應對FDA檢查，S/MIME郵件證書如何使藥企實現郵件通訊合規化

近年來，醫藥行業蓬勃發展、越來越多的國內藥企走出國門進入歐美市場， FDA 對中國藥企的審查力度也在逐步加強。除了應對FDA 對藥品的安全性和有效性的審查外，藥企還需使用 S/MIME 郵件證書 與FDA 保持安全郵件通訊。藥企為什麼需要S/MIME 郵件證書，又該如何實現FDA 郵件安全合規化呢？國內郵件安全證書服務商 銳成資訊帶您探討一二。

為什麼需要S/MIME 郵件證書？

使用S/MIME 郵件證書主要基於自身和外部環境兩方面考慮。

1.    業務合規要求

為了維護資料完整性、準確性，有組織地管理檔案，以確保所有監管行動和決策都得到有效記錄，FDA 和GMP 認證均要求使用S/MIME 證書溝通來管理和維護電子郵件的安全性。電子郵件是法律法規認可的通訊方式，採用S/MIME 郵件證書籤名加密電子郵件，讓郵件資訊可作為制定法規、提交法規決策的有效依據。

2.    釣魚郵件攻擊頻發

在資料為王的時代，資料已經成為醫藥企業的核心資產之一，也是網路犯罪分子眼中的一塊肥肉。當前，面對嚴峻的疫情形勢，許多境內外駭客組織和網路犯罪團伙利用疫情相關資訊進行網路釣魚攻擊。據報告，自2020 年2 月以來，僅釣魚電子郵件已激增600% 以上。

（德國一家制藥公司擷取的“付款確認”通知的釣魚郵件）

所以，預防釣魚郵件僅靠自我的安全意識是完全不夠的，因為電子郵件系統的技術和協議的本身原因，其傳輸和儲存過程均是明文，故極易被篡改或竊聽。這就需要採用S/MIME 協議的郵件安全證書給電子郵件進行數字簽名和加密，確保郵件簽發者的身份，防止被釣魚，並保證郵件內容的真實性、完整性和有效性。

 

由此可看出，電子郵件通訊安全是醫藥行業主要關注點，這也是為什麼FDA 將S/MIME 郵件證書納入到安全合規條款中。那麼問題來了，S/MIME 證書是如何使藥企安全合規呢？

S/MIME 郵件證書解決方案

藥企廠商申請FDA 的GMP( 藥品生產質量管理規範) 認證所需的驗證資料，企業資訊，藥品資訊等相關敏感資料必須透過加密電子郵件內容，以便有效地保護資料隱私，防止資訊被篡改、洩露。如此以來，不僅僅需要利用SSL 證書加密保護瀏覽器或郵件客戶端到郵件伺服器、郵件伺服器到郵件伺服器之間的資料傳輸安全，防止郵件被攔截；更重要的是保護郵件本身的安全。

解決電子郵件安全，S/MIME 郵件證書就是一種簡單有效的方法。使用S/MIME 郵件證書可以對電子郵件的發件方和內容進行身份驗證的同時並對郵件內容進行加密。換句話說，受S/MIME 證書保護的電子郵件不僅可以向收件方證實發件方的真實身份，保證郵件的可信度，而且還可以讓傳送到開啟郵件的整個過程一直保持加密狀態，整個傳輸過程也不會被讀取，同時儲存在郵件伺服器的郵件內容及附件也是受到加密保護，從而給靜態資訊增加了另一層安全性。針對FDA 的要求，S/MIME 證書可以為藥企提供端到端加密，這也是是確保電子郵件通訊保持合規性的最直接有效的方法。

因此，在與FDA 進行郵件通訊之前，藥企必須部署受信任的CA 頒發的S/MIME 郵件證書。目前受FDA 支援的包含有 Digicert ，Sectigo ，GlobalSign ，sslTrus 銳安信 等。銳成資訊提示您可按照以下步驟實現與FDA 安全郵件通訊，滿足行業合規化：

1.      購買受信任CA 簽發的S/MIME 郵件證書；

2.      下載您的郵件證書；

3.      配置證書到您的郵件客戶端；

4.      在郵件客戶端撰寫一封簽名郵件，傳送給FDA ，讓其獲取發件方的證書，這樣就可以與FDA 傳送簽名加密郵件，實現安全郵件通訊。

銳成資訊 深耕安全可信行業近十年，擁有豐富的行業服務經驗，旗下 sslTrus銳安信 提供國內領先的郵件安全證書解決方案，包括企業級大規模S/MIME 證書籤發和部署等，助力醫藥企業自動化實現行業合規性！

本文轉載於https://www.racent.com/blog/how-smime-can-help-pharmaceutical-enterprises-with-fda-compliance