Contexto general

La opción de firma electrónica en iFIX ("eSignature") permite crear un entorno más seguro, exigiendo que los operadores firmen digitalmente cualquier cambio en el proceso o reconocimiento de alarmas. Estas firmas identifican al operador y pueden requerir una segunda firma de verificación.

Los registros de estas acciones se guardan en una base de datos relacional, lo que permite generar auditorías completas y consultar el historial fácilmente. Esta funcionalidad no requiere modificar pantallas, solo ajustar los tags en el Database Manager.


Además, la firma electrónica ayuda a cumplir con la normativa 21 CFR Parte 11 de la FDA, aunque su uso por sí solo no garantiza el cumplimiento completo. Para ello, conviene tener implementada una estrategia global de gestión de registros, firmas y procedimientos para el tratamiento de toda esta información. La funcionalidad de "eSignature" de iFIX será pues una herramienta clave en la implementación de esta estrategia, con los beneficios que ello conllevará desde el punto de vista de la gestión de un sistema SCADA regulado de acuerdo con estas prácticas.


Para más información, puede consultarse la documentación estándar de iFIX, en este enlace: Introduction to Electronic Signatures (iFIX v2024)



Funcionamiento

La firma electrónica es un registro digital que equivale a una firma manuscrita. Está formado por el nombre de la persona que realiza la acción en cuestión, así como de la persona que supervise esta acción (si fuera necesario tener supervisión) y otros detalles, como el tipo de acción realizada por esta persona, o comentarios respecto a la misma. 

Una firma siempre implica un nombre de usuario y una contraseña para validar su identidad, por lo que es un pre-requisito que tanto el servidor SCADA como el nodo iFix desde donde trabajará el operador, tengan la seguridad habilitada.

Otro pre-requisito será la definición de una base de datos relacional, que hará las veces de "audit trail" para registrar todos los eventos relacionados con la firma electrónica. Para más información sobre el despliegue y gestión de esta base de datos, consúltese la última sección de este artículo.

 

Configuración de la firma electrónica

Una firma electrónica se puede configurar sobre cualquier tag de la PDB de iFIX. Las opciones de firma y las áreas de seguridad de cada tag se configuran desde el Database Manager. En concreto desde el "Advanced tab" del diálogo de configuración del tag.


La configuración consta de 3 parámetros, de izquierda a derecha en la imagen anterior:

  • Tipo de firma electrónica 
    • "None": Sin firma electrónica para este tag (opción por defecto) 
    • "Perform Only": Solamente debe firmar quien realiza la acción
    • "Perform & Verify": Debe firmar tanto quien realiza la acción como un segundo usuario de verificación.
  • Opción de firma 
    Formato en el que se va a gestionar la firma electrónica
    • "Allow Continuous Use": 
      El operador, tras firmar 1 vez con usuario y contraseña, puede seguir firmando acciones posteriores solo con la contraseña. Esta opción no afecta al segundo verificador, si lo hubiere.
    • "Exempt Alarm Acknowledgement"
      Confirmaciones de alarmas (Acknowledgements) y borrados manuales de alarmas pueden quedar fuera de la solicitud de firma electrónica 
    • "Perform By Comment Required": 
      El operador debe proporcionar un comentario adicional que acompañe la firma. El segundo verificador, si lo hubiere, no está obligado a ello.
      Nota: Los comentarios pueden estar pre-configurados, para agilizar la tarea al operador. Consúltese el apartado "Using Comment Tables" de la documentación online de iFix, para más información.
  • Escrituras no-firmadas ("unsigned writes")
    Opción útil cuando tenemos tags que se van a escribir directamente por el operador desde el HMI (en cuyo caso se requerirá firma), pero también pueden ser escritos de forma indirecta desde scripts o medios automáticos (en cuyo caso     puede interesar que no se requiera firma). La clave es que tanto en un caso como en el otro, el sistema genere registros de auditoría, para informar de la escritura; tanto en un escenario como en el otro.

    Esto también aplica en arquitecturas en las que haya nodos cliente iFIX que no tengan la funcionalidad de eSignature habilitada (las escrituras desde estos nodos, se consideran siempre como peticiones no-firmadas)
Nota: El caso de las escrituras desde script es relevante, ya que puede ser una fuente de problemas si se añade la funcionalidad de firma electrónica masivamente, en una aplicación ya desarrollada con anterioridad.
Conviene destacar que existen procedimientos específicos para adaptar los scripts para que implementen también la firma electrónica, sí así lo requiriese la aplicación.


Uso de la firma electrónica por parte de los operadores

Cuando un operador realiza desde el HMI de iFIX una escritura sobre un tag con la firma electrónica habilitada (o una alarma relacionada con estee tag) el HMI de iFIX presenta automáticamente un formulario similar al del siguiente ejemplo: 

Nota: El costado izquierdo contiene la parte del operador que ejecuta la acción,
mientras que la parte derecha corresponde al segundo usuario, que actuaría como verificador.

Para una descripción más completa del formulario y sus campos, puede consultarse el siguiente enlace a la documentación online de iFIX: "Examining the Electronic Signature Dialog Box"


Tags con "eSignature" desde el Administrador de la PDB de iFIX

Desde el editor de la PDB ("Database Manager Spreadsheet"), existen una serie de columnas concretas relativas a la configuración de la firma electrónica. Son columnas que por defecto no están visibles, pero pueden ser fácilmente añadidas. Más información en este enlace de la doc online de iFIX

Destacar que las escrituras ordenadas directamente desde aquí, tienen la consideración de "unsigned writes"


Validación de una aplicación iFIX tras activar la Firma electrónica

Como siempre la clave está en validar que la aplicación sigue siendo funcional tras incluir la firma electrónica. La documentación online de ifIX propone varios temas a tener en cuenta para esta validación.


Revisión de los registros en la base de datos relacional ("eSignature Audit Trail")

Todos los mensajes de auditoría generados a partir de la gestión de la firma electrónica, se vuelcan en la tabla estándar de alarmas ubicada en la base de datos relacional (típicamente SQL). Desde aquí es posible su análisis e incluso la generación de informes específicos. 

La gestión de la creación de estos registros se realiza desde el propio "Alarm ODBC Service" de iFIX, tal y como queda explicado en este enlace. Normalmente es el servidor SCADA donde se define este servicio, para garantizar el mejor rendimiento en la aplicación.


En la tabla de alarmas estándar, se añade una serie de columnas por defecto, que ofrecen una completa descripción desde el punto de vista de auditoría de los eventos y transacciones relacionados con los tags cubiertos por la gestión de firma electrónica. Estas columnas estándar están definidas en este enlace.

  • Tag Description – campo de descripción del tag tal como se ingresó en la base de datos de proceso.

  • Operator Login User Name – nombre de usuario de la persona actualmente conectada a iFIX.

  • Operator Login Full Name – nombre completo de la persona actualmente conectada a iFIX.

  • Performed By User Name – nombre de usuario de la persona que realiza la acción.

  • Performed By Full Name – nombre completo de la persona que realiza la acción.

  • Verified By User Name – nombre de usuario de la persona que verifica la acción.

  • Verified By Full Name – nombre completo de la persona que verifica la acción.

  • Performed By Comment – comentario proporcionado por el operador que realiza la acción.

  • Verified By Comment – comentario proporcionado por el usuario que verifica la acción.

  • Message ID – Identificador Único Global (GUID) que identifica de forma única cada mensaje.


Adicionalmente, cada vez que un operador realice una acción se generarán mensajes en el sistema de alarmas de iFIX. Éstos podrán consultarse también desde los visores de alarmas estándar de iFIX.

Nota: los mensajes se envían a las alarm areas que estén configuradas para los mensajes de operador. Téngase en cuenta que éstas pueden no ser las mismas que las alarm areas definidas en el tag.