CFR21 Part11

CFR21 Part11



English (Original Text)

A General Provisions

§ 11.1 Scope.

(a) The regulations in this part set

forth the criteria under which the

agency considers electronic records,

electronic signatures, and handwritten

signatures executed to electronic

records to be trustworthy, reliable, and

generally equivalent to paper records

and handwritten signatures executed on paper.

(b) This part applies to records in

electronic form that are created,

modified, maintained, archived,

retrieved, or transmitted, under any

records requirements set forth in agency

regulations. This part also applies to electronic

records submitted to the agency under

requirements of the Federal Food, Drug, and

Cosmetic Act and the Public Health Service Act,

even if such records are not specifically

identified in agency regulations.

However, this part does not apply to

paper records that are, or have been,

transmitted by electronic means.

(c) Where electronic signatures and

their associated electronic records meet the

requirements of this part, the agency will consider

the electronic signatures to be equivalent to full

handwritten signatures, initials, and other general

signings as required by agency regulations, unless

specifically excepted by regulation(s) effective on

or after august 20, 1997.

(d) Electronic records that meet the

requirements of this part may be used in lieu of

paper records, in accordance

with § 11.2, unless paper records are

specifically required.

(e) Computer systems (including

hardware and software), controls, and

attendant documentation maintained

under this part shall be readily available

for, and subject to, FDA inspection.

§ 11.2 Implementation

(a) For records required to be

maintained but not submitted to the

agency, persons may use electronic

records in lieu of paper records or

electronic signatures in lieu of

traditional signatures, in whole or in

part, provided that the requirements of

this part are met.

(b) For records submitted to the

agency, persons may use electronic

records in lieu of paper records or

electronic signatures in lieu of

traditional signatures, in whole or in

part, provided that:

(1) The requirements of this part are

met; and

(2) The document or parts of a

document to be submitted have been

identified in public docket No. 92S–

0251 as being the type of submission the agency

accepts in electronic form. This docket will identify

specifically what types of documents or parts of

documents are acceptable for

submission in electronic form without

paper records and the agency receiving

unit(s) (e.g., specific center, office,

division, branch) to which such

submissions may be made. Documents

to agency receiving unit(s) not specified

in the public docket will not be

considered as official if they are

submitted in electronic form; paper

forms of such documents will be

considered as official and must

accompany any electronic records.

Persons are expected to consult with the intended

agency receiving unit for

details on how (e.g., method of

transmission, media, file formats, and

technical protocols) and whether to

proceed with the electronic submission.

§ 11.3 Definitions.

(a) The definitions and interpretations

of terms contained in section 201 of the

act apply to those terms when used in

this part.

(b) The following definitions of terms

also apply to this part:

(1) Act means the Federal Food, Drug,

and Cosmetic Act (secs. 201–903 (21

U.S.C. 321–393)).

(2) Agency means the Food and Drug

Administration.

(3) Biometrics means a method of

verifying an individual’s identity based

on measurement of the individual’s

physical feature(s) or repeatable

action(s) where those features and/or

actions are both unique to that

individual and measurable.

(4) Closed system means an

environment in which system access is

controlled by persons who are

responsible for the content of electronic

records that are on the system.

(5) Digital signature means an

electronic signature based upon

cryptographic methods of originator

authentication, computed by using a set

of rules and a set of parameters such

that the identity of the signer and the

integrity of the data can be verified.

(6) Electronic record means any

combination of text, graphics, data,

audio, pictorial, or other information

representation in digital form that is

created, modified, maintained, archived, retrieved,

or distributed by a computer system.

(7) Electronic signature means a

computer data compilation of any

symbol or series of symbols executed,

adopted, or authorized by an individual

to be the legally binding equivalent of

the individual’s handwritten signature.

(8) Handwritten signature means the

scripted name or legal mark of an

individual handwritten by that

individual and executed or adopted

with the present intention to

authenticate a writing in a permanent

form. The act of signing with a writing

or marking instrument such as a pen or

stylus is preserved. The scripted name

or legal mark, while conventionally

applied to paper, may also be applied to other

devices that capture the name or mark.

(9) Open system means an environment in which

system access is

not controlled by persons who are

responsible for the content of electronic

records that are on the system.

Subpart B Electronic Records

B §11.10 Controls for closed systems.

Persons who use closed systems to create,

modify, maintain, or transmit electronic records

shall employ procedures and controls designed to

ensure the authenticity, integrity, and, when

appropriate, the confidentiality of electronic

records, and to ensure that the signer cannot

readily repudiate the signed record as not

genuine. Such procedures and controls shall

include the following:

11.10 (a) Validation of systems to ensure

accuracy, reliability, consistent intended

performance, and the ability to discern invalid or

altered records.

11.10 (b) The ability to generate accurate and

complete copies of records in both human

readable and electronic form suitable for

inspection, review, and copying by the agency.

Persons should contact the agency if there are

any questions regarding the ability of the agency

to perform such review and copying of the

electronic records.

11.10 (c) Protection of records to enable their

accurate and ready retrieval throughout the

records retention period

11.10 (d) Limiting system access to authorized

individuals.

11.10 (e) Use of secure, computer-generated,

time-stamped audit trails to independently record

the date and time of operator entries and

actions that create, modify, or delete electronic

records. Record changes shall not obscure

previously recorded information.

Such audit trail documentation shall be retained

for a period at least as long as that required for the

subject electronic records

and shall be available for agency review and

copying.

11.10 (f) Use of operational system checks to

enforce permitted sequencing of steps and events,

as appropriate.

11.10 (g) Use of authority checks to ensure that

only authorized individuals can use the system,

electronically sign a record, access the operation

or computer system input or output device, alter a

record, or perform the operation at hand.

11.10 (h) Use of device (e.g., terminal) checks to

determine, as appropriate, the validity of the

source of data input or operational instruction.

11.10 (i) Determination that persons who develop,

maintain, or use electronic record/electronic

signature systems have the education,

training, and experience to perform their assigned

tasks.

11.10 (j) The establishment of, and adherence to,

written policies that hold individuals accountable

and responsible for actions initiated under their

electronic signatures, in order to deter record and

signature falsification.

11.10 (k) Use of appropriate controls over systems

documentation including:

(1) Adequate controls over the distribution of,

access to, and use of documentation for system

operation and maintenance.

(2) Revision and change control procedures to

maintain an audit trail that documents time-

sequenced development and modification of

systems documentation.

B §11.30 Controls for open systems.

Persons who use open systems to create, modify,

maintain, or transmit electronic records shall

employ procedures and controls designed to

ensure the authenticity, integrity, and, as

appropriate, the confidentiality of electronic

records from the point of their creation to the point

of their receipt. Such procedures and controls

shall include those identified in §11.10, as

appropriate, and additional measures such as

document encryption and use of appropriate

digital signature standards to ensure, as

necessary under the circumstances, record

authenticity, integrity, and confidentiality.

B §11.50 Signature manifestations.

11.50 (a) Signed electronic records shall contain

information associated with the signing that clearly

indicates all of the following:

(1) The printed name of the signer;

(2) The date and time when the signature was

executed; and

(3) The meaning (such as review, approval,

responsibility, or authorship) associated with the

signature.

11.50 (b) The items identified in paragraphs (a)(1),

(a)(2), and (a)(3) of this section shall be subject to

the same controls as for electronic records and

shall be included as part of any human readable

form of the electronic record (such as electronic

display or printout).

B §11.70 Signature/record linking.

Electronic signatures and handwritten signatures

executed to electronic records shall be linked to

their respective electronic records to ensure that

the signatures cannot be excised, copied, or

otherwise transferred to falsify an electronic record

by ordinary means.

Subpart C Electronic signatures

C §11.100 General requirements.

11.100 (a) Each electronic signature shall be

unique to one individual and shall not be reused

by, or reassigned to, anyone else.

11.100 (b) Before an organization establishes,

assigns, certifies, or otherwise sanctions an

individual's electronic signature, or any element of

such electronic signature, the organization shall

verify the identity of the individual.

11.100 (c) Persons using electronic signatures

shall, prior to or at the time of such use, certify to

the agency that the electronic signatures in their

system, used on or after August 20, 1997, are

intended to be the legally binding equivalent of

traditional handwritten signatures.

(1) The certification shall be submitted in paper

form and signed with a traditional handwritten

signature, to the Office of Regional Operations

(HFC-100), 5600 Fishers Lane, Rockville, MD

20857,0

(2) Persons using electronic signatures shall, upon

agency request provide additional certification or

testimony that a specific electronic signature is the

legally binding equivalent of the signer's

handwritten signature.

C §11.200 Electronic signature components

and controls.

11.200 (a) Electronic signatures that are not

based upon biometrics shall

(1) Employ at least two distinct identification

components such as an identification code and

password.

11.200 (a)(1)(i) When an individual executes a

series of signings during a single, continuous

period of controlled system access, the firs

signing shall be executed using all electronic

signature components; subsequent signings shall

be executed using at least one electronic

signature component that is only executable by,

and designed to be used only by, the individual.

11.200 (a)(1)(ii) When an individual executes one

or more signings not performed during a single,

continuous period of controlled system access,

each signing shall be executed using all of the

electronic signature components.

11.200 (a)(2) Electronic signatures that are not

based upon biometrics shall be used only by their

genuine owners.

11.200 (a)(3) Be administered and executed to

ensure that attempted use of an individual's

electronic signature by anyone other than its

genuine owner requires collaboration of two or

more individuals.

11.200 (b) Electronic signatures based upon

biometrics shall be designed to ensure that they

cannot be used by anyone other than their

genuine owners.

C §11.300 Controls for identification

codes/passwords.

Persons who use electronic signatures based

upon use of identification codes in combination

with passwords shall employ controls to ensure

their security and integrity. Such controls shall

include:

11.300 (a) Maintaining the uniqueness of each

combined identification code and password, such

that no two individuals have the same combination

of identification code and password.

11.300 (b) Ensuring that identification code and

password issuances are periodically checked,

recalled, or revised (e.g., to cover such events as

password aging).

11.300 (c) Following loss management

procedures to electronically deauthorize lost,

stolen, missing, or otherwise potentially

compromised tokens, cards, and other devices

that bear or generate identification code or

password information, and to issue temporary or

permanent replacements using suitable, rigorous

controls.

11.300 (d) Use of transaction safeguards to

prevent unauthorized use of passwords and/or

identification codes, and to detect and report in an

immediate and urgent manner any attempts at

their unauthorized use to the system security unit,

and, as appropriate, to organizational

management.

11.300 (e) Initial and periodic testing of devices,

such as tokens or cards, that bear or generate

identification code or password information to

ensure that they function properly and have not

been altered in an unauthorized manner.






Deutsche Übersetzung / German Translation

Teil A Allgemeine Voraussetzungen
§ 11.1 Umfang
 
(a) Die Richtlinien in diesem Teil legen die

Bedingungen fest, unter denen die Behörde

elektronische Aufzeichnungen, elektronische
Unterschriften und handschriftliche Unterschriften
auf elektronischen Aufzeichnungen ausgeführt, als
vertrauenswürdig, zuverlässig und im allgemeinen
gleichbedeutend mit Papierdokumenten und auf
Papier ausgeführten Unterschriften betrachtet.

(b) Dieser Teil gilt für elektronische
Aufzeichnungen, die erzeugt, verändert, gepflegt,
archiviert, wiederhergestellt oder übertragen
werden und unter jegliche
Aufzeichnungsanforderungen behördlicher
Richtlinien fallen. Dieser Teil gilt auch für
elektronische Aufzeichnungen, die bei der
Behörde unter den Anforderungen des
Bundesgesetzes für Lebensmittel, Arzneimittel
und Kosmetik und dem
Staatsgesundheitsdienstgesetz eingereicht
werden, selbst wenn solche Aufzeichnungen nicht
spezifisch in Behördenrichtlinien genannt sind.
Nichtsdestotrotz, dieser Teil gilt nicht für
Papieraufzeichnungen, die auf elektronischem
Weg übermittelt werden oder wurden.

(c) Überall wo elektronische Unterschriften und
ihre verbundenen elektronischen Aufzeichnungen
die Anforderungen dieses Teils erfüllen, wird die
Behörde elektronische Unterschriften als
äquivalent betrachten zu voll ausgeschriebenen
handschriftlichen Unterschriften, Initialen und
anderer genereller Unterschriften die durch
behördliche Anforderungen erforderlich sind, es
sei denn, dass ausdrückliche
Ausnahmeregelungen durch am oder nach dem
20. August 1997 gültigen Richtlinien gültig sind.

(d) Elektronische Aufzeichnungen, welche die
Anforderungen dieses Teils erfüllen, können an
Stelle von Papieraufzeichnungen in
Übereinstimmung mit § 11.2 verwendet werden,
es sei denn, dass Papieraufzeichnungen
ausdrücklich erforderlich sind.

(e) Computersysteme (einschließlich Hard- und
Software), Kontrollen und begleitende
Dokumentation, die unter diese Regel fallen,
sollten frei verfügbar und Gegenstand einer FDA-Inspektion sein. 

§ 11.2 Implementierung

(a) Für Aufzeichnungen die gepflegt werden
müssen, aber nicht bei der Behörde eingereicht
werden müssen, können Einzelpersonen
elektronische Aufzeichnungen anstelle von
Papierdokumenten oder elektronische
Unterschriften anstelle herkömmlicher
Unterschriften im Ganzen oder in Teilen
verwenden, vorausgesetzt, dass die
Anforderungen dieses Teils erfüllt werden.

(b) Für behördlich eingereichte Aufzeichnungen,
können Einzelpersonen elektronische
Aufzeichnungen anstelle von Papierdokumenten
und elektronische Unterschriften anstelle
traditioneller Unterschriften im Ganzen oder in
Teilen verwenden, vorausgesetzt, dass:
(1) die Anforderungen dieses Teils erfüllt sind; und
(2) das Dokument oder Teile eines
einzureichenden Dokuments im öffentlichen
Docket Nr. 92S-0251als behördlich akzeptierbare
elektronische Einreichungsform anerkannt wird.
Dieses Docket klärt eindeutig welche Art von
Dokumenten oder Teile von Dokumenten für die
Einreichung in 
elektronischer Form ohne Papierdokumente
akzeptabel sind und die behördliche Stelle(n) bei
welcher eingereicht wird (z.B. spezielles Zentrum,
Büro, Abteilung oder Zweigstelle). Dokumente an
behördliche Stellen welche nicht in den
öffentlichen Dockets spezifiziert sind, werden nicht
als offizielle Dokumente betrachtet, falls sie in
elektronischer Form eingereicht werden;
Papierformate solcher Dokumente werden als
offiziell betrachtet und müssen alle elektronischen
Aufzeichnungen begleiten. Es wird erwartet, dass
Personen sich mit der voraussichtlich
empfangenden behördlichen Stelle über die
Details beraten (z.B. Übertragungsmethode,
Medien, Dateiformate und technische Protokolle)
und ob die elektronische Einreichung
durchzuführen ist.
 
 
§ 11.3 Definitionen

(a) Die im Abschnitt 201 des Gesetzes
enthaltenen Definitionen und Interpretationen der Begriffe gelten für diese Begriffe wenn sie in
diesem Teil benutzt werden.

(b) Die folgenden Begriffsdefinitionen gelten auch für diesen Teil: 
(1) Gesetz bedeutet das Bundesgesetz für
Lebensmittel, Arzneimittel und Kosmetik (Act 201-
903 (21 U.S.C. 321-393)).
(2) Behörde bedeutet die Lebensmittel und
Arzneimittel-Behörde 
(3) Biometrie bedeutet eine Methode zur
Verifizierung einer individuellen Identität basierend
auf Messungen der individuellen physikalischen
Merkmale oder wiederholbarer Aktionen wo
solche Merkmale und/oder Aktionen sowohl
einzigartig für das Individuum als auch messbar
sind. 
(4) Geschlossenes System bedeutet eine
Umgebung, in welcher der Systemzugang durch
Personen kontrolliert wird, die für die Inhalte der
auf dem System befindlichen Aufzeichnungen
verantwortlich sind.
(5) Digitale Unterschrift bedeutet eine
elektronische Unterschrift basierend auf
kryptographischen Methoden einer Urheber-
Authentifizierung, berechnet durch einen Satz von
Regeln und einem Satz von Parametern auf die
Weise, dass die Identität eines Unterzeichners
und die Integrität der Daten verifiziert werden
kann. 
(6) Elektronische Aufzeichnung bedeutet jede
Kombination von Text, Grafiken, Daten, Audio,
Bildern oder anderer Information in digitaler Form,
welche erzeugt, verändert, gepflegt, archiviert,
wiederhergestellt oder über ein Computersystem
verteilt wird. 
(7) Elektronische Unterschrift bedeutet eine
Computer lesbare Übersetzung eines beliebigen
Symbols oder einer Serie von Symbolen, die
ausgeführt, angenommen oder durch eine
Einzelperson autorisiert wird und das rechtlich
gültige Äquivalent der individuellen
handgeschriebenen Unterschrift darstellt.
(8) Handgeschriebene Unterschrift bedeutet der
per Hand geschriebene Name oder das rechtlich
gültige Kurzzeichen dieser Einzelperson welche
mit der gegenwärtigen Absicht ein Schriftstück in einer dauerhaften Form zu authentifizieren,
ausgeführt oder angenommen wird. Die
Ausführung der Unterschrift mit einem
Schreibinstrument wie einem Federhalter oder
einem Kugelschreiber wird konserviert. Der
geschriebene Name oder das rechtlich gültige
Kurzzeichen auf Papier geschrieben, kann auch
auf andere Ein/Ausgabegeräte übertragen
werden, welche diesen Namen oder das Zeichen
speichern können.
(9) Offenes System bedeutet eine Umgebung, in
welcher der Systemzugang nicht durch die
Personen kontrolliert wird, die für die auf diesem
System vorhandenen elektronischen
Aufzeichnungen verantwortlich sind.

Teil B Elektronische Aufzeichnungen

B §11.10 Kontrollen für geschlossene Systeme.
 
Personen die geschlossene Systeme benutzen,
um elektronische Aufzeichnungen zu erzeugen, zu
verändern, zu pflegen oder zu übertragen, sollen
Verfahren und Kontrollen anwenden, die so
ausgelegt sind, die Echtheit, die Integrität und wo
notwendig die Vertraulichkeit elektronischer
Aufzeichnungen zu gewährleisten und
sicherstellen, dass der Unterzeichner die
unterschriebene Aufzeichnung nicht als nicht
authentisch kennzeichnen kann. Solche Verfahren
und Kontrollen sollen folgendes beinhalten:

11.10 (a) Validierung von Systemen zur
Sicherstellung der Richtigkeit, Zuverlässigkeit, der
konsistenten beabsichtigten Leistung, sowie die
Fähigkeit ungültige oder veränderte
Aufzeichnungen zu erkennen.

11.10 (b) Die Fähigkeit richtige und vollständige
Kopien von Aufzeichnungen in menschlich
lesbarer und elektronischer Form zu erzeugen,
welche für die Inspektion, Nachprüfung und Kopie
durch die Behörde geeignet sind. Personen sollten
die Behörde kontaktieren, falls irgendwelche
Fragen bezüglich der Fähigkeit der Behörde
bestehen solche Nachprüfungen und Kopien
elektronischer Aufzeichnungen durchzuführen

11.10 (c) Schutz der Aufzeichnungen um richtigen
und betriebsbereiten Zugriff während der
Aufbewahrungsfrist der Dokumente zu
gewährleisten 

11.10 (d) Beschränkung des Systemzugriffs für
berechtigte Personen

11.10 (e) Benutzung von sicheren Computer-
erzeugten, zeitgestempelten Audit-Trails um
unabhängig das Datum und die Zeit von
Bedienereingaben aufzuzeichnen und von
Aktionen, die elektronische Aufzeichnungen
erzeugen, verändern oder löschen. Änderungen
von Aufzeichnungen sollten nicht die Ergebnisse
vorheriger aufgezeichneter Information verdecken.
Solche Audit-Trail-Dokumentation soll wenigstens
so lange aufbewahrt werden wie die
entsprechende elektronische Aufzeichnung und
soll der Behörde für die Nachprüfung und das
Kopieren zur Verfügung stehen.

11.10 (f) Benutzung von Verfahrensprüfungen des
Systems um die zugelassene Reihenfolge von
Schritten und Ereignissen zu erzwingen, wo
notwendig. 

11.10 (g) Benutzung von Zugangsprüfungen um
sicherzustellen, dass nur berechtigte Benutzer das System benutzen können, ein Dokument
elektronisch unterschreiben, Zugang zum
Betriebs- oder Computersystem Ein/Ausgabegerät
haben, eine Aufzeichnung verändern oder die
vorliegende Tätigkeit durchzuführen.

11.10 (h) Benutzung von Ein/Ausgabegeräte-
Tests (z.B. Terminaltastatur) um falls notwendig
die Gültigkeit der Dateneingabequelle oder eines
Befehls zu ermitteln.

11.10 (i) Festlegung, dass Personen welche
elektronische Aufzeichnungs-
/Unterschriftssysteme entwickeln, pflegen oder
nutzen, die richtige Ausbildung, Schulung und
Erfahrung besitzen um die entsprechenden
Aufgaben durchzuführen.

11.10 (j) Die Etablierung und Einhaltung schriftlich
festgelegter Normen, welche Einzelpersonen für
Aktionen die mit ihren Unterschriften ausgelöst
wurden, haftbar und verantwortlich macht, um
Fälschungen von Aufzeichnungen und
Unterschriften zu verhindern.

11.10 (k) Anwendung geeigneter Kontrollen der
Systemdokumentation, einschließlich:
(1) Angemessene Kontrollen über die Verteilung,
Zugang und Benutzung der Dokumentation für
den Systembetrieb und -pflege.
(2) Versions- und Änderungskontrollverfahren um einen Audit Trail zu pflegen, der die zeitliche
Entwicklung und Änderungen der
Systemdokumentation beschreibt.

B §11.30 Kontrollen für offene Systeme.

Personen die offene System benutzen um
elektronische Aufzeichnungen zu erzeugen, zu
verändern, zu pflegen oder zu übertragen, sollen
Verfahren und Kontrollen anwenden, welche die
Echtheit, die Integrität und wo notwendig die
Vertraulichkeit elektronischer Aufzeichnungen
vom Ort ihrer Entstehung bis zum Ort des
Empfangs sicherstellen.
Solche Verfahren und Kontrollen sollen die unter §11.10 genannten einschließen und wo notwendig weitere Maßnahmen wie
Dokumentverschlüsselung und Benutzung
geeigneter digitaler Unterschriftsstandards
umfassen um entsprechend der Umstände die
Echtheit, Integrität und Vertraulichkeit von
Aufzeichnungen sicherzustellen.

B §11.50 Unterschriftserscheinungsformen

11.50 (a) Unterschriebene elektronische
Aufzeichnungen sollen verbunden mit der
Unterschrift alle folgenden Informationen
enthalten: 
(1) Der ausgeschriebene Name des
Unterzeichners; 
(2) Das Datum und die Zeit zu der die Unterschrift
geleistet wurde; und
(3) die mit der Unterschrift verbundene
Bedeutung (wie Review, Genehmigung,
Verantwortung oder Autorenschaft).
11.50 (b) Die in den Paragraphen (a)(1), (a)(2)
und (a)(3) beschriebenen Begriffe dieses
Abschnitts sollen den gleichen Kontrollen
unterworfen werden wie elektronische
Aufzeichnungen und sollen als Teil jeder
menschlich lesbaren Form der elektronischen
Aufzeichnung eingeschlossen werden (wie z.B.
elektronische Anzeige oder Ausdruck)

B §11.70 Verbindung Unterschrift/Dokument

Elektronische Unterschriften und
handgeschriebene Unterschriften die auf einer
elektronischen Aufzeichnung ausgeführt sind,
sollen mit der jeweiligen Aufzeichnung verknüpft
werden um sicherzustellen, dass die
Unterschriften nicht herausgeschnitten, kopiert
oder anderweitig übertragen um eine
elektronische Aufzeichnung mit normalen Mitteln
zu fälschen. 

Teil C Elektronische Unterschriften

C §11.100 Allgemeine Anforderungen

§11.100 (a) Jede elektronische Unterschrift soll
einzigartig für eine Einzelperson sein und soll
nicht von einer anderen Person wiederbenutzt
oder einer anderen Person zugewiesen werden.

§11.100 (b) Bevor eine Organisation die
elektronische Unterschrift oder ein beliebiges
Element einer elektronischen Unterschrift einer
Person einrichtet, zuordnet, zertifiziert oder auf
andere Weise genehmigt, soll die Identität der
Person überprüft werden.

§11.100 (c) Personen, die elektronische
Unterschriften verwenden, sollen vor oder zur Zeitihrer Benutzung der Behörde bescheinigen, dass
die elektronischen Unterschriften in ihrem System,
die am oder nach dem 20. August 1997 benutzt
wurden, als rechtlich verbindliches Äquivalent zu herkömmlich handgeschriebenen Unterschriften gelten. 
(1) Die Bescheinigung soll handschriftlich
unterschrieben in Papierform gesendet werden
an: 
Office of Regional Operations (HFC-100), 5600
Fishers Lane, Rockville, MD 20857.
(2) Personen, die elektronische Unterschriften
benutzen, sollen auf behördliche Anfrage
zusätzliche Bescheinigungen oder Zeugnisse
liefern, die eine spezifische elektronische
Unterschrift dem rechtlich verbindlichen
Äquivalent der handgeschriebenen Unterschrift
des Unterzeichners entspricht.

C §11.200 Komponenten elektronischer
Unterschriften und Kontrollen

11.200 

(a) Elektronische Unterschriften, die nicht
auf biometrischen Verfahren beruhen sollen:
(1) wenigstens zwei verschiedene Komponenten
zur Identifizierung verwenden, wie zum Beispiel
einen Identifizierungscode und Passwort

11.200 (a)(1)(i) 
Wenn eine Einzelperson eine
Serie von Unterschriften während einer einzigen,
kontinuierlichen Sitzung mit kontrolliertem
Systemzugang ausführt, soll die erste Unterschrift
mit allen elektronischen Signaturkomponenten
ausgeführt werden; folgende Unterschriften
können ausgeführt werden unter Benutzung
wenigstens einer Komponente die nur durch
diesen Benutzer ausgeführt werden kann und so
gestaltet, dass sie nur durch diese Einzelperson
benutzt werden kann.

11.200 (a)(1)(ii) 
Wenn eine Einzelperson eine
oder mehrere Unterschriften ausführt, die nicht
während einer einzigen, kontinuierlichen Sitzung
mit kontrolliertem Systemzugang geleistet werden,
soll jede Unterschrift mit allen zugehörigen
Unterschriftskomponenten geleistet werden.

11.200 (a)(2) 
Elektronische Unterschriften, die
nicht auf biometrischen Methoden basieren, sollen nur von dem authentischen Eigentümer benutzt werden. 

11.200 (a)(3) 
So appliziert und ausgeführt, dass
sichergestellt wird, dass die versuchte Benutzung
der elektronischen Unterschrift einer Person durch eine andere Person als dem authentischen
Eigentümer die Zusammenarbeit von zwei oder
mehr Individuen benötigt.

11.200 (b) 
Elektronische Unterschriften basierend
auf biometrischen Methoden sollen so entworfen werden, dass sichergestellt wird, dass sie von keinem anderen als dem authentischen
Eigentümer verwendet werden können.

C §11.300 
Kontrollen für Identifizierungscodes
und Passwörter.
Personen, die elektronische Unterschriften auf
Basis von Identifizierungscodes in Verbindung mit Passwörtern verwenden, sollen Kontrollen
anwenden, welche ihre Sicherheit und Integrität
gewährleisten. Solche Kontrollen sollen
beinhalten:
 
11.300 (a) 
Beibehaltung der Einzigartigkeit einer
Kombination aus Identifizierungscode und
Passwort, so dass keine zwei Einzelpersonen
dieselbe Kombination aus Identifizierungscode
und Passwort haben.

11.300 (b) 
Sicherstellung, dass die Vergabe von
Identifizierungscodes und Passwörtern
regelmäßig überprüft, zurückgerufen oder revidiert werden (z.B. um den Fall der Passwortalterung abzudecken)
 
11.300 
Befolgung von Verlust-Management-
Verfahren um eine elektronische Deautorisierung verlorener, gestohlener, vermisster oder anderweitig kompromittierter „tokens“ (Chipkarte),
Karten und anderer Ein/Ausgabegeräte, welche
Identifizierungscodes oder Passwortinformationen
tragen oder generieren können, vorzunehmen und unter Benutzung strenger Kontrollen, vorläufigen oder permanenten Ersatz zu schaffen.
11.300 (d) 
Benutzung von Transaktions-
Schutzmaßnahmen um unbefugte Benutzung von Passwörtern und/oder Identifizierungscodes zu verhindern und zu erkennen und sofortig und dringend alle Versuche einer unberechtigten
Benutzung an die Systemsicherungseinheit und
falls notwendig an die vorgesetzte Organisation zu melden. 
11.300 (e) 
Initiale und periodische Überprüfung
von Ein/Ausgabegeräten, wie „tokens“ (Chipkarte) oder Karten, welche Identifizierungscodes oder
Passwortinformationen tragen oder generieren
können, zur Sicherstellung der korrekten Funktion und dass keine unbefugten Veränderungen
vorgenommen wurden.

Share by: