Sei sulla pagina 1di 20

21 CFR PART 11

White Papers ver. 01.00 Agosto 2003

CONFORMITÀ ALLE RICHIESTE FOOD AND DRUG ADMINISTRATION


21 CFR PART 11 ELECTRONIC RECORDS; ELECTRONIC SIGNATURES
Legenda
Introduzione
Nel seguito i vari punti della
norma sono commentati con la Questo documento verifica e descrive l’adeguatezza dei Ns. applicativi alla norma “21 CFR
seguente simbologia e significato:
Part 11- Electronic Records; Electronic Signatures; Final Rule” emessa dalla Food and Drugs
Administration il 20 marzo 1997.

Requisito coperto/gestito L’analisi di conformità è stata eseguita sulle “Subpart B – Electronic Records” e “Subpart C –
dall’Applicazione Electronic Signatures”; i contenuti della “Subpart A – General Provisions”, che definiscono il
contesto di applicazione della norma, sono di esclusiva competenza del Cliente non hanno
impatto diretto sulle funzionalità richieste al ns. applicativo.
Requisito procedurale a
carico dall’Organizzazione I contenuti di questo documento sono il frutto della ns. interpretazione della norma,
dell’esperienza maturata in questi anni di attività, della collaborazione, delle ispezioni e delle
richieste ricevute dai ns. Clienti su questi specifici argomenti e dell’attività svolta nell’ambito
Non Applicabile delle associazioni (AFI).

La conformità di qualsiasi sistema ad una norma ed in particolare a questa non può essere
data solo dal sistema in sé, ma anche e forse soprattutto dall’Organizzazione che lo utilizza;
questa deve infatti prevedere e proceduralizzare l’uso dello stesso ed il contesto in cui il
sistema è utilizzato, in modo tale da garantire la norma.

Il testo prelevato direttamente dalla norma FDA viene trascritto con un carattere diverso,
ad esempio:

§ 11.1 Scope.
(a) The regulations in this part set forth the criteria under which the agency
considers electronic records, electronic signatures, and handwritten
signatures executed to electronic records to be trustworthy, reliable, and
generally equivalent to paper records and handwritten signatures executed on
paper.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 02/20
Architettura del Sistema
I Ns. applicativi sono dei sistemi distribuiti multi-calcolatore a due livelli con collegamento dei calcolatori attraverso
rete locale. Questo modello di elaborazione software viene definito come sistema di tipo client/server.

L’architettura proposta è classificabile come architettura a tre livelli (three-tier). Tale architettura si compone di un
livello che svolgono compiti di interazione con l’utente, di formattazione dei dati ecc., tramite servizi e logiche di
presentazione dati; di un secondo livello di più prettamente applicativo che contiene la logica di funzionamento del
sistema; infine del terzo livello che consente lo svolgimento di tutte le attività di manipolazione dei dati, controllo delle
transazioni ecc., tramite servizi e logiche di gestione dei dati.

Questo tipo di architettura consente la realizzazione di software applicativo il più possibile indipendente dalle
caratteristiche delle apparecchiature fisiche di rete, dalle caratteristiche dell’hardware e del software di base prescelti,
svincolando quindi il singolo processo applicativo da problematiche di basso livello e da problematiche relative alla
sicurezza e all’integrità delle informazioni.

Le caratteristiche architetturali fondamentali dei sistemi sono le seguenti:


• sistema di tipo client/server a tre livelli;
• software di base e di ambiente altamente integrato;
• utilizzo strumenti di sviluppo orientati agli oggetti;
• interfaccia di comunicazione verso altri sistemi tramite protocollo TCP/IP.

AUDIT TRAIL
L’applicazione consente di eseguire le operazioni di Audit Trail in modo flessibile è ovvero possibile definire:

• quali campi mantenere sotto controllo di cambiamento (ovvero quali campi debbano essere sottoposti
ad audit trail)
• per quali campi richiedere una nota di commento obbligatoria al cambiamento svolto

Il sistema quindi, se configurato adeguatamente, consente di garantire il rispetto della Norma

STAMPE
In alcuni punti la norma fa esplicito riferimento alla stampa di informazioni relative ai record elettronici, all’audit
trail e/o alle firme elettroniche (rif. § 11.10(a)(b), § 11.50(a) e § 11.70).
I sistemi delegano tutte le operazioni di stampa ad un componente esterno (Seagate Crystal Report) e
consentono la definizione di formati di stampa da parte dell’Utente.
La conformità alle richieste di questi punti non è pertanto garantita esclusivamente dal sistema, ma anche e
soprattutto dalle modalità con cui i formati di stampa realizzati sono stati costruiti. Va evidenziato che questi
sono a tutti gli effetti componenti del sistema e come tali vanno sottoposti a controllo di cambiamento e
validazione.
Se previsto in configurazione il sistema inserisce automaticamente nei report stampati la data di stampa
prelevata dal server, in modo che ogni postazione operi sempre con la data corretta.

AGGIORNAMENTI DEL SISTEMA


In caso di aggiornamento del sistema DATA CHECK garantisce i propri Clienti della disponibilità delle eventuali
procedure di conversione e della relativa documentazione di convalida. In questo modo è possibile mantenere
nel tempo la disponibilità delle registrazioni elettroniche, anche se realizzate con sistemi poi diventati obsoleti
(rif. § 11.10(b)).

DATABASE
Il database nel quale sono memorizzati i dati è di tipo relazionale (usualmente Microsoft SQL Server), gli Utenti
dei nostri applicativi sono in realtà utenti del database.
Un Utente dell’applicazione può essere creato ed utilizzato solo tramite l’applicazione stessa (la sua password
viene criptata e non gli è possibile che accedere alla base dati se non tramite l’applicazione), viceversa non è
possibile creare un utente direttamente nel database e farlo diventare Utente dell’applicazione.
Il Cliente si deve tuttavia dotare delle adeguate procedure per garantire che non esistano altri Utenti autorizzati
ad operare direttamente sul database senza utilizzare l’applicazione e se esistono di regolarne adeguatamente le
modalità d’uso e/o di accesso (es. accesso in sola lettura).

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 03/20
SYSTEM ADMINISTATOR
Questo tipo di l’Utente è in genere in grado di effettuare interventi sulla base dati senza possibilità di
registrazione e/o traccia delle operazioni svolte. La sua presenza è necessaria in quanto in caso contrario
sarebbero impossibili le operazioni di installazione e manutenzione del sistema, il suo utilizzo va correttamente
regolamentato.

GESTIONE DATA/ORA
I ns. applicativi possono prelevare dal server data/ora da utilizzare per la registrazione di ogni operazione in
modo da garantire un riferimento univoco e la corretta registrazione di ogni operazione.
È possibile configurare l’applicativo per sincronizzare anche la data del PC Client, se questa operazione non può
andare a buon fine (es. l’utente attivo non ha le autorizzazioni necessarie) o comunque se data/ora non risultano
sincronizzate, l’applicativo genera un messaggio di errore, richiedendo l’intervento dell’Amministratore ed
interrompe l’operazione in corso.
La data viene imposta dal sistema anche ai report di stampa in modo da evitare che il componente di gestione
delle stampe (Seagate Crystal Reports) possa utilizzare data/ora errate.

TIPOLOGIA DI SISTEMA

Facendo Riferimento alla definizione data dalla FDA, i nostri applicativi sono sistemi chiusi:

(4) Closed system means an environment in which system access is controlled by persons who are
responsible for the content of electronic records that are on the system.

Mentre per sistema aperto viene inteso:

(9) Open system means an environment in which system access is not controlled by persons who are
responsible for the content of electronic records that are on the system.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 04/20
CONTROLLI SU SISTEMI CHIUSI

La norma definisce chiaramente quali sono le attività necessarie per la gestione di questo tipo di sistemi:

§ 11.10 Controls for closed systems.


Persons who use closed systems to create, modify, maintain, or transmit electronic records shall employ
procedures and controls designed to ensure the authenticity, integrity, and, when appropriate, the
confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed
record as not genuine.

ed in particolare:

(a) Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability
to discern invalid or altered records.

I ns. applicativi vengono forniti completi della relativa documentazione per la loro validazione. Le funzioni di
Identificazione Utente, Abilitazione Funzionale, Audit Trail e Firma Elettronica sono considerate come
operazioni critiche e soggette a particolari verifiche.
L’applicazione tiene traccia di ogni operazione svolta e/o di ogni variazione di dato effettuata.

(b) The ability to generate accurate and complete copies of records in both human readable and
electronic form suitable for inspection, review, and copying by the agency. Persons should contact the
agency if there are any questions regarding the ability of the agency to perform such review and copying
of the electronic records.

I ns. applicativi consentono di visualizzare e/o stampare tutte le informazioni relative ai dati memorizzati nel
sistema.
I reports di stampa possono essere esportati e salvati su file in vari formati.

(c) Protection of records to enable their accurate and ready retrieval throughout the records retention
period.

Gli applicativi consentono di mantenere la registrazione dei dati per periodi non limitati di tempo, in
funzione delle risorse disponibili sul sistema (dimensione memoria di massa, capacità di elaborazione, ecc.).

La gestione della loro eventuale cancellazione è affidata all’Utente, tramite operazioni soggette ad abilitazione
funzionale ed assoggettate alle procedure organizzative del Cliente.
Il Cliente deve prevedere le adeguate procedure di backup dei dati.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 05/20

(d) Limiting system access to authorized individuals.

Gli applicativi permettono l’accesso al sistema ai soli utenti riconosciuti ed autorizzati.


L’identificazione avviene inserendo i due componenti (codice e password), l’Utente ha la possibilità di
modificare la propria password in qualsiasi momento; viene invece obbligato a farlo in seguito alla scadenza
della sua validità.

Figura 1 - Form di Identificazione Utente

In seguito all’accesso al sistema, l’applicativo carica le abilitazioni funzionali relative all’Utente stesso e
consente l’utilizzo delle sole funzioni abilitate (rif. § 11.10 (g))

(e) Use of secure, computer-generated, time-stamped audit trails to independently record the date and
time of operator entries and actions that create, modify, or delete electronic records. Record changes
shall not obscure previously recorded information. Such audit trail documentation shall be retained for a
period at least as long as that required for the subject electronic records and shall be available for agency
review and copying.

Nei ns. applicativi tutte le operazioni di modifica dei dati possono essere assoggettate a registrazione
automatica di Audit Trail.

Questa prevede l’utilizzo di tabelle separate di registrazione e l’inserimento di data/ora prelevate dal database
server.

La configurazione del sistema consente di specificare per ogni campo delle entità quali sono i relativi attributi
per la registrazione delle modifiche (Audit Trail o Audit Trail con obbligo di nota).

Figura 2 - Configurazione attributi Audit Trail per il Campo Descrizione Capitolato

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 06/20

Se viene previsto l’inserimento obbligatorio della Nota di Audit Trail il sistema richiede all’Utente
giustificazione delle modifiche apportate ai campi.

Figura 3 - Richiesta nota giustificativa per modifica

Le registrazioni di Audit Trail, come tutte le registrazioni del sistema, possono essere effettuate utilizzando
Data ed Ora prelevate dal Database Server.

Figura 4 - Configurazione - Utilizzo Data/Ora del database server

L’applicativo verifica periodicamente l’effettiva sincronizzazione con il server e nel caso la postazione Client
non abbia la medesima data / ora viene generato un messaggio di errore e l’operazione in corso interrotta.

Per ogni registrazione di modifica vengono registrate:

οData / Ora
οUtente (Nome, Cognome, Identificativo e Funzione)
οNome e descrizione del campo modificato
οValore e Descrizione del valore inserito
Nota (se obbligatoria)

Nella visualizzazione è possibile ordinare e/o raggruppare le informazioni su ognuno di questi dati (rif. Figura 6).

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 07/20

Le informazioni di Audit Trail vengono mantenute nel sistema per tutto il tempo di permanenza del record
elettronico di appartenenza.

Figura 5 - Menu di accesso all'Audit Trail

Le informazioni di Audit Trail sono disponibili durante l’uso del sistema, in ogni campo sottoposto a questo
tipo di controllo; viene tenuta traccia di ogni dato inserito, senza cancellare i valori precedenti.

Non sono modificabili dagli Utenti del sistema.

Figura 6 - Form di visualizzazione dell'Audit Trail


(raggruppato per Utente / ordinato per Data/Ora)

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 08/20

Le informazioni di Audit Trail possono essere visualizzate, stampate e /o esportate in vari formati (text, word, excel,
diff, ecc.).

Figura 7 - Esempio di report di stampa dell'Audit Trail

(f) Use of operational system checks to enforce permitted sequencing of steps and events, as appropriate.

Quando necessario/applicabile i Ns. applicativi consentono l’esecuzione delle operazioni solo se le condizioni
ed i flussi definiti sono stati rispettati. Ad esempio l’inserimento dei dati analitici è possibile solo se la relativa
Richiesta di Analisi è stata precedentemente aperta; oppure la chiusura della stessa può avvenire solo se tutti
i dati analitici previsti sono stati inseriti.

(g) Use of authority checks to ensure that only authorized individuals can use the system, electronically
sign a record, access the operation or computer system input or output device, alter a record, or perform
the operation at hand.

Gli applicativi consentono di definire dettagliatamente le abilitazioni funzionali che è possibile attribuire agli
Utenti del sistema (ad ogni Utente è possibile consentire o negare l’accesso ad ogni singola funzione), per cui
l’esecuzione di un’operazione è possibile solo se un Utente è stato esplicitamente e preventivamente
autorizzato.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 09/20

Per ogni entità del sistema (Es. Prodotto,Strumento,ecc.) i Ns. applicativi definiscono le possibili azioni che è
possibile svolgere sullo stesso.

Le azioni contrassegnate con richiedono l’esecuzione di una operazione specifica (firma elettronica) oltre
alla normale abilitazione funzionale.

L’abilitazione funzionale degli Utenti avviene associando gli stessi direttamente ad una o più funzioni
(abilitazione diretta) o associandoli ad uno o più gruppi (abilitazione indiretta); questi possono essere
associati a loro volta ad una o più funzioni.

Figura 8 - Azioni possibili sull'entità Capitolato

Figura 9 - Schema delle Abilitazioni Funzionali

Questo meccanismo consente di garantire la massima flessibilità e capillarità nella definizione e manutenzione
delle abilitazioni funzionali.

Durante l’uso dell’applicazione le azioni (voci di menu, pulsanti, ecc.) risultano essere non attive, quanto un
utente non è abilitato.

L’accesso diretto ai dati memorizzati nel database è possibile solo tramite l’applicazione (la password di ogni
Utente viene criptata per impedire l’accesso diretto al database), con l’unica esclusione dell’Utente
amministratore del database server (Es. Utente SA per Microsoft SQL Server).

(h) Use of device (e.g., terminal) checks to determine, as appropriate, the validity of the source of data
input or operational instruction.

I Ns. applicativi richiedono che ogni postazione di lavoro (Personal Computer) collegata al sistema sia stata
preventivamente registrata ed autorizzata all’accesso. Il sistema verifica l’abilitazione della postazione prima
di consentire l’uso dell’applicazione.
Al momento non sono possibili altre forme di input dati (es. da strumenti).

A carico del Cliente sono le verifiche e le attività di convalida necessarie in caso di collegamento
dell’applicazione con altri sistemi per il ricevimento di richieste di analisi (Es. da sistemi ERP, magazzino, ecc.)

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 10/20

(i) Determination that persons who develop, maintain, or use electronic record/electronic signature
systems have the education, training, and experience to perform their assigned tasks.

Queste verifiche sono di esclusiva pertinenza del Cliente.


DATA CHECK opera nel settore dell’Assicurazione e Controllo della Qualità specificatamente in ambito
Farmaceutico dal 1986, ed è disponibile a ricevere visite e/o ispezioni per dimostrare l’adeguatezza della
propria organizzazione e la competenza specifica sugli aspetti applicativi e regolatori del settore
farmaceutico.

(j) The establishment of, and adherence to, written policies that hold individuals accountable and
responsible for actions initiated under their electronic signatures, in order to deter record and signature
falsification.

Queste attività sono di esclusiva pertinenza del Cliente.

(k) Use of appropriate controls over systems documentation including:


(1) Adequate controls over the distribution of, access to, and use of documentation for system operation
and maintenance.
(2) Revision and change control procedures to maintain an audit trail that documents time-sequenced development and
modification of systems documentation.

Queste attività sono di esclusiva pertinenza del Cliente.


DATA CHECK applica le proprie procedure per la gestione della configurazione del sistema e per la
gestione delle modifiche ai componenti ed alla documentazione del sistema; siamo disponibili ad operare in
osservanza delle Computer System Validation Policies applicate dal Cliente.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 11/20

CONTROLLI SU SISTEMI APERTI

La norma prevede che ai sistemi aperti vengano applicate le stesse regole previste per i sistemi chiusi con in aggiunta
l’applicazione della firma digitale ai pacchetti di dati.

Riportiamo le definizioni della norma:

(5) Digital signature means an electronic signature based upon cryptographic methods of originator
authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the
integrity of the data can be verified.

§ 11.30 Controls for open systems.


Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and
controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from
the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in §
11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature
standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.

I Ns. applicativi non sono sistemi aperti, per cui queste richieste non sono applicabili; esistono tuttavia alcune
funzionalità, come le stampe ed in particolare le stampe protocollate, che prevedono la produzione di
informazioni generate dal sistema e memorizzate al suo esterno (es. sul file system, inviate per posta
elettronica, ecc.), in vari formati (acrobat, word, excel, ecc.).
L’Utente deve dotarsi delle opportune procedure di Firma Digitale di queste informazioni, se l’uso che ne
viene fatto è tra quelli previsti dalla norma (rif. § 11.1 e § 11.2).

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 12/20
EVIDENZA DELLE FIRME ELETTRONICHE

Le firme eseguite dagli Utenti devono essere visualizzate in modo chiaro e devono essere complete di tutte le
informazioni che ne consentano la chiara identificazione:

§ 11.50 Signature manifestations.


(a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the
following:
(1) The printed name of the signer;
(2) The date and time when the signature was executed; and
(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.
(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same
controls as for electronic records and shall be included as part of any human readable form of the
electronic record (such as electronic display or printout).

Le informazioni di esecuzione della firma richieste vengono memorizzate in modo completo in


corrispondenza dell’operazione svolta e restano associate al record a cui sono riferite; il nome della persona
che ha firmato viene riportato nella seguente forma: “Nome Cognome (Identificativo) Funzione”.

Le azioni soggette a firma elettronica (Es. Approva Capitolato), richiedono l’esecuzione di una particolare
procedura, oltre alla normale abilitazione funzionale.
L’Utente deve identificarsi inserendo nuovamente sia identificativo che password e l’operazione in corso
viene evidenziata con una finestra particolare.
La nuova identificazione consente l’esecuzione dell’operazione di firma ad un Utente anche diverso da quello
che in quel momento sta utilizzando il sistema, purché abilitato.

Figura 10 - Esecuzione di Azione soggetta a Firma

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 13/20

Figura 11 - Visualizzazione delle Firme Eseguite

L’avvenuta firma elettronica viene memorizzata con le altre registrazioni di Audit Trail, ma evidenziata in una
lista separata.

È possibile ottenere la stampa delle firme eseguite insieme ai dati del corrispondente record (rif. Figura 12).

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 14/20

§ 11.70 Signature/record linking.


Electronic signatures and handwritten signatures executed to electronic records shall be linked to their
respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise
transferred to falsify an electronic record by ordinary means.

Le registrazioni elettroniche e le relative informazioni di Audit Trail sono memorizzate in tabelle separate, Il
sistema utilizza i campi chiave univoci delle prime per mantenere il collegamento con le seconde (e
viceversa).

Le informazioni di Audit Trail e le registrazioni delle firme non sono manipolabili dall’Applicazione e/o dagli
Utenti.

Quando le informazioni generate da record elettronici vengono trasferite su carta per la firma manuale
(“hand-written signature”), il sistema consente di identificare con precisione la corrispondenza tra il report
cartaceo e le registrazioni elettroniche (campi chiave identificativi, data/ora di stampa, ecc.). La combinazione
delle informazioni presenti sulla carta, con le registrazioni elettroniche e informazioni registrate nell’Audit
Trail, consentono di verificare i valori di ogni informazione al momento della stampa.

Anche l’avvenuta stampa viene registrata tra le operazioni nell’Audit Trail.

Figura 12 - Esempio di Report con evidenza delle Firme elettroniche eseguite

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 15/20

FIRME ELETTRONICHE

§ 11.100 General requirements.


(a) Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned
to, anyone else.

I Ns. applicativi consentono di garantire l’unicità, nel tempo, dell’identificazione dei propri Utilizzatori.

(b) Before an organization establishes, assigns, certifies, or otherwise sanctions an individual’s electronic
signature, or any element of such electronic signature, the organization shall verify the identity of the
individual.

Queste attività sono di esclusiva pertinenza del Cliente.

(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that
the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally
binding equivalent of traditional handwritten signatures.
(1) The certification shall be submitted in paper form and signed with a traditional handwritten
signature, to the Office of Regional Operations (HFC–100), 5600 Fishers Lane, Rockville, MD 20857.
(2) Persons using electronic signatures shall, upon agency request, provide additional certification or
testimony that a specific electronic signature is the legally binding equivalent of the signer’s
handwritten signature.

Queste attività sono di esclusiva pertinenza del Cliente.

§ 11.200 Electronic signature components and controls.


(a) Electronic signatures that are not based upon biometrics shall:
Employ at least two distinct identification components such as an identification code and password.

Ogni Utente dei Ns. applicativi viene identificato da un codice univoco ed una password.

(i) When an individual executes a series of signings during a single, continuous period of
controlled system access, the first signing shall be executed using all electronic signature
components; subsequent signings shall be executed using at least one electronic signature
component that is only executable by, and designed to be used only by, the individual.
(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled
system access, each signing shall be executed using all of the electronic signature components.

L’utilizzazione del sistema è mantenuta sotto controllo e, in seguito ad inattività superiore ad n secondi
(configurabili), viene richiesta una nuova identificazione per poter operare.

Figura 13 - Configurazione. Definizione del periodo massimo di inattività

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 16/20

Inoltre l’Utente stesso può forzare la fine dell’utilizzo del sistema uscendo o sospendendone l’uso (per
riattivarlo con una nuova identificazione).

Figura 14 - Dati Utente attivo in status bar

Durante una sessione d’uso del sistema i dati di identificazione dell’Utente sono sempre visualizzati sullo
schermo nella statusbar.

In qualsiasi operazione di firma il sistema richiede sempre e comunque l’inserimento di entrambi i


componenti di identificazione (codice e password).

Figura 15 - Registro degli accessi al sistema

Il sistema tiene traccia capillare di ogni attività di accesso / uscita dallo stesso.

I dati raccolti possono essere raggruppati e/o ordinati su una o più delle informazioni raccolte.

Nella figura i dati sono raggruppati per Descrizione Utente ed ordinati per Data/Ora.

(2) Be used only by their genuine owners; and


(3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by
anyone other than its genuine owner requires collaboration of two or more individuals.

L’Utente è l’unico a conoscere la propria password che non è visibile a nessun altro Utente e/o registrata in
alcuna tabella o file del sistema.

L’Amministratore del sistema può cambiare le password degli Utenti (in questo caso l’Utente è obbligato a
modificarla al primo accesso al sistema), ma non può conoscere le password in uso o quelle già utilizzate.

(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by
anyone other than their genuine owners.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 17/20

I Ns. applicativi non prevedono, al momento, l’identificazione degli Utenti tramite sistemi biometrici. Sono
tuttavia in fase di valutazione sistemi di identificazione basati sulle impronte digitali.

§ 11.300 Controls for identification codes/passwords.


Persons who use electronic signatures based upon use of identification codes in combination with
passwords shall employ controls to ensure their security and integrity. Such controls shall include:

(a) Maintaining the uniqueness of each combined identification code and password, such that no two
individuals have the same combination of identification code and password.

I Ns. applicativi consentono di garantire l’unicità nel tempo dei codici identificativi degli utenti (due Utenti
diversi non possono avere lo stesso identificativo, anche se in momenti diversi).

Figura 16 - Form di Definizione Utente

La definizione del profilo di un Utente consente di inserire le informazioni che lo identificano; in particolare
Nome, Cognome e Funzione verranno sempre utilizzate dal sistema in ogni registrazione (firme, audit trail,
ecc.), visualizzazione e stampa per identificare chiaramente l’Utente stesso.

Ogni Utente può avere un periodo di validità della password diverso, puchè inferiore a quello massimo
stabilito in configurazione (rif. Figura 17).

Modificando il campo Stato Account un Utente può essere disabilitato all’uso del sistema, anche solo
temporaneamente (rif. Figura 18).

Tramite l’associazione con Gruppi e/o Funzioni il sistema definire le Abilitazioni Funzionali dell’Utente (rif.
Figura 9).

(b) Ensuring that identification code and password issuances are periodically checked, recalled, or
revised (e.g., to cover such events as password aging).

La password di un Utente ha validità limitata e definita dall’Amministratore del Sistema (rif. Figura 16),
periodicamente l’Utente è obbligato a cambiarla.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 18/20

In configurazione è possibile definire il numero di caratteri minimo che deve formare una password, il
periodo di validità di default (può essere modificato per ogni Utente) ed il periodo massimo di validità (non
può essere superato da nessun Utente).

Il sistema può impedire il riutilizzo di password già usate da parte di un Utente.

Figura 17 - Configurazione - Definizione Sicurezza Password

A carico del Cliente sono gli aggiornamenti periodici dei profili Utente (Es. aggiornamento funzione,
abilitazione funzionali, ecc.) e/o la disabilitazione degli Utenti non più autorizzati all’accesso.

(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise
potentially compromised tokens, cards, and other devices that bear or generate identification code or password
information, and to issue temporary or permanent replacements using suitable, rigorous controls.

I Ns. applicativi consentono la disattivazione, anche solo temporanea, degli account degli Utenti per evitare
intrusioni nel sistema e/o per il cambio forzato della password da parte dell’Amministratore.

Figura 18 - Elenco Utenti con evidenza Non Attivi / Bloccati


Tutte le operazioni di cambio e/o forzatura delle password vengono tracciate dal sistema.
In seguito a forzatura della password da parte dell’Amministratore, l’Utente al primo accesso, viene
obbligato a modificarla.

La definizione delle procedure organizzative di gestione spetta necessariamente al Cliente.

(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes,
and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the
system security unit, and, as appropriate, to organizational management.

Il sistema tiene traccia di ogni accesso (rif. Figura 20), anche se fallito, registrando: data, ora postazione,
identificativo Utente (se inserito).

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 19/20

È possibile effettuare automaticamente il blocco dell’account in seguito ad un numero definito di tentativi di


accesso falliti.
In configurazione è possibile definire:

• periodo di tempo in cui rilevare gli errori


• numero massimo di errori concessi nel periodo indicato
• periodo di blocco dell’account

Nell’esempio il blocco avviene per 60 minuti se l’Utente esegue 3 tentativi di accesso errati nell’arco di un
minuto. L’account dell’Utente può essere riattivato o con l’intervento di un Utente abilitato o
automaticamente dopo 60 minuto. L’avvenuto blocco viene registrato ed evidenziato (rif. Figura 21).

Gli Utenti assenti per lunghi periodi possono essere temporaneamente disabilitati (rif. Figura 16 e Figura 18).

Figura 19 - Configurazione. Definizione blocco Account

Figura 20 - Registro degli accessi al sistema

I tentativi di accesso falliti vengono inoltre registrati separatamente ed evidenziati opportunamente.

Figura 20 - Registro degli accessi al sistema


(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or
password information to ensure that they function properly and have not been altered in an unauthorized manner.

I Ns. applicativi non prevedono, al momento, l’utilizzo di questi dispositivi.

www.datacheck.it
21 CFR Part 11: Electronic Records; Electronic Signatures pag. 20/20

MIGLIORAMENTI FUTURI

REGOLE PER LA DEFINIZIONE DELLE PASSWORD


Verranno introdotte le seguenti regole aggiuntive:

• Periodo minimo trascorso il quale consentire il riutilizzo di una password già utilizzata.
• Numero minimo di caratteri da modificare al un cambio password (es. se questo è fissato in 2, la
password scaduta è “PIPPO”, la nuova password non può essere “PIPPO2”, mentre può essere
“PIPPO22” o “POPPI”)
• Liste di esclusione password per ciascun Utente, per evitare l’uso di password “tipiche” (es. date di
nascita, nomi dei figli, ecc.)

DEFINIZIONE DEL PERIODO DI MANTENIMENTO DEI DATI


Per ogni entità e/o specifica (probabilmente capitolato) deve essere indicato il periodi mantenimento dei dati,
(“records retention period”) con due possibilità:

• Fino a che esistono registrazioni che fanno riferimento a quel dato (es. utenti)
• Per x mesi dopo la loro generazione (es. richieste di analisi)

Deve essere possibile specificare entrambe.

VERIFICHE SULL’INTEGRITÀ DEI DATI E DELLE REGISTRAZIONI DI AUDIT TRAIL


Il sistema introdurrà meccanismi di controllo (tipo CRC) per verificare l’integrità di dati e l’assenza di manipolazioni
esterne degli stessi, su tutte le informazioni registrate.

www.datacheck.it