (GDPR).

FIPS 140-2 Level 2

FIPS (Federal Information Processing Standard) Publication 140-2, (FIPS PUB 140-2) är en datorsäkerhetsstandard från amerikanska regeringen som används för att ackreditera kryptografiska moduler. Leverantörer kan validera sina kryptografiska moduler mot standarden.
Den kryptografiska modulen som M-Files använder (Microsoft Enhanced Cryptographic Provider) valideras mot FIPS 140-2.
M-Files Server utför AES-256-kryptering med hjälp av Microsoft Enhanced Cryptographic Provider (RSAENH) som är inbyggt i Windows operativsystem. RSAENH-modulen innefattar AES-algoritmen i en kryptografisk modul som är tillgänglig via Microsoft CryptoAPI. M-Files har länkat RSAENH-modulen dynamiskt till M-Files Server-programmet och använder Microsoft CryptoAPI för kryptering. Därför använder M-Files Server den validerade kryptografin FIPS 140-2.