Etiket Baskısında FDA 21 CFR Part 11 Uyumluluğu — Beyaz Kâğıt

Bu, kamuya açık bir beyaz kâğıttır. İçindeki mimari özet bilinçli olarak bir kalite güvence incelemecisini veya tedarik liderini tatmin edecek kadar — ve bilinçli olarak uygulama ayrıntılarından uzak. Gizlilik anlaşması altında bir mühendislik incelemesi için enterprise@labelinn.com ile iletişime geçin.

30 saniyelik özet

Düzenlenmiş üretimde kullanılan çoğu etiket-baskı yazılımı, 1990'lardan kalma bir Windows masaüstü uygulamasıdır ve denetim özellikleri on yıl sonra üzerine eklenmiştir. Tüm eski sistemlerin çalıştığı gibi çalışır: operatör bir tasarımcı açar, bir değeri değiştirir, basma tuşuna basar. Denetim günlüğü bir baskının yapıldığını kaydeder. Etikette gerçekte ne olduğunu kaydetmez.

Bu boşluk FDA 483 mektuplarının çıktığı yerdir. Bir denetçi basılmış bir örneği çeker, kayıttaki şablonla karşılaştırır ve basılan parti numarasının 260000 dediğini görür — oysa kayıtlı şablon 6000 diyor. Denetim izi o saatte bir baskının yapıldığını doğrular. Neyin basıldığını doğrulayamaz. Oyun bitti.

LabelInn bu boşluğu mimari olarak kapatır. Her baskı olayı, render motoru bayt üretmeye başladığı anda yakalanır — şablonun kaydedildiği anda değil. Yakalanan yük, donanım destekli bir sırdan türetilen kiracıya özel bir anahtarla imzalanır, hash zincirli bir deftere yazılır ve bağımsız bir zamanlanmış süreç tarafından her 24 saatte bir doğrulanır. İmza, zincir ve eleman bazlı değer paketi birlikte, bir denetçinin yazılımımızı hiç açmadan okuyabileceği bir kanıt paketi oluşturur.

Aynı mimari, operatörün kritik yolunda sıfır milisaniye ek maliyetle çalışır. Uyumluluk hattı yavaşlatmaz.

1. Etiket baskısı neden GxP'de yetersiz denetlenen yüzeydir

Çoğu Part 11 konuşması Laboratuvar Bilgi Yönetim Sistemleri (LIMS), Üretim Yürütme Sistemleri (MES) ve Elektronik Parti Kayıtları (EBR) etrafında döner. Paketleme hattındaki yazıcıdan çıkan etiketler — parti numarasını, son kullanma tarihini, seri numarasını, UDI'yi taşıyanlar — genellikle bu sistemlerin alt artefaktları olarak ele alınır. MES ne derse etiket onu basar. Operatör baskı diyaloğuna ne yazarsa etiket onu basar.

Bu varsayım iki belirgin şekilde yanlıştır:

1. Baskı diyaloğu düzenlenebilirdir. Şablon kilitli olsa bile neredeyse her ticari etiket baskı uygulaması, operatörün baskı zamanında değerleri geçersiz kılmasına izin verir. Geçersiz kılma kayıt sisteminde nadiren yakalanır. MES görmez. EBR görmez. Denetim günlüğü "14:32'de X etiket basıldı" der ve fazlası değil.
2. Baskının kendisi kayıt artefaktıdır. Bir denetçi MES ekranınızı denetlemez. Fiziksel ürün üzerindeki fiziksel etiketi denetler. İkisi birbirinden ayrılırsa — ve düzenli olarak, kimsenin niyetinde olmayan şekillerde ayrılırlar — denetim izinin gerçekten etikette ne olduğunu yeniden yapılandırabilmesi gerekir, yukarı akıştaki sistemin ne demesi gerektiğini değil.

LabelInn tam olarak bu yüzey için tasarlandı.

2. Bu belgede "uyumluluk" ne demek

21 CFR Part 11'in iki operasyonel yarısı vardır: elektronik kayıtlar (Subpart B) ve elektronik imzalar (Subpart C). Etiket baskı yüzeyi her ikisine de dokunur:

• Elektronik kayıtlar (§11.10): sistem doğru, eksiksiz ve bilgisayar tarafından oluşturulan kayıtlar üretmelidir; tutma süresi boyunca okunabilir ve geri alınabilir kalmalarını sağlayacak şekilde korunmalı; rol bazlı erişim uygulamalı; güvenli, zaman damgalı bir denetim izi tutmalı; ve kayıtların kendisi için değişiklik kontrolü içermelidir.
• Elektronik imzalar (§11.50, §11.70, §11.100, §11.200, §11.300): elektronik olarak imzalanmış herhangi bir eylem, imzanın ayrılmasını veya kopyalanmasını önleyecek şekilde kaydına bağlı olmalı; imzalayanın adını, tarih ve saatini ve imzanın anlamını içermelidir; imza tezahürü en az iki farklı tanımlama bileşeni gerektirmelidir.

ALCOA+ veri bütünlüğü rehberinden (FDA Veri Bütünlüğü Rehberi, 2018) ek beklentiler her yerde geçerlidir: her elektronik kayıt Atfedilebilir, Okunabilir, Çağdaş, Orijinal, Doğru, Eksiksiz, Tutarlı, Dayanıklı ve Erişilebilir olmalıdır.

Bu makalenin geri kalanı, LabelInn mimarisinin her birini nasıl karşıladığını — ve yük taşıyan mühendislik kararlarının nerede yaşadığını anlatır.

3. Mimari, katman katman

3.1 Kurcalama-kanıtı denetim izi (hash zincirli defter)

Her düzenlenmiş olay — baskı gönderimi, baskı tamamlama, rol değişikliği, şablon yayınlama, oturum açma, entegrasyon bağlantı/kesme, uyumluluk politikası değişikliği — kiracıya özel, yalnız-ekleme bir deftere yazılır. Her giriş, önceki girişin kriptografik hash'ini içerir. Zincir bağımsız bir zamanlanmış doğrulayıcı tarafından her 24 saatte bir yeniden hesaplanır ve sonucun kendisi deftere yazılır. Kurcalanmış bir giriş, doğrulayıcının zaman damgası ve oturumu tutan operatörle birlikte yüzeye çıkardığı tam olarak bir konumda zinciri kırar.

Bu, hash'leme açık bir günlükleme kütüphanesi değildir. Denetim kaydını kendini savunan hale getirmek için bilinçli bir karardır: bir denetçinin çektiği aynı kanıt paketi, hem girişleri hem de girişlerin yazıldıklarından beri değiştirilmediğini kanıtlayan zincir-doğrulama sertifikalarını içerir.

3.2 Kayıt başına kriptografik imzalar (HMAC)

Her baskı kaydı, kayıt yazıldığı anda hesaplanan bir HMAC imzası taşır. Bu imzaları hesaplamak için kullanılan anahtarlar, yönetilen bir Donanım Güvenlik Modülünde tutulan tek bir ana sırdan kiracı başına türetilir — kiracıya bağlı bir info dizesi ile HKDF-SHA256 kullanılarak. Türetilmiş anahtarlar imzalama hizmetinin kriptografik sınırını asla terk etmez.

Operasyonel olarak ne anlama gelir: bir denetçi (veya bir iç denetçi) herhangi bir tek baskı kaydının imzasını ana sıra karşı uygulamaya hiç ihtiyaç duymadan doğrulayabilir. İmza düzenlenmiş alanları kapsar — şablon kimliği ve snapshot sürümü, yazıcı kimliği, medya spesifikasyonu, etiket sayısı, operatör kimliği, zaman damgaları ve kritik olarak, aşağıda tartışılan eleman bazlı render edilmiş değerler. Veritabanına yazma erişimi kazanan bir saldırgan yeni bir imza üretemez; anahtar veritabanında hiç bulunmadı.

3.3 Eleman bazlı render edilmiş değer yakalama

Bu, bölüm 1'de açıklanan eski boşluğu kapatan mühendisliktir. Render motoru bir baskı işi için bayt üretmeye başladığı anda, sistem etiketteki her dinamik elemanın çözülmüş değerinin anlık görüntüsünü alır — şablonda kayıtlı değeri değil, operatörün gerçekten ekranda gördüğü değeri. İmzalanan ve denetim kaydına yazılan budur.

Bir operatör baskı sırasında statik bir metin elemanını elle 6000'den 260000'a düzenlerse, denetim kaydı 260000'ı gösterir. Kalite paneli daha sonra kayıtlı şablon ile render edilmiş sonuç arasındaki sapmayı, bir gözden geçirme sırasında atlanması imkansız renkli bir banner ile vurgular. Aynı pano, her baskının saved-vs-printed yan-yana yeniden inşasını tarih, hat, operatör, parti numarası veya şablon snapshot'ı ile sorgulanabilir şekilde sunar.

Bu yakalamanın operatörün kritik yolundaki maliyeti sıfırdır. Anlık görüntü mevcut render hattıyla aynı bellek karesinde çalışır; denetim yazımı baytlar yazıcıya gittikten sonra eşzamansız olarak gerçekleşir.

3.4 Yeniden kimlik doğrulamalı e-imza kapısı

Bir imzalama olayı gerektiren baskı eylemleri (müşterinin kiracısı için açtığı Part 11 kontrollerine göre), baytlar yazıcıya ulaşmadan önce uygulama içi bir onay kuyruğuna yönlendirilir. İmzalayana, yetkilendirmek üzere oldukları baskının tam yeniden inşası sunulur — şablon snapshot'ı, çözülmüş eleman değerleri, başlatan operatör, zaman damgası — ve imza kabul edilmeden önce yapılandırılabilir bir tazelik penceresi içinde yeniden kimlik doğrulaması yapması gerekir. İmza, ayrı bir nesne olarak baskı kaydına bağlanır — aynı hash zinciri mekanizmasıyla: ayrılma tespit edilebilir, kopya kiracıya özel anahtar olmadan imkansızdır.

İki farklı tanımlama bileşeni uygulanır (§11.200): imzalayanın hesap kimlik bilgileri ve oturumlarının tazelği. İkinci faktör gerektiren kuruluşlar için platform, yeniden kimlik doğrulama adımında TOTP, push veya donanım anahtarı MFA için müşterinin kimlik sağlayıcısıyla entegre olur.

3.5 Güvenli varsayılanlarla kiracı başına uyumluluk politikası

Aynı mimari, farklı düzenleyici duruşlardaki müşterilere hizmet eder. Bir tüketici malları paketleyicisinin imzalama yüküne ihtiyacı yoktur; bir Sınıf II tıbbi cihaz üreticisinin her baskının kapılı olması gerekir. Her kiracının uyumluluk politikası, dört ön ayardan birini seçen sahip-yazılabilir bir nesnedir:

• Kapalı — Denetim günlüğü + HMAC imzaları + zincir doğrulama ücretsiz çalışır, ancak operatör arayüzü değişmez. Sürtünme yok, tam pasif kanıt.
• Temel — Denetim + HMAC + zincir + kurcalama uyarıları. Operatörler hâlâ onaysız baskı yapar.
• FDA Part 11 — Her baskı e-imza kapısından geçer, operatör arayüzü galeri görünümüne kilitlenir, parti numaraları gereklidir, scan-to-verify gerekir, 10 yıllık saklama.
• GHS Kimyasal — Tehlike piktogramları enjekte edildiğinde kilitlenir, scan-to-verify gerekir, 5 yıllık saklama, operatör modu açık.

Kiracının sahibi — ve yalnızca sahibi — politikayı değiştirebilir. Her değişiklik, değiştirilen alanların farkı, hareket eden hesap ve bir zaman damgasıyla birlikte hash zincirli deftere yazılır.

3.6 Talep hızlı yolu ile rol bazlı erişim

Düzenlenmiş yüzeyin izin kontrolleri, her istekte veritabanı aramalarından değil, kimlik doğrulama zamanında ayarlanan kriptografik olarak imzalanmış kimlik taleplerinden çalışır. Bu hem bir performans kararıdır (sıcak yol üzerinde sıfır veritabanı okuması) hem de bir güvenlik kararıdır (bir veritabanı ihlali ayrıcalıkları yükseltemez; talep katmanı bağımsızdır).

Rol değişiklikleri belirleyici bir süreçten yayılır: kayıt rolü yazılır, bant dışı bir senkronizasyon hizmeti kimlik taleplerini günceller, etkilenen hesaptan gelen bir sonraki istek yeni talepleri kullanır. Yayılma gecikmesi normal yük altında alt-saniyedir ve kendisi Part 11 denetimli bir olaydır.

4. Kanıt paketi — bir denetçinin gerçekten gördüğü

Bir denetçi geldiğinde Kalite ekibi, söz konusu tarih aralığı veya parti için tek bir imzalı PDF üretir. PDF şunları içerir:

• Bir özet başlığı: kiracı, saklama sınıfı, zincir durumu (rapor zaman damgasına kadar doğrulanmış), kapsamdaki her baskı kaydı için HMAC doğrulama durumu.
• Her baskı olayı için bir satır: şablon kimliği ve snapshot sürümü, yazıcı kimliği, operatör kimliği, UTC ve yerel zaman damgaları, çözülmüş eleman değerleri, imza kid'i, imza değeri, zincir indeksi ve uygulanan herhangi bir onay imzası.
• Bir bütünlük manifesti: sayfa başına hash, belge düzeyi hash ve dışa aktarma zamanında ayrı bir kiracı başına dışa aktarma anahtarıyla hesaplanan, tüm belge üzerinde bir HMAC imzası.
• Bir doğrulama uç noktası URL'si: denetçi PDF'i, belgeden bütünlük manifestini yeniden hesaplayan ve dışa aktarmadan beri değiştirilmediğini onaylayan bir doğrulama yüzeyine yükleyebilir.

İşte kanıt paketi budur. Talep üzerine oluşturulur, baskı yolunda sıfıra mal olur ve denetçinin ihtiyaç duyduğu tek artefakttır.

5. Operasyonel kalıp — canlıya geçiş nasıl görünür

10–200 operatörlü tipik bir düzenlenmiş üretici için:

1. Gün 1. Kiracı sağlandı, denetim günlüğü + HMAC + zincir doğrulayıcı Temel modda aktif. Operatörler her zaman olduğu gibi baskı yapar. Kanıt paketi ilk baskıdan itibaren arka planda oluşturuluyor — aylarca pasif kapsam operatör değişikliği olmadan birikiyor.
2. Gün 2–7. Etiket şablonlarının taşınması. Her yayınlanan şablon snapshot düzeyinde kilitlenir; sonraki düzenlemeler yeni snapshot'lar oluşturur, tarihsel kaydı korur.
3. Gün 8. Operatör eğitimi (genellikle iki saat). Rolü operatör olarak yükseltilen kullanıcılar için operatör modu arayüzü ertesi gün başlatılır.
4. Gün 10. Kiracı sahibi politika ön ayarını FDA Part 11'e çevirir. Sonraki her baskı e-imza kuyruğundan geçer. Eski istemci sürümlerinde operatörler net sunucu tarafı reddi alır; kimse yarı durumda değildir.
5. Gün 14. İlk deneme denetimi. Kalite ekibi kanıt paketini üretir, denetçi bütünlük manifestini yeniden hesaplar, sonuç çıkar.

Toplam canlıya geçiş: tek-site dağıtım için iki haftadan az. Çoklu-site dağıtımlar site başına bir kullanıma açma ekler ancak ek uyumluluk işi gerektirmez — politika kiracı altındaki her siteye uygulanır.

6. Performans — uyumluluk hattın maliyeti nedir

Operatör tarafından görülen gecikme ekleyen tek adım, e-imza kapısının kendisidir — bu düzenleyici gereklilik ve beklenir. Diğer her uyumluluk artefaktı, "baytlar yazıcıya ulaşır" ile "veritabanı baytların ne dediğine dair kalıcı kayda sahip" arasındaki boşlukta çalışır.

7. Bu eski masaüstü etiket yazılımını nerede bırakıyor

Bugün endüstriyel kullanımda olan önde gelen masaüstü etiket-baskı uygulamaları, Part 11 sıkılaşmadan, bulut standart olmadan ve tehdit modeli baskı diyaloğundaki kötü niyetli bir operatörü içermeden önce mimariydi. Uyumluluk özellikleri, genellikle ayrı bir "denetim modülü" veya "kurumsal sürümü" olarak ücretli eklentiler olarak eklendi. Denetim modülü her baskı için bir veritabanı satırı kaydeder, ancak render edilmiş eleman değerlerini yakalamaz, kayıtları kriptografik olarak imzalamaz ve kendini doğrulayan bir zincir sağlamaz. Üzerine yapıştırılan mimari, geriye dönük olarak kurcalama-kanıtı olamaz; güven sınırı sızar.

Bugün etiket-baskı platformu seçen bir müşteri için anlamlı soru artık "sistemin denetim günlüğü var mı?" değildir. Her sistemin denetim günlüğü vardır. Anlamlı soru, "bir denetçi sistem mevcut olmadan denetim günlüğünü doğrulayabilir mi ve günlük gerçekten etikette ne olduğunu yakalar mı?" sorusudur.

Bu makale o ikinci soruya "evet" yanıtını verir.

8. Bu makalede bilinçli olarak yer almayanlar

• Sistemi oluşturan belirli uygulama dosyaları, portları, kütüphane sürümleri ve sınıf adları. Bunlar NDA materyalleridir.
• Müşteri tarafı kimlik doğrulama akışının tam metni (müşterinin IdP'sine bağlıdır).
• Fiyatlandırma. enterprise@labelinn.com ile konuşun.
• Gerçek müşteri adları. Kamuya açık bir belgede düzenlenmiş bir müşterinin adı kendisi bir maruziyettir; her iki taraf da gizlilik anlaşması imzaladığında referans müşteriyi keşif görüşmesinde tanıtırız.