Central de segurança21 CFR Part 11
eSignGlobal 21 CFR Parte 11 Relatório de Conformidade
Análise de Conformidade
O seguinte é a tradução do regulamento 21CFR Parte 11
Subparte B—Registos Eletrónicos
Parte 11 11.10 - Controlos para sistemas fechados.
As pessoas que usam sistemas fechados para gerar, modificar, manter ou transmitir registos eletrónicos devem usar procedimentos e práticas de gestão que garantam a autenticidade, integridade e, quando necessário, confidencialidade dos registos, para garantir que o signatário não possa facilmente negar a assinatura de registos não autênticos. Os procedimentos e práticas de gestão devem incluir:
(a) Validar o sistema para garantir a precisão, fiabilidade do desempenho pretendido e a capacidade de identificar registos de alterações inválidas.
| Resposta | eSignGlobal como um produto SAAS, o desenvolvimento, teste e lançamento de software são da responsabilidade do fornecedor, e a empresa regulamentada precisa do apoio do fornecedor para concluir as atividades de validação. A eSignGlobal estabeleceu um sistema de gestão de qualidade completo e obteve a certificação CMMI. Através de processos padronizados, a gestão do ciclo de vida é realizada para produtos de software, incluindo design, desenvolvimento, teste e controlo de lançamento, e registos completos são guardados. Documentação escrita suficiente pode ser fornecida para apoiar as atividades de validação dos clientes.  |
|---|---|
| Conclusão | Combinando a gestão de qualidade da empresa regulamentada e as atividades de gestão de qualidade da eSignGlobal, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
(b) A capacidade de gerar cópias precisas, completas e legíveis de registos eletrónicos para facilitar a inspeção, auditoria e reprodução pelas autoridades competentes. Se houver algum problema com a auditoria e reprodução de registos eletrónicos pelas autoridades competentes, deve ser estabelecido contacto com as autoridades competentes.
| Resposta | Os registos eletrónicos gerados pela eSignGlobal incluem duas categorias principais: § Registo de atividades de negócios, incluindo principalmente vários registos de atividades GMP carregados no sistema e assinados com assinaturas eletrónicas fiáveis, incluindo contratos eletrónicos aplicáveis. § Registo de atividades de suporte, como gestão e login de utilizadores, visualização e partilha de contratos, etc. O sistema pode gerar cópias precisas, completas e legíveis de registos eletrónicos para visualização eletrónica ou impressão como documentos de cópia em papel. A empresa regulamentada usa estes registos para auditorias regulatórias conforme necessário.  |
|---|---|
| Conclusão | A aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
© Proteção de registos para que os registos sejam precisos e fáceis de recuperar durante todo o período de retenção.
| Resposta | Como um produto SAAS, a gestão e segurança de registos eSignGlobal são da responsabilidade do fornecedor. As instruções de segurança de registos relevantes incluem: § O fornecedor de computação em nuvem é um fornecedor de serviços de nuvem bem conhecido. A eSignGlobal assinou um acordo de qualidade com o fornecedor para restringir a segurança física, a disponibilidade do serviço, a recuperação de desastres, etc. § Os serviços de I&D, teste, operação e operação estão em conformidade com o sistema de gestão do «Sistema de Gestão de Proteção de Informações Pessoais-ISO/ IEC27018:2019» e obtiveram os certificados de registo relevantes § Os serviços de I&D, teste, operação e operação estão em conformidade com o sistema de gestão do «Sistema de Gestão de Segurança da Informação-ISO/ IEC27001:2022» e obtiveram os certificados de registo relevantes § Os serviços de I&D, teste, O&M e operação estão em conformidade com o sistema de gestão do “Sistema de Gestão de Informação de Privacidade - ISO/IEC27701:2019” e obtiveram os certificados de registo relevantes. § O sistema tem funções de gestão de permissões perfeitas e utilizadores não autorizados não podem aceder aos registos relevantes. § O sistema tem uma função de rastreio de auditoria. Existem registos detalhados para novas criações, modificações, eliminações e outras operações de dados no sistema, garantindo a rastreabilidade dos registos. § A Tiangu Information coopera com a empresa regulamentada para concluir atividades de conformidade, como auditorias, validação de sistemas, etc., e fornece documentação aplicável.  O eSignGlobal fornece uma poderosa função de recuperação de registos, que pode ser usada para pesquisar informações com base em pessoal, hora, tipo de operação, número de registo e outros informações.  |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
(d) Restringir o início de sessão no sistema através da autorização de utilizadores individuais.
| Resposta | O eSignGlobal tem funções de controlo de acesso perfeitas para controlar o início de sessão de utilizadores individuais no sistema. Através da autorização, os utilizadores individuais podem iniciar sessão no sistema através de palavras-passe e outros métodos. |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
(e) Utilizar rastreios de auditoria seguros, gerados por computador e com carimbo de data/hora para registar independentemente a data e a hora em que um operador inicia sessão e cria, modifica ou elimina registos eletrónicos. As alterações aos registos não devem permitir que as informações de registo anteriores sejam substituídas. Essa documentação de rastreio de auditoria será mantida pelo menos pelo mesmo período de tempo que o registo eletrónico de destino e será facilmente revista e reproduzida pelas autoridades competentes.
| Resposta | O eSignGlobal tem uma função de rastreio de auditoria perfeita, que pode registar informações como data, hora, descrição da operação, novo valor, valor antigo, operador, etc. O rastreio de auditoria pode ser filtrado e visualizado por hora, módulo de negócios e tipo de operação. Os novos registos não substituem os registos anteriores e são arquivados juntamente com os registos de atividades de negócios. Utilizadores com permissões podem visualizar informações de rastreio de auditoria e os registos de rastreio de auditoria podem ser impressos.  |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
(f) Quando necessário, utilizar verificações do sistema operativo para impor a sequência permitida de passos e eventos.
| Resposta | O eSignGlobal pode definir o processo de assinatura de registos. Os utilizadores podem definir o processo de assinatura de acordo com as suas necessidades para garantir que a assinatura do documento é executada na ordem correta. Ao executar uma assinatura, o sistema verificará se o processo de assinatura é consistente com o processo configurado. Se não for consistente, o sistema não suporta a operação de assinatura do pessoal relevante. |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
(g) Utilizar verificações de permissão para garantir que apenas utilizadores autorizados podem utilizar o sistema, assinar registos eletronicamente, utilizar dispositivos de entrada e saída do sistema operativo ou do sistema informático, modificar registos ou executar operações manualmente.
| Resposta | O eSignGlobal tem funções de gestão de permissões perfeitas. Cada utilizador do sistema é único e apenas utilizadores autorizados podem executar as operações correspondentes. Ao usar assinaturas eletrónicas, os utilizadores precisam de passar por uma validação adequada, como introduzir o nome de utilizador e a palavra-passe corretos, o código de verificação do número de telemóvel e a identificação biométrica para executar a operação.  |
|---|---|
| Conclusão | A aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
(h) Utilizar dispositivos (por exemplo, terminais) para verificar, se necessário, para determinar a validade da fonte de entrada de dados ou das instruções de operação.
| Resposta | A eSignGlobal pode ser utilizada como software independente e também integra uma plataforma de desenvolvimento de assinaturas eletrónicas, que se conecta com sistemas externos através de interfaces API. O sistema monitoriza o envio e a receção de dados da interface. Apenas os dados que passam na verificação podem interagir com sucesso. Para os dados que não passam na verificação, o sistema irá registar e explicar o motivo do erro.  |
|---|---|
| Conclusão | A aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
(i) Determinar que o pessoal que desenvolve, mantém ou utiliza sistemas de registo eletrónico/assinatura eletrónica tem a educação, formação e experiência adequadas para desempenhar as tarefas que lhes são atribuídas.
| Resposta | A empresa de desenvolvimento da eSignGlobal estabeleceu um sistema de formação completo. Os programadores, testadores e pessoal de operação e manutenção dos produtos eSignGlobal só podem começar a trabalhar após uma formação sistemática e confirmação de que possuem o conhecimento e a experiência correspondentes ao trabalho. No processo de entrega do produto, a empresa de desenvolvimento da eSignGlobal fornece formação profissional aos clientes para garantir que o pessoal relevante do cliente possui o conhecimento necessário. A empresa regulamentada precisa de realizar a gestão da formação para garantir que o pessoal relevante tem as qualificações adequadas.  |
|---|---|
| Conclusão | Combinando a gestão da formação da empresa regulamentada e as atividades de gestão da formação da empresa de desenvolvimento da eSignGlobal, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
(j) Para impedir a falsificação de registos e assinaturas, é necessário estabelecer uma política escrita que responsabilize os indivíduos pelo comportamento relacionado com a assinatura eletrónica.
| Resposta | Esta cláusula descreve os requisitos do procedimento para a empresa regulamentada e não envolve o design da função do software ou as atividades do fornecedor. |
|---|---|
| Conclusão | Combinando as atividades de gestão da qualidade da empresa regulamentada, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
(k) O estabelecimento de controlos adequados nos ficheiros do sistema inclui:
(1) Controlo adequado da atribuição, acesso e utilização da documentação de operação e manutenção do sistema.
(2) Estabelecer procedimentos de revisão e controlo de alterações para auditar a ordem cronológica da redação e revisão dos ficheiros do sistema.
| Resposta | A eSignGlobal, como software SAAS, é responsável pela manutenção do sistema pelo fornecedor. A empresa de desenvolvimento da eSignGlobal estabeleceu procedimentos de controlo adequados para controlar a documentação aplicável. A revisão e modificação dos ficheiros seguem os procedimentos de gestão de ficheiros da empresa. As empresas regulamentadas precisam de manter um sistema de gestão de documentos adequado para garantir que os documentos sejam devidamente controlados. |
|---|---|
| Conclusão | Combinando as atividades de gestão de documentos da empresa regulamentada e da empresa de desenvolvimento da eSignGlobal, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
Parte 11 11.30 - Controlos para sistemas abertos.
As pessoas que utilizam sistemas abertos para gerar, modificar, manter ou transmitir registos eletrónicos devem adotar procedimentos e métodos de gestão que garantam a autenticidade, integridade e, se necessário, a confidencialidade dos registos desde o ponto de criação até ao ponto de receção, incluindo, se necessário, o conteúdo especificado em 11.10, bem como medidas adicionais, como a encriptação de documentos e a utilização de normas de assinatura eletrónica adequadas para garantir a autenticidade, integridade e confidencialidade necessárias dos registos.
| Resposta | Como um serviço de software SAAS, a eSignGlobal fornece valor comercial aos clientes, fornecendo serviços padronizados. A empresa de desenvolvimento da eSignGlobal coopera com os clientes para concluir o controlo de sistemas abertos para garantir a autenticidade, integridade e confidencialidade dos registos, incluindo o seguinte: § A eSignGlobal utiliza algoritmos de encriptação avançados para encriptar documentos eletrónicos desde a geração até ao armazenamento e transmissão. Durante a transmissão, o protocolo de encriptação SSL/TLS é utilizado para garantir que os dados não sejam facilmente roubados ou adulterados durante a transmissão na rede. Na fase de armazenamento, o texto original do ficheiro é encriptado para garantir que os dados não sejam obtidos ilegalmente. § A eSignGlobal utiliza tecnologia de assinatura digital e suporta a verificação de assinaturas eletrónicas em registos relacionados para proteger os registos relacionados. § A empresa de desenvolvimento da eSignGlobal apoia a assinatura de acordos de qualidade com os clientes, especificando os serviços e responsabilidades fornecidos pelo fornecedor. Combinado com o sistema de gestão da qualidade da empresa regulamentada, garante a autenticidade e integridade dos registos desde o ponto de criação até ao ponto de receção.   |
|---|---|
| Conclusão | Combinando as atividades de gestão da qualidade da empresa regulamentada, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
Parte 11 11.50 - Formas de assinaturas eletrónicas
(a) A assinatura de um registo eletrónico deve incluir a apresentação clara de todas as informações relacionadas com a assinatura, como:
(1) O nome do signatário escrito em letra de imprensa
(2) A data e hora em que a assinatura entra em vigor
(3) O significado associado à assinatura (por exemplo, revisão, aprovação, responsabilidade ou autor original)
(b) O conteúdo especificado nas secções (a)(1), (a)(2) e (a)(3) desta secção deve ser gerido da mesma forma que os registos eletrónicos e deve fazer parte de um registo eletrónico legível (visualização eletrónica ou impressão).
| Resposta | Ao utilizar a eSignGlobal para executar assinaturas eletrónicas, o sistema suporta o seguinte: 1. Os utilizadores podem personalizar o nome em letra de imprensa com base nas definições reais, e o formato legível também é guardado no sistema para garantir a legibilidade das informações do signatário. 2. Reter a data e hora em que a assinatura é executada. 3. O significado associado à assinatura. 4. Todos os registos associados a assinaturas eletrónicas são legíveis no sistema e podem ser exportados ou impressos para revisão ou verificação.   |
|---|---|
| Conclusão | A aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
Parte 11 11.70 - Ligação assinatura/registo Signature/record linking
As assinaturas eletrónicas e as assinaturas manuscritas em registos eletrónicos devem ser ligadas aos seus respetivos registos eletrónicos para garantir que as assinaturas eletrónicas não podem ser eliminadas, copiadas ou transferidas de outra forma para falsificar os registos eletrónicos.
| Resposta | A assinatura eletrónica da eSignGlobal faz parte do registo associado e não pode ser eliminada, copiada ou transferida de outra forma para falsificar o registo eletrónico. O eSignGlobal utiliza tecnologia de assinatura digital e suporta a verificação de assinaturas eletrónicas em registos relevantes, podendo identificar assinaturas e registos inválidos.  |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
Subparte C--Assinaturas Eletrónicas Electronic Signatures
Parte 11 11.100 - Requisitos Gerais General Requirements
(a) Cada assinatura eletrónica deve corresponder a um indivíduo único e não pode ser reutilizada ou redistribuída a qualquer outra pessoa.
| Resposta | O sistema atribui um ID único a cada utilizador, correspondendo ao utilizador e a uma assinatura única, que não será utilizada por outros utilizadores. |
|---|---|
| Conclusão | A aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
(b) Antes de uma organização estabelecer, atribuir, certificar ou aprovar a assinatura eletrónica de uma pessoa ou qualquer outro elemento de tal assinatura eletrónica, a organização deve verificar a identidade da pessoa.
| Resposta | O utilizador é responsável por fornecer o sistema de gestão. |
|---|---|
| Conclusão | Em combinação com as atividades de gestão de qualidade da empresa regulamentada, a aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
© Antes ou durante a utilização de assinaturas eletrónicas, os signatários devem provar às agências relevantes que as assinaturas eletrónicas nos seus sistemas a partir de 20 de agosto de 1997 e posteriormente têm o mesmo efeito legal que as assinaturas manuscritas tradicionais.
(1) A prova deve ser submetida por escrito ao escritório regional de trabalho (HFC-100) em 5600 Fishers Lane, Rockville, MD 20857.
(2) A pedido das agências relevantes, as pessoas devem fornecer um certificado ou prova adicional que declare explicitamente que a assinatura eletrónica tem o mesmo efeito legal que a assinatura manuscrita do signatário ao utilizar assinaturas eletrónicas.
| Resposta | A empresa regulamentada estabelece e implementa um sistema de gestão relevante. |
|---|---|
| Conclusão | Em combinação com as atividades de gestão de qualidade da empresa regulamentada, a aplicação do eSignGlobal pode satisfazer os requisitos desta cláusula. |
Parte 11 11.200 - Componentes e controlos da assinatura eletrónica Electronic signature components and controls.
(a) As assinaturas eletrónicas que não se baseiam em biometria devem:
(1) Utilizar pelo menos dois componentes de prova distintos, como um código de identificação e uma palavra-passe.
(i) Quando um indivíduo acede continuamente a um único sistema controlado e efetua uma série de assinaturas, a primeira assinatura deve conter todos os componentes da assinatura eletrónica; as assinaturas subsequentes devem conter pelo menos um dos componentes da assinatura eletrónica que é concebido para ser utilizado apenas pelo indivíduo.
(ii) Quando uma pessoa assina uma ou mais assinaturas fora de um período de início de sessão num sistema controlado contínuo independente, cada assinatura assinada deve utilizar todos os componentes da assinatura eletrónica.
(2) Ser utilizadas apenas pelos seus verdadeiros proprietários;
(3) Adotar a gestão e assinatura para garantir que a colaboração de dois ou mais indivíduos é necessária quando outros que não o verdadeiro proprietário tentam utilizar a assinatura eletrónica.
(b) As assinaturas eletrónicas baseadas em biometria devem ser concebidas para garantir que não podem ser utilizadas por outros que não o verdadeiro proprietário.
| Resposta | O eSignGlobal suporta assinaturas eletrónicas não biométricas e assinaturas eletrónicas biométricas. Para assinaturas eletrónicas não biométricas, a composição da assinatura eletrónica inclui pelo menos dois componentes de prova, como nome de utilizador e palavra-passe, número de telemóvel e código de verificação. Todos os componentes da assinatura eletrónica são necessários sempre que uma assinatura é executada. A empresa regulamentada estabelece um sistema de gestão relevante para garantir que as assinaturas eletrónicas só podem ser utilizadas pelo verdadeiro proprietário. A empresa regulamentada estabelece um sistema de gestão relevante para garantir que, se for necessário utilizar um utilizador que não seja o próprio para iniciar sessão no sistema, a operação só pode ser realizada com a presença de duas ou mais pessoas. As assinaturas eletrónicas biométricas utilizam a deteção dinâmica de vivacidade e a autenticação multimodal para ajudar a garantir que apenas o próprio pode utilizá-las.  |
|---|---|
| Conclusão | Combinando as atividades de gestão de qualidade da empresa regulamentada, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
Parte 11 11.300 - Controlos para códigos/palavras-passe de identificação Controls for identification codes/passwords.
As assinaturas eletrónicas que utilizam códigos de identificação e palavras-passe em simultâneo devem ser geridas para garantir a sua segurança e integridade, e esta gestão deve incluir:
(a) Manter a singularidade de cada conjunto de códigos de identificação e palavras-passe, ou seja, não existem duas pessoas com o mesmo código de identificação e palavra-passe.
(b) Garantir que a emissão de códigos de identificação e palavras-passe é verificada, recolhida ou revista periodicamente (por exemplo, para resolver o envelhecimento das palavras-passe).
© Adotar a falha eletrónica para marcas, cartões e outros dispositivos que contenham ou gerem informações de códigos de identificação ou palavras-passe de acordo com o processo de gestão de perdas, e adotar substituições temporárias ou permanentes adequadas e rigorosas.
(d) Lidar com a utilização de dispositivos de segurança para evitar a utilização não autorizada de palavras-passe ou códigos de identificação, tomar medidas imediatas e urgentes para detetar e comunicar qualquer tentativa de utilização não autorizada de dispositivos de segurança do sistema e, se adequado, gestão organizacional.
(e) Testes iniciais e periódicos de equipamentos, tais como tokens ou cartões que contenham ou gerem informações de códigos de identificação ou palavras-passe, para garantir que funcionam corretamente e não foram sujeitos a modificações não autorizadas.
| Resposta | A funcionalidade eSignGlobal suporta o seguinte: § Designar um ID único para cada utilizador, com singularidade. § Suporta a autenticação múltipla do utilizador. Quando a palavra-passe é esquecida ou perdida, o utilizador pode atualizar a palavra-passe de forma independente. (A empresa regulamentada precisa de estabelecer procedimentos para gerir as situações acima mencionadas.) § Pode identificar situações de falha de início de sessão contínuas e acionar políticas de segurança para bloquear utilizadores, e o sistema pode registar estas atividades anormais. A gestão de utilizadores e a assinatura da eSignGlobal não dependem destes dispositivos. |
|---|---|
| Conclusão | Combinando as atividades de gestão de qualidade da empresa regulamentada, a aplicação da eSignGlobal pode satisfazer os requisitos desta cláusula. |
Conclusão
A Parte 11 do Título 21 do Código de Regulamentos Federais dos EUA é um regulamento complexo que requer a cooperação entre fornecedores e partes regulamentadas para implementar bons controlos técnicos, de gestão e de procedimentos.
Como fornecedor, a empresa de desenvolvimento da eSignGlobal implementou controlos técnicos suficientes e gestão adequada no produto eSignGlobal para o tornar compatível. A empresa regulamentada precisa de tomar uma pequena quantidade de controlos de gestão e de procedimentos para garantir a conformidade.