Подделка подписей и биометрия в 21 CFR Часть 11

Question

Подделка подписей и биометрия в 21 CFR Часть 11

В 21 CFR Part 11, раздел 11.200 изложены требования к электронным подписям, особенно

(а) Электронные подписи, которые не основаны на биометрических данных, должны:
[...]
(3) Управление и исполнение для обеспечения того, чтобы попытка использования электронной подписи лица кем-либо, кроме его подлинного владельца, требовала сотрудничества двух или более лиц.

Мы интерпретируем это как требующее, чтобы два администратора сбросили пароль пользователя (в противном случае один администратор мог бы сбросить пароль пользователя самостоятельно, а затем успешно фальсифицировать)

Но при использовании биометрии требования оказываются гораздо слабее:

(b) Электронные подписи, основанные на биометрических данных, должны быть разработаны таким образом, чтобы гарантировать, что они не могут быть использованы кем-либо, кроме их подлинных владельцев.

Это означает, что в случае аутентификации по отпечатку пальца один администратор может сбросить только отпечатки пальцев и затем фальсифицировать их.

Как вы выполнили это требование? Мы испытываем искушение просто игнорировать (б), потому что он выглядит довольно слабым, и относиться к биометрии как к паролям.

1

biometrics electronic-signature 21cfr11

Источник

user76349 28 сен '17 в 14:19

1 ответ

Другие вопросы по тегам biometrics electronic-signature 21cfr11

user266252 03 ноя '17 в 21:18 2017-11-03 21:18 · Answer 1 · 2017-11-03 21:18

Хотя я не юрист, я бы интерпретировал это следующим образом:

(а.3) ... "использование электронной подписи какого-либо лица кем-либо, кроме его подлинного владельца, требует сотрудничества двух или более лиц".

Раздел (а.3) может относиться к опекуну и свидетелю, подписывающему документ от имени пациента.

(б)... "не может использоваться кем-либо, кроме своих подлинных владельцев"

Принимая во внимание, что (б) четко указывает, что никто, кроме пациента, не может использовать свою биометрическую электронную подпись.

Или же,

(a) Электронные подписи на основе идентификатора пользователя / пароля могут использоваться другими лицами от имени пациента.

(b) Электронные подписи, основанные на биометрии, не могут быть использованы другими.

Или, для вашего примера

(a) Электронная подпись, основанная на идентификаторе пользователя / пароле, может быть сброшена, но при этом требуется, по крайней мере, инициатор сброса и свидетель, чтобы гарантировать, что этот сброс заслуживает доверия.

(b) Электронная подпись на основе биометрии может быть сброшена только пользователем.

В целом, я бы истолковал (b), что у него есть более жесткие ограничения, чем (а).