Firmaprofesional, isigma y la 21 CFR

La 21 CFR

¿Qué es la 21 CFR?

Es el apartado del Código de Regulaciones Federales de la Food and Drug Administration (FDA) sobre registros electrónicos y firmas electrónicas en Estados Unidos . La Parte 11 de la 21 CFR, como se la llama comúnmente, define los criterios bajo los cuales los registros electrónicos y las firmas electrónicas se consideran dignos de confianza, fiables y equivalentes a los registros en papel.
¿En qué sectores aplica?

En términos prácticos se aplica a aquellos actores que operen en los Estados Unidos, siendo:pills

  • Fabricantes de medicamentos y dispositivos médicos
  • Empresas fabricantes de biotecnología
  • Desarrolladores de productos biológicos
  • Grupos de investigación

¿Es necesario su cumplimento?

Sí. La FDA realiza auditorias periódicas a las empresas con presencia en el mercado norteamericano, tal y como dicta la Ley Federal de Alimentos, Medicamentos y Cosméticos y la Ley de Servicio de Salud Pública.

¿Cómo puede una solución de firma electrónica ayudarnos en su cumplimento?

El hecho de firmar electrónicamente un documento, aporta una serie de evidencias que garantizan los principios básicos de la 21CFR de trazabilidad, auditoria, integridad y no repudio de los documentos generados en un entorno electrónico.

La solución

La solución pasa por la conjunción de la aplicación de firma electrónica y los certificados digitales idóneos para el fin que nos ocupa, que es cumplir la 21 CFR. Para ello contamos con el conjunto ClickSign, de isigma, más los Certificados Corporativos de Persona Física de Firmaprofesional. Otros Certificados Corporativos Reconocidos, como por ejemplo, los de Colegiado, también serían válidos.

ClickSign

ClickSign es un producto de la empresa Isigma asesoría tecnológica, S.L., en adelante Isigma, destinado a la realización de firmas electrónicas en ordenador de sobremesa.

ClickSign, junto con los Certificados Corporativos de Persona Física en Dispositivo Seguro de Creación de Firma, genera firmas electrónicas reconocidas de conformidad la legislación española, en concreto con la Ley 59/2003, de 19 de diciembre, de Firma Electrónica (LFE).
Cabe recordar que “La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel”, según el artículo 3.4 de la citada ley.

ClickSign aplica firmas electrónicas a documentos generados con otras aplicaciones, ya sean ofimáticas, gestores documentales, gráficas, etc (documentos PDF, Word, XML, imágenes, vídeo, audio, …). quedando fuera del alcance la producción de los documentos previos a su firma.

Certificados de Firmaprofesional

Una parte importante para garantizar la confiabilidad del sistema son los certificados digitales utilizados. En este caso se trata de certificados de la Autoridad de Certificación (en adelante AC) Firmaprofesional, que cumple con la normativa Española en materia de certificacion electrónica y por ende con la Directiva Comunitaria 1999/93/CE.

El documento que describe la forma de operar de la AC Firmaprofesional y que ha sido aprobada por el MINETUR (Ministerio de Industria, Energía y Turismo, antiguo Ministerio de Industria, Energía y Turismo y Comercio -MITyC-) es la Declaración de Prácticas de Certificación (en inglés CPS o Certification Practice Statement.) El perfil del certificado y sus condiciones particulares se recogen en la Política de Certificado correspondiente.

Alineamiento de la solución con los requisitos de la 21 CFR

Dado el alcance de ClickSign y de los certificados de Firmaprofesional, el alineamiento con 21CFR se centra en las siguientes secciones de la norma:

Sec. 11.50 Signature manifestations.
(a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:
(1) The printed name of the signer;
(2) The date and time when the signature was executed; and
(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.
(b) The items

La mejor manera de garantizar lo anterior es asegurando que el propio documento firmado contenga esta información, sobre todo por las limitaciones que impone el punto (b).

Cabe recordar que los certificados suministrados por Firmaprofesional contienen la información del firmante (nombre, apellidos, NIF) y la firma incrustada en PDF incluye información de la fecha y hora de la firma, del equipo del firmante.

No obstante lo anterior, y como medida técnica adicional que provee mayores garantías jurídicas, se recomienda el uso del servicio de Sellado de Tiempo de Firmaprofesional, que ClickSign soporta.

Sec. 11.70 Signature/record linking.

Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.

ClickSign realiza firmas incrustadas en PDF, entre otros formatos. De esta forma se vincula la firma con el documento firmado desde un punto de vista de información.

Por otro lado, esta firma se basa en criptografía asimétrica o de clave pública, por lo que técnicamente se garantiza la vinculación entre firma, identidad del firmante y documento firmado por la propia naturaleza del algoritmo.

El algoritmo de firma utilizado es sha1WithRsaEncryption, un algoritmo estandarizado y aceptado por la comunidad que garantiza la no-falsificación ni manipulación de los datos.

Sec. 11.100 General requirements.

(a) Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned to, anyone else.
(b) Before an organization establishes, assigns, certifies, or otherwise sanctions an individual`s electronic signature, or any element of such electronic signature, the organization shall verify the identity of the individual.
(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.
(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations, 12420 Parklawn Drive, RM 3007 Rockville, MD 20857.

(a) El par de claves RSA de 1.024 bits utilizado para producir las firmas electrónicas se genera en la propia tarjeta o dispositivo seguro de creación de firma (SSCD, por sus siglas en inglés), una de cuyas funciones es garantizar ”Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto”, tal y como requiere la LFE en su artículo 24.3.a)

(b) Firmaprofesional identifica comprueba la identidadcad de cada firmante a quien emite un certificado, de conformidad con lo requerido en el artículo 12.a) de la LFE (“Comprobar la identidad y circunstancias personales de los solicitantes de certificados con arreglo a lo dispuesto en el artículo siguiente.”.) Para más detalles, puede consultarse la Política de Certificado
(c) Por la propia definición de firma electrónica reconocida (LFE, artículo 3.4), la firma electrónica generada con ClickSign y los certificados reconocidos de Firmaprofesional tiene equivalencia funcional con la firma manuscrita.

Sec. 11.200 Electronic signature components and controls.

(a) Electronic signatures that are not based upon biometrics shall:
(1) Employ at least two distinct identification components such as an identification code and password.
(i) When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.
(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.
(2) Be used only by their genuine owners; and
(3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals.
(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.

(1) La solución se basa en criptografía asimétrica, con una clave privada (datos de creación de firma) almacenada en una tarjeta inteligente y para cuyo uso es necesario introducir un PIN (datos de activación), por lo que se utilizan dos mecanismos de autenticación, a saber:

  1. algo que tengo (la tarjeta)
  2. algo que sé (el PIN)

(i) La firma electrónica se realiza en el chip de la tarjeta, por lo que si se retirase, no se podría seguir produciendo firmas electrónicas.
(ii) Una vez retirada la tarjeta, si se vuelve a introducir y se desea firmar de nuevo, es necesario introducir el PIN nuevamente.
(2) Garantizado por los dos mecanismos de autenticación explicados más arriba.
(3) La tarjeta se bloquea al tercer intento de PIN incorrecto. Los procedimientos de emisión de certificados de Firmaprofesional garantizan que una única persona no pueda emitir un certificado en nombre de otra.

Sec. 11.300 Controls for identification codes/passwords.

Persons who use electronic signatures based upon use of identification codes in combination with passwords shall employ controls to ensure their security and integrity. Such controls shall include:
(a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).
(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially compromised tokens, cards, and other devices that bear or generate identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.
(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.
(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not been altered in an unauthorized manner.

Al tratarse de una solución basada en criptografía asimétrica, infraestructura de clave pública (PKI) -certificados digitales-, y tarjetas inteligentes, no se usa códigos de identificación personales, por lo que esta sección no es de aplicación.

Conclusión

Teniendo en cuenta los requisitos de 21CFR y el alcance funcional del producto ClickSign, y los certificados emitidos por la AC Firmaprofesional, la solución propuesta cumple los requisitos mencionados en la normativa.

Si te ha gustado esta entrada, o crees que puede resultar útil a otras personas, no dudes en compartirla a través de los botones que encontrarás debajo.

¿Te ha gustado lo que contamos?
Comparte con tus amigos

2 comentarios.

  • Hola chemalogo,
    estupendo blog sobre seguridqad, acabo de descubrirlo navegando por google y me sera muy util para aclarar dudas sobre aspectos de seguridad

    en clase, hemos visto k la firma utiliza una funcion hash para dar integridad al mensaje, (la herramienta clicksign utiliza SHA1??) pero si yo cifro con mi clave privada solo lo abrira quien posea mi clave publica por lo k nadie mas(salvo el destino) podra abrirlo y modificarlo, entonces ¿porq es necesaria la funcion hash si nadie (salvo el destino) abrira(o modoficara) el mensaje?

    Espero k me lo puedas aclarar…..saludos

    PS:¿firma digital es lo mismo que firma electronica?¿ambos terminos son correctos o usar uno es mas correcto?¿Lo mismo sucede con certificado digital/electronico?

    • Hola, fede.

      Los algoritmos de hashing son mucho más rápidos (requieren mucha menos potencia de cálculo) que los algoritmos de criptografía asimétrica, también llamados de clave pública. Firmar un documento entero con criptografía asimétrica podría llegar a ser inviable en términos de tiempo, por eso se usa el hashing.

      Ojo con lo de «solo lo abrira quien posea mi clave publica por lo k nadie mas», porque se llama pública por algo.

      Respecto a las diferencias entre firma electrónica y digital, si me permites, te remito a nuestra entrada Firma electrónica, firma digital, certificado electrónico y … tal , en la que lo explicamos. Y en lo referente a certificados, en la legislación española se habla de certificados electrónicos, pero en general se usan indistintamente, quizá más frecuentemente «certificado digital».

      Espero haber aclarado las dudas y seguimos a tu disposición para cualquier cosa.

      Gracias por contactar!