Cumplimiento reglamentario del Vi-CELL BLUE: 21 CFR parte 11

Esta sección describe las partes relevantes de las normativas 21 CFR parte 11 y su implementación utilizando el software de control Vi–CELL BLU. La implementación y el cumplimiento de 21 CFR parte 11 sigue siendo responsabilidad de la organización o entidad que cree y firme los registros electrónicos en cuestión. Los procedimientos y prácticas adecuados, como GLP y BPF, son parte del cumplimiento general de estas regulaciones, al igual que las características del software de control Vi-CELL BLU.

21 CFR parte 11

La FDA estableció la Norma de firmas y registros electrónicos (21 CFR parte 11) para definir los requisitos de los registros en formato electrónico y los criterios de aprobación de las firmas electrónicas.

Registros electrónicos

Según la subparte A de la sección 11.3 de 21 CFR parte 11, un registro electrónico es “cualquier combinación de texto, gráficos, datos, audio, imagen u otra representación de información en forma digital que se crea, modifica, mantiene, archiva, recupera o distribuye por un sistema informático”. Esto se refiere a cualquier archivo de ordenador digital enviado a la FDA, o cualquier información que no se haya enviado pero que deba archivarse. El expediente público n.º 92S-0251 del Registro Federal (Vol. 62, N.º 54) identifica los tipos de documentos aceptables para presentación en formato electrónico y donde se pueden realizar dichas presentaciones.

Requisitos de la FDA

La sección de comentarios generales de la norma establece que “La agencia enfatiza que estas regulaciones no requieren, sino que permiten, el uso de firmas y registros electrónicos”. La introducción a la norma final establece que “el uso de registros electrónicos, así como sus presentaciones a la FDA, es voluntario”.

Si se realizan presentaciones electrónicas, la sección 11.2 explica que “las personas pueden usar registros electrónicos en lugar de registros en papel o firmas electrónicas en lugar de firmas tradicionales siempre que: (1) Se cumplan los requisitos de esta parte; y (2) El documento o las partes del documento que se presentará hayan sido identificados en el expediente público n.º 92S-0251”.

El software de control Vi-CELL BLU ha sido diseñado para permitir que los usuarios cumplan la norma sobre firmas y registros electrónicos.
 

implementación de firmas y registros electrónicos

La sección 11.3 Subparte A describe dos clases de sistemas:

  1. Sistemas cerrados
    Un sistema cerrado es aquel “en el que el acceso al sistema está controlado por personas que son responsables del contenido de los registros electrónicos”. En otras palabras, las personas y la organización responsables de crear y mantener la información en el sistema también son los responsables de operar y administrar el sistema.
  2. Sistemas abiertos
    Un sistema abierto es aquel “en el que el acceso al sistema no está controlado por personas que son responsables del contenido de los registros electrónicos”.

El software de control Vi-CELL BLU está diseñado para garantizar el correcto funcionamiento, mantenimiento y administración de la seguridad del sistema y la integridad de los datos. Cualquier persona que interactúe con Vi-CELL BLU, desde los administradores hasta los usuarios, debe cumplir con estos procedimientos. Por lo tanto, la responsabilidad última es con la organización que genera firmas y registros electrónicos. El software del Vi–CELL BLU es un componente, uno de tantos vitales, del proceso general.
 

controles de registros electrónicos

La subparte B de la sección 11.10 describe los controles que se aplicarán a un “sistema cerrado”. La sección 11.30 describe los controles para un “sistema abierto”, que incluye “los identificados en la sección 11.10, según corresponda, y medidas adicionales, como el cifrado de documentos y el uso de estándares de firma digital adecuados”. Dado que un sistema Vi-CELL BLU típico puede considerarse como un sistema cerrado, los controles adicionales para sistemas abiertos no se tratarán en este documento.

El objetivo principal de estos controles es “garantizar la autenticidad, integridad y, cuando sea apropiado, la confidencialidad de los registros electrónicos y garantizar que el firmante no pueda rechazar fácilmente el registro firmado como no genuino”. En otras palabras, para proteger los datos y dificultar que alguien diga que esa no es su
“firma”. Muchos de los controles descritos en la sección 11.10 se refieren a procedimientos escritos (PNT) requeridos a una organización por la agencia, con propósitos de almacenamiento y recuperación de datos, control de acceso, formación, responsabilidad, documentación, mantenimiento de registros y control de cambios. Los demás controles se abordan bien a través del mismo software Vi–CELL BLU o en combinación con los procedimientos del usuario final.
 

Establecimiento de un registro electrónico

El software Vi-CELL BLU emplea un sistema de nombres de usuario y contraseñas, de acuerdo con las especificaciones de la subparte C de la sección 11.300, “para garantizar que solo las personas autorizadas puedan usar el sistema, firmar electrónicamente un registro, acceder al dispositivo de entrada o salida del sistema operativo o informático, alterar un registro, o realizar la operación a mano”.

21 CFR parte 11 seguridad

Para activar la opción de seguridad, seleccione .

Para activar la opción de seguridad en el software Vi-CELL BLU, realice estos pasos 

NOTA: El exceso del tiempo impartido de inactividad se establece para evitar el acceso no oficial al sistema, como cuando el sistema se deja desatendido directamente después de iniciar la cola.

El sistema le pedirá que inicie sesión. Introduzca el nombre y la contraseña en el cuadro de diálogo Log In (Iniciar sesión).

Solo los usuarios con derechos de administrador pueden crear nuevos usuarios y restablecer las contraseñas. Este archivo está protegido con una suma de comprobación y, para cada nombre de usuario, contiene información sobre cuándo se creó el usuario, quién lo creó, a qué nivel, la contraseña del usuario en forma cifrada y las rutas de acceso del archivo del usuario. Si este archivo no existe o si falta la suma de comprobación, o no es válida, el acceso al sistema solo será posible para un número limitado de usuarios especiales.
 

Historial de archivos

El software Vi–CELL BLU también introduce datos y lleva a cabo “comprobaciones operativas”, como se especifica en la subparte B de la sección 11.10, “para determinar, según corresponda, la validez de la fuente de entrada de datos o instrucción operativa”, y “para imponer la secuencia permitida de pasos y eventos”. Estas dos características garantizan que se introduzcan datos válidos en el sistema y que se hayan completado todos los pasos necesarios para realizar la tarea en cuestión.

El propósito de dicha verificación y validación de los datos se describe en el párrafo (b) de la sección 11.10: “la capacidad de generar copias precisas y completas de registros en formato electrónico y legible para el hombre, adecuados para inspección, revisión y copia por parte de la agencia”. Todos los archivos de datos del software Vi-CELL BLU se guardan automáticamente en el momento de la creación y se protegen con una suma de comprobación. El software Vi–CELL BLU también brinda la posibilidad de realizar copias de seguridad de los datos para replicar los directorios.

El párrafo (e) de la sección 11.10, requiere “el uso de pistas de auditoría seguras, generadas por ordenador y con marca de tiempo, para registrar de manera independiente la fecha y la hora de las entradas y acciones del operador que crean, modifican o eliminan registros electrónicos. Dicha documentación de la pista de auditoría debe conservarse durante al menos el periodo de tiempo requerido para los registros electrónicos en cuestión y debe estar disponible para la revisión y copia de la agencia”. El software Vi-CELL BLU cumple con esta norma al generar un registro de auditoría que registra el momento en que un usuario inició sesión. La pista de auditoría está cifrada y posee
una suma de comprobación para aumentar la seguridad. El seguimiento de la auditoría también se registrará y llevará un sello de tiempo: intentos de inicio de sesión fallidos, cambio de usuario, activación o desactivación de seguridad, adición de nuevo usuario, activación/desactivación de usuario, cambio de contraseña, reinicio de contraseña, bloqueo de instrumento y sumas de comprobación fallidas. Consulte la Tabla 6.4 en las Instrucciones de uso del Vi–CELL BLU (documento C13232) para obtener una lista de los eventos de seguimiento de auditorías y las descripciones relacionadas.

Cuando se crea un archivo de datos, el software del sistema Vi-CELL BLU proporciona un registro de marca de hora generado por ordenador que documenta las acciones tomadas para crear un registro. Esta información se almacena dentro del propio archivo de datos, no en el archivo de seguimiento de la auditoría. Cada archivo de datos contiene un registro con sello de tiempo generado por ordenador, la fecha y hora de las entradas del operador y las acciones efectuadas para crear el archivo de datos.

El software del sistema no permite que se modifique o elimine un registro de datos dentro del funcionamiento normal del software del sistema.

Si la integridad de un archivo de datos se ve comprometida de alguna manera, el sistema hace que el archivo sea inutilizable y ya no pueda ser utilizado por el software Vi-CELL BLU. Cada archivo de datos contiene una suma de comprobación incrustada que se utiliza para verificar la integridad del archivo cada vez que se carga el mismo. Si el archivo de datos está comprometido, se muestra un mensaje de error y el archivo no se carga.

firma electrónica

En la subparte A de la sección 11.3, una firma electrónica se define como “una compilación de datos mediante ordenador de cualquier símbolo o serie de símbolos ejecutados, adoptados o autorizados por un individuo como el equivalente legalmente vinculante de la firma manuscrita del individuo”. La subparte C de la sección 11.100 del reglamento define los requisitos generales de tal manifestación. El párrafo (a) establece que “cada firma electrónica debe ser exclusiva de un individuo y no debe ser reutilizada ni reasignada a nadie más”. Estos dos párrafos, tomados en conjunto, significan que una firma electrónica es una representación informática de la identidad de un usuario desarrollada para garantizar la identidad única y distinta de ese usuario. El aspecto procesal de la sección 11.100 requiere que, antes de que se aplique dicha representación electrónica, la organización debe “verificar” primero la identidad de esa persona.

La subparte C de la sección 11.200 se refiere a las formas biométricas y no biométricas de la firma electrónica. Las firmas no biométricas son aquellas generadas por ordenador y que, según la sección 11.200, “emplean al menos dos componentes de identificación distintos, como un código de identificación y una contraseña”. Esta forma de firma electrónica es compatible con el software Vi-CELL BLU.
 

Generación de firmas electrónicas

El software Vi-CELL BLU emplea los ID de usuario y contraseñas para verificar la identificación de cada usuario que entra en el sistema. Al utilizar esta técnica, la Subparte C, Sección 11.300 de la regulación requiere "mantener la unicidad
de cada código de identificación y contraseña combinados, de modo que no haya dos personas que tengan la misma combinación de código de identificación y contraseña". Esta sección también requiere que el “código de identificación y la generación de contraseñas se comprueben, recuperen o revisen periódicamente”. El software Vi-CELL BLU es compatible con estas dos disposiciones. 

NOTA: Para procurar el cumplimiento de la norma 21 CFR parte 11, el número de usuario introducido debe ser el nombre completo de visualización del usuario.

La administración del sistema requiere que los individuos se añadan a la lista de usuarios válidos de Vi-CELL BLU a través del cuadro de diálogo Add a New User (Añadir un nuevo usuario). El “código de identificación” o nombre de usuario de cada usuario de Vi-CELL BLU debe ser único. Dos usuarios en el mismo sistema Vi-CELL BLU no pueden tener el mismo nombre de usuario. También se requiere que estos usuarios proporcionen una contraseña para acceder al software Vi-CELL BLU, cumpliendo así el requisito de “emplear al menos dos componentes de identificación distintos, como un código de identificación y una contraseña”. Las contraseñas se pueden controlar para prohibir el
uso de duplicados y para forzar la selección de nuevas contraseñas después de un periodo de tiempo determinado.

Mediante la implementación de estas funciones, el software Vi–CELL BLU puede satisfacer el requisito de que “las emisiones de códigos de identificación y contraseñas se comprueben, recuperen o revisen periódicamente”.

Aplicación de firmas electrónicas

La subparte C de la sección 11.200, estipula varios requisitos para el control de firmas electrónicas. De manera procesal, las regulaciones requieren que las firmas electrónicas “sean utilizadas solo por sus dueños genuinos” y que “sean administradas y ejecutadas para garantizar que el intento de uso de la firma electrónica de un individuo por parte de alguien que no sea su dueño genuino requiera la colaboración de dos o más individuos”. Mediante la aplicación de los procedimientos de configuración de usuario y contraseña de Vi–CELL BLU, el sistema puede configurarse para "asegurar" que el uso inapropiado de esos identificadores sólo pueda realizarse mediante la divulgación intencional de información de seguridad.

La sección 11.200 especifica además el uso de componentes de firma electrónica durante un período “cuando una persona ejecuta una serie de firmas durante un solo periodo continuo de acceso controlado al sistema”, y “cuando una persona ejecuta una o más firmas que no se realizan durante un único periodo continuo de acceso controlado al sistema”. Para cumplir con estas disposiciones, el software Vi-CELL BLU utiliza la aplicación del nombre de usuario y la contraseña para autenticar al usuario que realiza y guarda los cambios, junto con el historial de archivos.