{"id":24050,"date":"2023-06-01T09:36:05","date_gmt":"2023-06-01T07:36:05","guid":{"rendered":"http:\/\/help.qualiware.it\/qw-help\/?p=24050"},"modified":"2024-05-17T15:24:39","modified_gmt":"2024-05-17T13:24:39","slug":"gmp-firma-elettronica-audit-trail","status":"publish","type":"post","link":"https:\/\/help.qualiware.it\/qw-help\/gmp-firma-elettronica-audit-trail\/","title":{"rendered":"Firma elettronica e Audit Trail"},"content":{"rendered":"

QualiWare consente la gestione delle categorie documentali e delle registrazioni che contengono dati critici ai fini GMP<\/strong>, per i quali necessita prevedere le funzionalit\u00e0 di Firma elettronica forte<\/a><\/strong> (rif. Rif. 21 CFR Part 11 p.ti 11.50, 11.70 e 11.200 \/ Annex 11 EU GMP p.to 14) e di registrazione dell’Audit Trail <\/strong>(Rif. 21 CFR Part 11 p.to 11.10e \/ Annex 11 EU GMP p.to 9).<\/p>\n

Una volta individuate tali categorie necessita attivare flag Categoria GMP<\/strong><\/span> attraverso la scheda Configurazione gestione documenti<\/a>\u00a0<\/strong><\/p>\n

\"QW<\/a><\/p>\n

oppure nella sezione Abilitazioni della scheda Utenti e abilitazioni<\/a><\/strong>.<\/p>\n

\"QW<\/a><\/p>\n

 <\/p>\n

Firma elettronica<\/h2>\n

Durante l’approvazione delle fasi del workflow il sistema richiede l’inserimento delle credenziali (Username<\/strong><\/span> e Password<\/strong><\/span>) per apportare la Firma elettronica<\/em> obbligatoria per i documenti che appartengono alla categoria GMP.<\/p>\n

\"QW<\/a><\/p>\n

Inoltre, una volta pubblicato<\/em> il documento si attiva il pulsante Firma digitale<\/strong><\/span> presente nella toolbar della scheda, che consente d’attivare la procedura di registrazione della Firma elettronica certificata<\/em>.<\/p>\n

\"QW<\/a><\/p>\n

 <\/p>\n

Audit Trail<\/h2>\n

L’Audit Trail<\/strong> raccoglie tutte le registrazioni di ogni operazione di creazione, firma, pubblicazione, revisione ed eliminazione effettuata nella categoria GMP. L’Audit Trail \u00e8 una tabella del database non modificabile da interfaccia utente e dotata di strumenti per il controllo di integrit\u00e0<\/em> per rilevare eventuali tentativi di modifica dei dati contenuti.
\nPer visualizzare l\u2019Audit Trail di un documento cliccare l’omonimo pulsante presente nella toolbar della scheda (Audit Trail<\/strong><\/span>).<\/p>\n

\"QW<\/a><\/p>\n

Oltre alla ricostruzione dello storico delle operazioni effettuate su un documento, l\u2019Audit Trail consente la visualizzazione dello stato del documento al momento dell\u2019operazione, consentendo di visualizzare i dati e la versione del file.<\/p>\n

Oltre a soddisfare le richieste delle linee guida GMP rendendo l’Audit Trail non modificabile da interfaccia, QualiWare dispone dello strumento per rilevare possibili alterazioni dello stesso Audit Trail effettuate dall’esterno, strumenti il cui uso dovrebbe essere rigorosamente riservato agli Amministratori<\/em> di QualiWare o dell’infrastruttura IT.
\nNella colonna \u201cIntegrity<\/em>\u201d \u00e8 disponibile un link Verifica<\/strong><\/span>\u00a0che consente di verificare l’integrit\u00e0 della registrazione. A verifica effettuata, sulla riga verr\u00e0 visualizzata un\u2019icona verde nel caso in cui sia garantita l’assenza di alterazioni al record dell’audit trail. Diversamente, l’icona sar\u00e0 rossa. Quest’ultimo caso potrebbe corrispondere ad una alterazione da parte di un amministratore di sistema attraverso tool esterni.<\/p>\n

Come viene determinata la colonna “Integrity<\/em>“? Al momento del salvataggio del record dell’Audit Trail, viene calcolata una impronta (hash) che comprende data, nome utente, descrizione, operazione, dati presenti nel database, e file convertiti in codifica base64. Tale impronta viene calcolata con un algoritmo SHA256 che ha bassa probabilit\u00e0 di collisione, e poi criptata con l’algoritmo TripleDes, che non ha vulnerabilit\u00e0 conosciute, utilizzando una chiave privata. Il risultato viene poi memorizzato nel record stesso. Al momento del click sul link “verifica<\/em>” viene ricalcolata l’hash criptata, e se il risultato corrisponde a quello salvato nel record stesso, l’indicatore risulter\u00e0 verde, diversamente sar\u00e0 rosso.<\/p>\n

\"gmpAuditTrail\"<\/p>\n

Come comportarsi nel caso in cui l’indicatore non sia verde? QualiWare opera una registrazione puntuale delle operazioni svolte, sia nell’Audit Trail che nel log di sistema (cronologia). Lo scopo di queste registrazioni \u00e8 proprio quello di consentire la ricostruzione della storia del documento o della registrazione. Se ne pu\u00f2 quindi fare uso per verificare il tipo di alterazione, analizzando le registrazioni in data precedente e successiva a quella ipoteticamente alterata, ma soprattutto verificando il documento o la registrazione e confrontandoli con quelli presenti nell’Audit Trail. Va tenuto presente che il caricamento dei documenti all’interno dell’audit trail utilizzando strumenti esterni risulta estremamente difficoltoso per via della particolare modalit\u00e0 con la quale essi vengono memorizzati.<\/p>\n

Un tentativo di alterazione atto a falsificare le informazioni in modo postumo, potrebbe quindi essere effettuato in tre modi:<\/p>\n

    \n
  1. Alterando i dati e ricalcolando l’hash, ma per fare questo bisognerebbe conoscere l’esatto algoritmo utilizzato da QualiWare e la chiave privata, cosa non possibile a meno di non possedere i sorgenti di QualiWare stesso;<\/li>\n
  2. Cancellando il record dell’audit trail, ma questo sarebbe evidente dal mancato rispetto della sequenza temporale fra audit trail stesso e cronologia (a meno di non cancellare tutto, ma questo sarebbe ancora pi\u00f9 evidente);<\/li>\n
  3. Modificando il documento o la registrazione e rifirmandola, e poi alterando le date di firma e registrazione nell’audit trail. Va per\u00f2 tenuto presente che le date all’interno del file del documento non possono essere alterabili dal momento che esse vengono assegnate dal server, il cui orario \u00e8 costantemente sincronizzato con un provider esterno. Per avere una coerenza, sarebbe necessario modificare la data del server stesso interrompendo tale sincronizzazione, ma questo avrebbe un impatto notevole sul resto del sistema e non potrebbe passare inosservato, anche perch\u00e8 il server possiede una propria cronologia dalla quale un evento simile sarebbe immediatamente rilevabile.<\/li>\n<\/ol>\n

    Risulta pertanto molto complesso alterare una registrazione senza lasciare altre tracce che indichino chiaramente questa condizione. Se tali tracce non sussistono, ma si ha un indicatore rosso, si pu\u00f2 concludere che ci sia stato un errato calcolo della hash, a causa ad esempio della presenza di un carattere speciale. E’ un evento estremamente improbabile ma non se ne pu\u00f2 escludere l’eventualit\u00e0.<\/p>\n

    Dalla versione 2021.06 \u00e8 possibile avere una garanzia assoluta di immutabilit\u00e0 delle informazioni memorizzate nell’Audit Trail, attraverso la BlockChain<\/strong> e il servizio UPROOFS di Apio. Per i dettagli su come configurare l’integrazione vedere qui<\/a>.<\/p>\n

    NOTA<\/strong> Su una categoria GMP non sono possibili l’apertura come SuperUtente<\/span><\/strong>, l’annullamento di una pubblicazione e di una revisione.<\/p>\n

    Gestione degli accessi alle categorie GMP<\/h3>\n

    In conformit\u00e0 a 21 CFR Part 11 p.to 11.10g \/ Annex 11 EU GMP p.to 12 \u00e8 necessario definire gli opportuni accessi alle categorie GMP;
    \nper rendere conforme il processo di attribuzione delle abilitazioni \u00e8 stato messo a punto un apposito form (scaricabile dal forum) tramite il quale gli utenti responsabili dei processi possono richiedere agli Amministratori di Sistema l\u2019abilitazione di altri utenti ad una specifica categoria, nonch\u00e9 la creazione o la disattivazione di utenti. Gli Amministratori di Sistema stessi potranno, dal form, effettuare l\u2019operazione se approveranno la richiesta.<\/p>\n

    Le abilitazioni potranno anche essere concesse nella maniera classica utilizzando scheda \u201cUtenti e abilitazioni<\/a>\u201d.<\/p>\n

    Le seguenti operazioni:
    \n– Creazione di un nuovo utente
    \n– Cancellazione di un utente
    \n– Disabilitazione di un utente
    \n– Modifica dei flag “Amministratore” e “Fiducia” di un utente
    \n– Modifica del login di un utente
    \n– Modifica degli enti di un utente
    \n– Modifica delle abilitazioni su una registrazione
    \n– Modifica delle abilitazioni su una categoria documentale<\/p>\n

    saranno registrate nell\u2019Audit Trail.<\/p>\n

    Per visualizzare il registro delle modifiche effettuate \u00e8 possibile utilizzare il link “Audit Trail” presente nelle seguenti schede della versione web:<\/p>\n

    – “Utenti e abilitazioni”, linguetta “Definizione degli utenti”
    \n– “Utenti e abilitazioni”, linguetta “Attribuzione delle abilitazioni”
    \n– “Configurazione Gestione Documenti”, di fianco al pulsante “Definizione delle abilitazioni”<\/p>\n

    Ausili operativi all\u2019utente<\/h3>\n

    Per garantire la corretta esecuzione del flusso informativo legato al documento, QualiWare consente l\u2019abilitazione di ulteriori controlli:<\/p>\n

    a) abilitando un apposito flag in configurazione della categoria, \u00e8 possibile forzare l\u2019apertura in lettura<\/em> del file prima dell\u2019apposizione della firma.<\/p>\n

    \"gmpFunzAusiiari\"<\/p>\n

    b) abilitando un apposito flag in console di amministrazione, l\u2019utente verr\u00e0 informato se il documento pubblicato che sta consultando \u00e8 in quel momento oggetto di revisione<\/em>.<\/p>\n

     <\/p>\n

    \"gmpFunzAusiiar02i\"<\/p>\n

    Leggi per maggiori informazioni amche i seguenti articoli:<\/p>\n

    Configurazione di QualiWare per l’utilizzo in conformit\u00e0 alle linee guida GAMP<\/a><\/p>\n

     <\/p>\n","protected":false},"excerpt":{"rendered":"

    QualiWare consente la gestione delle categorie documentali e delle registrazioni che contengono dati critici ai fini GMP, per i quali necessita prevedere le funzionalit\u00e0 di Firma elettronica forte (rif. Rif. 21 CFR Part 11 p.ti 11.50, 11.70 e 11.200 \/ Annex 11 EU GMP p.to 14) e di registrazione dell’Audit Trail (Rif. 21 CFR Part…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"ngg_post_thumbnail":0,"footnotes":""},"categories":[62],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/posts\/24050"}],"collection":[{"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/comments?post=24050"}],"version-history":[{"count":9,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/posts\/24050\/revisions"}],"predecessor-version":[{"id":37069,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/posts\/24050\/revisions\/37069"}],"wp:attachment":[{"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/media?parent=24050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/categories?post=24050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/help.qualiware.it\/qw-help\/wp-json\/wp\/v2\/tags?post=24050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}