conformità 21 cfr part 11

Introduzione Questo documento verifica e descrive l’adeguatezza dei Ns. applicativi alla norma “21 CFR Part 11- Electronic Records; Electronic Signatures; Final Rule” emessa dalla Food and Drugs Administration il 20 marzo 1997. L’analisi di conformità è stata eseguita sulle “Subpart B – Electronic Records” e “Subpart C – Electronic Signatures”; i contenuti della “Subpart A – General Provisions”, che definiscono il contesto di applicazione della norma, sono di esclusiva competenza del Cliente non hanno impatto diretto sulle funzionalità richieste al ns. applicativo. I contenuti di questo documento sono il frutto della ns. interpretazione della norma, dell’esperienza maturata in questi anni di attività, della collaborazione, delle ispezioni e delle richieste ricevute dai ns. Clienti su questi specifici argomenti e dell’attività svolta nell’ambito delle associazioni (AFI).

La conformità di qualsiasi sistema ad una norma ed in particolare a questa non può essere data solo dal sistema in sé, ma anche e forse soprattutto dall’Organizzazione che lo utilizza; questa deve infatti prevedere e proceduralizzare l’uso dello stesso ed il contesto in cui il sistema è utilizzato, in modo tale da garantire la norma. Il testo prelevato direttamente dalla norma FDA viene trascritto con un carattere diverso, ad esempio:

§ 11.1 Scope. (a) The regulations in this part set forth the criteria under which the agency considers electronic records, electronic signatures, and handwritten signatures executed to electronic records to be trustworthy, reliable, and generally equivalent to paper records and handwritten signatures executed on

paper.

White Papers ver. 01.00 Agosto 2003

CONFORMITÀ ALLE RICHIESTE FOOD AND DRUG ADMINISTRATION 21 CFR PART 11 ELECTRONIC RECORDS; ELECTRONIC SIGNATURES

Legenda

Nel seguito i vari punti della norma sono commentati con la seguente simbologia e significato:

21 CFR PART 11

w w w . d a t a c h e c k . i t

Requisito coperto/gestito dall’Applicazione

Requisito procedurale a carico dall’Organizzazione

Non Applicabile

Architettura del Sistema I Ns. applicativi sono dei sistemi distribuiti multi-calcolatore a due livelli con collegamento dei calcolatori attraverso rete locale. Questo modello di elaborazione software viene definito come sistema di tipo client/server. L’architettura proposta è classificabile come architettura a tre livelli (three-tier). Tale architettura si compone di un livello che svolgono compiti di interazione con l’utente, di formattazione dei dati ecc., tramite servizi e logiche di presentazione dati; di un secondo livello di più prettamente applicativo che contiene la logica di funzionamento del sistema; infine del terzo livello che consente lo svolgimento di tutte le attività di manipolazione dei dati, controllo delle transazioni ecc., tramite servizi e logiche di gestione dei dati. Questo tipo di architettura consente la realizzazione di software applicativo il più possibile indipendente dalle caratteristiche delle apparecchiature fisiche di rete, dalle caratteristiche dell’hardware e del software di base prescelti, svincolando quindi il singolo processo applicativo da problematiche di basso livello e da problematiche relative alla sicurezza e all’integrità delle informazioni. Le caratteristiche architetturali fondamentali dei sistemi sono le seguenti: • sistema di tipo client/server a tre livelli; • software di base e di ambiente altamente integrato; • utilizzo strumenti di sviluppo orientati agli oggetti; • interfaccia di comunicazione verso altri sistemi tramite protocollo TCP/IP.

AUDIT TRAIL L’applicazione consente di eseguire le operazioni di Audit Trail in modo flessibile è ovvero possibile definire:

• quali campi mantenere sotto controllo di cambiamento (ovvero quali campi debbano essere sottoposti ad audit trail)

• per quali campi richiedere una nota di commento obbligatoria al cambiamento svolto

Il sistema quindi, se configurato adeguatamente, consente di garantire il rispetto della Norma

STAMPE In alcuni punti la norma fa esplicito riferimento alla stampa di informazioni relative ai record elettronici, all’audit trail e/o alle firme elettroniche (rif. § 11.10(a)(b), § 11.50(a) e § 11.70). I sistemi delegano tutte le operazioni di stampa ad un componente esterno (Seagate Crystal Report) e consentono la definizione di formati di stampa da parte dell’Utente. La conformità alle richieste di questi punti non è pertanto garantita esclusivamente dal sistema, ma anche e soprattutto dalle modalità con cui i formati di stampa realizzati sono stati costruiti. Va evidenziato che questi sono a tutti gli effetti componenti del sistema e come tali vanno sottoposti a controllo di cambiamento e validazione. Se previsto in configurazione il sistema inserisce automaticamente nei report stampati la data di stampa prelevata dal server, in modo che ogni postazione operi sempre con la data corretta.

AGGIORNAMENTI DEL SISTEMA In caso di aggiornamento del sistema DATA CHECK garantisce i propri Clienti della disponibilità delle eventuali procedure di conversione e della relativa documentazione di convalida. In questo modo è possibile mantenere nel tempo la disponibilità delle registrazioni elettroniche, anche se realizzate con sistemi poi diventati obsoleti (rif. § 11.10(b)).

DATABASE Il database nel quale sono memorizzati i dati è di tipo relazionale (usualmente Microsoft SQL Server), gli Utenti dei nostri applicativi sono in realtà utenti del database. Un Utente dell’applicazione può essere creato ed utilizzato solo tramite l’applicazione stessa (la sua password viene criptata e non gli è possibile che accedere alla base dati se non tramite l’applicazione), viceversa non è possibile creare un utente direttamente nel database e farlo diventare Utente dell’applicazione. Il Cliente si deve tuttavia dotare delle adeguate procedure per garantire che non esistano altri Utenti autorizzati ad operare direttamente sul database senza utilizzare l’applicazione e se esistono di regolarne adeguatamente le modalità d’uso e/o di accesso (es. accesso in sola lettura).


21 CFR Part 11: Electronic Records; Electronic Signatures pag. 02/20

SYSTEM ADMINISTATOR Questo tipo di l’Utente è in genere in grado di effettuare interventi sulla base dati senza possibilità di registrazione e/o traccia delle operazioni svolte. La sua presenza è necessaria in quanto in caso contrario sarebbero impossibili le operazioni di installazione e manutenzione del sistema, il suo utilizzo va correttamente regolamentato.

GESTIONE DATA/ORA I ns. applicativi possono prelevare dal server data/ora da utilizzare per la registrazione di ogni operazione in modo da garantire un riferimento univoco e la corretta registrazione di ogni operazione. È possibile configurare l’applicativo per sincronizzare anche la data del PC Client, se questa operazione non può andare a buon fine (es. l’utente attivo non ha le autorizzazioni necessarie) o comunque se data/ora non risultano sincronizzate, l’applicativo genera un messaggio di errore, richiedendo l’intervento dell’Amministratore ed interrompe l’operazione in corso. La data viene imposta dal sistema anche ai report di stampa in modo da evitare che il componente di gestione delle stampe (Seagate Crystal Reports) possa utilizzare data/ora errate.

TIPOLOGIA DI SISTEMA

Facendo Riferimento alla definizione data dalla FDA, i nostri applicativi sono sistemi chiusi:

(4) Closed system means an environment in which system access is controlled by persons who are responsible for the content of electronic records that are on the system.

Mentre per sistema aperto viene inteso:

(9) Open system means an environment in which system access is not controlled by persons who are responsible for the content of electronic records that are on the system.



CONTROLLI SU SISTEMI CHIUSI

La norma definisce chiaramente quali sono le attività necessarie per la gestione di questo tipo di sistemi:

§ 11.10 Controls for closed systems. Persons who use closed systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, when appropriate, the confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed record as not genuine.

ed in particolare:

(a) Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability

to discern invalid or altered records.

I ns. applicativi vengono forniti completi della relativa documentazione per la loro validazione. Le funzioni di Identificazione Utente, Abilitazione Funzionale, Audit Trail e Firma Elettronica sono considerate come operazioni critiche e soggette a particolari verifiche. L’applicazione tiene traccia di ogni operazione svolta e/o di ogni variazione di dato effettuata.

(b) The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. Persons should contact the agency if there are any questions regarding the ability of the agency to perform such review and copying of the electronic records.

I ns. applicativi consentono di visualizzare e/o stampare tutte le informazioni relative ai dati memorizzati nel sistema. I reports di stampa possono essere esportati e salvati su file in vari formati.

(c) Protection of records to enable their accurate and ready retrieval throughout the records retention period.

Gli applicativi consentono di mantenere la registrazione dei dati per periodi non limitati di tempo, in funzione delle risorse disponibili sul sistema (dimensione memoria di massa, capacità di elaborazione, ecc.). La gestione della loro eventuale cancellazione è affidata all’Utente, tramite operazioni soggette ad abilitazione funzionale ed assoggettate alle procedure organizzative del Cliente. Il Cliente deve prevedere le adeguate procedure di backup dei dati.



(d) Limiting system access to authorized individuals.

Gli applicativi permettono l’accesso al sistema ai soli utenti riconosciuti ed autorizzati. L’identificazione avviene inserendo i due componenti (codice e password), l’Utente ha la possibilità di modificare la propria password in qualsiasi momento; viene invece obbligato a farlo in seguito alla scadenza della sua validità. In seguito all’accesso al sistema, l’applicativo carica le abilitazioni funzionali relative all’Utente stesso e consente l’utilizzo delle sole funzioni abilitate (rif. § 11.10 (g))

(e) Use of secure, computer-generated, time-stamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. Record changes shall not obscure previously recorded information. Such audit trail documentation shall be retained for a period at least as long as that required for the subject electronic records and shall be available for agency review and copying.

Nei ns. applicativi tutte le operazioni di modifica dei dati possono essere assoggettate a registrazione automatica di Audit Trail. Questa prevede l’utilizzo di tabelle separate di registrazione e l’inserimento di data/ora prelevate dal database server. La configurazione del sistema consente di specificare per ogni campo delle entità quali sono i relativi attributi per la registrazione delle modifiche (Audit Trail o Audit Trail con obbligo di nota).



Figura 1 - Form di Identificazione Utente

Figura 2 - Configurazione attributi Audit Trail per il Campo Descrizione Capitolato

Se viene previsto l’inserimento obbligatorio della Nota di Audit Trail il sistema richiede all’Utente giustificazione delle modifiche apportate ai campi. Le registrazioni di Audit Trail, come tutte le registrazioni del sistema, possono essere effettuate utilizzando Data ed Ora prelevate dal Database Server. L’applicativo verifica periodicamente l’effettiva sincronizzazione con il server e nel caso la postazione Client non abbia la medesima data / ora viene generato un messaggio di errore e l’operazione in corso interrotta. Per ogni registrazione di modifica vengono registrate: οData / Ora οUtente (Nome, Cognome, Identificativo e Funzione) οNome e descrizione del campo modificato οValore e Descrizione del valore inserito Nota (se obbligatoria) Nella visualizzazione è possibile ordinare e/o raggruppare le informazioni su ognuno di questi dati (rif. Figura 6).



Figura 3 - Richiesta nota giustificativa per modifica

Figura 4 - Configurazione - Utilizzo Data/Ora del database server

Le informazioni di Audit Trail vengono mantenute nel sistema per tutto il tempo di permanenza del record elettronico di appartenenza. Le informazioni di Audit Trail sono disponibili durante l’uso del sistema, in ogni campo sottoposto a questo tipo di controllo; viene tenuta traccia di ogni dato inserito, senza cancellare i valori precedenti. Non sono modificabili dagli Utenti del sistema.



Figura 5 - Menu di accesso all'Audit Trail

Figura 6 - Form di visualizzazione dell'Audit Trail (raggruppato per Utente / ordinato per Data/Ora)

Le informazioni di Audit Trail possono essere visualizzate, stampate e /o esportate in vari formati (text, word, excel, diff, ecc.).

(f) Use of operational system checks to enforce permitted sequencing of steps and events, as appropriate.

Quando necessario/applicabile i Ns. applicativi consentono l’esecuzione delle operazioni solo se le condizioni ed i flussi definiti sono stati rispettati. Ad esempio l’inserimento dei dati analitici è possibile solo se la relativa Richiesta di Analisi è stata precedentemente aperta; oppure la chiusura della stessa può avvenire solo se tutti i dati analitici previsti sono stati inseriti.

(g) Use of authority checks to ensure that only authorized individuals can use the system, electronically sign a record, access the operation or computer system input or output device, alter a record, or perform the operation at hand.

Gli applicativi consentono di definire dettagliatamente le abilitazioni funzionali che è possibile attribuire agli Utenti del sistema (ad ogni Utente è possibile consentire o negare l’accesso ad ogni singola funzione), per cui l’esecuzione di un’operazione è possibile solo se un Utente è stato esplicitamente e preventivamente autorizzato.



Figura 7 - Esempio di report di stampa dell'Audit Trail

Per ogni entità del sistema (Es. Prodotto,Strumento,ecc.) i Ns. applicativi definiscono le possibili azioni che è possibile svolgere sullo stesso. Le azioni contrassegnate con richiedono l’esecuzione di una operazione specifica (firma elettronica) oltre alla normale abilitazione funzionale. L’abilitazione funzionale degli Utenti avviene associando gli stessi direttamente ad una o più funzioni (abilitazione diretta) o associandoli ad uno o più gruppi (abilitazione indiretta); questi possono essere associati a loro volta ad una o più funzioni. Questo meccanismo consente di garantire la massima flessibilità e capillarità nella definizione e manutenzione delle abilitazioni funzionali. Durante l’uso dell’applicazione le azioni (voci di menu, pulsanti, ecc.) risultano essere non attive, quanto un utente non è abilitato. L’accesso diretto ai dati memorizzati nel database è possibile solo tramite l’applicazione (la password di ogni Utente viene criptata per impedire l’accesso diretto al database), con l’unica esclusione dell’Utente amministratore del database server (Es. Utente SA per Microsoft SQL Server).

(h) Use of device (e.g., terminal) checks to determine, as appropriate, the validity of the source of data input or operational instruction.

I Ns. applicativi richiedono che ogni postazione di lavoro (Personal Computer) collegata al sistema sia stata preventivamente registrata ed autorizzata all’accesso. Il sistema verifica l’abilitazione della postazione prima di consentire l’uso dell’applicazione. Al momento non sono possibili altre forme di input dati (es. da strumenti). A carico del Cliente sono le verifiche e le attività di convalida necessarie in caso di collegamento dell’applicazione con altri sistemi per il ricevimento di richieste di analisi (Es. da sistemi ERP, magazzino, ecc.)



Figura 8 - Azioni possibili sull'entità Capitolato

Figura 9 - Schema delle Abilitazioni Funzionali

(i) Determination that persons who develop, maintain, or use electronic record/electronic signature systems have the education, training, and experience to perform their assigned tasks.

Queste verifiche sono di esclusiva pertinenza del Cliente. DATA CHECK opera nel settore dell’Assicurazione e Controllo della Qualità specificatamente in ambito Farmaceutico dal 1986, ed è disponibile a ricevere visite e/o ispezioni per dimostrare l’adeguatezza della propria organizzazione e la competenza specifica sugli aspetti applicativi e regolatori del settore farmaceutico.

(j) The establishment of, and adherence to, written policies that hold individuals accountable and responsible for actions initiated under their electronic signatures, in order to deter record and signature

falsification.

Queste attività sono di esclusiva pertinenza del Cliente.

(k) Use of appropriate controls over systems documentation including: (1) Adequate controls over the distribution of, access to, and use of documentation for system operation and maintenance. (2) Revision and change control procedures to maintain an audit trail that documents time-sequenced development and modification of systems documentation.

Queste attività sono di esclusiva pertinenza del Cliente. DATA CHECK applica le proprie procedure per la gestione della configurazione del sistema e per la gestione delle modifiche ai componenti ed alla documentazione del sistema; siamo disponibili ad operare in osservanza delle Computer System Validation Policies applicate dal Cliente.



CONTROLLI SU SISTEMI APERTI

La norma prevede che ai sistemi aperti vengano applicate le stesse regole previste per i sistemi chiusi con in aggiunta l’applicazione della firma digitale ai pacchetti di dati. Riportiamo le definizioni della norma:

(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified. § 11.30 Controls for open systems. Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in § 11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.

I Ns. applicativi non sono sistemi aperti, per cui queste richieste non sono applicabili; esistono tuttavia alcune funzionalità, come le stampe ed in particolare le stampe protocollate, che prevedono la produzione di informazioni generate dal sistema e memorizzate al suo esterno (es. sul file system, inviate per posta elettronica, ecc.), in vari formati (acrobat, word, excel, ecc.). L’Utente deve dotarsi delle opportune procedure di Firma Digitale di queste informazioni, se l’uso che ne viene fatto è tra quelli previsti dalla norma (rif. § 11.1 e § 11.2).



EVIDENZA DELLE FIRME ELETTRONICHE

Le firme eseguite dagli Utenti devono essere visualizzate in modo chiaro e devono essere complete di tutte le informazioni che ne consentano la chiara identificazione:

§ 11.50 Signature manifestations. (a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:

(1) The printed name of the signer; (2) The date and time when the signature was executed; and (3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.

(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same controls as for electronic records and shall be included as part of any human readable form of the electronic record (such as electronic display or printout).

Le informazioni di esecuzione della firma richieste vengono memorizzate in modo completo in corrispondenza dell’operazione svolta e restano associate al record a cui sono riferite; il nome della persona che ha firmato viene riportato nella seguente forma: “Nome Cognome (Identificativo) Funzione”. Le azioni soggette a firma elettronica (Es. Approva Capitolato), richiedono l’esecuzione di una particolare procedura, oltre alla normale abilitazione funzionale. L’Utente deve identificarsi inserendo nuovamente sia identificativo che password e l’operazione in corso viene evidenziata con una finestra particolare. La nuova identificazione consente l’esecuzione dell’operazione di firma ad un Utente anche diverso da quello che in quel momento sta utilizzando il sistema, purché abilitato.



Figura 10 - Esecuzione di Azione soggetta a Firma

L’avvenuta firma elettronica viene memorizzata con le altre registrazioni di Audit Trail, ma evidenziata in una lista separata. È possibile ottenere la stampa delle firme eseguite insieme ai dati del corrispondente record (rif. Figura 12).



Figura 11 - Visualizzazione delle Firme Eseguite

§ 11.70 Signature/record linking. Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.

Le registrazioni elettroniche e le relative informazioni di Audit Trail sono memorizzate in tabelle separate, Il sistema utilizza i campi chiave univoci delle prime per mantenere il collegamento con le seconde (e viceversa). Le informazioni di Audit Trail e le registrazioni delle firme non sono manipolabili dall’Applicazione e/o dagli Utenti. Quando le informazioni generate da record elettronici vengono trasferite su carta per la firma manuale (“hand-written signature”), il sistema consente di identificare con precisione la corrispondenza tra il report cartaceo e le registrazioni elettroniche (campi chiave identificativi, data/ora di stampa, ecc.). La combinazione delle informazioni presenti sulla carta, con le registrazioni elettroniche e informazioni registrate nell’Audit Trail, consentono di verificare i valori di ogni informazione al momento della stampa. Anche l’avvenuta stampa viene registrata tra le operazioni nell’Audit Trail.



Figura 12 - Esempio di Report con evidenza delle Firme elettroniche eseguite

FIRME ELETTRONICHE

§ 11.100 General requirements. (a) Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned to, anyone else.

I Ns. applicativi consentono di garantire l’unicità, nel tempo, dell’identificazione dei propri Utilizzatori.

(b) Before an organization establishes, assigns, certifies, or otherwise sanctions an individual’s electronic signature, or any element of such electronic signature, the organization shall verify the identity of the individual.


(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.

(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations (HFC–100), 5600 Fishers Lane, Rockville, MD 20857. (2) Persons using electronic signatures shall, upon agency request, provide additional certification or testimony that a specific electronic signature is the legally binding equivalent of the signer’s handwritten signature.


§ 11.200 Electronic signature components and controls. (a) Electronic signatures that are not based upon biometrics shall:

Employ at least two distinct identification components such as an identification code and password.

Ogni Utente dei Ns. applicativi viene identificato da un codice univoco ed una password.

(i) When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.

(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.

L’utilizzazione del sistema è mantenuta sotto controllo e, in seguito ad inattività superiore ad n secondi (configurabili), viene richiesta una nuova identificazione per poter operare.



Figura 13 - Configurazione. Definizione del periodo massimo di inattività

Inoltre l’Utente stesso può forzare la fine dell’utilizzo del sistema uscendo o sospendendone l’uso (per riattivarlo con una nuova identificazione).

Durante una sessione d’uso del sistema i dati di identificazione dell’Utente sono sempre visualizzati sullo schermo nella statusbar. In qualsiasi operazione di firma il sistema richiede sempre e comunque l’inserimento di entrambi i componenti di identificazione (codice e password). Il sistema tiene traccia capillare di ogni attività di accesso / uscita dallo stesso. I dati raccolti possono essere raggruppati e/o ordinati su una o più delle informazioni raccolte. Nella figura i dati sono raggruppati per Descrizione Utente ed ordinati per Data/Ora.

(2) Be used only by their genuine owners; and (3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by

anyone other than its genuine owner requires collaboration of two or more individuals. L’Utente è l’unico a conoscere la propria password che non è visibile a nessun altro Utente e/o registrata in alcuna tabella o file del sistema.

L’Amministratore del sistema può cambiare le password degli Utenti (in questo caso l’Utente è obbligato a modificarla al primo accesso al sistema), ma non può conoscere le password in uso o quelle già utilizzate.

(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.



Figura 14 - Dati Utente attivo in status bar

Figura 15 - Registro degli accessi al sistema

I Ns. applicativi non prevedono, al momento, l’identificazione degli Utenti tramite sistemi biometrici. Sono tuttavia in fase di valutazione sistemi di identificazione basati sulle impronte digitali.

§ 11.300 Controls for identification codes/passwords. Persons who use electronic signatures based upon use of identification codes in combination with passwords shall employ controls to ensure their security and integrity. Such controls shall include:

(a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.

I Ns. applicativi consentono di garantire l’unicità nel tempo dei codici identificativi degli utenti (due Utenti diversi non possono avere lo stesso identificativo, anche se in momenti diversi). La definizione del profilo di un Utente consente di inserire le informazioni che lo identificano; in particolare Nome, Cognome e Funzione verranno sempre utilizzate dal sistema in ogni registrazione (firme, audit trail, ecc.), visualizzazione e stampa per identificare chiaramente l’Utente stesso. Ogni Utente può avere un periodo di validità della password diverso, puchè inferiore a quello massimo stabilito in configurazione (rif. Figura 17). Modificando il campo Stato Account un Utente può essere disabilitato all’uso del sistema, anche solo temporaneamente (rif. Figura 18). Tramite l’associazione con Gruppi e/o Funzioni il sistema definire le Abilitazioni Funzionali dell’Utente (rif. Figura 9).

(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).

La password di un Utente ha validità limitata e definita dall’Amministratore del Sistema (rif. Figura 16), periodicamente l’Utente è obbligato a cambiarla.



Figura 16 - Form di Definizione Utente

In configurazione è possibile definire il numero di caratteri minimo che deve formare una password, il periodo di validità di default (può essere modificato per ogni Utente) ed il periodo massimo di validità (non può essere superato da nessun Utente). Il sistema può impedire il riutilizzo di password già usate da parte di un Utente. A carico del Cliente sono gli aggiornamenti periodici dei profili Utente (Es. aggiornamento funzione, abilitazione funzionali, ecc.) e/o la disabilitazione degli Utenti non più autorizzati all’accesso.

(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially compromised tokens, cards, and other devices that bear or generate identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.

I Ns. applicativi consentono la disattivazione, anche solo temporanea, degli account degli Utenti per evitare intrusioni nel sistema e/o per il cambio forzato della password da parte dell’Amministratore. Tutte le operazioni di cambio e/o forzatura delle password vengono tracciate dal sistema. In seguito a forzatura della password da parte dell’Amministratore, l’Utente al primo accesso, viene obbligato a modificarla. La definizione delle procedure organizzative di gestione spetta necessariamente al Cliente.

(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.

Il sistema tiene traccia di ogni accesso (rif. Figura 20), anche se fallito, registrando: data, ora postazione, identificativo Utente (se inserito).



Figura 17 - Configurazione - Definizione Sicurezza Password

Figura 18 - Elenco Utenti con evidenza Non Attivi / Bloccati

È possibile effettuare automaticamente il blocco dell’account in seguito ad un numero definito di tentativi di accesso falliti. In configurazione è possibile definire:

• periodo di tempo in cui rilevare gli errori • numero massimo di errori concessi nel periodo indicato • periodo di blocco dell’account

Nell’esempio il blocco avviene per 60 minuti se l’Utente esegue 3 tentativi di accesso errati nell’arco di un minuto. L’account dell’Utente può essere riattivato o con l’intervento di un Utente abilitato o automaticamente dopo 60 minuto. L’avvenuto blocco viene registrato ed evidenziato (rif. Figura 21). Gli Utenti assenti per lunghi periodi possono essere temporaneamente disabilitati (rif. Figura 16 e Figura 18). I tentativi di accesso falliti vengono inoltre registrati separatamente ed evidenziati opportunamente.

(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not been altered in an unauthorized manner.

I Ns. applicativi non prevedono, al momento, l’utilizzo di questi dispositivi.



Figura 19 - Configurazione. Definizione blocco Account



MIGLIORAMENTI FUTURI

REGOLE PER LA DEFINIZIONE DELLE PASSWORD Verranno introdotte le seguenti regole aggiuntive:

• Periodo minimo trascorso il quale consentire il riutilizzo di una password già utilizzata. • Numero minimo di caratteri da modificare al un cambio password (es. se questo è fissato in 2, la

password scaduta è “PIPPO”, la nuova password non può essere “PIPPO2”, mentre può essere “PIPPO22” o “POPPI”)

• Liste di esclusione password per ciascun Utente, per evitare l’uso di password “tipiche” (es. date di nascita, nomi dei figli, ecc.)

DEFINIZIONE DEL PERIODO DI MANTENIMENTO DEI DATI Per ogni entità e/o specifica (probabilmente capitolato) deve essere indicato il periodi mantenimento dei dati, (“records retention period”) con due possibilità:

• Fino a che esistono registrazioni che fanno riferimento a quel dato (es. utenti) • Per x mesi dopo la loro generazione (es. richieste di analisi)

Deve essere possibile specificare entrambe. VERIFICHE SULL’INTEGRITÀ DEI DATI E DELLE REGISTRAZIONI DI AUDIT TRAIL Il sistema introdurrà meccanismi di controllo (tipo CRC) per verificare l’integrità di dati e l’assenza di manipolazioni esterne degli stessi, su tutte le informazioni registrate.



conformità 21 cfr part 11

Documents