Livello B · utilizzabile nel tuo programma di compliance

Controlli FDA 21 CFR Part 11 per documenti elettronici e firme

Audit trail, approvazione controllata e firma elettronica PAdES per la documentazione farmaceutica e dei dispositivi medici.

Il prodotto offre funzionalità di governance documentale — autenticazione univoca degli utenti, controllo degli accessi, audit trail completo, versioning e firma elettronica PAdES tramite DocuSign — che i clienti farmaceutici e dei dispositivi medici possono utilizzare nel loro programma di conformità 21 CFR Part 11. Il prodotto stesso non è posizionato come soluzione validata 21 CFR Part 11; la validazione e la responsabilità normativa rimangono con il cliente.

Prenota una valutazione gratuita

Cosa chiede 21 CFR Part 11 — in termini semplici

21 CFR Part 11 è la normativa FDA sui record elettronici e le firme elettroniche. Per le organizzazioni farmaceutiche, biotech e dei dispositivi medici soggette alla vigilanza FDA, la Part 11 stabilisce i criteri in base ai quali i record elettronici (in sostituzione della carta) e le firme elettroniche (in sostituzione delle firme manoscritte) sono considerati affidabili e attendibili.

La normativa ha due parti principali:

Subpart B — Record Elettronici. I sistemi che gestiscono record elettronici devono includere:

  • Controlli degli accessi — limitare l'accesso al sistema alle persone autorizzate (§11.10(d)).
  • Audit trail — record sicuri, generati dal computer, con timestamp delle azioni degli operatori che creano, modificano o eliminano record (§11.10(e)). Le informazioni dell'audit trail devono essere conservate per almeno il tempo in cui è conservato il record sottostante.
  • Integrità dei record — procedure e controlli per garantire autenticità, integrità e riservatezza dei record (§11.10(c)).
  • Recuperabilità dei record — i record devono essere pronti e accurati per la revisione (§11.10(a), (b)).
  • Validazione del sistema — il sistema deve essere validato per garantire accuratezza, affidabilità, prestazioni coerenti e la capacità di rilevare record non validi o alterati (§11.10(a)).

Subpart C — Firme Elettroniche. Le firme elettroniche devono:

  • Essere univoche per un individuo (§11.100, §11.200).
  • Contenere il nome stampato del firmatario, data/ora e significato della firma (§11.50).
  • Essere legate ai rispettivi record elettronici (§11.70) in modo da non poter essere trasferite o copiate.
  • Utilizzare almeno due componenti di identificazione distinti (es. user ID + password) (§11.200).

docs365.ai fornisce funzionalità in ciascuna di queste aree che i clienti farmaceutici usano come parte del loro programma di conformità Part 11 — con la chiara comprensione che la validazione e la postura di conformità continuativa rimangono responsabilità del cliente.

Mappatura funzionalità-controllo

Controllo degli accessi (§11.10(d))

Funzionalità: Autenticazione univoca degli utenti tramite Microsoft Entra ID (Azure AD). Ogni azione è legata a un utente nominativo. I permessi SharePoint per documento e per libreria controllano chi può creare, leggere, modificare o approvare. Gli utenti esterni (contractor, consulenti) possono ricevere un accesso limitato senza entrare nell'identity provider principale dell'organizzazione, se il modello di sicurezza del cliente lo consente.

Audit trail (§11.10(e))

Funzionalità: Un audit log completo con timestamp di ogni azione su ogni documento — creazione, modifica, approvazione, rifiuto, pubblicazione, archivio. Legato alle identità utente Entra nominative. Accessibile per documento dal menu contestuale del documento, non da un back-end amministrativo. Conservato insieme al documento per l'intero ciclo di vita del documento.

L'audit log registra cosa è stato fatto (approvazione, modifica, pubblicazione), chi lo ha fatto (utente Entra nominativo), quando (con timestamp al secondo), su quale versione (l'audit log è specifico per versione) e quale ruolo aveva l'attore (approvatore, revisore, editor, auditor, supervisore).

Integrità dei record (§11.10(c))

Funzionalità: Durante un flusso di approvazione, il documento viene automaticamente estratto (checked out) — non può essere modificato. Un'approvazione si applica quindi a una versione specifica e inequivocabile. Dopo la pubblicazione, il PDF nell'area pubblica non può essere modificato. La cronologia delle versioni preserva ogni stato precedente; le versioni precedenti sono recuperabili ma non sono la versione canonica "in vigore".

Recuperabilità dei record (§11.10(a), (b))

Funzionalità: I documenti sono ricercabili e filtrabili per codice di protocollo, tipo di documento, stato, data di pubblicazione e qualsiasi metadato personalizzato configurato dal cliente. Le versioni storiche sono recuperabili attraverso la cronologia delle versioni. I documenti archiviati sono recuperabili attraverso la vista dei documenti archiviati.

Firme elettroniche (Subpart C)

Funzionalità: Integrazione DocuSign per firma elettronica semplice PAdES o avanzata PAdES. Il framework di firma DocuSign fornisce identità del firmatario (tramite email o opzioni di verifica più rigide configurate dal cliente), timestamping, legame crittografico della firma al documento e un certificato di firma separato incorporato nel PDF firmato che registra il nome del firmatario, data e ora e significato della firma.

Il PDF firmato ritorna alla libreria con la cronologia di approvazione e firma intatta. Il legame tra il documento e la firma è preservato dal legame crittografico PAdES — la firma non può essere trasferita a un altro documento.

La postura di validazione

21 CFR Part 11 §11.10(a) afferma che il sistema deve essere validato. La validazione è responsabilità del cliente — è un'attività che il team QA o di Computer System Validation del cliente svolge per dimostrare, alla FDA o agli organismi di assurance interni, che l'installazione specifica del sistema funziona in modo affidabile per il caso d'uso regolamentato specifico.

intranet.ai non fornisce binari pre-validati-per-Part-11, e non posiziona il prodotto come "validato" nel senso Part 11. Ciò che forniamo è:

  • Un prodotto software le cui funzionalità documentate si mappano alle specifiche aspettative Part 11 sopra indicate.
  • Supporto all'implementazione durante la configurazione iniziale.
  • Manutenzione del software (correzioni di bug, patch di sicurezza) sotto l'abbonamento annuale.
  • Un modello stabile di gestione dei cambiamenti (release documentate, nuove funzionalità ogni sei mesi, changelog comunicati) che il team di validazione del cliente può incorporare nelle proprie attività di verifica continuativa.

Il team QA del cliente esegue la validazione — qualification dell'installazione, qualification operativa, qualification delle prestazioni — rispetto all'utilizzo previsto specifico del prodotto. I clienti che gestiscono processi sotto la Part 11 fanno esattamente questo, con successo, con questo prodotto. Vedi il riferimento a Italfarmaco di seguito.

Come appare l'autenticazione univoca nella pratica

Poiché il prodotto è nativo Microsoft 365, l'identificazione univoca degli utenti fluisce da Entra ID. Ogni azione su ogni documento è legata all'identità Entra dell'utente attivo. Il token di identificazione non è una password generata dall'utente digitata in un form — è una sessione con legame crittografico supportata dall'identity provider del tenant, con qualsiasi policy di accesso condizionale l'organizzazione richieda.

Per le organizzazioni che richiedono l'autenticazione a più fattori per gli eventi di firma 21 CFR Part 11, l'MFA è configurato a livello Entra e si applica uniformemente. Il passaggio di firma elettronica tramite DocuSign aggiunge la propria ri-verifica dell'identità — DocuSign può essere configurato per ri-autenticare il firmatario tramite email, SMS, autenticazione basata sulla conoscenza o flussi di verifica dell'identità più stringenti, a seconda del profilo di rischio del cliente.

Logo

Italfarmaco

Storia del cliente

"Abbiamo centralizzato tutte le procedure attive nei nostri dipartimenti in un unico repository governato con un flusso di approvazione strutturato — mentre il nostro team QA gestisce la postura di validazione 21 CFR Part 11."

— QA Operations — Italfarmaco

Leggi la storia completa di Italfarmaco

Un cliente che si affida a questo

Italfarmaco ha centralizzato tutte le procedure attive nei propri dipartimenti in un unico repository governato con un flusso di approvazione strutturato. Il loro team QA è responsabile della postura di validazione per 21 CFR Part 11 — inclusa l'adeguatezza Part 11 di questo prodotto nel loro specifico ambiente. docs365.ai fornisce le funzionalità di autenticazione univoca, audit trail, versioning e firma elettronica PAdES che utilizzano.

Leggi la storia Italfarmaco →

Cosa è esplicitamente fuori dal perimetro

Firme CAdES. CAdES (formato envelope .p7m, spesso usato per firmare artefatti non-PDF in alcuni contesti europei) non è supportato dall'integrazione DocuSign né dal prodotto. I clienti che richiedono CAdES per documenti specifici mantengono un flusso di firma parallelo per quei documenti.

Firme elettroniche qualificate (QES). Le firme elettroniche qualificate sotto eIDAS (il framework UE che include token identificati con SPID) non sono supportate. I clienti che richiedono QES per documenti specifici — tipicamente un piccolo sottoinsieme della documentazione farmaceutica — usano un meccanismo alternativo per quelle firme.

Installazione pre-validata. Non forniamo un'installazione pre-validata-per-Part-11. La validazione è responsabilità del cliente, condotta dal team QA o CSV del cliente.

QMS turnkey. Il prodotto è un sistema di gestione documentale, non un sistema di gestione della qualità nel senso farmaceutico completo. Le preoccupazioni QMS più ampie (gestione della conformità alla formazione al di là della presa visione dei documenti, deviazioni, CAPA, gestione della qualità dei fornitori) non rientrano nel perimetro. Per i clienti che cercano un QMS validato completo con adeguatezza Part 11 turnkey, MasterControl e fornitori simili operano in quella categoria. Vedi la pagina di confronto intranet.ai vs. MasterControl →.

FAQ

Il prodotto è "validato" per 21 CFR Part 11? Non rivendichiamo la pre-validazione. La validazione è condotta dal team QA del cliente per la sua installazione specifica e l'uso previsto. Forniamo funzionalità che i clienti usano; supportiamo lo sforzo di validazione del cliente con documentazione e release stabili.

Il prodotto gestisce la conservazione dei record Part 11? Il prodotto preserva ogni versione di ogni documento attraverso il versioning nativo di SharePoint. I periodi di conservazione possono essere applicati a livello di tenant attraverso le policy di conservazione Microsoft Purview, e a livello di prodotto tramite la disciplina di archivio-non-eliminazione.

E i documenti ICH-GCP, GMP, GLP? Il ciclo di vita del prodotto si applica a qualsiasi documento controllato che le organizzazioni farmaceutiche o biotech devono gestire: SOP, master batch record, quaderni di laboratorio (come documenti, non come sistemi di laboratorio nativi), documenti di controllo delle modifiche, record di deviazione, istruzioni di lavoro specifiche del protocollo. L'adeguatezza con le specifiche aspettative ICH e GxP è verificata dal team QA del cliente.

Posso usarlo per le submission regolatorie (eCTD)? Il prodotto non è uno strumento di submission eCTD. Gestisce i documenti che entrano nelle submission — le SOP interne dello sponsor, i documenti di protocollo, i record di controllo delle modifiche — con la disciplina di audit e versioning che quei documenti richiedono. L'assemblaggio e la submission eCTD stessa utilizza strumenti specializzati.

Pagine correlate

Pronto ad allineare la documentazione FDA 21 CFR Part 11?

Trenta minuti. Gratuito. Senza impegno. Analizziamo la tua libreria attuale e identifichiamo dove questo prodotto cambierebbe la forma dell'evidenza.

Prenota una valutazione gratuita o vedi tutte le pagine compliance