合規

最後更新: 2025年2月

返回首頁
杏泰國際貿易(上海)有限公司致力於在醫療技術領域保持嚴格的法規合規、數據安全和商業道德實踐標準。我們持續投資合規基礎設施,確保我們的服務達到或超越行業標準和監管要求。

監管框架概述

我們的合規計劃旨在滿足不同司法管轄區的多個監管框架要求:醫療法規(HIPAA、GDPR、PIPL和當地醫療法律);醫療器械法規(FDA、NMPA、CE標誌要求);數據保護和隱私法(CCPA、GDPR、PIPL);資訊安全標準(ISO 27001、SOC 2);品質管理標準(ISO 13485、ISO 9001);以及行業特定指南和優秀實踐。

HIPAA合規(美國)

對於美國運營,我們保持全面的HIPAA合規:隱私規則涵蓋保護受保護健康資訊(PHI)的政策和程序;安全規則確保電子PHI的管理、實體和技術保障措施;違規通知規則建立數據洩露時及時通知的程序;商業夥伴協議(BAA)與所有相關實體和分包商簽訂;最小必要原則確保PHI存取限於每項功能所需;我們進行定期HIPAA風險評估和整改;指定隱私官和安全官;以及進行年度HIPAA要求員工培訓。

SOC 2 Type II合規

我們保持SOC 2 Type II認證,展示我們對安全和運營卓越的承諾。安全性確保系統受到保護,防止未經授權的存取;可用性確保系統按承諾可用於運營;處理完整性確保系統處理完整、準確且經授權;機密性確保指定為機密的資訊受到保護;隱私確保個人資訊按照承諾進行收集、使用、保留和披露。我們由獨立註冊會計師事務所進行年度第三方審計,並進行全年持續監控和控制測試。

GDPR合規(歐盟)

對於歐洲經濟區的用戶,我們遵守《通用數據保護條例》。合法基礎涵蓋基於同意、合約、法律義務或合法利益的處理;數據主體權利透過履行存取、更正、刪除和可攜帶性請求的機制得到保障;數據保護影響評估(DPIA)對高風險處理活動進行評估;數據保護官(DPO)負責GDPR合規監督;處理活動記錄維護所有數據處理操作的記錄;跨境傳輸採用標準合約條款和適當保障措施;隱私設計將數據保護融入系統設計和開發;72小時違規通知建立向監管機構通知的程序。

FDA和醫療器械法規

我們的軟體和平台符合適用的醫療器械法規:FDA 21 CFR第820部分醫療器械品質系統法規;FDA軟體作為醫療器械(SaMD)指南;IEC 62304醫療器械軟體生命週期過程;IEC 62443工業自動化和控制系統安全;中國國家藥品監督管理局(NMPA)要求;歐盟醫療器械合規的CE標誌要求;符合ISO 14971的風險管理;以及臨床評估和上市後監測程序。

品質管理體系

我們的品質管理體系確保持續提供安全有效的醫療技術:ISO 13485:2016醫療器械品質管理體系;ISO 9001:2015品質管理體系;設計控制和變更管理程序;供應商品質管理和供應商評估;糾正和預防措施(CAPA)流程;文件控制和記錄管理;管理評審和持續改進;以及定期內部審計和外部認證審計。

資訊安全管理

我們保持強大的資訊安全控制:ISO 27001:2022資訊安全管理體系;ISO 27701隱私資訊管理;靜態數據AES-256加密;傳輸中數據TLS 1.3加密;多因素身份驗證(MFA)要求;基於角色的存取控制(RBAC);安全資訊和事件管理(SIEM);定期滲透測試和漏洞評估;以及24/7安全運營中心(SOC)監控。

業務連續性和災難復原

我們保持全面的業務連續性計劃以確保服務可用性:具有明確復原時間目標(RTO)的業務連續性計劃(BCP);具有明確復原點目標(RPO)的災難復原計劃(DRP);地理分布的數據中心以實現冗餘;定期備份程序和加密的異地儲存;年度業務連續性測試和桌面演練;事件回應程序和升級協議;利害關係人通知的溝通計劃;以及99.9%正常運行時間服務級別協議(SLA)。

供應商和第三方風險管理

我們謹慎管理與第三方供應商和服務提供商相關的風險:供應商入職前的盡職調查評估;供應商合約中的安全和合規要求;定期供應商安全評估和審計;與醫療數據供應商簽訂商業夥伴協議;與次級處理者簽訂數據處理協議;持續監控供應商安全狀況;供應商事件回應協調程序;以及年度供應商風險重新評估。

員工培訓和意識

所有杏泰醫療員工接受全面的合規培訓:年度HIPAA隱私和安全培訓;數據保護和GDPR意識培訓;資訊安全意識培訓;開發團隊的安全編碼實踐;釣魚模擬和社會工程意識;特定角色的合規培訓;新員工合規要求入職培訓;以及法規變更和要求的定期更新。

認證和證明

我們保持以下認證和合規證明:ISO 27001:2022資訊安全管理(已認證);ISO 13485:2016醫療器械品質管理(已認證);SOC 2 Type II安全性、可用性、機密性(年度證明);HIPAA商業夥伴合規(自我證明並經第三方評估);GDPR數據保護合規(自我證明並由DPO監督);CE標誌歐盟醫療器械合規(適用時);以及NMPA註冊中國醫療器械批准(適用時)。

審計報告和文檔

我們向合格方提供合規文檔:SOC 2 Type II報告可在NDA下向企業客戶提供;ISO認證文件可應要求提供;供應商評估的安全問卷回覆;GDPR合規的數據處理附錄(DPA);HIPAA合規的商業夥伴協議(BAA);滲透測試執行摘要(應要求提供)。請聯繫compliance@suntopai.com取得文檔請求。

事件回應

我們保持全面的事件回應程序:24/7事件檢測和回應能力;定義的事件分類和嚴重級別;升級程序和溝通協議;取證調查和根本原因分析;在法規時限內違規通知;事後審查和經驗教訓;以及定期事件回應演練和桌面演練。

道德和反腐敗

我們在所有業務往來中保持高道德標準:所有員工的商業行為和道德準則;反賄賂和反腐敗政策;利益衝突披露要求;禮品和招待指南;公平競爭和反壟斷合規;以及舉報人保護和匿名報告管道。

報告合規問題

如果您對合規有任何疑慮或希望報告潛在問題,請聯繫我們。電子郵件:compliance@suntopai.com;合規熱線可進行匿名報告;數據保護官:dpo@suntopai.com;安全事件:security@suntopai.com。所有報告均會被徹底和保密地調查,舉報人保護適用於善意報告。

持續改進

我們致力於持續改進我們的合規計劃:定期審查和更新政策和程序;監控法規變化和新興要求;納入審計和評估的回饋;投資合規技術和自動化;參與行業團體和監管機構;以及與行業優秀實踐進行基準比較。

有任何問題?請聯繫我們獲取更多資訊。

聯繫我們