Food and Drug Administration CFR Titre 21 Partie 11

Vue d’ensemble du titre 21 de la FDA CFR

Le Code of Federal Regulations (CFR) contient les règles et réglementations applicables aux départements exécutifs et aux agences du gouvernement fédéral des États-Unis. Chacun des 50 titres du CFR traite d’un domaine réglementé différent.

Le titre 21 de la FDA CFR régit les aliments et les médicaments fabriqués ou consommés dans le États-Unis, sous la juridiction de la Food and Drug Administration (FDA), de la Drug Enforcement Administration, et de l’Office of National Drug Control Policy. Les règlements décrits dans la partie 11 du titre 21 du CFR définissent les règles de base pour les systèmes technologiques qui gèrent les informations utilisées par les organisations soumises à la surveillance de la FDA. Tout système technologique qui régit des processus GxP tels que les bonnes pratiques de laboratoire (GLP), les bonnes pratiques cliniques (GCP) et les bonnes pratiques de fabrication (BPF) nécessite également la validation de son adhésion à GxP.

Le titre 21, partie 11 du CFR, établit des exigences pour s’assurer que les enregistrements et signatures électroniques sont des substituts dignes de confiance, fiables et équivalents aux enregistrements papier et aux signatures manuscrites. Il propose également des lignes directrices pour améliorer la sécurité des systèmes informatiques dans les industries réglementées par la FDA. Les entreprises concernées doivent prouver que leurs processus et produits fonctionnent comme prévu, et si ces processus et produits changent, elles doivent revalider cette preuve. Les recommandations relatives aux bonnes pratiques couvrent les points suivants :

  • Procédures et contrôles d’exploitation standard qui prennent en charge les enregistrements et signatures électroniques tels que la sauvegarde des données, la sécurité et la validation du système informatique.
  • Fonctionnalités qui garantissent que le système informatique est sécurisé, contient des pistes d’audit pour les valeurs de données et garantissent l’intégrité des signatures électroniques.
  • Validation et documentation qui fournissent la preuve que le système fait ce qui est prévu et que les utilisateurs peuvent détecter quand le système ne fonctionne pas comme prévu.

Microsoft et FDA CFR Title 21

Les services cloud d’entreprise Microsoft font l’objet d’audits soc 1 de type 2 et SOC 2 de type 2 indépendants et sont certifiés conformément aux normes ISO/IEC 27001 et ISO/IEC 27018.

Bien que ces audits et certifications réguliers ne se concentrent pas spécifiquement sur la conformité réglementaire de la FDA, leur objectif et leurs objectifs sont similaires par nature à ceux du CFR Title 21 Part 11, et servent à garantir la confidentialité, l’intégrité et la disponibilité des données stockées dans les services cloud Microsoft. Notre approche de qualification est également basée sur les meilleures pratiques de l’industrie, notamment la série de guides de bonnes pratiques de l’International Society for Pharmaceutical Engineering (ISPE) GAMP et les bonnes pratiques du Pharmaceutical Inspection Cooperation Scheme (PIC/S) Good Practices for Computerized Systems in Regulated GxP Environments.

Les clients peuvent demander l’accès aux rapports de conformité, sous réserve des conditions générales du contrat de non-confidentialité, par le biais de leur représentant de compte Microsoft ou du portail d’approbation de service.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Bien qu’il n’existe aucune certification pour se conformer au CFR Title 21 Part 11, les services cloud d’entreprise Microsoft suivants ont fait l’objet d’audits tiers indépendants, qui peuvent aider les clients dans leurs efforts de conformité. Ces services sont les suivants :

Audits, rapports et certificats

Les rapports d’audit pour les normes SOC 1 et SOC 2 Type 2, ISO/IEC 27001 et ISO/IEC 27018 témoignent de l’efficacité des contrôles que Microsoft a mis en place et peuvent aider les clients à se conformer à la FDA CFR Title 21 Part 11.

Foire aux questions

À qui la norme s'applique-t-elle ?

Fda CFR Titre 21 Partie 11 s’applique aux organisations avec des produits et services qui traitent des aspects réglementés par la FDA de la recherche, étude clinique, maintenance, fabrication, et distribution de produits de la science de la vie.

Comment les services cloud d’entreprise Microsoft démontrent-ils la conformité avec la FDA CFR Title 21 Part 11 ?

À l’aide des audits formels préparés par des tiers pour SOC 1 Type 2, SOC 2 Type 2, ISO/IEC 27001 et ISO/IEC 27018, Microsoft est en mesure de montrer comment les contrôles pertinents notés dans ces rapports répondent aux exigences.

Les contrôles audités implémentés par Microsoft permettent de garantir la confidentialité, l’intégrité et la disponibilité des données, et correspondent aux exigences réglementaires applicables définies dans le titre 21 partie 11 qui ont été identifiées comme étant la responsabilité de Microsoft. Les instructions de qualification pour Azure et Office 365 détaillent la façon dont les contrôles d’audit Microsoft correspondent à ces exigences.

Comment puis-je obtenir des copies des rapports de l’auditeur ?

Le portail d’approbation de services fournit des rapports de conformité audités indépendamment. Vous pouvez utiliser le portail pour demander des rapports d’audit afin que vos auditeurs puissent comparer les résultats des services cloud de Microsoft avec vos propres exigences légales et réglementaires.

Puis-je utiliser la conformité de Microsoft dans le processus de certification pour mon organization ?

Oui. Les rapports de conformité tiers indépendants des normes IEC/ISO 27001, ISO/IEC 27018, SOC 1 et SOC 2 témoignent de l’efficacité des contrôles Microsoft. Les clients du cloud d’entreprise Microsoft peuvent utiliser les contrôles audités décrits dans ces rapports connexes dans le cadre de leurs propres efforts d’analyse des risques et de qualification cfr titre 21 partie 11. Les clients qui créent et déploient des applications soumises à la réglementation de la FDA sont chargés de s’assurer que leurs applications répondent aux exigences de la FDA.

Quelles sont les responsabilités de Microsoft en termes de respect de la conformité à cette norme ?

Microsoft s’assure que ses services cloud d’entreprise respectent les conditions définies dans les Conditions des services en ligne et les Contrats de niveau de service (SLA) applicables. Ces termes définissent notre responsabilité en matière de mise en œuvre et de maintenance de contrôles adéquats pour sécuriser et surveiller le système.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources