FDA 21 CFR Part 11 - Registros e Assinaturas Eletrônicas

A Food and Drug Administration (FDA) dos Estados Unidos estabeleceu a Parte 11 do título 21 do Code of Federal Regulations (21 CFR Part 11) para ajudar a garantir que as empresas de ciências da vida possam utilizar os registros e assinaturas eletrônicas, equivalentes às que se baseiam em papel e tinta. Um registro eletrônico é qualquer combinação de texto, gráfico, dado, áudio, ilustração, ou outra informação representada em forma digital que for criado, modificado, mantido arquivado, recuperado, ou distribuído por um sistema computacional.
A Parte 11 se aplica a todas as áreas regulamentadas pelo FDA, incluindo farmacêutica, equipamentos médicos e biotecnologia, e se estende a todos os registros em formato eletrônico. é aplicável aos registros identificados em normas estabelecidas e regulamentares, conforme publicado anteriormente como Boas Práticas Clínicas (BPC), Boas Práticas Laboratoriais (BPL) e Boas Práticas de Fabricação (BPF).

A FDA considera a parte 11 aplicável aos seguintes registros ou assinaturas em formato eletrônico (parte 11 registros ou assinaturas):
• Os registros (e qualquer assinatura associada) exigidos sob regras estabelecidas e que são mantidas em formato eletrônico, em substituição ao formato papel;
• Os registros exigidos sob regras estabelecidas, que são mantidos em formato eletrônico, em substituição ao formato papel, e que devem ser utilizados para executar as atividades regulamentadas. Por exemplo, se é necessário manter um registro devido à uma regra estabelecida e você usar um computador para gerar uma impressão em papel dos registros eletrônicos, mas ainda assim, você depender do registro eletrônico para realizar as atividades regulamentadas, a Agência poderá considerar que se utilize o registro eletrônico, em substituição do papel. Ou seja, a Agência pode levar em conta suas práticas de negócio para determinar se a parte 11 se aplica;
• Registros submetidos ao FDA sob regras em formato eletrônico;
• As assinaturas eletrônicas equivalentes às assinaturas manuscritas, rubricas, e outras assinaturas em geral, exigidas pelas normas estabelecidas. A Parte 11 referente às assinaturas inclui assinaturas eletrônicas que são utilizadas, por exemplo, para documentar que determinados eventos ou ações ocorreram de acordo com a regra estabelecida (por exemplo, aprovado, revisado e verificado).
Como ilustrado abaixo, a norma foi concebida para garantir que as informações sejam precisas, confiáveis e rastreáveis por todos os múltiplos sistemas e entidades que se enquadram no âmbito das áreas programáticas da FDA. Mais importante ainda, a legislação não se destinava apenas a ser mais um exercício em conformidade normativa. Em vez disso, ela foi projetada para permitir que, tanto a FDA, como a indústria das ciências da vida, possam tirar proveito das novas tecnologias para melhorar a eficiência e a rapidez nas operações, no processo normativo, além de incorporar o controle de documentos eletrônicos e a tecnologia em gestão de mudança em seus processos empresariais atuais. Ao estabelecer normas de autenticação de usuário e segurança rígidas, permitir trilhas de auditoria e impor a retenção de registros, as empresas farmacêuticas poderiam perceber os benefícios do registro e assinatura eletrônica, enquanto se mantém plenamente em conformidade.
  
Como ilustrado abaixo, a Parte 11 afeta toda a cadeia de valor e é mais abrangente em algumas aplicações nos principais segmentos em relação a outros. Para algumas aplicações, como a Gerenciamento de Dados Clínicos, Gestão da Qualidade ou Manufacturing Execution Systems (MES), a Parte 11 influencia todos os elementos da aplicação. Para outras aplicações, como ERP, CRM, ou Sistemas de Gestão de Treinamentos, a Parte 11 impacta apenas workflows selecionados e elementos de dados. Além disso, a utilização de boas técnicas de gestão de dados e bem construídos procedimentos operacionais padrão (SOPs) pode assegurar que muitas aplicações que não deveriam conter um registro de dados para fins regulamentares, não se tornem, inadvertidamente, sujeitas às exigências da 21 CFR Parte 11. A n ão-conformidade em alguma aplicação está mais susce tível a desencadear uma ação de execução do que outras. Que aplicações são mais importantes, dentro de uma organização específica, depende de como os dados são usados, além do prévio histórico regulamentar, e de tendências recentes de cumprimento das normas.
 
A Solução

As soluções SoftExpert's Enterprise Excellence and FDA Compliance ajudam as empresas de ciências da vida na implementação da gestão de documentos, gestão da qualidade, GxP e controle de mudança em toda a empresa.
A SoftExpert há muito é a solução selecionada por empresas líderes em seus segmentos em todo o mundo pela sua renomada facilidade de uso por administradores e usuários finais. Por seu sistema granular de segurança e a possibilidade de serem rastreáveis permitem que as soluções SoftExpert atendam aos padrões regulatórios mais exigentes.
Abaixo, as principais características do SoftExpert Excellence Suite que abordam requisitos da Parte 11:
 
Subpart B- Electronic Records
§ 11.10 Controls for Closed Systems
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.10 (a) Pessoas que utilizam sistemas fechados para criar, modificar, manter ou transmitir registros eletrônicos devem empregar procedimentos e controles projetados para assegurar a autenticidade, integridade e, quando apropriado, a confidencial idade dos registros eletrônicos, e assegurar que o assinante não poderá repudiar prontamente o registro assinado como não genuíno.
Tais procedimentos e controles devem incluir o seguinte: Validação de sistemas para assegurar exatidão, confiabilidade, desempenho desejado consistente e a habilidade de discernir registros inválidos ou alterados.  O SE Suite permite aos usuários certificados assinar digitalmente e verificar documentos eletrônicos em seu próprio computador. Certificados Digitais fornecem um meio de provar a identidade do assinante nas transações eletrônicas. Assinaturas Digitais permitem "autenticação" de conteúdo digital, garantindo ao destinatário de um conteúdo digital, tanto a identidade do assinante, como a integridade do conteúdo. Um Certificado Digital é emitido por uma Autoridade Certificadora (AC) e assinado com a chave privada da AC. O assinante de um documento não pode negar posteriormente, afirmando que a assinatura era falsificada.
Atende às mais recentes normas de validação GAMP e as exigências da 21CFR Parte 11 para os registros e assinaturas eletrônicas, assegurando seu funcionamento conforme o previsto. A SoftExpert Services fornece serviços de validação abrangente, incluindo testes onsite IQ (instalação e qualificação), OQ (qualificação operacional) e PQ (qualificação de desempenho) para garantir que o sistema seja totalmente compatível. Para as empresas que desejam realizar suas próprias validações, a SoftExpert Services oferece uma Ferramenta de Validação, que fornece uma detalhada análise pré-escrita de protocolos de testes e scripts.

§ 11.10 (b) A habilidade de gerar cópias de registros exatos e completos tanto de forma legível humana como eletrônica adequada para inspeção, revisão e cópia pela agência. O SE Suite fornece cópias de registros  eletrônicos pelos métodos de conversão e exportação automatizados em formatos comuns (como PDF e XML), preservando o conteúdo e o significado do registro. Todo registro criado no softwate Softexpert  tem a possibilidade de ser impresso em formato legível humano.
§ 11.10 (c) Proteção de registros para permitir a sua busca exata e pronta por todo período de retenção. A SoftExpert garante que os registros relevantes são preservados e protegidos de manipulação durante o período de conservação exigido, com uma abordagem flexível que combina o armazenamento híbrido eletrônico e/ou papel por longo prazo.
§ 11.10 (d) Limitar acesso ao sistema para pessoas autorizadas. O software SoftExpert exige uma identificação única (UserID) e senha para acesso ao sistema.
Os administradores de sistema podem opcionalmente impor autenticação de login automático e/ou políticas de autorizações dentro do software SoftExpert por meio do sign-on único e integrado do Serviço de Autenticação de Diretório Ativo. Sign-on único é um método de acesso controlado a empresa que permite a um usuário acessar uma vez e ter acesso aos recursos a múltiplos garantindo a política de segurança e acesso por toda empresa.
§ 11.10 (e)   A trilha de auditoria prevê um registro histórico de alterações e operações, incluindo uma captura automática de assinatura, data, hora, seqüenciamento de eventos, indicando qual o operador fez as entradas, e quando as ações foram executadas. Cada adição, modificação e exclusão de um registro ou documento é gravado com um registro de tempo gerado por computador. Um novo registro é gravado para cada alteração para não obscurecer informação previamente gravada. Registros de auditoria podem facilmente serem acessados e filtrados para eventos específicos (por exemplo, alteração de determinado campo). Os próprios registros de auditoria não podem ser modificados ou excluídos.
§ 11.10 (f) Utilizar verificações do sistema operacional para obrigar seqüência permitida de passos e eventos, como apropriado. Por meio da utilização de janelas de configurações da SoftExpert seqüênciar passos, eventos e verificações de processamento podem ser obrigados.
§ 11.10 (g) Utilizar verificação de autoridade para assegurar que somente pessoas autorizadas possam acessar o sistema, assinar um registro eletronicamente, acessar o sistema operacional ou computacional de entrada e saída, alterar um registro, ou executar a operação manualmente. Os administradores de sistema podem determinar níveis apropriados de acesso às operações, registros e documentos para cada usuário no sistema, permitindo que dados sejam acessados de forma a permitir leitura e escrita, somente leitura, ou sem acesso.
Verificação de senha pode ser configurada conforme necessário sempre que um usuário informa seu nome (isto é, assinatura) em um registro ou documento. O sistema pode também solicitar senhas diferentes para acesso ao sistema e assinatura de registros. Todas as senhas de usuários utilizam criptografia para segurança.
§ 11.10 (i) Determinar que pessoas que desenvolvem, mantêm, ou utilizem sistemas de registro eletrônico / assinatura eletrônica tenham a educação, treinamento e experiência para desempenhar suas funções.  A SoftExpert Service fornece um abrangente programa de treinamento do produto. Os cursos de formação são fornecidos para cada nível de usuário para garantir que cada um possa desempenhar as funções atribuídas, dentro do sistema.
§ 11.10 (j) Estabelecer a obter aderência às políticas escritas, as quais determinam que indivíduos possam ser responsabilizados e sejam responsáveis e por ações iniciadas sob sua assinatura eletrônicas, de forma a deter falsificação de registros e assinaturas. O log de auditoria da Softexpert assegura que as pessoas que efetuaram modificações em registros fiquem registradas. Além disso, para eliminar possível falsificação de assinatura quando um usuário possa momentaneamente deixar sua estação de trabalho (permitindo que outro usuário use a sessão de login para alterar um registro) software SoftExpert pode ser rapidamente e facilmente desabilitado pelo usuário e então re-habilitado entrando com sua senha para continuar sua sessão.
§ 11.10 (k) Utilizar controles apropriados sobre a documentação do sistema incluindo:
(1) Controles adequados sobre a distribuição, acesso e utilização de documentação para operação e manutenção do sistema.
(2) Procedimentos de controle de revisão e alteração para manter uma trilha de auditoria que documente a seqüência de tempo de desenvolvimento e modificação da documentação do sistema. O software Softexpert exige níveis apropriados de acesso a documentos para cada usuário no sistema. Possui funcionalidades internas de revisão e controle de modificação.

Todas as versões do Sistema de  Documentação da SoftExpert incluem guias de instalação, de administração e do usuário. Estes documentos são identificáveis de forma única e associados a uma determinada versão do software.
Subpart B - Registros Eletrônicos
§ 11.50 Manifestações de Assinatura
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.50 (a) Registros eletrônicos assinados devem conter informações associadas à assinatura as quais indiquem claramente todos os itens a seguir:
(1) O nome impresso do assinante.
(2) A data e hora em que a assinatura foi executada.
(3) Significado (tal como a revisão, aprovação, responsabilidade ou autoria) associado à assinatura. Nome de usuário, data, hora e uma descrição da operação realizada (isto é, revisão, aprovação, impressão, etc.) são capturados automaticamente com cada assinatura.
§ 11.50 (b) Os itens identificados nos parágafos (a)(1), (a)(2) e (a)(3) dessa seção devem estar sujeitos aos mesmos controles dos registros eletrônicos e devem estar inclusos como parte de qualquer forma legível do registro eletrônico (tal como display eletrônico ou impressão). Informação da assinatura e marca d'água configurável são carimbados sobre o documento no formato eletrônico ou formato impresso. Garantia de autenticidade por numeração seqüencial e marcação de data / hora de documentos quando são impressos.
Subpart B- Registros Eletrônicos
§ 11.70 Registro/Correlação de Assinaturas
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.70 (a) Assinaturas eletrônicas e assinaturas manuscritas executadas por registros eletrônicos devem estar correlacionadas para assegurar que as assinaturas não possam ser excluídas, copiadas ou transferidas para falsificar um registro eletrônico por meios regulares.  Uma assinatura é anexada ao registro em uma forma imutável, a fim de evitar falsificações ao se copiar uma assinatura eletrônica para um registro diferente. As informações da assinatura não podem ser adulteradas após aprovação.
Subpart B - Assinatura Eletrônica
§ 11.100 Exigências Gerais
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.100 (a) Cada assinatura eletrônica deve ser única para um indivíduo e não deve ser reutilizada ou designada a nenhum outro. Nenhuma combinação de código de identificação e senha pode ser igual, nem pode ser reutilizada.
Subpart B - Assinatura Eletrônica
§ 11.200 Componentes e Controles de Assinatura Eletrônica
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.200 (a) Assinaturas eletrônicas as quais não são baseadas em biometria devem:
(1) Empregar pelo menos dois componentes de identificações distintos, tais como, um código de identificação e senha. (i) quando um indivíduo executa uma série de assinaturas durante um período contínuo de acesso ao sistema controlado, assinaturas subseqüentes devem ser executadas utilizando pelo menos um componente de assinatura eletrônica o qual só pode ser executado por e projetado para ser utilizado somente pelo indivíduo. (ii) quando um indivíduo executa uma ou mais assinaturas que não foram executadas durante um período único e contínuo de acesso ao sistema controlado, cada assinatura deve ser executada utilizando todos os componentes de assinatura eletrônica.
(2) Ser utilizada somente pelo seus genuínos proprietários.  O software SoftExpert utiliza uma combinação de identificação de usuário (UserID) e senha para identificar um indivíduo. Durante um período contínuo de acesso ao sistema controlado, o sistema pode ser configurado para exigir verificação de senha durante assinatura de registro e um período ou intervalo de tempo determinado pelo Administrador de Sistema.
O sistema pode ser configurado para exigir automaticamente todos os componentes de assinatura após um período de inatividade determinado pelo administrador de sistema.
Subpart B- Assinatura Eletrônica
§ 11.300 Controles para códigos/senha de identificação
Seção Exigência 21 CFR Parte 11  Conformidade SoftExpert
§ 11.300 (a) As pessoas que utilizam assinaturas eletrônicas com base no uso de códigos de identificação em combinação com senha devem empregar controles para assegurar sua segurança e integridade. Tais controles devem:
(a) Manter a singularidade de cada identificação combinada de código e senha, de tal forma que nenhum outro indivíduo tem a mesma combinação de código e senha. Todas as combinações de código de usuário/senha são únicos.
§ 11.300 (b) (b) Assegurar que a emissão de código de identificação e senha sejam periodicamente verificados, recolhidos ou revisados (por exemplo, para cobrir eventos como vencimento da validade da senha). Código do usuário e senhas devem ser configuradas para expirar  em determinados intervalos, exigindo com que o usuário crie nova senha. Usuários não têm permissão para reutilzarem senhas recentes. As senhas deve conter pelo menos um número mínimo configurável de caracteres. O softeware SoftExpert fornece um programa de validação de Senha Forte que exige letra maiúscula, minúscula, números, caractere especial e tamanho.
Senhas fortes diminuem o risco de quebra de segurança por senhas que são difíceis de detectar por humanos ou computadores.
§ 11.300 (d) Utilizar salvaguardas de transação para prevenir uso não autorizado de senhas e/ou código de identificação, e para detectar e reportar de uma maneira imediata e urgente qualquer tentativa de seu uso não autorizado à unidade de segurança de sistema, e, conforme apropriado, à gerencia organizacional. O software SoftExpert pode ser configurado para não autorizar que usuários façam log in em mais de uma sessão ao mesmo tempo em computadores distintos. O sistema irá desabilitar a conta do usuário se entrar com senha incorreta mais de certo número configurado no início da sessão, ou sempre que uma senha for necessária.
Nesse caso, o sistema notifica o Administrador de Sistema via e-mail e gera um evento no log de auditoria. Além disso, contas de usuários podem ser desabilitadas pelo Administrador de Sistema a qualquer tempo.

   

Página Inicial | Soluções do Grupo GCI | Últimas Notícias | Empresas do Grupo GCI | Fale Conosco|