Centro de seguridad21 CFR Part 11
eSignGlobal 21 CFR Part 11 Cumplimiento Informe
Análisis de Cumplimiento
Lo siguiente es la traducción de la regulación 21CFR Part11
Subparte B—Registros Electrónicos Electronic Records
Part11 11.10-Controles para sistemas cerrados Controls for closed systems.
El personal que utiliza sistemas cerrados para generar, modificar, mantener o transmitir registros electrónicos deberá adoptar procedimientos y métodos de gestión que garanticen la autenticidad, integridad y, cuando sea necesario, la confidencialidad de los registros, para garantizar que el firmante no pueda negar fácilmente la firma de registros no auténticos. Los procedimientos y la gestión deben incluir:
(a) Verificar el sistema para garantizar la exactitud, fiabilidad del rendimiento previsto y la capacidad de identificar registros de cambios no válidos.
| Respuesta | eSignGlobal como producto SAAS, el desarrollo, las pruebas y la liberación del software son responsabilidad del proveedor, y la empresa regulada necesita el apoyo del proveedor para completar las actividades de verificación. eSignGlobal ha establecido un sistema de gestión de calidad completo y ha obtenido el certificado de certificación CMMI. A través de procesos estandarizados, lleva a cabo la gestión del ciclo de vida de los productos de software, incluido el diseño, el desarrollo, las pruebas y el control de lanzamiento, y guarda registros completos. Puede proporcionar documentación escrita completa para apoyar las actividades de verificación del cliente.  |
|---|---|
| Conclusión | Combinando la gestión de calidad de la empresa regulada y las actividades de gestión de calidad de eSignGlobal, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(b) La capacidad de generar copias exactas, completas y legibles de registros electrónicos para facilitar la inspección, auditoría y reproducción por parte de las autoridades competentes. Si hay algún problema con la auditoría y reproducción de registros electrónicos por parte de las autoridades competentes, se debe contactar a las autoridades competentes.
| Respuesta | Los registros electrónicos generados por eSignGlobal incluyen dos categorías principales: § Registros de actividades comerciales, que incluyen principalmente varios registros de actividades GMP cargados en el sistema y firmados con firmas electrónicas confiables, incluidos los contratos electrónicos aplicables. §Registros de actividades de soporte, como la gestión e inicio de sesión de usuarios, la visualización y el intercambio de contratos, etc. El sistema puede generar copias exactas, completas y legibles de registros electrónicos para su visualización electrónica o impresión como copias en papel. La empresa regulada utiliza estos registros para la auditoría regulatoria según sea necesario.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
© Protección de los registros para que sean precisos y fáciles de recuperar durante todo el período de conservación.
| Respuesta | Como producto SAAS, la gestión y seguridad de los registros de eSignGlobal son responsabilidad del proveedor. Las instrucciones de seguridad de los registros relacionados incluyen: § El proveedor de computación en la nube es un conocido proveedor de servicios en la nube. eSignGlobal ha firmado un acuerdo de calidad con el proveedor para restringir la seguridad física, la disponibilidad del servicio, la recuperación ante desastres, etc. § Los servicios de I+D, pruebas, operación y mantenimiento cumplen con el sistema de gestión del «Sistema de gestión de protección de información personal-ISO/ IEC27018:2019» y han obtenido los certificados de registro pertinentes § Los servicios de I+D, pruebas, operación y mantenimiento cumplen con el sistema de gestión del «Sistema de gestión de seguridad de la información-ISO/ IEC27001:2022» y han obtenido los certificados de registro pertinentes § Los servicios de I+D, pruebas, operación y mantenimiento cumplen con el sistema de gestión «Sistema de gestión de información de privacidad-ISO/ IEC27701:2019» y han obtenido los certificados de registro correspondientes. § El sistema cuenta con funciones integrales de gestión de permisos, y los usuarios no autorizados no pueden acceder a los registros relacionados. § El sistema cuenta con una función de seguimiento de auditoría. Las operaciones como la creación, modificación y eliminación de datos en el sistema tendrán registros detallados, lo que garantiza la trazabilidad de los registros. § Tiangu Information coopera con las empresas supervisadas para completar las actividades de cumplimiento, como auditorías, validación de sistemas, etc., y proporciona la documentación aplicable.  eSignGlobal proporciona una potente función de recuperación de registros que se puede utilizar para recuperar información en función del personal, la hora, el tipo de operación, el número de registro y otros información.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(d) Restringir el inicio de sesión en el sistema autorizando a usuarios individuales.
| Respuesta | eSignGlobal tiene funciones integrales de control de acceso para controlar el inicio de sesión de usuarios individuales en el sistema. A través de la autorización, los usuarios individuales pueden iniciar sesión en el sistema mediante contraseñas y otros métodos. |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(e) Utilizar un seguimiento de auditoría seguro, generado por computadora y con marca de tiempo para registrar de forma independiente la fecha y la hora en que los operadores inician sesión y crean, modifican o eliminan registros electrónicos. Los cambios en los registros no deben sobrescribir la información de los registros anteriores. Dicha documentación de seguimiento de auditoría se conservará al menos durante el mismo período de tiempo que el registro electrónico de destino, y será fácil de revisar y copiar por las autoridades competentes.
| Respuesta | eSignGlobal tiene una función de seguimiento de auditoría completa que puede registrar información como la fecha, la hora, la descripción de la operación, los valores nuevos, los valores antiguos y el operador. El seguimiento de auditoría se puede filtrar y ver por hora, módulo de negocio y tipo de operación. Los registros nuevos no sobrescribirán los registros anteriores y se archivarán junto con los registros de actividades comerciales. Los usuarios autorizados pueden ver la información de seguimiento de auditoría y los registros de seguimiento de auditoría se pueden imprimir.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(f) Cuando sea necesario, utilice las comprobaciones del sistema operativo para hacer cumplir la secuencia permitida de pasos y eventos.
| Respuesta | eSignGlobal puede establecer un proceso de firma de registros. Los usuarios pueden establecer el proceso de firma según sus necesidades para garantizar que la firma del documento se realice en el orden correcto. Al realizar una firma, el sistema verificará si el proceso de firma es coherente con el proceso configurado. Si no es coherente, el sistema no admitirá la operación de firma del personal relevante. |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(g) Utilizar comprobaciones de permisos para garantizar que solo los usuarios autorizados puedan utilizar el sistema para firmar registros electrónicamente, utilizar dispositivos de entrada y salida del sistema operativo o del sistema informático, modificar registros o realizar operaciones manualmente.
| Respuesta | eSignGlobal tiene una función de gestión de permisos completa. Cada usuario del sistema es único y solo los usuarios autorizados pueden realizar las operaciones correspondientes. Cuando un usuario utiliza una firma electrónica, debe someterse a una verificación adecuada, como ingresar el nombre de usuario y la contraseña correctos, el código de verificación del número de teléfono móvil y el reconocimiento biométrico para realizar la operación.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(h) Utilizar dispositivos (por ejemplo, terminales) cuando sea necesario para comprobar la validez de la fuente de entrada de datos o las instrucciones de operación.
| Respuesta | eSignGlobal puede utilizarse como software independiente y, al mismo tiempo, integra la plataforma de desarrollo de firmas electrónicas y se conecta con sistemas externos a través de la interfaz API. El sistema monitorea el envío y la recepción de datos de la interfaz. Solo los datos que pasan la verificación pueden interactuar con éxito. Para los datos que no pasan la verificación, el sistema registrará y explicará el motivo del error.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(i) Asegurarse de que las personas que desarrollan, mantienen o utilizan sistemas de registros electrónicos/firmas electrónicas tengan la educación, la capacitación y la experiencia correspondientes para realizar las tareas que se les asignan.
| Respuesta | La empresa de desarrollo de eSignGlobal ha establecido un sistema de capacitación completo. El personal de desarrollo, pruebas y operación y mantenimiento de los productos eSignGlobal solo puede comenzar a trabajar después de una capacitación sistemática y la confirmación de que tiene el conocimiento y la experiencia que coinciden con el trabajo del puesto. Durante el proceso de entrega del producto, la empresa de desarrollo de eSignGlobal brinda capacitación profesional a los clientes para garantizar que el personal relevante del cliente tenga el conocimiento necesario. La empresa regulada debe llevar a cabo la gestión de la capacitación para garantizar que el personal relevante tenga las calificaciones adecuadas.  |
|---|---|
| Conclusión | Combinando la gestión de la capacitación de la empresa regulada y las actividades de gestión de la capacitación de la empresa de desarrollo de eSignGlobal, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(j) Para evitar la falsificación de registros y firmas, es necesario establecer una política escrita que responsabilice a las personas por las acciones relacionadas con la firma electrónica.
| Respuesta | Esta cláusula describe los requisitos del procedimiento para la empresa regulada y no involucra el diseño de la función del software ni las actividades del proveedor. |
|---|---|
| Conclusión | Combinando las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(k) Establecer controles adecuados en los archivos del sistema incluye:
(1) Tener un control total sobre la asignación, el acceso y el uso de la documentación de operación y mantenimiento del sistema.
(2) Establecer procedimientos de revisión y control de cambios para realizar un seguimiento de auditoría de la secuencia temporal de la redacción y revisión de los archivos del sistema.
| Respuesta | eSignGlobal, como software SAAS, el proveedor es responsable del mantenimiento del sistema. La empresa de desarrollo de eSignGlobal ha establecido procedimientos de control adecuados para controlar la documentación aplicable. La revisión y modificación de los archivos siguen las normas de gestión de archivos de la empresa. Las empresas reguladas deben mantener un sistema de gestión de documentos adecuado para garantizar que los documentos estén debidamente controlados. |
|---|---|
| Conclusión | Combinando las actividades de gestión de documentos de la empresa regulada y la empresa de desarrollo de eSignGlobal, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Parte 11 11.30 - Controles para sistemas abiertos.
Las personas que utilizan sistemas abiertos para generar, modificar, mantener o transmitir registros electrónicos deben adoptar procedimientos y métodos de gestión que garanticen la autenticidad, integridad y, cuando sea necesario, la confidencialidad de los registros desde el punto de creación hasta el punto de recepción, incluyendo, cuando sea necesario, el contenido especificado en 11.10, así como medidas adicionales, como el cifrado de documentos y el uso de las normas de firma electrónica correspondientes para garantizar la autenticidad, integridad y confidencialidad necesarias de los registros.
| Respuesta | Como servicio de software SAAS, eSignGlobal proporciona valor comercial a los clientes al ofrecer servicios estandarizados. La empresa de desarrollo de eSignGlobal coopera con los clientes para completar el control de los sistemas abiertos para garantizar la autenticidad, integridad y confidencialidad de los registros, incluyendo lo siguiente: § eSignGlobal utiliza algoritmos de cifrado avanzados para cifrar los archivos electrónicos desde la generación hasta el almacenamiento y la transmisión. Durante la transmisión, se utiliza el protocolo de cifrado SSL/TLS para garantizar que los datos sean difíciles de robar o manipular durante la transmisión por la red. En la fase de almacenamiento, el texto original del archivo se cifra para garantizar que los datos no se obtengan ilegalmente. § eSignGlobal utiliza la tecnología de firma digital y admite la verificación de la firma electrónica de los registros relacionados para proteger los registros relacionados. § La empresa de desarrollo de eSignGlobal apoya la firma de acuerdos de calidad con los clientes para aclarar los servicios y responsabilidades proporcionados por el proveedor. Combinado con el sistema de gestión de calidad de la empresa regulada, se garantiza la autenticidad e integridad de los registros desde el punto de creación hasta el punto de recepción.   |
|---|---|
| Conclusión | Combinando las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Parte 11 11.50 - Manifestaciones de la firma electrónica
(a) La firma de un registro electrónico debe contener información claramente visible relacionada con la firma, incluyendo:
(1) El nombre del firmante escrito en letra de imprenta
(2) La fecha y hora en que la firma entra en vigor
(3) El significado asociado a la firma (por ejemplo, revisión, aprobación, responsabilidad o autor original)
(b) El contenido especificado en las secciones (a)(1), (a)(2) y (a)(3) de esta sección debe gestionarse de la misma manera que los registros electrónicos y debe formar parte de un registro electrónico legible (visualización electrónica o impresión).
| Respuesta | Al utilizar eSignGlobal para ejecutar firmas electrónicas, el sistema admite lo siguiente: 1. Los usuarios pueden personalizar el nombre en letra de imprenta en función de la configuración real, y el formato legible también se guarda en el sistema para garantizar la legibilidad de la información del firmante. 2. Se conserva la información de fecha y hora cuando se ejecuta la firma. 3. Significado relacionado con la firma. 4. Todos los registros asociados con las firmas electrónicas son legibles en el sistema y se pueden exportar o imprimir copias para su revisión o verificación.   |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Parte 11 11.70 - Enlace firma/registro Signature/record linking
Las firmas electrónicas y las firmas manuscritas firmadas en registros electrónicos deben estar vinculadas a sus respectivos registros electrónicos para garantizar que las firmas electrónicas no puedan eliminarse, copiarse o transferirse de otro modo para falsificar los registros electrónicos.
| Respuesta | La firma electrónica de eSignGlobal forma parte del registro asociado y no se puede eliminar, copiar o transferir de otro modo para falsificar registros electrónicos. eSignGlobal utiliza tecnología de firma digital para admitir la verificación de firmas electrónicas de registros relacionados y puede identificar firmas y registros no válidos.  |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Subparte C--Firmas electrónicas Electronic Signatures
Parte 11 11.100 - Requisitos generales General Requirements
(a) Cada firma electrónica debe corresponder a un individuo único y no puede reutilizarse ni reasignarse a ninguna otra persona.
| Respuesta | El sistema asigna una ID única a cada usuario, que corresponde al usuario y a una firma única, que no será utilizada por otros usuarios. |
|---|---|
| Conclusión | La aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
(b) Antes de que una organización establezca, asigne, certifique o apruebe la firma electrónica de una persona o cualquier otro elemento de dicha firma electrónica, la organización verificará la identidad de la persona.
| Respuesta | El usuario es responsable de proporcionar el sistema de gestión. |
|---|---|
| Conclusión | Combinado con las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
© El firmante debe demostrar a las agencias pertinentes antes de usar una firma electrónica o al usarla que las firmas electrónicas en su sistema a partir del 20 de agosto de 1997 tienen la misma validez legal que las firmas manuscritas tradicionales.
(1) La certificación debe enviarse por escrito a la oficina de área (HFC-100) en 5600 Fishers Lane, Rockville, MD 20857
(2) A solicitud de las agencias pertinentes, las personas deben proporcionar un certificado o evidencia adicional que establezca claramente que la firma electrónica tiene la misma validez legal que la firma manuscrita del firmante al usar una firma electrónica.
| Respuesta | La empresa regulada establece e implementa un sistema de gestión relevante. |
|---|---|
| Conclusión | Combinado con las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Parte 11 11.200 - Componentes y controles de la firma electrónica Electronic signature components and controls.
(a) Las firmas electrónicas que no se basan en biometría deben:
(1) Utilizar al menos dos componentes de verificación distintos, como un ID y una contraseña.
(i) Cuando un individuo accede continuamente a un solo sistema controlado y realiza una serie de firmas, la primera firma debe contener todos los componentes de la firma electrónica; las firmas posteriores deben contener al menos uno de los componentes de la firma electrónica que está diseñado para ser utilizado solo por el individuo.
(ii) Cuando una persona firma una o más firmas durante un período de inicio de sesión del sistema controlado continuo independiente, cada firma firmada debe usar todos los componentes de la firma electrónica.
(2) Ser utilizado solo por sus verdaderos propietarios;
(3) Adoptar la gestión y la firma para garantizar que se requiera la colaboración de dos o más personas cuando alguien que no sea el verdadero propietario intente usar la firma electrónica.
(b) Las firmas electrónicas basadas en biometría deben diseñarse para garantizar que no puedan ser utilizadas por nadie que no sea el verdadero propietario.
| Respuesta | eSignGlobal admite firmas electrónicas no biométricas y firmas electrónicas biométricas. Para las firmas electrónicas no biométricas, la composición de la firma electrónica incluye al menos dos componentes de verificación, como un nombre de usuario y una contraseña, un número de teléfono móvil y un código de verificación. Cada vez que se ejecuta una firma, se requieren todos los componentes de la firma electrónica. La empresa regulada establece un sistema de gestión relevante para garantizar que la firma electrónica solo pueda ser utilizada por el verdadero propietario. La empresa regulada establece un sistema de gestión relevante para garantizar que, si es necesario utilizar un usuario que no sea el usuario para iniciar sesión en el sistema, la operación solo se pueda realizar con dos o más personas presentes. La firma electrónica biométrica ayuda a garantizar que solo el propietario pueda usarla a través de la detección dinámica de vida y la autenticación multimodal.  |
|---|---|
| Conclusión | En combinación con las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Parte 11 11.300 - Controles para códigos/contraseñas de identificación.
Las firmas electrónicas que utilizan códigos de identificación y contraseñas deben gestionarse para garantizar su seguridad e integridad. Esta gestión debe incluir:
(a) Mantener la singularidad de cada conjunto de códigos de identificación y contraseñas, es decir, no hay dos personas que tengan el mismo código de identificación y contraseña.
(b) Asegurar que la publicación de códigos de identificación y contraseñas se revise, retire o revise periódicamente (por ejemplo, para abordar el envejecimiento de las contraseñas).
© Adoptar la desactivación electrónica para las marcas, tarjetas y otros dispositivos que contengan o generen información de códigos de identificación o contraseñas de acuerdo con el proceso de gestión de pérdidas para la pérdida, robo, omisión o posible daño, y adoptar la emisión de sustitutos temporales o permanentes con una gestión adecuada y estricta.
(d) Manejar el uso de dispositivos de seguridad para evitar el uso no autorizado de contraseñas o códigos de identificación, tomar medidas inmediatas y urgentes para detectar e informar cualquier intento de uso no autorizado de dispositivos de seguridad del sistema y, cuando corresponda, gestión organizativa.
(e) Pruebas iniciales y periódicas de equipos, como tokens o tarjetas que contengan o generen información de códigos de identificación o contraseñas, para garantizar que funcionen correctamente y no hayan sido objeto de modificaciones no autorizadas.
| Respuesta | La función eSignGlobal admite lo siguiente: § Asigne una ID única a cada usuario, con singularidad. § Admite la autenticación múltiple de usuarios. Cuando se olvida o se pierde la contraseña, el usuario puede actualizar la contraseña de forma independiente. (La empresa regulada debe establecer procedimientos para gestionar las situaciones anteriores). § Puede identificar el caso de múltiples intentos fallidos de inicio de sesión consecutivos y activar la política de seguridad para bloquear al usuario, y el sistema puede registrar estas actividades anormales. La gestión de usuarios y la firma de eSignGlobal no dependen de este tipo de dispositivos. |
|---|---|
| Conclusión | En combinación con las actividades de gestión de calidad de la empresa regulada, la aplicación de eSignGlobal puede cumplir con los requisitos de esta cláusula. |
Conclusión
El Capítulo 21, Parte 11 del Código de Regulaciones Federales de los Estados Unidos es una regulación compleja que requiere la cooperación de proveedores y regulados para implementar buenos controles técnicos, administrativos y de procedimiento.
Como proveedor, la empresa de desarrollo de eSignGlobal ha implementado controles técnicos suficientes y una gestión adecuada en el producto eSignGlobal para que cumpla con los requisitos. La empresa regulada necesita tomar una pequeña cantidad de controles administrativos y de procedimiento para garantizar el cumplimiento.