Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Restitution a3 pv3

21 views

Published on

Maitrise de la documentation qualité et Data Integrity

Published in: Software
  • Be the first to comment

  • Be the first to like this

Restitution a3 pv3

  1. 1. Maitrise de la documentation qualité et Data Integrity
  2. 2. Impact du Data Integrity Sur le premier trimestre 2018 la FDA a initié 28 lettres d’avertissement (Warning Letter). Et 21 concernent la Data Integrity ! Ce qui représente 75 % des lettres d’avertissement.
  3. 3. Historique 2015 MHRA (Medicines and Healthcare products Regulatory Agency) Version draft 2015 WHO (World Health Organisation) http://www.who.int/medicines/news/emp-data-integrity-guide/en/ 2016 FDA (Food and Drug Administration) https://www.fda.gov/downloads/drugs/guidances/ucm495891.pdf 2017 ISPE (International Society for Pharmaceutical Engineering) https://www.ispe.org/publications/guidance-documents/gamp-records-pharmaceutical-data-integrity 2018 MHRA Version final https://www.gov.uk/government/publications/guidance-on-gxp-data-integrity
  4. 4. Comment mettre en place un projet de signature électronique conforme aux exigences du Data Integrity ?
  5. 5. Prérequis  Définir le domaine d’application du projet de signature électronique  Définir les besoins utilisateurs par rapport à la démarche de signature  Choisir un système informatisé répondant aux exigences exprimées  Réaliser une analyse de risque  Evaluer les risques  Etablir le dossier de validation du système informatisé  Le mettre en place  L’auditer périodiquement
  6. 6. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ?
  7. 7. Authentification du signataire  Authentification par un login et un mot de passe sécurisé conformément aux exigences de la 21 CFR Part 11 : • Login personnel (deux personnes ne peuvent pas avoir le même login) • Login permanent (en cas de départ d’une personne le login ne doit pas réattribué) • Taille du mot de passe (préconisation : 6 caractères minimum) • Verrouillage du compte après X tentatives d’accès infructueux (préconisation : X=3) • Changement périodique du mot de passe (préconisation : tous les 3 mois) • Historisation des derniers mots de passe pour interdire d’utiliser les même mot de passe périodiquement (préconisation : se souvenir des 10 derniers mots de passe) • Intégration de caractères spéciaux dans le mot de passe (préconisation : 2 minimum)  Attribution par l’administration informatique des droits d’accès en fonction du profil utilisateur défini au préalable par les utilisateurs clés  Sensibilisation des utilisateurs à la sécurité informatique (confidentialité des mots de passe, verrouillage de la session si la personne quitte son poste de travail etc.)  Réalisation d’audits réguliers des activités pour vérifier que les principes de sécurité informatique sont bien intégrés par le personnel
  8. 8. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ? Horodatagedelasignature Quand ?
  9. 9. Horodatage de la signature  Chaque signature est horodatée  La date et heure doivent être précises au moins jusqu’à la seconde  La date et heure doivent être protégées (l’utilisateur ne doit pas pouvoir modifier son heure locale)  Le mieux est de propager la date et heure d’un serveur d’heure centralisée au moment du démarrage de Windows  Ou mieux encore utiliser la date et heure du serveur à chaque signature  En cas de signature internationale enregistrer l’heure GMT et le fuseau horaire pour garantir la chronologie des signatures  Demander à votre DSI de réaliser un changement de pile de vos PC périodiquement (préconisation : tous les 4 ans) cf.. http://www.commentcamarche.com/faq/387-carte-mere-changer-la-pile-de-la-carte-mere
  10. 10. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ? Docum entou donnéesàsigner Quoi ? Horodatagedelasignature Quand ?
  11. 11. Document ou données à signer  Le document ou les données à signer doivent être identifiées de manière unique (ex : n° de déviation utilisé dans un formulaire)  On peut signer une révision d’un document qualité (ex : SOP)  On peut également signer un paquet de données (ex : données pour la libération d’un lot : n° de lot, n° d’article, taille de lot, statut attribué, date de la prise de décison, identité du signataire, fonction du signataire, date de péremption etc.)  On peut également signer une action (ex : habilitation d’un personnel)  L’intégrité du document ou des données signées doit être garantie par le système
  12. 12. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ? Opération designature Signature Docum entou donnéesàsigner Quoi ? Horodatagedelasignature Quand ?
  13. 13. Opération de signature  La signature est un acte conscient et l’utilisateur doit être clairement informé qu’il engage sa responsabilité et que c’est bien un acte de signature  L’utilisateur doit sélectionner la décision qu’il prend dans une liste de choix sans qu’elle ne soit renseignée par défaut  S’assurer que l’on signe bien le bon document !  Pour enregistrer sa signature l’utilisateur doit de nouveau s’identifier (login + mot de passe)
  14. 14. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ? Opération designature Signature Docum entou donnéesàsigner Quoi ? Horodatagedelasignature Quand ? Enregistrem entdelasignature Sauvegarde
  15. 15. Enregistrement de la signature  Le système doit garantir l’intégrité de la signature et de la donnée signée  Un informaticien qui a accès à la base de données ne doit pas être en mesure d’introduire des modifications sur l’objet de la signature ou usurper une signature (prendre l’empreinte numérique d’un document pour le mettre sur un autre par exemple)  Un informaticien qui administre le système ne doit pas être en mesure d’usurper l’identité d’une personne pour signer à sa place (préconisation : le système doit générer un mot de passe aléatoirement en prenant en compte les critères de sécurité qui ont été fixé et transmettre ce mot de passe par la messagerie, ainsi l’informaticien ne connait à aucun moment le mot de passe des utilisateurs)  L’enregistrement de la signature doit être sécurisé notamment en utilisant par exemple une fonction de hachage (générer une empreinte numérique)
  16. 16. Enregistrement de la signature fonction de hachage, de l'anglais hash function (hash : pagaille, désordre, recouper et mélanger) Fonction qui a pour rôle à partir d'une donnée fournie en entrée, de calculer une empreinte servant à identifier rapidement, bien qu'incomplètement, la donnée initiale. Cette méthode utilisée en informatique est pratiquement impossible à inverser, c'est-à-dire que si l'image d'une donnée par la fonction se calcule très efficacement, le calcul inverse d'une donnée d'entrée ayant pour image une certaine valeur se révèle impossible sur le plan pratique. Pour cette raison, on dit d'une telle fonction qu'elle est à sens unique.
  17. 17. Processus d’élaboration d’une signature électronique Authentification du signataire Qui ? Opération designature Signature Docum entou donnéesàsigner Quoi ? Horodatagedelasignature Quand ? Enregistrem entdelasignature Sauvegarde M anifestation de lasignature Représentation
  18. 18. Manifestation de la signature  Une signature doit être composée à minima : • du rôle du signataire (« Vérifié par », « Certifié par »), • son nom et son prénom, • sa fonction • et la date et l’heure de signature  Eventuellement un ajout de commentaire  L’information comme quoi c’est signé électroniquement  Idéalement un élément qui rend authentique le document (Préconisation : QR Code sécurisé)
  19. 19. Exemple de document sécurisé • Edition d’une attestation de domicile à partir du site internet d’EDF • De plus en plus d’administrations utilisent le système 2D-DOC pour sécuriser tout type de documents aussi bien papier que numérique. • Les documents ciblés concernent en particulier les justificatifs (factures eau, téléphone, EDF, quittances d'assurance et de loyer, RIB, revenus, …) • La sécurisation des documents se base sur l’intégration d’un code à barre 2D dans le document lui même
  20. 20. Lecture du code 2D par un lecteur standard • Les informations présentes dans le code 2D ne sont totalement lisibles • La lecture du code barre 2D par un lecteur standard n’a pas d’intérêt !
  21. 21. Lecture du code 2D par l’application 2DDocReader • Les informations présentes dans le code 2D sont totalement lisibles • L’utilisateur peut ainsi vérifier les informations du document original • Le code 2D est par ailleurs authentifié grâce à l’empreinte numérique
  22. 22. 1er Préconisation : intégrer des empreintes numériques dans certaines tables pour garantir l’intégrité des données sensibles • L’intégrité des données sensibles est garantie à 100 % • Le paramétrage lié aux empreintes numériques doit être versionné et sauvegardé dans une table de paramétrage afin d’adapter le contenu de chaque type d’empreinte aux exigences de l’utilisateur et pouvoir faire évoluer le système sans perdre l’intégrité des données anciennes ArticleID BatchID ExpiryDate Status Hash IPA0123 20180042 20200420 A 54a335ffb125trde26nvjdy5d1kd91aa
  23. 23. 2ième Préconisation : utiliser un QR Code sécurisé dans vos documents pour les authentifier
  24. 24. Avantages des préconisations proposées  peu de moyens à engager : • Pas de base de données centrale (ex : les impôts luttent contre la fraude documentaire par l’URL https://www.impots.gouv.fr/verifavis/ Cette solution est efficace mais elle nécessite l’interrogation de la base des impôts à partir des identifiants fournis). Une base de donnée peut se faire pirater et elle doit être administrée, sauvegardée, hébergée sur un serveur de grande capacité etc. • Pas de Certificat de Signature Electronique ou CSE (ex : les sociétés doivent à présent utiliser des CSE pour répondre à un marché public https://www.boamp.fr/Espace- entreprises/Comment-repondre-a-un-marche-public/Questions-de-procedures-dematerialisees/Qu-est-ce-qu-un- certificat-de-signature-electronique-et-comment-s-en-procurer-un mais un certificat est coûteux, de 70 à 130 € par an et par personne ! La procédure à suivre est relativement complexe et un certificat se périme ! • Pas de matériel de générateur de jeton d’authentification type SecurID ou Verisign. Solution complexe, couteuse à mettre en place et pas toujours fiable.  Solution proposée robuste  Valable aussi bien pour un document au format électronique ou papier !
  25. 25. Mise en œuvre de la solution préconisée  L’équipe QUALIMS va développer un ensemble de composants pour : • Les modules Qualims (ex : libération d’un lot de matière et de produit, modification du mot de passe de l’utilisateur, qualification d’un instrument, signature d’un document), • votre ERP, • votre MES, • votre LIMS, votre GED, votre GMAO ou tout autre système informatique.  Les composants pourront : • Générer une empreinte numérique qui sera sauvegardé dans un champ Texte de la table contenant les informations signées, une table de paramétrage pour définir les champs intégrés dans l’empreinte, • Vérifier qu’une empreinte est conforme, • Générer un QRCode à intégrer dans vos éditions, • Vérifier que le QRCode est conforme.
  26. 26. ALCOA Qui ? Contemporaneous Legible Attributable Original Accurate 5 Défis liés à la préservation de l’intégrité des données Quand ? Quoi ? Sauvegarde Représentation Signature
  27. 27. www.qualims.fr 26 avenue Léon Jouhaux 39100 DOLE Tél.: +33 (0)1 75 43 86 63 Contact: william.geslot@qualims.com

×