Центр безопасности21 CFR Part 11
eSignGlobal 21 CFR Part 11 Отчет о соответствии требованиям
Анализ соответствия
Ниже приведен перевод правил 21CFR Part11
Подраздел B — Электронные записи Electronic Records
Part11 11.10 - Контроль для закрытых систем Controls for closed systems.
Лица, использующие закрытую систему для создания, изменения, ведения или передачи электронных записей, должны использовать процедуры и методы управления, которые гарантируют подлинность, целостность и, при необходимости, конфиденциальность записей, чтобы гарантировать, что подписавший не может легко отрицать подлинность подписанной записи. Процедуры и управление должны включать:
(a) Проверка системы для обеспечения точности, надежности и возможности идентификации недействительных изменений записей.
| Ответ | eSignGlobal, как SAAS-продукт, разработка, тестирование и выпуск программного обеспечения находятся в ведении поставщика, и регулируемой компании требуется поддержка поставщика для завершения проверочных мероприятий. eSignGlobal создала совершенную систему управления качеством и получила сертификат CMMI. Благодаря стандартизированным процессам осуществляется управление жизненным циклом программных продуктов, включая проектирование, разработку, тестирование и контроль выпуска, а также сохраняются полные записи, которые могут предоставить достаточную документацию для поддержки проверочных мероприятий клиентов.  |
|---|---|
| Заключение | В сочетании с управлением качеством регулируемой компании и деятельностью по управлению качеством eSignGlobal, применение eSignGlobal может соответствовать требованиям этого пункта. |
(b) Возможность создания точных, полных и легко читаемых копий электронных записей для облегчения проверки, аудита и копирования компетентными органами. Если есть какие-либо вопросы, касающиеся проверки и копирования электронных записей компетентными органами, следует связаться с компетентными органами.
| Ответ | Электронные записи, создаваемые eSignGlobal, включают в себя две основные категории: § Записи о деловой активности, которые в основном включают в себя различные записи о деятельности GMP, загруженные в систему и подписанные надежными электронными подписями, включая применимые электронные контракты. § Записи о вспомогательной деятельности, такие как управление пользователями и вход в систему, просмотр и обмен контрактами и т. д. Система может создавать точные, полные и легко читаемые копии электронных записей для просмотра в электронном виде или распечатки в виде бумажных копий документов. Регулируемая компания использует эти записи для аудита регулирующими органами в соответствии с потребностями.  |
|---|---|
| Заключение | Применение eSignGlobal может соответствовать требованиям этого пункта. |
© Защита записей, чтобы записи были точными и легко извлекаемыми в течение всего срока хранения.
| Ответ | Как SAAS-продукт, управление записями и безопасность eSignGlobal находятся в ведении поставщика. Соответствующие инструкции по безопасности записей включают в себя: § Поставщик облачных вычислений является известным поставщиком облачных услуг. eSignGlobal подписала соглашение о качестве с поставщиком, которое ограничивает физическую безопасность, доступность услуг, аварийное восстановление и т. д. § Услуги по исследованиям и разработкам, тестированию, эксплуатации и эксплуатации соответствуют системе управления «Система управления защитой личной информации-ISO/IEC27018:2019» и получили соответствующие регистрационные сертификаты § Услуги по исследованиям и разработкам, тестированию, эксплуатации и эксплуатации соответствуют системе управления «Система управления информационной безопасностью-ISO/IEC27001:2022» и получили соответствующие регистрационные сертификаты § Разработка, тестирование, эксплуатация и операционные услуги соответствуют системе управления «Система управления информацией о конфиденциальности-ISO/IEC27701:2019» и получили соответствующие регистрационные сертификаты § Система имеет полные функции управления разрешениями, и неавторизованные пользователи не могут получить доступ к соответствующим записям. § Система имеет функцию отслеживания аудита, и для новых, измененных и удаленных операций с данными в системе будут подробные записи, обеспечивающие отслеживаемость записей. § Tian Gu Information сотрудничает с регулируемой компанией для завершения мероприятий по соблюдению требований, таких как аудит, проверка системы и т. д., и предоставляет соответствующие документы и материалы.  eSignGlobal предоставляет мощную функцию поиска записей, которую можно использовать для поиска информации по персоналу, времени, типу операции, номеру записи и другим информации.  |
|---|---|
| Заключение | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(d) Ограничить вход в систему путем авторизации отдельных пользователей.
| Ответ | eSignGlobal имеет полные функции контроля доступа для управления входом отдельных пользователей в систему. Система авторизована, и отдельные пользователи могут войти в систему с помощью пароля и других методов. |
|---|---|
| Заключение | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(e) Использовать безопасный, сгенерированный компьютером аудит с временными метками для независимой записи даты и времени входа оператора в систему и создания, изменения или удаления электронных записей. Изменения в записях не должны приводить к перезаписи предыдущей информации в записях. Такие документы аудита будут храниться как минимум в течение того же периода времени, что и целевые электронные записи, и будут легко доступны для проверки и копирования компетентными органами.
| Ответ | eSignGlobal имеет полные функции отслеживания аудита, которые могут записывать дату, время, описание операции, новое значение, старое значение, оператора и другую информацию. Отслеживание аудита можно фильтровать и просматривать по времени, бизнес-модулю и типу операции, а новые записи не будут перезаписывать более ранние записи и будут архивироваться вместе с записями бизнес-активности. Авторизованные пользователи могут просматривать информацию об отслеживании аудита, а записи отслеживания аудита можно распечатать.  |
|---|---|
| Заключение | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(f) При необходимости используйте проверки операционной системы для обеспечения соблюдения разрешенной последовательности шагов и событий.
| Ответ | eSignGlobal может установить процесс подписи записи. Пользователи могут установить процесс подписи в соответствии со своими потребностями, чтобы гарантировать, что подпись файла выполняется в правильном порядке. При выполнении подписи система проверит, соответствует ли процесс подписи настроенному процессу. Если это не так, система не поддерживает операции подписи соответствующих лиц. |
|---|---|
| Заключение | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(g) Используйте проверки разрешений, чтобы гарантировать, что только авторизованные пользователи могут использовать систему для электронной подписи записей, использовать устройства ввода-вывода операционной системы или компьютерной системы, изменять записи или выполнять операции вручную.
| Ответ | eSignGlobal имеет полные функции управления разрешениями. Каждый пользователь в системе является уникальным, и только авторизованные пользователи могут выполнять соответствующие операции. При использовании электронной подписи пользователю необходимо пройти соответствующую проверку, например, ввести правильное имя пользователя и пароль, код подтверждения мобильного телефона и биометрические данные для выполнения операции.  |
|---|---|
| Вывод | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(h) При необходимости используйте устройство (например, терминал) для проверки, чтобы определить источник ввода данных или действительность инструкций по эксплуатации.
| Ответ | eSignGlobal можно использовать как отдельное программное обеспечение, а также интегрировать платформу разработки электронной подписи и подключаться к внешним системам через интерфейс API. Система отслеживает отправку и получение данных интерфейса, и только проверенные данные могут успешно взаимодействовать. Для данных, которые не прошли проверку, система будет записывать и объяснять причину ошибки.  |
|---|---|
| Вывод | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(i) Убедитесь, что персонал, разрабатывающий, обслуживающий или использующий электронные записи/системы электронных подписей, обладает соответствующим образованием, подготовкой и опытом для выполнения возложенных на них задач.
| Ответ | Компания-разработчик eSignGlobal создала совершенную систему обучения. Разработчики, тестировщики и операторы продуктов eSignGlobal могут приступить к работе только после систематического обучения и подтверждения наличия знаний и опыта, соответствующих должности. В процессе поставки продукта компания-разработчик eSignGlobal предоставляет клиентам профессиональное обучение, чтобы гарантировать, что соответствующий персонал клиента обладает необходимыми знаниями. Регулируемые компании должны проводить управление обучением, чтобы обеспечить наличие у соответствующего персонала надлежащей квалификации.  |
|---|---|
| Вывод | В сочетании с управлением обучением регулируемой компании и деятельностью по управлению обучением компании-разработчика eSignGlobal, приложение eSignGlobal может соответствовать требованиям этого пункта. |
(j) Чтобы предотвратить подделку записей и подписей, необходимо разработать письменную политику, обязывающую отдельных лиц нести ответственность за действия, связанные с электронной подписью.
| Ответ | Этот пункт описывает требования к процедурам регулируемой компании и не касается разработки функций программного обеспечения или деятельности поставщика. |
|---|---|
| Вывод | В сочетании с деятельностью по управлению качеством регулируемой компании, приложение eSignGlobal может соответствовать требованиям этого пункта. |
(k) Установление надлежащего контроля над системными файлами включает в себя:
(1) Обеспечение достаточного контроля над распределением, доступом и использованием документации по эксплуатации и обслуживанию системы.
(2) Установление процедур контроля за пересмотром и изменением для проведения аудиторской проверки хронологии написания и пересмотра системных файлов.
| Ответ | eSignGlobal, как программное обеспечение SAAS, отвечает за обслуживание системы поставщиком. Компания-разработчик eSignGlobal установила надлежащие процедуры контроля для контроля над применимой документацией. Пересмотр и изменение файлов соответствуют правилам управления файлами компании. Регулируемая компания должна поддерживать надлежащую систему управления документами для обеспечения надлежащего контроля над документами. |
|---|---|
| Вывод | В сочетании с деятельностью по управлению документами регулируемой компании и компании-разработчика eSignGlobal, приложение eSignGlobal может соответствовать требованиям этого пункта. |
Part 11 11.30 - Контроль открытых систем Controls for open systems.
Лица, использующие открытые системы для создания, изменения, ведения или передачи электронных записей, должны использовать процедуры и методы управления, которые могут гарантировать подлинность, целостность и, при необходимости, конфиденциальность записей от точки создания до точки получения, включая, при необходимости, содержание, указанное в 11.10, а также дополнительные меры, такие как шифрование документов и использование соответствующих стандартов электронной подписи для обеспечения необходимой подлинности, целостности и конфиденциальности записей.
| Ответ | Как программное обеспечение SAAS, eSignGlobal предоставляет клиентам бизнес-ценность, предоставляя стандартизированные услуги. Компания-разработчик eSignGlobal сотрудничает с клиентами для контроля открытых систем, чтобы обеспечить подлинность, целостность и конфиденциальность записей, включая следующее: § eSignGlobal использует передовые алгоритмы шифрования для шифрования электронных файлов на протяжении всего процесса от создания до хранения и передачи. При передаче используется протокол шифрования SSL/TLS, чтобы гарантировать, что данные трудно украсть или подделать при передаче по сети. На этапе хранения исходный текст файла шифруется, чтобы гарантировать, что данные не будут получены незаконно. § eSignGlobal использует технологию цифровой подписи и поддерживает проверку электронной подписи связанных записей для защиты связанных записей. § Компания-разработчик eSignGlobal поддерживает подписание соглашений о качестве с клиентами, в которых четко определены услуги и обязанности, предоставляемые поставщиком. В сочетании с системой управления качеством регулируемой компании это обеспечивает подлинность и целостность записей от точки создания до точки получения.   |
|---|---|
| Вывод | В сочетании с деятельностью по управлению качеством регулируемой компании, приложение eSignGlobal может соответствовать требованиям этого пункта. |
Part 11 11.50 - Формы электронной подписи Signature manifestations
(a) Подписание электронных записей должно содержать четкое отображение всей информации, относящейся к подписи, а именно:
(1) Имя подписавшего, написанное печатными буквами
(2) Дата и время вступления подписи в силу
(3) Значение, связанное с подписью (например, обзор, утверждение, ответственность или авторство)
(b) Содержание, указанное в разделах (a)(1), (a)(2) и (a)(3) настоящего раздела, должно управляться так же, как и электронные записи, и должно быть частью удобочитаемой электронной записи (электронный дисплей или распечатка).
| Ответ | При использовании eSignGlobal для выполнения электронной подписи система поддерживает следующее: 1. Пользователи могут настраивать персонализированные имена печатными буквами на основе фактических настроек, а удобочитаемый формат также сохраняется в системе для обеспечения удобочитаемости информации о подписавшем. 2. Сохраняйте информацию о дате и времени выполнения подписи. 3. Значение, связанное с подписью. 4. Все записи, связанные с электронной подписью, должны быть читаемы в системе, а также могут быть экспортированы или распечатаны для проверки или повторной проверки.   |
|---|---|
| Заключение | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
Part 11 11.70 - Связывание подписи/записи Signature/record linking
Электронные подписи и рукописные подписи, поставленные на электронных записях, должны быть связаны с соответствующими электронными записями, чтобы гарантировать, что электронные подписи не могут быть удалены, скопированы или иным образом переданы для фальсификации электронных записей.
| Ответ | Электронная подпись eSignGlobal является частью связанной записи и не может быть удалена, скопирована или иным образом передана для фальсификации электронных записей. eSignGlobal использует технологию цифровой подписи для поддержки проверки электронной подписи соответствующих записей и может идентифицировать недействительные подписи и записи.  |
|---|---|
| Вывод | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
Подраздел C--Электронные подписи Electronic Signatures
Часть 11 11.100 - Общие требования General Requirements
(a) Каждая электронная подпись должна соответствовать уникальному лицу и не может быть повторно использована или перераспределена кому-либо другому.
| Ответ | Система назначает каждому пользователю уникальный ID, соответствующий пользователю и уникальной подписи, который не будет использоваться другими пользователями. |
|---|---|
| Вывод | Приложение eSignGlobal может соответствовать требованиям этого пункта. |
(b) До того, как организация установит, назначит, подтвердит или одобрит электронную подпись лица или любой другой элемент такой электронной подписи, организация должна проверить личность этого лица.
| Ответ | Пользователь несет ответственность за предоставление системы управления. |
|---|---|
| Вывод | В сочетании с деятельностью по управлению качеством регулируемой компании, приложение eSignGlobal может соответствовать требованиям этого пункта. |
© Подписавший должен предоставить соответствующим органам подтверждение до или во время использования электронной подписи, что электронная подпись в их системе с 20 августа 1997 года и позже имеет такую же юридическую силу, как и традиционная рукописная подпись.
(1) Подтверждение должно быть представлено в письменной форме в региональный рабочий офис (HFC-100) по адресу 5600 Fishers Lane, Rockville, MD 20857.
(2) По требованию соответствующих органов люди должны предоставить дополнительное подтверждение или доказательство, четко указывающее, что электронная подпись имеет такую же юридическую силу, как и рукописная подпись подписавшего, при использовании электронной подписи.
| Ответ | Регулируемая компания устанавливает соответствующую систему управления и внедряет ее. |
|---|---|
| Вывод | В сочетании с деятельностью по управлению качеством регулируемой компании, приложение eSignGlobal может соответствовать требованиям этого пункта. |
Часть 11 11.200 - Компоненты и элементы управления электронной подписи Electronic signature components and controls.
(a) Электронные подписи, не основанные на биометрии, должны:
(1) Использовать не менее двух совершенно разных компонентов подтверждения, таких как идентификатор и пароль.
(i) Когда человек имеет непрерывный доступ к одной управляемой системе и выполняет серию подписей, первая подпись должна содержать все компоненты электронной подписи; последующие подписи должны содержать как минимум один из компонентов электронной подписи, предназначенный только для использования этим человеком.
(ii) Когда человек подписывает одну или несколько подписей не во время отдельного непрерывного контролируемого входа в систему, каждая подписанная подпись должна использовать все компоненты электронной подписи.
(2) Используются только их настоящими владельцами;
(3) Принимать управление и подписывать, чтобы гарантировать, что для попытки использования электронной подписи кем-либо, кроме настоящего владельца, требуется сотрудничество двух или более лиц.
(b) Электронные подписи, основанные на биометрии, должны быть разработаны таким образом, чтобы гарантировать, что они не могут быть использованы кем-либо, кроме настоящего владельца.
| Ответ | eSignGlobal поддерживает как небиометрические, так и биометрические электронные подписи. Для небиометрических электронных подписей состав электронной подписи включает как минимум два компонента подтверждения, такие как имя пользователя и пароль, номер мобильного телефона и код подтверждения. Все компоненты электронной подписи требуются при каждом выполнении подписи. Регулируемая компания устанавливает соответствующую систему управления, чтобы гарантировать, что электронная подпись может использоваться только настоящим владельцем. Регулируемая компания устанавливает соответствующую систему управления, чтобы гарантировать, что для работы необходимо присутствие двух или более человек, если необходимо использовать систему, войдя в систему под учетной записью пользователя, не являющегося пользователем. Биометрические электронные подписи помогают обеспечить использование только самим человеком посредством динамического обнаружения живости и многомодальной аутентификации.  |
|---|---|
| Заключение | В сочетании с деятельностью по управлению качеством регулируемой компании, применение eSignGlobal может соответствовать требованиям данного пункта. |
Part 11 11.300 - Контроль идентификационных кодов/паролей Controls for identification codes/passwords.
Электронные подписи, использующие как идентификационный код, так и пароль, должны управляться для обеспечения их безопасности и целостности, и такое управление должно включать:
(a) Поддержание уникальности каждого набора идентификационных кодов и паролей, то есть отсутствие двух человек с одинаковыми идентификационными кодами и паролями.
(b) Обеспечение того, чтобы выпуск идентификационных кодов и паролей регулярно проверялся, отзывался или пересматривался (например, для решения проблемы устаревания паролей).
© Принятие электронного отказа в соответствии с процессом управления потерями для утерянных, украденных, пропущенных или имеющих другие возможные повреждения знаков, карт и других устройств, содержащих или генерирующих информацию об идентификационном коде или пароле, и принятие надлежащего и строгого управления выдачей временных или постоянных заменителей.
(d) Обработка использования устройств безопасности для предотвращения несанкционированного использования паролей или идентификационных кодов, принятие немедленных и срочных мер для обнаружения и сообщения о любых попытках несанкционированного использования системы устройствами безопасности и, при необходимости, организационное управление.
(e) Первоначальное и периодическое тестирование оборудования, такого как токены или карты, содержащие или генерирующие информацию об идентификационном коде или пароле, для обеспечения его нормальной работы и отсутствия несанкционированных изменений.
| Ответ | Функциональность eSignGlobal поддерживает следующее: § Назначение уникального ID для каждого пользователя, обеспечивающего уникальность. § Поддержка многофакторной аутентификации пользователей, при забывании или утере пароля пользователь может самостоятельно обновить пароль. (Регулируемая компания должна разработать процедуры для управления такими ситуациями.) § Может идентифицировать несколько последовательных неудачных попыток входа в систему и запускать политику безопасности для блокировки пользователя, система может записывать эти необычные действия. eSignGlobal управление пользователями и подписями не зависит от таких устройств. |
|---|---|
| Заключение | В сочетании с деятельностью по управлению качеством регулируемой компании, применение eSignGlobal может соответствовать требованиям данного пункта. |
Заключение
Раздел 21 Свода федеральных правил США, часть 11, является сложным нормативным актом, требующим сотрудничества поставщиков и регулируемых сторон для внедрения надлежащих технических, управленческих и процедурных средств контроля.
Как поставщик, компания-разработчик eSignGlobal внедрила достаточные технические средства контроля и надлежащее управление для продукта eSignGlobal, чтобы обеспечить его соответствие требованиям. Регулируемой компании необходимо принять небольшое количество управленческих и процедурных мер контроля, чтобы обеспечить соответствие требованиям.