安全中心21 CFR Part 11
eSignGlobal 21 CFR Part 11 Report di conformità
Analisi di conformità
Di seguito è riportata la traduzione delle normative 21CFR Part11
Subpart B—Registri elettronici Electronic Records
Part11 11.10 - Controlli per sistemi chiusi Controls for closed systems.
Le persone che utilizzano sistemi chiusi per generare, modificare, mantenere o trasmettere registri elettronici devono adottare procedure e controlli in grado di garantire l’autenticità, l’integrità e, se necessario, la riservatezza dei registri, in modo da garantire che il firmatario non possa facilmente negare la veridicità dei registri firmati. Le procedure e i controlli devono includere:
(a) Convalida del sistema per garantire l’accuratezza, l’affidabilità delle prestazioni previste e la capacità di identificare registri di modifiche non valide.
| Risposta | eSignGlobal come prodotto SAAS, lo sviluppo, il test e il rilascio del software sono responsabilità del fornitore e la società regolamentata necessita del supporto del fornitore per completare le attività di convalida. eSignGlobal ha stabilito un sistema di gestione della qualità completo e ha ottenuto la certificazione CMMI. Attraverso processi standardizzati, la gestione del ciclo di vita viene eseguita sui prodotti software, inclusi progettazione, sviluppo, test e controllo del rilascio, e vengono conservati record completi. È possibile fornire una documentazione scritta completa per supportare le attività di convalida del cliente.  |
|---|---|
| Conclusione | Combinando la gestione della qualità della società regolamentata e le attività di gestione della qualità di eSignGlobal, l’applicazione di eSignGlobal può soddisfare i requisiti di questo articolo. |
(b) Capacità di generare copie accurate, complete e facilmente leggibili di registri elettronici per facilitare l’ispezione, la revisione e la copia da parte delle autorità competenti. In caso di problemi con la revisione e la copia dei registri elettronici da parte delle autorità competenti, è necessario contattare le autorità competenti.
| Risposta | I registri elettronici generati da eSignGlobal includono due categorie principali: § Registri delle attività aziendali, che includono principalmente vari record di attività GMP caricati nel sistema e firmati con firme elettroniche affidabili, inclusi i contratti elettronici applicabili. § Registri delle attività di supporto, come la gestione e l’accesso degli utenti, la visualizzazione e la condivisione dei contratti, ecc. Il sistema può generare copie accurate, complete e facilmente leggibili di registri elettronici per la visualizzazione elettronica o la stampa come copie cartacee. La società regolamentata utilizza questi record per la revisione normativa secondo necessità.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questo articolo. |
© Protezione dei record in modo che i record siano accurati e facilmente recuperabili per tutto il periodo di conservazione.
| Risposta | Come prodotto SAAS, la gestione e la sicurezza dei record di eSignGlobal sono responsabilità del fornitore. Le relative istruzioni sulla sicurezza dei record includono: § Il fornitore di cloud computing è un noto fornitore di servizi cloud. eSignGlobal ha firmato un accordo di qualità con il fornitore per vincolare la sicurezza fisica, la disponibilità del servizio, il ripristino di emergenza, ecc. § I servizi di ricerca e sviluppo, test, manutenzione e operativi sono conformi al sistema di gestione 《Sistema di gestione della protezione delle informazioni personali-ISO/ IEC27018:2019》 e hanno ottenuto i relativi certificati di registrazione § I servizi di ricerca e sviluppo, test, manutenzione e operativi sono conformi al sistema di gestione 《Sistema di gestione della sicurezza delle informazioni-ISO/ IEC27001:2022》 e hanno ottenuto i relativi certificati di registrazione § I servizi di ricerca e sviluppo, test, manutenzione e operatività sono conformi al sistema di gestione 《Sistema di gestione delle informazioni sulla privacy-ISO/ IEC27701:2019》 e hanno ottenuto i relativi certificati di registrazione § Il sistema dispone di una funzione di gestione delle autorizzazioni completa e gli utenti non autorizzati non possono accedere ai record pertinenti. § Il sistema dispone di una funzione di tracciamento degli audit e le nuove creazioni, modifiche, eliminazioni e altre operazioni sui dati nel sistema avranno record dettagliati, garantendo la tracciabilità dei record. § Tiangu Information collabora con le società regolamentate per completare le attività di conformità, come audit, convalida del sistema, ecc., e fornisce la documentazione applicabile.  eSignGlobal fornisce una potente funzione di recupero dei record, che può essere utilizzata per recuperare informazioni in base a persona, ora, tipo di operazione, numero di record e altro informazioni.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(d) Limitare l’accesso al sistema autorizzando singoli utenti.
| Risposta | eSignGlobal ha una funzione di controllo degli accessi completa per controllare l’accesso al sistema da parte dei singoli utenti. Attraverso l’autorizzazione, i singoli utenti possono accedere al sistema tramite password e altri metodi. |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(e) Utilizzare audit trail sicuri, generati dal computer e con indicazione temporale per registrare in modo indipendente la data e l’ora in cui gli operatori accedono e creano, modificano o eliminano record elettronici. Le modifiche ai record non devono sovrascrivere le informazioni dei record precedenti. Tale documentazione di audit trail deve essere conservata almeno per lo stesso periodo di tempo dei record elettronici di destinazione e deve essere facilmente accessibile alle autorità competenti per la revisione e la copia.
| Risposta | eSignGlobal ha una funzione di tracciamento degli audit completa, che può registrare informazioni quali data, ora, descrizione dell’operazione, nuovo valore, vecchio valore, operatore, ecc. Il tracciamento degli audit può essere filtrato e visualizzato per ora, modulo aziendale e tipo di operazione e i nuovi record non sovrascriveranno i record precedenti e verranno archiviati insieme ai record delle attività aziendali. Gli utenti autorizzati possono visualizzare le informazioni di tracciamento degli audit e i record di tracciamento degli audit possono essere stampati.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(f) Se necessario, utilizzare i controlli del sistema operativo per applicare la sequenza di passaggi ed eventi consentita.
| Risposta | eSignGlobal può impostare un processo di firma dei record e gli utenti possono impostare il processo di firma in base alle proprie esigenze per garantire che la firma del documento venga eseguita nell’ordine corretto. Durante l’esecuzione della firma, il sistema verificherà se il processo di firma è coerente con il processo configurato. In caso di incoerenza, il sistema non supporta l’operazione di firma del personale pertinente. |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(g) Utilizzare i controlli di autorizzazione per garantire che solo gli utenti autorizzati possano utilizzare il sistema, firmare elettronicamente i record, utilizzare i dispositivi di input e output del sistema operativo o del sistema informatico, modificare i record o eseguire operazioni manualmente.
| Risposta | eSignGlobal ha una funzione di gestione delle autorizzazioni completa. Ogni utente del sistema è unico e solo gli utenti autorizzati possono eseguire le operazioni corrispondenti. Quando gli utenti utilizzano le firme elettroniche, devono essere sottoposti a una verifica appropriata, come l’inserimento del nome utente e della password corretti, il codice di verifica del numero di cellulare e il riconoscimento biometrico per eseguire l’operazione.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(h) Utilizzare, se necessario, dispositivi (ad esempio, terminali) per verificare l’origine dell’immissione dei dati o la validità delle istruzioni operative.
| Risposta | eSignGlobal può essere utilizzato come software indipendente e integra anche una piattaforma di sviluppo di firme elettroniche, interfacciandosi con sistemi esterni tramite interfacce API. Il sistema monitora l’invio e la ricezione dei dati dell’interfaccia e solo i dati verificati possono interagire correttamente. Per i dati non verificati, il sistema registrerà e spiegherà il motivo dell’errore.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(i) Assicurarsi che il personale che sviluppa, gestisce o utilizza sistemi di registrazione/firma elettronica abbia un’istruzione, una formazione ed un’esperienza adeguate per svolgere i compiti loro assegnati.
| Risposta | La società di sviluppo di eSignGlobal ha stabilito un sistema di formazione completo. Gli sviluppatori, i tester e il personale operativo di eSignGlobal possono lavorare solo dopo aver ricevuto una formazione sistematica e aver confermato di possedere le conoscenze e l’esperienza corrispondenti al lavoro. Durante il processo di consegna del prodotto, la società di sviluppo di eSignGlobal fornisce ai clienti una formazione professionale per garantire che il personale rilevante del cliente possieda le conoscenze richieste. Le società regolamentate devono svolgere la gestione della formazione per garantire che il personale rilevante abbia le qualifiche appropriate.  |
|---|---|
| Conclusione | Combinando la gestione della formazione della società regolamentata e le attività di gestione della formazione della società di sviluppo di eSignGlobal, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(j) Al fine di impedire la falsificazione di registrazioni e firme, è necessario stabilire una politica scritta che vincoli gli individui ad essere responsabili per le azioni relative alla firma elettronica.
| Risposta | Questa clausola descrive i requisiti procedurali per le società regolamentate e non riguarda la progettazione delle funzioni del software o le attività dei fornitori. |
|---|---|
| Conclusione | Combinando le attività di gestione della qualità della società regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(k) Stabilire controlli adeguati in termini di file di sistema include:
(1) Avere un controllo sufficiente sull’assegnazione, l’accesso e l’utilizzo della documentazione di funzionamento e manutenzione del sistema.
(2) Stabilire procedure di revisione e controllo delle modifiche per fornire una traccia di controllo della sequenza temporale della scrittura e della revisione dei file di sistema.
| Risposta | eSignGlobal, in quanto software SAAS, la manutenzione del sistema è a carico del fornitore. La società di sviluppo di eSignGlobal ha stabilito procedure di controllo appropriate per controllare la documentazione applicabile. La revisione e la modifica dei file seguono le procedure di gestione dei file dell’azienda. Le società regolamentate devono mantenere un sistema di gestione dei documenti appropriato per garantire che i documenti siano adeguatamente controllati. |
|---|---|
| Conclusione | Combinando le attività di gestione dei documenti della società regolamentata e della società di sviluppo di eSignGlobal, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Parte 11 11.30 - Controlli per sistemi aperti Controls for open systems.
Il personale che utilizza sistemi aperti per generare, modificare, mantenere o trasmettere record elettronici deve adottare procedure e metodi di gestione in grado di garantire l’autenticità, l’integrità e, se necessario, la riservatezza dei record dal punto di creazione al punto di ricezione, che devono includere, se necessario, il contenuto specificato in 11.10, nonché misure aggiuntive, come la crittografia dei documenti e l’utilizzo di standard di firma elettronica appropriati per garantire l’autenticità, l’integrità e la riservatezza necessarie dei record.
| Risposta | In quanto servizio software SAAS, eSignGlobal fornisce valore aziendale ai clienti fornendo servizi standardizzati. La società di sviluppo di eSignGlobal collabora con i clienti per completare il controllo dei sistemi aperti per garantire l’autenticità, l’integrità e la riservatezza dei record, tra cui: § eSignGlobal utilizza algoritmi di crittografia avanzati per crittografare i file elettronici dall’inizio alla fine, dall’archiviazione alla trasmissione. Durante la trasmissione, viene utilizzato il protocollo di crittografia SSL/TLS per garantire che i dati siano difficili da rubare o manomettere durante la trasmissione in rete. Nella fase di archiviazione, il testo originale del file viene crittografato per garantire che i dati non vengano ottenuti illegalmente. § eSignGlobal utilizza la tecnologia di firma digitale e supporta la verifica della firma elettronica dei record correlati per proteggere i record correlati. § La società di sviluppo di eSignGlobal supporta la firma di accordi di qualità con i clienti per chiarire i servizi e le responsabilità forniti dai fornitori. In combinazione con il sistema di gestione della qualità della società regolamentata, garantisce l’autenticità e l’integrità dei record dal punto di creazione al punto di ricezione.   |
|---|---|
| Conclusione | Combinando le attività di gestione della qualità della società regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Parte 11 11.50 - Manifestazioni della firma elettronica Signature manifestations
(a) La firma di un record elettronico deve contenere informazioni chiaramente visualizzate relative alla firma, tra cui:
(1) Il nome del firmatario scritto in stampatello
(2) La data e l’ora in cui la firma diventa effettiva
(3) Il significato associato alla firma (ad esempio, revisione, approvazione, responsabilità o autore originale)
(b) Il contenuto specificato nelle sezioni (a)(1), (a)(2) e (a)(3) di questa sezione deve essere gestito nello stesso modo dei record elettronici e deve far parte di un record elettronico di facile lettura (visualizzazione elettronica o stampa).
| Risposta | Quando si utilizza eSignGlobal per eseguire una firma elettronica, il sistema supporta quanto segue: 1. Gli utenti possono personalizzare il nome in stampatello in base alle impostazioni effettive e il formato leggibile viene salvato anche nel sistema per garantire la leggibilità delle informazioni del firmatario. 2. Conservare le informazioni sulla data e l’ora in cui la firma viene eseguita. 3. Significato relativo alla firma. 4. Tutti i record associati alle firme elettroniche sono leggibili nel sistema e possono essere esportati o stampati per la revisione o la verifica.   |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Parte 11 11.70 - Collegamento firma/record Signature/record linking
Le firme elettroniche e le firme manoscritte apposte sui record elettronici devono essere collegate ai rispettivi record elettronici per garantire che le firme elettroniche non possano essere cancellate, copiate o altrimenti trasferite per falsificare i record elettronici.
| Risposta | La firma elettronica di eSignGlobal fa parte del record associato e non può essere cancellata, copiata o altrimenti trasferita per falsificare i record elettronici. eSignGlobal utilizza la tecnologia della firma digitale per supportare la verifica della firma elettronica dei record correlati e può identificare firme e record non validi.  |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Subpart C--Firme elettroniche Electronic Signatures
Part 11 11.100 - Requisiti generali General Requirements
(a) Ogni firma elettronica deve corrispondere a un individuo univoco e non può essere riutilizzata o riassegnata a nessun altro.
| Risposta | Il sistema assegna un ID univoco a ciascun utente, corrispondente all’utente e a una firma univoca, che non verrà utilizzata da altri utenti. |
|---|---|
| Conclusione | L’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
(b) Prima che un’organizzazione stabilisca, assegni, certifichi o approvi la firma elettronica di una persona o qualsiasi altro elemento di tale firma elettronica, l’organizzazione verificherà l’identità della persona.
| Risposta | L’utente è responsabile della fornitura del sistema di gestione. |
|---|---|
| Conclusione | In combinazione con le attività di gestione della qualità della società regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
© Il firmatario deve dimostrare all’agenzia competente prima o durante l’utilizzo della firma elettronica che, a partire dal 20 agosto 1997 e successivamente, la firma elettronica sul proprio sistema ha lo stesso effetto legale di una firma autografa tradizionale.
(1) La certificazione deve essere presentata in forma scritta all’ufficio regionale di 5600 Fishers Lane, Rockville, MD 20857 (HFC-100)
(2) Su richiesta dell’agenzia competente, le persone devono fornire un’ulteriore certificazione o prova che chiarisca che la firma elettronica ha lo stesso effetto legale della firma autografa del firmatario quando utilizzano la firma elettronica.
| Risposta | La società regolamentata stabilisce e implementa il sistema di gestione correlato. |
|---|---|
| Conclusione | In combinazione con le attività di gestione della qualità della società regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Part 11 11.200 - Componenti e controlli della firma elettronica Electronic signature components and controls.
(a) Le firme elettroniche che non si basano sulla biometria devono:
(1) Utilizzare almeno due componenti di prova distinti, come ID e password.
(i) Quando un individuo accede continuamente a un singolo sistema controllato ed esegue una serie di firme, la prima firma deve contenere tutti i componenti della firma elettronica; le firme successive devono contenere almeno uno dei componenti della firma elettronica progettato per l’uso esclusivo da parte dell’individuo.
(ii) Quando una persona firma una o più firme al di fuori di un periodo di accesso al sistema controllato continuo indipendente, ogni firma firmata deve utilizzare tutti i componenti della firma elettronica.
(2) Essere utilizzate solo dai loro veri proprietari;
(3) Adottare la gestione e la firma per garantire che la collaborazione di due o più individui sia necessaria quando altri tentano di utilizzare la firma elettronica oltre al vero proprietario.
(b) Le firme elettroniche basate sulla biometria devono essere progettate per garantire che non possano essere utilizzate da altri oltre al vero proprietario.
| Risposta | eSignGlobal supporta sia le firme elettroniche non biometriche che le firme elettroniche biometriche. Per le firme elettroniche non biometriche, la composizione della firma elettronica include almeno due componenti di prova, come nome utente e password, numero di cellulare e codice di verifica. Ogni volta che viene eseguita una firma, sono necessari tutti i componenti della firma elettronica. La società regolamentata stabilisce un sistema di gestione correlato per garantire che la firma elettronica possa essere utilizzata solo dal vero proprietario. La società regolamentata stabilisce un sistema di gestione correlato per garantire che, se è necessario utilizzare un utente non autorizzato per accedere al sistema, l’operazione possa essere eseguita solo con la presenza di due o più persone. La firma elettronica biometrica utilizza il rilevamento dinamico della vitalità e l’autenticazione multimodale per garantire che solo la persona stessa possa utilizzarla.  |
|---|---|
| Conclusione | Combinando le attività di gestione della qualità dell’azienda regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Parte 11 11.300 - Controlli per codici/password di identificazione Controls for identification codes/passwords.
Le firme elettroniche che utilizzano sia codici di identificazione che password devono essere gestite per garantirne la sicurezza e l’integrità. Tale gestione deve includere:
(a) Mantenere l’unicità di ogni set di codici di identificazione e password, ovvero non ci sono due persone con lo stesso codice di identificazione e password.
(b) Garantire che l’emissione di codici di identificazione e password venga ispezionata, revocata o modificata regolarmente (ad esempio, per risolvere l’obsolescenza delle password).
© Adottare l’invalidazione elettronica per contrassegni, carte e altri dispositivi contenenti o che generano informazioni su codici di identificazione o password in conformità con il processo di gestione delle perdite, e adottare un’emissione di sostituti temporanei o permanenti appropriata e rigorosa per contrassegni, carte e altri dispositivi smarriti, rubati, omessi o che presentano altri possibili danni.
(d) Gestire l’uso di dispositivi di sicurezza per impedire l’uso non autorizzato di password o codici di identificazione, adottare misure immediate e urgenti per rilevare e segnalare qualsiasi tentativo di utilizzo non autorizzato del sistema da parte di dispositivi di sicurezza e, se appropriato, gestione organizzativa.
(e) Test iniziali e periodici delle apparecchiature, come token o carte contenenti o che generano informazioni su codici di identificazione o password, per garantire che funzionino correttamente e non abbiano subito modifiche non autorizzate.
| Risposta | Le funzionalità di eSignGlobal supportano quanto segue: § Assegna un ID univoco a ciascun utente, con unicità. § Supporta l’autenticazione multipla dell’utente. Quando la password viene dimenticata o smarrita, l’utente può aggiornare autonomamente la password. (La società regolamentata deve stabilire procedure per gestire le situazioni di cui sopra.) § Può identificare i casi di ripetuti tentativi di accesso non riusciti e attivare politiche di sicurezza per bloccare gli utenti. Il sistema può registrare queste attività anomale. La gestione degli utenti e le firme di eSignGlobal non dipendono da tali dispositivi. |
|---|---|
| Conclusione | Combinando le attività di gestione della qualità dell’azienda regolamentata, l’applicazione di eSignGlobal può soddisfare i requisiti di questa clausola. |
Conclusione
Il Titolo 21 del CFR Parte 11 è una normativa complessa che richiede la cooperazione tra fornitori e soggetti regolamentati per implementare buoni controlli tecnici, gestionali e procedurali.
In qualità di fornitore, la società di sviluppo di eSignGlobal ha implementato controlli tecnici sufficienti e una gestione appropriata per il prodotto eSignGlobal per renderlo conforme. Le società regolamentate devono adottare una piccola quantità di controlli gestionali e procedurali per garantire la conformità.