关于飞书钉钉软件线上审批的电子签名验证

CTT12

我们公司打算用这种软件管理质量相关的文件，其他的权限控制之类的我觉得都可以满足，只有审批时候的电子签名我有一点疑惑：
1、在你的账户登录后，如果你收到审批的流程，只需要点同意或拒绝，不会有弹窗提醒你再输入用户名和密码，我想知道这种方式算合规吗？算符合part 11的要求吗？
2、这种方式也可以做到可追溯和不可抵赖，审批的文件也可以和电子签名相互链接（如果这种方式可以算是电子签名的话），从风险和预期用途上来说都可以满足要求，我觉得和账户/密码的那种方式相比只是一个表现形式的区别，我做个系统验证去控制风险这样可以吗
3、或者其他用文档管理系统的朋友，你们系统的审批都是遵照严格的用户名/密码的电子签名方式嘛？还是也是点”同意“这样确认就好了呢？

老K

用户名和密码的组合本身就带有计算机化系统的用户识别和电子签名两种属性。
我觉得从真实性上来讲它能够代表本人“对登录之后的所有操作签名认证”。
当然，我也认为当对单个指令（或特殊指令）设置单独的电子签名需求的话逻辑上更接近现实签名。
但是既然是用了计算机化系统，用了电子记录和电子签名，那么只要满足了数据完整性的基本要求前提下肯定更多的追求便捷性。
以上是个人愚见，仅供参考。

琦瑞福生

CFR Part 11：Electronic Records; Electronic Signatures
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.
电子签名是指一种由一个人执行、采用或批准成为与其个人的手写签名具有相同的法律效力的计算机数据的任意符号或一系列符号的编译。
11.70 Signature/record linking.签名/记录关联
Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.
电子记录上签署的电子签名和手写签名应关联至其相应的电子记录，以确保无法通过普通手段对电子签名进行删除、复制或其他转移方式而实现电子记录的伪造。

根据这个的话，你需要对这个，签名进行相关验证，，同时，如果你只点击不输密码之类的确认，有误点相关风险，还是需要有风险评估支持怎么定义及操作的

yuansoul

把自己 当 CIA 可可伯乐

小斌12

按我的理解，PART11貌似也没有必须要每次输入账号密码的硬性规定吧...
审批的时候应该是要先把审批流点开，然后再点通过或者不通过，或者还需要写意见，误操作的可能性很低
说实话..用这个审批比我以前用过的文件管理系统估计控制的要好一些。。毕竟登陆钉钉还得人脸识别啥的，以前我用过一个的一个文件管理系统，我们的人上传待审批文件，然后立马切换车间主任账号点通过，再切换现场QA账号点通过，于是文件就到了质量负责人那里了...

CTT12

琦瑞福生 发表于 2024-4-24 14:39
CFR Part 11：Electronic Records; Electronic Signatures
(7) Electronic signature means a computer da ...

是的，我觉得从你列举的这两条来看，不算违背法规，但以下这两条让我有点困惑：
  11.200 电子签名的成分及管理
  (a) Electronic signatures that are not based upon biometrics shall:
  不依据生物测定学的电子签名应：
  (1) Employ at least two distinct identification components such as an identification code and
  password.
  使用至少二种截然不同的证明成分，例如识别码和密码。
   (i) When an individual executes a series of signings during a single, continuous period of controlled
  system access, the first signing shall be executed using all electronic signature components;
  subsequent signings shall be executed using at least one electronic signature component that is only
  executable by, and designed to be used only by, the individual.
  当一个人在一个独立的持续受控的系统登录期间内签署了一系列的签名， 签署的第一个签名将
  使用所有的电子签名成分。 后续签署的签名应使用至少一种的电子签名的成分。 该成分只能由
  个人签署，并且设计只能由个人来使用。
  (ii) When an individual executes one or more signings not performed during a single, continuous
  period of controlled system access, each signing shall be executed using all of the electronic
  signature components.
  当一个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时， 每一个被签署的
  签名应使用所有的电子签名成分。

我认为你列的那两条是对于预期用途的规定，无论什么形式只要满足就可以。我列的这两条就比较具体了，不知道它是针对账号的要求（用户使用系统必须有用户名和密码）还是执行电子签名的要求（签字的时候必须输入密码确认）

CTT12

老K 发表于 2024-4-24 14:26
用户名和密码的组合本身就带有计算机化系统的用户识别和电子签名两种属性。
我觉得从真实性上来讲它能够代 ...

您的观点我非常同意，但在执行过程中，这种审批方式可以被称作电子签名嘛？还是我不能把它称作电子签名，但可以对它做风险评估和验证后去使用

CTT12

小斌12 发表于 2024-4-24 15:21
按我的理解，PART11貌似也没有必须要每次输入账号密码的硬性规定吧...
审批的时候应该是要先把审批流点开 ...

它不是说“使用至少二种截然不同的证明成分，例如识别码和密码”嘛，还是这是证明身份的要求而不是针对电子签名的要求，只要能追溯到身份和签名意义的方式就可以被称作电子签名？我也是觉得这种方式更便捷，所以我们公司推行这种审批方式，但还在调研合规性。我也是觉得法规不是为了满足而满足，整体风险不大的话应该可以尝试，就是不太能分辨哪些是硬性要求，非常感谢

RageAndy

电子签名不是这么理解的，首次登录输入用户名和密码没问题，在登录状态下执行的其他操作动作，可以自动带出用户名，但是执行操作的时候还是需要再输入密码才合规

fanny667

小斌12 发表于 2024-4-24 15:21
按我的理解，PART11貌似也没有必须要每次输入账号密码的硬性规定吧...
审批的时候应该是要先把审批流点开 ...

还有这样操作的

CTT12

RageAndy 发表于 2024-4-24 15:42
电子签名不是这么理解的，首次登录输入用户名和密码没问题，在登录状态下执行的其他操作动作，可以自动带出 ...

啊，感觉关于这个的理解，大家都有差异。那如果我们要用这种审批流程，做下验证和风险评估可以吗？还是直接就不能用？但从实际角度考虑，我觉得这种方式风险不算大并且也更便捷

琦瑞福生

CTT12 发表于 2024-4-24 15:27
是的，我觉得从你列举的这两条来看，不算违背法规，但以下这两条让我有点困惑：
  11.200 电子签名的成 ...

因为这两条是基础，满足这两条其他的不一定都要满足，我们之前请了个咨询老师说的

hoover

如果你们公司面临FDA或者EMA之类的国外审计，就不要用钉钉之类的OA软件来控制GMP的活动，供应商完全不了解制药业面临的监管，供应商的设计也不满足法规要求。

说句题外话，有次要求一个国内供应商提供了一个他们软件的合规性声明，供应商给了一个软件满足Part11的文件。一读，问题大了，对part11的理解基本就没有几条完全正确的，最要命是还有好几条是理解错了。

CTT12

琦瑞福生 发表于 2024-4-24 16:05
因为这两条是基础，满足这两条其他的不一定都要满足，我们之前请了个咨询老师说的

非常感谢，对我很有帮助！

CTT12

hoover 发表于 2024-4-24 16:16
如果你们公司面临FDA或者EMA之类的国外审计，就不要用钉钉之类的OA软件来控制GMP的活动，供应商完全不了解 ...

我们是医疗软件公司，我感觉从追溯性和便利性来讲，既不会影响数据完整性，也方便签批，很难不考虑啊。而且GAMP5的原则不就是基于风险，满足预期用途嘛

sssff

关键操作需要电子签名这是一个双重保险，所以电子签名至少要是一个二次确认，审批流只是系统内的一个功能，登入系统就能去操作，怎么能够算电子签名呢？假设你的登录密码泄露了，别人拿你的账号可以操作普通功能，但是操作不了有电子签名控制的关键功能，你觉得审批流能够实现这个目的吗？

hoover

CTT12 发表于 2024-4-24 17:23
我们是医疗软件公司，我感觉从追溯性和便利性来讲，既不会影响数据完整性，也方便签批，很难不考虑啊。而 ...

你作为一家软件公司，开发制药相关的软件或者用作医疗设备的一部分的软件，如果要出口，还是要认真研究Part11，基本上FDA就按这个查。

GAMP是基于风险，但是有个大前提，就是你的软件先验证了。基于风险是说，在验证的时候，风险低的部分可以简单一些，风险高的部分要严格一些，但是一定要验证。

你的钉钉之类用于OA的系统，绝大多数公司都不会去验证这个的。

歪说歪有李

首先，你确定你是在cGMP的规则下，且出口。
其次，国内有电子签名法。
所以，该咋玩咋玩，别为了玩儿而玩儿。

老K

CTT12 发表于 2024-4-24 15:30
您的观点我非常同意，但在执行过程中，这种审批方式可以被称作电子签名嘛？还是我不能把它称作电子签名， ...

可以称作是电子签名（就像你第2部分所述“审批的文件也可以和电子签名相互链接”这种已经是电子签了）。
在计算机化系统中，个人账户登录进去的每一步操作都默认是账户所有者签名确认的。你提的风评也好验证也好是属于计算机化系统验证范畴。

chixid

CTT12 发表于 2024-4-24 15:38
它不是说“使用至少二种截然不同的证明成分，例如识别码和密码”嘛，还是这是证明身份的要求而不是针对电 ...

可以看看银行柜台主管授权是咋做的。很多是卡加密码，卡实物只放再本人手上，而不是手写账户跟密码。