ศูนย์ความปลอดภัย21 CFR Part 11
eSignGlobal 21 CFR Part 11 การปฏิบัติตามข้อกำหนด รายงาน
การวิเคราะห์การปฏิบัติตามข้อกำหนด
ต่อไปนี้คือคำแปลของข้อบังคับ 21CFR Part11
Subpart B—บันทึกอิเล็กทรอนิกส์ Electronic Records
Part11 11.10-การควบคุมสำหรับระบบปิด Controls for closed systems.
ผู้ที่ใช้ระบบปิดเพื่อสร้าง แก้ไข บำรุงรักษา หรือส่งบันทึกอิเล็กทรอนิกส์จะต้องนำขั้นตอนและการจัดการมาใช้ที่สามารถรับประกันความถูกต้อง ความสมบูรณ์ และหากจำเป็น ความลับของบันทึก เพื่อให้แน่ใจว่าผู้ลงนามไม่สามารถปฏิเสธบันทึกที่ไม่ถูกต้องที่ลงนามได้อย่างง่ายดาย เนื้อหาของขั้นตอนและการจัดการควรรวมถึง:
(a) การตรวจสอบระบบเพื่อให้แน่ใจถึงความถูกต้อง ความน่าเชื่อถือของประสิทธิภาพที่ตั้งใจไว้ และความสามารถในการระบุบันทึกการเปลี่ยนแปลงที่ไม่ถูกต้อง
| การตอบสนอง | eSignGlobal ในฐานะผลิตภัณฑ์ SAAS ผู้จำหน่ายมีหน้าที่รับผิดชอบในการพัฒนา การทดสอบ และการเผยแพร่ซอฟต์แวร์ บริษัทที่อยู่ภายใต้การกำกับดูแลต้องการการสนับสนุนจากผู้จำหน่ายเพื่อทำกิจกรรมการตรวจสอบให้เสร็จสมบูรณ์ eSignGlobal ได้สร้างระบบการจัดการคุณภาพที่สมบูรณ์และได้รับใบรับรอง CMMI ผ่านกระบวนการที่เป็นมาตรฐาน ดำเนินการจัดการวงจรชีวิตสำหรับผลิตภัณฑ์ซอฟต์แวร์ รวมถึงการออกแบบ การพัฒนา การทดสอบ และการควบคุมการเผยแพร่ และเก็บรักษาบันทึกที่สมบูรณ์ สามารถจัดเตรียมเอกสารที่เป็นลายลักษณ์อักษรที่เพียงพอเพื่อสนับสนุนกิจกรรมการตรวจสอบของลูกค้า  |
|---|---|
| สรุป | เมื่อรวมกับการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแลและกิจกรรมการจัดการคุณภาพของ eSignGlobal การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(b) ความสามารถในการสร้างสำเนาบันทึกอิเล็กทรอนิกส์ที่ถูกต้อง ครบถ้วน และอ่านง่าย เพื่ออำนวยความสะดวกในการตรวจสอบ การตรวจสอบ และการทำสำเนาโดยหน่วยงานที่มีอำนาจ หากมีปัญหาใดๆ เกี่ยวกับการตรวจสอบและการทำสำเนาบันทึกอิเล็กทรอนิกส์โดยหน่วยงานที่มีอำนาจ ควรติดต่อหน่วยงานที่มีอำนาจ
| การตอบสนอง | บันทึกอิเล็กทรอนิกส์ที่สร้างโดย eSignGlobal ประกอบด้วยสองประเภทหลัก: § บันทึกกิจกรรมทางธุรกิจ ซึ่งส่วนใหญ่รวมถึงบันทึกกิจกรรม GMP ต่างๆ ที่อัปโหลดไปยังระบบและลงนามด้วยลายเซ็นอิเล็กทรอนิกส์ที่เชื่อถือได้ รวมถึงสัญญาอิเล็กทรอนิกส์ที่เกี่ยวข้อง § บันทึกกิจกรรมสนับสนุน เช่น การจัดการผู้ใช้และการเข้าสู่ระบบ การดูและการแบ่งปันสัญญา เป็นต้น ระบบสามารถสร้างสำเนาบันทึกอิเล็กทรอนิกส์ที่ถูกต้อง ครบถ้วน และอ่านง่าย เพื่อดูในรูปแบบอิเล็กทรอนิกส์หรือพิมพ์เป็นเอกสารสำเนากระดาษ บริษัทที่อยู่ภายใต้การกำกับดูแลใช้บันทึกเหล่านี้สำหรับการตรวจสอบโดยหน่วยงานกำกับดูแลตามความต้องการ  |
|---|---|
| สรุป | การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
© การปกป้องบันทึกเพื่อให้บันทึกมีความถูกต้องและเรียกค้นได้ตลอดระยะเวลาการเก็บรักษาทั้งหมด
| การตอบสนอง | ในฐานะผลิตภัณฑ์ SAAS ผู้จำหน่ายมีหน้าที่รับผิดชอบในการจัดการบันทึกและความปลอดภัยของ eSignGlobal คำอธิบายความปลอดภัยของบันทึกที่เกี่ยวข้องประกอบด้วย: § ผู้ให้บริการคลาวด์คอมพิวติ้งเป็นผู้ให้บริการคลาวด์ที่มีชื่อเสียง eSignGlobal ได้ลงนามในข้อตกลงด้านคุณภาพกับผู้ให้บริการ โดยจำกัดความปลอดภัยทางกายภาพ ความพร้อมใช้งานของบริการ การกู้คืนจากภัยพิบัติ เป็นต้น § บริการวิจัยและพัฒนา การทดสอบ การดำเนินงาน และการดำเนินงานเป็นไปตามระบบการจัดการ “ระบบการจัดการการปกป้องข้อมูลส่วนบุคคล-ISO/ IEC27018:2019” และได้รับใบรับรองการลงทะเบียนที่เกี่ยวข้อง § บริการวิจัยและพัฒนา การทดสอบ การดำเนินงาน และการดำเนินงานเป็นไปตามระบบการจัดการ “ระบบการจัดการความปลอดภัยของข้อมูล-ISO/ IEC27001:2022” และได้รับใบรับรองการลงทะเบียนที่เกี่ยวข้อง § การวิจัยและพัฒนา การทดสอบ การดำเนินงาน และบริการปฏิบัติการเป็นไปตามระบบการจัดการ “ระบบการจัดการข้อมูลส่วนบุคคล -ISO/ IEC27701:2019” และได้รับใบรับรองการลงทะเบียนที่เกี่ยวข้อง § ระบบมีฟังก์ชันการจัดการสิทธิ์ที่สมบูรณ์ ผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงบันทึกที่เกี่ยวข้องได้ § ระบบมีฟังก์ชันการติดตามการตรวจสอบ การดำเนินการต่างๆ เช่น การสร้าง แก้ไข และลบข้อมูลในระบบจะมีบันทึกโดยละเอียด เพื่อให้มั่นใจถึงความสามารถในการตรวจสอบย้อนกลับของบันทึก § Tian Gu Information ร่วมมือกับบริษัทที่อยู่ภายใต้การกำกับดูแลเพื่อให้กิจกรรมเป็นไปตามข้อกำหนด เช่น การตรวจสอบ การตรวจสอบระบบ ฯลฯ และจัดเตรียมเอกสารที่เกี่ยวข้อง  eSignGlobal มีฟังก์ชันการดึงข้อมูลบันทึกที่มีประสิทธิภาพ ซึ่งสามารถใช้เพื่อดึงข้อมูลตามบุคลากร เวลา ประเภทการดำเนินการ หมายเลขบันทึก และอื่นๆ ข้อมูล  |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(d) จำกัดการเข้าสู่ระบบของระบบโดยผู้ใช้ส่วนบุคคลที่ได้รับอนุญาต
| การตอบสนอง | eSignGlobal มีฟังก์ชันการควบคุมการเข้าถึงที่สมบูรณ์ เพื่อควบคุมผู้ใช้ส่วนบุคคลในการเข้าสู่ระบบ ระบบอนุญาตให้ผู้ใช้ส่วนบุคคลเข้าสู่ระบบผ่านรหัสผ่านและวิธีการอื่นๆ  |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(e) ใช้การติดตามการตรวจสอบที่ปลอดภัยซึ่งสร้างขึ้นโดยคอมพิวเตอร์พร้อมการประทับเวลา เพื่อบันทึกวันที่และเวลาของการกระทำของผู้ปฏิบัติงานในการเข้าสู่ระบบและสร้าง แก้ไข หรือลบบันทึกอิเล็กทรอนิกส์โดยอิสระ การเปลี่ยนแปลงบันทึกจะต้องไม่ทำให้ข้อมูลบันทึกก่อนหน้าถูกเขียนทับ เอกสารการติดตามการตรวจสอบดังกล่าวจะถูกเก็บรักษาไว้อย่างน้อยเท่ากับระยะเวลาการเก็บรักษาบันทึกอิเล็กทรอนิกส์เป้าหมาย และอำนวยความสะดวกในการตรวจสอบและทำสำเนาโดยหน่วยงานที่มีอำนาจ
| การตอบสนอง | eSignGlobal มีฟังก์ชันการติดตามการตรวจสอบที่สมบูรณ์ ซึ่งสามารถบันทึกวันที่ เวลา คำอธิบายการดำเนินการ ค่าใหม่ ค่าเก่า ผู้ปฏิบัติงาน และข้อมูลอื่นๆ การติดตามการตรวจสอบสามารถกรองและดูได้ตามเวลา โมดูลธุรกิจ และประเภทการดำเนินการ บันทึกใหม่จะไม่เขียนทับบันทึกก่อนหน้า และจะถูกเก็บถาวรพร้อมกับบันทึกกิจกรรมทางธุรกิจ ผู้ใช้ที่ได้รับอนุญาตสามารถดูข้อมูลการติดตามการตรวจสอบ และสามารถพิมพ์บันทึกการติดตามการตรวจสอบได้  |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(f) หากจำเป็น ให้ใช้การตรวจสอบระบบปฏิบัติการเพื่อบังคับใช้ขั้นตอนและลำดับเหตุการณ์ที่อนุญาต
| การตอบสนอง | eSignGlobal สามารถตั้งค่ากระบวนการลงนามบันทึก ผู้ใช้สามารถตั้งค่ากระบวนการลงนามตามความต้องการ เพื่อให้มั่นใจว่าการลงนามในเอกสารจะดำเนินการตามลำดับที่ถูกต้อง เมื่อทำการลงนาม ระบบจะตรวจสอบว่ากระบวนการลงนามสอดคล้องกับกระบวนการที่กำหนดค่าไว้หรือไม่ หากไม่สอดคล้องกัน ระบบจะไม่รองรับการดำเนินการลงนามของบุคลากรที่เกี่ยวข้อง |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(g) ใช้การตรวจสอบสิทธิ์เพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถใช้ระบบ ลงนามบันทึกทางอิเล็กทรอนิกส์ ใช้อุปกรณ์อินพุตและเอาต์พุตของระบบปฏิบัติการหรือระบบคอมพิวเตอร์ แก้ไขบันทึก หรือดำเนินการด้วยตนเอง
| การตอบสนอง | eSignGlobal มีฟังก์ชันการจัดการสิทธิ์ที่สมบูรณ์ ผู้ใช้แต่ละคนในระบบมีเอกลักษณ์เฉพาะตัว เฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถดำเนินการที่เกี่ยวข้องได้ ผู้ใช้จำเป็นต้องทำการตรวจสอบที่เหมาะสมเมื่อใช้ลายเซ็นอิเล็กทรอนิกส์ เช่น ป้อนชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง รหัสยืนยันหมายเลขโทรศัพท์มือถือ และการตรวจสอบไบโอเมตริกซ์เพื่อดำเนินการ  |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(h) ใช้เครื่องมือ (เช่น เทอร์มินัล) หากจำเป็น เพื่อตรวจสอบความถูกต้องของแหล่งที่มาของการป้อนข้อมูลหรือคำสั่งการดำเนินการ
| การตอบสนอง | eSignGlobal สามารถใช้เป็นซอฟต์แวร์แบบสแตนด์อโลน และยังรวมเข้ากับแพลตฟอร์มการพัฒนาลายเซ็นอิเล็กทรอนิกส์ โดยเชื่อมต่อกับระบบภายนอกผ่านอินเทอร์เฟซ API ระบบจะตรวจสอบการส่งและรับข้อมูลอินเทอร์เฟซ ข้อมูลที่ผ่านการตรวจสอบเท่านั้นที่จะสามารถโต้ตอบได้สำเร็จ สำหรับข้อมูลที่ไม่ผ่านการตรวจสอบ ระบบจะบันทึกและอธิบายสาเหตุของข้อผิดพลาด  |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(i) ตรวจสอบให้แน่ใจว่าบุคลากรที่พัฒนา บำรุงรักษา หรือใช้ระบบบันทึกอิเล็กทรอนิกส์/ลายเซ็นอิเล็กทรอนิกส์ มีการศึกษา การฝึกอบรม และประสบการณ์ที่เหมาะสมกับการปฏิบัติงานที่ได้รับมอบหมาย
| การตอบสนอง | บริษัทพัฒนาของ eSignGlobal ได้สร้างระบบการฝึกอบรมที่สมบูรณ์ นักพัฒนา ผู้ทดสอบ และเจ้าหน้าที่ปฏิบัติการของผลิตภัณฑ์ eSignGlobal จะสามารถเริ่มงานได้หลังจากได้รับการฝึกอบรมอย่างเป็นระบบ และได้รับการยืนยันว่ามีความรู้และประสบการณ์ที่ตรงกับตำแหน่งงาน ในระหว่างกระบวนการส่งมอบผลิตภัณฑ์ บริษัทพัฒนาของ eSignGlobal จะให้การฝึกอบรมอย่างมืออาชีพแก่ลูกค้า เพื่อให้มั่นใจว่าบุคลากรที่เกี่ยวข้องของลูกค้ามีความรู้ที่จำเป็น บริษัทที่อยู่ภายใต้การกำกับดูแลจำเป็นต้องดำเนินการจัดการฝึกอบรมเพื่อให้แน่ใจว่าบุคลากรที่เกี่ยวข้องมีคุณสมบัติที่เหมาะสม  |
|---|---|
| สรุป | เมื่อรวมกับการจัดการฝึกอบรมของบริษัทที่อยู่ภายใต้การกำกับดูแลและกิจกรรมการจัดการฝึกอบรมของบริษัทพัฒนา eSignGlobal แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(j) เพื่อป้องกันการปลอมแปลงบันทึกและลายเซ็น จำเป็นต้องกำหนดนโยบายที่เป็นลายลักษณ์อักษรเพื่อจำกัดความรับผิดชอบของแต่ละบุคคลต่อพฤติกรรมที่เกี่ยวข้องกับลายเซ็นอิเล็กทรอนิกส์
| การตอบสนอง | ข้อกำหนดนี้อธิบายถึงข้อกำหนดด้านกระบวนการสำหรับบริษัทที่อยู่ภายใต้การกำกับดูแล และไม่เกี่ยวข้องกับการออกแบบฟังก์ชันซอฟต์แวร์หรือกิจกรรมของซัพพลายเออร์ |
|---|---|
| สรุป | เมื่อรวมกับกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(k) การสร้างการควบคุมที่เหมาะสมในด้านไฟล์ระบบประกอบด้วย:
(1) มีการควบคุมที่เพียงพอในการจัดสรร การเข้าถึง และการใช้เอกสารการดำเนินงานและการบำรุงรักษาระบบ
(2) สร้างขั้นตอนการแก้ไขและการควบคุมการเปลี่ยนแปลง เพื่อติดตามการตรวจสอบลำดับเวลาของการเขียนและการแก้ไขไฟล์ระบบ
| การตอบสนอง | eSignGlobal เป็นซอฟต์แวร์ SAAS การบำรุงรักษาระบบเป็นความรับผิดชอบของผู้ให้บริการ บริษัทพัฒนาของ eSignGlobal ได้สร้างขั้นตอนการควบคุมที่เหมาะสมเพื่อควบคุมเอกสารที่เกี่ยวข้อง การแก้ไขและการปรับเปลี่ยนไฟล์เป็นไปตามขั้นตอนการจัดการไฟล์ของบริษัท บริษัทที่อยู่ภายใต้การกำกับดูแลต้องดูแลรักษาระบบการจัดการเอกสารที่เหมาะสมเพื่อให้แน่ใจว่าเอกสารได้รับการควบคุมอย่างเหมาะสม |
|---|---|
| สรุป | เมื่อรวมกิจกรรมการจัดการเอกสารของบริษัทที่อยู่ภายใต้การกำกับดูแลและบริษัทพัฒนา eSignGlobal แอปพลิเคชันของ eSignGlobal สามารถตอบสนองข้อกำหนดของข้อกำหนดนี้ได้ |
Part 11 11.30-การควบคุมสำหรับระบบเปิด Controls for open systems
บุคลากรที่ใช้ระบบเปิดเพื่อสร้าง แก้ไข บำรุงรักษา หรือส่งบันทึกอิเล็กทรอนิกส์จะต้องใช้ขั้นตอนและการจัดการที่สามารถรับประกันความถูกต้อง ความสมบูรณ์ และความลับของบันทึกตั้งแต่จุดสร้างจนถึงจุดรับ หากจำเป็น ควรมีเนื้อหาที่ระบุไว้ใน 11.10 และมาตรการเพิ่มเติม เช่น การเข้ารหัสเอกสารและการใช้มาตรฐานลายเซ็นอิเล็กทรอนิกส์ที่เกี่ยวข้องเพื่อให้แน่ใจถึงความถูกต้อง ความสมบูรณ์ และการรักษาความลับที่จำเป็นของบันทึก
| การตอบสนอง | ในฐานะบริการซอฟต์แวร์ SAAS eSignGlobal มอบมูลค่าทางธุรกิจแก่ลูกค้าโดยการให้บริการที่เป็นมาตรฐาน บริษัทพัฒนาของ eSignGlobal ร่วมมือกับลูกค้าเพื่อให้การควบคุมระบบเปิดเสร็จสมบูรณ์ เพื่อให้มั่นใจในความถูกต้อง ความสมบูรณ์ และการรักษาความลับของบันทึก ซึ่งรวมถึง: § eSignGlobal ใช้อัลกอริทึมการเข้ารหัสขั้นสูงเพื่อเข้ารหัสไฟล์อิเล็กทรอนิกส์ตลอดกระบวนการทั้งหมดตั้งแต่การสร้าง การจัดเก็บ ไปจนถึงการส่ง ในระหว่างการส่ง จะใช้โปรโตคอลการเข้ารหัส SSL/TLS เพื่อให้แน่ใจว่าข้อมูลยากต่อการถูกขโมยหรือแก้ไขในระหว่างการส่งผ่านเครือข่าย ในขั้นตอนการจัดเก็บ ไฟล์ต้นฉบับจะถูกเข้ารหัสเพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกเข้าถึงอย่างผิดกฎหมาย § eSignGlobal ใช้เทคโนโลยีลายเซ็นดิจิทัลและรองรับการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของบันทึกที่เกี่ยวข้อง เพื่อให้การปกป้องบันทึกที่เกี่ยวข้อง § บริษัทพัฒนาของ eSignGlobal สนับสนุนการลงนามในข้อตกลงด้านคุณภาพกับลูกค้า โดยระบุบริการและความรับผิดชอบที่ผู้ให้บริการจัดหาไว้อย่างชัดเจน เมื่อรวมกับระบบการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล จะทำให้มั่นใจได้ถึงความถูกต้องและความสมบูรณ์ของบันทึกตั้งแต่จุดสร้างจนถึงจุดรับ   |
|---|---|
| สรุป | เมื่อรวมกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล แอปพลิเคชันของ eSignGlobal สามารถตอบสนองข้อกำหนดของข้อกำหนดนี้ได้ |
Part 11 11.50-รูปแบบของลายเซ็นอิเล็กทรอนิกส์ Signature manifestations
(a) การลงนามในบันทึกอิเล็กทรอนิกส์ควรมีข้อมูลที่เกี่ยวข้องกับลายเซ็นทั้งหมดที่แสดงไว้อย่างชัดเจนดังต่อไปนี้:
(1) ชื่อของผู้ลงนามที่เขียนด้วยตัวพิมพ์ใหญ่
(2) วันที่และเวลาที่ลายเซ็นมีผลบังคับใช้
(3) ความหมายที่เกี่ยวข้องกับลายเซ็น (เช่น การตรวจสอบ การอนุมัติ ความรับผิดชอบ หรือผู้เขียนต้นฉบับ)
(b) เนื้อหาที่ระบุไว้ในส่วนย่อย (a)(1), (a)(2) และ (a)(3) ของส่วนนี้ ควรใช้วิธีการจัดการแบบเดียวกับบันทึกอิเล็กทรอนิกส์ และควรเป็นส่วนหนึ่งของบันทึกอิเล็กทรอนิกส์ที่อ่านง่าย (การแสดงผลทางอิเล็กทรอนิกส์หรือเอาต์พุตที่พิมพ์ออกมา)
| การตอบสนอง | เมื่อใช้ eSignGlobal เพื่อดำเนินการลายเซ็นอิเล็กทรอนิกส์ ระบบรองรับสิ่งต่อไปนี้: 1. ผู้ใช้สามารถตั้งค่าชื่อตัวพิมพ์ใหญ่ส่วนบุคคลตามการตั้งค่าจริง รูปแบบที่อ่านได้จะถูกบันทึกไว้ในระบบเพื่อให้แน่ใจว่าข้อมูลผู้ลงนามสามารถอ่านได้ 2. เก็บข้อมูลวันที่และเวลาเมื่อดำเนินการลายเซ็น 3. ความหมายที่เกี่ยวข้องกับลายเซ็น 4. บันทึกทั้งหมดที่เชื่อมโยงกับลายเซ็นอิเล็กทรอนิกส์สามารถอ่านได้ในระบบ และสามารถส่งออกหรือพิมพ์สำเนาเพื่อใช้ในการตรวจสอบหรือทบทวน   |
|---|---|
| สรุป | แอปพลิเคชันของ eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
Part 11 11.70 - การเชื่อมโยงลายเซ็น/บันทึก Signature/record linking
ลายเซ็นอิเล็กทรอนิกส์และลายเซ็นที่เขียนด้วยลายมือบนบันทึกอิเล็กทรอนิกส์ควรเชื่อมโยงกับบันทึกอิเล็กทรอนิกส์ของตนเพื่อให้แน่ใจว่าลายเซ็นอิเล็กทรอนิกส์ไม่สามารถลบ คัดลอก หรือถ่ายโอนด้วยวิธีอื่นเพื่อปลอมแปลงบันทึกอิเล็กทรอนิกส์
| การตอบสนอง | ลายเซ็นอิเล็กทรอนิกส์ของ eSignGlobal เป็นส่วนหนึ่งของบันทึกที่เกี่ยวข้อง ไม่สามารถลบ คัดลอก หรือถ่ายโอนด้วยวิธีอื่นเพื่อปลอมแปลงบันทึกอิเล็กทรอนิกส์ได้ eSignGlobal ใช้เทคโนโลยีดิจิทัลซิกเนเจอร์ รองรับการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของบันทึกที่เกี่ยวข้อง และสามารถระบุลายเซ็นและบันทึกที่ไม่ถูกต้องได้  |
|---|---|
| สรุป | การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
Subpart C--ลายเซ็นอิเล็กทรอนิกส์ Electronic Signatures
Part 11 11.100-ข้อกำหนดทั่วไป General Requirements
(a) ลายเซ็นอิเล็กทรอนิกส์แต่ละรายการจะต้องสอดคล้องกับบุคคลที่ไม่ซ้ำกัน และไม่สามารถนำกลับมาใช้ใหม่ หรือมอบหมายให้กับบุคคลอื่นได้
| การตอบสนอง | ระบบกำหนด ID ที่ไม่ซ้ำกันสำหรับผู้ใช้แต่ละราย ซึ่งสอดคล้องกับผู้ใช้และลายเซ็นที่ไม่ซ้ำกัน และจะไม่ถูกใช้โดยผู้ใช้อื่น |
|---|---|
| สรุป | การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
(b) ก่อนที่องค์กรจะสร้าง กำหนด มอบหมาย รับรอง หรืออนุมัติลายเซ็นอิเล็กทรอนิกส์ของบุคคล หรือองค์ประกอบอื่นใดของลายเซ็นอิเล็กทรอนิกส์ดังกล่าว องค์กรจะต้องตรวจสอบตัวตนของบุคคลนั้น
| การตอบสนอง | ผู้ใช้มีหน้าที่รับผิดชอบในการจัดทำระบบการจัดการ |
|---|---|
| สรุป | เมื่อรวมกับกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
© ผู้ลงนามจะต้องแสดงให้หน่วยงานที่เกี่ยวข้องเห็นก่อนหรือขณะใช้ลายเซ็นอิเล็กทรอนิกส์ว่า ลายเซ็นอิเล็กทรอนิกส์บนระบบของตนตั้งแต่วันที่ 20 สิงหาคม 1997 เป็นต้นไป มีผลทางกฎหมายเทียบเท่ากับลายเซ็นที่เขียนด้วยลายมือแบบเดิม
(1) หลักฐานจะต้องส่งเป็นลายลักษณ์อักษรไปยังสำนักงานปฏิบัติงานในพื้นที่ (HFC-100) ที่ 5600 Fishers Lane, Rockville, MD 20857
(2) เมื่อหน่วยงานที่เกี่ยวข้องร้องขอ บุคคลจะต้องจัดทำหนังสือรับรองหรือหลักฐานเพิ่มเติมที่ระบุอย่างชัดเจนว่าลายเซ็นอิเล็กทรอนิกส์มีผลทางกฎหมายเทียบเท่ากับลายเซ็นที่เขียนด้วยลายมือของผู้ลงนาม เมื่อใช้ลายเซ็นอิเล็กทรอนิกส์
| การตอบสนอง | บริษัทที่อยู่ภายใต้การกำกับดูแลจัดทำและดำเนินการตามระบบการจัดการที่เกี่ยวข้อง |
|---|---|
| สรุป | เมื่อรวมกับกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
Part 11 11.200-ส่วนประกอบและการควบคุมลายเซ็นอิเล็กทรอนิกส์ Electronic signature components and controls.
(a) ลายเซ็นอิเล็กทรอนิกส์ที่ไม่ขึ้นอยู่กับไบโอเมตริกซ์จะต้อง:
(1) ใช้ส่วนประกอบการพิสูจน์ตัวตนที่แตกต่างกันอย่างน้อยสองอย่าง เช่น รหัสประจำตัวและรหัสผ่าน
(i) เมื่อบุคคลเข้าถึงระบบควบคุมเดียวอย่างต่อเนื่อง และทำการลงนามเป็นชุด ลายเซ็นแรกจะต้องมีส่วนประกอบทั้งหมดของลายเซ็นอิเล็กทรอนิกส์ ลายเซ็นที่ตามมาจะต้องมีส่วนประกอบอย่างน้อยหนึ่งอย่างของลายเซ็นอิเล็กทรอนิกส์ที่ออกแบบมาเพื่อใช้สำหรับบุคคลนั้นเท่านั้น
(ii) เมื่อบุคคลลงนามหนึ่งลายเซ็นหรือมากกว่านั้นในช่วงเวลาที่ไม่ได้เข้าสู่ระบบควบคุมอย่างต่อเนื่องที่เป็นอิสระ ลายเซ็นแต่ละรายการที่ลงนามจะต้องใช้ส่วนประกอบลายเซ็นอิเล็กทรอนิกส์ทั้งหมด
(2) ใช้โดยเจ้าของที่แท้จริงเท่านั้น
(3) ใช้การจัดการและการลงนาม เพื่อให้แน่ใจว่าเมื่อบุคคลอื่นที่ไม่ใช่เจ้าของที่แท้จริงพยายามใช้ลายเซ็นอิเล็กทรอนิกส์ จะต้องมีความร่วมมือจากบุคคลสองคนขึ้นไป
(b) ลายเซ็นอิเล็กทรอนิกส์ที่ขึ้นอยู่กับไบโอเมตริกซ์จะต้องได้รับการออกแบบมาเพื่อให้แน่ใจว่าไม่สามารถใช้งานได้โดยบุคคลอื่นที่ไม่ใช่เจ้าของที่แท้จริง
| การตอบสนอง | eSignGlobal รองรับทั้งลายเซ็นอิเล็กทรอนิกส์ที่ไม่ใช่ไบโอเมตริกซ์และลายเซ็นอิเล็กทรอนิกส์แบบไบโอเมตริกซ์ สำหรับลายเซ็นอิเล็กทรอนิกส์ที่ไม่ใช่ไบโอเมตริกซ์ องค์ประกอบของลายเซ็นอิเล็กทรอนิกส์ประกอบด้วยส่วนประกอบการพิสูจน์ตัวตนอย่างน้อยสองอย่าง เช่น ชื่อผู้ใช้และรหัสผ่าน หมายเลขโทรศัพท์มือถือและรหัสยืนยัน ทุกครั้งที่ดำเนินการลงนาม จะต้องมีส่วนประกอบทั้งหมดของลายเซ็นอิเล็กทรอนิกส์ บริษัทที่อยู่ภายใต้การกำกับดูแลจัดทำระบบการจัดการที่เกี่ยวข้อง เพื่อให้แน่ใจว่าลายเซ็นอิเล็กทรอนิกส์สามารถใช้ได้โดยเจ้าของที่แท้จริงเท่านั้น บริษัทที่อยู่ภายใต้การกำกับดูแลจัดทำระบบการจัดการที่เกี่ยวข้อง เพื่อให้แน่ใจว่าหากจำเป็นต้องใช้ผู้ใช้ที่ไม่ใช่เจ้าของเข้าสู่ระบบ จะต้องดำเนินการโดยมีบุคคลตั้งแต่สองคนขึ้นไปอยู่ในที่เกิดเหตุ ลายเซ็นอิเล็กทรอนิกส์แบบไบโอเมตริกซ์ช่วยให้มั่นใจได้ว่ามีเพียงเจ้าของเท่านั้นที่สามารถใช้งานได้ผ่านการตรวจจับการมีชีวิตแบบไดนามิกและการรับรองความถูกต้องแบบหลายรูปแบบ  |
|---|---|
| ข้อสรุป | เมื่อรวมกับกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
Part 11 11.300 - การควบคุมรหัสระบุ/รหัสผ่าน Controls for identification codes/passwords
ลายเซ็นอิเล็กทรอนิกส์ที่ใช้ทั้งรหัสระบุและรหัสผ่านจะต้องได้รับการจัดการเพื่อให้มั่นใจในความปลอดภัยและความสมบูรณ์ การจัดการนี้ควรรวมถึง:
(a) การรักษารหัสระบุและรหัสผ่านแต่ละชุดให้มีเอกลักษณ์เฉพาะตัว กล่าวคือ ไม่มีบุคคลสองคนที่มีรหัสระบุและรหัสผ่านเดียวกัน
(b) การรับประกันว่าการเผยแพร่รหัสระบุและรหัสผ่านจะได้รับการตรวจสอบ เรียกคืน หรือแก้ไขเป็นประจำ (เช่น การแก้ไขปัญหารหัสผ่านที่หมดอายุ)
© การใช้การปิดใช้งานทางอิเล็กทรอนิกส์กับเครื่องหมาย บัตร และอุปกรณ์อื่นๆ ที่มีหรือสร้างข้อมูลรหัสระบุหรือรหัสผ่านตามกระบวนการจัดการการสูญเสีย และใช้การจัดการที่เหมาะสมและเข้มงวดในการออกสิ่งทดแทนชั่วคราวหรือถาวร
(d) การจัดการการใช้อุปกรณ์รักษาความปลอดภัยเพื่อป้องกันการใช้รหัสผ่านหรือรหัสระบุที่ไม่ได้รับอนุญาต การดำเนินการอย่างรวดเร็วและเร่งด่วนเพื่อตรวจจับและรายงานความพยายามใดๆ ในการใช้อุปกรณ์รักษาความปลอดภัยของระบบโดยไม่ได้รับอนุญาต และการจัดการองค์กรที่เหมาะสม
(e) การทดสอบอุปกรณ์เบื้องต้นและเป็นระยะ เช่น โทเค็นหรือบัตรที่มีหรือสร้างข้อมูลรหัสระบุหรือรหัสผ่าน เพื่อให้แน่ใจว่าอุปกรณ์ทำงานอย่างถูกต้องและไม่ได้รับการแก้ไขโดยไม่ได้รับอนุญาต
| การตอบสนอง | ฟังก์ชัน eSignGlobal รองรับสิ่งต่อไปนี้: § กำหนด ID ที่ไม่ซ้ำกันสำหรับผู้ใช้แต่ละราย โดยมีเอกลักษณ์เฉพาะตัว § รองรับการตรวจสอบสิทธิ์ผู้ใช้หลายปัจจัย ผู้ใช้สามารถอัปเดตรหัสผ่านได้เองเมื่อลืมหรือทำรหัสผ่านหาย (บริษัทที่อยู่ภายใต้การกำกับดูแลจำเป็นต้องสร้างขั้นตอนเพื่อจัดการกับสถานการณ์ดังกล่าว) § สามารถระบุสถานการณ์ที่การเข้าสู่ระบบล้มเหลวหลายครั้งติดต่อกันและกระตุ้นนโยบายความปลอดภัยเพื่อล็อกผู้ใช้ ระบบสามารถบันทึกกิจกรรมที่ผิดปกติเหล่านี้ได้ การจัดการผู้ใช้และลายเซ็นของ eSignGlobal ไม่ได้ขึ้นอยู่กับอุปกรณ์เหล่านี้ |
|---|---|
| ข้อสรุป | เมื่อรวมกับกิจกรรมการจัดการคุณภาพของบริษัทที่อยู่ภายใต้การกำกับดูแล การใช้งาน eSignGlobal สามารถตอบสนองความต้องการของข้อกำหนดนี้ได้ |
สรุป
บทที่ 21 Part 11 ของกฎระเบียบของรัฐบาลกลางสหรัฐอเมริกาเป็นกฎระเบียบที่ซับซ้อน ซึ่งต้องอาศัยความร่วมมือระหว่างซัพพลายเออร์และผู้ที่อยู่ภายใต้การกำกับดูแล เพื่อดำเนินการควบคุมทางเทคนิค การจัดการ และขั้นตอนที่ดี
ในฐานะซัพพลายเออร์ บริษัทผู้พัฒนา eSignGlobal ได้ดำเนินการควบคุมทางเทคนิคที่เพียงพอและการจัดการที่เหมาะสมกับผลิตภัณฑ์ eSignGlobal เพื่อให้เป็นไปตามข้อกำหนด บริษัทที่อยู่ภายใต้การกำกับดูแลจำเป็นต้องใช้การควบคุมการจัดการและขั้นตอนเพียงเล็กน้อยเพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนด