Sección |
Requisito |
TalentLMS |
11.10 (b) |
El sistema generará copias de los registros exactas y completas, tanto en formato legible para el ser humano como en formato electrónico adecuados para la inspección, revisión y copia. |
TalentLMS proporciona informes avanzados generados dinámicamente que incluyen registros del progreso y desempeño de los usuarios. Todos los informes se pueden exportar en formato EXCEL. |
11.10 (d) |
El sistema limitará el acceso al sistema a las personas autorizadas. |
En TalentLMS, todos los derechos de acceso y los permisos de los usuarios se controlan a través de los tipos de usuario (es decir, después de iniciar la sesión, los usuarios sólo pueden acceder a las funciones disponibles para su tipo de usuario asignado). Se han tomado medidas de seguridad adicionales de acuerdo con la norma 21 CFR Parte 11 (es decir, la aplicación de contraseñas seguras, el cambio de contraseña al iniciar la sesión, etc.). Las contraseñas se almacenan con funciones hash en vez de almacenarlas encriptadas, por lo que es imposible recuperarlas. |
11.10 (e) |
El sistema empleará pistas de auditoría seguras, generadas por computadora y con fecha y hora, para registrar de forma independiente las entradas de los operadores y las acciones que crean, modifican o eliminan registros electrónicos, sin ocultar la información previamente registrada. |
Todas las acciones que se realicen en TalentLMS se registran correctamente (es decir, todas tienen una marca temporal, y se muestran en la línea de tiempo del usuario). Las líneas de tiempo se pueden exportar en formato EXCEL. |
11.10 (f) |
El sistema establecerá los pasos requeridos y la secuencia de eventos, según corresponda (p.ej., no se pueden ignorar o comprometer de manera similar los pasos clave). |
TalentLMS establece pasos específicos al aplicar ciertas operaciones. Cada operación desencadena un conjunto estándar de eventos que se registran y se pueden revisar en cualquier momento en el futuro. |
11.10 (g) |
El sistema garantizará que sólo las personas autorizadas puedan utilizar el sistema, firmar electrónicamente un registro, acceder a las operaciones o al dispositivo de entrada o salida del sistema informático, modificar un registro o realizar la operación en cuestión. |
En TalentLMS, se asignan Tipos de Usuario personalizados a los usuarios para autorizar los permisos y controlar sus derechos de acceso. Se pueden utilizar divisiones (es decir, subportales) para controlar a qué funciones e información pueden acceder los usuarios (es decir, los miembros de la división). Todas las acciones de los usuarios se registran y se muestran en la línea de tiempo de cada usuario, incluyendo cualquier cambio realizado en los registros de la plataforma. |
11.10 (h) (1) |
El sistema determinará, según corresponda, la validez de la fuente de entrada de datos o de la instrucción operativa. |
TalentLMS puede aplicar restricciones al acceso de IP y a las extensiones de tipo de archivo para controlar la validez de las fuentes de datos. Se puede proporcionar un certificado SSL para garantizar que toda la comunicación se realiza a través de https, eliminando así cualquier posibilidad de modificación no autorizada de los datos durante la transmisión. TalentLMS cuenta con filtros CSRF integrados para proteger los datos de cualquier ataque de este tipo. |
11.50 (a) (1), (2), (3) |
El sistema garantizará que todos los registros electrónicos firmados contengan el nombre impreso del firmante, la fecha y hora en la que se ejecutó la firma y el significado asociado a la misma (p.ej., aprobación, responsabilidad, autoría). |
La línea de tiempo de TalentLMS registra cualquier acción, la fecha y la hora en la que se ejecuta, así como el nombre y el nombre de usuario del usuario asociado. |
11.50 (b) |
El sistema garantizará que los tres elementos de la firma (descritos en el requisito anterior) de un registro electrónico firmado sean parte de cualquier formato legible para el ser humano del registro electrónico (p.ej., pantalla electrónica o impresión). |
Los tres elementos de la firma (es decir, acción, fecha y hora, usuario y nombre de usuario) se incluyen en todos los informes de pista de auditoría de TalentLMS. |
11.70 (a) |
El sistema garantizará que las firmas electrónicas estén vinculadas a sus respectivos registros electrónicos y que estas firmas electrónicas no se pueden eliminar, copiar o transferir de otro modo para falsificar un registro electrónico por medios ordinarios. |
En TalentLMS, una firma electrónica está vinculada y protegida por el correspondiente nombre de usuario y contraseña. No se pueden manipular, copiar, transferir o falsificar los registros electrónicos. |
11.100 (a) |
El sistema garantizará que cada firma electrónica sea única para una persona y nadie podrá reutilizarla ni reasignarla a otra persona. |
TalentLMS establece nombres de usuario únicos. |
11.200 (a) (1) |
El sistema deberá emplear al menos dos componentes de identificación distintos, como un código de identificación y una contraseña. |
TalentLMS utiliza una combinación de nombre de usuario y contraseña para la autorización. Se puede “reforzar” la contraseña para que sea imposible adivinarla mediante un ataque de fuerza bruta. |
11.200 (a) (1) (i) |
El sistema exige el uso de todos los componentes de la firma electrónica para la primera firma durante un período único y continuo de acceso controlado al sistema. |
En TalentLMS, las sesiones de RAII comienzan con una firma digital en forma de combinación de nombre de usuario y contraseña. La validez de la sesión se garantiza en cada solicitud. |
11.200 (a) (1) (i) |
El sistema permitirá que todas las firmas posteriores durante el mismo período continuo de acceso controlado al sistema utilicen al menos un componente de firma electrónica. |
Tras la primera solicitud, TalentLMS sigue utilizando el ID de usuario de origen de cada solicitud para mantener la seguridad de la sesión. Además, se utilizan filtros CSRF para evitar cualquier intento de acceso no autorizado a través de la sesión activa del usuario. |
11.200 (a) (1) (i) |
El sistema garantizará que la sesión de los usuarios termine durante períodos de inactividad específicos. |
En TalentLMS, el sistema aplica automáticamente la finalización de la sesión de los usuarios. |
11.200 (a) (1) (ii) |
El sistema exigirá el uso de todos los componentes de la firma electrónica para las firmas que no se ejecuten durante un período único y continuo de acceso controlado al sistema. |
Los usuarios de TalentLMS deben volver a autenticarse en cada periodo no continuo de acceso al sistema utilizando sus componentes de firma electrónica. |
11.200 (a) (3) |
El sistema exigirá que todos los intentos de uso de la firma electrónica de una persona por parte de alguien que no sea su verdadero titular requieran la colaboración de dos o más personas. |
No se permite compartir firmas electrónicas en TalentLMS, excepto para el uso del administrador global. |
11.300 (a) |
El sistema exigirá que cada combinación de código de identificación y contraseña sea única, de manera que no haya dos personas con la misma combinación de código de identificación y contraseña. |
TalentLMS no permite que se duplique ningún código de identificación (nombre de usuario) para que la combinación de código de identificación y contraseña sea siempre única. |
11.300 (b) |
El sistema exigirá que se revisen periódicamente las contraseñas. |
TalentLMS puede establecer el cambio de contraseña después de una cantidad de tiempo configurable. |
11.300 (d) |
El sistema empleará medidas de seguridad de las transacciones que impidan el uso no autorizado de contraseñas y/o códigos de identificación. |
TalentLMS incluye medidas de seguridad avanzadas para evitar el acceso de usuarios no autorizados (es decir, restringiendo el registro a dominios específicos, etc.). Además, TalentLMS puede establecer las mejores prácticas, como contraseñas seguras y el cambio de contraseña en el primer inicio de sesión. |
11.300 (d) |
El sistema detectará e informará del uso no autorizado de la contraseña y/o de los códigos de identificación a las unidades especificadas. |
TalentLMS bloquea a los usuarios para que no puedan iniciar sesión durante una cantidad de tiempo configurable después de un número configurable de intentos fallidos de inicio de sesión. |