Compartilhar via


Título CFR da Administração de Alimentos e Medicamentos 21 Parte 11

Visão geral do Título 21 do FDA CFR

O Código de Regulamentos Federais (CFR) contém as regras e regulamentos para departamentos executivos e agências do governo federal dos EUA. Cada um dos 50 títulos do CFR aborda uma área regulamentada diferente.

O Título 21 da FDA CFR regula alimentos e medicamentos fabricados ou consumidos no Estados Unidos, sob a jurisdição da FDA (Food and Drug Administration), da Drug Enforcement Administration e do Office of National Drug Control Policy. Os regulamentos descritos no CFR Title 21 Part 11 estabelecem as regras básicas para os sistemas de tecnologia que gerenciam informações usadas por organizações sujeitas à supervisão da FDA. Qualquer sistema de tecnologia que governe processos de GxP como Boas Práticas Laboratoriais (GLP), Boas Práticas Clínicas (GCP) e Boas Práticas de Fabricação (GMP) também requer a validação de sua adesão ao GxP.

O título cfr 21 Parte 11 define requisitos para garantir que registros eletrônicos e assinaturas sejam substitutos confiáveis, confiáveis e equivalentes para registros em papel e assinaturas manuscritas. Ele também oferece diretrizes para melhorar a segurança dos sistemas de computador em indústrias regulamentadas pela FDA. As empresas de assunto devem provar que seus processos e produtos funcionam como foram projetados e, se esses processos e produtos forem alterados, elas deverão revalidar essa prova. As diretrizes de práticas recomendadas abrangem:

  • Procedimentos e controles operacionais padrão que dão suporte a registros eletrônicos e assinaturas, como backup de dados, segurança e validação do sistema de computador.
  • Recursos que garantem que o sistema de computador esteja seguro, contém trilhas de auditoria para valores de dados e garantem a integridade das assinaturas eletrônicas.
  • Validação e documentação que fornecem evidências de que o sistema faz o que se destina e que os usuários podem detectar quando o sistema não está funcionando como projetado.

Título 21 do CFR da Microsoft e da FDA

Os serviços de nuvem empresarial da Microsoft passam por auditorias regulares independentes de terceiros SOC 1 Tipo 2 e SOC 2 Tipo 2 e são certificados de acordo com os padrões ISO/IEC 27001 e ISO/IEC 27018.

Embora essas auditorias e certificações regulares não se concentrem especificamente na conformidade regulatória da FDA, suas finalidades e objetivos são semelhantes aos do TÍTULO CFR 21 Parte 11 e servem para ajudar a garantir a confidencialidade, integridade e disponibilidade dos dados armazenados nos serviços de nuvem da Microsoft. Nossa abordagem de qualificação também se baseia em práticas recomendadas do setor, incluindo a série gamp da International Society for Pharmaceutical Engineering (ISPE) e o Esquema de Cooperação para Inspeção Farmacêutica (PIC/S) boas práticas para sistemas informatizados em ambientes de GxP regulamentados.

Os clientes podem solicitar acesso aos relatórios de conformidade, sujeitos a termos e condições do contrato de confidencialidade, por meio do representante da conta Microsoft ou por meio do Portal de Confiança do Serviço.

Plataformas e serviços em nuvem no escopo da Microsoft

Embora não haja certificação para cumprir o TÍTULO CFR 21 Parte 11, os seguintes serviços de nuvem empresarial da Microsoft foram submetidos a auditorias independentes de terceiros, o que pode ajudar os clientes em seus esforços de conformidade. Esses serviços incluem:

Auditorias, relatórios e certificados

Os relatórios de auditoria para os padrões SOC 1 e SOC 2 Tipo 2, ISO/IEC 27001 e ISO/IEC 27018 atestam a eficácia dos controles que a Microsoft implementou e podem ajudar os clientes em sua conformidade com o Título cfr da FDA 21 Parte 11.

Perguntas frequentes

A quem esse padrão se aplica?

O título 21 Parte 11 do FDA CFR aplica-se a organizações com produtos e serviços que lidam com aspectos regulamentados pela FDA da pesquisa, estudo clínico, manutenção, fabricação e distribuição de produtos de ciência da vida.

Como os serviços de nuvem corporativos da Microsoft demonstram a conformidade com o título cfr 21 parte 11 da FDA?

Usando as auditorias formais preparadas por terceiros para SOC 1 Tipo 2, SOC 2 Tipo 2, ISO/IEC 27001 e ISO/IEC 27018, a Microsoft pode mostrar como os controles relevantes observados nesses relatórios abordam os requisitos.

Os controles auditados implementados pela Microsoft ajudam a garantir a confidencialidade, integridade e disponibilidade dos dados e correspondem aos requisitos regulatórios aplicáveis definidos no Título 21 Parte 11 que foram identificados como responsabilidade da Microsoft. As diretrizes de qualificação para o Azure e Office 365 detalham como os controles de auditoria da Microsoft correspondem a esses requisitos.

Como posso obter cópias dos relatórios do auditor?

O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Você pode usar o portal para solicitar relatórios de auditoria para que seus auditores possam comparar os resultados dos serviços de nuvem da Microsoft com seus próprios requisitos legais e regulatórios.

Posso usar a conformidade da Microsoft no processo de certificação da minha organização?

Sim. Os relatórios independentes de conformidade de terceiros dos padrões IEC/ISO 27001, ISO/IEC 27018, SOC 1 e SOC 2 atestam a eficácia dos controles da Microsoft. Os clientes de nuvem corporativa da Microsoft podem usar os controles auditados descritos nesses relatórios relacionados como parte de seus próprios esforços de análise e qualificação de risco cfr title 21 Parte 11. Os clientes que criam e implantam aplicativos sujeitos à regulamentação da FDA são responsáveis por garantir que seus aplicativos atendam aos requisitos da FDA.

Quais são as responsabilidades da Microsoft para manter conformidade com esse padrão?

A Microsoft garante que seus serviços de nuvem empresarial atendam aos termos definidos nos Termos de Serviços Online e SLAs (Contratos de Nível de Serviço aplicáveis). Esses termos definem nossa responsabilidade de implementar e manter controles adequados para proteger e monitorar o sistema.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos