Subparte A—Disposiciones generales
Sec. 11.1 Alcance.
(a) Los reglamentos en esta parte establecen los criterios bajo los cuales la agencia considera que los registros electrónicos, las firmas electrónicas y las firmas manuscritas ejecutadas en registros electrónicos son confiables, fiables y, en general, equivalentes a los registros en papel y las firmas manuscritas ejecutadas en papel.
(b) Esta parte se aplica a los registros en forma electrónica que se crean, modifican, mantienen, archivan, recuperan o transmiten, según los requisitos de registros establecidos en las reglamentaciones de la agencia. Esta parte también se aplica a los registros electrónicos presentados a la agencia bajo los requisitos de la Federal Food , Medicamentos y Cosméticos y la Ley de Servicios de Salud Pública, incluso si dichos registros no están identificados específicamente en las reglamentaciones de la agencia. Sin embargo, esta parte no se aplica a los registros en papel que son o han sido transmitidos por medios electrónicos.
(c) Cuando las firmas electrónicas y sus registros electrónicos asociados cumplan con los requisitos de esta parte, la agencia considerará que las firmas electrónicas son equivalentes a firmas manuscritas completas, iniciales y otras firmas generales según lo requieran las reglamentaciones de la agencia, a menos que estén específicamente exceptuadas por las reglamentaciones vigentes. a partir del 20 de agosto de 1997.
(d) Los registros electrónicos que cumplan con los requisitos de esta parte se pueden usar en lugar de los registros en papel, de acuerdo con 11.2, a menos que se requieran específicamente registros en papel.
(e) Los sistemas informáticos (incluidos el hardware y el software), los controles y la documentación correspondiente mantenida en virtud de esta parte deberán estar fácilmente disponibles y sujetos a la inspección de la FDA.
(f) Esta parte no se aplica a los registros requeridos para ser establecidos o mantenidos por 1.326 a 1.368 de este capítulo. Los registros que cumplen con los requisitos de la parte 1, subparte J de este capítulo, pero que también son requeridos por otras disposiciones legales o reglamentos aplicables, permanecen sujetos a esta parte.
Segundo. 11.2 Implementación.
(a) Para los registros que deben mantenerse pero no presentarse a la agencia, las personas pueden usar registros electrónicos en lugar de registros en papel o firmas electrónicas en lugar de firmas tradicionales, en su totalidad o en parte, siempre que se cumplan los requisitos de esta parte.
(b) Para los registros presentados a la agencia, las personas pueden usar registros electrónicos en lugar de registros en papel o firmas electrónicas en lugar de firmas tradicionales, en su totalidad o en parte, siempre que:
(1) Se cumplen los requisitos de esta parte; y
(2) El documento o partes de un documento a ser presentado han sido identificados en el registro público No. 92S-0251 como el tipo de presentación que la agencia acepta en forma electrónica. Este expediente identificará específicamente qué tipos de documentos o partes de documentos son aceptables para la presentación en formato electrónico sin registros en papel y la(s) unidad(es) receptora(s) de la agencia (p. ej., centro específico, oficina, división, sucursal) a las que se pueden realizar dichas presentaciones. Los documentos a la(s) unidad(es) receptora(s) de la agencia no especificados en el registro público no se considerarán oficiales si se presentan en forma electrónica; los formularios en papel de dichos documentos se considerarán oficiales y deberán acompañar cualquier registro electrónico. Se espera que las personas consulten con la unidad receptora de la agencia prevista para obtener detalles sobre cómo (p. ej., método de transmisión, medios, formatos de archivo,
Segundo. 11.3 Definiciones.
(a) Las definiciones e interpretaciones de los términos contenidos en la sección 201 de la ley se aplican a esos términos cuando se usan en esta parte.
(b) Las siguientes definiciones de términos también se aplican a esta parte:
(1) Ley significa la Ley Federal de Alimentos, Medicamentos y Cosméticos (arts. 201-903 (21 USC 321-393)).
(2) Agencia significa la Administración de Alimentos y Medicamentos.
(3) Biometría significa un método para verificar la identidad de un individuo basado en la medición de las características físicas del individuo o acciones repetibles donde esas características y/o acciones son únicas para ese individuo y medibles.
(4) Sistema cerrado significa un entorno en el que el acceso al sistema está controlado por personas responsables del contenido de los registros electrónicos que se encuentran en el sistema.
(5) Firma digital significa una firma electrónica basada en métodos criptográficos de autenticación del originador, calculada usando un conjunto de reglas y un conjunto de parámetros tales que la identidad del firmante y la integridad de los datos pueden ser verificados.
(6) Registro electrónico significa cualquier combinación de texto, gráficos, datos, audio, imágenes u otra representación de información en forma digital que se crea, modifica, mantiene, archiva, recupera o distribuye mediante un sistema informático.
(7) Firma electrónica significa una compilación de datos informáticos de cualquier símbolo o serie de símbolos ejecutados, adoptados o autorizados por una persona para que sean el equivalente legalmente vinculante de la firma manuscrita de la persona.
(8) Firma manuscrita significa el nombre escrito o la marca legal de una persona escrita a mano por esa persona y ejecutada o adoptada con la presente intención de autenticar una escritura en forma permanente. Se conserva el acto de firmar con un instrumento de escritura o marcado, como un bolígrafo o un lápiz óptico. El nombre escrito o la marca legal, si bien se aplica convencionalmente al papel, también se puede aplicar a otros dispositivos que capturan el nombre o la marca.
(9) Sistema abierto significa un entorno en el que el acceso al sistema no está controlado por personas responsables del contenido de los registros electrónicos que se encuentran en el sistema.
Subparte B--Registros electrónicos
Sec. 11.10 Controles para sistemas cerrados.
Las personas que utilicen sistemas cerrados para crear, modificar, mantener o transmitir registros electrónicos deberán emplear procedimientos y controles diseñados para garantizar la autenticidad, integridad y, cuando corresponda, la confidencialidad de los registros electrónicos, y para garantizar que el firmante no pueda repudiar fácilmente el registro firmado como tal. no original. Dichos procedimientos y controles incluirán lo siguiente:
(a) Validación de los sistemas para garantizar la precisión, la confiabilidad, el desempeño previsto consistente y la capacidad de discernir registros inválidos o alterados.
(b) La capacidad de generar copias precisas y completas de registros tanto en forma legible por humanos como electrónica adecuada para inspección, revisión y copia por parte de la agencia. Las personas deben comunicarse con la agencia si tienen alguna pregunta con respecto a la capacidad de la agencia para realizar dicha revisión y copia de los registros electrónicos.
(c) Protección de registros para permitir su recuperación rápida y precisa durante todo el período de retención de registros.
(d) Limitar el acceso al sistema a personas autorizadas.
(e) Uso de pistas de auditoría seguras, generadas por computadora y con fecha y hora para registrar de forma independiente la fecha y la hora de las entradas y acciones del operador que crean, modifican o eliminan registros electrónicos. Los cambios de registro no deberán ocultar la información previamente registrada. Dicha documentación de la pista de auditoría deberá conservarse durante un período al menos igual al requerido para los registros electrónicos en cuestión y deberá estar disponible para su revisión y copia por parte de la agencia.
(f) Uso de verificaciones del sistema operativo para hacer cumplir la secuencia permitida de pasos y eventos, según corresponda.
(g) Uso de verificaciones de autoridad para garantizar que solo las personas autorizadas puedan usar el sistema, firmar electrónicamente un registro, acceder a la operación o al dispositivo de entrada o salida del sistema informático, alterar el registro o realizar la operación en cuestión.
(h) Uso de verificaciones de dispositivos (por ejemplo, terminales) para determinar, según corresponda, la validez de la fuente de entrada de datos o instrucciones operativas.
(i) Determinación de que las personas que desarrollan, mantienen o usan sistemas de registro electrónico/firma electrónica tienen la educación, capacitación y experiencia para realizar las tareas asignadas.
(j) El establecimiento y cumplimiento de políticas escritas que responsabilicen a las personas por las acciones iniciadas con sus firmas electrónicas, a fin de impedir la falsificación de registros y firmas.
(k) Uso de controles adecuados sobre la documentación de los sistemas, incluidos:
(1) Controles adecuados sobre la distribución, el acceso y el uso de la documentación para la operación y el mantenimiento del sistema.
(2) Procedimientos de revisión y control de cambios para mantener una pista de auditoría que documente el desarrollo y la modificación secuenciados en el tiempo de la documentación de los sistemas.
Segundo. 11.30 Controles para sistemas abiertos.
Las personas que utilicen sistemas abiertos para crear, modificar, mantener o transmitir registros electrónicos deberán emplear procedimientos y controles diseñados para garantizar la autenticidad, integridad y, según corresponda, la confidencialidad de los registros electrónicos desde el momento de su creación hasta el momento de su recepción. Dichos procedimientos y controles deberán incluir los identificados en 11.10, según corresponda, y medidas adicionales como el cifrado de documentos y el uso de estándares de firma digital apropiados para garantizar, según sea necesario según las circunstancias, la autenticidad, integridad y confidencialidad del registro.
Segundo. 11.50 Firma de manifestaciones.
(a) Los registros electrónicos firmados deberán contener información asociada con la firma que indique claramente todo lo siguiente:
(1) El nombre impreso del firmante;
(2) La fecha y hora en que se ejecutó la firma; y
(3) El significado (como revisión, aprobación, responsabilidad o autoría) asociado con la firma.
(b) Los elementos identificados en los párrafos (a)(1), (a)(2) y (a)(3) de esta sección estarán sujetos a los mismos controles que para los registros electrónicos y se incluirán como parte de cualquier archivo legible por humanos. formato del registro electrónico (como una pantalla electrónica o una copia impresa).
Segundo. 11.70 Vinculación firma/registro.
Las firmas electrónicas y las firmas manuscritas ejecutadas en registros electrónicos se vincularán a sus respectivos registros electrónicos para garantizar que las firmas no puedan ser eliminadas, copiadas o transferidas de otro modo para falsificar un registro electrónico por medios ordinarios.
Subparte C--Firmas electrónicas
Sec. 11.100 Requisitos generales.
(a) Cada firma electrónica será exclusiva de una persona y no podrá ser reutilizada ni reasignada a nadie más.
(b) Antes de que una organización establezca, asigne, certifique o sancione de otro modo la firma electrónica de una persona, o cualquier elemento de dicha firma electrónica, la organización deberá verificar la identidad de la persona.
(c) Las personas que utilicen firmas electrónicas deberán, antes o en el momento de dicho uso, certificar a la agencia que las firmas electrónicas en su sistema, utilizadas a partir del 20 de agosto de 1997, pretenden ser el equivalente legalmente vinculante de las firmas manuscritas tradicionales.
(1) La certificación deberá presentarse en papel y firmada con una firma manuscrita tradicional a la Oficina de Operaciones Regionales (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Las personas que utilicen firmas electrónicas deberán, a solicitud de la agencia, proporcionar una certificación o testimonio adicional de que una firma electrónica específica es el equivalente legalmente vinculante de la firma manuscrita del firmante.
Segundo. 11.200 Componentes y controles de firma electrónica.
(a) Las firmas electrónicas que no se basen en datos biométricos deberán:
(1) Emplear al menos dos componentes de identificación distintos, como un código de identificación y una contraseña.
(i) Cuando una persona ejecuta una serie de firmas durante un período único y continuo de acceso controlado al sistema, la primera firma se ejecutará utilizando todos los componentes de firma electrónica; las firmas posteriores se ejecutarán utilizando al menos un componente de firma electrónica que solo sea ejecutable y diseñado para ser utilizado solo por el individuo.
(ii) Cuando un individuo ejecuta una o más firmas no realizadas durante un único período continuo de acceso al sistema controlado, cada firma se ejecutará utilizando todos los componentes de la firma electrónica.
(2) Ser utilizados únicamente por sus dueños genuinos; y
(3) Ser administrada y ejecutada para garantizar que el intento de uso de la firma electrónica de una persona por parte de alguien que no sea su propietario genuino requiera la colaboración de dos o más personas.
(b) Las firmas electrónicas basadas en biometría deberán estar diseñadas para garantizar que no puedan ser utilizadas por nadie más que sus verdaderos propietarios.
Segundo. 11.300 Controles para códigos de identificación/contraseñas.
Las personas que utilicen firmas electrónicas basadas en el uso de códigos de identificación en combinación con contraseñas deberán emplear controles para garantizar su seguridad e integridad. Dichos controles deberán incluir:
(a) Mantener la singularidad de cada código de identificación y contraseña combinados, de modo que no haya dos personas que tengan la misma combinación de código de identificación y contraseña.
(b) Garantizar que las emisiones de códigos de identificación y contraseñas se verifiquen, recuperen o revisen periódicamente (por ejemplo, para cubrir eventos tales como el envejecimiento de la contraseña).
(c) Seguir procedimientos de gestión de pérdidas para desautorizar electrónicamente tokens, tarjetas y otros dispositivos perdidos, robados, extraviados o potencialmente comprometidos que tengan o generen información de código de identificación o contraseña, y emitir reemplazos temporales o permanentes utilizando controles adecuados y rigurosos.
(d) Uso de resguardos de transacciones para prevenir el uso no autorizado de contraseñas y/o códigos de identificación, y para detectar y reportar de manera inmediata y urgente cualquier intento de uso no autorizado a la unidad de seguridad del sistema y, en su caso, a la gerencia organizacional.
(e) Pruebas iniciales y periódicas de dispositivos, como tokens o tarjetas, que llevan o generan información de código de identificación o contraseña para garantizar que funcionen correctamente y que no hayan sido alterados de manera no autorizada.