보안 및 규정 준수21 CFR Part 11
eSignGlobal 21 CFR Part 11 규정 준수 보고서
규정 준수 분석
다음은 21CFR Part11 규정 번역본입니다.
Subpart B—전자 기록 Electronic Records
Part11 11.10-폐쇄 시스템 제어 Controls for closed systems.
폐쇄 시스템을 사용하여 전자 기록을 생성, 수정, 유지 관리 또는 전송하는 사람은 기록의 진실성, 완전성 및 필요한 경우 기밀성을 보장할 수 있는 절차와 관리 방법을 채택하여 서명자가 서명한 진실하지 않은 기록을 쉽게 부인할 수 없도록 해야 합니다. 절차 및 관리 내용은 다음을 포함해야 합니다.
(a) 시스템이 의도된 성능의 정확성, 신뢰성을 보장하고 유효하지 않은 변경 기록을 식별할 수 있도록 시스템을 검증합니다.
| 응답 | eSignGlobal은 SAAS 제품으로서 소프트웨어 개발, 테스트 및 릴리스는 공급업체가 담당하며, 규제 대상 회사는 검증 활동을 완료하기 위해 공급업체의 지원이 필요합니다. eSignGlobal은 완벽한 품질 관리 시스템을 구축하고 CMMI 인증서를 획득했으며 표준화된 프로세스를 통해 설계, 개발, 테스트 및 릴리스 제어를 포함한 소프트웨어 제품에 대한 수명 주기 관리를 수행하고 완전한 기록을 보관하여 고객의 검증 활동을 지원하기 위한 충분한 서면 문서를 제공할 수 있습니다.  |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 및 eSignGlobal의 품질 관리 활동을 결합하여 eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(b) 주무 부서의 검사, 감사 및 복제를 용이하게 하기 위해 정확하고 완전하며 읽기 쉬운 전자 기록 사본을 생성하는 기능. 관련 주무 부서의 전자 기록 감사 및 복제에 대한 문제가 있는 경우 주무 부서에 문의해야 합니다.
| 응답 | eSignGlobal에서 생성된 전자 기록에는 두 가지 주요 범주가 있습니다. § 주요 GMP 활동 기록을 포함하여 시스템에 업로드되고 신뢰할 수 있는 전자 서명으로 서명된 다양한 GMP 활동 기록(예: 해당 전자 계약). § 사용자 관리 및 로그인, 계약 보기 및 공유 등과 같은 지원 활동 기록. 시스템은 정확하고 완전하며 읽기 쉬운 전자 기록 사본을 생성하여 전자적으로 보거나 종이 사본 파일로 인쇄할 수 있습니다. 규제 대상 회사는 필요에 따라 이러한 기록을 규제 기관 감사에 사용합니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
© 기록이 전체 보존 기간 동안 정확하고 검색하기 쉽도록 기록을 보호합니다.
| 응답 | SAAS 제품으로서 eSignGlobal 기록 관리 및 보안은 공급업체가 담당합니다. 관련 기록 보안 설명은 다음과 같습니다. § 클라우드 컴퓨팅 공급업체는 유명한 클라우드 서비스 제공업체이며 eSignGlobal은 공급업체와 품질 계약을 체결하여 물리적 보안, 서비스 가용성, 재해 복구 등을 구속합니다. § 연구 개발, 테스트, 운영 및 운영 서비스는 《개인 정보 보호 관리 시스템-ISO/ IEC27018:2019》 관리 시스템을 준수하고 관련 등록 인증서를 획득했습니다. § 연구 개발, 테스트, 운영 및 운영 서비스는 《정보 보안 관리 시스템-ISO/ IEC27001:2022》 관리 시스템을 준수하고 관련 등록 인증서를 획득했습니다. § 연구 개발, 테스트, 운영 및 운영 서비스는 《개인 정보 관리 시스템-ISO/ IEC27701:2019》 관리 시스템을 준수하고 관련 등록 인증서를 획득했습니다. § 시스템은 완벽한 권한 관리 기능을 갖추고 있으며, 권한이 없는 사용자는 관련 기록에 액세스할 수 없습니다. § 시스템은 감사 추적 기능을 갖추고 있으며, 시스템의 데이터 생성, 수정, 삭제 등 작업에 대한 자세한 기록이 있어 기록의 추적 가능성을 보장합니다. § 톈구 정보는 규제 대상 회사가 감사, 시스템 검증 등 규정 준수 활동을 완료하도록 지원하고 해당 문서 자료를 제공합니다.  eSignGlobal은 강력한 기록 검색 기능을 제공하여 사람, 시간, 작업 유형, 기록 번호 및 기타 정보를 기반으로 정보 검색에 사용할 수 있습니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(d) 권한이 있는 개인 사용자가 시스템 로그인을 제한합니다.
| 응답 | eSignGlobal은 완벽한 액세스 제어 기능을 갖추고 있으며 개인 사용자의 시스템 로그인을 제어합니다. 시스템은 권한 부여를 통해 개인 사용자가 비밀번호 등 방식으로 시스템에 로그인할 수 있습니다. |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(e) 안전하고 컴퓨터로 생성된 시간 표시 감사 추적을 사용하여 작업자 로그인 및 전자 기록 생성, 수정 또는 삭제 행위의 날짜와 시간을 독립적으로 기록합니다. 기록 변경으로 인해 이전 기록 정보가 덮어쓰여서는 안 됩니다. 이러한 감사 추적 문서는 최소한 대상 전자 기록과 동일한 기간 동안 보관되며 주무 부서의 감사 및 복제가 용이해야 합니다.
| 응답 | eSignGlobal은 완벽한 감사 추적 기능을 갖추고 있으며 날짜, 시간, 작업 설명, 새 값, 이전 값, 작업자 등 정보를 기록할 수 있습니다. 감사 추적은 시간, 비즈니스 모듈, 작업 유형별로 필터링하여 볼 수 있으며, 새 기록은 이전 기록을 덮어쓰지 않고 비즈니스 활동 기록과 함께 보관됩니다. 권한이 있는 사용자는 감사 추적 정보를 볼 수 있으며, 감사 추적 기록을 인쇄할 수 있습니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(f) 필요한 경우 운영 체제 검사를 사용하여 허용된 단계와 이벤트 순서를 강제 실행합니다.
| 응답 | eSignGlobal은 기록 서명 프로세스를 설정할 수 있으며, 사용자는 요구 사항에 따라 서명 프로세스를 설정하여 파일 서명이 올바른 순서로 실행되도록 할 수 있습니다. 서명을 실행할 때 시스템은 서명 프로세스와 구성된 프로세스가 일치하는지 확인합니다. 일치하지 않으면 시스템은 관련 담당자의 서명 작업을 지원하지 않습니다. |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(g) 권한 검사를 사용하여 권한이 있는 사용자만 시스템을 사용하고, 전자 방식으로 기록에 서명하고, 운영 체제 또는 컴퓨터 시스템의 입출력 장치를 사용하고, 기록을 수정하거나 수동으로 작업을 수행할 수 있도록 보장합니다.
| 응답 | eSignGlobal은 완벽한 권한 관리 기능을 갖추고 있으며, 시스템의 각 사용자는 고유하며 권한이 있는 사용자만 해당 작업을 수행할 수 있습니다. 사용자가 전자 서명을 사용할 때 올바른 사용자 이름과 비밀번호, 휴대폰 번호 인증 코드 및 생체 인식을 입력하는 등 적절한 검증을 거쳐야 작업을 실행할 수 있습니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(h) 필요한 경우 장치(예: 터미널)를 사용하여 데이터 입력 소스 또는 작업 지침의 유효성을 확인합니다.
| 응답 | eSignGlobal은 독립 실행형 소프트웨어로 사용할 수 있으며 API 인터페이스를 통해 외부 시스템과 연결되는 전자 서명 개발 플랫폼과 통합되어 있습니다. 시스템은 인터페이스 데이터의 송수신을 모니터링하고 검증된 데이터만 성공적으로 상호 작용할 수 있으며 검증되지 않은 데이터에 대해서는 시스템이 기록하고 오류 원인을 설명합니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(i) 전자 기록/전자 서명 시스템의 개발, 유지 관리 또는 사용 담당자가 할당된 작업을 수행하는 데 필요한 교육, 훈련 및 경험을 갖추도록 합니다.
| 응답 | eSignGlobal의 개발 회사는 완벽한 교육 시스템을 구축했으며 eSignGlobal 제품의 개발자, 테스터 및 운영 담당자는 체계적인 교육을 거친 후 직무와 일치하는 지식과 경험을 갖추고 있는지 확인한 후에만 업무에 투입됩니다. 제품 인도 과정에서 eSignGlobal의 개발 회사는 고객에게 전문적인 교육을 제공하여 고객 관련 담당자가 필요한 지식을 갖추도록 합니다. 규제 대상 회사는 관련 담당자가 적절한 자격을 갖추도록 교육 관리를 수행해야 합니다.  |
|---|---|
| 결론 | 규제 대상 회사의 교육 관리 및 eSignGlobal 개발 회사의 교육 관리 활동을 결합하여 eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(j) 기록 및 서명의 위조를 방지하기 위해 전자 서명 관련 행위에 대한 개인의 책임을 제한하는 서면 정책을 수립해야 합니다.
| 응답 | 이 조항은 규제 대상 회사의 절차 요구 사항을 설명하며 소프트웨어 기능 설계 또는 공급업체 활동과 관련이 없습니다. |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동을 결합하여 eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(k) 시스템 파일 측면에서 적절한 제어를 설정하는 데는 다음이 포함됩니다.
(1) 시스템 운영 및 유지 관리 문서의 할당, 액세스 및 사용에 대한 충분한 제어.
(2) 시스템 파일의 작성 및 수정 시간 순서를 감사 추적하기 위한 수정 및 변경 제어 절차를 수립합니다.
| 응답 | eSignGlobal은 SAAS 소프트웨어이므로 시스템 유지 관리는 공급업체가 담당합니다. eSignGlobal의 개발 회사는 적용 가능한 문서를 제어하기 위한 적절한 제어 절차를 수립했습니다. 파일의 수정 및 변경은 회사의 파일 관리 규정을 따릅니다. 규제 대상 회사는 문서가 적절하게 관리되도록 적절한 문서 관리 시스템을 유지해야 합니다. |
|---|---|
| 결론 | 규제 대상 회사와 eSignGlobal 개발 회사의 문서 관리 활동을 결합하면 eSignGlobal의 애플리케이션이 이 조항의 요구 사항을 충족할 수 있습니다. |
Part 11 11.30 - 개방형 시스템 제어 개방형 시스템 제어.
개방형 시스템을 사용하여 전자 기록을 생성, 수정, 유지 관리 또는 전송하는 사람은 기록의 진위성, 완전성 및 필요한 경우 기밀성을 생성 지점부터 수신 지점까지 보장할 수 있는 절차 및 관리 방법을 채택해야 하며, 필요한 경우 11.10에 명시된 내용과 문서 암호화 및 해당 전자 서명 표준을 적용하여 기록의 필요한 진위성, 완전성 및 기밀성을 보장하는 것과 같은 추가 조치를 포함해야 합니다.
| 응답 | SAAS 소프트웨어 서비스인 eSignGlobal은 표준화된 서비스를 제공하여 고객에게 비즈니스 가치를 제공합니다. eSignGlobal의 개발 회사는 고객과 협력하여 개방형 시스템을 제어하여 기록의 진위성, 완전성 및 기밀성을 보장하며 다음을 포함합니다. § eSignGlobal은 고급 암호화 알고리즘을 사용하여 전자 파일의 생성부터 저장, 전송에 이르기까지 전체 프로세스를 암호화합니다. 전송 시에는 SSL/TLS 암호화 프로토콜을 사용하여 네트워크 전송 중에 데이터가 도난당하거나 변조되기 어렵도록 합니다. 저장 단계에서는 파일 원본을 암호화하여 데이터가 불법적으로 획득되지 않도록 합니다. § eSignGlobal은 디지털 서명 기술을 사용하고 관련 기록에 대한 전자 서명 검증을 지원하여 관련 기록을 보호합니다. § eSignGlobal의 개발 회사는 고객과 품질 계약을 체결하여 공급업체가 제공하는 서비스와 책임을 명확히 하는 것을 지원합니다. 규제 대상 회사의 품질 관리 시스템과 결합하여 기록의 진위성, 완전성이 생성 지점부터 수신 지점까지 보장됩니다.   |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동과 결합하면 eSignGlobal의 애플리케이션이 이 조항의 요구 사항을 충족할 수 있습니다. |
Part 11 11.50 - 전자 서명 형식 서명 표현
(a) 전자 기록에 서명하려면 다음과 같은 서명과 관련된 모든 정보를 명확하게 표시해야 합니다.
(1) 서명자의 이름을 인쇄체로 작성
(2) 서명이 효력을 발생하는 날짜 및 시간
(3) 서명과 관련된 의미(예: 검토, 승인, 책임 또는 원작자)
(b) 본 조항 (a)(1), (a)(2) 및 (a)(3)에 명시된 내용은 전자 기록과 동일한 방식으로 관리해야 하며 읽기 쉬운 전자 기록(전자 디스플레이 또는 인쇄 출력)의 일부로 간주되어야 합니다.
| 응답 | eSignGlobal을 사용하여 전자 서명을 실행할 때 시스템은 다음을 지원합니다. 1. 사용자는 실제 설정을 기반으로 개인화된 인쇄체 이름을 설정할 수 있으며, 서명자 정보의 가독성을 보장하기 위해 읽기 쉬운 형식으로 시스템에 저장됩니다. 2. 서명 실행 시의 날짜 및 시간 정보를 보존합니다. 3. 서명 관련 의미. 4. 모든 전자 서명과 연결된 기록은 시스템에서 읽을 수 있으며 검토 또는 재검토를 위해 복사본을 내보내거나 인쇄할 수 있습니다.   |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
Part 11 11.70-서명/기록 링크 Signature/record linking
전자 기록에 서명된 전자 서명과 수기 서명은 각 전자 기록에 연결되어 전자 서명을 삭제, 복사 또는 다른 방식으로 이전하여 전자 기록을 위조할 수 없도록 해야 합니다.
| 응답 | eSignGlobal의 전자 서명은 관련 기록의 일부로 삭제, 복사 또는 다른 방식으로 이전하여 전자 기록을 위조할 수 없습니다. eSignGlobal은 디지털 서명 기술을 활용하여 관련 기록의 전자 서명 검증을 지원하며, 유효하지 않은 서명 및 기록을 식별할 수 있습니다.  |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
Subpart C--전자 서명 Electronic Signatures
Part 11 11.100-일반 요구 사항 General Requirements
(a) 각 전자 서명은 고유한 개인에 해당해야 하며, 재사용하거나 다른 사람에게 재할당할 수 없습니다.
| 응답 | 시스템은 각 사용자에게 고유 ID를 지정하여 사용자와 고유한 서명에 해당하며, 다른 사용자가 사용할 수 없습니다. |
|---|---|
| 결론 | eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
(b) 조직이 개인의 전자 서명 또는 기타 전자 서명의 요소를 설정, 할당, 증명 또는 승인하기 전에 조직은 개인의 신원을 확인합니다.
| 응답 | 사용자는 관리 제도를 제공할 책임이 있습니다. |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동과 결합하여 eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
© 서명자는 전자 서명을 사용하기 전 또는 사용할 때 관련 기관에 1997년 8월 20일부터 이후에 그들의 시스템에서 전자 서명이 전통적인 수기 서명과 동등한 법적 효력을 갖는다는 것을 증명해야 합니다.
(1) 증명은 5600 Fishers Lane, Rockville, MD 20857의 지역 사무실(HFC-100)로 서면으로 제출해야 합니다.
(2) 관련 기관의 요청에 따라 사람들은 전자 서명을 사용할 때 전자 서명이 서명자의 수기 서명과 동등한 법적 효력을 갖는다는 명확한 증명서 또는 증거를 추가로 제공해야 합니다.
| 응답 | 규제 대상 회사는 관련 관리 제도를 구축하고 시행합니다. |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동과 결합하여 eSignGlobal의 응용 프로그램은 본 조항의 요구 사항을 충족할 수 있습니다. |
Part 11 11.200-전자 서명의 구성 요소 및 제어 Electronic signature components and controls.
(a) 생체 인식에 기반하지 않은 전자 서명은 다음과 같아야 합니다.
(1) 식별 코드 및 비밀번호와 같이 최소 두 가지의 뚜렷하게 다른 증명 구성 요소를 사용합니다.
(i) 개인이 단일 제어 시스템에 연속적으로 액세스하고 일련의 서명을 수행할 때 첫 번째 서명은 전자 서명의 모든 구성 요소를 포함해야 합니다. 후속 서명은 최소한 전자 서명에서 개인만을 위해 설계된 구성 요소 중 하나를 포함해야 합니다.
(ii) 사람이 독립적인 지속적인 제어 시스템 로그인 기간 내에 하나 이상의 서명을 하지 않을 때, 서명된 각 서명은 모든 전자 서명 구성 요소를 사용해야 합니다.
(2) 실제 소유자만 사용합니다.
(3) 실제 소유자 외의 다른 사람이 전자 서명을 사용하려고 할 때 두 명 이상의 개인의 협력이 필요하도록 관리 및 서명합니다.
(b) 생체 인식에 기반한 전자 서명은 실제 소유자 외의 다른 사람이 사용할 수 없도록 설계되어야 합니다.
| 응답 | eSignGlobal은 비생체 인식 전자 서명과 생체 인식 전자 서명을 모두 지원합니다. 비생체 인식 전자 서명의 경우 전자 서명 구성 요소는 사용자 이름과 비밀번호, 휴대폰 번호와 인증 코드와 같이 최소 두 가지 증명 구성 요소를 포함합니다. 서명을 실행할 때마다 전자 서명의 모든 구성 요소가 필요합니다. 규제 대상 회사는 전자 서명을 실제 소유자만 사용할 수 있도록 관련 관리 제도를 구축합니다. 규제 대상 회사는 본인이 아닌 사용자로 시스템에 로그인해야 하는 경우 두 명 이상의 사람이 참석한 경우에만 작동할 수 있도록 관련 관리 제도를 구축합니다. 생체 인식 전자 서명은 동적 활체 감지 및 다중 모드 인증 지원을 통해 본인만 사용할 수 있도록 보장합니다.  |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동과 결합하여 eSignGlobal의 애플리케이션은 본 조항의 요구 사항을 충족할 수 있습니다. |
Part 11 11.300 - 식별 코드/비밀번호 제어 식별 코드/비밀번호 제어.
식별 코드와 비밀번호를 동시에 사용하는 전자 서명은 보안과 무결성을 보장하기 위해 관리되어야 하며, 이러한 관리에는 다음이 포함되어야 합니다.
(a) 각 식별 코드와 비밀번호 세트의 고유성을 유지합니다. 즉, 동일한 식별 코드와 비밀번호를 가진 두 사람이 존재하지 않습니다.
(b) 식별 코드와 비밀번호의 발행이 정기적으로 검사, 회수 또는 수정되도록 보장합니다(예: 비밀번호 노후화 해결).
© 손실 관리 프로세스에 따라 분실, 도난, 누락 또는 기타 손상 가능성이 있는 표식, 카드 및 기타 식별 코드 또는 비밀번호 정보 장치를 포함하거나 생성하는 장치에 대해 전자적 장애를 채택하고 적절하고 엄격한 관리로 임시 또는 영구적인 대체품을 발행합니다.
(d) 승인되지 않은 비밀번호 또는 식별 코드의 사용을 방지하기 위해 보안 장치의 사용을 처리하고, 시스템의 승인되지 않은 사용을 시도하는 보안 장치를 즉시 감지하고 보고하며, 적절한 경우 조직 관리를 수행합니다.
(e) 식별 코드 또는 비밀번호 정보를 포함하거나 생성하는 토큰 또는 카드와 같은 장치의 초기 및 정기적인 장비 테스트를 통해 정상적으로 작동하고 승인되지 않은 수정이 없는지 확인합니다.
| 응답 | eSignGlobal 기능은 다음을 지원합니다. § 각 사용자에게 고유한 ID를 지정하여 고유성을 확보합니다. § 사용자 다중 인증을 지원하며, 비밀번호를 잊어버리거나 분실한 경우 사용자가 직접 비밀번호를 업데이트할 수 있습니다. (규제 대상 회사는 위와 같은 상황 발생 시 관리하기 위한 절차를 수립해야 합니다.) § 연속적인 로그인 실패를 식별하고 보안 정책을 트리거하여 사용자를 잠글 수 있으며, 시스템은 이러한 비정상적인 활동을 기록할 수 있습니다. eSignGlobal 사용자 관리 및 서명은 이러한 장치에 의존하지 않습니다. |
|---|---|
| 결론 | 규제 대상 회사의 품질 관리 활동과 결합하여 eSignGlobal의 애플리케이션은 본 조항의 요구 사항을 충족할 수 있습니다. |
결론
미국 연방 규정 제21장 Part 11은 복잡한 규정으로, 공급업체와 규제 대상 당사자의 협력이 필요하며, 우수한 기술, 관리 및 절차적 통제가 필요합니다.
공급업체로서 eSignGlobal의 개발 회사는 eSignGlobal 제품에 충분한 기술적 통제와 적절한 관리를 구현하여 규정 준수를 가능하게 했습니다. 규제 대상 회사는 규정 준수를 보장하기 위해 소량의 관리 및 절차적 통제를 취해야 합니다.