数字和电子签名
Q:数字签名和电子签名有什么区别?
A:数字签名是附加到电子文件中,它会与数据一同保存并随数据一起移动,而不是在电子系统中维护。签名可以由接收人进行确认。电子签名在经过验证的电子系统中执行和维护,并保留在电子系统中。电子签名只能在源系统中确认。
Q: 处理混合签名的最佳做法是什么?
(混合签名是在同一文件上混合手写或“湿”签名和数字签名/电子签名)
A: 最好签署完全湿或完全数字化的文件。如无其他选项,混合签名应更加特殊对待。
在这种情况下,必须首先使用手写签名,然后文件才可以准备进行数字签名。这样就可以维护数字签名/电子签名的元数据。完全签名的电子文件是正式的GXP文件。(打印输出不包含元数据,无法确认数字签名/电子签名)湿签名或其真实副本,以及电子签名副本必须作为链接文档,按照公司的记录管理政策保存在安全的、经验证符合其预期用途的环境中。
Q:是否可以将湿签名文档的扫描图像用作 GXP?(内部使用)
A: 只有当扫描的图像是原始湿签名记录的经过验证的真实副本并且您当地、法律和法规要求允许时,才可以接受。湿签名的湿签名或真实副本必须在记录保留期内可检索、可复制且不得更改。
Q: 我需要如何处理带有湿签名文档的扫描图像文件,我还需要签名?(外部使用,例如与第三方合作,在不同地点工作)
A: 如果发送此扫描文档的一方已建立真实副本流程,并且扫描的文档已经过确认并证明为真实副本,则可以使用此文件。发送方应具有符合你所期望的文件保存策略。
Q: 我们如何在电子文件管理系统中处理数字签名的文件?(例如,将 Adobe 数字签名文件加载到文件管理系统中,而不会丢失数字签名证书)
A: 应针对此预期用途验证文件管理系统,确认数字签名是否保留在系统中,以及在需要时是否可以检索它。应定义并记录此过程。
如果无法在系统中维护此数字签名,则应将经过数字签名的文件存储在经验证的安全环境中。
密码管理
Q:如何定义在记录数据的特定操作期间应何时输入密码?
A: 这种做法在 21CFR11 第 11.200 章“电子签名和组件”中进行了描述:
当人员在一个连续时间内访问受控系统访执行一系列签名时,应使用所有电子签名组件(= 用户 ID 和密码或生物识别技术)执行第一次签名;后续签名应使用至少一个电子签名组件执行,该组件仅可由个人执行,并且设计为仅供个人使用。
当人员在一个连续时间内访问受控系统执行一个或多个未执行的签名时,每个签名应使用所有电子签名组件执行
Q: 是否允许在互联网浏览器中存储GXP应用程序的密码?
A: 不可以,理想情况下,应在用于 GXP 应用程序的所有浏览器中停用此功能。
访问管理
Q:我可以将通用帐户用于第三方支持人员吗?(例如实验室技术人员、在线支持 SAP)
A: 不可以。帐户应可追溯至执行操作的人员,并且应有适当的流程和系统来管理此帐户。
记录生命周期管理:
Q: 如何保护重要的纸质记录?是否有必要扫描所有记录,或者实物保护(防火柜、纸质记录档案的位置)是否足够?
A: 记录应受到保护,并在适当的保存期限内可检索。在文件存储在安全可靠的环境中的情况下,无需扫描。
Q:如果记录已扫描,是否可以替换物理纸质记录?纸质记录可以在扫描后销毁吗?
A:在实践中,如果电子版副本是真实副本,这是可能的,但是需要遵守当地的法律和法规要求,以决定是否可以销毁纸质记录。
Q: 如果硬件和/或软件包(Windows更新,应用程序软件)不再支持,是否可以打印出电子数据,或者是否需要保持“旧”系统正常运行?(在出现软硬件错误的情况下,可能无法再看到电子数据)
A: 仅当打印输出是包含所有原始数据和元数据的真实副本时,才允许打印输出。在实践中,这是非常困难的。首选的方案是将这些数据迁移到适当的系统。另一种选择是创建一个虚拟环境,你可以在其中以已验证的状态运行旧系统,并且可以检索所有数据。
其他
Q:如何处理数据是目视检查的分析测试?(外观,不溶物测试,TLC等)
A:见指南表1“基于类别的最低系统要求”。
Q:是否允许在实验室或生产环境中使用个人笔记?(个人笔记:包括在培训期间或与同事讨论期间记录的培训信息/要点,...)
A:不,在GXP环境中执行活动所需的所有信息都应在受控程序和工作规程中描述。任何支持 GXP 批次的数据都必须进行控制、维护和审查。
