GxP-Bewertungsfragebogen für die SoftMax Pro GxP Software

Qualitätsmanagementsystem

Wird die Software im Rahmen eines Qualitätsmanagementsystems entwickelt und hergestellt?

Ja, gemäß ISO 9001:2015 Qualitätsmanagementsystem.

Werden harmonisierte oder unternehmensinterne Richtlinien, Handbücher oder Vorgehensmodelle für die Softwareentwicklung verwendet (z. B. Programmier- oder Dokumentationsrichtlinien)?

Das Handbuch zum Qualitätsmanagementsystem (QMSM) und die QMS-Prozesse und -Arbeitsanweisungen sind vorhanden, um Richtlinien für die Programmierung, Entwicklung und Dokumentation bereitzustellen.

Wird die Software exklusiv von Molecular Devices entwickelt? Falls nicht, werden Subunternehmer zertifiziert oder auditiert?

Externe Subunternehmer werden nach den Entwicklungsprozessen von Molecular Devices auditiert und geschult.

Verfügt der Entwickler der Software oder der Systeme über eine angemessene, dokumentierte Aus- und Fortbildung, um die übertragenen Aufgaben zu realisieren?

Entwickler werden auf der Grundlage einer definierten Stellenbeschreibung eingestellt und geschult.

Gibt es interne Audits der Softwareentwicklungsprozesse?

Interne Audits der Softwareentwicklungsprozesse werden routinemäßig durchgeführt, und jede Nichtkonformität löst Korrektur- und Vorbeugemaßnahmen (CAPA) aus.

Systementwicklungs-Lebenszyklus (SDLC)

Verfügt Molecular Devices über einen Systementwicklungs-Lebenszyklusprozess?

Der Produktentwicklungsprozess von Molecular Devices regelt die gesamte Produktentwicklung bei Molecular Devices.

Werden die Ergebnisse der einzelnen Softwareentwicklungsphasen innerhalb des Lebenszyklusmodells ausreichend getestet (Überprüfung der Phasenergebnisse)?

Der Produktentwicklungsprozess von Molecular Devices erfordert eine Überprüfung der Ergebnisse und Leistungen aus den Entwicklungsphasen und aller Leistungen, einschließlich der Ergebnisse, die eine Genehmigung für ihre Vollständigkeit erfordern.

Sind die Softwareanforderungen formal definiert, geprüft und genehmigt?

Allgemeine Softwareanforderungen für ein bestimmtes Produkt sind im Dokument „Spezifikation der Marktanforderungen“ definiert. Die detaillierten Anforderungen werden in einem Subsystem-Anforderungsdokument dokumentiert. Die Anforderungen werden geprüft und genehmigt. Bei agilen Praktiken werden die allgemeinen Anforderungen im Dokument zur Spezifikation der Marktanforderungen erfasst, und die detaillierte Funktionalität wird in ausführbaren Spezifikationstests, den sogenannten Storytests, definiert.

Softwaredesign und -implementierung

Werden während der Softwareentwicklung technische Prüfungen durchgeführt?

Während der Softwareentwicklung werden kritische Entwurfsprüfungen durchgeführt.

Verwenden Sie einen etablierten Standard-Softwareentwicklungs-Lebenszyklus? Wenn ja, welches Modell wird verwendet?

Molecular Devices verwendet den agilen Softwareentwicklungsprozess.

Umfasst der Freigabeprozess für Verbesserungen eine vollständige Dokumentation der neuen Funktionen?

Bei Major- und Minor-Software-Versionen werden alle neuen Funktionen in den Release Notes und, je nach Art und Umfang der Version, auch in den Benutzerhandbüchern dokumentiert.

Gewährleisten die Bewertungspraktiken für gekaufte Produkte die Freiheit von Virusinfektionen?

Standard-Software wie Betriebssysteme und Office-Suiten werden bei geeigneten Händlern gekauft. Alle Produkte, die in der Softwareentwicklung eingesetzt werden, werden auf Entwicklungssystemen evaluiert, und auf den Unternehmensrechnern muss eine definierte Antivirus-Software eingesetzt werden, die alle bekannten Viren identifiziert.

Entsprechen die Quellennachweise schriftlichen Standards (z. B. Bewährte Programmierpraktiken)?

Programmierstandards sind im Qualitätssystem von Molecular Devices dokumentiert. Alle Entwickler werden vor der Arbeit an Softwareprodukten in den Standards geschult.

Werden Softwaredesigns und Quellcode überprüft?

Die Designspezifikationen werden von qualifizierten Softwareentwicklern erstellt und überprüft.

Der Quellcode wird überprüft, um die Einhaltung der Programmierstandards zu gewährleisten.

Bei agilen Praktiken werden die Designs und der Code im Rahmen der Paarprogrammierung und Refactoring-Praktiken ständig überprüft.

Eine separate formale Codeüberprüfung ist nicht gerechtfertigt, da der gesamte Code während der anfänglichen Entwicklung überprüft wird und bei Refactoring-Aktivitäten erneut überprüft wird.

Wenn keine Paarprogrammierung verwendet wird, dann ist eine separate Codeüberprüfung als Teil des Code-Check-in und Build-Prozesses erforderlich.

Sieht der Entwicklungsprozess eine formale Bewertung der eingekauften Produkte und Dienstleistungen vor, indem die technischen Anforderungen spezifiziert werden und die Produkte auf ihre Konformität mit den spezifizierten Anforderungen geprüft werden?

Wenn das Gesamtprodukt die Verwendung einer Komponente beinhaltet, die ein zugekauftes Produkt ist, dann wird das zugekaufte Produkt bewertet, um zu bestätigen, dass es für die beabsichtigte Verwendung geeignet ist. Das Gesamtprodukt wird vor der Freigabe bewertet.

Gibt es Hinweise darauf, dass die Softwareentwicklungsmethodik durch Arbeitsprozesse und Ergebnisse für Folgendes umgesetzt wurde: Softwareanforderungen definieren und dokumentieren? Entwerfen von Software? Entwickeln von Software? Integration von Softwarekomponenten? Tests der Komponenten und des integrierten Produkts? Freigabe und Unterstützung des Produkts?

Ja zu allen Punkten.

Softwaretests

Welche Art von Softwaretests werden durchgeführt?

Die Softwareentwicklung ist verantwortlich für Unit- und Integrationstests. Die Produkttester sind für die Systemtests der Software verantwortlich, wobei der Testumfang in einem Software-Verifizierungsplan beschrieben wird. Die Testprotokolle und die offiziellen Testaufzeichnungen sind für Kunden nur während eines Audits vor Ort in Verbindung mit einer Geheimhaltungsvereinbarung einsehbar.

Zusätzliche Tests eines Softwareprodukts können durch die Mitarbeiter in der Produktanwendung oder durch ausgewiesene Beta-Site-Kunden durchgeführt werden.

Bei den agilen Praktiken der testgetriebenen Entwicklung werden die hohen Anforderungen bei der Erstellung von Storytests verfeinert, um eine ausführbare funktionale Spezifikation zu erstellen, die die zu entwickelnde Anforderung testet. Der Test schlägt zunächst fehl, bis der Code, der die Anforderung erfüllt, geschrieben ist. Die Mitglieder des Kundenteams (Vertreter des Produktmanagements, Domänenexperten, Vertreter der Verifizierungs- und Informationsentwicklung usw.) liefern Beiträge zu den Storytests. Zusätzliche Tests in Form von Sondierungs- und GUI-Tests werden von der Verifizierungsgruppe und anderen Mitgliedern des Kundenteams durchgeführt.

Verfügen Sie über ein Verfahren, das den Testprozess definiert?

Ja, es gibt schriftliche Verfahren zum Testen von Softwareanforderungen.

Werden die Testergebnisse überprüft und genehmigt?

Die Testergebnisse werden von der Software-Qualitätssicherung auf die Abdeckung aller Softwareanforderungen überprüft.

Gibt es Testdokumente für Folgendes: Tests auf Einheitsebene? Tests auf Integrationsebene? Tests auf Systemebene? Struktur- und Funktionstests?

Ja. Je nach Produkt ist die Testtiefe variabel.

Werden die ursprünglichen Testdokumente und Aufzeichnungen aufbewahrt und für Regressionstests verwendet?

Die ursprüngliche Testsuite wird beibehalten und für Regressionstests verwendet. Die ursprünglichen Testaufzeichnungen werden aufbewahrt und nur zum Vergleich mit den Ergebnissen früherer Tests verwendet.

Werden für das Projekt angemessene Software-Verifizierungs- und -Validierungsprozesse verwendet (Testplanung, Testfallermittlung, Testdatengenerierung, Testdurchführung, Testanalyse, Testdokumentation)? Falls ja, sind Testprotokolle und zusammenfassende Testberichte verfügbar?

Verifizierungs- und Validierungspläne und -berichte sind erforderlich und werden in den entsprechenden Entwicklungsphasen genehmigt.

Testpläne und -berichte sind archiviert und verfügbar.

Wer führt die Verifizierung und Validierung durch? Gibt es eine unabhängige Gruppe für diese Arbeit?

Softwaretester und Anwendungswissenschaftler übernehmen die Verifizierung und Validierung. Softwaretester gehören zur Software-Testgruppe.

Wer genehmigt Testpläne, Testprotokolle und Testberichte?

Testdokumente werden durch den Projektmanager, den Produktmanager, den Leiter der Software-Qualitätssicherung und den Software-Leiter genehmigt.

Ist der Zugang zur Testumgebung (Testwerkzeuge, Testdaten) und zur Testdokumentation gewährleistet?

Testwerkzeuge, -daten und -dokumente werden in einem zentralen Repository für alle Softwareprojekte archiviert und sind versionsgesteuert.

Sicherheitskontrollen

Verfügt das Unternehmen über Standards oder Richtlinien für die Erstellung und Pflege der Softwaredokumentation?

Ein zentrales Repository ist für alle Projektdokumente vorhanden.

Ist der Zugang zur Softwareentwicklungsdokumentation gewährleistet?

Der Zugang erfordert eine Berechtigung für das Archivierungssystem.

Ist der Zugang zum Quellcode gewährleistet (falls erforderlich)?

Zugang und Berechtigungen werden durch das Quellcode-Managementsystem durchgesetzt.

Fehlerberichterstattung

Verfügt das Unternehmen über Standards oder Richtlinien für die Erstellung und Pflege der Softwaredokumentation?

Ein zentrales Repository ist für alle Projektdokumente vorhanden.

Gibt es einen formellen Berichtsprozess?

Ein Fehlerverfolgungssystem ist vorhanden.

Wie werden Fehlermeldungen sowie Korrektur- und Verbesserungsvorschläge entgegengenommen und bearbeitet?

Gemeldete Fehler werden in das Fehlerverfolgungssystem eingegeben und gemäß dem in dem Verfolgungssystem definierten Arbeitsablauf bearbeitet.

Wie werden Kunden über den Bearbeitungsstatus informiert?

Kunden werden auf Anfrage über den Bearbeitungsstatus informiert.

Jede Softwareversion enthält Versionshinweise, die eine Liste der gelösten Probleme enthalten.

Änderungskontrolle

Wer genehmigt Softwareänderungen?

Softwareänderungen, die sich auf den Zeitplan des Projekts auswirken, werden vom Portfoliomanagementteam genehmigt.

Gibt es dokumentierte Verfahren zur Änderungskontrolle oder Versionsverwaltung?

Es gibt ein Änderungskontrollverfahren, und alle für das Qualitätsmanagementsystem erforderlichen Projektdokumente werden in einem Versionskontrollsystem archiviert.

Wie werden Kunden in der Verwendung der Systeme von Molecular Devices geschult?

Eine Schulung wird zusammen mit den Instrumenten angeboten. Der Umfang und die Dauer hängen vom jeweiligen Produkt ab. Die Schulung wird je nach Produkt entweder von einem Anwendungswissenschaftler im Außendienst, einem technischen Support-Fachmann oder dem Vertriebsmitarbeiter durchgeführt.

Wie lange unterstützt Molecular Devices eine bestimmte Version von Software oder Hardware?

Molecular Devices bietet in der Regel Hardware- und Software-Support für einen Zeitraum von 5 Jahren nach dem letzten Herstellungsdatum an.

Wie informieren Sie Kunden über neue Versionen?

Kunden erhalten die entsprechenden Einrichtungsinformationen in der mit dem System gelieferten Dokumentation. Kritische Betriebsaktualisierungen werden an Kunden weitergeleitet, die ihre Produkte registrieren. Normale Aktualisierungen und nachfolgende technische Änderungen werden nicht an die Endnutzer veröffentlicht.

Wie melden Kunden Probleme (z. B. Softwarefehler und Instrumentenprobleme)?

support.moleculardevices.com

Wie werden Kundenbeschwerden dokumentiert und gehandhabt?

Alle Beschwerden werden als Fälle in unserem Customer Relationship Management (CRM)-System dokumentiert. Wir kommunizieren per E-Mail und Telefon und schließen den Fall erst, wenn der Kunde zustimmt, dass das Problem gelöst ist.

Systemfunktion

Erzwingt das System die Sequenzierung von Ereignissen, die vordefiniert werden können, wie z. B. im Batch-Sequenz-Management, wenn die Sequenzierung manuell verwaltet wird?

Ja. Datendateien der SoftMax Pro GxP Software können in Tools von Drittanbietern integriert werden, wobei die Systemkonfiguration jedoch in der Verantwortung des Endnutzers liegt.

Verwendet das System Prüfungen, um die Quelle eines Betriebsbefehls abzufragen, damit sichergestellt wird, dass nur eine autorisierte Arbeitsstation oder ein autorisiertes Terminal oder Gerät den Befehl ausgibt?

Gilt nicht für diese Anwendung. Die Systemkonfiguration liegt in der Verantwortung des Kunden. Automatisierungsbefehle erfordern jedoch eine elektronische Anmeldung.

Aufzeichnungsintegrität und Backup

Wie und wann werden Aufzeichnungen auf dauerhaften Medien gespeichert?

Aufzeichnungen werden manuell auf Befehl oder nach Abschluss eines Lesevorgangs gespeichert, wenn Sie die automatische Speicherung verwenden. Der Befehl kann automatisch mit einem robotischen oder automatisierten Befehl ausgeführt werden. Die Software speichert jedes geöffnete Dokument zum Zweck der Datenwiederherstellung alle fünf Minuten in der Datenbank, wobei die temporären Backups gelöscht werden, wenn die Software geschlossen wird.

Können Anwender den Inhalt der Aufzeichnungen ändern, nachdem sie auf einem dauerhaften Medium gespeichert wurden?

Nein, Rohdaten können nicht geändert werden. Änderungen der Reduktions- und Analyseeinstellungen werden über den Audit Trail nachverfolgt.

Können Anwender Aufzeichnungen löschen, die auf dauerhaften Medien gespeichert wurden?

Es obliegt dem Systemadministrator oder der Standardarbeitsanweisung (Standard Operating Procedure, SOP), diese Fähigkeiten einzuschränken. Alle Aufzeichnungen können mit den Einstellungen zum automatischen Speichern gespeichert werden.

Können Administratoren den Inhalt der Aufzeichnungen ändern, nachdem sie auf einem dauerhaften Medium gespeichert wurden?

Nein, Rohdaten können nicht geändert werden. Änderungen der Reduktions- und Analyseeinstellungen werden über den Audit Trail nachverfolgt.

Können Administratoren Aufzeichnungen löschen, die auf dauerhaften Medien gespeichert wurden?

Es obliegt dem Systemadministrator oder der Standardarbeitsanweisung (Standard Operating Procedure, SOP), diese Fähigkeiten einzuschränken.

Ist das System mit Archivierungswerkzeugen und Dienstprogrammen ausgestattet, um Backups elektronischer Aufzeichnungen auf dauerhaften Medien zu erstellen?

Es obliegt dem Systemadministrator oder der Standardarbeitsanweisung (Standard Operating Procedure, SOP), die Backup- und Archivierungsfunktionen zu identifizieren.

Können Kriterien so ausgewählt werden, dass bestimmte Aufzeichnungen für die Archivierung ausgewählt werden können?

Nein. Sobald die Datei archiviert wurde, kann die Aufzeichnung der Datei nicht mehr gelöscht werden.

Kopieren und Abrufen von Aufzeichnungen

In welchem Format und mit welchen Dateitypen werden Aufzeichnungen elektronisch gespeichert?

Rohdaten werden im binären Format gespeichert.

Wie werden Aufzeichnungen von Archivmedien abgerufen und in die Betriebsumgebung geladen?

Die Aufzeichnung wird als Ergebnis des Öffnens einer Datei erstellt.

Bietet das System die Möglichkeit, jede Aufzeichnung elektronisch abzurufen und anzuzeigen oder Berichte über jede elektronische Aufzeichnung in Papierform zu erstellen?

Ja.

Können Aufzeichnungen selektiv abgerufen und zur Überprüfung angezeigt werden?

Ja.

Bietet das System Standardberichtsformate, die an die spezifischen gesetzlichen Berichtsanforderungen angepasst werden können?

Ja. Benutzerdefinierte Datenzusammenfassungen, sogenannte Notes-Abschnitte, sowie Gruppentabellen können ausgedruckt werden.

Erzeugt das System Aufzeichnungen wie Primärdaten, Metadaten, Audit Trails, Benutzerkontoaktivitäten, Sicherheitskonfiguration und die Definition elektronischer Signaturen?

Alle diese Aufzeichnungen können überprüft oder als Berichte erstellt werden.

Speichert das System auch automatisch Metadaten, die die erfassten Primärdaten definieren oder anderweitig einschränken?

Ja.

Kann das System Sicherheitsaktivitäten wie die folgenden melden: Hinzufügen von Benutzern? Löschen von Benutzern? Anmeldeaktivität von Benutzern?

Ja. Alle aufgeführten Aktivitäten werden im Audit Trail des GxP Admin Portal Software-Systems gemeldet.

Die Anmeldeaktivitäten der Benutzer werden auch im Audit Trail der SoftMax Pro GxP Software-Datendatei festgehalten

Kann das System globale Sicherheitsparameter wie die folgenden melden: Anwendungskonfigurationen? Funktionskonfigurationen (wie Sicherheitskonfigurationsbericht)?

Ja. Die Instrumenteneinstellungen und Analyseparameter werden im Audit Trail aufgezeichnet. Für jeden Anwender können Berichte über die Berechtigungsstufen erstellt werden.

Elektronische Aufzeichnungen

Bietet das System eine elektronische Signaturfunktion, die eine rechtsverbindliche handschriftliche Unterschrift auf einer schriftlichen Aufzeichnung ersetzen soll?

Ja. Dies kann im GxP Administrator-Portal konfiguriert werden. Unsere elektronische Signaturfunktion wurde gemäß den Anforderungen von 21 CFR Part 11 entwickelt:

§11,3 Definitionen
(b) Die folgenden Begriffsdefinitionen gelten auch für diesen Teil:

(5) Eine digitale Signatur ist eine elektronische Unterschrift, die auf kryptografischen Methoden zur Authentifizierung des Urhebers beruht und unter Verwendung einer Reihe von Regeln und Parametern so berechnet wird, dass die Identität des Unterzeichners und die Integrität der Daten überprüft werden können.

(7) Eine elektronische Signatur ist eine computergestützte Datenzusammenstellung eines Symbols oder einer Reihe von Symbolen, die von einer Person als rechtsverbindliches Äquivalent zu ihrer handschriftlichen Unterschrift ausgeführt, angenommen oder genehmigt wurde.

Identifiziert die Signaturmanifestation den Unterzeichner klar und eindeutig in menschenlesbarer Form?

Ja. Unsere elektronische Signaturfunktion wurde gemäß den Anforderungen von 21 CFR Part 11 entwickelt:
§11,10 Kontrollen für geschlossene Systeme

(b) Die Fähigkeit, genaue und vollständige Kopien von Aufzeichnungen in menschlich lesbarer und elektronischer Form zu erzeugen, die für die Inspektion, Nachprüfung und Kopie durch die Behörde geeignet sind.

Enthält die elektronische Signatur als Teil der elektronischen Aufzeichnung die folgenden Informationen entweder in menschlich lesbarer oder elektronischer Form: Name des Unterzeichners? Uhrzeit und Datum der Unterzeichnung? Bedeutung der Unterzeichnungshandlung (genehmigen, überprüfen, bescheinigen usw.)?

Ja. Unsere elektronische Signaturfunktion wurde gemäß den Anforderungen von 21 CFR Part 11 entwickelt:

§11,50 Signaturmanifestationen

(a) Unterzeichnete elektronische Aufzeichnungen müssen mit der Unterzeichnung verbundene Informationen enthalten, die eindeutig alle folgenden Angaben enthalten:
1. Der Name des Unterzeichners in Druckbuchstaben;
2. Das Datum und die Uhrzeit der Unterzeichnung; und
3. Die Bedeutung (wie Prüfung, Genehmigung, Verantwortung oder Autorschaft), die mit der Unterschrift verbunden ist.

Bietet das System die Möglichkeit, eine Zeitspanne festzulegen, die einen kontinuierliche Periode für kontrollierten Zugang zum System darstellt?

Ja. Dies kann im GxP Administrator-Portal konfiguriert werden.

Verknüpft die Software eine elektronische Signatur mit der elektronischen Aufzeichnung und stellt sie sicher, dass die Signatur nicht entfernt, kopiert oder abgelehnt werden kann?

Ja. Unsere elektronische Signaturfunktion wurde gemäß den Anforderungen von 21 CFR Part 11 entwickelt:
§11,70 Unterschrift/Aufzeichnung-Verknüpfung

Elektronische Signaturen und handgeschriebene Signaturen, die in elektronischen Aufzeichnungen ausgeführt werden, müssen mit ihren jeweiligen elektronischen Aufzeichnungen verknüpft werden, um sicherzustellen, dass die Signaturen nicht herausgeschnitten, kopiert oder anderweitig übertragen werden können, um elektronische Aufzeichnungen auf übliche Weise zu fälschen.

Erlaubt das System einem Anwender, die für eine bestimmte Signatur reservierten Betriebsberechtigungen für eine andere Person als den eigentlichen Eigentümer außer Kraft zu setzen?

Ja. Bei Risikobewertungen der Datenintegrität von Endnutzern kann die Berechtigung „Signaturen widerrufen“ für eine Rolle im GxP Administrator-Portal konfiguriert werden.

Verlangt das System nach Ablauf der angegebenen Zeit erneut alle Passwortkomponenten?
Verarbeitet das System mehrere elektronische Signaturen einer Person innerhalb eines einzigen, ununterbrochenen Zeitraums des kontrollierten Systemzugangs wie folgt: Erste Unterzeichnung (erfordert ALLE elektronischen Signaturkomponenten für den Signiervorgang)? Nachfolgende Unterzeichnungen (erfordern mindestens eine elektronische Signaturkomponente, und wenn ja, welche)?

Unsere elektronische Signaturfunktion wurde gemäß den Anforderungen von 21 CFR Part 11 entwickelt:

§11,200 Komponenten und Kontrollen der elektronische Signatur

(a) Elektronische Signaturen, die nicht auf Biometrie basieren, müssen:

(1) Verwenden Sie mindestens zwei verschiedene Identifikationskomponenten, wie einen Identifikationscode und ein Passwort.
(i) Wenn eine Person eine Reihe von Signaturen während eines einzigen, kontinuierlichen Zeitraums des kontrollierten Systemzugriffs ausführt, muss die erste Signatur unter Verwendung aller Komponenten der elektronischen Signatur ausgeführt werden; nachfolgende Signaturen müssen unter Verwendung mindestens einer Komponente der elektronischen Signatur ausgeführt werden, die nur von dieser Person ausgeführt werden kann und verwendet werden darf.
(ii) Wenn eine Person eine oder mehrere Signaturen ausführt, die nicht während eines einzigen, kontinuierlichen Zeitraums des kontrollierten Systemzugriffs durchgeführt werden, dann muss jede Signatur unter Verwendung aller elektronischen Signaturkomponenten ausgeführt werden.

Sicherheit

Verwendet die nichtbiometrische Anmeldung mindestens zwei verschiedene Komponenten, z. B. einen Identifizierungscode (Benutzer-ID) und ein Passwort?

Ja.

Verlangt die Passwortfunktionalität die Verwendung von genügend Zeichen und ausreichendem Inhalt, um zu verhindern, dass ein Passwort erraten werden kann?

Es sind mehrere Optionen für die Passwortstärke verfügbar, die im GxP Admin Portal konfigurierbar sind.

Überprüft das Sicherheitssystem die Einzigartigkeit jeder Kombination von Benutzer-ID und Passwort im System und lehnt Duplikate ab?

Ja, es prüft auf eine eindeutige Benutzer-ID und lehnt Duplikate ab.

Verlangt das System eine Kombination aus einer eindeutigen Benutzer-ID und einem Passwort, um Zugang zur Anwendung zu erhalten oder um eine Funktion auszuführen?

Ja. Alle Benutzer benötigen einen eindeutigen Benutzernamen und ein Passwort.

Ist die Datei mit den Passwörtern verschlüsselt, so dass der Administrator den Inhalt der Passwörter nicht lesen kann?

Ja.

Protokolliert das Sicherheitssystem alle Ereignisse der Sicherheitsadministration und des kontrollierten Zugangs, unabhängig davon, ob sie erfolgreich oder erfolglos waren, in einer Aufzeichnung?

Ja. Der System Audit Trail der GxP Admin Software erfasst die Anwendungsaktivitäten, einschließlich der Ereignisse zur Erstellung, Änderung und Löschung von Dateien, und die SoftMax Pro GxP Software erfasst dokumentenspezifische Aktivitäten.

Unterstützt das System die Alterung von Passwörtern mit Einschränkungen bei der Wiederverwendung früherer Passwörter?

Ja.

Kann mehr als ein Bediener gleichzeitig am System angemeldet sein?

Ja, für eine Umgebung mit mehreren Computern (Einzelserver).

Nein, für eine Umgebung mit einem einzelnen Computer.

Unterstützt das System ein automatisches Timeout bei Inaktivität?

Ja. Dies kann in der GxP Admin Portal Software konfiguriert werden.

Ist der Timeout-Zeitraum konfigurierbar?

Ja. Dies kann in der GxP Admin Portal Software konfiguriert werden.

Welche Schritte sind erforderlich, um das System nach einem Timeout wieder zu aktivieren, insbesondere wenn der Timeout während einer Transaktion auftritt?

Der Anwender muss ein Passwort eingeben, um sich am System anzumelden. Nach einem Timeout läuft das Instrument weiter, aber der Bedienereingriff wird verhindert, bis ein autorisiertes Benutzerpasswort eingegeben wird.

Prüfpfad

Erzeugt das System automatisch mit Zeitstempeln versehene Audit Trails, die Transaktionen aufzeichnen, die elektronische Aufzeichnungen erstellen, löschen oder verändern?

Ja. Die Audit Trail-Funktionalität unseres Systems wurde gemäß den Anforderungen des 21 CFR Part 11 entwickelt:

§11,10 Kontrollen für geschlossene Systeme

(e) Verwendung sicherer, computergenerierter Audit-Trails mit Zeitstempel zur unabhängigen Aufzeichnung von Datum und Uhrzeit von Bedienereinträgen und Aktionen, die elektronische Datensätze erstellen, ändern oder löschen. Änderungen an Aufzeichnungen dürfen zuvor aufgezeichnete Informationen nicht verdecken. Diese Audit Trail-Dokumentation muss mindestens so lange aufbewahrt werden, wie dies für die betreffenden elektronischen Aufzeichnungen erforderlich ist, und muss für die Prüfung und das Kopieren durch die Behörde zur Verfügung stehen.

Werden in den Audit Trails die folgenden Informationen aufgezeichnet: Uhrzeit und Datum der Transaktion? Identität des Anwenders/Bedieners? Anwender-/Bedieneraktion ausgeführt (erstellt, gelöscht, geändert)?

Die Aufzeichnung wird als Ergebnis des Öffnens einer Datei erstellt.

Ist der Audit Trail Teil der primären Aufzeichnung?

Ja.

Handelt es sich bei dem Audit Trail um eine separate elektronische Aufzeichnung?

Nein.

Ist der Audit Trail gegen absichtliche und unabsichtliche Nutzereingriffe, einschließlich „Superuser“-Aktivitäten, gesichert?

Ja.

Bewahrt das System alle früheren Versionen der authentifizierenden Aufzeichnungen nach deren Änderung oder Löschung auf?

Nein. Der Kunde muss SOPs für die Archivierung aufeinanderfolgender Dokumentversionen implementieren. Der Audit Trail verfolgt Änderungen an einer bestimmten Datei. Die SoftMax Pro GxP Software kann ein vorhandenes Dokument nicht überschreiben.

Gibt es Einschränkungen, die verhindern, dass der Audit Trail während der gesamten Lebensdauer der Aufzeichnung aufbewahrt wird?

Nein.

Ruft das System genaue und vollständige Kopien des Audit Trails (eine elektronische Aufzeichnung) ab und zeigt sie in menschenlesbarer und elektronischer Form so an, dass sie zur Überprüfung, Ansicht und Kopieren in ein „Mitnahme“-Format geeignet sind?

Ja.