一、电子签名的组成和控制
1、基于生物识别的电子签名,如指纹等;
2、非基于生物特征识别的电子签名,该方式的电子签名至少使用两种截然不同的标识组件,比如标识码和密码。
二、电子签名的一般要求
1、当执行电子签名时,签名者的姓名、时间/日期和其含义(如检查、批准、职责、作者)都应该被审计跟踪和存储;
2、电子签名应该具备与其相应的电子记录链接,以保证签名不被分割、复制或传输,从而避免了通过普通手段伪造电子签名记录。
法规指南
国内法规
中华人民共和国电子签名法 2015
临床试验的电子数据采集技术指导原则 2016
四、电子数据采集系统的基本要求 >(一)软件
(6)电子签名
EDC系统应具有电子签名功能,其适用于要求电子签名的所有电子记录,包括产生、修正、维护、存档、复原或传递的任何形式的电子表格。电子签名可采用登录密码和系统随机产生的授权码来实现。电子签名与手写签名的关联性和法律等效性应当在被授权用户实施电子签名前声明并确认,被授权的电子签名与其书面手写签名具有同等的法律效应。
五、电子数据采集系统的应用要求 >(二)试验进行阶段
6. 研究者签名
在数据录入完成,并且所有数据质疑都已关闭后,研究者在EDC系统里对eCRF做电子签名。签名后EDC系统一般不再允许数据改动。如果签名后有任何数据改动,则电子签名无效。
五、电子数据采集系统的应用要求 >(三)试验结束阶段
1. 数据库的锁定
无论是基于纸质CRF的临床试验还是基于EDC系统的临床试验,数据库锁定都是临床试验中的一个重要里程碑。数据库锁定前,必须完成既定的数据库锁定清单中要求的所有任务,同时要最终核实研究者的电子签名。
(1)核实电子签名
使用EDC系统的研究,要在数据库锁定之前,核实研究者在eCRF上的电子签名,以确认eCRF的数据是完整的和准确的。如果在已经签名的eCRF上改动某个数据,研究者必须在该eCRF上重新签名。
FDA
EU
PIC/S
PIC/S PI 011 Good Practices for Computerised Systems in Regulated GXP Environments
21.5 Regulated user companies generally have a choice as to whether to use electronic records or electronic signatures instead of paper based records. When regulated users elect to use electronic records for GxP applications then it will be necessary for the companies to identify the particular regulations being applied and whether they are to be considered legally binding and equivalent to their paper-based counterparts. Regulations applicable to particular GxP disciplines may impose specific rules e.g. when electronic records and electronic signatures are used as a primary source of data, records and/or evidence.
It is for the regulated user to explain and justify the technologies and controls in place. An appropriate form of Electronic signature or authentication / identification should be applied where
> external access can be made to a computerised GxP system
> the system electronically generates GxP regulatory records, or
> key decisions and actions are able to be undertaken through an electronic interface.
21.9 Issues to consider when assessing GxP compliance in the use of electronic signatures include that:
> Documentary evidence of compliance exists for all aspects of infrastructure, system and specific application.
> Where risk assessment concludes that the use of a digital signature may be necessary (e.g. Certification to a third party or in GCP field data collection and transmission) that adequate security measures exist to protect the key to a digital signature. The level of security that is appropriate depends on the sensitivity of the transaction and the possible impact of the unauthorised use of the key. Public Key Infrastructure (PKI) may be appropriate where risk assessment indicates that a high level of security is required.
> A register of entities that are authorised is being maintained.
> There are procedures that ensure that entities authorised to use electronic signatures are aware of their responsibilities for actions initiated under their electronic signatures.
> Personnel administering the systems have appropriate security clearances, training, skills and knowledge.
> Procedures are in place to record the printed name, or 'identity', of the signer, the date and time when the signature was executed and the meaning associated with the signature.
> Procedures exist to try to detect the unauthorised use of an electronic signature or compromised ID password combinations.
WHO
WHO TRS 957 Annex 2 — 6.1 Documentation system and specifications
6.18 If electronic signatures are used on documents they should be authenticated and secure.
注意要点:
实施方向一:
从法规出发 - 药品注册批准前检查 > 10. 批准前检查对药物研发过程中计算机系统的验证要求> 10.11 电子记录和电子签名的验证要求[9]
实施方向二:
从IT原理出发 - 使用电子签名提供了验证身份或电子记录链接的完整性和签署人身份的机制,验证这个IT安保机制的有效性:
参考文献:Pharmaceutical and Medical Devices Manufacturing Computer Systems Validation, 1st Edition, By (author) Orlando López[10]
验证身份 Authentication
身份验证是将提供的凭据与本地操作系统或身份验证服务器中授权用户信息数据库中的文件进行比较的过程。 如果凭据匹配,流程就完成了,用户就获得了访问相应计算机资源的授权
对人进行身份验证的方法有很多种:用户id和静态密码;用户id和动态密码;生物识别设备。 基于证书的身份验证是一个使用公钥证书的用户ID和动态密码过程。 图2是通过用户ID和静态/动态密码进行的典型身份验证。
受管制用户的身份证明文件(EMA Annex 11-2)的收集通常由受管制实体人力资源部门进行。美国FDA 21 CFR 11.100(b)部分也概述了类似的监管要求。
验证电子签名的安全性
数字电子签名的输出产生的散列数据(参考图1),被认为是一种电子记录。 所有适用于计算机化系统电子记录的技术安保措施也适用于电子签名。
在数字电子签名实现中,必须考虑签名私钥的完整性和安全性。 对公钥及其所有者之间的链接的信任程度取决于对颁发公钥证书的CA的信任程度。
在密码模块中,系统或应用程序提供加密、认证或数字签名生成和验证等加密服务的部分,应保护公钥不受未经授权的修改和替换。 必须安全地管理私有密钥。这些在各种其他服务中实现,包括未经授权的公开、修改和替换。
验证电子记录链接的完整性
电子签名解决方案必须通过加密的副本保护保护电子签名,并使其不可能从批准的电子记录中复制、剪切或粘贴签名和审计跟踪。这个要求同样在21 CFR 11.70 和EMA Annex 11.14(b)得到体现。
此外,使用电子签名完成电子记录的签署后,电子纪录的任何更改均应使该签署失效,直至该电子纪录被再次审核及重新签署为止 。
电子签名的审计追踪控制措施
作为电子记录(电子签名)完整性的一部分,审计跟踪是指记录电子记录修改情况的日志。代表用户操作的人员或自动流程可以执行这些修改。审计跟踪机制提供了重构修改后的电子记录的功能,因此不会掩盖以前记录的电子记录。跟踪机制包括计算机生成的时间戳,该时间戳指示条目的时间。
审计记录由计算机生成,可以是电子记录的一部分,也可以是电子记录本身的一部分。与电子纪录有关的管制适用于电子核证途径。
对审计跟踪的控制包括:限制用户对审计试验文件的访问权限,以防止电子记录修改;关闭审计跟踪;时间戳必须可靠(参考“下文时间戳控制”);不应将系统管理员权限分配给审核跟踪审核或批准;记录审计的联系;审计跟踪不能修改;对审计试验的访问仅限于打印-阅读。
电子签名的时间戳控制措施
数字时间戳服务(DTS)发布一个安全的时间戳,可用于数字签名和审计跟踪。DTS包括时间、电子记录的时间戳散列和时间认证。
DTS提供了强有力的法律证据,证明时间戳工作的内容在某个时间点存在,并且从那时起没有改变。作为DTS的一部分,散列数据hashing保持了电子记录本身的完整隐私。
数码时间加盖印花的工作流程包括从电子纪录中产生的讯息摘要,然后传送至部门。DTS返回时间戳,以及接收时间戳的日期和时间,并带有安全签名。签名证明电子记录在指定日期存在。电子记录的内容对DTS来说仍然是未知的——只有摘要是已知的。DTS必须使用长键,因为时间戳可能需要很多年。
除了DTS之外,其他支持时间控制的IT基础设施还包括一个支持从可信时间(如协调世界时)进行时间戳的受控网络时间IT服务器。
签署人身份的可追溯性和唯一性
取代手写签名的电子签名必须有适当的控制,以确保其真实性和对电子签名记录的特定签署人的可追溯性和唯一性
数字电子签名中对电子记录和消息进行签名的主要元素是私人密钥。计算机化系统的用户可以生成密钥对(私钥和公钥)。当系统生成密钥对时,密钥对由素数生成,素数由大的随机数(例如候选素数)生成。ANSI X9.17指定了密钥生成技术。私钥是与实体(特定签署人)唯一关联的,并且不公开,而且反过来证明了特定签署人的可追溯性和唯一性。