Peraturan untuk Rekod Elektronik Dewan Kestabilan Alam Sekitar

Subbahagian A--Peruntukan Am
Sek. 11.1 Skop.

(a) Peraturan dalam bahagian ini menetapkan kriteria di mana agensi menganggap rekod elektronik, tandatangan elektronik, dan tandatangan tulisan tangan yang disempurnakan kepada rekod elektronik sebagai boleh dipercayai, boleh dipercayai, dan secara amnya setara dengan rekod kertas dan tandatangan tulisan tangan yang disempurnakan di atas kertas.

(b) Bahagian ini terpakai untuk rekod bentuk tidak elektronik yang dicipta, diubah suai, diselenggara, diarkibkan, diambil semula, atau dihantar, di bawah mana-mana keperluan rekod yang ditetapkan dalam peraturan agensi. Bahagian ini juga terpakai kepada rekod elektronik yang diserahkan kepada agensi yang tidak memerlukan keperluan Makanan Persekutuan , Akta Dadah dan Kosmetik dan Akta Perkhidmatan Kesihatan Awam, walaupun rekod sedemikian tidak dikenal pasti secara khusus dalam peraturan agensi. Walau bagaimanapun, bahagian ini tidak terpakai kepada rekod kertas yang, atau telah, dihantar melalui cara elektronik.

(c) Jika tandatangan elektronik dan rekod elektronik berkaitannya memenuhi keperluan bahagian ini, agensi akan menganggap tandatangan elektronik itu setara dengan tandatangan bertulis tangan penuh, parap dan tandatangan am lain seperti yang dikehendaki oleh peraturan agensi, melainkan secara khusus dikecualikan oleh peraturan yang berkuat kuasa. selepas 20 Ogos 1997.

(d) Rekod elektronik yang memenuhi keperluan bahagian ini boleh digunakan sebagai ganti rekod kertas, mengikut 11.2, melainkan rekod kertas diperlukan secara khusus.

(e) Sistem komputer (termasuk perkakasan dan perisian), kawalan, dan dokumentasi atendan yang diselenggarakan di bawah bahagian ini hendaklah tersedia untuk, dan tertakluk kepada, pemeriksaan FDA.

(f) Bahagian ini tidak terpakai kepada rekod yang perlu diwujudkan atau diselenggara oleh 1.326 hingga 1.368 bab ini. Rekod yang memenuhi keperluan bahagian 1, subbahagian J bab ini, tetapi yang juga diperlukan di bawah peruntukan berkanun atau peraturan lain yang berkenaan, kekal tertakluk kepada bahagian ini.

Sek. 11.2 Perlaksanaan.

(a) Bagi rekod yang perlu disimpan tetapi tidak diserahkan kepada agensi, orang boleh menggunakan rekod elektronik sebagai ganti rekod kertas atau tandatangan elektronik sebagai ganti tandatangan tradisional, secara keseluruhan atau sebahagian, dengan syarat keperluan bahagian ini dipenuhi.

(b) Bagi rekod yang diserahkan kepada agensi, orang boleh menggunakan rekod elektronik sebagai ganti rekod kertas atau tandatangan elektronik sebagai ganti tandatangan tradisional, secara keseluruhan atau sebahagian, dengan syarat:

(1) Keperluan bahagian ini dipenuhi; dan
(2) Dokumen atau bahagian dokumen yang perlu dikemukakan telah dikenal pasti dalam doket awam No. 92S-0251 sebagai jenis penyerahan yang diterima oleh agensi dalam bentuk elektronik. Dokumen ini akan mengenal pasti secara khusus jenis dokumen atau bahagian dokumen yang boleh diterima untuk diserahkan dalam bentuk elektronik tanpa rekod kertas dan unit penerima agensi (cth, pusat, pejabat, bahagian, cawangan) khusus yang boleh dibuat penyerahan tersebut. Dokumen kepada unit penerima agensi yang tidak dinyatakan dalam doket awam tidak akan dianggap sebagai rasmi jika ia diserahkan dalam bentuk elektronik; borang kertas bagi dokumen tersebut akan dianggap sebagai rasmi dan mesti disertakan dengan sebarang rekod elektronik. Orang ramai diharapkan untuk berunding dengan unit penerima agensi yang dimaksudkan untuk mendapatkan butiran tentang cara (cth, kaedah penghantaran, media, format fail,

Sek. 11.3 Definisi.

(a) Takrifan dan tafsiran istilah yang terkandung dalam seksyen 201 akta terpakai bagi istilah tersebut apabila digunakan dalam bahagian ini.

(b) Takrif istilah berikut juga digunakan untuk bahagian ini:
(1) Akta bermaksud Akta Makanan, Dadah dan Kosmetik Persekutuan (sek. 201-903 (21 USC 321-393)).
(2) Agensi bermaksud Pentadbiran Makanan dan Dadah.
(3) Biometrik bermaksud kaedah mengesahkan identiti individu berdasarkan pengukuran ciri fizikal individu atau tindakan berulang di mana ciri dan/atau tindakan tersebut adalah unik untuk individu tersebut dan boleh diukur.
(4) Sistem tertutup bermaksud persekitaran di mana capaian sistem dikawal oleh orang yang bertanggungjawab terhadap kandungan rekod elektronik yang ada pada sistem.
(5) Tandatangan digital bermaksud tandatangan elektronik berdasarkan kaedah kriptografi untuk pengesahan pemula, dikira dengan menggunakan satu set peraturan dan satu set parameter supaya identiti penandatangan dan integriti data boleh disahkan.
(6) Rekod elektronik bermaksud apa-apa gabungan teks, grafik, data, audio, bergambar, atau perwakilan maklumat lain dalam bentuk digital yang dicipta, diubah suai, diselenggara, diarkibkan, diambil semula atau diedarkan oleh sistem komputer.
(7) Tandatangan elektronik bermaksud kompilasi data komputer mana-mana simbol atau siri simbol yang disempurnakan, diterima pakai, atau diberi kuasa oleh individu untuk menjadi setara dengan tandatangan tulisan tangan individu yang mengikat secara sah.
(8) Tandatangan tulisan tangan bermaksud nama berskrip atau tanda undang-undang individu yang ditulis tangan oleh individu itu dan disempurnakan atau diterima pakai dengan niat sekarang untuk mengesahkan penulisan dalam bentuk tetap. Perbuatan menandatangani dengan tulisan atau alat penanda seperti pen atau stylus dipelihara. Nama skrip atau tanda undang-undang, semasa digunakan secara konvensional pada kertas, juga boleh digunakan pada peranti lain yang menangkap nama atau tanda itu.
(9) Sistem terbuka bermaksud persekitaran di mana capaian sistem tidak dikawal oleh orang yang bertanggungjawab ke atas kandungan rekod elektronik yang ada pada sistem.

Subbahagian B--Rekod Elektronik
Sek. 11.10 Kawalan untuk sistem tertutup.
Orang yang menggunakan sistem tertutup untuk mencipta, mengubah suai, menyelenggara, atau menghantar rekod elektronik hendaklah menggunakan prosedur dan kawalan yang direka bentuk untuk memastikan ketulenan, integriti, dan, apabila sesuai, kerahsiaan rekod elektronik, dan untuk memastikan bahawa penandatangan tidak boleh dengan mudah menolak rekod yang ditandatangani sebagai tidak asli. Prosedur dan kawalan sedemikian hendaklah termasuk yang berikut:

(a) Pengesahan sistem untuk memastikan ketepatan, kebolehpercayaan, prestasi yang disasarkan secara konsisten, dan keupayaan untuk membezakan rekod yang tidak sah atau diubah.

(b) Keupayaan untuk menjana salinan rekod yang tepat dan lengkap dalam kedua-dua bentuk boleh dibaca manusia dan elektronik yang sesuai untuk pemeriksaan, semakan, dan penyalinan oleh agensi. Orang ramai harus menghubungi agensi jika terdapat sebarang soalan mengenai keupayaan agensi untuk melakukan semakan dan penyalinan rekod elektronik tersebut.

(c) Perlindungan rekod untuk membolehkannya diperoleh semula dengan tepat dan sedia sepanjang tempoh penyimpanan rekod.

(d) Mengehadkan akses sistem kepada individu yang dibenarkan.

(e) Penggunaan jejak audit yang selamat, dijana komputer, dicap masa untuk merekodkan tarikh dan masa entri dan tindakan pengendali secara bebas yang mencipta, mengubah suai atau memadam rekod elektronik. Perubahan rekod tidak boleh mengaburkan maklumat yang direkodkan sebelum ini. Dokumentasi jejak audit sedemikian hendaklah disimpan untuk tempoh sekurang-kurangnya selagi yang diperlukan untuk rekod elektronik subjek dan boleh didapati untuk semakan dan penyalinan agensi.

(f) Penggunaan semakan sistem operasi untuk menguatkuasakan urutan langkah dan peristiwa yang dibenarkan, mengikut kesesuaian.

(g) Penggunaan semakan kuasa untuk memastikan bahawa hanya individu yang diberi kuasa boleh menggunakan sistem, merekod secara elektronik, mengakses operasi atau peranti input atau output sistem komputer, merekod alter, atau melaksanakan operasi di tangan.

(h) Penggunaan semakan peranti (cth, terminal) untuk menentukan, mengikut kesesuaian, kesahihan sumber input data atau arahan operasi.

(i) Penentuan bahawa orang yang membangunkan, menyelenggara, atau menggunakan rekod elektronik/sistem tandatangan elektronik mempunyai pendidikan, latihan, dan pengalaman untuk melaksanakan tugas yang diberikan kepada mereka.

(j) Penubuhan, dan pematuhan kepada, dasar bertulis yang memegang individu bertanggungjawab dan bertanggungjawab untuk tindakan yang dimulakan di bawah tandatangan elektronik mereka, untuk menghalang pemalsuan rekod dan tandatangan.

(k) Penggunaan kawalan yang sesuai terhadap dokumentasi sistem termasuk:
(1) Kawalan yang mencukupi ke atas pengedaran, akses kepada, dan penggunaan dokumentasi untuk operasi dan penyelenggaraan sistem.
(2) Semakan dan ubah prosedur kawalan untuk mengekalkan jejak audit yang mendokumenkan pembangunan berurutan masa dan pengubahsuaian dokumentasi sistem.

Sek. 11.30 Kawalan untuk sistem terbuka.

Orang yang menggunakan sistem terbuka untuk mencipta, mengubah suai, menyelenggara, atau menghantar rekod elektronik hendaklah menggunakan prosedur dan kawalan yang direka bentuk untuk memastikan ketulenan, integriti, dan, tidak sesuai, kerahsiaan rekod elektronik dari titik penciptaan sehingga titik penerimaannya. Prosedur dan kawalan sedemikian hendaklah termasuk yang dikenal pasti dalam 11.10, mengikut kesesuaian, dan langkah-langkah tambahan seperti penyulitan dokumen dan penggunaan piawaian tandatangan digital yang sesuai untuk memastikan, seperti yang perlu di bawah keadaan, ketulenan rekod, integriti, dan kerahsiaan.

Sek. 11.50 Manifestasi tandatangan.

(a) Rekod elektronik yang ditandatangani hendaklah mengandungi maklumat yang berkaitan dengan tandatangan yang menunjukkan dengan jelas semua perkara berikut:

(1) Nama bercetak penandatangan;
(2) Tarikh dan masa apabila tandatangan itu disempurnakan; dan
(3) Maksud (seperti semakan, kelulusan, tanggungjawab, atau pengarang) yang dikaitkan dengan tandatangan.

(b) Item yang dikenal pasti dalam perenggan (a)(1), (a)(2), dan (a)(3) seksyen ini hendaklah tertakluk kepada kawalan yang sama seperti untuk rekod elektronik dan hendaklah dimasukkan sebagai sebahagian daripada mana-mana manusia yang boleh dibaca. bentuk rekod elektronik (seperti paparan elektronik atau cetakan).

Sek. 11.70 Pautan tandatangan/rekod.
Tandatangan elektronik dan tandatangan tulisan tangan yang disempurnakan kepada rekod elektronik hendaklah dikaitkan dengan rekod elektronik masing-masing untuk memastikan bahawa tandatangan itu tidak boleh dikeluarkan, disalin, atau sebaliknya dipindahkan untuk memalsukan rekod elektronik dengan cara biasa.

Subbahagian C--Tandatangan Elektronik

Sek. 11.100 Keperluan am.

(a) Setiap tandatangan elektronik hendaklah unik untuk satu individu dan tidak boleh digunakan semula oleh, atau diserahkan semula kepada, orang lain.

(b) Sebelum organisasi menubuhkan, menyerahkan, memperakui, atau sebaliknya menyekat tandatangan elektronik individu, atau mana-mana elemen tandatangan elektronik tersebut, organisasi hendaklah mengesahkan identiti individu tersebut.

(c) Orang yang menggunakan tandatangan elektronik hendaklah, sebelum atau pada masa penggunaan sedemikian, memperakui kepada agensi bahawa tandatangan elektronik dalam sistem mereka, yang digunakan pada atau selepas Ogos 20,1997, bertujuan untuk menjadi setara dengan tandatangan tulisan tangan tradisional yang mengikat secara sah.
(1) Pensijilan hendaklah dikemukakan dalam bentuk kertas dan ditandatangani dengan tandatangan tulisan tangan tradisional, kepada Pejabat Operasi Wilayah (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Orang yang menggunakan tandatangan elektronik hendaklah, atas permintaan agensi, memberikan keterangan pensijilan tambahan bahawa tandatangan elektronik tertentu adalah bersamaan secara sah dengan tandatangan tulisan tangan penandatangan itu.

Sek. 11.200 Komponen dan kawalan tandatangan elektronik.

(a) Tandatangan elektronik yang tidak berdasarkan biometrik hendaklah:
(1) Menggunakan sekurang-kurangnya dua komponen pengenalpastian seperti kod pengenalan dan kata laluan.

(i) Apabila seseorang individu melaksanakan siri tandatangan dalam tempoh tunggal, berterusan akses sistem terkawal, tandatangan pertama hendaklah dilaksanakan menggunakan semua komponen tandatangan elektronik; tandatangan berikutnya hendaklah dilaksanakan menggunakan sekurang-kurangnya satu komponen tandatangan elektronik yang hanya boleh dilaksanakan oleh, dan direka bentuk untuk digunakan oleh, individu sahaja.

(ii) Apabila seseorang individu melaksanakan satu atau lebih tandatangan yang tidak dilakukan dalam tempoh tunggal, berterusan akses sistem terkawal, setiap tandatangan hendaklah dilaksanakan menggunakan semua komponen tandatangan elektronik.

(2) Hanya digunakan oleh pemilik tulen mereka; dan

(3) Ditadbir dan dilaksanakan untuk memastikan percubaan menggunakan tandatangan elektronik individu oleh sesiapa selain daripada pemilik tulennya memerlukan kerjasama dua atau lebih individu.

(b) Tandatangan elektronik berdasarkan biometrik hendaklah direka bentuk untuk memastikan bahawa ia tidak boleh digunakan oleh sesiapa selain daripada pemilik tulennya.

Sek. 11.300 Kawalan untuk kod pengenalan/kata laluan.
Orang yang menggunakan tandatangan elektronik berdasarkan penggunaan kod pengenalan dalam kombinasi dengan kata laluan hendaklah menggunakan kawalan untuk memastikan keselamatan dan integriti mereka. Kawalan tersebut hendaklah termasuk:

(a) Mengekalkan keunikan setiap gabungan kod pengenalan dan kata laluan, supaya tiada dua individu yang mempunyai gabungan kod pengenalan dan kata laluan yang sama.

(b) Memastikan bahawa pengeluaran kod pengenalan dan kata laluan disemak, ditarik balik atau disemak secara berkala (cth, untuk meliputi peristiwa seperti penuaan kata laluan).

(c) Mengikuti prosedur pengurusan kerugian untuk membatalkan kebenaran secara elektronik token yang hilang, dicuri, hilang, atau sebaliknya berpotensi terjejas, kad dan peranti lain yang mengandungi atau menjana maklumat kod pengenalan atau kata laluan, dan untuk mengeluarkan penggantian sementara atau kekal menggunakan kawalan yang sesuai dan ketat.

(d) Penggunaan perlindungan transaksi untuk menghalang penggunaan kata laluan dan/atau kod pengenalan tanpa kebenaran, dan untuk mengesan dan melaporkan dengan segera dan segera sebarang percubaan untuk menggunakan tanpa kebenaran mereka kepada unit keselamatan sistem, dan, mengikut kesesuaian, pengurusan organisasi.

(e) Ujian awal dan berkala ke atas peranti, seperti token atau kad, yang mengandungi atau menjana maklumat kod pengenalan atau kata laluan untuk memastikan ia berfungsi dengan baik dan tidak diubah dengan cara yang tidak dibenarkan.