Pusat Keamanan21 CFR Part 11
eSignGlobal 21 CFR Bagian 11 Laporan Kepatuhan
Analisis Kepatuhan
Berikut adalah terjemahan peraturan 21CFR Bagian 11
Subbagian B—Catatan Elektronik
Bagian 11 11.10-Kontrol untuk sistem tertutup.
Orang yang menggunakan sistem tertutup untuk menghasilkan, memodifikasi, memelihara, atau mentransmisikan catatan elektronik harus mengadopsi prosedur dan metode manajemen yang dapat menjamin keaslian, integritas, dan kerahasiaan catatan jika perlu, untuk memastikan bahwa penandatangan tidak dapat dengan mudah menyangkal catatan tidak benar yang ditandatangani. Isi dari prosedur dan manajemen harus mencakup:
(a) Verifikasi sistem untuk memastikan akurasi, keandalan kinerja yang dimaksudkan, dan kemampuan untuk mengidentifikasi catatan perubahan yang tidak valid.
| Respons | eSignGlobal sebagai produk SAAS, pengembangan perangkat lunak, pengujian, dan rilis menjadi tanggung jawab vendor. Perusahaan yang diatur memerlukan dukungan vendor untuk menyelesaikan kegiatan verifikasi. eSignGlobal telah membangun sistem manajemen mutu yang lengkap dan memperoleh sertifikat sertifikasi CMMI. Melalui proses standar, manajemen siklus hidup dilakukan pada produk perangkat lunak, termasuk desain, pengembangan, pengujian, dan kontrol rilis, dan catatan lengkap disimpan, yang dapat memberikan dokumentasi tertulis yang memadai untuk mendukung kegiatan verifikasi pelanggan.  |
|---|---|
| Kesimpulan | Dikombinasikan dengan manajemen mutu perusahaan yang diatur dan kegiatan manajemen mutu eSignGlobal, penerapan eSignGlobal dapat memenuhi persyaratan klausul ini. |
(b) Kemampuan untuk menghasilkan salinan catatan elektronik yang akurat, lengkap, dan mudah dibaca untuk memudahkan pemeriksaan, audit, dan reproduksi oleh otoritas yang berwenang. Jika ada masalah dengan audit dan reproduksi catatan elektronik oleh otoritas yang berwenang, otoritas yang berwenang harus dihubungi.
| Respons | Catatan elektronik yang dihasilkan oleh eSignGlobal mencakup dua kategori utama: § Catatan kegiatan bisnis, terutama termasuk berbagai catatan kegiatan GMP yang diunggah ke sistem dan ditandatangani dengan tanda tangan elektronik yang andal, termasuk kontrak elektronik yang berlaku. § Mendukung catatan kegiatan, seperti manajemen dan login pengguna, melihat dan berbagi kontrak, dll. Sistem dapat menghasilkan salinan catatan elektronik yang akurat, lengkap, dan mudah dibaca untuk ditinjau secara elektronik atau dicetak sebagai dokumen salinan kertas. Perusahaan yang diatur menggunakan catatan ini untuk audit peraturan sesuai kebutuhan.  |
|---|---|
| Kesimpulan | Penerapan eSignGlobal dapat memenuhi persyaratan klausul ini. |
© Perlindungan catatan untuk memastikan bahwa catatan akurat dan mudah diambil selama seluruh periode penyimpanan.
| Respons | Sebagai produk SAAS, manajemen dan keamanan catatan eSignGlobal menjadi tanggung jawab vendor. Deskripsi keamanan catatan terkait meliputi: § Penyedia layanan cloud adalah penyedia layanan cloud terkenal. eSignGlobal telah menandatangani perjanjian kualitas dengan penyedia untuk membatasi keamanan fisik, ketersediaan layanan, pemulihan bencana, dll. § Layanan R&D, pengujian, operasi, dan operasional mematuhi sistem manajemen 《Sistem Manajemen Perlindungan Informasi Pribadi-ISO/ IEC27018:2019》 dan memperoleh sertifikat pendaftaran terkait § Layanan R&D, pengujian, operasi, dan operasional mematuhi sistem manajemen 《Sistem Manajemen Keamanan Informasi-ISO/ IEC27001:2022》 dan memperoleh sertifikat pendaftaran terkait § Layanan penelitian dan pengembangan, pengujian, operasi dan pemeliharaan sesuai dengan sistem manajemen 《Sistem Manajemen Informasi Privasi-ISO/ IEC27701:2019》 dan memperoleh sertifikat pendaftaran terkait § Sistem memiliki fungsi manajemen izin yang lengkap, dan pengguna yang tidak berwenang tidak dapat mengakses catatan terkait. § Sistem memiliki fungsi pelacakan audit. Operasi seperti pembuatan, modifikasi, dan penghapusan data dalam sistem akan memiliki catatan rinci untuk memastikan ketertelusuran catatan. § Tiangu Information bekerja sama dengan perusahaan yang diawasi untuk menyelesaikan kegiatan kepatuhan, seperti audit, validasi sistem, dll., dan menyediakan dokumen yang sesuai.  eSignGlobal menyediakan fungsi pencarian catatan yang kuat, yang dapat digunakan untuk mencari informasi berdasarkan personel, waktu, jenis operasi, nomor catatan, dan lainnya informasi.  |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(d) Membatasi login sistem dengan mengotorisasi pengguna individu.
| Respons | eSignGlobal memiliki fungsi kontrol akses yang lengkap untuk mengontrol pengguna individu yang masuk ke sistem. Melalui otorisasi, pengguna individu dapat masuk ke sistem melalui kata sandi dan metode lainnya. |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(e) Menggunakan jejak audit yang aman dan dibuat oleh komputer dengan stempel waktu untuk mencatat secara independen tanggal dan waktu operator masuk dan membuat, memodifikasi, atau menghapus catatan elektronik. Perubahan pada catatan tidak boleh menimpa informasi catatan sebelumnya. Dokumentasi jejak audit semacam itu akan disimpan setidaknya selama jangka waktu yang sama dengan catatan elektronik target, dan akan mudah bagi otoritas yang berwenang untuk meninjau dan mereplikasi.
| Respons | eSignGlobal memiliki fungsi pelacakan audit yang lengkap, yang dapat merekam informasi seperti tanggal, waktu, deskripsi operasi, nilai baru, nilai lama, dan operator. Pelacakan audit dapat difilter dan dilihat berdasarkan waktu, modul bisnis, dan jenis operasi. Catatan baru tidak akan menimpa catatan sebelumnya dan akan diarsipkan bersama dengan catatan aktivitas bisnis. Pengguna dengan izin dapat melihat informasi pelacakan audit, dan catatan pelacakan audit dapat dicetak.  |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(f) Jika perlu, gunakan pemeriksaan sistem operasi untuk memberlakukan urutan langkah dan peristiwa yang diizinkan.
| Respons | eSignGlobal dapat mengatur proses penandatanganan catatan. Pengguna dapat mengatur proses penandatanganan sesuai dengan kebutuhan untuk memastikan bahwa penandatanganan dokumen dilakukan dalam urutan yang benar. Saat melakukan penandatanganan, sistem akan memverifikasi apakah proses penandatanganan konsisten dengan proses yang dikonfigurasi. Jika tidak konsisten, sistem tidak mendukung operasi penandatanganan oleh personel terkait. |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(g) Gunakan pemeriksaan izin untuk memastikan bahwa hanya pengguna yang berwenang yang dapat menggunakan sistem, menandatangani catatan secara elektronik, menggunakan perangkat input dan output sistem operasi atau komputer, memodifikasi catatan, atau melakukan operasi secara manual.
| Respons | eSignGlobal memiliki fungsi manajemen izin yang lengkap. Setiap pengguna dalam sistem bersifat unik, dan hanya pengguna yang berwenang yang dapat melakukan operasi yang sesuai. Saat pengguna menggunakan tanda tangan elektronik, mereka perlu melakukan verifikasi yang sesuai, seperti memasukkan nama pengguna dan kata sandi yang benar, kode verifikasi nomor ponsel, dan pengenalan biometrik untuk melakukan operasi.  |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(h) Gunakan perangkat (misalnya, terminal) jika perlu untuk memeriksa guna menentukan validitas sumber input data atau instruksi operasi.
| Respons | eSignGlobal dapat digunakan sebagai perangkat lunak mandiri, dan juga mengintegrasikan platform pengembangan tanda tangan elektronik, dan terhubung dengan sistem eksternal melalui antarmuka API. Sistem memantau pengiriman dan penerimaan data antarmuka. Hanya data yang telah diverifikasi yang dapat berinteraksi dengan sukses. Untuk data yang tidak lolos verifikasi, sistem akan merekam dan menjelaskan alasan kesalahan.  |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(i) Pastikan bahwa personel yang mengembangkan, memelihara, atau menggunakan sistem catatan/tanda tangan elektronik memiliki pendidikan, pelatihan, dan pengalaman yang sesuai untuk melakukan tugas yang ditugaskan kepada mereka.
| Respons | Perusahaan pengembang eSignGlobal telah membangun sistem pelatihan yang lengkap. Pengembang, penguji, dan personel operasi dan pemeliharaan produk eSignGlobal hanya dapat mulai bekerja setelah menjalani pelatihan sistematis dan dipastikan memiliki pengetahuan dan pengalaman yang sesuai dengan pekerjaan mereka. Dalam proses pengiriman produk, perusahaan pengembang eSignGlobal memberikan pelatihan profesional kepada pelanggan untuk memastikan bahwa personel terkait pelanggan memiliki pengetahuan yang diperlukan. Perusahaan yang diawasi perlu melakukan manajemen pelatihan untuk memastikan bahwa personel terkait memiliki kualifikasi yang sesuai.  |
|---|---|
| Kesimpulan | Dikombinasikan dengan manajemen pelatihan perusahaan yang diawasi dan kegiatan manajemen pelatihan perusahaan pengembang eSignGlobal, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(j) Untuk mencegah pemalsuan catatan dan tanda tangan, kebijakan tertulis perlu dibuat untuk membatasi tanggung jawab individu atas perilaku terkait tanda tangan elektronik.
| Respons | Klausul ini menjelaskan persyaratan prosedur untuk perusahaan yang diawasi, dan tidak melibatkan desain fungsi perangkat lunak atau kegiatan pemasok. |
|---|---|
| Kesimpulan | Dikombinasikan dengan kegiatan manajemen kualitas perusahaan yang diawasi, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(k) Membangun kontrol yang sesuai dalam hal file sistem meliputi:
(1) Memiliki kontrol yang memadai atas alokasi, akses, dan penggunaan dokumentasi operasi dan pemeliharaan sistem.
(2) Membuat prosedur revisi dan kontrol perubahan untuk melakukan audit trail atas urutan kronologis penulisan dan revisi file sistem.
| Respons | eSignGlobal sebagai perangkat lunak SAAS, pemeliharaan sistem menjadi tanggung jawab vendor. Perusahaan pengembang eSignGlobal telah membuat prosedur kontrol yang sesuai untuk mengontrol dokumentasi yang berlaku. Revisi dan modifikasi file mengikuti prosedur manajemen file perusahaan. Perusahaan yang diatur perlu memelihara sistem manajemen dokumen yang sesuai untuk memastikan dokumen dikendalikan dengan benar. |
|---|---|
| Kesimpulan | Menggabungkan aktivitas manajemen dokumen perusahaan yang diatur dan perusahaan pengembang eSignGlobal, aplikasi eSignGlobal dapat memenuhi persyaratan pasal ini. |
Bagian 11 11.30 - Kontrol untuk sistem terbuka.
Orang yang menggunakan sistem terbuka untuk membuat, memodifikasi, memelihara, atau mengirimkan catatan elektronik harus mengadopsi prosedur dan metode manajemen yang dapat menjamin keaslian, integritas, dan, jika perlu, kerahasiaan catatan dari titik pembuatan hingga titik penerimaan, yang jika perlu harus mencakup konten yang ditentukan dalam 11.10, serta langkah-langkah tambahan, seperti enkripsi dokumen dan penggunaan standar tanda tangan elektronik yang sesuai untuk memastikan keaslian, integritas, dan kerahasiaan catatan yang diperlukan.
| Respons | Sebagai layanan perangkat lunak SAAS, eSignGlobal memberikan nilai bisnis kepada pelanggan dengan menyediakan layanan standar. Perusahaan pengembang eSignGlobal bekerja sama dengan pelanggan untuk menyelesaikan kontrol sistem terbuka untuk memastikan keaslian, integritas, dan kerahasiaan catatan, termasuk yang berikut: § eSignGlobal menggunakan algoritma enkripsi canggih untuk mengenkripsi seluruh proses file elektronik dari pembuatan hingga penyimpanan hingga transmisi. Selama transmisi, protokol enkripsi SSL/TLS digunakan untuk memastikan bahwa data sulit dicuri atau dirusak selama transmisi jaringan. Pada tahap penyimpanan, teks asli file dienkripsi untuk memastikan bahwa data tidak diperoleh secara ilegal. § eSignGlobal menggunakan teknologi tanda tangan digital dan mendukung verifikasi tanda tangan elektronik dari catatan terkait untuk melindungi catatan terkait. § Perusahaan pengembang eSignGlobal mendukung penandatanganan perjanjian kualitas dengan pelanggan untuk mengklarifikasi layanan dan tanggung jawab yang diberikan oleh pemasok. Dikombinasikan dengan sistem manajemen kualitas perusahaan yang diatur, ini memastikan keaslian dan integritas catatan dari titik pembuatan hingga titik penerimaan.   |
|---|---|
| Kesimpulan | Menggabungkan aktivitas manajemen kualitas perusahaan yang diatur, aplikasi eSignGlobal dapat memenuhi persyaratan pasal ini. |
Bagian 11 11.50 - Manifestasi tanda tangan elektronik
(a) Penandatanganan catatan elektronik harus berisi informasi terkait tanda tangan yang dengan jelas menampilkan semua yang berikut:
(1) Nama penandatangan yang ditulis dalam huruf cetak
(2) Tanggal dan waktu tanda tangan berlaku
(3) Arti yang terkait dengan tanda tangan (misalnya, tinjauan, persetujuan, tanggung jawab, atau penulis asli)
(b) Konten yang ditentukan dalam bagian (a)(1), (a)(2), dan (a)(3) dari bagian ini harus dikelola dengan cara yang sama seperti catatan elektronik, dan harus menjadi bagian dari catatan elektronik yang mudah dibaca (tampilan elektronik atau cetakan).
| Respons | Saat menggunakan eSignGlobal untuk melakukan tanda tangan elektronik, sistem mendukung yang berikut: 1. Pengguna dapat mengatur nama huruf cetak yang dipersonalisasi berdasarkan pengaturan aktual, dan format yang dapat dibaca juga disimpan dalam sistem untuk memastikan keterbacaan informasi penandatangan. 2. Simpan informasi tanggal dan waktu saat tanda tangan dieksekusi. 3. Arti yang terkait dengan tanda tangan. 4. Semua catatan yang terkait dengan tanda tangan elektronik dapat dibaca dalam sistem, dan salinan dapat diekspor atau dicetak untuk ditinjau atau diperiksa.   |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
Bagian 11 11.70-Tautan Tanda Tangan/Catatan Signature/record linking
Tanda tangan elektronik dan tanda tangan tulisan tangan yang ditandatangani pada catatan elektronik harus ditautkan ke catatan elektronik masing-masing untuk memastikan bahwa tanda tangan elektronik tidak dapat dihapus, disalin, atau ditransfer dengan cara lain untuk memalsukan catatan elektronik.
| Respons | Tanda tangan elektronik eSignGlobal adalah bagian dari catatan terkait dan tidak dapat dihapus, disalin, atau ditransfer dengan cara lain untuk memalsukan catatan elektronik. eSignGlobal menggunakan teknologi tanda tangan digital, mendukung verifikasi tanda tangan elektronik pada catatan terkait, dan dapat mengidentifikasi tanda tangan dan catatan yang tidak valid.  |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
Subpart C--Tanda Tangan Elektronik Electronic Signatures
Part 11 11.100-Persyaratan Umum General Requirements
(a) Setiap tanda tangan elektronik harus sesuai dengan individu yang unik, dan tidak boleh digunakan kembali, atau dialokasikan kembali kepada orang lain.
| Respons | Sistem menetapkan ID unik untuk setiap pengguna, sesuai dengan pengguna dan tanda tangan unik, yang tidak akan digunakan oleh pengguna lain. |
|---|---|
| Kesimpulan | Aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
(b) Sebelum suatu organisasi membuat, menetapkan, membuktikan, atau menyetujui tanda tangan elektronik seseorang atau elemen tanda tangan elektronik lainnya, organisasi akan memverifikasi identitas individu tersebut.
| Respons | Pengguna bertanggung jawab untuk menyediakan sistem manajemen. |
|---|---|
| Kesimpulan | Dikombinasikan dengan kegiatan manajemen mutu perusahaan yang diatur, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
© Penanda tangan harus membuktikan kepada lembaga terkait sebelum atau saat menggunakan tanda tangan elektronik, bahwa tanda tangan elektronik pada sistem mereka sejak dan setelah 20 Agustus 1997 memiliki kekuatan hukum yang sama dengan tanda tangan tulisan tangan tradisional.
(1) Bukti harus diserahkan secara tertulis ke kantor kerja regional (HFC-100) di 5600 Fishers Lane, Rockville, MD 20857
(2) Atas permintaan lembaga terkait, orang harus memberikan sertifikat atau bukti tambahan yang secara jelas menyatakan bahwa tanda tangan elektronik memiliki kekuatan hukum yang sama dengan tanda tangan tulisan tangan penanda tangan saat menggunakan tanda tangan elektronik.
| Respons | Perusahaan yang diatur membangun sistem manajemen yang relevan dan menerapkannya. |
|---|---|
| Kesimpulan | Dikombinasikan dengan kegiatan manajemen mutu perusahaan yang diatur, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
Part 11 11.200-Komponen dan Kontrol Tanda Tangan Elektronik Electronic signature components and controls.
(a) Tanda tangan elektronik yang tidak didasarkan pada biometrik harus:
(1) Menggunakan setidaknya dua komponen bukti yang sangat berbeda, seperti ID dan kata sandi.
(i) Ketika seorang individu mengakses sistem terkontrol tunggal secara terus menerus dan melakukan serangkaian tanda tangan, tanda tangan pertama harus berisi semua komponen tanda tangan elektronik; tanda tangan berikutnya harus berisi setidaknya salah satu komponen tanda tangan elektronik yang dirancang hanya untuk digunakan oleh individu tersebut.
(ii) Ketika seseorang menandatangani satu atau lebih tanda tangan di luar periode masuk sistem terkontrol berkelanjutan yang terpisah, setiap tanda tangan yang ditandatangani harus menggunakan semua komponen tanda tangan elektronik.
(2) Hanya digunakan oleh pemilik aslinya;
(3) Mengadopsi manajemen dan penandatanganan untuk memastikan bahwa kolaborasi dua atau lebih individu diperlukan ketika orang lain selain pemilik sebenarnya mencoba menggunakan tanda tangan elektronik.
(b) Tanda tangan elektronik berdasarkan biometrik harus dirancang untuk memastikan bahwa mereka tidak dapat digunakan oleh orang lain selain pemilik sebenarnya.
| Respons | eSignGlobal mendukung tanda tangan elektronik non-biometrik dan tanda tangan elektronik biometrik. Untuk tanda tangan elektronik non-biometrik, komponen tanda tangan elektronik mencakup setidaknya dua komponen bukti, seperti nama pengguna dan kata sandi, nomor ponsel dan kode verifikasi. Setiap kali tanda tangan dieksekusi, semua komponen tanda tangan elektronik diperlukan. Perusahaan yang diatur membangun sistem manajemen yang relevan untuk memastikan bahwa tanda tangan elektronik hanya dapat digunakan oleh pemilik sebenarnya. Perusahaan yang diatur membangun sistem manajemen yang relevan untuk memastikan bahwa jika perlu menggunakan sistem login pengguna non-pribadi, operasi hanya dapat dilakukan dengan kehadiran dua orang atau lebih. Tanda tangan elektronik biometrik membantu memastikan bahwa hanya orang tersebut yang dapat menggunakannya melalui deteksi keaktifan dinamis dan otentikasi multimodal.  |
|---|---|
| Kesimpulan | Dengan menggabungkan aktivitas manajemen kualitas perusahaan yang diawasi, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
Bagian 11 11.300 - Kontrol kode identifikasi/kata sandi Kontrol untuk kode identifikasi/kata sandi.
Tanda tangan elektronik yang menggunakan kode identifikasi dan kata sandi secara bersamaan harus dikelola untuk memastikan keamanan dan integritasnya. Pengelolaan ini harus mencakup:
(a) Menjaga keunikan setiap set kode identifikasi dan kata sandi, yaitu tidak ada dua orang yang memiliki kode identifikasi dan kata sandi yang sama.
(b) Memastikan bahwa penerbitan kode identifikasi dan kata sandi diperiksa, ditarik, atau direvisi secara berkala (misalnya, untuk mengatasi penuaan kata sandi).
© Mengadopsi kegagalan elektronik untuk tanda, kartu, dan perangkat lain yang berisi atau menghasilkan informasi kode identifikasi atau kata sandi sesuai dengan proses manajemen kehilangan, dan mengadopsi penerbitan pengganti sementara atau permanen yang tepat dan ketat.
(d) Menangani penggunaan perangkat keamanan untuk mencegah penggunaan kata sandi atau kode identifikasi yang tidak sah, mengambil tindakan segera dan mendesak untuk mendeteksi dan melaporkan setiap upaya penggunaan sistem yang tidak sah, dan, jika sesuai, manajemen organisasi.
(e) Pengujian peralatan awal dan berkala, seperti token atau kartu yang berisi atau menghasilkan informasi kode identifikasi atau kata sandi, untuk memastikan bahwa mereka beroperasi dengan benar dan tidak mengalami modifikasi yang tidak sah.
| Respons | Fungsi eSignGlobal mendukung yang berikut: § Menetapkan ID unik untuk setiap pengguna, dengan keunikan. § Mendukung otentikasi multi-faktor pengguna. Ketika kata sandi dilupakan atau hilang, pengguna dapat memperbarui kata sandi mereka sendiri. (Perusahaan yang diawasi perlu membuat prosedur untuk mengelola situasi di atas.) § Dapat mengidentifikasi kegagalan login berulang kali dan memicu kebijakan keamanan untuk mengunci pengguna. Sistem dapat mencatat aktivitas abnormal ini. eSignGlobal manajemen pengguna dan tanda tangan tidak bergantung pada perangkat semacam ini. |
|---|---|
| Kesimpulan | Dengan menggabungkan aktivitas manajemen kualitas perusahaan yang diawasi, aplikasi eSignGlobal dapat memenuhi persyaratan klausul ini. |
Kesimpulan
Judul 21 CFR Bagian 11 adalah peraturan yang kompleks yang membutuhkan kerja sama dari pemasok dan pihak yang diawasi, serta implementasi kontrol teknis, manajemen, dan prosedural yang baik.
Sebagai pemasok, perusahaan pengembang eSignGlobal telah menerapkan kontrol teknis yang memadai dan manajemen yang tepat pada produk eSignGlobal untuk memastikannya sesuai. Perusahaan yang diawasi perlu mengambil sejumlah kecil kontrol manajemen dan prosedural untuk memastikan kepatuhan.