Controls for Closed Systems
B-11.10.a Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability to discern invalid or altered records.
B-11.10.b The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. Persons should contact the agency if there are any questions regarding the ability of the agency to perform such review and copying of the electronic records.
B-11.10.c Protection of records to enable their accurate and ready retrieval throughout the records retention period.
B-11.10.d Limiting system access to authorized individuals.
B-11.10.e Use of secure, computer generated, time stamped audit trails to independently record the date and time of operator entries and actions that create, modify, or delete electronic records. Record changes shall not obscure previously recorded information. Such audit trail documentation shall be retained for a period at least as long as that required for the subject electronic records and shall be available for agency review and copying.
B-11.10.f Use of operational system checks to enforce permitted sequencing of steps and events, as appropriate.
B-11.10.g Use of authority checks to ensure that only authorized individuals can use the system, electronically sign a record, access the operation or computer system input or output device, alter a record, or perform the operation at hand.
B-11.10.h Use of device (e.g., terminal) checks to determine, as appropriate, the validity of the source of data input or operational instruction.
B-11.10.i Determination that persons who develop, maintain, or use electronic record/electronic signature systems have the education, training, and experience to perform their assigned tasks.
B-11.10.j The establishment of, and adherence to, written policies that hold individuals accountable and responsible for actions initiated under their electronic signatures, in order to deter record and signature falsification.
B-11.10.k Use of appropriate controls over systems documentation including: (1) Adequate controls over the distribution of, access to, and use of documentation for system operation and maintenance. (2) Revision and change control procedures to maintain an audit trail that documents time-sequenced development and modification of systems documentation.
B-11.10.a QALITEL contrôle la conformité des données saisies avant de procéder à leur enregistrement. Les écritures dans les bases de données SQL (MySQL ou Microsoft SQL serveur) se fait au travers de transactions garantissant ainsi leur fiabilité. La configuration de la base de données relationnelle lors du processus d'installation garantit le bon niveau de performances.
B-11.10.b Toutes les listes de l'application QALITEL disposent d'une option de requêtes permettant de filtrer les données affichées. Le résultat ainsi obtenu peut être :
- Exporté au format CSV (Excel)
- Formaté au sein d'un document RTF (Compatible Word, OpenOffice,…) personnalisable au sein de l'application par les Gestionnaires
B-11.10.c Les enregistrements sont stockés au sein d'une base de données de type SQL (MySQL ou Microsoft SQL Server). Les documents, images, photos,… sont stockés sur le disque dur. La sauvegarde de ces données est décrite dans la procédure de sauvegarde du client ou de ScoQi dans le cas d'un hébergement SAAS.
B-11.10.d L'accès à l'application QALITEL se fait par le couple identifiant / mot de passe ou par une connexion LDAP / Active Directory (SSO). Les utilisateurs QALITEL sont définis et affectés à des groupes d'Utilisateurs propres à QALITEL leur donnant ainsi un rôle (habilitations, permissions) spécifique. Seuls les utilisateurs définis au sein de QALITEL peuvent accéder à l'application. Toutes les connexions et tentatives de connexions sont historisées.
B-11.10.e QALITEL génère automatiquement un audit trail historisant pour toutes les insertions, modifications et suppressions de la base de données les informations suivantes :
- Date et heure de l'événement
- Utilisateur ayant effectué l'opération
- Action effectuée
L'audit trail est consultable par les responsables habilités au sein d'une interface permettant d'effectuer des requêtes afin d'identifier précisément l'historique des opérations effectuées. Il est possible d'effectuer des extractions de l'audit trail selon différents formats tels que l'export CSV. L'audit trail est enregistré dans la base de données d'exploitation et fait partie du processus de sauvegarde. Il n'y a aucune limite dans la durée de conservation des données de l'audit trail.
B-11.10.f Les workflows définis dans l'application QALITEL sont configurés par les gestionnaires et s'appliquent ensuite de manière automatique aux utilisateurs.
B-11.10.g L'accès à l'application n'est autorisé qu'aux utilisateurs QALITEL définis. Ceux-ci, en fonction de leur groupe Utilisateur d'appartenance, disposent de permissions clairement définies en termes d'ajout, modification et suppression d'enregistrements. L'accès aux différentes fonctions du logiciel est également défini au niveau de ce groupe Utilisateur. La signature électronique, activée pour la validation de fonctionnalités « sensibles », force l'utilisateur à resaisir son identifiant / mot de passe pour la prise en compte de son action.
B-11.10.h QALITEL assure la conformité de la saisie des utilisateurs en intégrant différents niveaux contrôles intégrés aux applications ou configurable par les Administrateurs. Les tentatives de connexions à QALITEL sont historisées dans le journal des connexions.
B-11.10.i Les personnes en charge du développement des applications QALITEL ont de nombreuses années de développement dans les langages de développement Web. De plus, ScoQi utilise des méthodes de développement validées (cycle en V) et fournit, contractuellement (voir nos prestations de plans de validations), aux clients à chaque mise à jour le plan de validation. Le paramétrage des comptes Utilisateurs de QALITEL ainsi que les permissions et habilitations associées sont de la responsabilité du client. ScoQi tient néanmoins, dans le cadre de son assistance technique, ses techniciens à disposition de ses clients pour valider avec eux la conformité du paramétrages des comptes Utilisateurs par rapport à leurs exigences.
B-11.10.j L'utilisateur est responsable des actions effectuées sous son nom. QALITEL intègre ainsi un système de déconnexion automatique en cas de non-utilisation du logiciel au-delà d'un temps donné. Pour toutes les opérations critiques, l'utilisateur doit s'authentifier en saisissant son identifiant / mot de passe. Les règles de sécurité intégrées à QALITEL permettent des renouvellements réguliers des mots de passe.
B-11.10.k ScoQi fournit des livrets de formation pour les Administrateurs et Gestionnaires de QALITEL. Les Utilisateurs disposent de fiches de formations et autres modes opératoires. Tous ces documents sont mis à jour et diffusés à chaque nouvelle version des applications QALITEL.