Centre de sécurité21 CFR Part 11
eSignGlobal 21 CFR Part 11 Conformité Rapport
Analyse de conformité
Ce qui suit est la traduction de la réglementation 21CFR Part11
Sous-partie B — Enregistrements électroniques Electronic Records
Partie 11 11.10 - Contrôles pour les systèmes fermés Controls for closed systems.
Les personnes qui utilisent des systèmes fermés pour générer, modifier, maintenir ou transmettre des enregistrements électroniques doivent adopter des procédures et des contrôles de gestion qui garantissent l’authenticité, l’intégrité et, le cas échéant, la confidentialité des enregistrements, afin de garantir que les signataires ne peuvent pas facilement nier les enregistrements non authentiques signés. Les procédures et la gestion doivent inclure :
(a) Valider le système pour garantir l’exactitude, la fiabilité des performances prévues et la capacité d’identifier les enregistrements de modifications non valides.
| Réponse | En tant que produit SAAS, eSignGlobal est responsable du développement, des tests et de la publication des logiciels par le fournisseur, et la société réglementée a besoin du soutien du fournisseur pour mener à bien les activités de validation. eSignGlobal a mis en place un système de gestion de la qualité complet et a obtenu un certificat de certification CMMI. Grâce à des processus standardisés, la gestion du cycle de vie des produits logiciels est effectuée, y compris la conception, le développement, les tests et le contrôle de la publication, et des enregistrements complets sont conservés, ce qui peut fournir une documentation écrite complète pour soutenir les activités de validation des clients.  |
|---|---|
| Conclusion | En combinant la gestion de la qualité de la société réglementée et les activités de gestion de la qualité d’eSignGlobal, l’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(b) La capacité de générer des copies exactes, complètes et lisibles d’enregistrements électroniques pour faciliter l’inspection, l’audit et la reproduction par les autorités compétentes. S’il y a des questions concernant l’audit et la reproduction des enregistrements électroniques par les autorités compétentes, vous devez contacter les autorités compétentes.
| Réponse | Les enregistrements électroniques générés par eSignGlobal comprennent deux grandes catégories : § Enregistrements d’activités commerciales, qui comprennent principalement divers enregistrements d’activités GMP téléchargés dans le système et signés avec des signatures électroniques fiables, y compris les contrats électroniques applicables. § Enregistrements d’activités de soutien, tels que la gestion et la connexion des utilisateurs, la visualisation et le partage de contrats, etc. Le système peut générer des copies exactes, complètes et lisibles d’enregistrements électroniques pour consultation électronique ou impression sous forme de documents papier. La société réglementée utilise ces enregistrements pour l’audit réglementaire selon les besoins.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
© La protection des enregistrements afin qu’ils soient exacts et faciles à récupérer pendant toute la période de conservation.
| Réponse | En tant que produit SAAS, la gestion et la sécurité des enregistrements eSignGlobal sont assurées par le fournisseur. Les instructions de sécurité des enregistrements connexes comprennent : § Le fournisseur de cloud computing est un fournisseur de services cloud bien connu, et eSignGlobal a signé un accord de qualité avec le fournisseur, qui restreint la sécurité physique, la disponibilité des services, la reprise après sinistre, etc. § Les services de R&D, de test, d’exploitation et d’exploitation sont conformes au système de gestion « Système de gestion de la protection des informations personnelles-ISO/ IEC27018:2019 » et ont obtenu les certificats d’enregistrement pertinents § Les services de R&D, de test, d’exploitation et d’exploitation sont conformes au système de gestion « Système de gestion de la sécurité de l’information-ISO/ IEC27001:2022 » et ont obtenu les certificats d’enregistrement pertinents § Les services de R&D, de test, d’exploitation et d’exploitation sont conformes au système de gestion « Système de gestion des informations de confidentialité-ISO/ IEC27701:2019 » et ont obtenu les certificats d’enregistrement correspondants § Le système dispose d’une fonction de gestion des autorisations complète, et les utilisateurs non autorisés ne peuvent pas accéder aux enregistrements pertinents. § Le système dispose d’une fonction de suivi d’audit. Les opérations telles que la création, la modification et la suppression de données dans le système auront des enregistrements détaillés, ce qui garantit la traçabilité des enregistrements. § Tian Gu Information aide les entreprises réglementées à mener à bien des activités de conformité, telles que des audits, la validation du système, etc., et fournit les documents applicables.  eSignGlobal offre une puissante fonction de recherche d’enregistrements qui peut être utilisée pour rechercher des informations en fonction du personnel, de l’heure, du type d’opération, du numéro d’enregistrement et d’autres informations.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(d) Limiter la connexion au système par des utilisateurs individuels autorisés.
| Réponse | eSignGlobal dispose d’une fonction de contrôle d’accès complète pour contrôler la connexion des utilisateurs individuels au système. Grâce à l’autorisation, les utilisateurs individuels peuvent se connecter au système par mot de passe et autres méthodes.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(e) Utiliser des pistes d’audit sécurisées, générées par ordinateur et horodatées pour enregistrer indépendamment la date et l’heure auxquelles les opérateurs se connectent et créent, modifient ou suppriment des enregistrements électroniques. Les modifications apportées aux enregistrements ne doivent pas permettre d’écraser les informations d’enregistrement précédentes. Ces documents de suivi d’audit seront conservés au moins pendant la même période que les enregistrements électroniques cibles et seront facilement disponibles pour l’examen et la reproduction par les autorités compétentes.
| Réponse | eSignGlobal dispose d’une fonction de suivi d’audit complète qui peut enregistrer la date, l’heure, la description de l’opération, la nouvelle valeur, l’ancienne valeur, l’opérateur et d’autres informations. Le suivi d’audit peut être filtré et visualisé par heure, module métier et type d’opération. Les nouveaux enregistrements n’écraseront pas les enregistrements antérieurs et seront archivés avec les enregistrements d’activité métier. Les utilisateurs autorisés peuvent afficher les informations de suivi d’audit et les enregistrements de suivi d’audit peuvent être imprimés.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(f) Si nécessaire, utiliser les contrôles du système d’exploitation pour appliquer la séquence d’étapes et d’événements autorisée.
| Réponse | eSignGlobal peut définir un processus de signature d’enregistrement. Les utilisateurs peuvent définir le processus de signature en fonction de leurs besoins pour s’assurer que la signature du document est exécutée dans le bon ordre. Lors de l’exécution de la signature, le système vérifiera si le processus de signature est cohérent avec le processus configuré. S’il est incohérent, le système ne prend pas en charge l’opération de signature du personnel concerné. |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(g) Utiliser des contrôles d’autorisation pour garantir que seuls les utilisateurs autorisés peuvent utiliser le système, signer des enregistrements électroniquement, utiliser des périphériques d’entrée et de sortie du système d’exploitation ou du système informatique, modifier des enregistrements ou effectuer des opérations manuellement.
| Réponse | eSignGlobal dispose d’une fonction de gestion des autorisations complète. Chaque utilisateur du système est unique et seuls les utilisateurs autorisés peuvent effectuer les opérations correspondantes. Lors de l’utilisation d’une signature électronique, l’utilisateur doit effectuer une vérification appropriée, par exemple en saisissant le nom d’utilisateur et le mot de passe corrects, le code de vérification du numéro de téléphone portable et la reconnaissance biométrique pour effectuer l’opération.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(h) Utiliser, si nécessaire, un dispositif (par exemple, un terminal) pour vérifier l’origine de la saisie des données ou la validité des instructions d’opération.
| Réponse | eSignGlobal peut être utilisé comme un logiciel indépendant, tout en intégrant une plateforme de développement de signature électronique, et s’interface avec des systèmes externes via l’interface API. Le système surveille l’envoi et la réception des données d’interface. Seules les données vérifiées peuvent interagir avec succès. Pour les données non vérifiées, le système enregistre et explique la raison de l’erreur.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(i) S’assurer que le personnel qui développe, maintient ou utilise les systèmes d’enregistrement électronique/signature électronique possède l’éducation, la formation et l’expérience appropriées pour effectuer les tâches qui lui sont assignées.
| Réponse | La société de développement d’eSignGlobal a mis en place un système de formation complet. Les développeurs, les testeurs et le personnel d’exploitation et de maintenance des produits eSignGlobal ne peuvent être affectés à leur poste qu’après avoir suivi une formation systématique et confirmé qu’ils possèdent les connaissances et l’expérience correspondant à leur travail. Au cours du processus de livraison du produit, la société de développement d’eSignGlobal fournit une formation professionnelle aux clients afin de s’assurer que le personnel concerné possède les connaissances requises. La société réglementée doit mettre en œuvre la gestion de la formation pour s’assurer que le personnel concerné possède les qualifications appropriées.  |
|---|---|
| Conclusion | En combinant la gestion de la formation de la société réglementée et les activités de gestion de la formation de la société de développement d’eSignGlobal, l’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(j) Afin d’empêcher la falsification des enregistrements et des signatures, il est nécessaire d’établir une politique écrite qui oblige les individus à être responsables des comportements liés à la signature électronique.
| Réponse | Cette clause décrit les exigences de la procédure pour la société réglementée et n’implique pas la conception de la fonction du logiciel ou les activités du fournisseur. |
|---|---|
| Conclusion | En combinant les activités de gestion de la qualité de la société réglementée, l’application d’eSignGlobal peut répondre aux exigences de cette clause. |
(k) L’établissement de contrôles appropriés en matière de fichiers système comprend :
(1) Un contrôle suffisant de l’attribution, de l’accès et de l’utilisation de la documentation relative au fonctionnement et à la maintenance du système.
(2) Établir des procédures de révision et de contrôle des modifications afin d’effectuer un suivi d’audit de la séquence chronologique de la rédaction et de la révision des fichiers système.
| Réponse | eSignGlobal étant un logiciel SAAS, la maintenance du système est assurée par le fournisseur. La société de développement d’eSignGlobal a mis en place des procédures de contrôle appropriées pour contrôler la documentation applicable. La révision et la modification des fichiers suivent les procédures de gestion des fichiers de l’entreprise. Les entreprises réglementées doivent maintenir un système de gestion des documents approprié pour garantir que les documents sont correctement contrôlés. |
|---|---|
| Conclusion | En combinant les activités de gestion des documents de l’entreprise réglementée et de la société de développement eSignGlobal, l’application d’eSignGlobal peut répondre aux exigences de cette clause. |
Partie 11 11.30 - Contrôles pour les systèmes ouverts Controls for open systems.
Les personnes qui utilisent des systèmes ouverts pour générer, modifier, maintenir ou transmettre des enregistrements électroniques doivent adopter des procédures et des contrôles de gestion qui garantissent l’authenticité, l’intégrité et, le cas échéant, la confidentialité des enregistrements du point de création au point de réception, y compris, le cas échéant, les éléments spécifiés dans 11.10, ainsi que des mesures supplémentaires telles que le cryptage des documents et l’utilisation des normes de signature électronique appropriées pour garantir l’authenticité, l’intégrité et la confidentialité nécessaires des enregistrements.
| Réponse | En tant que service logiciel SAAS, eSignGlobal offre une valeur commerciale à ses clients en fournissant des services standardisés. La société de développement d’eSignGlobal travaille avec les clients pour contrôler les systèmes ouverts afin de garantir l’authenticité, l’intégrité et la confidentialité des enregistrements, notamment : § eSignGlobal utilise des algorithmes de cryptage avancés pour crypter les documents électroniques tout au long du processus, de la génération au stockage en passant par la transmission. Lors de la transmission, le protocole de cryptage SSL/TLS est utilisé pour garantir que les données ne peuvent pas être facilement volées ou falsifiées lors de la transmission sur le réseau. Au stade du stockage, le texte original du document est crypté pour garantir que les données ne sont pas obtenues illégalement. § eSignGlobal utilise la technologie de signature numérique et prend en charge la vérification de la signature électronique des enregistrements pertinents afin de protéger les enregistrements pertinents. § La société de développement d’eSignGlobal prend en charge la signature d’accords de qualité avec les clients, en précisant les services et les responsabilités fournis par le fournisseur. En combinant le système de gestion de la qualité de l’entreprise réglementée, on garantit l’authenticité et l’intégrité des enregistrements du point de création au point de réception.   |
|---|---|
| Conclusion | En combinant les activités de gestion de la qualité de l’entreprise réglementée, l’application d’eSignGlobal peut répondre aux exigences de cette clause. |
Partie 11 11.50 - Formes de signatures électroniques Signature manifestations
(a) La signature d’un enregistrement électronique doit contenir toutes les informations relatives à la signature qui indiquent clairement les éléments suivants :
(1) Le nom du signataire en caractères d’imprimerie
(2) La date et l’heure d’entrée en vigueur de la signature
(3) La signification associée à la signature (par exemple, examen, approbation, responsabilité ou auteur original)
(b) Les éléments spécifiés dans les paragraphes (a)(1), (a)(2) et (a)(3) de la présente section doivent être gérés de la même manière que les enregistrements électroniques et doivent faire partie d’un enregistrement électronique lisible (affichage électronique ou impression).
| Réponse | Lors de l’exécution d’une signature électronique avec eSignGlobal, le système prend en charge les éléments suivants : 1. Les utilisateurs peuvent définir des noms personnalisés en caractères d’imprimerie en fonction des paramètres réels, et le format lisible est également enregistré dans le système pour garantir la lisibilité des informations du signataire. 2. Conserver la date et l’heure d’exécution de la signature. 3. La signification associée à la signature. 4. Tous les enregistrements associés aux signatures électroniques sont lisibles dans le système et peuvent être exportés ou imprimés pour être examinés ou vérifiés.   |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cette clause. |
Partie 11 11.70 - Liaison signature/enregistrement Signature/record linking
Les signatures électroniques et les signatures manuscrites apposées sur les enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs afin de garantir que les signatures électroniques ne peuvent pas être supprimées, copiées ou transférées d’une autre manière pour falsifier les enregistrements électroniques.
| Réponse | La signature électronique d’eSignGlobal fait partie de l’enregistrement associé et ne peut pas être supprimée, copiée ou transférée d’une autre manière pour falsifier les enregistrements électroniques. eSignGlobal utilise la technologie de signature numérique pour prendre en charge la vérification de la signature électronique des enregistrements pertinents et peut identifier les signatures et les enregistrements non valides.  |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cet article. |
Sous-partie C--Signatures électroniques Electronic Signatures
Partie 11 11.100 - Exigences générales General Requirements
(a) Chaque signature électronique doit correspondre à une personne unique et ne peut pas être réutilisée ou réattribuée à une autre personne.
| Réponse | Le système attribue un ID unique à chaque utilisateur, correspondant à l’utilisateur et à une signature unique, qui ne sera pas utilisé par d’autres utilisateurs. |
|---|---|
| Conclusion | L’application d’eSignGlobal peut répondre aux exigences de cet article. |
(b) Avant qu’une organisation n’établisse, n’attribue, ne certifie ou n’approuve la signature électronique d’une personne ou tout autre élément de cette signature électronique, l’organisation doit vérifier l’identité de la personne.
| Réponse | L’utilisateur est responsable de la fourniture du système de gestion. |
|---|---|
| Conclusion | Combinée aux activités de gestion de la qualité de l’entreprise réglementée, l’application d’eSignGlobal peut répondre aux exigences de cet article. |
© Avant d’utiliser une signature électronique ou lors de son utilisation, le signataire doit prouver aux agences compétentes que les signatures électroniques sur leur système à partir du 20 août 1997 ont la même valeur juridique que les signatures manuscrites traditionnelles.
(1) La preuve doit être soumise par écrit au bureau régional (HFC-100) situé au 5600 Fishers Lane, Rockville, MD 20857.
(2) À la demande des agences compétentes, les personnes doivent fournir une preuve supplémentaire ou une preuve claire que la signature électronique a la même valeur juridique que la signature manuscrite du signataire lors de l’utilisation de la signature électronique.
| Réponse | L’entreprise réglementée établit et met en œuvre un système de gestion pertinent. |
|---|---|
| Conclusion | Combinée aux activités de gestion de la qualité de l’entreprise réglementée, l’application d’eSignGlobal peut répondre aux exigences de cet article. |
Partie 11 11.200 - Composants et contrôles de la signature électronique Electronic signature components and controls.
(a) Les signatures électroniques qui ne sont pas basées sur la biométrie doivent :
(1) Utiliser au moins deux composants de preuve distincts, tels qu’un identifiant et un mot de passe.
(i) Lorsqu’une personne accède en continu à un seul système contrôlé et effectue une série de signatures, la première signature doit contenir tous les composants de la signature électronique ; les signatures suivantes doivent contenir au moins l’un des composants de la signature électronique qui est conçu pour être utilisé uniquement par la personne.
(ii) Lorsqu’une personne signe une ou plusieurs signatures en dehors d’une période de connexion à un système contrôlé continu indépendant, chaque signature signée doit utiliser tous les composants de la signature électronique.
(2) Être utilisées uniquement par leurs véritables propriétaires ;
(3) Adopter la gestion et la signature pour garantir que la collaboration de deux personnes ou plus est requise lorsque des personnes autres que le véritable propriétaire tentent d’utiliser la signature électronique.
(b) Les signatures électroniques basées sur la biométrie doivent être conçues pour garantir qu’elles ne peuvent pas être utilisées par des personnes autres que le véritable propriétaire.
| Réponse | eSignGlobal prend en charge à la fois les signatures électroniques non biométriques et les signatures électroniques biométriques. Pour les signatures électroniques non biométriques, la composition de la signature électronique comprend au moins deux composants de preuve, tels qu’un nom d’utilisateur et un mot de passe, un numéro de téléphone portable et un code de vérification. Tous les composants de la signature électronique sont requis à chaque fois qu’une signature est exécutée. L’entreprise réglementée établit un système de gestion pertinent pour garantir que la signature électronique ne peut être utilisée que par le véritable propriétaire. L’entreprise réglementée établit un système de gestion pertinent pour garantir que si un utilisateur non personnel doit se connecter au système, l’opération ne peut être effectuée qu’en présence d’au moins deux personnes. La signature électronique biométrique permet de s’assurer que seule la personne elle-même peut l’utiliser grâce à la détection dynamique de la vivacité et à l’authentification multimodale.  |
|---|---|
| Conclusion | En combinant les activités de gestion de la qualité de l’entreprise réglementée, l’application d’eSignGlobal peut répondre aux exigences de cet article. |
Partie 11 11.300 - Codes/mots de passe d’identification de contrôle Contrôles pour les codes/mots de passe d’identification.
Les signatures électroniques qui utilisent à la fois des codes d’identification et des mots de passe doivent être gérées pour garantir leur sécurité et leur intégrité. Cette gestion doit inclure :
(a) Maintenir l’unicité de chaque ensemble de codes d’identification et de mots de passe, c’est-à-dire qu’il n’y a pas deux personnes qui ont le même code d’identification et le même mot de passe.
(b) S’assurer que la publication des codes d’identification et des mots de passe est vérifiée, récupérée ou révisée périodiquement (par exemple, pour résoudre le problème du vieillissement des mots de passe).
© Adopter une défaillance électronique conformément au processus de gestion des pertes pour les marques, cartes et autres dispositifs contenant ou générant des informations de code d’identification ou de mot de passe qui sont perdues, volées, omises ou susceptibles d’être endommagées, et adopter une gestion appropriée et stricte pour émettre des substituts temporaires ou permanents.
(d) Gérer l’utilisation des dispositifs de sécurité pour empêcher l’utilisation non autorisée de mots de passe ou de codes d’identification, prendre des mesures immédiates et urgentes pour détecter et signaler toute tentative d’utilisation non autorisée des dispositifs de sécurité du système et, le cas échéant, la gestion de l’organisation.
(e) Tests initiaux et périodiques des équipements, tels que les jetons ou les cartes contenant ou générant des informations de code d’identification ou de mot de passe, pour s’assurer qu’ils fonctionnent correctement et qu’ils n’ont pas subi de modifications non autorisées.
| Réponse | Les fonctionnalités d’eSignGlobal prennent en charge les éléments suivants : § Attribuer un ID unique à chaque utilisateur, avec une unicité. § Prend en charge l’authentification multiple des utilisateurs. Lorsque le mot de passe est oublié ou perdu, l’utilisateur peut mettre à jour le mot de passe de manière indépendante. (L’entreprise réglementée doit établir des procédures pour gérer les situations ci-dessus.) § Peut identifier les échecs de connexion continus et déclencher une stratégie de sécurité pour verrouiller l’utilisateur, et le système peut enregistrer ces activités anormales. La gestion des utilisateurs et la signature d’eSignGlobal ne dépendent pas de ces dispositifs. |
|---|---|
| Conclusion | En combinant les activités de gestion de la qualité de l’entreprise réglementée, l’application d’eSignGlobal peut répondre aux exigences de cet article. |
Conclusion
Le chapitre 21, partie 11 du Code des réglementations fédérales des États-Unis est une réglementation complexe qui nécessite la coopération des fournisseurs et des parties réglementées pour mettre en œuvre de bons contrôles techniques, de gestion et de procédure.
En tant que fournisseur, la société de développement d’eSignGlobal a mis en œuvre des contrôles techniques suffisants et une gestion appropriée sur le produit eSignGlobal pour le rendre conforme. Les entreprises réglementées doivent prendre un petit nombre de contrôles de gestion et de procédure pour assurer la conformité.