Upload
601026
View
250
Download
0
Embed Size (px)
Citation preview
7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos
1/3
Jueves 11 de octubre de 2012 DIARIO OFICIAL (Segunda Seccin) 1
SEGUNDA SECCION
PODER EJECUTIVO
SECRETARIA DE SALUDNORMA Oficial Mexicana NOM-241-SSA1-2012 !"ena# $%&c'ica# (e fa)%icaci*n $a%a e#'a)leci+ien',# (e(ica(,#
a la fa)%icaci*n (e (i#$,#i'i,# +.(ic,#/
15.8 Sistemas computacionales
15.8.1Deben validarse los sistemas y aplicaciones computacionales que impacten en la calidad del
producto relacionado con:
15.8.1.1Transferencias de materiales y producto
15.8.1.2Disposicin de materiales y producto
15.8.1.3Control de procesos e instrumentos analticos
15.8.1.4Control de sistemas crticos
15.8.1.5 Cuando un sistema o aplicacin computarizada genere registros electrnicos y/o emplee firmas
electrnicas. Se debe considerar los numerales !.".# y !.".$.
15.8.1.6%o aplica a los registros en papel que son o &an sido transmitidos por medios electrnicos'
siempre y cuando no sirvan o se usen para tomar decisiones o se usen para realizar actividades reguladas
basadas en estos documentos.
15.8.2 Son considerados registros electrnicos:
15.8.2.1 (os documentos y registros requeridos en el contenido de )sta y otras normas aplicables que son
creados' modificados' mantenidos' arc&ivados' recuperados y/o transmitidos a trav)s de sistemas
electrnicos.
15.8.2.2 Cuando se utilicen sistemas electrnicos para la creacin' modificacin' mantenimiento' arc&ivo'
recuperacin y/o transmisin de registros electrnicos deber*n establecerse procedimientos y controles
dise+ados para asegurar la autenticidad' integridad y cuando aplique confidencialidad de los registroselectrnicos' y para asegurar que las firmas electrnicas no puedan ser declaradas como no genuinas. (os
procedimientos y controles deben incluir lo siguiente:
15.8.2.2.1 (a validacin de los sistemas para asegurar la e,actitud' confiabilidad' funcionalidad'
7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos
2/3
2 (Segunda Seccin) DIARIO OFICIAL Jueves 11 de octubre de 2012
15.8.3 0ara el caso de firmas electrnicas:
15.8.3.1 Deben contener la informacin asociada con la firma que claramente indiquen el nombre en letra
de molde de la persona que firma' la fec&a y &ora de cuando fue eecutada la firma y el propsito asociado
con la misma.15.8.3.2 -stas deben ser nicas para cada persona y cuando se d) el caso de un cambio' )sta no debe
repetirse o reasignarse a otra persona.
15.8.3.3 Cuando el uso de firmas electrnicas sea adoptado' se debe establecer la fec&a a partir de la cual
las firmas electrnicas son vigentes y equivalentes a las firmas autgrafas' para lo cual es necesaria una
constancia firmada por dos testigos.
15.8.3.4 (as firmas electrnicas que no est)n basadas en biom)tricas deber*n:
15.8.3.4.1 -mplear al menos dos elementos distintos tales como un cdigo de identificacin y una
contrase+a.
15.8.3.4.2 -l ingreso de una persona a un sistema de acceso controlado deber* realizarse con todos los
elementos de la firma electrnica indicados en el numeral anterior1 los accesos subsecuentes durante la
misma sesin podr* realizarlos con uno de los elementos.
15.8.3.5 (as personas que utilizan firmas electrnicas basadas en el uso de cdigos de identificacin en
combinacin con contrase+as' emplear*n controles para garantizar su seguridad e integridad y que incluyan:
15.8.3.5.1 -l mantenimiento de cada combinacin de cdigo de identificacin y contrase+a de manera tal
que ninguna otra persona tenga la misma combinacin.
15.8.3.5.2 -l aseguramiento de que la emisin de los cdigos de identificacin y contrase+as sea
renovada o revisada peridicamente.
15.8.3.5.3 Contar con procedimientos aprobados para el caso de contingencias tales como fic&as' taretas
y otros dispositivos perdidos' &urtados o desaparecidos que lleven o generen informacin de cdigos de
identificacin o contrase+as para emitir reemplazos temporales o permanentes utilizando controles adecuados
y rigurosos.
15.8.3.5.4 2ecanismos de proteccin de las transacciones para evitar el uso no autorizado de contrase+as
y/o cdigos de identificacin' y para detectar e informar de manera inmediata y urgente a la 3nidad del
sistema de seguridad y' cuando sea apropiado' a la gerencia del establecimiento de cualquier intento de su
uso no autorizado.
15.8.3.5.5 0ruebas iniciales y peridicas a los dispositivos tales como fic&as o taretas que llevan o
generan informacin de cdigos de identificacin o contrase+as para asegurar que funcionan apropiadamente
7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos
3/3
Jueves 11 de octubre de 2012 DIARIO OFICIAL (Segunda Seccin)