3.1. Если задействованы третьи лица (например, поставщики, провайдеры услуг), например, для поставки, установки, настройки, задания конфигурации, интегрирования, валидации, технического обслуживания (например, через удаленный доступ), модификации или поддержания компьютеризированных систем, связанных с ними услуг или обработки данных, должны иметься надлежаще оформленные договоры между производителем и любыми третьими лицами. В этих договорах должна быть четко установлена ответственность третьих лиц. Аналогичные требования следует предъявлять к подразделениям информационных технологий производителя.
3.2. Компетентность и надежность поставщиков являются ключевыми условиями выбора провайдеров программного продукта или услуг. Необходимость аудита должна быть основана на оценке рисков.
3.3. Документация, прилагаемая к коммерчески выпускаемым готовым для использования программным продуктам, должна быть рассмотрена уполномоченными представителями заказчика на предмет соответствия требованиям пользователя.
3.4. Информация о системе качества и аудитах поставщиков или разработчиков программного обеспечения и установленных компьютеризированных систем должна быть доступна для предоставления инспекторам по их требованию.