DEA重新开放2010年对受控物质的电子预订的规则，以更新生物识别要求

毒品执法局（DEA）发表了临时最终规则（IFR）联邦公报2010年3月31日，为受控物质的处方者提供了直接向患者药房的受控物质编写电子或以数字方式提交的处方的选项 - 越来越多的州单独通过其法律来遵守法律。

DEA是否在IFR的评论期重新打开了DEA的重新打开，该公司在最近的评论期间发挥了作用注意它正在重新打开IFR“征求公众对特定问题的评论……有关受控物质的电子处方，以期预期随后发布有关这些主题的最终规则的最终规则”，以响应《对患者和社区的支持法》（支持法（支持法）签署为2018年10月24日的法律（支持法），该法案是在2018年10月24日签署的。多因素身份验证的生物识别成分相对于受控物质的电子处方。”

DEA说：“这项要求是一项更大规定的一部分，该规定修改了《社会保障法》，要求在2021年1月1日或之后开处方的E处方（除某些例外）。”

“自发布临时最终规则以来，DEA还表示，“已经收到了有关受控物质电子处方的实施和技术要求的各种问题的问题和请求，”和“因此，[因此，它正在重新开放2010年3月31日，注释期，直到6月22日。

同时，同样，DEA发布了一项名为“使用镇痛和药物歧视测定法对合成阿片类药物进行评估的倡议请求”，其中包含生物识别成分。 DEA解释说：“将这些综合阿片类药物置于永久性控制之下，”“需要药理数据”，“镇痛是一种与阿片类药物相关的药理学特性”，并“评估滥用药物的滥用性刺激 - 对滥用的促进性的重要性和研究的依赖性的研究 - 评估歧视性刺激的刺激 - 对依据的研究很重要。与已建立的阿片类药物（例如吗啡或芬太尼）相比，合成的阿片类药物将有助于确定这些物质的类似阿片类药物的效果和滥用的潜力，因此，供应商可以评估该合成的核心效果，并启动了die epentivitive of time sepentive of dea is of die sepentive of die sepentive。方式。”

根据本合同，DEA获得了有关承包商个人的个人身份信息（PII）。 PII可以包括与教育，金融交易，病史和许多其他细节以及生物识别记录有关的信息。

DEA在《支持法》的结果上说：“从历史上看，联邦法律要求以书面形式发行受控物质的处方，只有通过发布纸质处方才能满足该要求。但是，DEA在2010年修改了其法规，以便为从业人员提供对受控物质（EPCS）发行电子处方的选项，而不是纸张。

IFR在21 CFR部分1300、1304、1306和1311中的DEA法规中进行了整理。这些规定控制了电子处方过程的许多不同方面，并在IFR中进行了重大详细的解释。

根据《支持法案》并给定“自发布以来的时间流逝以及技术发展的迅速步伐） - 除了DEA继续收到有关IFR要求的问题和澄清请求之外，DEA还可以将IFR重新开放，以便将IFR重新开放，以便对公众对特定问题的评论进行评论，以前是DEA的某些人，以前提出了评论，以进行评论，以供您进行评论。

DEA说：“预计此类评论将对这些主题完成最终规则，这将是有帮助的。” DEA还说：“如前所述，国会要求DEA对其中一个问题进行'更新'法规，即两因素身份验证的生物特征组成部分，公众的评论可能会帮助DEA这样做。DEA提醒评论者想提醒他们只有在DEA的情况下才能确定这些新方法的任何新方法，同时又可以确定这些新方法的能力，并且可以在这些方法中确定并确定自己的安全性，并且要逐步确定自己的安全性，并且要逐步确定自己的能力。

具体而言，DEA正在就以下问题征求公众意见。

•DEA目前要求身份验证证书是保护从业者免受内部滥用以及外部威胁的两因素。是否可以替代两因素身份验证，可以为电子处方提供同样安全，安全且封闭的系统，同时更好地鼓励采用EPC？如果是这样，请描述替代方案，并指出特别是如何更好地促进EPC的采用而不降低系统的安全性。

•从业者使用通用第二因素身份验证（U2F）吗？如果是这样，例如，近场通信（NFC），蓝牙，USB或无密码）？

•从业人员使用蜂窝电话作为硬令牌，还是作为两因素身份验证的一部分？短消息服务（SMS）是否被用作用于签署受控物质处方的身份验证因素之一？

IFR还需要在NIST SP 800-63-1的保证第3级进行CSP或CA进行标识证明，电子身份验证指南。 DEA说：“如前所述，由于技术的更新，NIST SP 800-63-3，数字身份指南，现在提供了最新的相关身份证明指南。并且，根据NIST SP 800-63-3，相关的保证水平是身份保证2级。”

DEA说：“认为在NIST SP 800-63-1的保证第3级进行远程身份验证的能力以及NIST SP 800-63-3的身份保证2级的能力确保农村地区的从业者可以获得身份验证的凭证，而无需旅行。”

The agency “further believes that application providers work with CSPs or CAs to direct practitioners to one or more sources of two-factor authentication credentials that will be interoperable with their applications. Additionally, IFR provision 21 CFR 1311.105 requires a CSP providing EPCS authentication credentials be approved by the General Services Administration's Office of Technology Strategy/Division of Identify Management to conduct identity proofing at Assurance Level 3 or above of NIST SP 800-63-1（即，身份保证2级或更高的NIST SP 800-63-3）。” DEA说，“已经收到了要求澄清这一要求的问题，”因此，它“寻求对这种身份证明方法的评论，以及有关是否澄清有关CSP批准的语言是否会有所帮助的更多评论。”

因为DEA“强调允许但不需要机构实践者进行身份证明……如果机构从业人员决定让每个从业者获得身份证明，并且正如其他个人从业人员所做的那样，在规则下，这是可以允许的。”尽管如此，DEA还是想进一步了解“机构实践者的这种认同证明方法”。

DEA还在寻求对机构从业人员使用的方法来远程验证从业者身份的评论。例如，是否可以使用视频远程查看从业者的驾驶执照或其他形式的身份证明？

IFR进一步“要求与发行受控物质处方相关的逻辑访问控件的任何设置或更改定义为可审核事件，并且将更改的记录保留为内部审计跟踪的一部分。”因此，“ DEA正在寻求对单个从业者进行逻辑访问控制方法的评论。特别是，DEA正在寻求DEA是否可以对DEA进行此要求的任何调整，这将减少其对从业者的负担，同时仍保护EPC的完整性。”

继续，DEA的IFR阐述了“机构从业者必须如何为其电子处方应用建立逻辑访问控制的要求”，包括该机构证书办公室的至少两个人提供了机构的一部分，该机构可以用授权签发受控物质处方的从业人员使用从业人员来控制计算机应用程序。授予从业者授予访问的数据的输入还需要至少两个人参与，一个人输入数据，另一个人批准该条目。机构注册人负责指定和记录可以执行这些功能的个人或角色。并且必须在以下任何一个发生以下任何情况下撤销从业者的访问：机构从业者的访问权限或在适用的情况下，个人执业者的DEA注册在没有续签的情况下到期，或者被终止，撤销或中止；从业者报告说，与两因素身份验证凭证相关的令牌或其他因素已丢失或损害，或者个人从业者不再被授权使用机构从业者的应用。”

为此，DEA正在寻求对这种机构从业者进行逻辑访问控制方法的评论。

IFR还要求安全事件（违反电子处方申请的处方记录的完整性，可审计的事件）在一个工作日内向该申请的提供商和DEA报告。 DEA说，因此“正在寻求EPCS应用程序用户是否遇到过安全事件的评论，如果是，他们是否遇到了任何报告遇到的困难。”

DEA还说：“通常是在IFR或其他EPCS领域的任何方面都在寻求评论。

•在采用和实施EPC中，遇到了哪些类型的注册人在其工作流程中，主要是处以处方者使用电子健康记录（电子病历）的地方？

•当前正在使用哪些类型的设备来创建，签名，传输和过程受控物质？例如，是否使用iOS或Android移动设备，Chromebook，Windows笔记本电脑/台式机，Mac OS或其他的从业者？

•由于用于完成验证的方法，使用两因素身份验证是否存在问题（例如，禁止或有限的蜂窝服务，对外部USB设备的限制，离线系统访问）？

•两因素身份验证是否导致有效的工作流程障碍？

•在采用和实施EPC时，长期和急性护理机构的工作流程是否会面临障碍？

由于“许多机构已将生物识别技术作为其用于电子应用的身份验证的一部分，因此DEA还寻求对以下内容的评论：

•当前正在使用哪些类型的生物识别验证凭证（例如，指纹，虹膜扫描，手印）？

•生物识别技术的实施是如何满足两因素身份验证要求的一种选择，使EPCS计划受益？

•在继续满足身份验证要求的同时，是否有生物识别技术的替代方法可能导致EPC的采用率更高？如果是这样，请描述选项，并指出具体来说，这将如何改进IFR中的身份验证要求。