收录 被收录2次
质量管理 质量管理其他

Electronic Signature:GxP电子签名《大侠科普Pharm4.0 》系列9

解读GxP法规中对E-signature要求,明确GxP业务中对电子签名的管理
评分 评分评分评分评分评分
阅读 2892 收藏 28 赞同 19
手机端查看
使用微信 “扫一扫” 即可在手机上查看

快速导读:解读GxP法规中对E-signature要求,明确GxP业务中对电子签名的管理!
Electronic Signature:GxP电子签名《大侠科普Pharm4.0 》系列9

1. GxP官方监管机构是否认可电子签名?

要点– 认可的,但前提是电子签名必须是可靠的(需要有验证过)和处于受控体系的管理内

FDA:参考FDA 数据可靠性与药品 CGMP 合规问答 2018
FDA的回答是:可以,具有适当控制的电子签名可以用来替代任何CGMP要求的记录中的手写签名或缩写。虽然211.186(a)规定“手写的完整签名”,具有适当控制以安全地将签名与相关记录关联在一起的电子签名,满足这一要求(21 CFR 11.2(a))。参见part 11,其中规定了何时可认为电子签名与手书签名具有同等法律约束力的标准。使用电子签名的企业应记录用来保证其能够识别电子签名的具体人员的控制措施。
中国:参考药品记录与数据管理要求(试行) 2020中华人民共和国电子签名法
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
Electronic Signature:GxP电子签名《大侠科普Pharm4.0 》系列9
图1. FDA,EU GMP及NMPA逐步认可了电子签名在计算机化系统的应用,但是How to implemente E-signature仍是业界需要探索的问题。

2. GxP官方监管机构明确要求电子签名使用哪种技术?

要点– 通常不会有,因为使用哪种技术,达成哪种程度的信息安全;这不是GxP探讨的问题,这是法律和业界需要探索的问题,电子签名是界定企业和个人间责任授权的通用手段,也应该由专业机构和政府机关来规定。

但是某一些特定场景,GxP可以基于自己业务涉及的法律领域(比如临床研究中,涉及与病人的信息往来确认)来明文规定:需要什么样的业务流程,以及如何符合法规(More than GMP)的要求!

中国:《中华人民共和国电子签名法
第十六条 电子签名需要第三方认证
但什么情况下需要第三方认证,不是电子签名法的内容,是商务合同法,网络信息安全法等其他法规的要求

FDA:参考21 CFR 第11条背景下电子记录和电子签名在临床研究中的应用问与答行业指南
1.创建有效的电子签名可以使用什么方法?
答:不强制或指定任何特定方法来创建电子签名
当以电子形式签署了文件后,电子签名必须伴随一条计算机产生的、有时间戳的审计追踪(见11.10(e)和11.50(b))。当研究参与者提供电子签名时,临床研究者应确保参与者理解这个签名的法律重要性。 
2.FDA会对用以获取电子签名的电子系统和方法进行认证么?
答:FDA不会对用于获取电子签名的单独电子系统和方法进行认证FDA也不会对药品或医疗器械的生产设备进行认证
3.基于生物特征识别的电子签名必须满足什么要求才能被认为是可接受的生物特征识别方法?
FDA并不指定任何电子签名可能基于的生物特征识别方法11.50国家标准技术研究所国际信息技术标准委员会国际标准化组织/国际电工委员会(International Organization forStandardization,ISO / International ElectrotechnicalCommission,IEC)联合技术委员会/小组委员会结构化信息标准提升组织美国国家标准学会
参考中国CFDA 临床试验的电子数据采集技术指导原则
四、电子数据采集系统的基本要求>
EDC系统应具有电子签名功能,其适用于要求电子签名的所有电子记录,包括产生、修正、维护、存档、复原或传递的任何形式的电子表格。 电子签名可采用登录密码和系统随机产生的授权码来实现。电子签名与手写签名的关联性和法律等效性应当在被授权用户实施电子签名前声明并确认,被授权的电子签名与其书面手写签名具有同等的法律效应。
五、电子数据采集系统的应用要求>在数据录入完成,并且所有数据质疑都已关闭后,研究者在EDC系统里对eCRF做电子签名。签名后EDC系统一般不再允许数据改动。如果签名后有任何数据改动,则电子签名无效。
五、电子数据采集系统的应用要求>无论是基于纸质CRF的临床试验还是基于EDC系统的临床试验,数据库锁定都是临床试验中的一个重要里程碑。数据库锁定前,必须完成既定的数据库锁定清单中要求的所有任务,同时要最终核实研究者的电子签名。

3. 电子签名在系统CSV验证中应该如何设计与确认?

要点:GxP业务流程有对应GxP法规,优先符合该法规;如果无法规借鉴,则按照IT行业最佳实践及GAMP 基于风险进行验证

1.如果法规有对某个业务有明确技术要求(比如药品注册批准前检查 > 10. 批准前检查对药物研发过程中计算机系统的验证要求> 10.11 电子记录和电子签名的验证要求
2.如果涉及的GxP具体业务无强制电子签名技术要求,则建议基于IT行业最佳实践(比如ISO27000)和法律实体间的质量协议(比如CXO中的委托方和受托方),最后按照风险评估的指引,完成以下计算机化系统电子签名的机制
·验证身份 Authentication
身份验证是将提供的凭据与本地操作系统或身份验证服务器中授权用户信息数据库中的文件进行比较的过程。 如果凭据匹配,流程就完成了,用户就获得了访问相应计算机资源的授权(如图2)
Electronic Signature:GxP电子签名《大侠科普Pharm4.0 》系列9

图2. 典型的计算机系统身份识别流程
对人进行身份验证的方法有很多种:用户id和静态密码;用户id和动态密码;生物识别设备。基于证书的身份验证是一个使用公钥证书的用户ID和动态密码过程。图2是通过用户ID和静态/动态密码进行的典型身份验证。
受管制用户的身份证明文件(EMA Annex 11-2)的收集通常由受管制实体人力资源部门进行。美国FDA21 CFR 11.100(b)
·验证电子签名的安全性
数字电子签名的输出产生的散列数据(参考图1),被认为是一种电子记录。所有适用于计算机化系统电子记录的技术安保措施也适用于电子签名。在密码模块中,系统或应用程序提供加密、认证或数字签名生成和验证等加密服务的部分,应保护公钥不受未经授权的修改和替换。必须安全地管理私有密钥。 这些在各种其他服务中实现,包括未经授权的公开、修改和替换。
·验证电子记录链接的完整性
电子签名解决方案必须通过加密的副本保护保护电子签名,并使其不可能从批准的电子记录中复制、剪切或粘贴签名和审计跟踪。这个要求同样在21 CFR 11.70 和EMA Annex 11.14(b)得到体现。
·电子签名的审计追踪控制措施
作为电子记录(电子签名)完整性的一部分,审计跟踪是指记录电子记录修改情况的日志。代表用户操作的人员或自动流程可以执行这些修改。审计跟踪机制提供了重构修改后的电子记录的功能,因此不会掩盖以前记录的电子记录。跟踪机制包括计算机生成的时间戳,该时间戳指示条目的时间。
·电子签名的时间戳控制措施
数字时间戳服务(DTS)发布一个安全的时间戳,可用于数字签名和审计跟踪。DTS包括时间、电子记录的时间戳散列和时间认证。
·签署人身份的可追溯性和唯一性
取代手写签名的电子签名必须有适当的控制,以确保其真实性和对电子签名记录的特定签署人的可追溯性和唯一性
数字电子签名中对电子记录和消息进行签名的主要元素是私人密钥。计算机化系统的用户可以生成密钥对(私钥和公钥)。当系统生成密钥对时,密钥对由素数生成,素数由大的随机数(例如候选素数)生成。ANSIX9.17指定了密钥生成技术。私钥是与实体(特定签署人)唯一关联的,并且不公开,而且反过来证明了特定签署人的可追溯性和唯一性。
参考文献临床试验的电子数据采集技术指导原则中华人民共和国电子签名法 2015临床试验的电子数据采集技术指导原则 2016FDA CFR 11 — Subpart C--Electronic SignaturesEU Annex 11 Computerised SystemsPIC/S PI 011 Good Practices for Computerised Systems in Regulated GXP EnvironmentsWHO TRS 957 Annex 2 — 6.1 Documentation system and specifications电子记录和电子签名的验证要求FDA 数据可靠性与药品 CGMP 合规问答 2018/1221 CFR 第11条背景下电子记录和电子签名在临床研究中的应用问与答行业指南电子知情同意书使用问答 — 给伦理审查委员会、研究者、申请人的指南 2016

《大侠科普Pharm 4.0》系列科普:PLC,SCADA及DCS – 工业自控的基础全流程信息化追溯系统-药品监管码vs药械UDIMES – 制造业工业软件的灵魂Cloud Service - 云服务如何保障合规IT Infrastructure - IT基础设施的设计与管理学习视频需GMP办公室公众号会员LIMS - 实验室信息化典型代表系统Enterprise Architecture - 企业(数字化)架构Security Architecture - 安全架构Electronic Signature - GxP电子签名;

发布于 2021-07-19 14:45:56 © 著作权归作者所有
评分
3
19
收藏
更多