Firma electrónica — Reautenticación
Toda acción regulada en eQMS requiere que confirmes tu identidad con contraseña. Este proceso es el corazón de la trazabilidad ALCOA+.
21 CFR Parte 11 — Firmas electrónicas. La reautenticación en eQMS cumple los requisitos de la FDA para firmas electrónicas en sistemas de registros electrónicos: unicidad de identidad, contraseña no compartida, y registro inmutable en el audit trail.
¿Qué es la firma electrónica?
Cuando ejecutás una acción con impacto regulatorio (aprobar un documento, completar un training, avanzar un evento de calidad, etc.), el sistema te muestra el modal de firma electrónica. Este modal te pide que confirmes tu identidad con tu contraseña.
La firma electrónica no es solo seguridad: es el mecanismo que le dice al sistema "yo, como persona identificada, autorizo esta acción en este momento exacto". Ese vínculo queda registrado permanentemente en el audit trail.
¿Cuándo aparece la firma electrónica?
La firma electrónica aparece en todas las transiciones de estado reguladas de todos los módulos:
- CDMS: todas las transiciones de documentos (enviar, aprobar, rechazar, efectivizar, retirar, nueva versión)
- CTR: firmar como técnico, firmar como verificador, efectivizar bundle, reabrir
- TMS: acuse de lectura, completar training
- CCM: aprobar/rechazar Change Control, completar verificación
- QEM: todas las transiciones FSM del evento de calidad
- AUM: transiciones de auditorías, cierre de hallazgos
- Documentos externos: firma de aceptación de Quality Agreement
- Retención: transferir a retención permanente
Cómo usar el modal de firma
El modal muestra el título y descripción de la acción que vas a firmar, incluyendo advertencias si corresponde (por ejemplo, "Esta acción es irreversible").
Escribí el motivo de la acción. Para rechazos, retiros y cierres con discrepancia, el mínimo es 15 caracteres. El campo puede tener razones predefinidas seleccionables.
La misma contraseña que usás para acceder al sistema. Podés usar el ojo para mostrarla/ocultarla. No compartás tu contraseña — la firma es personal e intransferible.
El sistema valida la contraseña, genera el token de reautenticación y ejecuta la acción. Todo el proceso queda registrado en el audit trail.
El token de 60 segundos
Cuando ingresás tu contraseña, el sistema genera un token de un solo uso con validez de 60 segundos. Si el proceso tarda más de 60 segundos (por ejemplo, conexión lenta), el token expira y necesitás generar uno nuevo volviendo a ingresar la contraseña.
El token expira. Si el sistema te informa que el token es inválido o expiró, hacé clic en "Cancelar" y volvé a ejecutar la acción desde el principio. No pierdas tiempo con la contraseña ingresada.
El hash de la entidad
En algunos modales, debajo de la descripción de la acción, vas a ver un código alfanumérico largo. Es el hash criptográfico de la entidad sobre la que estás firmando (por ejemplo, el ID de la versión documental o del evento).
Este hash es parte del mecanismo de integridad de 21 CFR Pt. 11: garantiza que la firma está vinculada exactamente al objeto que corresponde y que no puede ser transferida a otro objeto. No necesitás entenderlo ni recordarlo — es información técnica para auditorías.
Preguntas frecuentes
Estar logueado en el sistema solo verifica que sos vos al inicio de la sesión. La reautenticación en cada acción regulada garantiza que la persona que está frente a la pantalla en ese momento preciso es quien dice ser, no alguien que tomó la computadora desbloqueada. Esto es un requisito de 21 CFR Parte 11.
El sistema te informa el error y podés intentarlo nuevamente. La acción no se ejecuta hasta que la firma sea válida. Los intentos fallidos pueden quedar registrados según la configuración de seguridad del sistema.
Sí. El botón "Cancelar" o la tecla Escape cierran el modal sin ejecutar ninguna acción. No queda ningún registro en el audit trail de la cancelación.
Sí. La justificación que ingresás queda registrada en el campo de comentario del evento de audit trail y en el registro de aprobación/revisión asociado. Escribí algo descriptivo y claro.
Compartir credenciales de acceso está prohibido y constituye una violación de los procedimientos GMP. La firma electrónica es personal e intransferible. Si sospechás que alguien usó tus credenciales, reportalo inmediatamente al área de Calidad y cambiá tu contraseña.