SOLIDWORKS PDM PROFESSIONAL Y LA

NORMA DE LA FDA 21 CFR, PARTE 11

DOCUMENTO TÉCNICO

DESCRIPCIÓN GENERAL
En este documento técnico se analizan las soluciones técnicas proporcionadas por SOLIDWORKS®
PDM Professional para cumplir los requisitos de la norma de la FDA 21 CFR, parte 11.
INTRODUCCIÓN
Las empresas se enfrentan a numerosos desafíos en sectores fuertemente regulados, como el SOLIDWORKS PDM
farmacéutico, de dispositivos médicos, de cosmética y agroalimentario. Un desafío importante Professional puede ayudar a
lo plantea la validación de sus registros electrónicos por parte de la FDA para cumplir la norma reducir el tiempo, los costes y
21 CFR, parte 11. los riesgos asociados a la
La norma de la FDA 21 CFR, parte 11, consta de una serie de normas relativas principalmente implementación y la validación
a los siguientes aspectos: del proceso que deben seguir las
• Creación y protección de registros electrónicos empresas para cumplir las
• Autorización y seguridad de acceso normas de la FDA.
• Trazabilidad y registro de auditoría de todos los registros electrónicos
• Requisitos de firma electrónica
SOLIDWORKS PDM Professional proporciona soluciones para capturar documentos, procesos
y procedimientos a fin de cumplir con las normativas especificadas en la norma de la FDA
21 CFR, parte 11.
SOLIDWORKS PDM Professional puede ayudar a reducir el tiempo, los costes y los
riesgos asociados a la implementación y la validación del proceso que deben seguir las
empresas para cumplir las normas de la FDA.
Los procesos de aprobación con firmas electrónicas dobles y registros de auditoría
completos permiten a las empresas usar SOLIDWORKS PDM Professional como parte de su
programa de calidad y cumplimiento de la norma de la FDA 21 CFR, parte 11. Además,
SOLIDWORKS PDM Professional es un sistema de gestión de datos de productos potente,
sólido y fácil de utilizar e implementar que se puede usar para capturar, automatizar y
supervisar los procesos relativos a la gestión de documentos y la gestión del diseño de
ingeniería.
En este documento técnico se analizan las soluciones técnicas proporcionadas por SOLIDWORKS
PDM Professional para cumplir los requisitos de la norma de la FDA 21 CFR, parte 11.

11.10 CONTROLES PARA SISTEMAS CERRADOS

11.10(a)
• Los sistemas se deben validar para garantizar la precisión, fiabilidad, rendimiento esperado
coherente y capacidad de diferenciar registros no válidos o alterados.
• SOLIDWORKS PDM Professional gestiona los registros y crea una versión nueva cada vez
que se registran. Al registrar un archivo, se captura el nombre de la persona que lo
modificó y la fecha de modificación. Se conservan todas las versiones, que están
disponibles para determinar los cambios de una versión a otra. El informe de historial del
archivo proporciona el registro de auditoría.

SOLIDWORKS PDM Professsional y la norma de la FDA 21 CFR, parte 11 1

11.10(b)
• Se debe poder generar copias exactas y completas de los registros en formato electrónico
y en un formato legible por humanos, adecuados para la inspección, revisión y copia por
parte de este organismo gubernamental.
• SOLIDWORKS PDM Professional gestiona los archivos de manera que cualquier
persona con el acceso pertinente los pueda recuperar para revisarlos. El archivo se
recupera en su formato nativo, lo que permite a los usuarios visualizarlo e imprimirlo.
SOLIDWORKS PDM Professional puede leer y escribir todos los formatos de archivo
reconocidos por el sistema operativo Windows®, incluidos formatos populares, como los
documentos PDF.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 2

11.10(c)
• Los registros se deben proteger para poderlos recuperar de manera precisa y oportuna
durante todo el período de conservación de registros.
• Esto se puede admitir de manera estándar o mediante personalización, en función de los
requisitos del sitio. SOLIDWORKS PDM Professional le permite conservar los
documentos durante todo el tiempo que desee. No obstante, si es necesario conservar un
gran volumen de datos durante muchos años, se recomienda usar la opción
“almacenamiento de datos de reserva” de SOLIDWORKS PDM Professional. Esto
permitirá realizar búsquedas en los metadatos y los documentos correspondientes se
podrán recuperar de un estado de almacenamiento cuando se necesiten.

11.10(d)
• Se debe limitar el acceso al sistema a las personas autorizadas.
• El acceso al sistema está restringido por nombre de usuario y contraseña. Además,
SOLIDWORKS PDM Professional proporciona una estructura compleja para gestionar
el acceso de los usuarios. Puede controlar el acceso de los usuarios al almacén, las
carpetas o los documentos por usuarios individuales o grupos. El permiso de cada nivel,
es decir, del almacén, de grupo o individual, es independiente de los demás.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 3

11.10(e)
• Se deben usar registros de auditoría seguros, generados por equipos informáticos y con
marca de tiempo para registrar de manera independiente la fecha y la hora de las entradas
y acciones del operador que crean, modifican o eliminan registros electrónicos. Los
cambios en los registros no pueden ocultar información registrada anteriormente. Dicha
documentación de registro de auditoría se debe conservar durante un periodo no inferior
al obligatorio para los registros electrónicos sujetos y debe estar a disposición de este
organismo gubernamental para su revisión y copia.
• SOLIDWORKS PDM Professional gestiona cada registro: crea una nueva versión cada vez
que se registra, captura la persona que ha modificado el archivo, la fecha de modificación
y la hora en que se volvió a registrar. Un informe de historial muestra el acceso a los
recursos, y mediante el campo “Comentario” se puede documentar la finalidad del acceso.
Un usuario puede revisar cualquier versión para determinar qué ha cambiado entre una
versión y otra. Todos los registros gestionados también se pueden configurar para que no
se destruyan.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 4

11.10(f)
• Se deben usar comprobaciones operativas del sistema para aplicar la secuencia permitida
de pasos y eventos, según proceda.
• SOLIDWORKS PDM Professional aplica un flujo de trabajo personalizable a cada registro
que le permite definir una serie de pasos secuenciales que debe seguir un registro
durante su ciclo de vida, y aplicar y registrar la ejecución de cada paso.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 5

11.10(g)
• Se deben usar comprobaciones de autorización para garantizar que solo los usuarios
autorizados pueden usar el sistema, firmar un registro electrónicamente, acceder al
dispositivo de entrada o salida del sistema informático o de operaciones, alterar un registro
o realizar una operación concreta.
• El acceso al sistema y todos los permisos se administran por medio del nombre de usuario
y la contraseña.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 6

11.10(h)
• Se deben usar comprobaciones de dispositivo (por ejemplo, terminal) para determinar,
según corresponda, la validez del origen de la entrada de datos o la instrucción de
funcionamiento.
• Toda la seguridad se gestiona por nombre de usuario y contraseña. La función de firma
electrónica doble proporciona un nivel de protección adicional. Esto significa que incluso
después de que el usuario haya iniciado sesión y obtenido acceso al sistema, debe volver
a introducir su contraseña para indicar su aprobación o “firma” en un documento o paso
de un proceso.

SOLIDWORKS PDM y la norma de la FDA 21 CFR, parte 11 7

11.10(i)
• Se debe determinar que las personas que desarrollan, mantienen o utilizan sistemas de
firma electrónica y registros electrónicos tengan la educación, formación y experiencia
necesarias para desempeñar las tareas que tienen asignadas.
• Es responsable de la educación y formación de las personas que utilizan este sistema.
Una vez que identifique a los usuarios cualificados, se pueden crear grupos para distintas
certificaciones. Los usuarios se pueden agregar a los grupos apropiados. El acceso a tareas
y documentos se puede restringir a grupos concretos.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 8

11.10(j)
• Se deben establecer y cumplir políticas expresadas por escrito que responsabilicen a
los individuos de las acciones iniciadas bajo su firma electrónica, a fin de desalentar la
falsificación de registros y firmas.
• Esto está respaldado por las políticas y procedimientos de la empresa.
11.10(k.1)
• Se deben usar controles apropiados de la documentación de los sistemas, incluidos
controles adecuados relativos a la distribución, el acceso y el uso de documentación sobre
el funcionamiento y mantenimiento de los sistemas.
• Esto está respaldado por las políticas y procedimientos de la empresa. “Historial del
sistema” proporciona documentación de las acciones realizadas por los administradores.
11.10(k.2)
• Se deben aplicar procedimientos de revisión y control de cambios para mantener un
registro de auditoría que documente el desarrollo y la modificación de la documentación
de los sistemas, con secuencia temporal.
• Esto está respaldado por las políticas y procedimientos de la empresa. “Historial del
sistema” proporciona documentación de las acciones realizadas por los administradores.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 9

11.30 CONTROLES PARA SISTEMAS ABIERTOS
11.30
• Se deben emplear procedimientos y controles para garantizar la autenticidad, integridad
y, si procede, la confidencialidad de los registros electrónicos desde su creación hasta su
recepción, como el cifrado de documentos y el uso de estándares de firma digital apropiados.
• PDM Professional está diseñado para usarse como sistema cerrado.

11.50 MANIFESTACIONES DE FIRMA

11.50(a)
• Los registros electrónicos firmados deberán contener información asociada a la firma que
indique claramente lo siguiente:
1. Nombre impreso del firmante
2. Fecha y hora de ejecución de la firma
3. Significado (como revisión, aprobación, responsabilidad o autoría) asociado a la firma
• SOLIDWORKS PDM Professional registra el evento (registro, aprobación, rechazo, etc.) en
el archivo de historial junto con el ID de usuario y permite u obliga al usuario a
proporcionar un comentario.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 10

11.70 VÍNCULO DE FIRMAS Y REGISTROS
11.70
• Las firmas electrónicas y las firmas manuscritas ejecutadas en registros electrónicos se
deberán vincular a sus registros electrónicos respectivos para garantizar que las firmas
no se puedan eliminar, copiar o transferir para falsificar un registro electrónico por
medios ordinarios.
• SOLIDWORKS PDM Professional registra el evento (registro, aprobación, rechazo, etc.) en
el archivo de historial junto con el ID de usuario y permite u obliga al usuario a
proporcionar un comentario. Las firmas manuscritas se pueden anexar como
documentos PDF al registro pertinente.

11.100 REQUISITOS GENERALES

11.100(a)
• Cada firma electrónica debe ser exclusiva de una sola persona y ninguna otra persona la
puede reutilizar ni se puede reasignar a ninguna otra persona.
• A cada usuario que se agregue a la aplicación se le asignarán credenciales únicas (nombre y
contraseña de inicio de sesión) para iniciar la sesión. Todas las transacciones registradas por
la aplicación se atribuirán al nombre de inicio de sesión único del usuario, lo que garantiza
la trazabilidad de todas las transacciones clave. El usuario es responsable de proporcionar
y proteger su nombre y contraseña de inicio de sesión en el paso de autenticación
secundaria. El administrador puede denegar el inicio de sesión a los empleados cuyo
contrato haya finalizado. Esto conserva sus datos en el sistema e impide que se vuelva a
emitir el mismo nombre de usuario.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 11

11.100(b)
• Antes de que una organización establezca, asigne, certifique o sancione de alguna otra
manera la firma electrónica de una persona o cualquier elemento de dicha firma electrónica,
la organización deberá verificar la identidad de la persona.
• Esto está respaldado por las políticas y procedimientos de la empresa.
11.100(c)
• Antes de usar firmas electrónicas, las personas deberán certificar a este organismo
gubernamental que las firmas electrónicas de sus sistemas usadas en o después
del 20 de agosto de 1997 tienen como propósito ser el equivalente jurídicamente
vinculante de las firmas manuscritas tradicionales.
1. Esta certificación se deberá enviar en formato papel, firmada con una firma manuscrita
tradicional, a Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD
20857, Estados Unidos.
2. Si este organismo gubernamental lo solicita, las personas que empleen firmas electrónicas
deberán proporcionar certificación o testimonio adicionales de que una firma electrónica
concreta es el equivalente jurídicamente vinculante de la firma manuscrita del firmante.
• Esto está respaldado por las políticas y procedimientos de la empresa.

11.200 COMPONENTES Y CONTROLES DE FIRMA ELECTRÓNICA

11.200(a)(1)
• Las firmas electrónicas que no se basen en datos biométricos deberán emplear como
mínimo dos componentes de identificación distintos, como un código de identificación y
una contraseña.
• SOLIDWORKS PDM Professional requiere la combinación del nombre de usuario y
la contraseña como los componentes de identificación distintos.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 12

11.200(a)(1)(i)
• En una sesión continua:
1. La primera firma se debe ejecutar con todos los componentes de firma electrónica.
2. Las firmas posteriores se deben ejecutar con un componente de firma electrónica como
mínimo, que solo se pueda ejecutar por parte de esa persona y que esté diseñado para
que lo utilice solo esa persona.
• SOLIDWORKS PDM Professional requiere un nombre de usuario y una contraseña al
principio de cada sesión nueva. Los eventos de flujo de trabajo posteriores, como las
aprobaciones y las validaciones, se pueden configurar para requerir una contraseña.
11.200(a)(1)(ii)
• Cuando una persona ejecute una o más operaciones de firma no realizadas durante un
periodo único y continuo de acceso controlado al sistema, cada operación de firma se
deberá ejecutar con todos los componentes de firma electrónica.
• Esto está respaldado por SOLIDWORKS PDM Professional. En cada sesión nueva, se
requieren ambos componentes de identificación para iniciar sesión, es decir, el nombre
de usuario y la contraseña. Las aprobaciones posteriores por medio del flujo de trabajo
se pueden configurar para presentar un desafío doble al volver a requerir una contraseña.

11.200(a)(2)
• Solo el propietario legítimo puede usar las firmas electrónicas que no sean biométricas.
• Las firmas electrónicas son exclusivas de una persona. Para aumentar la seguridad, se
puede reducir el acceso no autorizado a las cuentas activando el “Tiempo de espera de
inactividad” en el escritorio de Windows. Además, las aprobaciones posteriores por medio
del flujo de trabajo se pueden configurar para presentar un desafío doble al volver a requerir
una contraseña.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 13

11.200(a)(3)
• Las firmas electrónicas que no se basen en datos biométricos se deberán administrar y
ejecutar de manera que se garantice que un intento de usar la firma electrónica de una
persona por parte de alguien distinto de su propietario legítimo requiera la colaboración de
dos o más personas.
• SOLIDWORKS PDM Professional no está diseñado para permitir el uso por parte de
una persona distinta del propietario legítimo de la firma electrónica. No obstante, este
requisito se puede admitir por medio de la definición de un proceso de aprobación
paralelo que requiera varias revisiones y validaciones si el aprobador original no está
disponible.
11.200(b)
• Se deben diseñar las firmas electrónicas basadas en datos biométricos de manera que se
garantice que no las podrá utilizar alguien distinto de sus legítimos propietarios.
• PDM Professional no admite datos biométricos.

11.300 CONTROLES DE CÓDIGOS DE IDENTIFICACIÓN Y CONTRASEÑAS

11.300 (a)
• Se debe mantener la exclusividad de cada combinación de código de identificación y
contraseña, de manera que no pueda haber dos personas con la misma combinación de
código de identificación y contraseña.
• PDM Professional no permite crear nombres de usuario duplicados, lo que garantiza
que no pueda haber dos personas con la misma combinación de identificación y
contraseña. El administrador puede denegar el inicio de sesión a los empleados cuyo
contrato haya finalizado. Esto conserva los datos en el sistema e impide que se vuelva a
emitir el mismo nombre de usuario.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 14

11.300 (b)
• Se debe garantizar que los códigos de contraseña y las contraseñas emitidos se
comprueben, retiren o revisen de manera periódica (por ejemplo, para eventos como la
caducidad de contraseñas).
• Por lo general, hay políticas de seguridad de la empresa configuradas para la caducidad
de contraseñas, etc. Como SOLIDWORKS PDM Professional puede reutilizar la
autenticación existente a través de Active Directory o servidores LDAP, se pueden
aplicar las mismas políticas de caducidad de contraseñas a los usuarios de SOLIDWORKS
PDM Professional.

11.300(c)
• Se deben seguir procedimientos de gestión de pérdidas para desautorizar de manera
electrónica las señales, tarjetas y otros dispositivos perdidos, robados, ausentes o puestos
en peligro de cualquier otro modo, que incluyan o generen información de códigos de
identificación o contraseñas, y para emitir sustitutos temporales o permanentes siguiendo
estrictos controles adecuados.
• Esto está respaldado por las políticas y procedimientos de la empresa. El administrador
puede decidir denegar el inicio de sesión a los usuarios que estén en una posible situación
de riesgo.

Rechazar inicio de sesión

Deniega al usuario permiso para iniciar sesión en el
almacén de archivos.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 15

11.300(d)

• Se deben usar medios de protección de transacciones para impedir el uso no autorizado de

contraseñas y códigos de identificación y para detectar y notificar de manera inmediata y
urgente cualquier intento de uso no autorizado a la unidad de seguridad del sistema y, si
procede, al equipo de gestión de la organización.
• Este requisito está directamente relacionado con el registro y la gestión de intentos de
inicio de sesión y firma electrónica fallidos. Los clientes de SOLIDWORKS PDM
Professional capturan todas las actividades de acceso a cuentas en el equipo local,
incluidos los intentos fallidos con marcas de tiempo, en un archivo de registro. En el
servidor se pueden generar informes SQL para auditar los inicios de sesión de los usuarios
con sus respectivas marcas de tiempo y nombres de equipo para controlar posibles
actividades sospechosas. De nuevo, como SOLIDWORKS PDM Professional puede
reutilizar la autenticación existente a través de Active Directory o servidores LDAP, se
pueden aplicar los mismos mecanismos de protección de transacciones a los usuarios
de SOLIDWORKS PDM Professional. Puede personalizar el punto en que se bloquea el
sistema y todos los intentos posteriores de obtener acceso se deniegan.

SOLIDWORKS PDM Professional y la norma de la FDA 21 CFR, parte 11 16

11.300(e)
• Se deben realizar pruebas iniciales y periódicas de los dispositivos, como señales o tarjetas,
que incluyan o generen información de códigos de identificación o contraseñas para
garantizar que funcionan correctamente y que no se han alterado de manera no autorizada.
• Esto está respaldado por los procedimientos de la empresa. En la gestión del acceso de
usuarios se mantiene un historial completo de los cambios y las modificaciones.

©2014 Dassault Systèmes. Reservados todos los derechos. 3DEXPERIENCE, CATIA, SOLIDWORKS, SIMULIA, DELMIA, ENOVIA, GEOVIA, EXALEAD, NETVIBES, 3DSWYM y 3DVIA son marcas comerciales registradas de Dassault Systèmes
o sus filiales en EE. UU. u otros países. Los demás nombres de productos y marcas son marcas comerciales de sus respectivos propietarios.MKFDATECHSPECTPESP0511
Hay información adicional disponible en el sitio web de SOLIDWORKS en www.solidworks.es.
Puede consultar el boletín eNewsletter, los comunicados de prensa y la información sobre seminarios, ferias y
grupos de usuarios de SOLIDWORKS en http://www.solidworks.es/sw/183_ESN_HTML.htm.

La plataforma 3DEXPERIENCE impulsa nuestras aplicaciones y ofrece un extenso portfolio de

experiencias que dan solución a 12 industrias diferentes.
Dassault Systèmes, la compañía de 3DEXPERIENCE®, suministra a empresas y usuarios universos virtuales en los que pueden dar rienda suelta
a su imaginación para crear diseños innovadores y sostenibles. Sus soluciones, líderes mundiales, transforman las fases de diseño, producción
y asistencia de todo tipo de productos. Las soluciones de colaboración de Dassault Systèmes fomentan la innovación social, lo que amplía las
posibilidades de que el mundo virtual mejore el mundo real. El grupo aporta un gran valor a más de 170 000 clientes de todos los tamaños y
sectores en más de 140 países. Si desea obtener más información, visite www.3ds.com/es.
Sede corporativa América Dassault Systèmes España S.L.
Dassault Systèmes Dassault Systèmes +34-902-147-741
10, rue Marcel Dassault SolidWorks Corporation infospain@solidworks.com
CS 40501 175 Wyman Street
78946 Vélizy-Villacoublay Waltham, MA 02451 USA
Cedex +1 781 810 5011
France generalinfo@solidworks.com