Conformité à 21 CFR partie 11
JMobile Studio inclut un ensemble de fonctions visant à répondre aux exigences spécifiées dans FDA 21 CFR partie 11. Cette norme est destinée à fournir une solution pour le traitement sécurisé des documents électroniques et des signatures électroniques dans les applications industrielles.
Le tableau énumère toutes les exigences spécifiées par le règlement et indique les fonctions disponibles dans JMobile Studio sur la conformité.
La conformité à la FDA 21 CFR partie11 est facultative pendant le développement de l'application et le développeur de l'application est responsable de la configurer correctement.
| Chapitre | Description | JMobile Studio Niveau de conformité |
|---|---|---|
| 11.10(a) | (a) Validation des systèmes pour assurer l'exactitude, la fiabilité, l'uniformité du rendement visé et la capacité de discerner les dossiers non valides ou modifiés. |
Les rapports générés par JMobile Studio peuvent être signés à l'aide de certificats x.509. Un certificat incluant la clé publique, nécessaire pour vérifier la signature des rapports, sera exporté avec le rapport. Références : |
| 11.10(b) | La capacité de produire des copies exactes et complètes des documents sous forme écrite et sous forme électronique qui se prêtent à l'inspection, à l'examen et à la reproduction par l'organisme. Les personnes doivent contacter l'agence s'il y a des questions concernant la capacité de l'agence à effectuer un tel examen et une telle copie des documents électroniques. |
Le développeur d'application peut sélectionner les ressources (valeurs de processus, alarmes, etc.) dont les changements seront suivis jusqu'au journal d'audit. Chaque modification des ressources sélectionnées sera enregistrée avec le nom de l'opérateur qui effectue la modification. Les rapports de journal d'audit peuvent être exportés dans des fichiers.csv. Références : |
| 11.10(c) | Protection des enregistrements pour permettre leur récupération précise et rapide tout au long de leur période de conservation. |
Les applications peuvent être développées afin de générer des rapports signés vers la mémoire externe ou des dossiers en réseau à des intervalles prédéfinis (par exemple en fin de journée) ou lorsque la mémoire tampon circulaire est pleine. L'utilisateur est responsable de conserver ces rapports pendant la période de conservation. Références : |
| 11.10(d) | Limiter l'accès au système aux personnes autorisées. |
Le développeur d'application est responsable de la configuration correcte de l'application au sujet de la sécurité. Références : |
| 11.10(e) | Utilisation de journaux d'audit sécurisés, générés par ordinateur et horodatés pour l'enregistrement indépendamment la date et l'heure des saisies et des actions de l'opérateur qui créent, modifient ou suppriment des enregistrements électroniques. Les modifications apportées aux enregistrements ne doivent pas masquer les informations précédemment enregistrées. Cette documentation sur les journaux d'audit est conserve pendant une période au moins aussi longue que celle requise pour les documents électroniques en question et sont disponibles aux fins d'examen et de copie par l'agence. |
Les enregistrements des journaux d'audit sont stockés à l'aide d'une mémoire tampon circulaire (pour garantir que le périphérique ne sera pas à court de mémoire). Les journaux d'audit ne peuvent pas être modifiés par l'opérateur. Chaque enregistrement contient un numéro séquentiel visant à vérifier facilement la présence de tous les enregistrements. L'application peut être développée pour sauvegarder/exporter une copie des données à intervalles réguliers (par exemple en fin de chaque journée) ; l'opérateur est responsable de garder une copie des rapports dans un endroit sûr. Références : |
| 11.10(f) | Utilisation de vérifications du système opérationnel visant à faire respecter l'enchaînement autorisé des étapes et des événements, s'il y a lieu. | Des macros ou JavaScript peuvent être utilisés pour configurer les séquences de commandes dans l'application. |
| 11.10(g) | Utilisation de vérifications d'autorité pour garantir que seules les personnes autorisées peuvent utiliser le système, signer électroniquement un document, accéder au dispositif d'entrée ou de sortie du système informatique, modifier un document ou effectuer manuellement l'opération. |
L'application IHM peut être configurée
Références : |
| 11.10(h) | Vérifications de périphériques (p. ex., terminaux) pour déterminer, le cas échéant, la validité de la source entrées de données ou d'instruction opérationnelle. |
Les ressources peuvent être configurées pour n'être accessibles qu'à partir de groupes d'utilisateurs sélectionnés. La liste des adresses IP autorisées peut être configurée à partir des paramètres de gestion des utilisateurs. Références : |
| 11.10(i) | Détermination que les personnes qui développent, maintiennent ou utilisent des systèmes d'enregistrement électronique et de signature électronique ont reçu l'enseignement, la formation et ont l'expérience afin d'accomplir les tâches qui leur sont assignées. | Le développeur d'application est responsable de la définition et de l'attribution des droits d'utilisateur appropriés à chaque utilisateur ayant accès à l'interface homme-machine. |
| 11.10(j) | L'établissement et le respect de politiques écrites qui tiennent les personnes responsables des mesures prises en vertu de leur signature électronique, afin de décourager la falsification d'enregistrements et de signatures. | Le développeur d'application est responsable de la mise en place des procédures appropriées. |
| 11.10(k) |
Utilisation de contrôles appropriés sur la documentation des systèmes, y compris : (1) Contrôles appropriés de la distribution, de l'accès et de l'utilisation de la documentation pour l'exploitation et la maintenance du système. (2) Révision et procédures de contrôle des changements afin de maintenir un journal d'audit qui documente le développement et la modification échelonnés dans le temps de la documentation des systèmes. |
Le développeur d'application est responsable de la mise en place des procédures appropriées. |
| 11,30 | Les personnes qui utilisent des systèmes ouverts pour créer, modifier, maintenir ou transmettre des documents électroniques emploient des procédures et des contrôles conçus pour assurer l'authenticité, l'intégrité et, le cas échéant, la confidentialité des documents électroniques depuis leur création jusqu'à leur réception. Ces procédures et contrôles doivent comprendre les procédures et contrôles mentionnés en section 11.10, selon le cas, ainsi que des mesures supplémentaires comme le chiffrement des documents et l'utilisation de normes de signature numérique appropriées pour assurer, au besoin dans les circonstances, l'authenticité, l'intégrité et la confidentialité des documents. | JMobile Studio a été conçu pour fonctionner en systèmes fermés. |
| 11.50(a) |
Les dossiers électroniques signés doivent contenir des renseignements accompagnant la signature qui indiquent clairement tous les éléments suivants : (1) Le nom du signataire, (2) la date et l'heure auxquelles la signature a été apposée et (3) La signification (comme l'examen, l'approbation, la responsabilité ou la qualité d'auteur) associée à la signature. |
Tous les enregistrements seront ajoutés au journal d'audit avec l'horodatage et l'identifiant de l'utilisateur connecté. Références : |
| 11.50(b) | Les éléments visés aux paragraphes (a)(1), (a)(2) et (a)(3) de la présente section sont soumis aux mêmes contrôles que les enregistrements électroniques et doivent être inclus dans toute forme lisible d'enregistrement électronique (en tant qu'affichage électronique ou document imprimé). | |
| 11,70 | Les signatures électroniques et les signatures manuscrites exécutées sur des enregistrements électroniques doivent être liées à leurs enregistrements électroniques respectifs afin de garantir que les signatures ne peuvent pas être supprimées, copiées ou transférées de toute autre façon dans le but de falsifier un enregistrement électronique par des moyens ordinaires. | Le développeur d'application est responsable d'éviter d'utiliser des macros qui permettent l'importation/exportation des mots de passe des utilisateurs. |
| 11.100(a) | Chaque signature électronique doit être la propriété d'une seule personne et ne doit pas être réutilisée ou réaffectée à quelqu'un d'autre. | Le système garantira que deux utilisateurs avec le même identifiant ne peuvent pas être définis. Il est de la responsabilité de l'utilisateur d'éviter la suppression et la réaffectation du même nom d'utilisateur à un autre utilisateur. |
| 11.100(b) | Avant qu'une organisation établisse, assigne, certifie ou sanctionne la signature électronique d'un individu, ou tout élément d'une telle signature électronique, l'organisation doit vérifier l'identité de l'individu. | Responsabilité de l'utilisateur. |
| 11.100(c) |
Les personnes qui utilisent des signatures électroniques doivent, avant ou au moment de es utiliser, certifier à l'agence que les signatures électroniques dans leur système, utilisées le 20 août 1997 ou après cette date, sont destinées à être l'équivalent tenu de par la loi des signatures manuscrites traditionnelles. (1) La certification doit être adressée sur papier et signée d'une signature manuscrite traditionnelle au Bureau des opérations régionales (HFC-100), 5600 Fishers Lane, Rockville, MD 20857, États-Unis. (2) Les personnes utilisant des signatures électroniques doivent, à la demande de l'agence, fournir une certification ou un témoignage supplémentaire attestant qu'une signature électronique spécifique est l'équivalent l'équivalent tenu de par la loi des signatures manuscrites traditionnelles. |
Responsabilité de l'utilisateur. |
| 11.200(a) |
(a) Les signatures électroniques qui ne sont pas fondées sur des données biométriques doivent : (1) Utilisez au moins deux éléments d'identification distincts, comme un code d'identification et un mot de passe. |
Les fonctions de sécurité de JMobile Studio sont basées sur la combinaison Identifiant / Mot de passe. |
|
(i) Lorsqu'une personne exécute une série de signatures au cours d'une seule période continue d'accès contrôlé au système, la première signature doit être exécutée à l'aide de tous les composants de signature électronique ; les signatures ultérieures sont exécutées à l'aide d'au moins un composant de signature électronique qui n'est exécutable que par cette personne et conçu pour n'être utilisé que par elle. (ii) Lorsqu'une personne exécute une ou plusieurs signatures qui n'ont pas été effectuées au cours d'une seule période continue d'accès contrôlé au système, chaque signature doit être exécutée en utilisant tous les composants de signature électronique. |
Les utilisateurs doivent saisir un nom et un mot de passe pour accéder au système. Les actions importantes peuvent être configurées de manière à exiger une nouvelle saisie du mot de passe avant le démarrage de l'exécution. Références : |
|
|
(2) Utilisé uniquement par leurs propriétaires authentiques ; et (3) Administré et exécuté de manière à ce que toute tentative d'utilisation de la signature électronique d'une personne autre que son propriétaire authentique nécessite la collaboration de deux personnes ou plus. |
Chaque utilisateur est responsable de ne pas divulguer son propre mot de passe. Les mots de passe définis par l'administrateur pour le premier accès peuvent être redéfinis lors de la première utilisation. Références : |
|
| 11.200(b) | Les signatures électroniques fondées sur des données biométriques sont conçues de manière à ce qu'elles ne puissent être utilisées que par leurs propriétaires authentiques | JMobile Studio ne prend pas en charge les données biométriques. |
| 11.300(a) | Maintenir le caractère unique de chaque combinaison code d'identification et mot de passe, de sorte qu'il n'y a pas deux personnes ayant la même combinaison code d'identification et mot de passe. | Il n'est pas possible de définir deux utilisateurs avec le même ID d'utilisateur |
| 11.300(b) | S'assurer que les codes d'identification et les mots de passe sont vérifiés, rappelés ou modifiés périodiquement (p. ex. pour couvrir des événements comme le vieillissement des mots de passe). |
Le système peut être configuré pour forcer chaque utilisateur à définir un nouveau mot de passe différent après un certain nombre configurable de jours Références : |
| 11.300(c) | Suivre les procédures de gestion des pertes pour désautoriser électroniquement les jetons, cartes et autres dispositifs perdus, volés, manquants ou potentiellement compromis qui portent ou génèrent un code d'identification ou des informations sur les mots de passe, et pour émettre des remplacements temporaires ou permanents en utilisant des commandes rigoureuses et appropriées. |
Les utilisateurs peuvent changer leur mot de passe à tout moment. L'administration peut redéfinir le mot de passe de chaque utilisateur et les forcer à le redéfinir lors de la première connexion. Références : |
| 11.300(d) | Utilisation de mesures de protection des transactions pour empêcher l'utilisation non autorisée de mots de passe et/ou de codes d'identification, ainsi que pour détecter et signaler immédiatement et de manière urgente toute tentative d'utilisation non autorisée à l'unité de sécurité du système et, le cas échéant, à la direction de l'organisation. | Les tentatives de connexion échouées sont enregistrées dans le journal d'audit. |
| 11.300(e) | Effectuez des contrôles initiaux et périodiques des dispositifs, tels que les jetons ou les cartes, qui portent ou génèrent un code d'identification ou un mot de passe pour s'assurer qu'ils fonctionnent correctement et n'ont pas été modifiés de manière non autorisée. | Il incombe à l'utilisateur de s'assurer que les mesures appropriées sont prises. |