合规

最后更新: 2025年2月

返回首页
杏泰国际贸易(上海)有限公司致力于在医疗技术领域保持严格的法规合规、数据安全和商业道德实践标准。我们持续投资合规基础设施,确保我们的服务达到或超越行业标准和监管要求。

监管框架概述

我们的合规计划旨在满足不同司法管辖区的多个监管框架要求,包括医疗法规(HIPAA、GDPR、PIPL和当地医疗法律)、医疗器械法规(FDA、NMPA、CE标志要求)、数据保护和隐私法(CCPA、GDPR、PIPL)、信息安全标准(ISO 27001、SOC 2)、质量管理标准(ISO 13485、ISO 9001)以及行业特定指南。

中国数据保护合规(PIPL和CSL)

对于中国运营,我们遵守《个人信息保护法》(PIPL)提供全面的个人数据保护,遵守《网络安全法》(CSL)满足网络安全和数据本地化要求,遵守《数据安全法》(DSL)实施数据分类和保护措施。我们遵守医疗数据安全法规和指南,必要时进行跨境数据传输评估,并具备本地数据存储和处理能力。

HIPAA合规(美国)

对于美国运营,我们保持全面的HIPAA合规。这包括遵守隐私规则(保护受保护健康信息PHI的政策和程序)和安全规则(电子PHI的管理、物理和技术保障措施)。我们遵循违规通知规则(数据泄露时及时通知的程序),与所有相关实体和分包商签订商业伙伴协议(BAA)。我们应用最小必要原则,将PHI访问限于每项功能所需。我们进行定期HIPAA风险评估和整改,指定隐私官和安全官,并为员工提供年度HIPAA要求培训。

SOC 2 Type II合规

我们保持SOC 2 Type II认证,展示我们对安全和运营卓越的承诺。我们的控制涵盖安全性(系统受到保护,防止未经授权的访问)、可用性(系统按承诺可用于运营)、处理完整性(系统处理完整、准确且经授权)、机密性(指定为机密的信息受到保护)和隐私(个人信息按照承诺进行收集、使用、保留和披露)。我们接受独立注册会计师事务所的年度第三方审计,并保持全年持续监控和控制测试。

GDPR合规(欧盟)

对于欧洲经济区的用户,我们遵守《通用数据保护条例》。我们确保处理的合法基础(基于同意、合同、法律义务或合法利益)。我们建立了履行数据主体权利(包括访问、更正、删除和可携带性请求)的机制。我们对高风险处理活动进行数据保护影响评估(DPIA),并指定数据保护官(DPO)负责GDPR合规监督。我们维护所有数据处理操作的处理活动记录,实施标准合同条款和适当的跨境传输保障措施,在系统设计和开发中应用隐私设计原则,并保持72小时内向监管机构通知违规的程序。

FDA和医疗器械法规

我们的软件和平台符合适用的医疗器械法规,包括FDA 21 CFR第820部分(医疗器械质量体系法规)、FDA软件作为医疗器械(SaMD)指南、IEC 62304(医疗器械软件生命周期过程)和IEC 62443(工业自动化和控制系统安全)。我们还符合中国国家药品监督管理局(NMPA)要求和欧盟医疗器械合规的CE标志要求。我们按照ISO 14971实施风险管理,并维护临床评估和上市后监测程序。

质量管理体系

我们的质量管理体系确保持续提供安全有效的医疗技术。我们已通过ISO 13485:2016(医疗器械质量管理体系)和ISO 9001:2015(质量管理体系)认证。我们的体系包括设计控制和变更管理程序、供应商质量管理和供应商评估、纠正和预防措施(CAPA)流程、文件控制和记录管理、管理评审和持续改进,以及定期内部审计和外部认证审计。

信息安全管理

我们保持符合ISO 27001:2022(信息安全管理体系)和ISO 27701(隐私信息管理)的强大信息安全控制。我们的技术控制包括静态数据AES-256加密和传输中数据TLS 1.3加密、多因素身份验证(MFA)要求、基于角色的访问控制(RBAC)以及安全信息和事件管理(SIEM)。我们进行定期渗透测试和漏洞评估,并保持24/7安全运营中心(SOC)监控。

业务连续性和灾难恢复

我们保持全面的业务连续性计划以确保服务可用性。我们的业务连续性计划(BCP)包含明确的恢复时间目标(RTO),我们的灾难恢复计划(DRP)包含明确的恢复点目标(RPO)。我们运营地理分布的数据中心以实现冗余,实施定期备份程序和加密的异地存储,并进行年度业务连续性测试和桌面演练。我们维护事件响应程序和升级协议、利益相关者通知的沟通计划,并提供99.9%正常运行时间服务级别协议(SLA)。

供应商和第三方风险管理

我们通过供应商入驻前的尽职调查评估、供应商合同中的安全和合规要求、定期供应商安全评估和审计、与医疗数据供应商签订商业伙伴协议、与次级处理者签订数据处理协议、持续监控供应商安全状况、供应商事件响应协调程序以及年度供应商风险重新评估,谨慎管理与第三方供应商和服务提供商相关的风险。

员工培训和意识

所有杏泰医疗员工接受全面的合规培训,包括年度HIPAA隐私和安全培训、数据保护和GDPR意识培训、信息安全意识培训、开发团队的安全编码实践、钓鱼模拟和社会工程意识、特定角色的合规培训、新员工合规要求入职培训,以及法规变更和要求的定期更新。

认证和证明

我们保持以下认证和合规证明:ISO 27001:2022信息安全管理(已认证)、ISO 13485:2016医疗器械质量管理(已认证)、SOC 2 Type II安全性、可用性、机密性(年度证明)、HIPAA商业伙伴合规(自我证明并经第三方评估)、GDPR数据保护合规(自我证明并由DPO监督)、CE标志欧盟医疗器械合规(适用时)以及NMPA注册中国医疗器械批准(适用时)。

审计报告和文档

我们向合格方提供合规文档。SOC 2 Type II报告可在NDA下向企业客户提供。ISO认证文件可应要求提供。我们提供供应商评估的安全问卷回复、GDPR合规的数据处理附录(DPA)、HIPAA合规的商业伙伴协议(BAA)以及渗透测试执行摘要(应要求提供)。请联系compliance@suntopai.com获取文档请求。

事件响应

我们保持全面的事件响应程序,包括24/7事件检测和响应能力、定义的事件分类和严重级别、升级程序和沟通协议、取证调查和根本原因分析、在法规时限内违规通知、事后审查和经验教训,以及定期事件响应演练和桌面演练。

道德和反腐败

我们通过所有员工的商业行为和道德准则、反贿赂和反腐败政策、利益冲突披露要求、礼品和招待指南、公平竞争和反垄断合规以及举报人保护和匿名报告渠道,在所有业务往来中保持高道德标准。

报告合规问题

如果您对合规有任何疑虑或希望报告潜在问题,请通过电子邮件compliance@suntopai.com联系我们,或使用我们的合规热线进行匿名报告。您也可以联系数据保护官dpo@suntopai.com或向security@suntopai.com报告安全事件。所有报告均会被彻底和保密地调查,举报人保护适用于善意报告。

持续改进

我们致力于通过定期审查和更新政策和程序、监控法规变化和新兴要求、纳入审计和评估的反馈、投资合规技术和自动化、参与行业团体和监管机构以及与行业标准进行基准比较,持续改进我们的合规计划。

有任何问题?请联系我们获取更多信息。

联系我们