Réglementation de la FDA
- Last Updated: May 9, 2023
- 2 minute read
- MOVEit Transfer
- Version 2023
- Documentation
MOVEit est conforme aux normes de la Food and Drug Administration (FDA) en matière d'horodatage dans le cadre d'audits d'informations médicales susceptibles d'être transmises via ou mises au repos sur MOVEit Transfer.
La déclaration de conformité complète de MOVEit Transfer est fournie ci-dessous.
Titre 21 du Code des règlements fédéraux (partie 11) Enregistrements électroniques ; signatures électroniques
(Version anglaise accessible à l'adresse : https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application )
| Exigence | Capacité de transfert MOVEit |
|---|---|
| (a) Validation des systèmes pour garantir l'exactitude, la fiabilité, la constance des performances prévues et la capacité à discerner les enregistrements non valides ou altérés. |
|
| (b) La capacité à produire des copies exactes et complètes des documents, sous une forme lisible par l'homme et sous une forme électronique, qui peuvent être inspectées, examinées et copiées par l'agence. Les personnes doivent contacter l'agence si elles ont des questions concernant la capacité de l'agence à effectuer cette révision et cette copie des documents électroniques. |
|
| (c ) La protection des documents afin de permettre leur récupération précise et rapide pendant toute la durée de conservation des documents. |
MOVEit Transfer propose des options de conservation pour les journaux d'audit/d'accès. La conservation des fichiers téléchargés par le client est contrôlée par ce dernier. |
| (d) Limiter l'accès au système aux personnes autorisées. |
MOVEit Transfer prend en charge l'accès restreint et tous les fichiers sont cryptés au repos et en transit. Voir les rapports de conformité PCI-DSS et SOC2 Type 2 de Progress |
| (e) Utilisation de pistes d'audit sécurisées, générées par ordinateur et horodatées pour enregistrer de manière indépendante la date et l'heure des entrées et des actions de l'opérateur qui créent, modifient ou suppriment des enregistrements électroniques. Les modifications apportées aux enregistrements ne doivent pas masquer les informations précédemment enregistrées. Cette documentation de la piste d'audit est conservée pendant une période au moins aussi longue que celle requise pour les enregistrements électroniques concernés et est mise à la disposition de l'agence pour examen et copie. |
Il n'est pas possible de modifier les données d'un fichier qui a été téléchargé sur MOVEit Transfer. Toutes les actions de chargement, de téléchargement, de déplacement, de copie et de suppression de fichiers sont stockées dans des journaux d'audit inviolables. L'écrasement des fichiers est une option configurable par le client. |
| (f) Utilisation de contrôles du système opérationnel pour faire respecter l'enchaînement autorisé des étapes et des événements, le cas échéant. |
Remarque : Il incombe au client d'appliquer toutes les règles de procédure requises concernant l'accès aux fichiers et les actions de téléchargement à l'aide de MOVEit Transfer.
|
| (g) L'utilisation de contrôles d'autorité pour s'assurer que seules les personnes autorisées peuvent utiliser le système, signer électroniquement un enregistrement, accéder à l'opération ou au dispositif d'entrée ou de sortie du système informatique, modifier un enregistrement ou effectuer l'opération en question. |
|
| (h) Utilisation de contrôles de dispositifs (par exemple, terminaux) pour déterminer, le cas échéant, la validité de la source de l'entrée des données ou de l'instruction opérationnelle. | (Non applicable) MOVEit Transfer n'inspecte pas, ne modifie pas et ne valide pas les données contenues dans les fichiers cryptés transférés vers ou depuis MOVEit. La validation des données relève de la responsabilité du client. |
| (i) Détermination que les personnes qui développent, maintiennent ou utilisent les systèmes d'enregistrement et de signature électroniques ont le niveau d'éducation, la formation et l'expérience nécessaires pour accomplir les tâches qui leur sont assignées. | (Non applicable)L'utilisation correcte de MOVEit Transfer par les utilisateurs du client relève de la responsabilité de ce dernier. |
| (j) L'établissement et le respect de politiques écrites qui rendent les individus comptables et responsables des actions entreprises sous leur signature électronique, afin de décourager la falsification des enregistrements et des signatures. | Les signatures électroniques ne sont pas applicables au transfert MOVEit. |
(k) L'utilisation de contrôles appropriés sur la documentation des systèmes, notamment :
|
(Non applicable)La formation et l'utilisation correctes de MOVEit Transfer par les utilisateurs du client relèvent de la responsabilité de ce dernier. Le client est responsable de l'élaboration, du contrôle et de l'audit de toutes les procédures destinées à ses utilisateurs de MOVEit Transfer. |
11.30 Contrôles pour les systèmes ouverts
| Exigence | |
|---|---|
| Les personnes qui utilisent des systèmes ouverts pour créer, modifier, conserver ou transmettre des documents électroniques doivent appliquer des procédures et des contrôles destinés à garantir l'authenticité, l'intégrité et, le cas échéant, la confidentialité des documents électroniques, depuis leur création jusqu'à leur réception. Ces procédures et contrôles doivent inclure ceux identifiés au § 11.10, le cas échéant, et des mesures supplémentaires telles que le cryptage des documents et l'utilisation de normes de signature numérique appropriées pour garantir, si nécessaire dans les circonstances, l'authenticité, l'intégrité et la confidentialité des enregistrements. |
Sections provisoires 5.1-5.2 relatives à l'horodatage
Sans objet (MOVEit Transfer n'est pas responsable de la formation des administrateurs/auditeurs ni de la synchronisation des horloges au niveau du système d'exploitation.)
Section provisoire 5.3 relative à l'horodatage
« Les horodatages doivent être mis en œuvre dans un souci de clarté du fuseau horaire utilisé. La documentation du système doit expliquer les références aux fuseaux horaires ainsi que les acronymes et autres conventions de nommage. Par exemple, la référence au fuseau horaire peut être un point central comme le fuseau de Greenwich (GMT), un point local à l'ordinateur sur lequel l'activité liée à l'horodatage a lieu, ou encore un point correspondant au lieu où se trouve l'horloge d'horodatage (par exemple, le serveur d'horodatage). »
Si vous activez cette fonctionnalité, MOVEit Transfer affiche la différence entre le temps du serveur et le fuseau horaire de Greenwich (GMT). Cette différence s'exprime typiquement sous la forme GMT +/- HH:MM. Ce champ est visible en bas à gauche de l'écran de l'interface Web ainsi que dans une bannière de bienvenue lorsque vous vous connectez au serveur Web.
Section provisoire 5.4 relative à l'horodatage
« Vous devez prendre des mesures pour vous assurer que les dates et heures sont clairement exprimées au sein de l'organisation. »
MOVEit Transfer fait appel au format AM/PM pour désigner les heures et au format MM/JJ/AAAA pour les dates.
Section provisoire 5.5 relative à l'horodatage
« L'horodatage de la piste d'audit et de la signature doit être précis à l'heure et à la minute près. »
MOVEit Transfer est précis à la seconde près au niveau de la piste d'audit.