Normas para Registros Eletrônicos da Câmara de Estabilidade Ambiental

Subparte A -- Disposições Gerais
Seção. 11.1 Escopo.

(a) Os regulamentos desta parte estabelecem os critérios sob os quais a agência considera registros eletrônicos, assinaturas eletrônicas e assinaturas manuscritas executadas em registros eletrônicos como confiáveis, confiáveis ​​e geralmente equivalentes a registros em papel e assinaturas manuscritas executadas em papel.

(b) Esta parte se aplica a registros em formato eletrônico que são criados, modificados, mantidos, arquivados, recuperados ou transmitidos, sob quaisquer requisitos de registros estabelecidos nos regulamentos da agência. Esta parte também se aplica a registros eletrônicos submetidos à agência sob os requisitos do Federal Food , Drug, and Cosmetic Act e Public Health Service Act, mesmo que tais registros não sejam especificamente identificados nos regulamentos da agência. No entanto, esta parte não se aplica aos registros em papel que são ou foram transmitidos por meios eletrônicos.

(c) Quando as assinaturas eletrônicas e seus registros eletrônicos associados atenderem aos requisitos desta parte, a agência considerará as assinaturas eletrônicas equivalentes a assinaturas manuscritas completas, iniciais e outras assinaturas gerais conforme exigido pelos regulamentos da agência, a menos que especificamente excetuado por regulamento(s) em vigor ou após 20 de agosto de 1997.

(d) Registros eletrônicos que atendam aos requisitos desta parte podem ser usados ​​no lugar de registros em papel, de acordo com 11.2, a menos que registros em papel sejam especificamente exigidos.

(e) Os sistemas de computador (incluindo hardware e software), controles e documentação de acompanhamento mantidos sob esta parte devem estar prontamente disponíveis e sujeitos à inspeção da FDA.

(f) Esta parte não se aplica aos registros que devem ser estabelecidos ou mantidos por 1.326 a 1.368 deste capítulo. Os registros que atendem aos requisitos da parte 1, subparte J deste capítulo, mas que também são exigidos por outras disposições ou regulamentos legais aplicáveis, permanecem sujeitos a esta parte.

Seg. 11.2 Implementação.

(a) Para os registros que devem ser mantidos, mas não submetidos à agência, as pessoas podem usar registros eletrônicos em vez de registros em papel ou assinaturas eletrônicas em vez de assinaturas tradicionais, no todo ou em parte, desde que os requisitos desta parte sejam atendidos.

(b) Para registros apresentados à agência, as pessoas podem usar registros eletrônicos em vez de registros em papel ou assinaturas eletrônicas em vez de assinaturas tradicionais, no todo ou em parte, desde que:

(1) Os requisitos desta parte são atendidos; e
(2) O documento ou partes de um documento a ser apresentado foram identificados na súmula nº 92S-0251 como sendo o tipo de submissão que a agência aceita em formato eletrônico. Esta súmula identificará especificamente quais tipos de documentos ou partes de documentos são aceitáveis ​​para apresentação em formato eletrônico sem registros em papel e a(s) unidade(s) receptora(s) da agência (por exemplo, centro específico, escritório, divisão, filial) para as quais tais apresentações podem ser feitas. Documentos para a(s) unidade(s) receptora(s) não especificada(s) em súmula pública não serão considerados oficiais se apresentados em meio eletrônico; os formulários em papel de tais documentos serão considerados oficiais e devem acompanhar quaisquer registros eletrônicos. Espera-se que as pessoas consultem a unidade receptora da agência pretendida para obter detalhes sobre como (por exemplo, método de transmissão, mídia, formatos de arquivo,

Seg. 11.3 Definições.

(a) As definições e interpretações dos termos contidos na seção 201 da lei se aplicam a esses termos quando usados ​​nesta parte.

(b) As seguintes definições de termos também se aplicam a esta parte:
(1) Lei significa a Lei Federal de Alimentos, Medicamentos e Cosméticos (seções 201-903 (21 USC 321-393)).
(2) Agência significa a Food and Drug Administration.
(3) Biometria significa um método de verificação da identidade de um indivíduo com base na medição de suas características físicas ou ações repetíveis, onde essas características e/ou ações são únicas para aquele indivíduo e mensuráveis.
(4) Sistema fechado significa um ambiente no qual o acesso ao sistema é controlado por pessoas responsáveis ​​pelo conteúdo dos registros eletrônicos que estão no sistema.
(5) Assinatura digital significa uma assinatura eletrônica baseada em métodos criptográficos de autenticação do originador, computada por meio de um conjunto de regras e um conjunto de parâmetros para que a identidade do assinante e a integridade dos dados possam ser verificadas.
(6) Registro eletrônico significa qualquer combinação de texto, gráficos, dados, áudio, imagens ou outras representações de informações em formato digital que sejam criadas, modificadas, mantidas, arquivadas, recuperadas ou distribuídas por um sistema de computador.
(7) Assinatura eletrônica significa uma compilação de dados de computador de qualquer símbolo ou série de símbolos executados, adotados ou autorizados por um indivíduo para ser o equivalente legalmente obrigatório da assinatura manuscrita do indivíduo.
(8) Assinatura manuscrita significa o nome escrito ou marca legal de uma pessoa escrita à mão por essa pessoa e executada ou adotada com a presente intenção de autenticar uma escritura de forma permanente. O ato de assinar com um instrumento de escrita ou marcação, como uma caneta ou estilete, é preservado. O nome com script ou marca legal, embora convencionalmente aplicado ao papel, também pode ser aplicado a outros dispositivos que capturam o nome ou marca.
(9) Sistema aberto significa um ambiente no qual o acesso ao sistema não é controlado por pessoas responsáveis ​​pelo conteúdo dos registros eletrônicos que estão no sistema.

Subparte B - Registros Eletrônicos
Seção. 11.10 Controles para sistemas fechados.
As pessoas que usam sistemas fechados para criar, modificar, manter ou transmitir registros eletrônicos devem empregar procedimentos e controles projetados para garantir a autenticidade, integridade e, quando apropriado, a confidencialidade dos registros eletrônicos e para garantir que o signatário não possa repudiar prontamente o registro assinado como não genuíno. Tais procedimentos e controles devem incluir o seguinte:

(a) Validação de sistemas para garantir a precisão, confiabilidade, desempenho pretendido consistente e a capacidade de discernir registros inválidos ou alterados.

(b) A capacidade de gerar cópias precisas e completas de registros em formato legível e eletrônico adequado para inspeção, revisão e cópia pela agência. As pessoas devem entrar em contato com a agência se houver alguma dúvida sobre a capacidade da agência de realizar tal revisão e cópia dos registros eletrônicos.

(c) Proteção dos registros para permitir sua recuperação precisa e rápida durante todo o período de retenção dos registros.

(d) Limitar o acesso ao sistema a indivíduos autorizados.

(e) Uso de trilhas de auditoria seguras, geradas por computador e com carimbo de data/hora para registrar independentemente a data e hora das entradas e ações do operador que criam, modificam ou excluem registros eletrônicos. As alterações de registro não devem obscurecer informações previamente registradas. Essa documentação de trilha de auditoria deve ser retida por um período pelo menos tão longo quanto o exigido para os registros eletrônicos em questão e deve estar disponível para revisão e cópia da agência.

(f) Uso de verificações do sistema operacional para impor a sequência permitida de etapas e eventos, conforme apropriado.

(g) Uso de verificações de autoridade para garantir que apenas indivíduos autorizados possam usar o sistema, assinar eletronicamente um registro, acessar a operação ou dispositivo de entrada ou saída do sistema de computador, alterar o registro ou realizar a operação em questão.

(h) Uso de verificações de dispositivos (por exemplo, terminais) para determinar, conforme apropriado, a validade da fonte de entrada de dados ou instrução operacional.

(i) Determinação de que as pessoas que desenvolvem, mantêm ou usam sistemas de registro eletrônico/assinatura eletrônica possuem educação, treinamento e experiência para desempenhar suas tarefas atribuídas.

(j) O estabelecimento e a adesão a políticas escritas que responsabilizem os indivíduos por ações iniciadas sob suas assinaturas eletrônicas, a fim de impedir a falsificação de registros e assinaturas.

(k) Uso de controles apropriados sobre a documentação do sistema, incluindo:
(1) Controles adequados sobre a distribuição, acesso e uso da documentação para operação e manutenção do sistema.
(2) Procedimentos de controle de revisão e mudança para manter uma trilha de auditoria que documente o desenvolvimento e a modificação sequenciados no tempo da documentação dos sistemas.

Seg. 11.30 Controles para sistemas abertos.

As pessoas que usam sistemas abertos para criar, modificar, manter ou transmitir registros eletrônicos devem empregar procedimentos e controles projetados para garantir a autenticidade, integridade e, conforme apropriado, a confidencialidade dos registros eletrônicos desde o momento de sua criação até o ponto de seu recebimento. Esses procedimentos e controles devem incluir aqueles identificados em 11.10, conforme apropriado, e medidas adicionais, como criptografia de documentos e uso de padrões de assinatura digital apropriados para garantir, conforme necessário nas circunstâncias, autenticidade, integridade e confidencialidade do registro.

Seg. 11.50 Manifestações de assinatura.

(a) Os registros eletrônicos assinados devem conter informações associadas à assinatura que indiquem claramente todos os seguintes:

(1) O nome impresso do signatário;
(2) A data e hora em que a assinatura foi assinada; e
(3) O significado (como revisão, aprovação, responsabilidade ou autoria) associado à assinatura.

(b) Os itens identificados nos parágrafos (a)(1), (a)(2) e (a)(3) desta seção devem estar sujeitos aos mesmos controles dos registros eletrônicos e devem ser incluídos como parte de qualquer forma do registro eletrônico (como exibição eletrônica ou impressão).

Seg. 11.70 Vinculação de assinatura/registro.
Assinaturas eletrônicas e assinaturas manuscritas executadas em registros eletrônicos devem ser vinculadas aos seus respectivos registros eletrônicos para garantir que as assinaturas não possam ser extirpadas, copiadas ou transferidas para falsificar um registro eletrônico por meios comuns.

Subparte C - Assinaturas Eletrônicas

Sec. 11.100 Requisitos gerais.

(a) Cada assinatura eletrônica deve ser exclusiva para um indivíduo e não deve ser reutilizada ou reatribuída a qualquer outra pessoa.

(b) Antes que uma organização estabeleça, atribua, certifique ou sancione a assinatura eletrônica de um indivíduo, ou qualquer elemento dessa assinatura eletrônica, a organização deverá verificar a identidade do indivíduo.

(c) As pessoas que usam assinaturas eletrônicas devem, antes ou no momento de tal uso, certificar à agência que as assinaturas eletrônicas em seu sistema, usadas em ou após 20 de agosto de 1997, destinam-se a ser o equivalente juridicamente vinculativo das assinaturas manuscritas tradicionais.
(1) A certificação deve ser apresentada em papel e assinada com uma assinatura manuscrita tradicional, para o Escritório de Operações Regionais (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) As pessoas que usam assinaturas eletrônicas devem, mediante solicitação da agência, fornecer certificação adicional ou testemunho de que uma assinatura eletrônica específica é o equivalente juridicamente vinculativo da assinatura manuscrita do signatário.

Seg. 11.200 Componentes e controles de assinatura eletrônica.

(a) As assinaturas eletrônicas que não são baseadas em biometria devem:
(1) Empregar pelo menos dois componentes de identificação distintos, como código de identificação e senha.

(i) Quando um indivíduo executa uma série de assinaturas durante um período único e contínuo de acesso controlado ao sistema, a primeira assinatura deve ser executada usando todos os componentes de assinatura eletrônica; assinaturas subsequentes devem ser executadas usando pelo menos um componente de assinatura eletrônica que seja executável apenas e projetado para ser usado apenas pelo indivíduo.

(ii) Quando um indivíduo executa uma ou mais assinaturas não realizadas durante um único e contínuo período de acesso controlado ao sistema, cada assinatura deve ser executada usando todos os componentes de assinatura eletrônica.

(2) Ser usado apenas por seus proprietários genuínos; e

(3) Ser administrado e executado para garantir que a tentativa de uso da assinatura eletrônica de um indivíduo por qualquer pessoa que não seja seu proprietário genuíno exija a colaboração de dois ou mais indivíduos.

(b) As assinaturas eletrônicas baseadas em dados biométricos devem ser projetadas para garantir que não possam ser usadas por ninguém além de seus proprietários genuínos.

Seg. 11.300 Controles para códigos/senhas de identificação.
As pessoas que usam assinaturas eletrônicas com base no uso de códigos de identificação em combinação com senhas devem empregar controles para garantir sua segurança e integridade. Esses controles devem incluir:

(a) Manter a exclusividade de cada código de identificação e senha combinados, de modo que dois indivíduos não tenham a mesma combinação de código de identificação e senha.

(b) Garantir que as emissões de código de identificação e senha sejam verificadas, recuperadas ou revisadas periodicamente (por exemplo, para cobrir eventos como envelhecimento de senha).

(c) Seguir os procedimentos de gerenciamento de perdas para desautorizar eletronicamente tokens, cartões e outros dispositivos perdidos, roubados, perdidos ou potencialmente comprometidos que contenham ou gerem código de identificação ou informações de senha e emitir substituições temporárias ou permanentes usando controles adequados e rigorosos.

(d) Uso de salvaguardas de transação para evitar o uso não autorizado de senhas e/ou códigos de identificação, e para detectar e relatar de forma imediata e urgente quaisquer tentativas de uso não autorizado para a unidade de segurança do sistema e, conforme o caso, para a gestão organizacional.

(e) Testes iniciais e periódicos de dispositivos, como fichas ou cartões, que contenham ou gerem informações de código de identificação ou senha para garantir que funcionem corretamente e não tenham sido alterados de maneira não autorizada.