Skip to main content
Poradniki·8 min czytania·

21 CFR Część 11 i Certyfikaty Materiałów: Wyjaśnienie Wymogów Zgodności

Szybka Odpowiedź

Quick Answer

21 CFR Część 11 wymaga, aby dokumenty elektroniczne wykorzystywane w produkcji regulowanej przez FDA — w tym certyfikaty testów materiałów — spełniały określone standardy autentyczności, integralności i poufności. W przypadku certyfikatów materiałów oznacza to zgodne podpisy elektroniczne, ścieżki audytu dla każdej modyfikacji dokumentu, kontrole dostępu i systemy zatwierdzone. Niezgodność stwarza ryzyko regulacyjne podczas inspeksji FDA.

Jeśli Twoja organizacja produkuje urządzenia do produkcji farmaceutycznej lub biotechnologicznej — naczynia ciśnieniowe, bioreaktory, systemy rur, urządzenia procesowe — Twoi klienci pracują pod nadzorem FDA. Ten nadzór rozciąga się na praktyki dokumentacyjne dostawców urządzeń, szczególnie gdy dokumenty materiałowe są włączone do zapisu partii lub pakietu kwalifikacji urządzeń.

Zrozumienie, gdzie 21 CFR Część 11 stosuje się do systemu zarządzania certyfikatami materiałów, nie jest opcjonalne. Wpływa na sposób przechwytywania, przechowywania, zatwierdzania i przesyłania każdego dokumentu jakości, który wchodzi do łańcucha dostaw regulowanego przez FDA.


Co to jest 21 CFR Część 11?

Tytuł 21 Kodeksu Regulacji Federalnych, Część 11, to rozporządzenie FDA, które określa warunki, na podstawie których dokumenty elektroniczne i podpisy elektroniczne są uważane za równoważne dokumentom papierowym i podpisom odręcznym.

Został wprowadzony w 1997 roku w celu ułatwienia przejścia z papierowych systemów zarządzania jakością na systemy elektroniczne — ale nakłada surowe wymogi, aby upewnić się, że dokumenty elektroniczne nie mogą być zmieniane, fałszowane ani błędnie przypisywane.

21 CFR Część 11 ma zastosowanie, gdy:

  • Dokument jest wymagany przez inne przepisy FDA (np. cGMP zgodnie z 21 CFR Części 210/211)
  • Organizacja wybiera używanie dokumentów elektronicznych zamiast papieru

W przypadku zarządzania certyfikatami materiałów w produkcji urządzeń farmaceutycznych rozporządzenie staje się istotne, gdy certyfikaty są przechowywane i podpisywane elektronicznie w ramach systemu dokumentacji regulowanego producenta.


Które Dokumenty Certyfikatów Materiałów Są Objęte 21 CFR Część 11?

Nie każdy certyfikat w Twoim systemie podlega Części 11 — tylko te, które:

  1. Dokumenty wymagane przez inne przepisy FDA — na przykład dokumenty śledzenia materiałów do urządzeń używanych w obiekcie pracującym zgodnie z 21 CFR Część 211 (Obecne Dobre Praktyki Wytwarzania leków)

  2. Dokumenty włączone do systemu zarządzania jakością klienta — jeśli Twój MTC lub CoA będzie częścią Rekordu Historii Urządzenia (DHR), Rekordu Wytwarzania Partii (BMR) lub pakietu kwalifikacji urządzeń (IQ/OQ/PQ)

  3. Dokumenty podpisane elektronicznie w kontekście regulacyjnym — jeśli menedżer jakości lub autoryzowany zatwierdzający elektronicznie podpisze certyfikat, a ten podpis jest dokumentem rekordu

Certyfikaty materiałów do standardowych aplikacji strukturalnych lub bez kontaktu z procesem w obiekcie farmaceutycznym mogą nie aktywować Część 11. Jednak w przypadku komponentów utrzymujących ciśnienie, powierzchni w kontakcie z produktem i urządzeń używanych w procesach walidowanych, kwestia musi być jawnie rozpatrzona.


Główne Wymagania 21 CFR Część 11 dla Systemów Zarządzania Certyfikatami

Dokumenty Elektroniczne (§11.10)

Kontrola dostępu (§11.10(d)): System musi ograniczyć dostęp tylko do autoryzowanych użytkowników. W przypadku zarządzania certyfikatami oznacza to uprawnienia oparte na rolach — kto może tworzyć, modyfikować, zatwierdzać i przeglądać które dokumenty certyfikatów — egzekwowane na poziomie aplikacji, bez polegania na udostępnionych poświadczeniach.

Ścieżka audytu (§11.10(e)): System musi generować ścieżkę audytu wygenerowaną przez komputer ze znacznikiem daty/godziny, która rejestruje, kiedy wpisy są tworzone, modyfikowane lub usuwane. Oryginalny wpis musi być zachowany. To wymóg oznacza, że retroaktywna edycja zatwierdzonego certyfikatu — na przykład zmiana wartości chemicznej — nie jest dozwolona bez utworzenia śledzowalnego dokumentu zmiany.

Integralność dokumentu i czytelność przez cały cykl życia dokumentu (§11.10(b)): Dokumenty muszą być możliwe do odzyskania przez cały wymagany okres przechowywania w formacie czytelnym dla człowieka. W przypadku urządzeń farmaceutycznych z cyklem życia produktu 20+ lat oznacza to, że Twój system i format przechowywania muszą pozostać dostępne przez cały okres.

Kontrole systemu operacyjnego (§11.10(f)): System musi wymusić sekwencjonowanie — zatwierdzenie nie może poprzedzać odbioru, zatwierdzający drugiego poziomu nie może podpisać przed ukończeniem przeglądu pierwszego poziomu.

Kontrola uprawnień (§11.10(g)): Tylko autoryzowane osoby mogą używać funkcji systemu dostępnych dla ich roli. Młodszy inspektor nie powinien mieć możliwości wykonania zatwierdzenia menedżera jakości.

Podpisy Elektroniczne (§11.50, §11.100, §11.200)

Jeśli certyfikaty są podpisane elektronicznie:

  • Każdy podpis elektroniczny musi być unikalny dla jednej osoby i nie może być ponownie używany ani przeniesiony
  • Podpisany dokument musi wyświetlać pełne imię i nazwisko podpisującego, datę i godzinę oraz znaczenie podpisu (np. "Zatwierdzone przez Menedżera Jakości")
  • Podpis musi wymagać co najmniej dwóch odrębnych komponentów identyfikacyjnych (zazwyczaj nazwy użytkownika/hasła) lub używać jednego komponentu biometrycznego
  • Podpisy elektroniczne muszą być powiązane z odpowiednimi dokumentami — nie mogą być kopiowane, wyodrębniane i fałszywie stosowane do innych dokumentów

Podpisy elektroniczne nie biometryczne (§11.200(a)): Muszą używać co najmniej dwóch odrębnych komponentów identyfikacyjnych. Wspólna implementacja: zatwierdzający loguje się raz na sesję (uwierzytelnienie) i ponownie wchodzi na hasło w momencie podpisywania (ponowne uwierzytelnienie jako drugi komponent).


Wymagania Walidacji Systemu

21 CFR Część 11 jest często łączona ze wskazówkami FDA dotyczącymi walidacji systemów komputerowych (CSV) w ramach frameworku GAMP. Twoje oprogramowanie do zarządzania certyfikatami musi być zawalidowane, aby wykazać, że konsekwentnie wykonuje swoje zamierzone funkcje.

W przypadku systemu zarządzania certyfikatami walidacja zazwyczaj obejmuje:

  • Kwalifikacja Instalacji (IQ) — system jest prawidłowo zainstalowany i w znanej konfiguracji
  • Kwalifikacja Operacyjna (OQ) — system prawidłowo wykonuje wszystkie wymagane funkcje (przepływ pracy zatwierdzenia, ścieżka audytu, kontrola dostępu)
  • Kwalifikacja Wydajności (PQ) — system konsekwentnie działa w rzeczywistych warunkach operacyjnych

Pakiet walidacji dostarczony przez dostawcę nie eliminuje odpowiedzialności Twojej organizacji za walidację, ale znacznie zmniejsza wysiłek. Podczas oceny oprogramowania do zarządzania certyfikatami dla środowiska regulowanego, wyraźnie poproś o pakiet dokumentacji walidacji (szablony IQ/OQ/PQ, ocena ryzyka, skrypty testowe).


Praktyczne Wpływ na Twój Przepływ Pracy Zatwierdzenia Certyfikatów

W przypadku producentów dostarczających do produkcji farmaceutycznej zgodność z Częścią 11 zmienia przepływ pracy zatwierdzenia certyfikatów na kilka konkretnych sposobów:

Standardowa PraktykaWymóg Części 11
Zatwierdzenie e-mailem ("wygląda dobrze")Niezgodne — bez unikalnego identyfikatora, bez znacznika czasu na dokumencie
Wspólne logowanie do zatwierdzeńNiezgodne — podpisy muszą być unikalne dla jednej osoby
Nadpisanie odrzuconego certyfikatuNiezgodne — oryginalny dokument musi być zachowany
PDF na udostępnianym dyskuMoże być zgodne, jeśli kontrola dostępu i ścieżka audytu są udokumentowane
Papierowy podpis ze skanowaniemZgodne dla dokumentów papierowych; jeśli zeskanowane, skan musi spełniać wymogi integralności dokumentu elektronicznego

Co Zapytać Dostawcę Oprogramowania do Zarządzania Certyfikatami

  1. Czy system generuje ścieżkę audytu wygenerowaną przez komputer dla każdego utworzenia, modyfikacji i usunięcia dokumentu?
  2. Czy ścieżki audytu są chronione przed modyfikacją przez użytkowników, w tym administratorów?
  3. Czy mechanizm podpisu elektronicznego wymaga dwóch odrębnych komponentów identyfikacyjnych?
  4. Czy system jest zawalidowany, a pakiet walidacji dostępny?
  5. Czy system obsługuje dostęp oparty na rolach z konfigurowanymi poziomami uprawnień?
  6. Jak system obsługuje przechowywanie dokumentów wymagających dostępności 20+ lat?

TestCert jest projektowany z myślą o tych wymogach — zapewniając zgodne podpisy elektroniczne, niezmienne ścieżki audytu, kontrolę dostępu opartą na rolach i dokumentację wsparcia dla działań walidacji w środowiskach regulowanych.


Czy 21 CFR Część 11 dotyczy wszystkich producentów sprzedających firmom farmaceutycznym?

Nie automatycznie. Część 11 dotyczy dokumentów wymaganych przez przepisy FDA. Jeśli Twoje certyfikaty staną się częścią dokumentu regulowanego — włączone do kwalifikacji urządzeń, zapisów partii lub Rekordu Historii Urządzenia — odpowiednie wymogi przechodzą do Twojego systemu. Umowa o jakości Twojego klienta farmaceutycznego zazwyczaj określa, jaka zgodność jest oczekiwana od dostawców. Dokładnie przejrzyj te wymogi i prowadź dokumenty wykazujące postawę zgodności Twojego systemu.

Czy certyfikat PDF podpisany w programie Adobe Acrobat wystarczy na potrzeby 21 CFR Część 11?

Plik PDF z cyfrowym podpisem opartym na certyfikacie Adobe może być zgodny, jeśli infrastruktura podpisu spełnia wymagania Części 11 w kwestii wyjątkowości, niemożliwości zaprzeczenia i powiązania z dokumentem. Jednak szersze wymagania systemowe — ścieżka audytu dla całego cyklu życia certyfikatu, kontrola dostępu, przechowywanie — muszą być również spełnione przez otaczający przepływ pracy. Samodzielny podpis PDF bez zgodnego systemu zarządzania dokumentami jest na ogół niewystarczający.

Jaki jest okres przechowywania certyfikatów materiałów zgodnie z przepisami FDA?

FDA nie wymaga jednego okresu przechowywania dla certyfikatów materiałów. Wymagania przechowywania wynikają z konkretnych przepisów, które wymagają dokumentu. Zgodnie z 21 CFR Część 211, zapisy partii muszą być przechowywane przez co najmniej jeden rok po dacie wygaśnięcia partii leku, lub rok po zatwierdzeniu partii przez FDA. W przypadku zapisów kwalifikacji urządzeń wiele organizacji stosuje okres użytkowania urządzenia plus okres regulacyjny. Skonsultuj się ze swoim zespołem jakości i doradcą prawnym w Twojej konkretnej sytuacji.

Czy wymagania Części 11 dotyczą certyfikatów otrzymanych od dostawców, czy tylko własnych dokumentów?

Część 11 dotyczy systemu dokumentów Twojej organizacji. Gdy otrzymasz certyfikat od dostawcy i włączysz go do swoich dokumentów — skanowanie, przesyłanie lub odwołanie w przepływie pracy zatwierdzenia — dokument w Twoim systemie musi być zgodny z Częścią 11, jeśli jest on objęty nadzorem FDA. Oryginalny system wydawania dostawcy to kwestia zgodności dostawcy; Twój system pozyskiwania i przechowywania to Twoja kwestia.

Jaka jest różnica między 21 CFR Część 11 a Załącznikiem 11 GMP UE?

Oba regulują dokumenty elektroniczne i podpisy w produkcji farmaceutycznej, ale dotyczą różnych jurysdykcji. 21 CFR Część 11 to przepis FDA Stanów Zjednoczonych; Załącznik 11 GMP UE obejmuje systemy skomputeryzowane używane w produkcji regulowanej przez GMP w Unii Europejskiej. Dzielą wiele zasad — ścieżek audytu, kontroli dostępu, walidacji — ale różnią się w specyficznych wymogach technicznych i podejściu do wdrażania. Organizacje dostarczające na oba rynki muszą radzić sobie z obydwoma ramami.

Ready to automate your certificate workflow?

Try TestCert free

Powiązane Przewodniki