Die Hamilton Services AG bestätigt, für ihre Mitarbeiter und die Mitarbeiter der Unternehmen Hamilton Medical AG, Hamilton Bonaduz AG und all ihrer Tochtergesellschaften eine digitale Signaturlösung anzubieten, die den Anforderungen der Food and Drug Administration (CFR 21 Part 11) entspricht und alle Vorgaben des entsprechenden Gesetzes erfüllt.
Details zur Anwendung von Part 11
Um die Anforderungen der FDA Part 11 zu erfüllen, müssen digitale Signaturen in der Lage sein, elektronische Aufzeichnungen und Signaturen elektronischer Aufzeichnungen zu authentifizieren, zu prüfen und zu validieren, um die Integrität und Vertraulichkeit der aufgezeichneten Daten und Signaturen zu gewährleisten. Unsere digitale Signaturlösung ermöglicht dies durch den Einsatz von starker Kryptographie, sicheren Signaturerstellungssystemen und Zertifikaten. Die genutzte PKI wurde durch die Hamilton zusammen mit externen Spezialisten eingerichtet und nach den entsprechenden Standards abgesichert.
Die bei Hamilton eingesetzte Lösung ist ein geschlossenes System gem. der Definition in § 11.3 b) (4), welche sämtliche Vorgaben gemäss Sektion § 11.10 und § 11.70 erfüllt. Die Manifestation der Signaturen entspricht den Vorgaben von Sektion § 11.50. Die allgemeinen Anforderungen gemäss § 11.100 sind erfüllt, insbesondere die Schulung der Nutzer sowie die persönliche Identitätsprüfung. Die Lösung basiert nicht auf Biometrie, die Zugriffskontrolle zum Zertifikat ist daher gemäss Vorgaben der Sektion § 11.200 a) gesichert. Die Regelungen zur Sicherung des Zugriffs von passwortbasierten Zertifikaten gemäss § 11.300 sind lückenlos umgesetzt.
Nachweise, dass die Signatur den oben genannten Angaben entsprechen sind jederzeit an autorisierte Personen möglich. Dies erfolgt gemäss Sektion § 11.1 e) der Part 11.
CFR - Code of Federal Regulations Title 21 (fda.gov)
Details zur Prüfung der Gültigkeit einer Signatur
Die fortgeschrittene Signatur basiert auf einer lokalen Infrastruktur zur Ausstellung der Zertifikate, eine sogenannte Public Key Infrastructure. Die Infrastruktur zur Ausstellung der Zertifikate für die Signaturen untersteht der alleinigen Kontrolle der Hamilton und nutzt zeitgemässe Sicherheitsstandards (die Hamilton Service AG ist ISO 27'001 zertifiziert).
Prinzipbedingt können signierte Dokumente nicht ausserhalb dieser Infrastruktur verlässlich überprüft werden, ohne dass das zugehörige Ursprungszertifikat (das sog. Root-Zertifikat) zur Verfügung gestellt wird. Das Zertifikat sowie die Anleitung mit den Anweisungen für die Prüfung der Signatur sind auf der Webseite https://pki.hamilton.ch veröffentlich. Anwender ausserhalb der Hamilton wird empfohlen, die in der Anleitung aufgeführten Massnahmen durchzuführen, damit Zertifikate überprüft werden können.
Die Anleitung wird bei Bedarf (z.B. bei Umbau des Signaturprozesses) angepasst.