2, Oct 2025
“Fase de operación” un marco teórico descrito en el “Anexo 11” para la validación de sistemas computarizados.
Anteriormente, logramos definir el alcance del proceso de validación, al momento de enfrentar un proyecto que involucre sistemas computarizados (Leer articulo previo). Como complemento a dicho artículo, seguiremos analizando el “Anexo 11” de la comisión europea (Eudralex) , para abordar el enfoque de “operación” y conocer los requerimientos normativos para llevar a buen puerto nuestro proyecto.
La fase de operación de validación de sistemas computarizados, la podemos definir como: la evidencia documentada de un sistema computarizado para cumplir con los requerimientos operacionales y funcionales descritos en la especificación, con base en el propósito de diseño definido. A continuación, mencionaremos aspectos operativos relevantes al enfrentar un proceso de validación en su etapa de “operación”.
Fase de proyecto «OPERACIÓN»
Durante la etapa de calificación de operación de sistemas computarizados, debemos considerar que las pruebas deben evidenciar el cumplimiento regulatorio y de funciones operacionales de diseño. Los atributos para revisar y evidenciar son los siguientes:
Datos. Los sistemas informáticos que intercambian datos electrónicamente con otros sistemas, deben incluir controles integrados adecuados para la introducción (captura) y el correcto y seguro procesamiento estos, con el fin de minimizar los riesgos.
Controles de precisión. En el caso de datos críticos introducidos manualmente, se debe realizar una comprobación adicional de su precisión. Esta comprobación puede ser realizada por un segundo usuario o por medios electrónicos validados. La criticidad y las posibles consecuencias de la introducción errónea o incorrecta de datos en un sistema deben estar cubiertas por la gestión de riesgos.
Almacenamiento de datos. Los datos deben protegerse contra daños, la protección será por medios físicos y/o electrónicos. Durante la validación del presente requerimiento, se debe comprobar la: accesibilidad, legibilidad y precisión de los datos almacenados. El acceso a los datos debe garantizarse durante todo el período de retención.También, se deben realizar copias de seguridad periódicas de todos los datos y registros relevantes. Así como, pruebas de integridad y precisión de los datos obtenidos de copias de seguridad, verificando con esto la capacidad de restauración.
Impresiones (Inspeccionalidad de registros). Debe ser posible obtener copias impresas nítidas de los datos almacenados electrónicamente y, a su vez, que estas impresiones muestren la información precisa respecto a la mostrada en el sistema.
Registros de auditoría y/o «LOG» de trazabilidad. Se debe considerar, con base en una evaluación de riesgos, la integración dentro del sistema de un mecanismo de registro de cambios y eliminaciones de datos y registros. Para cambios y/o eliminación de datos relevantes GxP, se debe documentar y/o trazar mediante una justificación el motivo de dicho cambio. Los registros (reportes) de auditoría deben estar disponibles, ser convertibles a un formato generalmente inteligible, estar siempre activos y permitir su revisión de forma periódica.
Gestión de cambios y configuración. Cualquier cambio en un sistema informático, que incluya las configuraciones del sistema, deben realizarse de forma controlada, bajo un procedimiento definido de controles de cambio. Para cambios de atributos de configuración, el sistema debe ser capaz de gestionar la trazabilidad de dichos cambios mediante perfiles de acceso autorizados.
Evaluación periódica (Mantenimiento de estado validado). Los sistemas informáticos deben evaluarse periódicamente para confirmar que se mantienen en un estado válido y, estos siguen cumpliendo con los parámetros GxP. Dichas evaluaciones deben incluir, cuando corresponda: la funcionalidad actual, los registros de desviaciones, los incidentes, los problemas, el historial de actualizaciones, el rendimiento, la fiabilidad, la seguridad, los controles de cambios, los hallazgos de auditoría y los informes de mantenimiento de estado validado previos.
Seguridad. Para los sistemas informáticos se deben implementar controles físicos y/o lógicos para restringir el acceso al sistema a personas autorizadas. Los métodos adecuados para prevenir el acceso no autorizado al sistema, pueden incluir el uso de llaves (ID), tarjetas de acceso, códigos personales con contraseñas, datos biométricos etc. El alcance de los controles de seguridad depende de la criticidad del sistema informático. El sistema debe ser operativamente funcional para registrar la creación, modificación y cancelación de autorizaciones de acceso. Los sistemas de gestión de datos y documentos deben estar diseñados para registrar la identidad de los usuarios que: introducen, modifican, confirman o eliminan datos, incluyendo fecha y hora.
Gestión de Incidentes. Todos los incidentes, no solo las fallas del sistema y los errores de datos deben reportarse y evaluarse. Se debe identificar la causa raíz de un incidente crítico y, esta debe ser la base de implementación para las acciones correctivas y preventivas.
Firma Electrónica. Si el sistema computarizado tiene alcance para firma electrónica, se espera que las firmas electrónicas, cumplan con los siguientes atributos:
- tengan el mismo impacto que las firmas manuscritas dentro de los límites de la organización,
- estén vinculadas permanentemente a su respectivo registro,
- incluyan la hora y fecha de aplicación.
Continuidad del negocio. Para la disponibilidad de los sistemas informáticos que dan soporte a procesos críticos, se deberán establecer disposiciones para garantizar la continuidad del soporte para dichos procesos, en caso de una falla del sistema (por ejemplo, un sistema manual o alternativo validado). El tiempo necesario para la puesta en funcionamiento de las soluciones alternativas, deberá basarse en el riesgo y ser adecuado para cada sistema y proceso de negocio en particular al que brinda soporte.
Archivo. Deben existir procesos de archivo de datos. Los datos archivados deben permitir la verificación, la accesibilidad, la legibilidad y la integridad. Si se realizan cambios relevantes en el sistema (por ejemplo, en equipos o programas informáticos), se debe garantizar y probar la capacidad de recuperación de los datos.
Recuerda que, Deappharma, tienes un proveedor de soluciones informáticas en cumplimiento con la normatividad local NOM-059 BPF e internacional. Te invitamos a conocer nuestras soluciones, las cuales cumplen con los requerimientos CFR21 y Anexo 11 de la comisión europea. Nuestras soluciones satisfacen las regulaciones más exigentes de nuestro sector farmacéutico.
Conoce como transformamos el control de Libros de Excel con, eDocuSeed, y la gestión de validación de métodos analíticos con, eADMxL.
¡Te esperamos!
- 0
- Por Team deappharma
26, May 2025
Backup un requerimiento crítico en sistemas computarizados
En el mundo de la informática es relevante conocer lo relacionado a procesos de “Backup” ya que de esto depende un tránsito ágil y seguro de la información. Debemos considerar que este factor es fundamental en procesos informáticos. Por lo que, es necesario considerar factores que garanticen en medida de los posible la correcta gestión de este proceso.
Recordemos, que los respaldos de la información de nuestros sistemas informáticos no solo tienen como objetivo el almacenamiento, el acceso y la escritura lo mejor posible. Debemos considerar que no basta con tener un sistema de almacenamiento con un excelente rendimiento, si este es susceptible a la perdida total o parcial de la información que complique la recuperación de los datos.
Existen varias definiciones de Backup. En el presente articulo no buscaremos dar una más. Lo que si abordaremos considerando los riesgos que este proceso posee confeccionaremos una definición concreta respecto a los métodos y técnicas con las que se realiza.
¿Qué es un Backup?
Definiremos «Backup» también llamado copia de respaldo o de seguridad como la propiedad de un sistema informático para realizar copias SENSIBLES de información desde su medio o medios de almacenamiento, hacia un medio distinto de éste con el fin de recuperar la información con la mayor confiabilidad posible en caso de cualquier motivo incidente o modificación no deseada de los datos originales, para de esta manera obtener nuevamente, en un tiempo conveniente y razonable la operatividad del sistema del cual se hizo la copia previamente al incidente.
Cuando mencionamos datos sensibles nos referimos a datos y metadatos que conforman el sistema informático. Es decir, que al realizar la copia de la información con el objetivo de respaldarla no basta con copiar archivos, directorios, bases de datos. El sistema debe ser capaz de copiar todas las características y cualidades. Es decir, no solo se trata de resguardar la información contenida en el archivo, tambien es muy importante mantener la estructura o imagen de estos al momento de realizar el Backup bajo condiciones de ubicación, sus privilegios o permisos, si son de sólo lectura, de sistema, etc.
Si bien la tarea puede considerarse incomoda, y muchas veces sin sentido, nos evitará, sin ninguna duda, situaciones que hagan peligrar la operatividad de nuestros sistemas y el ahorro de muchas situaciones irremediables.
En la mayoría de los casos los backups se realizan en cintas magnéticas, aunque, esto depende del soporte de la información a elegir y el volumen de la información que requerimos resguardar.
Necesidad de un Backup
Supongamos que sufrimos un accidente y perdemos en el una parte o todo el equipo informático del cual disponemos para nuestros sistemas. El Hardware puede ser sustituido! Pero pensemos en la información contenida dentro del equipo.
Sean archivos o bases de datos, grandes o pequeños, sin importar el formato que tengan, la aplicación que los genero o el sistema operativo, no conseguiremos un seguro que los sustituya. El único seguro del que disponemos es el Backup.
La necesidad de un Backup no solo se justifica para recuperar la información borrada accidentalmente, los accidentes o descuidos humanos, desastres naturales o ataques exteriores no siempre pueden ser previstos o evitados.
A continuación, te enlistamos potenciales riesgos y causas que pueden generar la pérdida de información:
- Falla del medio de almacenamiento
- Fallas eléctricas
- Ataques externos
- Virus
- Robo o hurto
- Errores humanos
- Accidentes
- Problemas en aplicaciones
- Caballos de troya
- Desastres naturales
Backup como requisito de validación en sistema computarizados
El Backup en proceso de validación de sistemas computarizados es un rubro que no debe pasar por alto. El backup es un atributo que asegura la integridad y disponibilidad de los datos, lo que es esencial para la confiabilidad y el cumplimiento regulatorio. Este proceso es crucial se realice regularmente bajo protocolos que permitan verificar su integridad y capacidad de restauración.
El respaldo y su contraparte la restauración son importantes por las siguientes razones:
- Integridad de los datos: La validación de sistemas computarizados busca garantizar que el sistema funcione correctamente y de manera consistente, y los respaldos son fundamentales para mantener la integridad de los datos en caso de fallas o errores.
- Disponibilidad de los datos: En caso de fallas de hardware o software, los respaldos permiten restaurar la información y evitar la pérdida de datos, lo que es crucial para la continuidad de las operaciones.
- Cumplimiento regulatorio: Muchas regulaciones requieren la implementación de sistemas de respaldo y restauración para garantizar la seguridad y confiabilidad de los datos, especialmente en sectores como la industria farmacéutica.
- Evidencia de validación: La capacidad de restaurar los datos y verificar su integridad durante la validación demuestra que el sistema está correctamente configurado y funciona según lo previsto.
- Gestión de riesgos: Los respaldos y la restauración son una parte esencial de un plan de gestión de riesgos para proteger la información crítica de la organización.
Elementos clave para el respaldo y la restauración en la validación
- Identificación de datos críticos: Es importante identificar qué datos son críticos para la operación del sistema para ser respaldados.
- Elegir un método de respaldo adecuado: La selección de un método de respaldo (cinta magnética, disco duro externo, almacenamiento en la nube, etc.) debe basarse en las necesidades específicas de la organización.
- Programación regular de respaldos: Los respaldos deben realizarse de forma regular y en un horario que sea consistente con la frecuencia de los cambios en los datos.
- Pruebas de restauración: Se deben realizar pruebas periódicas para garantizar que los respaldos se pueden restaurar correctamente y que los datos están intactos.
- Documentación: Es importante documentar los procedimientos de respaldo y restauración, incluyendo la frecuencia de los respaldos, la ubicación de los archivos de respaldo y los pasos para restaurarlos.
- Control de cambios: En caso de cambios en el sistema computarizado, es necesario asegurar que los respaldos también se actualicen y se realicen pruebas de restauración para verificar que el sistema sigue funcionando correctamente en concordancia con la validación.
En, Deappharma, hemos desarrollados soluciones que se adapatan a los protocolos de tu organización para llevar a cabo los respaldos y restauraciones.
Conoce nuestras soluciones avanzadas de control para procesos analíticos mediante nuestros aplicativos, eADMxL y eADMqC. Tambien te invitamos a conocer nuestra solución ,eDocuSeed, el cual te ayudara a mentener, gestionar, trazar y auditar tus libros de Excel.
Contactanos y confirma como nuestras soluciones se adaptan a tus necesidades. ¡Da clic a qui para contactar!
¡Gracias por leernos!
5, Feb 2025
CFR21 Parte 11: Aspectos Relevantes de Cumplimiento
Un marco para la integridad de los registros electrónicos
La Parte 11 del Título 21 del Código de Regulaciones Federales (CFR21) establece los criterios bajo los cuales la FDA considera aceptables el uso de registros electrónicos y las firmas electrónicas en lugar de los registros en papel y las firmas manuscritas. Este reglamento es crucial para las industrias que están bajo la jurisdicción de la FDA, como las farmacéuticas, biotecnológicas y de dispositivos médicos.
Requisitos Generales
Para cumplir con CFR21 Parte 11, las empresas deben asegurarse de que sus sistemas electrónicos de gestión de registros y firmas cumplan una serie de requisitos específicos diseñados para garantizar la fiabilidad, integridad, autenticidad y confidencialidad de los registros electrónicos. Los requisitos son:
- Control de Acceso: Las empresas deben implementar controles estrictos para garantizar que solo el personal autorizado pueda acceder a los sistemas de registros electrónicos. Esto generalmente implica el uso de identificaciones de usuario y contraseñas únicas, así como procedimientos de autenticación de dos factores.
- Integridad de los Datos: Es esencial garantizar que los registros electrónicos sean exactos y completos, y que no puedan ser alterados de manera no autorizada. Esto se logra mediante el uso de controles de versiones, pistas de auditoría y otros mecanismos de control que registran todas las modificaciones y accesos a los datos.
- Firmas Electrónicas: Las firmas electrónicas deben ser únicas para cada usuario y deben estar vinculadas a su identidad de manera que sea posible verificar la firma de manera inequívoca. Además, las firmas deben estar asociadas de forma inseparable con los respectivos registros electrónicos a los que corresponden.
- Pistas de Auditoría: Los sistemas deben contar con una pista de auditoría que registre quién accede a los registros electrónicos y qué modificaciones se realizan. Estas pistas de auditoría deben ser revisables y no deben ser alterables.
Validación de Sistemas
Las empresas deben validar sus sistemas para asegurar que funcionan según lo previsto y que cumplen con los requisitos regulatorios. La validación incluye la documentación detallada de todos los procedimientos de prueba y la evidencia de que los sistemas han sido debidamente evaluados.
Beneficios del Cumplimiento
El cumplimiento con CFR21 Parte 11 ofrece múltiples beneficios, entre los cuales se incluyen:
- Mejora de la eficiencia: La digitalización de registros y firmas puede acelerar los procesos y reducir los errores asociados con los registros en papel.
- Aumento de la seguridad: Los controles de acceso y las pistas de auditoría mejoran la seguridad de los datos y ayudan a prevenir el fraude y la manipulación de registros.
- Facilitación de auditorías: Los registros electrónicos y las firmas digitales pueden ser más fáciles de auditar y revisar en comparación con los registros en papel.
El cumplimiento con CFR21 Parte 11 es fundamental para las empresas que operan bajo la regulación de la FDA. Al garantizar la integridad, autenticidad y seguridad de los registros electrónicos y las firmas, las empresas no solo cumplen con los requisitos regulatorios, sino que también mejoran la eficiencia y la seguridad de sus operaciones. La implementación cuidadosa de los controles y la validación de los sistemas son elementos clave para alcanzar y mantener el cumplimiento con esta regulación crítica.
¿Necesitas ayuda con la transformación digital? Te invitamos a conocer una solución confiable que te ayudara a brindar atributos ALCOA++ sobre documentos y hojas de cálculo.
En Deappharma hemos desarrollado, eDocuSeed un software [ON-PREMISE] que centraliza todos tus libros de Excel y documentos en un solo punto. eDocuSeed dota a los documentos y archivos, todos los atributos de integridad de datos necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico, dispositivos médicos y distribuidoras de medicamentos. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos en https://deappharma.com/contacto/ y solicita una demostración y asesoría gratuita.
¡Gracias por leernos!
30, Sep 2024
Entregables documentales para la calificación de sistemas computarizados.
La calificación de un sistema computarizado es un proceso documental que requiere enfoque, orden y consistencia lógica para llevar a buen puerto el proceso deseado. En ocasiones pensamos que los entregables documentales para validación de sistemas computarizados difieren según sea el caso de sistemas a validar. Lo más factible es que los procesos de validación sean estructurados y sistemáticos. De esta manera podremos establecer procesos o procedimientos replicables para estas actividades. ¿Pero que entregables documentales son los que se deben generan y mostrar ante una inspección regulatoria?
En este articulo te compartimos los documentos y su alcance dentro del proceso de calificación de sistemas computarizados para los sectores farmacéutico, almacenes y de dispositivos médicos.
El siguiente proceso lógico documental te servirá para procesos y proyectos de calificación de sistemas computarizados, tales cuales son: ERP, SAP, software personalizado, Software comercial, CRM, Plataformas Web y Hojas de cálculo.
ACUERDO DE NIVEL DE SERVICIO (SLA)
Un acuerdo de nivel de servicio es un documento de base legal y calidad. En este documento se establecen los alcances del proyecto. Así como, los entregables documentales, tiempo y responsabilidades entre el cliente-proveedor. Es importante, que este documento considere mencionar y acordar la estructuración de los procesos de actualización y la obtención de documentos de soporte como controles de cambio hacia el cliente para favorecer el mantenimiento del estado validado del servicio obtenido.
ANÁLISIS DE RIESGO
Un análisis de riesgo es un documento que establece como base la detección de eventos que pudiesen suceder durante el proceso de validación. Es decir, este documento establece eventos críticos y/o relevantes del sistema que deben ser cumplidos por el sistema. Y según aplique, el detalle de acciones a considerar si el sistema “per-se” manifiesta la falta de requerimientos normativos y de cumplimiento en integridad de datos. Se recomienda, que en este documento también se incluya la categorización del software a calificar-validar. Conoce acerca de las categorías de software aquí>>https://deappharma.com/gamp-5-y-la-categorizacion-de-software/
PLAN DE VALIDACIÓN
El plan de validación es un documento que establece como su nombre lo indica un plan de validación. Este plan establece de manera detallada las siguientes tareas:
- Definir la estrategia de la calificación-validación que se aplicara.
- Determinar los entregables que se generaran en cada actividad.
- Identificar el equipo de calificación-validación y pruebas junto con su responsabilidad para la finalización de cada actividad.
- Definir el procedimiento para las pruebas de calificación-validación.
ESPECIFICACIONES
Las especificaciones son la base documental para la estructuración de pruebas y evidencias. Dentro del proceso de calificación deben existir tres principales actores:
- Especificación de requerimientos de usuario de software: este documento establece y define de manera puntual cada requerimiento de usuario solicitado y cada requerimiento regulatorio que deberá ser evaluado con la determinación de su entregable. Este documento del sistema detalla: ambiente, propósito y manejo de datos, funciones de entrada, función de proceso, funciones de salida, funcione generales, características de usuarios, restricciones, suposiciones dependencias, requerimientos futuros, requerimientos de rendimiento requerimientos específicos, copias de seguridad, archivo y restauración y requisitos de conservación.
- Especificación de diseño: este documento establecer y define de manera puntual los detalles de infraestructura y técnicos que se requieren para que el sistema funcione y se instale correctamente. Este documento detalla: plataforma y entorno, interfaces, ajuste de configuración, nombre, versión, modelo, código, recuperación y requisitos.
- Especificación funcional: este documento establece y muestra barra de funciones, así como el alcance de cada una de ellas en un entorno productivo.
PROTOCOLOS DE CALIFICACIÓN
El protocolo de calificación es un documento que establece las instrucciones para llevar a cabo cada etapa del proceso. Este documento está estrechamente vinculado a las especificaciones y su entregables. Este documento puede ser uno solo o, segmentado a cuatro protocolos de calificación. Es importante mencionar, que, aunque la normativa no define que necesariamente deben ser protocolos. Se debe tener en cuenta que no se puede avanzar de etapa de calificación hasta haber concluido la previa en la cual no se determinen eventos críticos que detenga en proceso. De cualquier forma, el o los protocolos deben mostrar las instrucciones de verificación del diseño, instalación, operación y desempeño del sistema a dictaminar.
- Protocolo de diseño: es el documento que establece las instrucciones de trabajo con base en las especificaciones de diseño previamente autorizadas.
- Protocolo de instalación: es el documento que establece las instrucciones con base en la documentación del sistema y el sistema de gestión de la calidad del negocio. Así como, consideraciones del fabricante para llevar a cabo la instalación. Importante mencionar que esta etapa de instalación debe incluir como parte de su evaluación las operaciones de configuración del sistema.
- Protocolo de operación: es el documento que establece las instrucciones. Con base base, en la especificación de requerimientos de usuario de software. Esta etapa, define la evaluación de operaciones de entrada y proceso del sistema.
- Protocolo de desempeño: es el documento que establece las instrucciones de pruebas que se establecen con base en las especificaciones de funcionalidad sobre un proceso real de trabajo. Esta etapa define pruebas de transacciones generales estructuradas bajo eventos reales de trabajo.
REPORTE DE CALIFICACIÓN
El reporte de calificación es un documento que establece los resultados finales cada etapa del proceso. Este documento está estrechamente vinculado al o los protocolos de calificación. Este documento puede ser uno solo o, segmentado a cuatro reportes de calificación. Es importante mencionar, que, aunque la normativa no define que necesariamente deben ser reportes. Se debe tener en cuenta que no se puede avanzar de etapa de calificación hasta haber concluido el reporte previo en la cual no se hallan determinado eventos críticos que detenga en proceso. De cualquier forma, el o los reportes deben mostrar los resultados, hallazgos y acciones determinada en cada etapa que ha sido verificada par el: diseño, instalación, operación y desempeño.
MATRIZ DE TRAZABILIDAD
La matriz de trazabilidad es un documento en formato de tabla preferentemente que relaciona uno de los requerimientos con los entregables que se hayan solicitado. Este cuadro es de doble sentido ya que permite identificar que se resultado se alcanza a través de cada requisito y a la vez, que requisitos son los que permite obtener un entregable como resultado reportable.
CONCLUSIÓN
Un proceso de calificación ordenado, conciso y detallado tiene como principal beneficio el cumplimiento regulatorio.
Te invitamos a recibir nuestro apoyo en proyectos de calificación de sistemas computarizados. Nuestra esencia como empresa en el desarrollo de software y nuestro enfoque en el sector regulado te brinda el ¿Qué? y ¿Cómo? llevar a buen puerto tu proyecto.
¡Recuerda! que en deappharma tienes un aliado para realizar la validación de sistemas computarizados. ¡Con nuestro método obtendrás el cumplimiento requerido!
Nuestro servicio te da acceso a un beneficio totalmente gratis por un año. Este beneficio consiste en implementar eDocuSeed un software que centraliza todos tus libros de Excel y documentos en un solo punto. De esta manera les brindamos los atributos de integridad de datos, trazabilidad y mantenimiento necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico en México y Sudamérica. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos y solicita una demostración y asesoría gratuita ¡Quiero un asesoría y demostración!
¡Gracias por leernos!
20, Jun 2024
GAMP 5 y la categorización de software
Cuando abordas el desafío para validar sistemas computarizados debes considerar como etapa previa la categorización del sistema computarizado. Como bien sabemos la normatividad regulatoria referente NOM 059 para medicamentos y la NOM 241 para dispositivos médicos. No definen las categorias existentes asociadas a los sistemas computarizados. Estas normas de manera general solo hacen mención bajo lo siguiente:
“ 9.13.4. El proceso de validación debe abarcar todas las fases relevantes del ciclo de vida de acuerdo a la categoría y arquitectura del sistema, para asegurar la exactitud, integridad y consistencia en el desempeño previsto de los Sistemas Computacionales”
Por este hecho, hay que hacer uso de guías internacionales tales cuales nos brindaran soporte para poder definir dicho requerimiento. Una de las principales guías para tomar como referencia este concepto, es la GAMP5. La cual establece de manera simplificada pero concisa la categorización de sistemas computarizados y con esto poder abordar el proyecto de validación aplicable.
Hay dos maneras de utilizar las categorías para definir alcances, siendo los siguientes:
- Evaluación de sistemas completos: a nivel de todo sistema, se puede definir la categoría del componente principal para ayudar con el enfoque de evaluación de proveedor. Combinando esta categorización con la evaluación de impacto sobre las buenas prácticas (BxP) que el sistema manifiesta. Esto con el fin de ayudar a decidir la extensión requerida para la evaluación del proveedor, según aplique.
- Evaluación de riesgo funcional: Una evaluación de riesgo funcional para la categorización puede ayudar a incrementar la objetividad en la evaluación del proceso. El mayor riesgo se deriva de una elevada combinación entre mayor complejidad y menor experiencia de usuario. Una compresión de la categoría del software puede contribuir para evaluar los siguientes riesgos: riesgos de fallas y/o defectos y/o riesgos donde la detectabilidad de fallos depende de una función del sistema.
GAMP 5 establece las siguientes categorías de software: (1) Software de infraestructura; (3) Componentes estándar de sistema; (4) Componentes configurables; (5) componentes y aplicaciones personalizadas. A continuación, abordaremos la descripción general para cada categoría.
Categoría 1- Infraestructura de software, herramientas, y servicio de IT
Descripción: Software en capas, software usado para administrar los ambientes de operación e infraestructura. Software y/o sistemas que dan soporte a sistemas computarizados dentro de las actividades del ciclo de vida. Ejemplo; motores de base de datos, sistemas operativos, lenguajes de programación, herramientas de supervisión de redes y rendimientos, herramientas de programación, software y/o sistemas como herramientas de soporte para procesos de IT.
Categoría 3- Componentes estándar de sistemas
Descripción: Software donde se pueden introducir y almacenar parámetros en el momento de ejecución. Pero, no se pueden configurar los componentes del sistema para adaptarlos a los procesos empresariales. Ejemplo; aplicaciones basadas en firmware y COTS los cuales son productos comerciales disponibles en el mercado (commercial-off-the-shelf o COTS) listos para usar, que se adaptan a posteriori a las necesidades de la organización compradora, en lugar de encargar soluciones personalizadas o a medida.
Categoría 4-Componentes configurables
Descripción: Software regularmente complejo, que puede ser configurado por el usuario para introducir requerimientos específicos para el proceso del negocio. El código de software no es alterado. Ejemplo; LIMS, SCADA, ERP, Monitoreo de pruebas clínicas, DCS, ARD de reporteo, CDS, EDMS, CRM, hojas de cálculo.
Categoría 5- Componentes y aplicaciones personalizadas
Descripción: Software diseñado y codificado a medida para adaptarse al proceso del negocio. Ejemplo; interfaces a la medida, aplicaciones de IT desarrolladas de manera interna o externa, aplicaciones desarrolladas de manera interna o externa para procesos de control, firmware personalizado, hojas de cálculo con macros.
Estamos convencidos de que la categorización de software depende de la evaluación de impacto y enfoque basado en el riesgo. Sin embargo, el alcance de cada sistema y su evaluación individual determinara el grado de detalle en la ejecución de prueba dentro de la validación.
¡Recuerda! que en deappharma tienes un aliado para realizar la validación de sistemas computarizados. ¡Con nuestro método obtendrás el cumplimiento requerido!
Nuestro servicio te da acceso a un beneficio totalmente gratis por un año. Este beneficio consiste en implementar eDocuSeed un software que centraliza todos tus libros de Excel y documentos en un solo punto. De esta manera les brindamos los atributos de integridad de datos, trazabilidad y mantenimiento necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos y solicita una demostración y asesoría gratuita ¡Quiero un asesoría y demostración!
¡Gracias por leernos!
23, Ene 2024
Requerimientos generales para la validación de sistemas computarizados
Cuando hablamos de sistemas computarizados debemos tener en cuenta ciertos principios de validación que pueden repercutir la calidad de los resultados, el control de documentos y el almacenamiento de datos. El objetivo de la validación es garantizar la confianza en los datos de laboratorio capturados, procesados, notificados o almacenados por los sistemas informatizados. Un sistema validado garantiza la exactitud de los resultados y reduce los riesgos para la integridad de los datos. A continuación, abordaremos los requerimientos generales establecidos por la OMCL (Official Medicines Control Laboratories) de la unión europea (EDQM) para la validación de sistemas computarizados.
Inventario
Se debe mantener un inventario o una lista equivalente debe estar disponible. La información mínima que debe incluir el inventario de sistemas computarizados, es:
-Identificación y versión
-Propósito
-Estatus de la validación
-Tipo de almacenamiento
-Persona de contacto
Validación
Antes de su uso rutinario, el sistema informatizado deberá ser validado.
El objetivo de la validación es confirmar que las especificaciones del sistema informatizado se ajustan a las necesidades del usuario y los usos previstos mediante el examen y la aportación de pruebas objetivas y que los requisitos particulares pueden cumplirse de forma coherente.
El alcance de la validación dependerá de la complejidad y del uso previsto del sistema informatizado que se valide.
El esfuerzo de validación puede escalarse y adaptarse al tipo de sistema justificado por una evaluación de riesgos documentada.
Registro de problemas
Debe mantenerse un registro de los problemas identificados por los usuarios y de las medidas adoptadas.
Control de cambios
En caso de cambios en el sistema informático, incluidas las actualizaciones de versión, lo ideal sería en un entorno de prueba, tras lo cual deberá restablecerse el estado de validación.
Si es necesaria una revalidación, debe realizarse no sólo para validar el cambio individual, sino
también para determinar el alcance y el impacto de ese cambio en todo el sistema informatizado.
El alcance de la revalidación dependerá de la evaluación del cambio o cambios, que deberá estar
documentada. Un posible enfoque podría ser el uso de cuadernos de bitácora como se hace para los equipos, y/o la utilización de un procedimiento documentado de control de cambios.
Revisión periódica
El OMCL debe adoptar una política de comprobación periódica del sistema informatizado para evitar cualquier error y garantizar el mantenimiento del estado de validación. La frecuencia de las revisiones deberá definirse en función de los riesgos. Los sistemas informatizados deberán estar cubiertos por la estrategia de auditoría interna.
Seguridad y condiciones ambientales
Los sistemas informatizados deben estar protegidos contra cualquier intrusión que pueda modificar los datos y afectar a los resultados finales.
Las salas de servidores deben tener acceso restringido y contar con las condiciones necesarias para garantizar el correcto funcionamiento de los equipos (control de temperatura, medidas contra incendios, Sistema de Alimentación Ininterrumpida, etc.).
El acceso a los sistemas debe estar restringido al personal autorizado, mediante cuentas personalizadas y contraseña o método de identificación equivalente. Debe evitarse el uso de cuentas compartidas y genéricas para garantizar que las acciones documentadas en los sistemas informáticos puedan atribuirse a una única persona. Cuando no se disponga de cuentas personales o éstas no sean viables, deberán utilizarse combinaciones de registros en papel y electrónicos para rastrear las acciones del personal responsable.
Sólo la(s) persona(s) responsable(s) o el personal informático designado deben tener derechos administrativos para implementar cualquier actualización y/o instalación de sistemas informáticos, cambiar ajustes críticos del sistema (por ejemplo, registro de auditoría, hora/fecha) y gestionar los permisos de otros usuarios. Todas las tareas rutinarias, como las de análisis, deben basarse en una cuenta de usuario y una contraseña que no tengan derechos administrativos.
Los derechos administrativos deben documentarse y concederse únicamente al personal con funciones de mantenimiento del sistema (por ejemplo, informáticos) que sean totalmente independientes del personal responsable del contenido de los registros (por ejemplo, analistas de laboratorio, dirección del laboratorio).
Cuando no sea posible asignar de seguridad independientes, deberán utilizarse otras estrategias de control para reducir los riesgos para la integridad de los datos.
Los ordenadores deben bloquearse después de su uso y no debe permitirse a los usuarios cambiar los ajustes de fecha y hora.
El hardware utilizado debe cumplir los requisitos técnicos para que el trabajo se pueda realizar. Dichos requisitos incluyen, por ejemplo, los requisitos mínimos del sistema indicados por el fabricante del sistema. Estos requisitos deben estar predefinidos en función del uso previsto.
Los componentes de hardware deben ser instalados por personal cualificado (por ejemplo, personal de la Unidad de Tecnologías de la Información (TI), un técnico del fabricante del equipo, etc.).
Registro de auditoría
El sistema informático debe mantener un registro de todas las acciones críticas que se produzcan, por ejemplo, quién ha accedido a él y cuándo, cualquier supresión o modificación de datos, etc. Si un sistema informatizado no registra automáticamente una pista de auditoría, el OMCL deberá mantener un registro alternativo.
No se permitirá a los usuarios modificar o desactivar las pistas de auditoría o los medios alternativos de proporcionar trazabilidad de las acciones de los usuarios.
En todos los sistemas informatizados nuevos deberá tenerse en cuenta la necesidad de implantar una función de pista de auditoría adecuada.
Cuando un sistema informatizado existente carezca de pistas de auditoría generadas por ordenador, el personal utilizará medios alternativos como el uso controlado por procedimientos de libros de registro, control de cambios, control de versiones de registros u otras combinaciones para cumplir el el requisito de trazabilidad para documentar el qué, quién, cuándo y por qué de una acción.
Firmas electrónicas
Si se utilizan firmas electrónicas, una declaración sobre la equivalencia de la firma electrónica a la firma manuscrita o declaración legal similar debe existir dentro del sistema de gestión de la calidad.
Archivo de versiones sustituidas de sistemas informáticos
Las versiones sustituidas de los programas informáticos deben archivarse de forma recuperable si es necesario para acceder a datos históricos, de acuerdo con la directriz de la OMCL «Gestión de documentos y registros».
Para el caso de los programas informáticos comerciales, la obligación de archivar las versiones anteriores puede estar sujeta al contrato con el proveedor.
Formación
Se garantizará la correcta utilización y validación del sistema informático. Esto puede hacerse mediante una formación adecuada y documentada o mediante información detallada en los procedimientos pertinentes o información contextual en el programa informático.
La formación se impartirá antes del primer uso y después de cada cambio importante en el software (por ejemplo, actualización de la versión). Las personas responsables de la validación recibirán formación sobre el proceso de validación.
¡Recuerda! que en deappharma tienes un aliado para realizar la validación de sistemas computarizados. Con nuestro método obtendrás el cumplimiento requerido.
Con nuestro servicio obtendrás un beneficio totalmente gratis por un año. Este beneficio consiste en implementar eDocuSeed un software que centraliza todos tus libros de Excel en un solo punto. Para brindarles los atributos de integridad de datos, trazabilidad y mantenimiento necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico, dispositivos médicos y distribuidoras de medicamentos. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos y solicita una demostración y asesoría gratuita ¡Quiero un asesoría y demostración!
¡Gracias por leernos!
31, Oct 2023
Validación de hojas de cálculo (Instalación, seguridad y buenas prácticas)
En industria regulada es de vital importancia el cumplimiento a lo descrito en las normas aplicables: NOM-059, NOM-241 etc. Recordemos que el cumplimiento a los requerimientos establecidos en estos documentos es de carácter obligatorio. Es una realidad que el hacer cumplir los requerimientos en muchos casos se torna una tarea compleja por la dimensión de interpretación que le puedas dar a cada requerimiento regulatorio establecido. Sin embargo, es importante mencionar que existen una serie de documentos, guías y referencias de otras entidades regulatorias que dan apoyo y complementan de manera correcta la interpretación para aquellos requerimientos en los cuales no sea claro el entregable.
Cuando hablamos de validación de sistemas computarizados debemos tener presente que los puntos normativos no solo se refieren a validar: ERP, SAP, softwares comerciales, softwares personalizados o softwares estructurados y diseñados a las medidas, por mencionar algunos. Recordemos que una hoja de Excel normativamente se considera un sistema computarizado. Tales cuales, en muchas ocasiones estos archivos son categorizados con en nivel máximo de complejidad y criticidad que impactan los procesos de las buenas prácticas BxP (GxP).
Esta serie de artículos tendrá como finalidad explicarte el enfoque de validación de hojas de cálculo establecido en el Anexo 1 de la Directriz Europea.
Durante nuestra experiencia hemos conocido diferentes magnitudes de riesgos asociados al control, gestión y mantenimiento de hojas de cálculo. Hemos conocido empresas que no cuentan con área de validación o empresas que por la rutina diaria no disponen del tiempo para ejecutar la acción. De cualquier manera, esto no los deja exentos de cumplir la normatividad.
Todos sabemos que Excel es una herramienta altamente versátil y dinámica utilizada diariamente. Sin embargo, esta versatilidad le impregna un alto riesgo por el grado de personalización que estas pueden llegar a tener en su diseño y función y que impactan en la toma de decisiones.
El Anexo 1 de la Directriz Europea para la validación de hojas de cálculo «Validación de sistemas informatizados», debe utilizarse a la hora de planificar, realizar y documentar la validación.
Este anexo presenta un ejemplo de validación de hojas de cálculo Excel, que debe utilizarse en combinación con los requisitos y recomendaciones generales que figuran en el documento referente y/o lo establecido en la regulación local aplicable.
INSTALACIÓN Y SEGURIDAD
Para garantizar que sólo se utiliza la última versión validada de la hoja de cálculo y mantener el estado validado de la hoja de cálculo, todas las hojas de cálculo Excel validadas deben almacenarse con derechos de acceso de sólo lectura para los usuarios finales (por ejemplo, en un recurso compartido de red protegido o algo con mucha mayor robustez en seguridad un software de control y mantenimiento como lo es DocuSeed). Sólo las personas responsables deben tener acceso de escritura a la red compartida.
Los usuarios finales no deben tener derecho a modificar una hoja de cálculo validada, añadir una hoja de cálculo no validada al recurso compartido ni guardar datos en él. Los usuarios finales sólo deben tener derecho a rellenar las celdas (permitidas) e imprimir los datos o guardar una copia en un repositorio de datos en caso necesario.
La instalación deberá documentarse, por ejemplo, en el archivo de validación, en un libro de registro del sistema o en un formulario de control de calidad. Se documentará el nombre de la hoja de cálculo, la identificación única, la localización y la persona responsable de la hoja de cálculo según aplique. Los registros también incluirán la verificación, la verificación periódica y otras cuestiones como las actualizaciones o cualquier problema encontrado. La verificación se completará tras instalación y se registrará.
BUENAS PRÁCTICAS
Al configurar una nueva hoja de cálculo, seguir las siguientes buenas prácticas reducirá el riesgo de modificaciones accidentales de la plantilla e introducción de datos erróneos:
– Todas las celdas de cálculo deberán estar bloqueadas (Formato de celdas > Protección > Bloqueadas) para proteger las celdas que contengan cálculos contra modificaciones involuntarias, excepto las utilizadas para la introducción de datos.
-Las celdas utilizadas para la introducción de datos pueden identificarse mediante un color específico.
– Las reglas de validación de datos (pestaña Datos > Validación de datos) pueden aplicarse a las celdas de entrada de datos para evitar la introducción de valores aberrantes (siempre y cuando exista un requerimiento de especificación previamente establecido). Los mensajes de entrada y los mensajes de alerta de error para informar al usuario final del tipo de datos esperado y del rango aceptable.
Las celdas utilizadas para presentar los resultados de los cálculos (salida) pueden identificarse mediante un color específico. Cuando los resultados se comprueban en función de criterios de aceptación, se recomienda utilizar el formato condicional (pestaña Inicio > Formato condicional) para resaltar los resultados fuera de especificación.
-El nombre del operador responsable de la introducción de los datos, así como la fecha y la hora de introducción de los datos deben registrarse en las celdas de entrada específicas o la hoja de cálculo se imprime, firma y fecha después del cálculo.
– La ruta del archivo, el nombre del archivo de la hoja de cálculo y el número de versión de MS Excel® pueden mostrarse en el área de impresión de la hoja de cálculo. Las funciones de Excel ‘=CELL(«filename»)’ ‘=INFO(«RELEASE»)’ pueden utilizarse para mostrar la ruta, el nombre de archivo, la hoja activa y el número de versión de MS Excel® en uso.
-Se recomienda proteger con contraseña todas las celdas que contengan cálculos (pestaña Revisar >Proteger hoja), con sólo las opciones por defecto marcadas. Se puede utilizar la misma contraseña para todas hojas y puede documentarse en el archivo de validación. La contraseña de protección de la hoja no debe comunicarse a los usuarios finales.
-Después de proteger cada hoja, la estructura del libro de trabajo también debe protegerse con contraseña (pestaña Revisar > Proteger libro). Se puede utilizar la misma contraseña que para la protección de las hojas.
Como lo podemos percibir la etapa de validación de hojas de cálculo esencialmente refiere a la estructuración documental del diseño y funcionamiento para el propósito requerido. En esta etapa no se establece como alcance regulatorio el mantenimiento de estos archivos con propiedades ALCOA++. El tema de fases de validación y mantenimiento de estos archivos los abordaremos en otro artículo.
Te invitamos a conocer una solución confiable que te ayudara a brindar atributos ALCOA++ a tus hojas de cálculo validadas. En deappharma hemos desarrollado, eDocuSeed un software que centraliza todos tus libros de Excel en un solo puntos brindándoles los atributos de integridad de datos necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico, dispositivos médicos y distribuidoras de medicamentos. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos en https://deappharma.com/contacto/ y solicita una demostración y asesoría gratuita.
¡Gracias por leernos!
27, Jun 2022
Validación de hojas y libros de Excel
Validación de Hojas de Cálculo de Microsoft Excel
Te has preguntado si validar una hoja de Excel es equivalente a contar con una hoja de Excel integra. Aunque los conceptos parecen a simple vista los mismos. Es una realidad que no. Pero para comprender esto partamos de lo siguiente
Una hoja de cálculo es una estructura tabular de renglones y columnas que permiten realizar operaciones matemáticas, procesar números y ayudar a realizar cálculos desde los más simples hasta los más complejos que implican manipular muchos números y realizar muchas operaciones numéricas.
La importancia de validar una hoja de cálculo Excel reside en que estas pueden afectar directa o indirectamente los atributos de calidad de los productos o procesos. Así como ayudar a una toma de decisión como, por ejemplo: la aprobación de un lote producto para su venta.
La validación de hojas de cálculo Excel no cae fuera de la definición que se establece en la normatividad local e internacional para validación. Existen diversas definiciones de validación, sin embargo, las más completas y consistentes son las de la NOM-059-SSA y la de la FDA, que la definen como:
NOM-059-SSA
<<…”es la evidencia documentada que demuestra que a través de un proceso especifico se obtiene un producto que cumple consistentemente con las especificaciones de calidad establecidas.” …>>
FDA
<<…” el establecimiento de evidencia documentada que proporciona un alto grado de seguridad, que un proceso especifico produce consistentemente sus especificaciones predeterminadas y sus atributos de calidad.” …>>
En donde:
- Documentada. La validación requiere de una minuciosa documentación de todas las acciones que se lleven a cabo dese el inicio hasta el final del estudio.
- Alto grado de seguridad y confianza. Se asume que incluso un programa grande en un sistema complejo computarizado se encuentra realmente libre de errores.
- Proceso especifico. Toda la validación de una hoja de cálculo es un proceso. Por ejemplo, el desarrollo y actividades de prueba de la hoja de cálculo son validadas para asegurar el buen funcionamiento de la hoja de cálculo. Algunas subpartes de validación, tales como calificaciones (instalaciones, operación y desempeño) son especificaciones para cada sistema.
- Consistente. La validación no es un evento de una sola ocasión. El desempeño del sistema de cómputo tiene que ser controlado durante el tiempo de vida del producto.
- Especificaciones. Las actividades de validación comienzan con la definición de especificaciones. El desempeño del sistema de cómputo tiene que ser verificado contra esas especificaciones. El criterio de aceptación está definido por esta prueba.
Enfoque para las hojas de cálculo (Excel) en concordancia con CFR21 parte 11 como sistema cerrado
Las hojas de cálculo Excel son considerados registros electrónicos, por este hecho deben ser tratadas como un sistema informatizado.
Un registro electrónico considera, los documentos y registros que son creados, modificados, mantenidos, archivados, recuperados y/o transmitidos a través de sistemas electrónicos.
Cuando se utilicen sistemas electrónicos para la creación, modificación, mantenimiento, archivo, recuperación y/o transmisión de registros electrónicos deberán establecer procedimientos y controles diseñados para asegurar la autenticidad, integridad y cuando aplique confidencialidad de los registros electrónicos y para asegurar que las firmas electrónicas no puedan ser declaradas como no genuinas. Los procedimientos y controles deben incluir:
- La validación de los sistemas para asegurar la exactitud, confiabilidad, funcionalidad, consistencia y la habilidad para distinguir entre registros inválidos o alterados.
- La habilidad de los sistemas o aplicaciones computacionales para generar copias de los registros exactas y completas, legibles tanto en su versión manual como electrónica, que permitan su inspección, revisión y copia.
- La protección de los registros, que permita su recuperación en forma rápida y exacta durante todo el periodo de conservación de estos.
- El permitir el acceso al sistema únicamente a personas autorizadas.
- El uso de los procesos de auditoría de rastreo seguros, generados por computadora, para registrar en forma independiente el acceso al sistema, así como las acciones que creen, modifiquen o borren registros electrónicos.
- Cotejos operacionales del sistema para obligar que los pasos y eventos ocurran en la secuencia establecida.
- Los cotejos para asegurar que solamente personas autorizadas puedan utilizar el sistema, firmar electrónicamente un registro, acceder a la operación del dispositivo de entrada y salida del sistema computarizado, modificar un registro o realizar la operación manual.
- La determinación de que las personas que desarrollan mantienen o utilizan sistemas de firmas/registros electrónicos tienen la capacidad, adiestramiento y experiencia para llevar a cabo sus tareas.
Firmas electrónicas
Las firmas electrónicas son una compilación de datos en la computadora ejecutados para algunos símbolos, adoptados o autorizados por un individuo que son equivalentes a su firma manuscrita. Para el caso de firmas electrónicas se debe considerar:
- Debe contener la información asociada con la firma que claramente indiquen el nombre en letra de molde de la persona que forma, la fecha y hora de cuando fue ejecutada la firma y el propósito asociado con la misma.
- Estas deben ser únicas para cada persona y cuando se dé el caso de un cambio, esta no debe repetirse o reasignarse a otra persona.
- Cuando el uso de las firmas electrónicas sea adoptado, se debe establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a las firmas en manuscrito, para lo cual es necesaria una certificación en un forma u hoja de papel y firmada con una firma en manuscrito.
Que debemos considerar al validar hojas de cálculo (Excel)
Como hemos descrito anteriormente las hojas de cálculo de Excel son consideradas sistemas computarizados. ¿Pero que hay acerca del proceso de validación?
Antes de comenzar debemos conocer y/o actualizar el plan maestro de validación, ya que en este documento deberemos describir por lo menos lo siguiente:
- Nombre del archivo de la hoja de cálculo incluyendo el número de versión
- Ubicación y lugar de almacenamiento de la hoja de cálculo
- Sistema operativo y Software utilizado (resumen de las instalaciones, sistemas, equipos y procesos a evaluar.
Para comenzar debemos partir de dos supuestos que serán los que necesitamos para alcanzar el objetivo. Obtener certidumbre sobre la integridad de datos de las hojas de cálculo Excel es un proceso que se debe llevar de manera sinérgica. Con esto el control y trazabilidad se otorga mediante soluciones informáticas que eleven sustancialmente el control y administración de nuestros libros de Excel que están validados y auditados de manera adecuada. Compartimos contigo lo siguiente para llevar a cabo el proceso de calificación/validación de libros de Excel.
Antes de iniciar con la validación de la hoja de cálculo de Excel debemos establecer los requerimientos de usuario de dicho libro. Recuerda que los requerimientos de usuario establecen de manera generar el alcance que tendrá el libro, sin describir de manera detallada el proceso de diseño y funcionalidad inicial.
Una vez establecidos los requerimientos de usuario del libro de Excel, podemos comenzar con el diseño de la hoja. De tal manera que desarrollemos la estructura de esta lo más acorde a lo establecido.
No obstante, también es factible desarrollar primero el libro y después estructurar los requerimientos de usuario. Esta opción favorece la redacción del documento de especificación.
El diseño de la hoja es una de las etapas más sensibles, ya que el formato y vinculación de cálculos se establece de manera sistemática y con escrutinio. Sin embargo, la verificación, validación y auditoria debe hacerse por un área ajena no dueña del Libro (recomendable).
Una vez se cuente con el desarrollo y diseño del libro de Excel viene la tarea de calificar/validar y auditar el archivo. Las consideraciones que deben formar parte de la documentación de soporte de validación son:
- Evaluación de precedencias. Esta evaluación indica el orden en que se ejecutan los cálculos en una fórmula si esta contiene varios operadores.
- Evaluación de celdas precedentes y celdas dependientes. Las celdas precedentes son aquellas que se refieren a fórmulas de otras celdas. Por otro lado, las celdas dependientes son aquellas que contienen fórmulas que se refieren a otras celdas.
- Referencias circulares. Este término se refiere al hecho de que una fórmula utilice la celda que lo contine como uno de sus parámetros de forma directa o indirectamente.
- Control de cálculo. Por defecto, Excel recalcula toda la hoja de cálculo cuando introduce un cambio en alguna de sus celdas.
- Inspección. La ventana de inspección es una función que forma parte de la auditoria de fórmulas de Excel. Con ella es posible visualizar la fórmula o las fórmulas de una misma hoja de cálculo de modo completo con el fin de facilitar su revisión, control y confirmación.
- Comprobación de errores. Se utiliza para localizar e identificar errores que pueden cometerse al introducir fórmulas.
- Revisión de ortografía. Se utiliza para corregir los textos contenidos dentro de los textos existentes en la hoja de Excel.
- Protección de la hoja. Existen diferentes herramientas en Excel para impedir que un usuario modifique, mueva o elimine accidental o premeditadamente los datos contenidos en las celdas de una hoja de cálculo o libro.
- Protección de la estructura del libro. Esta función impide la modificación de toda la estructura del libro, es decir, no permite mover, eliminar o agregar hojas, modificar su nombre, cambiar el tamaño de las ventanas, etc.
- Conservación. Esta función permite migrar un libro u hoja de Excel respectivamente hacia un sistema de alto control para su administración.
- Acceso seguro a libros de Excel. Esta función permite acceder de manera controlada al libro de Excel.
- Control de versiones. Esta función permite contralar mediante un explorador virtual las versiones de libros y hojas de cálculo.
- Pistas de Auditoria. Esta función permite establecer mediante un control de programación la estructuración dinámica de un “Audit Trail” sobre uso de cierto libro de Excel y su versión.
- Respaldo y Restauración. Esta función permite establecer la posibilidad de respaldar todos los archivos (libros de Excel) contenidos en la carpeta virtual.
Como lo has podido percibir, el alcanzar una hoja o libro de Excel con atributos de integridad de datos se vincula de estrechamente entre los controles “per se” de Excel y la sinergia con software de gestión y control.
Recuerda que en deappharma contamos con una herramienta que te ayudara a administrar y controlar atributos de tus hojas y/o libros de Excel para obtener un optimo desempeño de integridad y cumplimiento.
Beneficios de la validación de hojas de cálculo
Validar, administrar y controlar las hojas de cálculo o libros de Excel permite a las organizaciones:
- Permite mitigar uno de los riesgos más significativos en la industria. Siendo este la pobre integridad de las hojas de cálculo y su control.
- Los recursos físicos son optimizados como consecuencia del protagonismo digital. Así, el escaneo de los documentos físicos hace posible una reducción del tamaño de las instalaciones reservadas al archivo y custodia de todos los libros de Excel de la compañía.
- Centralización de la información, gracias a la cual se potencia tanto el flujo de trabajo como la colaboración entre distintos departamentos y, algo muy importante, entre distintas sedes o lugares de trabajo separados entre sí.
- Mayor grado de control de los diferentes libros gracias a la monitorización del ciclo de vida del archivo.
- Mayor seguridad, pues las copias de seguridad evitarán la destrucción de los libros, así como también se puede llevar un control sobre quién accede a los distintos libros y quién modifica la estructura de estos. Por lo que la sustracción de información sensible puede ser fácilmente rastreable.
Expertos en Validación de Hojas de Cálculo de Microsoft Excel
No olvides que, en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma contamos con un software que te ayudara a administrar y controlar tu proceso de libros y hojas de Excel. Somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
Al mandar con nosotros tus libros y Hojas de Excel para validar, diseñar o auditar obtendrás nuestro software eDocuSeed de manera gratuita por un año. Conoce los beneficios de nuestro aplicativo ¡Da clic aquí!.
También te pueden interesar los siguientes artículos ¡Da clic en alguno de ellos!
Categorización de hojas de cálculo
Tipificación de hojas de cálculo
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
25, Feb 2022
¿Qué es un backup?
Entonces, definiremos como al backup, también llamado copia de respaldo o de seguridad, como la copia de la información sensible de un sistema informático desde su medio o medios de almacenamiento a un medio distinto de éste, sea cual fuere esta información, para su posterior almacenamiento en un entorno seguro con el supuesto fin de recuperar esta información con la mayor confiabilidad posible, si fuera necesario, en caso de que cualquier motivo o incidente genere la pérdida o modificación no deseada de los datos originales, para de esta manera obtener nuevamente, en un tiempo conveniente y razonable, la operatividad (consecuencia directa de la información) del sistema de cual se hizo la copia previa al incidente.
Cuando mencionamos que al realizar un backup copiamos la información sensible, nos referimos a los datos y metadatos que conforman el sistema informático. Es decir, que al realizar la copia de de la información con el objetivo de respaldarla no basta con copiar archivos, directorios o bases de datos, sino que los copiaremos con todas la características y cualidades, es decir, no sólo se trata de resguardar la información contenida en el archivo. Es importante mantener la estructura o imagen de estos al momento de realizar el backup, es decir, su ubicación (path), privilegios o permisos, si son de lectura, de sistema, etc.
Por otro lado, también mencionaremos el destino de esta copia, la cual debe hacerse a un medio distinto y en un entorno seguro. No nos serviría de nada generar una copia de la información en el mismo disco en el cual estamos trabajando o mantener el soporte destino junto al equipo. En ambos casos tanto la información original como el respaldo comparten los mismos riesgos, y esto es, precisamente lo que deseamos evitar.
Así mismo, el proceso se realiza presuponiendo cierta confiabilidad, pero no toda. En primer lugar, porque tampoco estamos exentos de que el soporte destino falle, éstos corren los mismos riesgos que los medios de origen, aunque en menor medida. En segundo lugar, porque puede existir un intervalo de tiempo significativo entre el día y la hora los cuales se ejecutó el proceso del backup y el día la hora en los cuales deseamos recuperar la información.
Por último, cuando mencionamos recuperar la información en un tiempo conveniente y razonable, nos referimos a la severidad con la que la información debe estar disponible nuevamente. Si bien la fiabilidad del backup es proteger nuestros datos, no nos sirve de mucho si los tiempos de recuperación son excesivos.
Si bien la tarea puede considerarse incomodo, y muchas veces sin sentido, nos evitará, sin ninguna duda, situaciones que hagan peligrar la operatividad de nuestros sistemas, y el ahorro de muchas situaciones irremediables.
Junto al termino backup aparece otro no menos importante: restore (recuperación o restauración), que es la operación inversa al backup. O sea, copiar al sitio original, desde el soporte destino, la información a la cual se le realizó backup anteriormente.
En muchas oportunidades se considera erróneamente backup a la copia de la información que se realiza en el mismo disco físico que contiene la información original, o tal vez se entiende que un nivel RAID es una especie de bakup, y no lo es. Si bien esta copia puede resultar útil en caso de modificaciones no deseadas o corrupción de la información del archivo o archivos originales, no nos permite recuperar la información en el caso de que la falla provenga del disco físico y nos provea estados del sistema anteriores al actual.
Por consiguiente, cuando hablamos de backup, nos referimos, no solo a copiar, sino pa hacerlo a un medio distinto del original. La idea conceptual del backup es extraer la información del sistema informático para ponerla a salvo, es decir, almacenarla en un entorno seguro. O, al menos, en un entorno que no comparta los mismos riesgos que el medio de origen.
No olvides que en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
Referencias
- Administración de Storage y Backups_Dante cantone, España, Editorial Alfa Omega
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
24, Ene 2022
Detalles del Enfoque – Alcance de la Parte 11 de CFR
Detalles del Enfoque – Alcance de la Parte 11
Interpretación estrecha del alcance
Entendemos que existe cierta confusión sobre el alcance de la parte 11. Algunos han entendido que el alcance de la parte 11 es muy amplio. Creemos que algunas de esas amplias interpretaciones podrían conducir a controles y costos innecesarios y podrían desalentar la innovación y los avances tecnológicos sin brindar un beneficio adicional a la salud pública. Como resultado, queremos aclarar que la Agencia tiene la intención de interpretar el alcance de la parte 11 de manera restringida.
Según la interpretación restringida del alcance de la parte 11, con respecto a los registros que deben mantenerse según las reglas predicadas o presentarse a la FDA, cuando las personas optan por utilizar registros en formato electrónico en lugar de papel, se aplicaría la parte 11. Por otro lado, cuando las personas usan computadoras para generar impresiones en papel de registros electrónicos, y esos registros en papel cumplen con todos los requisitos de las reglas predicadas aplicables y las personas confían en los registros en papel para realizar sus actividades reguladas, la FDA generalmente no condicionara a las personas para «usar registros electrónicos en lugar de registros en papel». En estos casos, el uso de sistemas informáticos en la generación de registros en papel no activaría la parte 11.
Definición de registros de la Parte 11
Bajo esta interpretación estrecha, la FDA considera que la parte 11 es aplicable a los siguientes registros o firmas en formato electrónico (registros o firmas de la parte 11):
- Registros que deben mantenerse según los requisitos de la regla establecida y que se mantienen en formato electrónico en lugar del formato en papel. Por otro lado, los registros (y cualquier firma asociada) que no se requiera conservar según las reglas establecida, pero que, sin embargo, se mantienen en formato electrónico, no son registros de la parte 11.
Le recomendamos que determine, en función de las reglas establecidas, si los registros específicos son registros de la parte 11. Le recomendamos que documente tales decisiones.
- Registros que deben mantenerse según las reglas establecidas, que se mantienen en formato electrónico además del formato en papel, y en los que se confía para realizar actividades reguladas.
En algunos casos, las prácticas comerciales reales pueden dictar si está utilizando registros electrónicos en lugar de registros en papel. Por ejemplo, si se requiere que se mantenga un registro bajo una regla predicada y usted usa una computadora para generar una copia impresa en papel de los registros electrónicos, pero aun así depende del registro electrónico para realizar actividades reguladas, la Agencia puede considerar que usted está utilizando el registro electrónico en lugar del registro en papel. Es decir, la Agencia puede tener en cuenta sus prácticas comerciales para determinar si se aplica la parte 11.
En consecuencia, recomendamos que, para cada registro que deba mantenerse según las reglas establecidas, determine de antemano si planea confiar en el registro electrónico o en el registro en papel para realizar actividades reguladas. Recomendamos que documente esta decisión (por ejemplo, en un Procedimiento operativo estándar (SOP) o documento de especificación).
Registros enviados a la FDA, conforme a reglas establecidas (incluso si dichos registros no están específicamente identificados en las reglamentaciones de la Agencia) en formato electrónico. Sin embargo, un registro que no se presenta en sí mismo, pero que se utiliza para generar una presentación, no es un registro de la Parte 11 a menos que se requiera que se mantenga bajo una regla establecida y se mantenga en formato electrónico.
Firmas electrónicas que pretenden ser el equivalente de firmas manuscritas, iniciales y otras firmas generales requeridas por reglas establecidas. Las firmas de la Parte 11 incluyen firmas electrónicas que se utilizan, por ejemplo, para documentar el hecho de que ciertos eventos o acciones ocurrieron de acuerdo con la regla establecida (por ejemplo, aprobado, revisado y verificado).
Enfoque de los requisitos específicos de la Parte 11
Validación
La Agencia tiene la intención de ejercer la discreción de cumplimiento con respecto a los requisitos específicos de la parte 11 para la validación de sistemas computarizados y los requisitos correspondientes. Aunque las personas aún deben cumplir con todos los requisitos de las reglas establecidas aplicables para la validación, esta guía no debe interpretarse como una imposición de requisitos adicionales para la validación.
Sugerimos que su decisión de validar los sistemas computarizados y el alcance de la validación tengan en cuenta el impacto que los sistemas tienen en su capacidad para cumplir con los requisitos de las reglas establecidas. También debe considerar el impacto que esos sistemas podrían tener en la precisión, confiabilidad, integridad, disponibilidad y autenticidad de los registros y firmas requeridos. Incluso si no existe un requisito de regla de establecido para validar un sistema, en algunos casos puede ser importante validar el sistema.
Recomendamos que base su enfoque en una evaluación de riesgos justificada y documentada y una determinación del potencial del sistema para afectar la calidad y seguridad del producto y la integridad del registro. Por ejemplo, la validación no sería importante para un procesador de texto que se usa solo para generar SOP.
Pista de auditoría
La Agencia tiene la intención de ejercer la discreción de cumplimiento con respecto a los requisitos específicos de la parte 11 relacionados con las pistas de auditoría generadas por computadora y con sello de tiempo y cualquier requisito correspondiente. Las personas aún deben cumplir con todos los requisitos de reglas establecidas aplicables relacionados con la documentación de, por ejemplo, fecha, hora o secuencia de eventos, así como cualquier requisito para garantizar que los cambios en los registros no oscurezcan entradas previas.
Incluso si no existen requisitos de reglas establecidas para documentar, por ejemplo, la fecha, la hora o la secuencia de eventos en una instancia particular, puede ser importante contar con pistas de auditoría u otras medidas de seguridad físicas, lógicas o de procedimiento para garantizar la confiabilidad y confiabilidad de los registros. Le recomendamos que base su decisión de aplicar pistas de auditoría u otras medidas apropiadas, en la necesidad de cumplir con los requisitos de la regla establecida, una evaluación de riesgos justificada y documentada, y una determinación del efecto potencial sobre la calidad y seguridad del producto y la integridad del registro. Le sugerimos que aplique los controles apropiados basados en dicha evaluación. Los registros de auditoría pueden ser particularmente apropiados cuando se espera que los usuarios creen, modifiquen o eliminen registros regulados durante el funcionamiento normal.
Sistemas heredados
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a todos los requisitos de la parte 11 para los sistemas que de otro modo estaban operativos antes del 20 de agosto de 1997, la fecha de vigencia de la parte 11, bajo las circunstancias especificadas a continuación.
Esto significa que la Agencia no tiene la intención de tomar medidas de cumplimiento para imponer el cumplimiento de los requisitos de la parte 11 si se cumplen todos los siguientes criterios para un sistema específico:
- El sistema estaba operativo antes de la fecha de vigencia.
- El sistema cumplió con todos los requisitos de reglas establecidas aplicables antes de la fecha de vigencia.
- Actualmente, el sistema cumple con todos los requisitos de reglas establecidas aplicables.
- Tiene evidencia documentada y justificación de que el sistema es apto para el uso previsto (lo que incluye tener un nivel aceptable de seguridad e integridad de registros, si corresponde).
Si un sistema ha cambiado desde el 20 de agosto de 1997, y si los cambios impiden que el sistema cumpla con los requisitos de la regla establecidad, los controles de la Parte 11 deben aplicarse a los registros y firmas de la Parte 11 de conformidad con la política de cumplimiento expresada en esta guía.
Copias de Registros
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a los requisitos específicos de la parte 11 para generar copias de registros y cualquier requisito correspondiente. Debe proporcionar a un investigador un acceso razonable y útil a los registros durante una inspección. Todos los registros en su poder están sujetos a inspección de acuerdo con las reglas establecidas.
Recomendamos que proporcione copias de registros electrónicos por:
- Producir copias de registros mantenidos en formatos portátiles comunes cuando los registros se mantienen en estos formatos
- Usar métodos de conversión o exportación automatizados establecidos, cuando estén disponibles, para hacer copias en un formato más común (los ejemplos de dichos formatos incluyen, entre otros, PDF, XML o SGML)
En cada caso, recomendamos que el proceso de copiado produzca copias que conserven el contenido y el significado del registro. Si tiene la capacidad de buscar, ordenar o buscar tendencias en los registros de la parte 11, las copias entregadas a la Agencia deben proporcionar la misma capacidad si es razonable y técnicamente factible. Debe permitir la inspección, revisión y copia de registros en un formato legible en su sitio utilizando su hardware y siguiendo sus procedimientos y técnicas establecidos para acceder a los registros.
Retención de registros
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a los requisitos de la parte 11 para la protección de registros para permitir su recuperación precisa y rápida durante todo el período de retención de registros y cualquier requisito correspondiente. Las personas aún deben cumplir con todos los requisitos de reglas establecidas aplicables para la retención y disponibilidad de registros.
Sugerimos que su decisión sobre cómo mantener los registros se base en los requisitos de las reglas predicadas y que base su decisión en una evaluación de riesgos justificada y documentada y en una determinación del valor de los registros a lo largo del tiempo.
FDA no tiene la intención de objetar si usted decide archivar los registros requeridos en formato electrónico en medios no electrónicos como microfilm, microficha y papel, o en un formato de archivo electrónico estándar (ejemplos de tales formatos incluyen, entre otros, PDF, XML o SGML). Las personas aún deben cumplir con todos los requisitos de las reglas establecidas, y los propios registros y cualquier copia de los registros requeridos deben conservar su contenido y significado. Siempre que los requisitos de la regla establecida se cumplan por completo y el contenido y el significado de los registros se conserven y archiven, puede eliminar la versión electrónica de los registros. Además, los componentes de firmas y registros en papel y electrónicos pueden coexistir (es decir, una situación híbrida) siempre que se cumplan los requisitos de la regla establecida y se conserve el contenido y el significado de esos registros.
No olvides que en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
REFERENCES
- Glossary of Computerized System and Software Development Terminology (Division of Field Investigations, Office of Regional Operations, Office of Regulatory Affairs, FDA 1995)
- General Principles of Software Validation; Final Guidance for Industry and FDA Staff (FDA, Center for Devices and Radiological Health, Center for Biologics Evaluation and Research, 2002)
- Guidance for Industry, FDA Reviewers, and Compliance on Off-The-Shelf Software Use in Medical Devices (FDA, Center for Devices and Radiological Health, 1999)
- Pharmaceutical CGMPs for the 21st Century: A Risk-Based Approach; A Science and Risk-Based Approach to Product Quality Regulation Incorporating an Integrated Quality Systems ApproachExternal Link Disclaimer (FDA 2002)
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
