Cómo controlar correctamente una firma electrónica:

En esta oportunidad explicaré brevemente qué controles debes tener en cuenta para las firmas electrónicas; estos controles se resumen en: Un procedimiento (documento) o automatizados (Tecnología); como lo indica la norma CFR 21 parte 11.

Aunque lo expliqué en el blog anterior, es importante recordar el concepto de Firma electrónica:

Una firma electrónica es equivalente a: Una firma manuscrita, una firma con un lápiz digital o cuando al ingresar nuestro usuario y contraseña el sistema identifica automáticamente el nombre del usuario.

Ejemplo: cuando se requiera una actividad crítica como aprobación de un material en un sistema, éste debe solicitar nuevamente la contraseña y quedará el registro con fecha, hora, nombre y la actividad realizada.  Para más detalle ver

Controles por procedimiento (Documento):

Se debe definir como se:

• Manejará la delegación de responsabilidad (Ej: vacaciones, periodo de ausencia).
• Controlará que el personal use solamente su propia firma electrónica y la de nadie más, ya que si se usa la firma digital de otra persona se considera una falsificación.
• Controla que los usuarios no divulguen su firma electrónica (Ejemplo: contraseñas).
• Cubre la inactivación de usuarios, cambios de perfil o accesos.
• Maneja la pérdida de contraseñas.
• Políticas de inactivación después de varios intentos de acceder al sistema en forma no autorizada.

Controles automáticos (Tecnología):

• Los registros electrónicos firmados deben tener la siguiente información de la firma
  • Nombre del firmante.
  • Hora y fecha de la firma
  • Significado asociado con la firma (Revisión, aprobación, responsabilidad o autoría)
• La firma electrónica debe ser atribuible a un individuo.
• Los registros deberán mostrar quien firmó y en qué capacidad lo hizo (Por ejemplo: En nombre de ….)
• Los sistemas deben tener un método para proteger las firmas electrónicas y manuscritas, de tal forma que se evite que las firmas se eliminen, se copien, se cambien o se reutilicen.
• Asimismo, los sistemas deben obligar a que las contraseñas se cambien periódicamente.
• También es importante que los sistemas deben proveer notificación de los intentos de acceso al sistema no autorizados y deben tomar medidas preventivas (Ejemplo: Bloquear el usuario o una terminal, retener una tarjeta).
• Finalmente, los sistemas deben solicitar nuevamente la firma electrónica después de algún tiempo de inactivación.

---

¡Recomendación!

¿Te gustaría reducir hasta un 80% tu proceso de validación y calificación? Te recomendamos QbDocs, ahí puedes encontrar TODOS los documentos relacionados con VALIDACIÓN.

---

De la misma forma, te dejamos aquí las siguientes sugerencias:

• • Cómo redactar Requerimientos de Usuario (leer más)

• • ¿Sabes cómo validar un software complejo? (leer más)

¿Necesitas aprender algún tema de validación o simplemente requieres asesoría y/o apoyo? Estamos a un clic, ¡contáctanos!