Conformidade com a FDA CFR 21 Parte 11

A Mindify é um software construído em conformidade com a o regulamento da Food and Drug Administration (FDA) 21 CFR Part 11 dos Estados Unidos que estabelece as diretrizes para registros eletrônicos (ER) e assinaturas eletrônicas (ES) na indústria farmacêutica, de dispositivos médicos, biofarmacêutica e outras áreas regulamentadas pela FDA, com os objetivos de:

  • Garantir a integridade e a confiabilidade dos dados para proteger a saúde pública.
  • Assegurar que os registros eletrônicos possam ser usados como evidência em processos regulatórios.
Segue um resumo para o atendimento destas conformidades.

CONTROLES PARA SISTEMAS FECHADOS

As pessoas que utilizam sistemas fechados para criar, modificar, manter ou transmitir registros eletrônicos deverão empregar procedimentos e controles destinados a garantir a autenticidade, a integridade e, quando apropriado, a confidencialidade dos registros eletrônicos, e a garantir que o signatário não possa repudiar prontamente o registro assinado como não genuíno. Esses procedimentos e controles incluirão o seguinte:

  1. Validação de sistemas para garantir precisão, confiabilidade, desempenho consistente pretendido e capacidade de discernir registros inválidos ou alterados.
  2. A capacidade de gerar cópias precisas e completas de registros, tanto em formato legível por humanos quanto em formato eletrônico, adequado para inspeção, revisão e cópia pela agência. As pessoas devem entrar em contato com a agência se houver alguma dúvida sobre a capacidade da agência de realizar tal revisão e cópia dos registros eletrônicos.
  3. Proteção de registros para permitir sua recuperação precisa e imediata durante todo o período de retenção de registros.
  4. Limitar o acesso ao sistema a indivíduos autorizados.
  5. Uso de trilhas de auditoria seguras, geradas por computador e com registro de data e hora para registrar de forma independente a data e hora das entradas e ações do operador que criam, modificam ou excluem registros eletrônicos. As alterações nos registros não devem ocultar informações previamente registradas. Essa documentação da trilha de auditoria deverá ser retida por um período pelo menos igual ao exigido para os registros eletrônicos em questão e deverá estar disponível para revisão e cópia pela agência.
  6. Uso de verificações do sistema operacional para impor a sequência permitida de etapas e eventos, conforme apropriado.
  7. Uso de verificações de autoridade para garantir que apenas indivíduos autorizados possam usar o sistema, assinar eletronicamente um registro, acessar a operação ou dispositivo de entrada ou saída do sistema de computador, alterar um registro ou realizar a operação em questão.
  8. Uso de verificações de dispositivos (por exemplo, terminais) para determinar, conforme apropriado, a validade da fonte de entrada de dados ou instrução operacional.
  9. Determinação de que as pessoas que desenvolvem, mantêm ou utilizam sistemas de registro eletrônico/assinatura eletrônica possuem educação, treinamento e experiência para executar as tarefas que lhes são atribuídas.
  10. O estabelecimento e a adesão a políticas escritas que responsabilizem os indivíduos pelas ações iniciadas sob as suas assinaturas eletrónicas, a fim de impedir a falsificação de registos e assinaturas.
  11. Uso de controles apropriados sobre a documentação dos sistemas, incluindo:
    • Controles adequados sobre a distribuição, acesso e uso de documentação para operação e manutenção do sistema.
    • Procedimentos de revisão e controle de mudanças para manter uma trilha de auditoria que documente o desenvolvimento sequenciado e a modificação da documentação dos sistemas.

CONTROLES PARA SISTEMAS ABERTOS

As pessoas que utilizam sistemas abertos para criar, modificar, manter ou transmitir registros eletrônicos devem empregar procedimentos e controles destinados a garantir a autenticidade, integridade e, conforme apropriado, a confidencialidade dos registros eletrônicos desde o ponto de sua criação até o ponto de seu recebimento. Tais procedimentos e controles deverão incluir aqueles identificados no § 11.10, conforme apropriado, e medidas adicionais, como criptografia de documentos e uso de padrões de assinatura digital apropriados para garantir, conforme necessário nas circunstâncias, a autenticidade, integridade e confidencialidade dos registros.

CONTROLE DE ACESSO

Requisito

Descrição Detalhada

Impacto na Conformidade

Dicas para Implementação

Níveis de acesso

Definir diferentes níveis de acesso baseados em funções e responsabilidades.

 Crítico

  • Criar perfis de usuário com permissões granulares.
  • Restringir o acesso a dados confidenciais.
  • Implementar políticas de senha complexa e rotatividade.

Segregação de funções

 Implementar segregação de funções para evitar conflitos de interesse e acesso indevido a dados confidenciais.

 Crítico

  • Separar as funções de criação, aprovação e modificação de dados.
  • Restringir o acesso a dados confidenciais a um número limitado de usuários.

Autenticação robusta

 Implementar métodos de autenticação confiáveis para garantir que apenas usuários autorizados acessem o sistema.

 Crítico

  •  Implementar autenticação multifator (MFA).
  • Integrar com sistemas de autenticação existentes (p.ex., SSO).

Senhas complexas

 Implementar políticas de senha complexas, incluindo requisitos de tamanho, caracteres e frequência de alteração.

 Importante

  • Alteração de senha periodicamente.

Gerenciamento de acesso privilegiado

 Implementar medidas de segurança adicionais para contas com acesso privilegiado ao sistema.

 Crítico

  •  Restringir o acesso a um número limitado de usuários.
  • Monitorar e auditar rigorosamente as atividades de acesso.

ASSINATURA ELETRÔNICA

 Requisito  Descrição Detalhada  Impacto na Conformidade  Dicas para Implementação
 Atribuição única  Associar cada assinatura eletrônica a um indivíduo específico de forma inequívoca. Crítico
  • Utilizar certificados digitais ou outros métodos de autenticação confiável.
Vinculação segura  Vincular cada assinatura eletrônica ao registro eletrônico correspondente de forma inviolável. Crítico
  • Empregar criptografia robusta e mecanismos de hash para garantir a integridade da assinatura e do registro.
Armazenamento seguro  Armazenar as assinaturas eletrônicas de forma segura e protegida contra adulteração. Crítico
  • Utilizar bancos de dados seguros com criptografia e backups regulares.
Não repúdio  Garantir que o signatário não possa negar ter assinado o registro eletrônico. Crítico
  • Implementar mecanismos de autenticação robusta e trilha de auditoria.

TRILHA DE AUDITORIA

 Requisito

Descrição Detalhada

 Impacto na Conformidade

 Dicas para Implementação

Rastreamento de ações

Registrar todas as ações realizadas em registros eletrônicos, incluindo quem, o que, quando e onde.

 Crítico

  • Implementar um sistema de rastreamento de auditoria robusto.
  • Registrar todas as modificações em dados e metadados.

Armazenamento seguro

Armazenar as trilhas de auditoria de forma segura e protegida contra adulteração.

 Crítico

  •  Utilizar bancos de dados seguros com criptografia e backups regulares.

Acessibilidade

As trilhas de auditoria devem ser facilmente acessíveis para revisão e auditoria.

 Importante

  • Implementar um sistema de visualização e análise de trilhas de auditoria.

Integridade

As trilhas de auditoria devem ser completas, precisas e confiáveis.

 Crítico

  • Empregar mecanismos para garantir a integridade da trilha de auditoria (p.ex., hashes).

VALIDAÇÃO DO SISTEMA

 Requisito

 Descrição Detalhada

 Impacto na Conformidade

 Dicas para Implementação

 Documentação

Documentar completamente o processo de validação do sistema, incluindo os testes realizados, os resultados obtidos e as conclusões.

 Crítico

  • Criar um plano de validação detalhado.
  • Registrar todos os testes e resultados.

 Testes

Realizar testes abrangentes para garantir que o sistema atenda a todos os requisitos especificados.

 Crítico

  • Testar todos os aspectos do sistema, incluindo funcionalidades, segurança e desempenho.

 Qualificação

Qualificar o sistema para garantir que ele funcione de forma consistente e confiável no ambiente de produção.

 Crítico

  • Realizar testes de qualificação de instalação, operacional e desempenho.

 Manutenção

Manter a validação do sistema através de monitoramento contínuo e revalidação periódica.

 Importante

  • Implementar um programa de monitoramento de desempenho.
  • Revalidar o sistema após alterações significativas.

MANUTENÇÃO DE REGISTROS ELETRÔNICOS

 Requisito

 Descrição Detalhada

 Impacto na Conformidade

 Dicas para Implementação

Atribuição de responsabilidades

Designar um responsável pela criação, manutenção e controle dos registros eletrônicos.

 Importante

  • Definir responsabilidades para cada etapa do ciclo de vida do registro.

Segurança de dados

Implementar medidas de segurança para proteger os registros eletrônicos contra acesso não autorizado, modificação ou destruição.

 Crítico

  • Implementar controle de acesso, criptografia e backups regulares.

Precisão e confiabilidade

Garantir que os registros eletrônicos sejam precisos, completos e confiáveis.

 Crítico

  • Implementar validação de dados e mecanismos de controle de qualidade.

Armazenamento e acessibilidade

Armazenar os registros eletrônicos de forma segura e acessível por um período de tempo especificado.

 Importante

  •  Implementar um sistema de armazenamento seguro e acessível.

Rastreabilidade

Manter um registro completo de todas as alterações feitas nos registros eletrônicos.

 Importante

  • Implementar um sistema de trilha de auditoria robusto.

SEGURANÇA DE DADOS

 Requisito  Descrição Detalhada  Impacto na Conformidade  Dicas para Implementação
Controle de acesso  Implementar medidas de controle de acesso robustas para garantir que apenas usuários autorizados acessem dados confidenciais. Crítico
  • Implementar autenticação multifator, segregação de funções e níveis de acesso granulares.
Proteção de dados  Implementar medidas de proteção de dados para garantir a confidencialidade, integridade e disponibilidade dos dados. Crítico
  • Empregar criptografia, backups regulares e mecanismos de recuperação de desastres.
Rastreamento de auditoria  Manter um registro completo de todas as atividades de acesso e modificação de dados. Importante
  • Implementar um sistema de trilha de auditoria robusto.
Gerenciamento de incidentes  Implementar um plano de gerenciamento de incidentes para responder a violações de segurança de dados de forma eficaz. Importante
  • Definir procedimentos para identificar, investigar e corrigir violações de segurança.

TREINAMENTO

 Requisito Descrição Detalhada Impacto na Conformidade Dicas para Implementação
Treinamento periódico Fornecer treinamento periódico aos usuários sobre os requisitos da FDA CFR 21 Parte 11 e seus impactos no trabalho. Importante
  • Criar um programa de treinamento abrangente e atualizado.
  • Registrar a participação e o desempenho dos treinamentos.
Conteúdo do treinamento

 O treinamento deve abranger os seguintes tópicos:

  • Requisitos da norma CFR 21 Parte 11
  • Uso correto do sistema
  • Segurança de dados
  • Práticas de assinatura eletrônica
  • Gerenciamento de registros eletrônicos
Crítico
  • Utilizar diferentes métodos de treinamento (p.ex., e-learning, apresentações, workshops).
  • Adaptar o conteúdo do treinamento para diferentes níveis de usuários.
Conscientização sobre a segurançaCriar uma cultura de conscientização sobre a segurança da informação entre os usuários.Importante
  • Divulgar políticas de segurança e boas práticas.
  • Incentivar a comunicação de incidentes de segurança.