7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos

1/3

Jueves 11 de octubre de 2012 DIARIO OFICIAL (Segunda Seccin) 1

SEGUNDA SECCION

PODER EJECUTIVO

SECRETARIA DE SALUDNORMA Oficial Mexicana NOM-241-SSA1-2012 !"ena# $%&c'ica# (e fa)%icaci*n $a%a e#'a)leci+ien',# (e(ica(,#

a la fa)%icaci*n (e (i#$,#i'i,# +.(ic,#/

15.8 Sistemas computacionales

15.8.1Deben validarse los sistemas y aplicaciones computacionales que impacten en la calidad del

producto relacionado con:

15.8.1.1Transferencias de materiales y producto

15.8.1.2Disposicin de materiales y producto

15.8.1.3Control de procesos e instrumentos analticos

15.8.1.4Control de sistemas crticos

15.8.1.5 Cuando un sistema o aplicacin computarizada genere registros electrnicos y/o emplee firmas

electrnicas. Se debe considerar los numerales !.".# y !.".$.

15.8.1.6%o aplica a los registros en papel que son o &an sido transmitidos por medios electrnicos'

siempre y cuando no sirvan o se usen para tomar decisiones o se usen para realizar actividades reguladas

basadas en estos documentos.

15.8.2 Son considerados registros electrnicos:

15.8.2.1 (os documentos y registros requeridos en el contenido de )sta y otras normas aplicables que son

creados' modificados' mantenidos' arc&ivados' recuperados y/o transmitidos a trav)s de sistemas

electrnicos.

15.8.2.2 Cuando se utilicen sistemas electrnicos para la creacin' modificacin' mantenimiento' arc&ivo'

recuperacin y/o transmisin de registros electrnicos deber*n establecerse procedimientos y controles

dise+ados para asegurar la autenticidad' integridad y cuando aplique confidencialidad de los registroselectrnicos' y para asegurar que las firmas electrnicas no puedan ser declaradas como no genuinas. (os

procedimientos y controles deben incluir lo siguiente:

15.8.2.2.1 (a validacin de los sistemas para asegurar la e,actitud' confiabilidad' funcionalidad'

7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos

2/3

2 (Segunda Seccin) DIARIO OFICIAL Jueves 11 de octubre de 2012

15.8.3 0ara el caso de firmas electrnicas:

15.8.3.1 Deben contener la informacin asociada con la firma que claramente indiquen el nombre en letra

de molde de la persona que firma' la fec&a y &ora de cuando fue eecutada la firma y el propsito asociado

con la misma.15.8.3.2 -stas deben ser nicas para cada persona y cuando se d) el caso de un cambio' )sta no debe

repetirse o reasignarse a otra persona.

15.8.3.3 Cuando el uso de firmas electrnicas sea adoptado' se debe establecer la fec&a a partir de la cual

las firmas electrnicas son vigentes y equivalentes a las firmas autgrafas' para lo cual es necesaria una

constancia firmada por dos testigos.

15.8.3.4 (as firmas electrnicas que no est)n basadas en biom)tricas deber*n:

15.8.3.4.1 -mplear al menos dos elementos distintos tales como un cdigo de identificacin y una

contrase+a.

15.8.3.4.2 -l ingreso de una persona a un sistema de acceso controlado deber* realizarse con todos los

elementos de la firma electrnica indicados en el numeral anterior1 los accesos subsecuentes durante la

misma sesin podr* realizarlos con uno de los elementos.

15.8.3.5 (as personas que utilizan firmas electrnicas basadas en el uso de cdigos de identificacin en

combinacin con contrase+as' emplear*n controles para garantizar su seguridad e integridad y que incluyan:

15.8.3.5.1 -l mantenimiento de cada combinacin de cdigo de identificacin y contrase+a de manera tal

que ninguna otra persona tenga la misma combinacin.

15.8.3.5.2 -l aseguramiento de que la emisin de los cdigos de identificacin y contrase+as sea

renovada o revisada peridicamente.

15.8.3.5.3 Contar con procedimientos aprobados para el caso de contingencias tales como fic&as' taretas

y otros dispositivos perdidos' &urtados o desaparecidos que lleven o generen informacin de cdigos de

identificacin o contrase+as para emitir reemplazos temporales o permanentes utilizando controles adecuados

y rigurosos.

15.8.3.5.4 2ecanismos de proteccin de las transacciones para evitar el uso no autorizado de contrase+as

y/o cdigos de identificacin' y para detectar e informar de manera inmediata y urgente a la 3nidad del

sistema de seguridad y' cuando sea apropiado' a la gerencia del establecimiento de cualquier intento de su

uso no autorizado.

15.8.3.5.5 0ruebas iniciales y peridicas a los dispositivos tales como fic&as o taretas que llevan o

generan informacin de cdigos de identificacin o contrase+as para asegurar que funcionan apropiadamente

7/26/2019 Nom-241-Ssa1-2012. Seccion Validacion de Sistemas Electronicos

3/3

Jueves 11 de octubre de 2012 DIARIO OFICIAL (Segunda Seccin)