Firmas electrónicas

Subparte C – Firmas electrónicas
§11.100 - Requisitos generales
Requisitos
Notas sobre la aplicación
Enlaces de procedimientos
§11.100, sección a
Cada firma electrónica será única para una persona y no podrá ser reutilizada ni reasignada a nadie más.
FactoryTalk Optix Studio permite la creación o integración de perfiles de inicio de sesión únicos para cada usuario, ya sea a través de usuarios locales de FactoryTalk Optix o usuarios de Active Directory.
OBSERVACIÓN: Consulte
§11.10, sección d
para obtener más información.
Si administra usuarios locales de FactoryTalk Optix, tanto durante el tiempo de diseño como el tiempo de ejecución, el widget
Editor de usuarios
permite crear y administrar cualquier usuario recién creado, así como habilitar sus credenciales de inicio de sesión.
Se deben implementar procedimientos para garantizar que los ID de usuario no se eliminen ni se reasignen. Se recomienda deshabilitar los ID de usuario en lugar de eliminarlos como práctica recomendada.
CONSEJO: Se recomienda encarecidamente utilizar solo usuarios de dominio, para permitir la configuración autónoma de las credenciales de inicio de sesión de acuerdo con la política (seguridad de la contraseña, fecha de caducidad, etc.).
§11.100, sección b
Antes de que una organización establezca, asigne, certifique o autorice la firma electrónica de una persona, o cualquier elemento de dicha firma electrónica, la organización deberá verificar la identidad de la persona.
En FactoryTalk Optix Studio, una vez que se autoriza a un usuario y se crea una cuenta única, el usuario debe introducir sus credenciales de inicio de sesión y contraseña para acceder a la aplicación. Además, cada usuario se puede configurar para que se le pida que cambie su contraseña después de su primer inicio de sesión, ya sea a través de la política Doman o a través de un script NetLogic personalizado. Este proceso valida la identidad del usuario.
OBSERVACIÓN: Los usuarios de dominio se asociarán a grupos a través del servidor de Active Directory.
OBSERVACIÓN: Se recomienda encarecidamente incluir la verificación de la identidad de una persona antes de autorizar la firma electrónica de dicha persona.
El cliente es responsable de informar a la FDA sobre su voluntad de utilizar la firma electrónica como un equivalente legalmente vinculante de las firmas manuscritas tradicionales.
Una vez que se ha autorizado a un usuario y se ha creado una cuenta única con una contraseña en FactoryTalk Optix Studio, el usuario debe introducir su nombre de usuario y contraseña para acceder a FactoryTalk Optix Studio. Este proceso valida la identidad del usuario en FactoryTalk Optix Studio.
OBSERVACIÓN: Se recomienda encarecidamente incluir la verificación de la identidad de una persona antes de autorizar la firma electrónica de dicha persona.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.100, sección c
Las personas que utilicen firmas electrónicas deberán, antes o en el momento de dicho uso, certificar a la agencia que las firmas electrónicas en su sistema, utilizadas a partir del 20 de agosto de 1997, están destinadas a ser el equivalente legalmente vinculante de las firmas manuscritas tradicionales.
El cliente es responsable de informar a la FDA sobre su voluntad de utilizar la firma electrónica como un equivalente legalmente vinculante de las firmas manuscritas tradicionales.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.100, sección c, 1
La certificación se presentará en papel y firmada con una firma manuscrita tradicional ante la Oficina de Operaciones Regionales (HFC-100), 5600 Fishers Lane, Rockville, MD 20857.
El cliente es responsable de informar a la FDA sobre su voluntad de utilizar la firma electrónica como un equivalente legalmente vinculante de las firmas manuscritas tradicionales.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.100, sección c, 2
Las personas que utilicen firmas electrónicas deberán, a solicitud de la agencia, proporcionar una certificación o testimonio adicional de que una firma electrónica específica es el equivalente legalmente vinculante de la firma manuscrita del firmante.
Si es necesario, el cliente es responsable de proporcionar cualquier prueba del uso de la firma electrónica como equivalente legalmente vinculante de las firmas manuscritas tradicionales.
En FactoryTalk Optix Studio es posible configurar la opción
Firmar y verificar archivo
de NetLogic para firmar electrónicamente los archivos y verificar la integridad de los archivos firmados.
§11.200 - Componentes y controles de la firma electrónica
Requisitos
Notas sobre la aplicación
Enlaces de procedimientos
§11.200, sección a
Las firmas electrónicas que no se basen en datos biométricos deberán:
§11.200, sección a, 1
Emplee al menos dos componentes de identificación distintos, como un código de identificación y una contraseña.
FactoryTalk Optix Studio requiere dos componentes para la identificación del usuario: un nombre de usuario y una contraseña.
§11.200, sección a, 1a
Cuando una persona ejecute una serie de firmas durante un período único y continuo de acceso controlado al sistema, la primera firma se ejecutará utilizando todos los componentes de firma electrónica; las firmas posteriores se ejecutarán utilizando al menos un componente de firma electrónica que solo sea ejecutable y diseñado para ser utilizado únicamente por la persona.
FactoryTalk Optix Studio requiere la identificación del usuario mediante un ID de inicio de sesión único y una contraseña que deben introducirse en la sección de inicio de sesión inicial de la aplicación. El usuario deberá volver a introducir su ID de inicio de sesión y contraseña después de cada cierre de sesión. Esto se puede implementar mediante el uso de formularios de inicio de sesión.
El proceso de firma electrónica de FactoryTalk Optix Studio requiere que el operador que ha iniciado sesión proporcione su contraseña. El operador no puede ejecutar ninguna firma electrónica a menos que haya iniciado sesión previamente en la aplicación. Cuando una firma electrónica esté configurada de tal manera que requiera la firma de un aprobador, este introducirá su ID de inicio de sesión y contraseña únicos para cada firma electrónica ejecutada.
Vea Auditoría de firma y los subcapítulos relacionados
Vea Configuración de tiempo de espera de inactividad y los subcapítulos relacionados
§11.200, sección a, 1b
Cuando una persona ejecute una o más firmas no realizadas durante un período continuo de acceso controlado al sistema, cada firma se ejecutará utilizando todos los componentes de firma electrónica.
El cliente deberá implementar procedimientos de cierre de sesión para obligar al usuario a cerrar la sesión al final de cualquier período de acceso controlado al sistema, y el inicio de sesión del usuario cuando comience el siguiente período de acceso. Se puede configurar una función de cierre de sesión automático para garantizar que la estación de trabajo no quede desatendida. Esto se hace mediante la creación de un temporizador de inactividad configurado para desencadenar acciones específicas (como cerrar sesión) después de un tiempo determinado.
En el flujo de trabajo de firma de FactoryTalk Optix Studio, se pueden configurar objetos u operaciones individuales.
El proceso de firma electrónica de FactoryTalk Optix Studio requiere que el operador que ha iniciado sesión proporcione su contraseña. El operador no puede ejecutar ninguna firma electrónica a menos que haya iniciado sesión previamente en la aplicación proporcionando su ID de inicio de sesión y contraseña únicos. Cuando una firma electrónica se configura para requerir la firma de un aprobador, este debe introducir su ID de inicio de sesión y contraseña únicos para ejecutar cada firma electrónica.
Vea Auditoría de firma y los subcapítulos relacionados
Vea Configuración de tiempo de espera de inactividad y los subcapítulos relacionados
§11.200, sección a, 2
Para ser utilizada únicamente por sus legítimos propietarios.
El cliente es responsable de asegurarse de que el propietario legítimo esté firmando la firma electrónica y que la contraseña no se revele a otros. En FactoryTalk Optix Studio es posible establecer un propietario genuino, como un usuario o un grupo, o un usuario y un grupo, o solo un usuario, para flujos de trabajo de firma individuales.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.200, sección a, 3
Se administrará y ejecutará para proporcionar la confianza de que el intento de uso de la firma electrónica de una persona por parte de cualquier persona que no sea su propietario legítimo requiere la colaboración entre dos o más personas.
El cliente debe implementar procedimientos apropiados para manejar situaciones que requieran una firma electrónica por parte de cualquier persona que no sea su propietario legítimo. Es posible establecer varios propietarios legítimos en el flujo de trabajo de firma.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.200, sección b
Las firmas electrónicas basadas en datos biométricos se diseñarán para garantizar que no pueden ser utilizadas por nadie que no sea su verdadero propietario.
FactoryTalk Optix Studio admite dispositivos biométricos conectados a paneles y permite gestionar las autorizaciones de acceso a los datos biométricos. La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.300 - Controles para códigos de identificación/contraseñas
Requisitos
Notas sobre la aplicación
Enlaces de procedimientos
Las personas que utilicen firmas electrónicas basadas en el uso de códigos de identificación en combinación con contraseñas emplearán controles para proporcionar confianza en su seguridad e integridad. Dichos controles incluirán:
§11.300, sección a
Mantener la unicidad de cada código de identificación y contraseña combinados, de modo que no haya dos personas que tengan la misma combinación de código de identificación y contraseña.
FactoryTalk Optix Studio permite configurar ajustes de seguridad de dominios individuales. Una cuenta de usuario se puede deshabilitar o desactivar sin eliminar el ID de inicio de sesión del usuario.
FactoryTalk Optix Studio conserva todos los ID de inicio de sesión para evitar la reutilización o reasignación de los ID de inicio de sesión creados anteriormente.
§11.300, sección b
Confirmar que las emisiones de códigos de identificación y contraseñas se comprueban, recuperan o revisan periódicamente (por ejemplo, para cubrir eventos como la caducidad de las contraseñas).
FactoryTalk Optix Studio permite integrar la configuración de seguridad de dominios para la administración de cuentas. Como alternativa, FactoryTalk Optix Studio permite configurar estos ajustes de seguridad para las cuentas locales de FactoryTalk Optix: caducidad de la contraseña, envejecimiento de la contraseña, requisitos de complejidad de la contraseña, caducidad de la cuenta, deshabilitación de cuentas, bloqueo después de varios intentos de inicio de sesión no válidos y forzado de un cambio de contraseña en el primer inicio de sesión.
§11.300, sección c
Seguir los procedimientos de gestión de pérdidas para desautorizar electrónicamente los tokens, tarjetas y otros dispositivos perdidos, robados, extraviados o potencialmente comprometidos que lleven o generen información de código de identificación o contraseña, y para emitir reemplazos temporales o permanentes utilizando controles adecuados y rigurosos.
El cliente es responsable de implementar los procedimientos de gestión de pérdidas.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
§11.300, sección d
Uso de medios de protección de las transacciones para prevenir el uso no autorizado de contraseñas o códigos de identificación, y para detectar y notificar de manera inmediata y urgente cualquier intento de uso no autorizado a la unidad de seguridad del sistema y, según corresponda, a la gerencia de la organización.
Todas las actividades de los usuarios se registran en bases de datos y se pueden generar informes.
FactoryTalk Optix permite integrar la configuración de seguridad de dominios para la administración de cuentas. Como alternativa, se proporcionan mecanismos de seguridad para las cuentas locales de FactoryTalk Optix con el fin de detectar cualquier uso no autorizado si se mantienen reglas de uso autorizado. Por ejemplo, una regla podría estipular que una cuenta se bloquee después de tres intentos de inicio de sesión incorrectos.
Los intentos de inicio de sesión, ya tengan éxito o no, quedan registrados en el sistema.
§11.300, sección e
Pruebas iniciales y periódicas de los dispositivos, como tokens o tarjetas, que llevan o generan información de código de identificación o contraseña para ayudar a verificar que funcionan correctamente y no han sido alterados de manera no autorizada.
Los procedimientos de gestión del cliente incluirán pruebas periódicas y validación de cualquier dispositivo que pueda poner en riesgo la integridad de la identificación de un usuario.
Un usuario administrador puede comprobar cualquier actividad en el registrador de actividades e implementar el permiso parcial de implementación o quitar el acceso a un usuario determinado en tiempo de ejecución.
La implementación de cualquier medida destinada a cumplir con este requisito recae en el cliente.
Entregue su opinión
¿Tiene dudas o comentarios acerca de esta documentación? Por favor deje su opinión aquí.
Normal