Conformidade com a FDA CFR 21 Parte 11

A Mindify é um software construído em conformidade com a o regulamento da Food and Drug Administration (FDA) 21 CFR Part 11 dos Estados Unidos que estabelece as diretrizes para registros eletrônicos (ER) e assinaturas eletrônicas (ES) na indústria farmacêutica, de dispositivos médicos, biofarmacêutica e outras áreas regulamentadas pela FDA, com os objetivos de:

Garantir a integridade e a confiabilidade dos dados para proteger a saúde pública.
Assegurar que os registros eletrônicos possam ser usados como evidência em processos regulatórios.

Segue um resumo para o atendimento destas conformidades.

CONTROLES PARA SISTEMAS FECHADOS

As pessoas que utilizam sistemas fechados para criar, modificar, manter ou transmitir registros eletrônicos deverão empregar procedimentos e controles destinados a garantir a autenticidade, a integridade e, quando apropriado, a confidencialidade dos registros eletrônicos, e a garantir que o signatário não possa repudiar prontamente o registro assinado como não genuíno. Esses procedimentos e controles incluirão o seguinte:

Validação de sistemas para garantir precisão, confiabilidade, desempenho consistente pretendido e capacidade de discernir registros inválidos ou alterados.
A capacidade de gerar cópias precisas e completas de registros, tanto em formato legível por humanos quanto em formato eletrônico, adequado para inspeção, revisão e cópia pela agência. As pessoas devem entrar em contato com a agência se houver alguma dúvida sobre a capacidade da agência de realizar tal revisão e cópia dos registros eletrônicos.
Proteção de registros para permitir sua recuperação precisa e imediata durante todo o período de retenção de registros.
Limitar o acesso ao sistema a indivíduos autorizados.
Uso de trilhas de auditoria seguras, geradas por computador e com registro de data e hora para registrar de forma independente a data e hora das entradas e ações do operador que criam, modificam ou excluem registros eletrônicos. As alterações nos registros não devem ocultar informações previamente registradas. Essa documentação da trilha de auditoria deverá ser retida por um período pelo menos igual ao exigido para os registros eletrônicos em questão e deverá estar disponível para revisão e cópia pela agência.
Uso de verificações do sistema operacional para impor a sequência permitida de etapas e eventos, conforme apropriado.
Uso de verificações de autoridade para garantir que apenas indivíduos autorizados possam usar o sistema, assinar eletronicamente um registro, acessar a operação ou dispositivo de entrada ou saída do sistema de computador, alterar um registro ou realizar a operação em questão.
Uso de verificações de dispositivos (por exemplo, terminais) para determinar, conforme apropriado, a validade da fonte de entrada de dados ou instrução operacional.
Determinação de que as pessoas que desenvolvem, mantêm ou utilizam sistemas de registro eletrônico/assinatura eletrônica possuem educação, treinamento e experiência para executar as tarefas que lhes são atribuídas.
O estabelecimento e a adesão a políticas escritas que responsabilizem os indivíduos pelas ações iniciadas sob as suas assinaturas eletrónicas, a fim de impedir a falsificação de registos e assinaturas.
Uso de controles apropriados sobre a documentação dos sistemas, incluindo:

- Controles adequados sobre a distribuição, acesso e uso de documentação para operação e manutenção do sistema.
- Procedimentos de revisão e controle de mudanças para manter uma trilha de auditoria que documente o desenvolvimento sequenciado e a modificação da documentação dos sistemas.

CONTROLES PARA SISTEMAS ABERTOS

As pessoas que utilizam sistemas abertos para criar, modificar, manter ou transmitir registros eletrônicos devem empregar procedimentos e controles destinados a garantir a autenticidade, integridade e, conforme apropriado, a confidencialidade dos registros eletrônicos desde o ponto de sua criação até o ponto de seu recebimento. Tais procedimentos e controles deverão incluir aqueles identificados no § 11.10, conforme apropriado, e medidas adicionais, como criptografia de documentos e uso de padrões de assinatura digital apropriados para garantir, conforme necessário nas circunstâncias, a autenticidade, integridade e confidencialidade dos registros.

CONTROLE DE ACESSO

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Níveis de acesso	Definir diferentes níveis de acesso baseados em funções e responsabilidades.	Crítico	Criar perfis de usuário com permissões granulares. Restringir o acesso a dados confidenciais. Implementar políticas de senha complexa e rotatividade.
Segregação de funções	Implementar segregação de funções para evitar conflitos de interesse e acesso indevido a dados confidenciais.	Crítico	Separar as funções de criação, aprovação e modificação de dados. Restringir o acesso a dados confidenciais a um número limitado de usuários.
Autenticação robusta	Implementar métodos de autenticação confiáveis para garantir que apenas usuários autorizados acessem o sistema.	Crítico	Implementar autenticação multifator (MFA). Integrar com sistemas de autenticação existentes (p.ex., SSO).
Senhas complexas	Implementar políticas de senha complexas, incluindo requisitos de tamanho, caracteres e frequência de alteração.	Importante	Alteração de senha periodicamente.
Gerenciamento de acesso privilegiado	Implementar medidas de segurança adicionais para contas com acesso privilegiado ao sistema.	Crítico	Restringir o acesso a um número limitado de usuários. Monitorar e auditar rigorosamente as atividades de acesso.

ASSINATURA ELETRÔNICA

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Atribuição única	Associar cada assinatura eletrônica a um indivíduo específico de forma inequívoca.	Crítico	Utilizar certificados digitais ou outros métodos de autenticação confiável.
Vinculação segura	Vincular cada assinatura eletrônica ao registro eletrônico correspondente de forma inviolável.	Crítico	Empregar criptografia robusta e mecanismos de hash para garantir a integridade da assinatura e do registro.
Armazenamento seguro	Armazenar as assinaturas eletrônicas de forma segura e protegida contra adulteração.	Crítico	Utilizar bancos de dados seguros com criptografia e backups regulares.
Não repúdio	Garantir que o signatário não possa negar ter assinado o registro eletrônico.	Crítico	Implementar mecanismos de autenticação robusta e trilha de auditoria.

TRILHA DE AUDITORIA

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Rastreamento de ações	Registrar todas as ações realizadas em registros eletrônicos, incluindo quem, o que, quando e onde.	Crítico	Implementar um sistema de rastreamento de auditoria robusto. Registrar todas as modificações em dados e metadados.
Armazenamento seguro	Armazenar as trilhas de auditoria de forma segura e protegida contra adulteração.	Crítico	Utilizar bancos de dados seguros com criptografia e backups regulares.
Acessibilidade	As trilhas de auditoria devem ser facilmente acessíveis para revisão e auditoria.	Importante	Implementar um sistema de visualização e análise de trilhas de auditoria.
Integridade	As trilhas de auditoria devem ser completas, precisas e confiáveis.	Crítico	Empregar mecanismos para garantir a integridade da trilha de auditoria (p.ex., hashes).

VALIDAÇÃO DO SISTEMA

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Documentação	Documentar completamente o processo de validação do sistema, incluindo os testes realizados, os resultados obtidos e as conclusões.	Crítico	Criar um plano de validação detalhado. Registrar todos os testes e resultados.
Testes	Realizar testes abrangentes para garantir que o sistema atenda a todos os requisitos especificados.	Crítico	Testar todos os aspectos do sistema, incluindo funcionalidades, segurança e desempenho.
Qualificação	Qualificar o sistema para garantir que ele funcione de forma consistente e confiável no ambiente de produção.	Crítico	Realizar testes de qualificação de instalação, operacional e desempenho.
Manutenção	Manter a validação do sistema através de monitoramento contínuo e revalidação periódica.	Importante	Implementar um programa de monitoramento de desempenho. Revalidar o sistema após alterações significativas.

MANUTENÇÃO DE REGISTROS ELETRÔNICOS

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Atribuição de responsabilidades	Designar um responsável pela criação, manutenção e controle dos registros eletrônicos.	Importante	Definir responsabilidades para cada etapa do ciclo de vida do registro.
Segurança de dados	Implementar medidas de segurança para proteger os registros eletrônicos contra acesso não autorizado, modificação ou destruição.	Crítico	Implementar controle de acesso, criptografia e backups regulares.
Precisão e confiabilidade	Garantir que os registros eletrônicos sejam precisos, completos e confiáveis.	Crítico	Implementar validação de dados e mecanismos de controle de qualidade.
Armazenamento e acessibilidade	Armazenar os registros eletrônicos de forma segura e acessível por um período de tempo especificado.	Importante	Implementar um sistema de armazenamento seguro e acessível.
Rastreabilidade	Manter um registro completo de todas as alterações feitas nos registros eletrônicos.	Importante	Implementar um sistema de trilha de auditoria robusto.

SEGURANÇA DE DADOS

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Controle de acesso	Implementar medidas de controle de acesso robustas para garantir que apenas usuários autorizados acessem dados confidenciais.	Crítico	Implementar autenticação multifator, segregação de funções e níveis de acesso granulares.
Proteção de dados	Implementar medidas de proteção de dados para garantir a confidencialidade, integridade e disponibilidade dos dados.	Crítico	Empregar criptografia, backups regulares e mecanismos de recuperação de desastres.
Rastreamento de auditoria	Manter um registro completo de todas as atividades de acesso e modificação de dados.	Importante	Implementar um sistema de trilha de auditoria robusto.
Gerenciamento de incidentes	Implementar um plano de gerenciamento de incidentes para responder a violações de segurança de dados de forma eficaz.	Importante	Definir procedimentos para identificar, investigar e corrigir violações de segurança.

TREINAMENTO

Requisito	Descrição Detalhada	Impacto na Conformidade	Dicas para Implementação
Treinamento periódico	Fornecer treinamento periódico aos usuários sobre os requisitos da FDA CFR 21 Parte 11 e seus impactos no trabalho.	Importante	Criar um programa de treinamento abrangente e atualizado. Registrar a participação e o desempenho dos treinamentos.
Conteúdo do treinamento	O treinamento deve abranger os seguintes tópicos: Requisitos da norma CFR 21 Parte 11 Uso correto do sistema Segurança de dados Práticas de assinatura eletrônica Gerenciamento de registros eletrônicos	Crítico	Utilizar diferentes métodos de treinamento (p.ex., e-learning, apresentações, workshops). Adaptar o conteúdo do treinamento para diferentes níveis de usuários.
Conscientização sobre a segurança	Criar uma cultura de conscientização sobre a segurança da informação entre os usuários.	Importante	Divulgar políticas de segurança e boas práticas. Incentivar a comunicação de incidentes de segurança.