!

CFR21 PART 11!

!
IL RISPETTO DEI REQUISITI !
RELATIVI AI RECORD E FIRME ELETTRONICHE!
!
APPLICATO AI SISTEMI !
DI MONITORAGGIO IN CONTINUO

Gianni Andreucci

Origini…
CFR21 PART 11
Nel marzo del 1997 l’ FDA ha emesso in versione finale la regolamentazione CFR 21 Part 11 nella
quale si prevedevano i criteri per l'accettazione di documenti elettronici, di firme elettroniche, come
equivalenti ai documenti cartacei, scritti a mano, nonché firme eseguite manualmente su
documenti.

Queste norme sono state emesse al fine di consentire il più

ampio uso possibile della tecnologia elettronica largamente
diffusa tra i produttori industriali di farmaci.

La Part 11 definisce i requisiti affinché

Record Elettronici, Firme Elettroniche, firme manuali effettuate su

record elettronici

siano considerati degni di fiducia, sicuri e legalmente equivalenti a

registrazioni e firme su carta.




Origini…
EU GMP Annex 11
A partire dal 1992 parallelamente all’uscita del CFR 21 Part 11 la comunità europea ha emanato
diverse versioni della sua regolamentazione fino ad arrivare all’ultima revisione del giugno 2011
riassunta all’interno del documento:

EudraLex
The Rules Governing Medicinal Products in the European Union Volume 4
Good Manufacturing Practice Medicinal Products for Human and Veterinary Use

Annex 11: Computerised Systems

Quando un sistema computerizzato sostituisce un operazione manuale questo

non deve generare diminuzioni nella qualità del prodotto, nel controllo del
processo o nell’assicurazione della qualità.

Non ci devono essere aumenti nel rischio generale del processo

 Definizioni
· Electronic Record
· Qualsiasi documento in formato digitale che è mantenuto e distribuito tramite un sistema
computerizzato, possa essere una qualsiasi combinazione di testi, grafica, audio, o altre
informazioni rappresentate in forma digitale.

· Electronic Signature
· E’ la compilazione attraverso un sistema informatico di qualsiasi simbolo o serie di simboli utilizzati
da un individuo perché siano formalmente e legalmente equivalenti alla propria firma manoscritta.

· Closed System
· Un ambiente in cui l’accesso al sistema è sotto controllo da parte del responsabile del contenuto
dei record elettronici presenti nel sistema quindi non accessibile a tutti

· Open System
· Un ambiente in cui l’accesso al sistema non è controllato da parte del responsabile del contenuto
dei record elettronici presenti nel sistema. (Argomento non trattato)
 Definizioni
· Audit Trail
· Una registrazione cronologica delle attività svolte sul sistema, sufficiente a permettere la
ricostruzione, delle attività che hanno condotto al record finale.

· Risk Assessment
· E’ una metodologia volta alla determinazione del rischio associato a determinati pericoli o sorgenti
di rischio. Essa può e deve essere utilizzata durante lo sviluppo di sistemi di monitoraggio
computerizzati.

· Sistema Computerizzato
· L’insieme di attrezzature Hardware moduli Software, Firmware, che svolgono delle funzionalità,
connesse tra loro attraverso sistemi di rete e controllati da persone mediante procedure
regolamentate.
 CFR21 Part 11 !
Vs!

EU GMP Annex 11
· Le due normative trattano le stesse tematiche
· Il CFR 21 è focalizzato principalmente sulle metodologie per
l’uso delle firme elettroniche e mantenimento di record elettronici.

· Nell’Annex 11 il punto di partenza di qualsiasi attività è il Risk

Assessment che deve essere applicato in ogni fase del progetto
e ciclo di vita del sistema.
· Nell’ Annex 11 si trova esplicitamente il concetto di sistema
computerizzato come un insieme di componenti HW e SW che
svolge una certa attività.
 CFR21 Part 11 !
Vs!

EU GMP Annex 11

· Nell’ Annex 11 si parla di qualifica dell’infrastruttura IT all’interno

della quale risiedono i sistemi GMP

· Nell’ Annex 11 si parla di valutazione periodica o riconvalida che

consideri anche gli avvenimenti che si sono verificati durante
l’operatività (deviazioni, Incidenti, problematiche)
 !
Suddivisione dei requisiti
Subpart B - Electronic Records Subpart C - Electronic Signatures

11.10 Requisiti per il controllo dei sistemi Chiusi 11.100 Requisiti Generali - General
- Controls for closed systems requirements

11.30 Requisiti per il controllo dei sistemi Aperti 11.200 Firma Ettronica Componenti e Controllo
- Controls for Open Systems - Electronic signature components and controls
Questa parte non sarà oggetto di alcun
approfondimento
11.50 Evidenza della Firma Elettronica – 11.300 Controlli per identificazione Codici e
Signature manifestation Password - Controls for identification codes/
passwords

11.70 Collegamento Firma Elettronica /Record -

Signature/record linking

 Subpart B - Electronic Record!

Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
I sistemi chiusi che contengono record elettronici devono
essere convalidati ed in particolare deve essere verificata
la loro capacità di riconoscere alterazioni effettuate ai
record.

I record devono essere archiviati e protetti da alterazioni

come da guasti al sistema insieme al software che ne
consenta un agevole reperimento e consultazione
 Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
• 11.10 (a): Systems 4-Validation E’ necessario che i sistemi ( ) Si
must be validated
I sistema di qualifica AM si compone dei seguenti ( ) No
(tested to verify they siano convalidati per assicurare documenti di controllo:
operate as designed) accuratezza, affidabilità,
funzionamento conforme ai
ü - QP Quality Plan
requisiti ü - FS Functional Specification
ü - Schema a Blocchi Sistema
ü - Schema Pneumatico Sistema
ü - Schema interconnessioni Sistema
ü - HDS Hardware Design Specification
ü - SDS Software Design Specification
ü - FAT Factory Acceptance
ü - SAT Site Acceptance Test
ü - IQ Installation Qualification
ü - OQ Operational Qualification

• 11.10 (b): Records 8.1-Printouts Le informazioni devono essere ( ) Si
must be available for
Sistema MyView ha la possibilità di visualizzare/ ( ) No
inspection in both complete, disponibili per le stampare i record elettronici secondo i seguenti
electronic and human ispezioni e generati in forma metodi:
readable form umanamente comprensibile in

forma cartacea o elettronica ü Stampa tabelle dati contenenti indicazioni chiare e precise quali Data
Ora Valore della variabile
ü Stampa dei tracciati grafici (Trend) completi
ü Stampa dell’elenco storico degli allarmi generati dal sistema
ü Stampa dell’ Audit Trail contenente tutte le operazioni di modifica
effettaute dagli utilizzatori
 Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
• 11.10 (c): Records 17-Archiving, Protezione dei record Sistema MyView ha la possibilità di conservare e ( ) Si
must be protected 12-Security ( ) No
for retrieval during 7-Data Storage
elettronici per permettere un proteggere i record elettronici secondo i seguenti
the required recupero degli stessi durante metodi:
retention period l’intero periodo di

conservazione ove sia ü Utilizzo di sistemi di criptaura propriretaria in grado di impedire la
previsto dalle GxP modifica o alterazione del contenuto dei record
I record possono essere ü  Controllo degli accessi al file system ove questi dati vengono
conservati in diversi formati archiviati
purchè sia preservato il ü - Procedure di backup dei dati
contenuto informativo
originale.
• 11.10 (d): System 7.1- secured and Il sistema deve limitare Sistema MyView ha la possibilità di gestire il ( ) Si
access is limited to accessible ( ) No
authorized 10- Change and
l’accesso al solo personale controllo degli accessi attraverso i seguenti metodi:
individuals Configuration autorizzato
Management
12.1-Security,
ü  Integrazione totale con le Policy di dominio all’interno del quale il

physical/logical sistema si trova
ü  Utilizzo dell’infrastruttura del sistema operativo per la creazione,
condivisione e gestione degli utenti del sistema.

 Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
• 11.10 (e): 7.1- secured and Le modifiche o cancellazioni effettuate Sistema MyView ha la possibilità di gestire il
Operator entries and accessible su record elettronici devono essere
actions that create, 9-Audit Trails registrate in automatico e sicurezza dal meccanismo di Audit Trail nelle seguenti modalità:
modify, or delete 10-Change and sistema attraverso un meccanismo di
electronic records Configuration Audit Trail. Il sistema è configurato per intervenire e tracciare tutti gli eventi di modifica,
must be tracked in a Management Le informazioni devono contenere:
nello specifico è in grado di registrare ad esempio tutte le modifiche
secure, computer- 12.4- data • Data Ora della modifica applicate a:
generated management/ • Personale che ha effettuato la modifica ( ) Si
audit trail operators entries • Dato precedente e successivo alla ( ) No
ü Impostazione Set di Allarme impostati sulle variabili
14(c)-Electronic modifica
Signature • Il dato deve essere conservato per ü Inclusioni/Esclusioni di sensori particellari e dispositivi in
tutto il periodo di tempo di validità del generale collegati al sistema
record che si è modificato ü Login/Logout degli operatori registrati all’interno del sistema
ü Attivazione di procedure di backup manuali
ü Attivazione di ricette e operazioni pianificate

• 11.10 (f): System Verifica delle operazioni da parte del Sistema MyView ha la possibilità di gestire il ( ) Si
checks will enforce sistema in modo da garantire la corretta ( ) No
sequencing of steps sequenza delle azioni e degli eventi controllo delle operazioni :
or events

ü Il sistema è sempre basato su un architettura SCADA-PLC
attraverso la quale OVE NECESSARIO sono implementate
EVENTUALI logiche e sequenze concordate in fase di progetto e
verificate in fase di convalida.

ü Il sistema è basato su script di verifica e convalida dei dati

inseriti dall’utilizzatore e impedisce l’inserimento o l’attivazione di
procedure in mancanza di dati o delle condizioni necessarie. Ad
Es. nel caso di in cui venga controllata la partenza della pompa da
vuoto particellare il sistema controlla che almeno un sensore sia
attivo.
 Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
• 11.10 (g): Authority 7.1- secured and Il sistema deve verificare che le ( ) Si
checks will be used accessible operazioni effettuate mediante firma
Sistema MyView controlla e gestisce i privilegi e i ( ) No
to ensure system use 12.1-Security, elettronica siano eseguite da personale profili degli utilizzatori con le seguenti modalità:
or electronic physical/logical autorizzato a tale operazione.
signatures only by
authorized individuals
ü Il sistema gestisce la creazione di utenti e di gruppi di utenti ai
quali è possibile abbinare le funzionalità messe a disposizione del
sistema.

ü Gli amministratori possono così decidere chi o che gruppo di
utenti e’ autorizzato a compiere una determinata operazione.
• 11.10 (h): Device 4.8-Validation Il sistema dovrebbe essere in grado di ( ) Si
checks will determine eseguire un controllo durante ( ) No
validity of inputs or l’inserimento dei dati attraverso terminali
operational per garantire che l'origine e il formato

instructions dei dati sia valido. In un sistema
informatico regolamentato non
possono essere inseriti dati senza che
il proprietario ne conosca le origini.
• 11.10(i) states that 2-Personnel Le procedure ed i controlli per i sistemi ( ) Si
procedures and chiusi devono includere la conferma
Nel processo di controllo del sistema concorrono ( ) No
controls for closed che le persone coinvolte nello sviluppo, sia il committente attraverso SOP dedicate che il
systems must include
confirmation that
mantenimento e nell’uso dei record e
firme elettroniche abbiano le
fornitore.
persons who necessarie competenze la formazione
develop, maintain, or e l’esperienza per svolgere i propri AM Instruments implementa sessioni di training e aggiornamento
use electronic record compiti
per i propri sviluppatori presso le società che forniscono i tools
or signature systems
have the education, per lo sviluppo dei sistemi.
training, and gestisce la documentazione di training degli sviluppatori coinvolti
experience to perform
their assigned tasks.
 Requisiti per il controllo dei sistemi chiusi!
11.10 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
• 11.10 (j): Written Requisito non Procedure scritte devono definire le ( ) Si
policies that hold formalmente coperto. responsabilità degli utenti abilitati ad
Procedure e SOP a carico del committente ( ) No
individuals utilizzare le funzionalità di firma elettronica
accountable for Potrebbe rientrare in e che affermano chiaramente che la firma
actions initiated by ogni caso nel elettronica è la stessa firma autografa di
their electronic 2-Personnel una persona, che tutte le responsabilità
signatures che si applicano alle firme manoscritte si
applicano anche alle firme elettroniche.
Ciò dovrebbe includere tutte le
conseguenze o deterrenti per impedirne
un uso improprio o l'abuso. Questo
requisito ha lo scopo di garantire
l’attendibilità del record elettronico firmato.
11.10 (k): Controls 9-Audit Trails Deve essere predisposto un adeguato ( ) Si
over system 4.2- change control controllo della documentazione di sistema
Nel processo di controllo della documentazione del ( ) No
documentation and deviations che assicuri: sistema concorrono sia il committente attraverso SOP
including access to 10-Change and Una adeguata gestione e manutenzione
and changes therein Configuration del sistema stesso.
dedicate che il fornitore.
Management Un mantenimento e registrazione della
11- Periodic evaluation corretta cronologia nell’emissione e AM Instruments gestisce la documentazione di sistema secondo una
modifica della documentazione procedura di Change Control. Tutta la documentazione di sistema
emessa è soggetta a numero di revisione, storia delle revisioni, motivo
della revisione, impatto delle modifiche sul sistema.
 Signature Manifestation !
11.50 (a)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
(11.50) Signature 14-Electronic I record elettronici firmati devono ( ) Si
Manifestations Signature
Sistema MyView ha la possibilità di visualizzare/ ( ) No
contenere nella firma un
requires that electronic stampare all’interno dei report le informazioni
records that are riferimento alle seguenti
electronically signed informazioni: richieste dal requisito.
must display in clear
text the ü Tali funzionalità si ottengono utilizzando il nome dell’utente
printed name of the
1. Il nome in chiaro e per esteso di
chi ha firmato collegato, la data/ora del sistema e le funzionalità del sistema di
signer, and the date
and time when the gestione utenti di dominio per l’acquisizione del full name.
electronic signature 2. La data e l’ora di applicazione
was executed. This
section also requires
della firma ü Il significato della firma nella maggior parte delle condizioni si
riferisce alla generazione del report.
that electronic records
clearly indicate the 3. Il significato della firma (verifica,
meaning (such as approvazione, presa visione ecc)
review, approval,
responsibility, and
authorship)
associated with their
attendant
signatures.
 Signature Record Linking!
(11.70)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
11.70 Signature 14(b)-Electronic Il collegamento tra la firma ed il ( ) Si
Record Linking Signature
Nel Sistema MyView il collegamento tra la firma ( ) No
rispettivo record elettronico
states that electronic elettronica e l’utente che la utilizza è strettamente
signatures and deve essere univoco e non
handwritten trasferibile ad un altro record. legato all’accesso al sistema.
signatures executed
to electronic records Non deve essere possibile Questo legame si ottiene attraverso metodi e routine integrate
must be verifiably
bound to their alterare o copiare questo nel codice del sistema stesso pertanto non intercettabile da
respective records collegamento per falsificare un parte di terzi.
to ensure that record.
signatures could not
be excised, copied,

Si deve garantire che ciò non
In caso di generazione di reportistica in formato non
modificabile PDF non vi è la possibilità interna al sistema di

or otherwise
transferred to falsify sia possibile con strumenti trasferire una firma da un record ad un altro.
another electronic comuni a disposizione degli
record. operatori o di che avrebbe
interessa ad effettuare
modifiche
 Subpart C - Electronic Signatures!
Requisiti Generali!
11.100 (.)
La firma elettronica deve essere unica ed assegnata ad
un individuo di cui è stata accertata l’identità.

Anche se disabilitata non potrà più essere riutilizzata o

riassegnata ad altri.

Chi intende avvalersi della firma elettronica nel suo

processo produttivo deve notificarlo al FDA
 Electronic Signatures - Requisiti Generali!
11.100 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No
11.100 (a): Requisito La firma elettronica deve essere ( ) Si
Electronic signatures formalmente non
Nel Sistema MyView il collegamento tra la firma ( ) No
unica ed assegnata ad un
must be unique to coperto ma
individuo. elettronica e l’utente che la utilizza è gestito
an individual riconducibile alla
qualifica delle direttamente dal sistema operativo.
infrastrutture IT Possono essere utilizzati UserID e
password comuni a più utenti Non vi è la possibilità di avere piu combinazioni in cui il nome
solamente per motivi di utente (User ID) e password coincidono.
consultazione.

11.100 (b): Requisito La firma elettronica deve essere Il requisito si ottiene attraverso l’implementazione di SOP e ( ) Si
Organizations must formalmente non assegnata ad un individuo di cui procedure che controllino l’identità del personale ed è di ( ) No
verify an coperto ma
sia accertata l’identità competenza dell’utilizzatore.
individual’s identity riconducibile alla
before the individual qualifica delle
can use electronic infrastrutture IT
signatures
11.100 (c): Persons 14(a) same as hand- Le persone e organizzazioni che Il requisito si ottiene attraverso l’implementazione di SOP e ( ) Si
using electronic written intendono utilizzare la firma procedure di notifica verso gli enti regolatori. ( ) No
signatures must
elettronica devono notificare al
certify to the FDA
their electronic FDA e certificare che le firme
signatures are utilizzate sono legali ed equivalenti
intended to be the alle firme manoscritte.
legal equivalent of
their handwritten
signature
 Electronic Signatures –!
Components and Controls!
11.200 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

11.200 (a): Non- 12.1-Security, Per i sistemi di controllo NON Nel Sistema MyView l’identificazione degli utenti si ( ) Si
biometric physical/logical Biometrici: ()
signatures ottiene mediante inserimento di UserID e No


Utilizzare almeno due differenti Password
– (1): Use at least
two different parti per l’identificazione come
identification ad esempio UserID e Password
components (e.g.
user ID and
password)
(i): Multiple Firme multiple applicate ad una Nel Sistema MyView l’identificazione degli utenti si ( ) Si
signatures applied sessione di lavoro continua possono ()
by an individual in a richiedere entrambi gli elementi ottiene all’inizio della sessione e successivamente No
continuous session UserID e Password alla prima viene mantenuta la UserID. In taluni casi viene
require all richiesta e solamente un elemento
electronic signature (Password) alle richieste successive. forzata la richiesta di inserimento di entrambe le
components for parti.
the first signature
and only one

component for
subsequent
signatures

(ii): Multiple Firme multiple applicate ad una Nel Sistema MyView l’identificazione degli utenti ( ) Si
signatures applied sessione di lavoro NON continua ()
by an individual but devono richiedere entrambi gli viene richiesta ad ogni cambio di sessione No
not in a continuous elementi UserID e Password. successiva ad un timeout e Logout
session require all

 Electronic Signatures – !
Components and Controls!
11.200 (.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

– (2): Must be used La firma deve essere usata solo Nello specifico il committente deve implementare ( ) Si
only by their genuine da proprietario effettivo e ( ) No
users procedure SOP che agiscano da deterrente e
amministrata in modo che il
– (3): User
tentativo di utilizzo della stessa da scoraggino la trasmissione e condivisione di UserID
administration must
be designed to parte di terzi richieda la e Password tra gli utenti. L’amministrazione delle
require collaboration collaborazione di due o più password è principalmente delegata
of two or more persone
individuals to use all’amministratore del sistema o dominio in
another user’s collaborazione con l’utente
electronic signature
• 11.200 (b): 12.1-Security, Una firma elettronica Biometrica Al momento nel sistema AM non viene fatto uso di ( ) Si
Biometric signatures physical/logical deve essere realizzata in modo da ( ) No
must be designed firme biometriche.
assicurare di poter essere
so they can only be
performed by their utilizzata solo dal proprietario
genuine owner

 Electronic Signatures – !
Controls for Identification Codes/Passwords 11.300(.)!



I sistemi che utilizzano una combinazione di codici per
l’identificazione e firma elettronica come User ID e
Password devono assicurare l’integrità di questi dati
attraverso una serie di metodi e controlli
 Electronic Signatures – !
Controls for Identification Codes/Passwords
11.300(.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

11.300(a) states that 12.1-Security, La combinazione tra User ID e ( ) Si

controls for physical/logical
Sistema MyView ha la possibilità di gestire il controllo ( ) No
Password devono essere unici.
identification codes/

degli utenti attraverso i seguenti metodi:
passwords must
include maintaining Non potendo controllare l’unicità
delle Password lo UserID deve ü  Integrazione totale con le Policy di dominio all’interno del quale il
the uniqueness of
each issuance of essere Unico sistema si trova per la creazione, condivisione e gestione degli utenti
identification code and del sistema.
password
ü Attivazione utilizzo e personalizzazione delle regole di complessità
all’interno della gestione utenti del sistema operativo.
11.300(b) states that 11. Periodic Evaluation Le password devono essere ( ) Si
controls for 12.3-Security- record
Sistema MyView ha la possibilità di gestire il controllo ( ) No
periodicamente controllate
identification codes/ events
forzandone la scadenza
degli utenti attraverso i seguenti metodi:
passwords must
ensure that code/

password issuances ü  Integrazione totale con le Policy di dominio all’interno del quale il
are periodically sistema si trova per la creazione, condivisione e gestione degli utenti
checked, recalled, or del sistema da cui è possibile impostare la scadenza.
revised.
 Electronic Signatures – !
Controls for Identification Codes/Passwords
11.300(.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

11.300(c) states that 12.3-Security, record Non appena si sospetta o accerta la ( ) Si

controls for events
Sistema MyView ha la possibilità di gestire il controllo ( ) No
perdita o compromissione dei
identification codes/
dispositivi di riconoscimento quali
degli utenti attraverso i seguenti metodi:
passwords must
include the following carte badge devono essere
of loss management implementate delle procedure di ü  Integrazione totale con le Policy di dominio all’interno del quale il
procedures to disabilitazione delle password o sistema si trova per la creazione, condivisione e gestione degli utenti
electronically sistemi che supportano ID non più del sistema.
deauthorize lost affidabili
tokens, cards, etc., ü Nello specifico il committente deve implementare procedure SOP
and to issue
temporary or
permanent
replacements using
suitable, rigorous
controls for
substitutes.
 Electronic Signatures – !
Controls for Identification Codes/Passwords
11.300(.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

11.300(d) states that 12.1-Security Il sistema deve essere in grado di Sistema MyView ha la possibilità di gestire il controllo degli ( ) Si
controls for rilevare ed intercettare eventuali ( ) No
identification codes/
utenti attraverso i seguenti metodi:
tentativi di forzatura degli UserID o
passwords must
include the use of password come ad esempio
ü  Integrazione totale con le Policy di dominio all’interno del quale
transaction bloccare un utente dopo un
il sistema si trova per la creazione, condivisione e gestione degli
safeguards to numero di tentativi di inserimento
utenti del sistema.
prevent unauthorized falliti.
use of passwords Il sistema deve inoltre registrare
and/or identification ü Attivazione utilizzo e personalizzazione delle regole di
queste informazioni e notificarle ai
codes, and, complessità all’interno della gestione utenti del sistema operativo.
detecting and
gestori.

reporting to the
system security unit
and organizational
management in an
emergent manner
any attempts at their
unauthorized use.
 Electronic Signatures – !
Controls for Identification Codes/Passwords
11.300(.)
Rif. CFR21 Rif. EU GMP Requisito Conformità al requisito Sistema di Monitoraggio In Si
Part 11 Annex 11 continuo AM Instruments No

11.300(e) states that 11-Periodic evaluation Devono essere previsti test iniziali e un ü Nello specifico il committente deve implementare procedure ( ) Si
controls for periodo di prova su eventuali supporti di ID ( ) No
identification codes/ e relativi accessori. SOP

passwords must
include initial and
periodic testing of
devices, such as
tokens or cards,
bearing identifying
information, for proper
function
 EU GMP Annex 11
Riferimento Requisito Conformità al requisito Sistema di Monitoraggio In
Annex 11 continuo AM Instruments
RISK MANAGEMENT L’analisi dei rischi deve far parte ü Lo sviluppo e le attività di convalida sono basate su ( ) Si
integrante dello sviluppo del sistema ( ) No
Risk management should be applied documenti di Risk Assessment
e deve tenere sempre in
throughout the lifecycle of the
computerised system considerazione la sicurezza del
taking into account patient safety, data paziente l’integrità dei dati e la
integrity and product quality. As part of a qualità del prodotto.
risk management system, decisions on
the extent of validation and data integrity Deve inoltre essere la base di
controls should be based on a justified
partenza per la determinazione delle
and documented risk assessment of the
computerised system. attività di convalida.

BUSINESS CONTINUITY / DISASTER Per la disponibilità dei sistemi critici ( ) Si

RECOVERY
Sistema MyView ha la possibilità di gestire il la ( ) No
dovrebbero essere adottate delle

misure preventive che garantiscano Business Continuity attraverso i seguenti metodi:
For the availability of computerised
systems supporting critical processes, la continuità nelle operazioni.
ü Possibilità di utilizzare sistemi software ridondati capaci di intervenire
provisions should be made to ensure
continuity of support for those processes Il tempo richiesto per il passaggio tra in automatico (ridondanza a caldo) in caso di crash del sistema
in the event of a system la soluzione operativa standard e primario
breakdown (e.g. a manual or alternative quella alternativa dovrebbe essere ü Possibilità di installazione del sistema MyView in ambienti virtuali
system). The time required to bring the ü Possibilità di utilizzare agevolmente strumenti di backup facilmente
valutato attraverso un attenta analisi
alternative arrangements into use should intercambiabili
be based on risk and appropriate for a dei rischi.

particular system and the business
process it supports. These arrangements
should be adequately documented and
tested.
 Conclusioni ..
In conclusione sia la norma CFR 21 Part 11 che le EU GMP
Annex 11 cercano di sfruttare al meglio lo stato dell’arte e il
continuo sviluppo tecnologico dei sistemi computerizzati utilizzati
nelle produzioni farmaceutiche.

Gli enti regolatori cercano di coniugare la possibilità di utilizzo

delle nuove tecnologie cercando sempre di mettere al centro di
ogni progetto la tutela della salute dei pazienti la qualità dei
prodotti e l’efficienza dei sistemi.
 Domande

· Ringrazio tutti per l’attenzione

· Gianni Andreucci

Bibliografia
FDA, 21 Code of Federal Regulations, Part 11, “Electronic Records; Electronic Signatures”, March 1997
FDA, Guidance for Industry – “Part 11, Electronic Records; Electronic Signatures – Scope and Application”, August 2003
EudraLex, The Rules Governing Medicinal Products in the European Union Volume 4 - Good Manufacturing Practice Medicinal
Products for Human and Veterinary Use Annex 11: Computerised Systems, June 2011
PIC/S, PI 011-3, “Guidance on Good Practices For Computerised Systems In Regulated Gxp Environments”, September 2007

·