Gesetzliche Bestimmungen – FDA
- Last Updated: May 9, 2023
- 2 minute read
- MOVEit Transfer
- Version 2023
- Documentation
MOVEit erfüllt sämtliche Zeitstempelstandards der Food and Drug Administration (FDA) (amerikanische Behörde für Lebens- und Arzneimittel) hinsichtlich der Prüfung medizinischer Daten, die via MOVEit Transfer übertragen oder auf diesem System gespeichert werden.
Nachfolgend die vollständige, für MOVEit Transfer geltende Compliance-Erklärung:
Title 21 Code of Federal Regulations (21 CFR Part 11) Electronic Records; Electronic Signatures (Elektronische Datensätze, elektronische Signaturen)
(Der Originaltext ist online verfügbar unter https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application)
| Anforderung | Funktion von MOVEit Transfer |
|---|---|
| (a) Validierung von Systemen, durch die die Genauigkeit, Verlässlichkeit, kontinuierliche vorgesehene Leistung und die Fähigkeit zur Erkennung von ungültigen oder veränderten Datensätzen sichergestellt wird. |
|
| (b) Fähigkeit zur Erstellung genauer und vollständiger Kopien von Datensätzen sowohl in vom Menschen lesbarer als auch in elektronischer Form, die für die Inspektion, die Prüfung und das Kopieren durch die Behörde geeignet ist. Kontaktieren Sie die Behörde bei Fragen zur Fähigkeit der Behörde, elektronische Datensätze zu prüfen und zu kopieren. |
|
| (c) Schutz von Datensätzen, damit die Datensätze während der Aufbewahrungsdauer genau abgerufen werden können und stets abrufbereit sind. |
MOVEit Transfer bietet Aufbewahrungsoptionen für Prüf-/Zugriffsprotokolle. Die Aufbewahrung der vom Kunden hochgeladenen Dateien wird vom Kunden eingerichtet. |
| (d) Einschränkung des Systemzugriffs auf Befugte. |
MOVEit Transfer unterstützt Zugriffseinschränkungen; alle Dateien werden im Speicher und bei der Übertragung verschlüsselt. Siehe Progress-Konformitätsbericht für PCI-DSS und SOC2 (Typ 2) |
| (e) Einsatz von sicheren, computergenerierten, mit Zeitstempel versehenen Prüfpfaden, mit denen Datum und Uhrzeit von Einträgen und Aktionen der Anwender, durch die elektronische Datensätze erstellt, geändert oder gelöscht werden, unabhängig festgehalten werden. Durch Änderungen an den Datensätzen dürfen vorher aufgezeichnete Informationen nicht verschleiert werden. Eine derartige Dokumentation des Prüfpfads muss mindestens so lange aufbewahrt werden, wie die elektronischen Aufzeichnungen des Subjekts aufbewahrt werden müssen, und sie muss zur Prüfung und zum Kopieren durch die Behörde verfügbar sein. |
Die Änderung von Daten in einer Datei, die auf MOVEit Transfer hochgeladen wurde, wird nicht unterstützt. Alle Aktionen zum Hochladen, Herunterladen, Kopieren und Löschen von Dateien werden in manipulationssicheren Prüfprotokollen gespeichert. Das Überschreiben von Dateien wird vom Kunden konfiguriert. |
| (f) Einsatz von Prüfungen des Betriebssystems, durch die die zulässige Sequenzierung von Schritten und Ereignissen durchgesetzt wird (nach Bedarf). |
Anmerkung: Es liegt in der Verantwortung des Kunden, alle notwendigen Prozessregeln für Aktionen zum Zugriff auf und das Hoch-/Herunterladen von Dateien mit MOVEit Transfer durchzusetzen.
|
| (g) Einsatz von Befugnisprüfungen, durch die sichergestellt wird, dass nur Befugte das System nutzen, Datensätze elektronisch signieren, auf das Ein- oder Ausgabegerät des Betriebs- oder Computersystems zugreifen, Datensätze ändern oder vorliegende Vorgänge durchführen können. |
|
| (h) Einsatz von Prüfungen von Geräten (z. B. Terminals) zur Bestimmung der Gültigkeit der Dateneingabe- oder Betriebsanweisungsquelle (falls zutreffend). | (Nicht zutreffend) MOVEit Transfer inspiziert, ändert oder validiert Daten in verschlüsselten Dateien, die an oder von MOVEit Transfer übertragen werden, nicht. Die Validierung der Daten obliegt dem Kunden. |
| (i) Ermittlung, ob Personen, die Systeme für elektronische Datensätze/Unterschriften entwickeln, warten oder nutzen, entsprechend für die Ausführung der zugewiesenen Aufgaben ausgebildet bzw. geschult wurden und über entsprechende Erfahrungen verfügen. | (Nicht zutreffend)Der ordnungsgemäße Einsatz von MOVEit Transfer durch die Benutzer des Kunden liegt in der Verantwortung des Kunden. |
| (j) Aufstellung und Einhaltung schriftlicher Richtlinien, durch die Einzelpersonen für Vorgänge haften, die im Rahmen ihrer elektronischen Unterschriften initiiert wurden, und durch die Datensatz- und Unterschriftenfälschungen verhindert werden. | Elektronische Unterschriften gibt es in MOVEit Transfer nicht. |
(k) Entsprechende Regulierung für die Systemdokumentation, z. B.:
|
(Nicht zutreffend)Die Schulungen für den Einsatz und der ordnungsgemäße Einsatz von MOVEit Transfer durch die Benutzer des Kunden liegt in der Verantwortung des Kunden. Der Kunde ist für die Entwicklung, Regulierung und Prüfung von Prozessen für die Benutzer von MOVEit Transfer verantwortlich. |
11.30 Steuerelemente für offene Systeme
| Anforderung | |
|---|---|
| Beim Einsatz von offenen Systemen zur Erstellung, Änderung, Wartung oder Übertragung von elektronischen Datensätzen müssen Prozesse und Regeln eingesetzt werden, die dafür vorgesehen sind, die Authentizität, Integrität und ggf. Vertraulichkeit der elektronischen Datensätze vom Zeitpunkt ihrer Erstellung bis zum Zeitpunkt ihres Empfangs sicherzustellen. Diese Prozesse und Regeln müssen entsprechend die Maßnahmen von § 11.10 sowie zusätzliche Maßnahmen wie die Verschlüsselung von Dokumenten und den bedarfsgerechten Einsatz von Normen zu digitalen Unterschriften, die Authentizität, Integrität und Vertraulichkeit von Datensätzen sicherstellen, umfassen. |
Timestamp Draft Sections 5.1-5.2
Nicht zutreffend (MOVEit Transfer ist weder für die Ausbildung von Administratoren oder Prüfern noch für die Synchronisation der Computeruhren auf Betriebssystemebene zuständig).
Timestamp Draft Section 5.3
„You should implement time stamps with a clear understanding of what time zone reference you use. Systems documentation should explain time zone references as well as zone acronyms or other naming conventions. For example, the time zone reference might be a central point like Greenwich Mean Time, a point local to the computer where the activity linked to the time stamp occurs, or a point where the time stamp clock (e.g., a time stamp server) is located.“ (Bei der Implementierung von Zeitstempeln ist die verwendete Zeitzonenreferenz zu beachten. In der Systemdokumentation müssen die Zeitzonenreferenzen wie auch die für die Zeitzonen verwendeten Akronyme und andere Namenskonventionen erläutert werden. Eine Zeitzonenreferenz kann beispielsweise ein zentraler Punkt wie Greenwich Mean Time sein, aber auch ein lokaler Punkt relativ zu dem Computer, auf dem die mit dem Zeitstempel verbundene Aktion durchgeführt wird, oder ein Punkt, auf dem sich die Zeitstempeluhr befindet (z. B. ein Zeitstempelserver).)
Wenn aktiviert, zeigt MOVEit Transfer die Abweichung zwischen der Uhrzeit des Servers und der Uhrzeit in Greenwich Mean Time an (im Allgemeinen dargestellt als „GMT +/- HH:MM“). Diese Angabe wird links unten in der Webschnittstelle sowie in einem „Eingangsbanner“ bei der Anmeldung beim Webserver angezeigt.
Timestamp Draft Section 5.4
„You should take steps to ensure that date and time expressions are clearly understood throughout an organization.“ (Es muss dafür gesorgt sein, dass Datums- und Zeitangaben in der gesamten Organisation klar verständlich und eindeutig sind.)
MOVEit Transfer verwendet zur Angabe der Vormittags- und Nachmittagsuhrzeit den im englischsprachigen Raum üblichen Zusatz „AM“ bzw. „PM“ im 12-Stunden-Modus sowie das Datumsformat „MM/DD/YYYY“.
Timestamp Draft Section 5.5
„Audit trail and signature time stamps should be precise to the hour and minute.“ (Die Zeitstempel zu Prüfpfaden und Signaturen müssen auf die Stunde und Minute genau sein.)
MOVEit Transfer ist in seinem Prüfpfad auf die Sekunde genau.