FDA 21 CFR Part 11

Visión General

El FDA (Food and Drug Administration de los Estados Unidos) estableció la Parte 11 del título 21 del Code of Federal
Regulations (FDA 21 CFR Part 11), que contiene requisitos de seguridad para empresas del segmento de ciencias de la
vida. Esos requisitos garantizan que los registros y firmas electrónicas sean legítimos y auténticos, permitiendo que en
diversas situaciones puedan sustituir sus equivalentes en papel. Muchas empresas también aplican el FDA 21 CFR Parte
11 para mejorar la seguridad y confiabilidad de los sistemas de TI.

La demanda por medicamentos viene aumentando de forma significativa, al mismo tiempo en que las agencias
reguladoras hacen que sea más riguroso el proceso de aprobación de nuevos medicamentos. La fuerte reglamentación
trae muchos desafíos al sector, exigiendo de las empresas el direccionamiento de los esfuerzos para asegurar que los
rigurosos estándares de calidad y conformidad sean atendidos. De esa forma, evitan que los productos presenten
problemas de calidad y seguridad, que pueden resultar en multas o puniciones legales y fragilizar la imagen de la
empresa, impactando directamente en los ingresos y en la participación de mercado.

SoftExpert ofrece la solución de software más amplia y avanzada para la gestión de conformidad, que atiende las
exigencias de los más diversos estándares regulatorios globales. SoftExpert Excellence Suite (SE Suite) auxilia a las
empresas en el cumplimiento de los requisitos de la FDA 21 CRF Parte 11, al mismo tiempo en que aumenta la seguridad y
disminuye los riesgos y los costos operacionales.

La solución SoftExpert permite que las organizaciones atiendan fácilmente los requisitos de la FDA 21 CFR Parte 11, a
través de recursos para la gestión de documentos, registros, revisiones, control de acceso, recorrido de auditoría, además
de no conformidades, indicadores, procesos, entre otros, aumentando la eficiencia organizacional y evitando retrabajo y
desperdicio.

Con recursos de colaboración en línea, la organización y sus gestores tienen una mayor visibilidad y pueden mantenerse
actualizados sobre las iniciativas de atención regulatoria. La solución integra a usuarios, equipos y departamentos a
través de procesos estandarizados, simplificando todo el proceso de preparación para las auditorías de la FDA.

Beneficios

• Reduce los esfuerzos para cumplir estándares FDA, ISO y otros reglamentos.
• Simplifica la elaboración, revisión y aprobación de documentos regulatorios.
• Previene la existencia y uso de documentos duplicados y obsoletos.
• Garantiza acceso solamente a documentos vigentes y evita desvíos de proceso.
• Garantiza la disponibilidad y rastreabilidad de las informaciones para las auditorías de la FDA.
• Promueve el compromiso de la empresa con la calidad y seguridad de los clientes.
• Proporciona a los clientes una mejor experiencia con los productos y servicios.
Solución
Subpart B- Electronic Records
§ 11.10 Controls for Closed Systems
Sección Exigencia 21 CFR Parte 11
Personas que utilizan sistemas cerrados para crear, modificar,
§ 11.10 (a) mantener o transmitir registros electrónicos deben emplear
procedimientos y controles proyectados para asegurar la
autenticidad, integridad y, cuando apropiado, la confidencial
edad de los registros electrónicos, y asegurar que el firmante no
podrá repudiar prontamente el registro firmado como no
genuino.
Tales procedimientos y controles deben incluir lo siguiente:
Validación de sistemas para asegurar exactitud, confiabilidad,
desempeño deseado consistente y la habilidad de discernir
registros inválidos o alterados.
La habilidad de generar copias de registros exactos y completos
§ 11.10 (b) tanto de forma legible humana como electrónica adecuada para
inspección, revisión y copia por la agencia.
Protección de registros para permitir su búsqueda exacta y lista
§ 11.10 (c) por todo el período de retención.
Limitar acceso al sistema para personas autorizada.
§ 11.10 (d)
§ 11.10 (e)
Utilizar verificaciones del sistema operacional para obligar
§ 11.10 (f) secuencia permitida de pasos y eventos, como apropiado.
Utilizar verificación de autoridad para asegurar que solamente
§ 11.10 (g) personas autorizadas puedan acceder el sistema, firmar un
registro electrónicamente, acceder el sistema operacional o
computacional de entrada y salida, alterar un registro, o ejecutar
la operación manualmente.
Determinar que personas que desarrollan, mantienen, o utilicen
§ 11.10 (i) sistemas de registro electrónico / firma electrónica tengan la
educación, capacitación y experiencia para desempeñar sus
funciones.
Establecer a obtener adherencia a las políticas escritas, las
§ 11.10 (j) cuales determinan que individuos puedan ser responsabilizados
y sean responsables y por acciones iniciadas bajo su firma
electrónica, de forma a detener falsificación de registros y firmas.
Conformidad SoftExpert
El SE Suite permite a los usuarios certificados firmar digitalmente y verificar
documentos electrónicos en su propia computadora. Certificados Digitales
proveen un medio de probar la identidad del firmante en las transacciones
electrónicas. Firmas Digitales permiten "autenticación" de contenido digital,
garantizando al destinatario de un contenido digital, tanto la identidad del
firmante, como la integridad del contenido. Un Certificado Digital es emitido
por una Autoridad Certificadora (AC) y firmado con la llave privada de la AC. El
firmante de un documento no puede negar posteriormente, afirmando que la
firma era falsificada.
Atiende a las más recientes normas de validación GAMP y a las exigencias de
la 21CFR Parte 11 para los registros y firmas electrónicas, asegurando su
funcionamiento conforme previsto. La SoftExpert provee servicios de
validación de alcance, incluyendo pruebas onsite IQ (instalación y
cualificación), OQ (cualificación operacional) y PQ (cualificación de
desempeño) para garantizar que el sistema sea totalmente compatible. Para
las empresas que desean realizar sus propias validaciones, SoftExpert ofrece
una Herramienta de Validación, que provee una detallada análisis
previamente escrita de protocolos de pruebas y scripts.
El SE Suite provee copias de registros electrónicos por los métodos de
conversión y exportación automatizados en formatos comunes (como PDF y
XML), preservando el contenido y el significado del registro.
Todo registro creado en el software Softexpert tiene la posibilidad de ser
impreso en formato legible humano.
SoftExpert garantiza que los registros relevantes son preservados y
protegidos de manipulación durante el período de conservación exigido, con
un abordaje flexible que combina el almacenaje híbrido electrónico y/o papel
por largo plazo.
El software SoftExpert exige una identificación única (UserID) y contraseña
para acceso al sistema.
Los administradores de sistema pueden opcionalmente imponer
autenticación de login automático y/o políticas de autorizaciones dentro del
software SoftExpert por medio del sign-on único e integrado del Servicio de
Autenticación de Directorio Activo. Sign-on único es un método de acceso
controlado a la empresa que permite a un usuario acceder una vez y tener
acceso a los múltiples recursos garantizando la política de seguridad y acceso
por toda la empresa.
La trilla de auditoría prevé un registro histórico de alteraciones y operaciones,
incluyendo una captura automática de firma, fecha, hora, secuenciamiento de
eventos, indicando cuál el operador que hizo las entradas, y cuando las
acciones fueron ejecutadas. Cada adición, modificación y exclusión de un
registro o documento es grabado con un registro de tiempo generado por
computadora. Un nuevo registro es grabado para cada alteración para no
obscurecer información previamente grabada. Registros de auditoría pueden
fácilmente ser accedidos y filtrados para eventos específicos (por ejemplo,
alteración de determinado campo).
Los propios registros de auditoría no pueden ser modificados o excluidos.
Por medio de la utilización de ventanas de configuraciones de SoftExpert
secuenciar pasos, eventos y verificaciones de procesamiento pueden ser
obligados.
Los administradores de sistema pueden determinar niveles apropiados de
acceso a las operaciones, registros y documentos para cada usuario en el
sistema, permitiendo que datos sean accedidos de forma a permitir lectura y
escrita, solamente lectura, o sin acceso.
Verificación de contraseña puede ser configurada conforme necesario
siempre que un usuario informa su nombre (esto es, firma) en un registro o
documento. El sistema puede también solicitar contraseñas diferentes para
acceso al sistema y firma de registros. Todas las contraseñas de usuarios
utilizan criptografía para seguridad.
SoftExpert provee un abarcador programa de capacitación del producto. Los
cursos de formación son proveídos para cada nivel de usuario para garantizar
que cada uno pueda desempeñar las funciones atribuidas, dentro del sistema.
El log de auditoría de Softexpert asegura que las personas que efectuaron
modificaciones en registros queden registradas. Además, para eliminar
posible falsificación de firma cuando un usuario pueda momentáneamente
dejar su estación de trabajo (permitiendo que otro usuario use la sesión de
login para alterar un registro) software SoftExpert puede ser rápidamente y
fácilmente inhabilitado por el usuario y entonces re-habilitado entrando con su
contraseña para continuar su sesión.
 Utilizar controles apropiados sobre la documentación del
sistema incluyendo:
§ 11.10 (k)
(1) Controles adecuados sobre la distribución, acceso y
utilización de documentación para operación y mantenimiento
del sistema.
(2) Procedimientos de control de revisión y alteración para
mantener una trilla de auditoría que documente la secuencia de
tiempo de desarrollo y modificación de la documentación del
sistema.
El software Softexpert exige niveles apropiados de acceso a documentos para
cada usuario en el sistema. Posee funcionalidades internas de revisión y
control de modificación.
Todas las versiones del Sistema de Documentación de SoftExpert incluyen
guías de instalación, de administración y del usuario. Estos documentos son
identificados de forma única y asociados a una determinada versión del
software.

Subpart B- Registros Electrónicos

§ 11.50 Manifestaciones de Firma

Sección Exigencia 21 CFR Parte 11 Conformidad SoftExpert

Registros electrónicos firmados deben contener informaciones Nombre de usuario, fecha, hora y una descripción de la operación realizada
§ 11.50 (a) asociadas a la firma las cuales indiquen claramente todos los (se quiere decir, revisión, aprobación, impresión, etc.) son capturados
ítems a continuación: automáticamente con cada firma.
(1) El nombre impreso del firmante.
(2) La fecha y hora en que la firma fue ejecutada.
(3) El significado (tal como la revisión, aprobación,
responsabilidad o autoría) asociado a la firma.

Los ítems identificados en los parágrafos (a)(1), (a)(2) y (a)(3) de
§ 11.50 (b) esa sección deben estar sujetos a los mismos controles de los
registros electrónicos y deben estar incluidos como parte de
cualquier forma legible del registro electrónico (tal como display
electrónico o impresión).
Información de la firma y marca de agua configurable son timbrados sobre el
documento en el formato electrónico o formato impreso. Garantía de
autenticidad por numeración secuencial y marcación de fecha/hora de
documentos cuando son impresos.

Subpart B- Registros Electrónicos

§ 11.70 Registro/Correlación de Firmas

Sección Exigencia 21 CFR Parte 11 Conformidad SoftExpert

Firmas electrónicas y firmas manuscritas ejecutadas por
§ 11.70 (a) registros electrónicos deben estar correlacionadas para
asegurar que las firmas no puedan ser excluidas, copiadas o
transferidas para falsificar un registro electrónico por medios
regulares.
Una firma es anexada al registro en una forma inmutable, con el fin de evitar
falsificaciones al copiarse una firma electrónica para un registro diferente. Las
informaciones de la firma no pueden ser adulteradas después de aprobación.

Subpart B- Firma Electrónica

§ 11.100 Exigencias Generales

Sección Exigencia 21 CFR Parte 11 Conformidad SoftExpert

Cada firma electrónica debe ser única para un individuo y no Ninguna combinación de código de identificación y contraseña puede ser
§ 11.100 (a) debe ser reutilizada o designada a ningún otro. igual, ni puede ser reutilizada.

Subpart B- Firma Electrónica

§ 11.200 Componentes y Controles de Firma Electrónica

Sección Exigencia 21 CFR Parte 11 Conformidad SoftExpert

Firmas electrónicas las cuales no son basadas en biometría El software SoftExpert utiliza una combinación de identificación de usuario
§ 11.200 (a) deben: (UserID) y contraseña para identificar un individuo. Durante un período
continuo de acceso al sistema controlado, el sistema puede ser configurado
(1) Emplear por lo menos dos componentes de identificaciones
para exigir verificación de contraseña durante firma de registro y un período o
distintos, tales como, un código de identificación y contraseña. (i)
cuando un individuo ejecuta una serie de firmas durante un intervalo de tiempo determinado por el Administrador de Sistema.
período continuo de acceso al sistema controlado, firmas El sistema puede ser configurado para exigir automáticamente todos los
subsecuentes deben ser ejecutadas utilizando por lo menos un
componentes de firma después de un período de inactividad determinado por
componente de firma electrónica el cual solamente puede ser
ejecutado y proyectado para ser utilizado solamente por el el administrador de sistema.
individuo. (ii) cuando un individuo ejecuta una o más firmas que
no fueron ejecutadas durante un período único y continuo de
acceso al sistema controlado, cada firma debe ser ejecutada
utilizando todos los componentes de firma electrónica.

(2) Ser utilizada solamente por sus genuinos propietarios.

Subpart B - Firma Electrónica

§ 11.300 Controles para códigos/contraseña de identificación

Sección Exigencia 21 CFR Parte 11 Conformidad SoftExpert

Las personas que utilizan firmas electrónicas con base en el uso Todas las combinaciones de código de usuario/contraseña son únicas.
§ 11.300 (a) de códigos de identificación en combinación con contraseña
deben emplear controles para asegurar su seguridad e
integridad. Tales controles deben:

(a) Mantener la singularidad de cada identificación combinada

de código y contraseña, de tal forma que ningún otro individuo
tiene la misma combinación de código y contraseña.
 (b) asegurar que la emisión de código de identificación y
§ 11.300 (b) contraseña sean periódicamente verificados, recogidos o
revisados (por ejemplo, para cubrir eventos como vencimiento
de la validez de la contraseña).
Código del usuario y contraseñas deben ser configuradas para expirar en
determinados intervalos, exigiendo con que el usuario crie nueva contraseña.
Usuarios no tienen permiso para reutilizar contraseñas recientes. Las
contraseñas deben contener al menos un número mínimo configurable de
caracteres. El software SoftExpert provee un programa de validación de
Contraseña Fuerte que exige letra mayúscula, minúscula, números, caractere
especial y tamaño. Contraseñas fuertes disminuyen el riesgo de quiebra de
seguridad por contraseñas que son difíciles de detectar por humanos o
computadoras.

Utilizar salvaguardias de transacción para prevenir uso no
§ 11.300 (d) autorizado de contraseñas y/o código de identificación, y para
detectar y reportar de una manera inmediata y urgente cualquier
tentativa de su uso no autorizado a la unidad de seguridad de
sistema, y, conforme apropiado, a la gerencia organizacional.
El SE Suite puede ser configurado para no autorizar que usuarios hagan log in
en más de una sesión al mismo tiempo en computadoras distintas. El sistema
irá a inhabilitar la cuenta del usuario si entra con contraseña incorrecta más de
un cierto número configurado al inicio de la sesión, o siempre que una
contraseña sea necesaria. En ese caso, el sistema notifica el Administrador de
Sistema vía e-mail y genera un evento en el log de auditoría. Además, cuentas
de usuarios pueden ser inhabilitadas por el Administrador de Sistema en
cualquier momento.

Screenshots

Control de documentos Firma digital

Revision de documentos Recorrido de auditoría

www.softexpert.es | ventas@softexpert.com
Aviso Legal: El contenido de esta publicación no puede ser copiado o reproducido, totalmente o en partes, sin la autorización previa de SoftExpert Software. Esta
publicación es colocada a disposición por SoftExpert y/o su red de afiliados sólo en carácter informativo, sin ninguna garantía de ningún tipo. Las únicas garantías
relacionadas a los productos y servicios de SoftExpert son aquellas declaradas en contrato. Algunas características y funcionalidades de los productos presentados en
esta publicación pueden ser opcionales o dependientes de la composición(es) de la(s) oferta(s) adquirida(s). El contenido de este material está sujeto a alteración sin
previo aviso. Lleve su empresa al próximo nivel