Posts tagged ‘Firmas electrónicas’

En más de una oportunidad hemos hablado de la importancia del cumplimiento de las buenas prácticas de documentación (GDocP) para garantizar la precisión, integridad, consistencia y confiabilidad de los registros y datos a lo largo del ciclo de vida de los mismos.  Esto requiere que la documentación sea atribuible, legible, registrada al mismo tiempo, original y precisa (lo que llamamos ALCOA).

Hoy quiere focalizarme en la primera de las características: Atribuible, y pensar no solo en los sistemas electrónicos sino también en los registros en papel y además veamos algunos ejemplos. Veamos algunas conceptos de la WHO.

Atribuible: ¿Quién adquirió los datos o realizó una acción y cuándo?

La atribución de acciones en registros en papel debe ocurrir, según corresponda, mediante el uso de:

  • Iniciales;
  • Firma manuscrita completa;
  • Fecha y, cuando sea necesario, hora.

La atribución de acciones en registros electrónicos debe ocurrir, según corresponda, mediante el uso de:

  • Inicios de sesión de usuarios únicos que vinculen al usuario a acciones que crean, modifican o eliminan datos;
  • Firmas electrónicas únicas (pueden ser biométricas o no biométricas);
  • Un Audit Trail (Pista de auditoría) que debe capturar la identificación del usuario (ID), actividad y la fecha y hora;

Consideraciones especiales de administración de riesgos para los controles para garantizar que las acciones y los registros se atribuyan a una persona única:

  • Para firmas legalmente vinculantes, debe haber un vínculo seguro y verificable entre la firma de la persona única, identificable (real) y el evento de firma.
  • Las firmas deben ejecutarse en el momento de la revisión o realización del evento o acción que se está registrando.
  • El uso de imágenes digitales almacenadas de la firma manuscrita de una persona para firmar un documento no es aceptable. Esta práctica compromete la confianza en la autenticidad de estas firmas cuando estas imágenes almacenadas no se mantienen en un lugar seguro, cuyo acceso está limitado solo a la persona asignada. Correos electrónicos donde otros puedan copiarlos y reutilizarlos fácilmente.
  • Se desaconseja el uso de sistemas híbridos, pero donde los sistemas heredados están a la espera de ser reemplazados, se deben implementar controles de mitigación. Se debe evitar el uso de contraseñas de inicio de sesión compartida y genérica para garantizar que las acciones documentadas en registros electrónicos puedan atribuirse a un individuo único. Cuando dichos controles técnicos no están disponibles o no son factibles, por ejemplo, en sistemas electrónicos heredados o donde el inicio de sesión terminaría una aplicación o detendría la ejecución del proceso, deberían usarse combinaciones de registros en papel y electrónicos para cumplir con los requisitos para atribuir acciones a los individuos involucrados.
  • Es probable que el enfoque híbrido sea más riesgoso que un enfoque completamente electrónico; por lo tanto, se recomienda utilizar firmas electrónicas, siempre que estén disponibles. Por ejemplo, la ejecución y atribución de un registro electrónico mediante el adjunto de una firma manuscrita se puede realizar a través de un medio simple que crearía un formulario controlado de una sola página asociado con los procedimientos escritos para el uso del sistema y la revisión de datos. El documento debe enumerar el conjunto de datos electrónicos revisados y cualquier metadata sujeta a revisión, y proporcionará campos para el autor, el revisor y / o el aprobador del conjunto de datos para insertar una firma manuscrita. Este registro en papel con las firmas escritas a mano se debe vincular de forma segura y rastreable al conjunto de datos electrónico.
  • La sustitución de sistemas híbridos debe ser una prioridad.
  • El uso de un escriba para registrar una actividad en nombre de otro operador debe considerarse solo de manera excepcional. El registro de supervisión debe ser simultáneo con la tarea que se está realizando y debe identificar tanto a la persona que realiza la tarea observada como a la persona que completa el registro. La persona que realiza la tarea observada debe refrendar el registro siempre que sea posible, aunque se acepta que este paso de refrendación será retrospectivo.