Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição geral do Título 21 da FDA CFR
O Código dos Regulamentos Federais (CFR) contém as regras e regulamentos para departamentos executivos e agências do governo federal dos EUA. Cada um dos 50 títulos do CFR aborda uma área regulada diferente.
O título 21 da FDA regula os alimentos e medicamentos fabricados ou consumidos no Estados Unidos, sob a jurisdição da Food and Drug Administration (FDA), da Drug Enforcement Administration e do Gabinete Nacional de Política de Controlo de Drogas. Os regulamentos descritos no título 21 do CFR Parte 11 estabeleceram as regras básicas para os sistemas tecnológicos que gerem as informações utilizadas por organizações sujeitas à supervisão da FDA. Qualquer sistema tecnológico que regule processos GxP como Boas Práticas Laboratoriais (GLP), Boas Práticas Clínicas (GCP) e Boas Práticas de Fabrico (GMP) também requer a validação da sua adesão ao GxP.
O Título CFR 21 Parte 11 define os requisitos para garantir que os registos eletrónicos e as assinaturas sejam substitutos fidedignos, fiáveis e equivalentes para registos em papel e assinaturas escritas à mão. Oferece igualmente orientações para melhorar a segurança dos sistemas informáticos nas indústrias regulamentadas pela FDA. As empresas requerentes têm de provar que os seus processos e produtos funcionam como foram concebidos e, se estes processos e produtos mudarem, têm de revalidar essa prova. As diretrizes de melhores práticas abrangem:
- Standard procedimentos operacionais e controlos que suportam registos eletrónicos e assinaturas, como cópia de segurança de dados, segurança e validação do sistema informático.
- Funcionalidades que garantem a segurança do sistema informático, contêm registos de auditoria para valores de dados e garantem a integridade das assinaturas eletrónicas.
- Validação e documentação que fornecem provas de que o sistema faz o que pretende e que os utilizadores podem detetar quando o sistema não está a funcionar conforme concebido.
Título 21 do CFR da Microsoft e da FDA
Os serviços cloud empresariais da Microsoft são submetidos a auditorias soc 2 e SOC 2 tipo 2 independentes regulares e certificados de acordo com as normas ISO/IEC 27001 e ISO/IEC 27018.
Embora estas auditorias e certificações regulares não se concentrem especificamente na conformidade regulamentar da FDA, os seus objetivos e objetivos são semelhantes aos do TÍTULO CFR 21 Parte 11 e servem para ajudar a garantir a confidencialidade, integridade e disponibilidade dos dados armazenados nos serviços cloud da Microsoft. A nossa abordagem de qualificação baseia-se também nas melhores práticas da indústria, incluindo a série GAMP da Sociedade Internacional de Engenharia Farmacêutica (ISPE) dos Guias de Boas Práticas e o Programa de Cooperação para Inspeção Farmacêutica (PIC/S) Boas Práticas para Sistemas Informatizados em Ambientes GxP Regulamentados.
Os clientes podem pedir acesso aos relatórios de conformidade, sujeitos a termos e condições do contrato de não divulgação, através do respetivo representante de conta Microsoft ou através do Portal de Confiança do Serviço.
Plataformas e serviços em nuvem no escopo da Microsoft
Embora não exista certificação para o cumprimento do Título CFR 21 Parte 11, os seguintes serviços cloud empresariais da Microsoft foram submetidos a auditorias independentes de terceiros, o que pode ajudar os clientes nos seus esforços de conformidade. Estes serviços incluem:
- Azure: Serviços de Nuvem, Armazenamento, Gestor de Tráfego, Máquinas Virtuais e Rede Virtual
- Azure DevOps
- Intune
- Dynamics 365 e Dynamics 365 U.S. Government
- Office 365 e Office 365 U.S. Government
Auditorias, relatórios e certificados
Os relatórios de auditoria para as normas SOC 1 e SOC 2 Tipo 2, ISO/IEC 27001 e ISO/IEC 27018 atestam a eficácia dos controlos que a Microsoft implementou e podem ajudar os clientes na conformidade com o Título 21 da FDA CFR Parte 11.
Perguntas frequentes
A quem esse padrão se aplica?
O Título 21 da FDA, Parte 11, aplica-se a organizações com produtos e serviços que lidam com aspectos regulados pela FDA da investigação, estudo clínico, manutenção, fabrico e distribuição de produtos de ciência da vida.
Como é que os serviços cloud empresariais da Microsoft demonstram a conformidade com o Título 21 da FDA CFR Parte 11?
Com as auditorias formais preparadas por terceiros para SOC 1 Tipo 2, SOC 2 Tipo 2, ISO/IEC 27001 e ISO/IEC 27018, a Microsoft consegue mostrar como os controlos relevantes indicados nestes relatórios abordam os requisitos.
Os controlos auditados implementados pela Microsoft ajudam a garantir a confidencialidade, integridade e disponibilidade dos dados e correspondem aos requisitos regulamentares aplicáveis definidos no Título 21 Parte 11 que foram identificados como da responsabilidade da Microsoft. As diretrizes de qualificação para o Azure e Office 365 detalham a forma como os controlos de auditoria da Microsoft correspondem a esses requisitos.
Como posso obter cópias dos relatórios do auditor?
O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Pode utilizar o portal para pedir relatórios de auditoria para que os auditores possam comparar os resultados dos serviços cloud da Microsoft com os seus próprios requisitos legais e regulamentares.
Posso utilizar a conformidade da Microsoft no processo de certificação da minha organização?
Sim. Os relatórios independentes de conformidade de terceiros das normas IEC/ISO 27001, ISO/IEC 27018, SOC 1 e SOC 2 atestam a eficácia dos controlos da Microsoft. Os clientes da Microsoft Enterprise Cloud podem utilizar os controlos auditados descritos nestes relatórios relacionados como parte dos seus próprios esforços de análise e qualificação de risco do Título CFR 21 Parte 11. Os clientes que criam e implementam aplicações sujeitas à regulamentação da FDA são responsáveis por garantir que as suas aplicações cumprem os requisitos da FDA.
Quais são as responsabilidades da Microsoft para manter conformidade com esse padrão?
A Microsoft garante que os serviços cloud empresariais cumprem os termos definidos nos Termos dos Serviços Online e nos Contratos de Nível de Serviço (SLAs) aplicáveis. Estes termos definem a nossa responsabilidade de implementar e manter controlos adequados para proteger e monitorizar o sistema.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Azure - GxP (FDA 21 CFR Parte 11)
- Código dos Regulamentos Federais Título 21
- Documentação de orientação da FDA para a indústria Parte 11: Registos eletrónicos e assinaturas
- Termos de Serviços Online da Microsoft
- Microsoft Cloud for Government
- Central de Confiabilidade da Microsoft
- Conformidade na Central de Confiabilidade da Microsoft