5, Feb 2025
CFR21 Parte 11: Aspectos Relevantes de Cumplimiento
Un marco para la integridad de los registros electrónicos
La Parte 11 del Título 21 del Código de Regulaciones Federales (CFR21) establece los criterios bajo los cuales la FDA considera aceptables el uso de registros electrónicos y las firmas electrónicas en lugar de los registros en papel y las firmas manuscritas. Este reglamento es crucial para las industrias que están bajo la jurisdicción de la FDA, como las farmacéuticas, biotecnológicas y de dispositivos médicos.
Requisitos Generales
Para cumplir con CFR21 Parte 11, las empresas deben asegurarse de que sus sistemas electrónicos de gestión de registros y firmas cumplan una serie de requisitos específicos diseñados para garantizar la fiabilidad, integridad, autenticidad y confidencialidad de los registros electrónicos. Los requisitos son:
- Control de Acceso: Las empresas deben implementar controles estrictos para garantizar que solo el personal autorizado pueda acceder a los sistemas de registros electrónicos. Esto generalmente implica el uso de identificaciones de usuario y contraseñas únicas, así como procedimientos de autenticación de dos factores.
- Integridad de los Datos: Es esencial garantizar que los registros electrónicos sean exactos y completos, y que no puedan ser alterados de manera no autorizada. Esto se logra mediante el uso de controles de versiones, pistas de auditoría y otros mecanismos de control que registran todas las modificaciones y accesos a los datos.
- Firmas Electrónicas: Las firmas electrónicas deben ser únicas para cada usuario y deben estar vinculadas a su identidad de manera que sea posible verificar la firma de manera inequívoca. Además, las firmas deben estar asociadas de forma inseparable con los respectivos registros electrónicos a los que corresponden.
- Pistas de Auditoría: Los sistemas deben contar con una pista de auditoría que registre quién accede a los registros electrónicos y qué modificaciones se realizan. Estas pistas de auditoría deben ser revisables y no deben ser alterables.
Validación de Sistemas
Las empresas deben validar sus sistemas para asegurar que funcionan según lo previsto y que cumplen con los requisitos regulatorios. La validación incluye la documentación detallada de todos los procedimientos de prueba y la evidencia de que los sistemas han sido debidamente evaluados.
Beneficios del Cumplimiento
El cumplimiento con CFR21 Parte 11 ofrece múltiples beneficios, entre los cuales se incluyen:
- Mejora de la eficiencia: La digitalización de registros y firmas puede acelerar los procesos y reducir los errores asociados con los registros en papel.
- Aumento de la seguridad: Los controles de acceso y las pistas de auditoría mejoran la seguridad de los datos y ayudan a prevenir el fraude y la manipulación de registros.
- Facilitación de auditorías: Los registros electrónicos y las firmas digitales pueden ser más fáciles de auditar y revisar en comparación con los registros en papel.
El cumplimiento con CFR21 Parte 11 es fundamental para las empresas que operan bajo la regulación de la FDA. Al garantizar la integridad, autenticidad y seguridad de los registros electrónicos y las firmas, las empresas no solo cumplen con los requisitos regulatorios, sino que también mejoran la eficiencia y la seguridad de sus operaciones. La implementación cuidadosa de los controles y la validación de los sistemas son elementos clave para alcanzar y mantener el cumplimiento con esta regulación crítica.
¿Necesitas ayuda con la transformación digital? Te invitamos a conocer una solución confiable que te ayudara a brindar atributos ALCOA++ sobre documentos y hojas de cálculo.
En Deappharma hemos desarrollado, eDocuSeed un software [ON-PREMISE] que centraliza todos tus libros de Excel y documentos en un solo punto. eDocuSeed dota a los documentos y archivos, todos los atributos de integridad de datos necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico, dispositivos médicos y distribuidoras de medicamentos. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos en https://deappharma.com/contacto/ y solicita una demostración y asesoría gratuita.
¡Gracias por leernos!
- 0
- Por Team deappharma
30, Sep 2024
Entregables documentales para la calificación de sistemas computarizados.
La calificación de un sistema computarizado es un proceso documental que requiere enfoque, orden y consistencia lógica para llevar a buen puerto el proceso deseado. En ocasiones pensamos que los entregables documentales para validación de sistemas computarizados difieren según sea el caso de sistemas a validar. Lo más factible es que los procesos de validación sean estructurados y sistemáticos. De esta manera podremos establecer procesos o procedimientos replicables para estas actividades. ¿Pero que entregables documentales son los que se deben generan y mostrar ante una inspección regulatoria?
En este articulo te compartimos los documentos y su alcance dentro del proceso de calificación de sistemas computarizados para los sectores farmacéutico, almacenes y de dispositivos médicos.
El siguiente proceso lógico documental te servirá para procesos y proyectos de calificación de sistemas computarizados, tales cuales son: ERP, SAP, software personalizado, Software comercial, CRM, Plataformas Web y Hojas de cálculo.
ACUERDO DE NIVEL DE SERVICIO (SLA)
Un acuerdo de nivel de servicio es un documento de base legal y calidad. En este documento se establecen los alcances del proyecto. Así como, los entregables documentales, tiempo y responsabilidades entre el cliente-proveedor. Es importante, que este documento considere mencionar y acordar la estructuración de los procesos de actualización y la obtención de documentos de soporte como controles de cambio hacia el cliente para favorecer el mantenimiento del estado validado del servicio obtenido.
ANÁLISIS DE RIESGO
Un análisis de riesgo es un documento que establece como base la detección de eventos que pudiesen suceder durante el proceso de validación. Es decir, este documento establece eventos críticos y/o relevantes del sistema que deben ser cumplidos por el sistema. Y según aplique, el detalle de acciones a considerar si el sistema “per-se” manifiesta la falta de requerimientos normativos y de cumplimiento en integridad de datos. Se recomienda, que en este documento también se incluya la categorización del software a calificar-validar. Conoce acerca de las categorías de software aquí>>https://deappharma.com/gamp-5-y-la-categorizacion-de-software/
PLAN DE VALIDACIÓN
El plan de validación es un documento que establece como su nombre lo indica un plan de validación. Este plan establece de manera detallada las siguientes tareas:
- Definir la estrategia de la calificación-validación que se aplicara.
- Determinar los entregables que se generaran en cada actividad.
- Identificar el equipo de calificación-validación y pruebas junto con su responsabilidad para la finalización de cada actividad.
- Definir el procedimiento para las pruebas de calificación-validación.
ESPECIFICACIONES
Las especificaciones son la base documental para la estructuración de pruebas y evidencias. Dentro del proceso de calificación deben existir tres principales actores:
- Especificación de requerimientos de usuario de software: este documento establece y define de manera puntual cada requerimiento de usuario solicitado y cada requerimiento regulatorio que deberá ser evaluado con la determinación de su entregable. Este documento del sistema detalla: ambiente, propósito y manejo de datos, funciones de entrada, función de proceso, funciones de salida, funcione generales, características de usuarios, restricciones, suposiciones dependencias, requerimientos futuros, requerimientos de rendimiento requerimientos específicos, copias de seguridad, archivo y restauración y requisitos de conservación.
- Especificación de diseño: este documento establecer y define de manera puntual los detalles de infraestructura y técnicos que se requieren para que el sistema funcione y se instale correctamente. Este documento detalla: plataforma y entorno, interfaces, ajuste de configuración, nombre, versión, modelo, código, recuperación y requisitos.
- Especificación funcional: este documento establece y muestra barra de funciones, así como el alcance de cada una de ellas en un entorno productivo.
PROTOCOLOS DE CALIFICACIÓN
El protocolo de calificación es un documento que establece las instrucciones para llevar a cabo cada etapa del proceso. Este documento está estrechamente vinculado a las especificaciones y su entregables. Este documento puede ser uno solo o, segmentado a cuatro protocolos de calificación. Es importante mencionar, que, aunque la normativa no define que necesariamente deben ser protocolos. Se debe tener en cuenta que no se puede avanzar de etapa de calificación hasta haber concluido la previa en la cual no se determinen eventos críticos que detenga en proceso. De cualquier forma, el o los protocolos deben mostrar las instrucciones de verificación del diseño, instalación, operación y desempeño del sistema a dictaminar.
- Protocolo de diseño: es el documento que establece las instrucciones de trabajo con base en las especificaciones de diseño previamente autorizadas.
- Protocolo de instalación: es el documento que establece las instrucciones con base en la documentación del sistema y el sistema de gestión de la calidad del negocio. Así como, consideraciones del fabricante para llevar a cabo la instalación. Importante mencionar que esta etapa de instalación debe incluir como parte de su evaluación las operaciones de configuración del sistema.
- Protocolo de operación: es el documento que establece las instrucciones. Con base base, en la especificación de requerimientos de usuario de software. Esta etapa, define la evaluación de operaciones de entrada y proceso del sistema.
- Protocolo de desempeño: es el documento que establece las instrucciones de pruebas que se establecen con base en las especificaciones de funcionalidad sobre un proceso real de trabajo. Esta etapa define pruebas de transacciones generales estructuradas bajo eventos reales de trabajo.
REPORTE DE CALIFICACIÓN
El reporte de calificación es un documento que establece los resultados finales cada etapa del proceso. Este documento está estrechamente vinculado al o los protocolos de calificación. Este documento puede ser uno solo o, segmentado a cuatro reportes de calificación. Es importante mencionar, que, aunque la normativa no define que necesariamente deben ser reportes. Se debe tener en cuenta que no se puede avanzar de etapa de calificación hasta haber concluido el reporte previo en la cual no se hallan determinado eventos críticos que detenga en proceso. De cualquier forma, el o los reportes deben mostrar los resultados, hallazgos y acciones determinada en cada etapa que ha sido verificada par el: diseño, instalación, operación y desempeño.
MATRIZ DE TRAZABILIDAD
La matriz de trazabilidad es un documento en formato de tabla preferentemente que relaciona uno de los requerimientos con los entregables que se hayan solicitado. Este cuadro es de doble sentido ya que permite identificar que se resultado se alcanza a través de cada requisito y a la vez, que requisitos son los que permite obtener un entregable como resultado reportable.
CONCLUSIÓN
Un proceso de calificación ordenado, conciso y detallado tiene como principal beneficio el cumplimiento regulatorio.
Te invitamos a recibir nuestro apoyo en proyectos de calificación de sistemas computarizados. Nuestra esencia como empresa en el desarrollo de software y nuestro enfoque en el sector regulado te brinda el ¿Qué? y ¿Cómo? llevar a buen puerto tu proyecto.
¡Recuerda! que en deappharma tienes un aliado para realizar la validación de sistemas computarizados. ¡Con nuestro método obtendrás el cumplimiento requerido!
Nuestro servicio te da acceso a un beneficio totalmente gratis por un año. Este beneficio consiste en implementar eDocuSeed un software que centraliza todos tus libros de Excel y documentos en un solo punto. De esta manera les brindamos los atributos de integridad de datos, trazabilidad y mantenimiento necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico en México y Sudamérica. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos y solicita una demostración y asesoría gratuita ¡Quiero un asesoría y demostración!
¡Gracias por leernos!
23, Ene 2024
Requerimientos generales para la validación de sistemas computarizados
Cuando hablamos de sistemas computarizados debemos tener en cuenta ciertos principios de validación que pueden repercutir la calidad de los resultados, el control de documentos y el almacenamiento de datos. El objetivo de la validación es garantizar la confianza en los datos de laboratorio capturados, procesados, notificados o almacenados por los sistemas informatizados. Un sistema validado garantiza la exactitud de los resultados y reduce los riesgos para la integridad de los datos. A continuación, abordaremos los requerimientos generales establecidos por la OMCL (Official Medicines Control Laboratories) de la unión europea (EDQM) para la validación de sistemas computarizados.
Inventario
Se debe mantener un inventario o una lista equivalente debe estar disponible. La información mínima que debe incluir el inventario de sistemas computarizados, es:
-Identificación y versión
-Propósito
-Estatus de la validación
-Tipo de almacenamiento
-Persona de contacto
Validación
Antes de su uso rutinario, el sistema informatizado deberá ser validado.
El objetivo de la validación es confirmar que las especificaciones del sistema informatizado se ajustan a las necesidades del usuario y los usos previstos mediante el examen y la aportación de pruebas objetivas y que los requisitos particulares pueden cumplirse de forma coherente.
El alcance de la validación dependerá de la complejidad y del uso previsto del sistema informatizado que se valide.
El esfuerzo de validación puede escalarse y adaptarse al tipo de sistema justificado por una evaluación de riesgos documentada.
Registro de problemas
Debe mantenerse un registro de los problemas identificados por los usuarios y de las medidas adoptadas.
Control de cambios
En caso de cambios en el sistema informático, incluidas las actualizaciones de versión, lo ideal sería en un entorno de prueba, tras lo cual deberá restablecerse el estado de validación.
Si es necesaria una revalidación, debe realizarse no sólo para validar el cambio individual, sino
también para determinar el alcance y el impacto de ese cambio en todo el sistema informatizado.
El alcance de la revalidación dependerá de la evaluación del cambio o cambios, que deberá estar
documentada. Un posible enfoque podría ser el uso de cuadernos de bitácora como se hace para los equipos, y/o la utilización de un procedimiento documentado de control de cambios.
Revisión periódica
El OMCL debe adoptar una política de comprobación periódica del sistema informatizado para evitar cualquier error y garantizar el mantenimiento del estado de validación. La frecuencia de las revisiones deberá definirse en función de los riesgos. Los sistemas informatizados deberán estar cubiertos por la estrategia de auditoría interna.
Seguridad y condiciones ambientales
Los sistemas informatizados deben estar protegidos contra cualquier intrusión que pueda modificar los datos y afectar a los resultados finales.
Las salas de servidores deben tener acceso restringido y contar con las condiciones necesarias para garantizar el correcto funcionamiento de los equipos (control de temperatura, medidas contra incendios, Sistema de Alimentación Ininterrumpida, etc.).
El acceso a los sistemas debe estar restringido al personal autorizado, mediante cuentas personalizadas y contraseña o método de identificación equivalente. Debe evitarse el uso de cuentas compartidas y genéricas para garantizar que las acciones documentadas en los sistemas informáticos puedan atribuirse a una única persona. Cuando no se disponga de cuentas personales o éstas no sean viables, deberán utilizarse combinaciones de registros en papel y electrónicos para rastrear las acciones del personal responsable.
Sólo la(s) persona(s) responsable(s) o el personal informático designado deben tener derechos administrativos para implementar cualquier actualización y/o instalación de sistemas informáticos, cambiar ajustes críticos del sistema (por ejemplo, registro de auditoría, hora/fecha) y gestionar los permisos de otros usuarios. Todas las tareas rutinarias, como las de análisis, deben basarse en una cuenta de usuario y una contraseña que no tengan derechos administrativos.
Los derechos administrativos deben documentarse y concederse únicamente al personal con funciones de mantenimiento del sistema (por ejemplo, informáticos) que sean totalmente independientes del personal responsable del contenido de los registros (por ejemplo, analistas de laboratorio, dirección del laboratorio).
Cuando no sea posible asignar de seguridad independientes, deberán utilizarse otras estrategias de control para reducir los riesgos para la integridad de los datos.
Los ordenadores deben bloquearse después de su uso y no debe permitirse a los usuarios cambiar los ajustes de fecha y hora.
El hardware utilizado debe cumplir los requisitos técnicos para que el trabajo se pueda realizar. Dichos requisitos incluyen, por ejemplo, los requisitos mínimos del sistema indicados por el fabricante del sistema. Estos requisitos deben estar predefinidos en función del uso previsto.
Los componentes de hardware deben ser instalados por personal cualificado (por ejemplo, personal de la Unidad de Tecnologías de la Información (TI), un técnico del fabricante del equipo, etc.).
Registro de auditoría
El sistema informático debe mantener un registro de todas las acciones críticas que se produzcan, por ejemplo, quién ha accedido a él y cuándo, cualquier supresión o modificación de datos, etc. Si un sistema informatizado no registra automáticamente una pista de auditoría, el OMCL deberá mantener un registro alternativo.
No se permitirá a los usuarios modificar o desactivar las pistas de auditoría o los medios alternativos de proporcionar trazabilidad de las acciones de los usuarios.
En todos los sistemas informatizados nuevos deberá tenerse en cuenta la necesidad de implantar una función de pista de auditoría adecuada.
Cuando un sistema informatizado existente carezca de pistas de auditoría generadas por ordenador, el personal utilizará medios alternativos como el uso controlado por procedimientos de libros de registro, control de cambios, control de versiones de registros u otras combinaciones para cumplir el el requisito de trazabilidad para documentar el qué, quién, cuándo y por qué de una acción.
Firmas electrónicas
Si se utilizan firmas electrónicas, una declaración sobre la equivalencia de la firma electrónica a la firma manuscrita o declaración legal similar debe existir dentro del sistema de gestión de la calidad.
Archivo de versiones sustituidas de sistemas informáticos
Las versiones sustituidas de los programas informáticos deben archivarse de forma recuperable si es necesario para acceder a datos históricos, de acuerdo con la directriz de la OMCL «Gestión de documentos y registros».
Para el caso de los programas informáticos comerciales, la obligación de archivar las versiones anteriores puede estar sujeta al contrato con el proveedor.
Formación
Se garantizará la correcta utilización y validación del sistema informático. Esto puede hacerse mediante una formación adecuada y documentada o mediante información detallada en los procedimientos pertinentes o información contextual en el programa informático.
La formación se impartirá antes del primer uso y después de cada cambio importante en el software (por ejemplo, actualización de la versión). Las personas responsables de la validación recibirán formación sobre el proceso de validación.
¡Recuerda! que en deappharma tienes un aliado para realizar la validación de sistemas computarizados. Con nuestro método obtendrás el cumplimiento requerido.
Con nuestro servicio obtendrás un beneficio totalmente gratis por un año. Este beneficio consiste en implementar eDocuSeed un software que centraliza todos tus libros de Excel en un solo punto. Para brindarles los atributos de integridad de datos, trazabilidad y mantenimiento necesarios para dar cumplimiento a las regulaciones más exigentes. Nuestra solución ya impacta de manera positiva a empresas del sector farmacéutico, dispositivos médicos y distribuidoras de medicamentos. Solicita tu demostración totalmente gratuita. ¡Estamos listos para ayudarte!
Contáctanos y solicita una demostración y asesoría gratuita ¡Quiero un asesoría y demostración!
¡Gracias por leernos!
25, Feb 2022
¿Qué es un backup?
Entonces, definiremos como al backup, también llamado copia de respaldo o de seguridad, como la copia de la información sensible de un sistema informático desde su medio o medios de almacenamiento a un medio distinto de éste, sea cual fuere esta información, para su posterior almacenamiento en un entorno seguro con el supuesto fin de recuperar esta información con la mayor confiabilidad posible, si fuera necesario, en caso de que cualquier motivo o incidente genere la pérdida o modificación no deseada de los datos originales, para de esta manera obtener nuevamente, en un tiempo conveniente y razonable, la operatividad (consecuencia directa de la información) del sistema de cual se hizo la copia previa al incidente.
Cuando mencionamos que al realizar un backup copiamos la información sensible, nos referimos a los datos y metadatos que conforman el sistema informático. Es decir, que al realizar la copia de de la información con el objetivo de respaldarla no basta con copiar archivos, directorios o bases de datos, sino que los copiaremos con todas la características y cualidades, es decir, no sólo se trata de resguardar la información contenida en el archivo. Es importante mantener la estructura o imagen de estos al momento de realizar el backup, es decir, su ubicación (path), privilegios o permisos, si son de lectura, de sistema, etc.
Por otro lado, también mencionaremos el destino de esta copia, la cual debe hacerse a un medio distinto y en un entorno seguro. No nos serviría de nada generar una copia de la información en el mismo disco en el cual estamos trabajando o mantener el soporte destino junto al equipo. En ambos casos tanto la información original como el respaldo comparten los mismos riesgos, y esto es, precisamente lo que deseamos evitar.
Así mismo, el proceso se realiza presuponiendo cierta confiabilidad, pero no toda. En primer lugar, porque tampoco estamos exentos de que el soporte destino falle, éstos corren los mismos riesgos que los medios de origen, aunque en menor medida. En segundo lugar, porque puede existir un intervalo de tiempo significativo entre el día y la hora los cuales se ejecutó el proceso del backup y el día la hora en los cuales deseamos recuperar la información.
Por último, cuando mencionamos recuperar la información en un tiempo conveniente y razonable, nos referimos a la severidad con la que la información debe estar disponible nuevamente. Si bien la fiabilidad del backup es proteger nuestros datos, no nos sirve de mucho si los tiempos de recuperación son excesivos.
Si bien la tarea puede considerarse incomodo, y muchas veces sin sentido, nos evitará, sin ninguna duda, situaciones que hagan peligrar la operatividad de nuestros sistemas, y el ahorro de muchas situaciones irremediables.
Junto al termino backup aparece otro no menos importante: restore (recuperación o restauración), que es la operación inversa al backup. O sea, copiar al sitio original, desde el soporte destino, la información a la cual se le realizó backup anteriormente.
En muchas oportunidades se considera erróneamente backup a la copia de la información que se realiza en el mismo disco físico que contiene la información original, o tal vez se entiende que un nivel RAID es una especie de bakup, y no lo es. Si bien esta copia puede resultar útil en caso de modificaciones no deseadas o corrupción de la información del archivo o archivos originales, no nos permite recuperar la información en el caso de que la falla provenga del disco físico y nos provea estados del sistema anteriores al actual.
Por consiguiente, cuando hablamos de backup, nos referimos, no solo a copiar, sino pa hacerlo a un medio distinto del original. La idea conceptual del backup es extraer la información del sistema informático para ponerla a salvo, es decir, almacenarla en un entorno seguro. O, al menos, en un entorno que no comparta los mismos riesgos que el medio de origen.
No olvides que en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
Referencias
- Administración de Storage y Backups_Dante cantone, España, Editorial Alfa Omega
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
24, Ene 2022
Detalles del Enfoque – Alcance de la Parte 11 de CFR
Detalles del Enfoque – Alcance de la Parte 11
Interpretación estrecha del alcance
Entendemos que existe cierta confusión sobre el alcance de la parte 11. Algunos han entendido que el alcance de la parte 11 es muy amplio. Creemos que algunas de esas amplias interpretaciones podrían conducir a controles y costos innecesarios y podrían desalentar la innovación y los avances tecnológicos sin brindar un beneficio adicional a la salud pública. Como resultado, queremos aclarar que la Agencia tiene la intención de interpretar el alcance de la parte 11 de manera restringida.
Según la interpretación restringida del alcance de la parte 11, con respecto a los registros que deben mantenerse según las reglas predicadas o presentarse a la FDA, cuando las personas optan por utilizar registros en formato electrónico en lugar de papel, se aplicaría la parte 11. Por otro lado, cuando las personas usan computadoras para generar impresiones en papel de registros electrónicos, y esos registros en papel cumplen con todos los requisitos de las reglas predicadas aplicables y las personas confían en los registros en papel para realizar sus actividades reguladas, la FDA generalmente no condicionara a las personas para «usar registros electrónicos en lugar de registros en papel». En estos casos, el uso de sistemas informáticos en la generación de registros en papel no activaría la parte 11.
Definición de registros de la Parte 11
Bajo esta interpretación estrecha, la FDA considera que la parte 11 es aplicable a los siguientes registros o firmas en formato electrónico (registros o firmas de la parte 11):
- Registros que deben mantenerse según los requisitos de la regla establecida y que se mantienen en formato electrónico en lugar del formato en papel. Por otro lado, los registros (y cualquier firma asociada) que no se requiera conservar según las reglas establecida, pero que, sin embargo, se mantienen en formato electrónico, no son registros de la parte 11.
Le recomendamos que determine, en función de las reglas establecidas, si los registros específicos son registros de la parte 11. Le recomendamos que documente tales decisiones.
- Registros que deben mantenerse según las reglas establecidas, que se mantienen en formato electrónico además del formato en papel, y en los que se confía para realizar actividades reguladas.
En algunos casos, las prácticas comerciales reales pueden dictar si está utilizando registros electrónicos en lugar de registros en papel. Por ejemplo, si se requiere que se mantenga un registro bajo una regla predicada y usted usa una computadora para generar una copia impresa en papel de los registros electrónicos, pero aun así depende del registro electrónico para realizar actividades reguladas, la Agencia puede considerar que usted está utilizando el registro electrónico en lugar del registro en papel. Es decir, la Agencia puede tener en cuenta sus prácticas comerciales para determinar si se aplica la parte 11.
En consecuencia, recomendamos que, para cada registro que deba mantenerse según las reglas establecidas, determine de antemano si planea confiar en el registro electrónico o en el registro en papel para realizar actividades reguladas. Recomendamos que documente esta decisión (por ejemplo, en un Procedimiento operativo estándar (SOP) o documento de especificación).
Registros enviados a la FDA, conforme a reglas establecidas (incluso si dichos registros no están específicamente identificados en las reglamentaciones de la Agencia) en formato electrónico. Sin embargo, un registro que no se presenta en sí mismo, pero que se utiliza para generar una presentación, no es un registro de la Parte 11 a menos que se requiera que se mantenga bajo una regla establecida y se mantenga en formato electrónico.
Firmas electrónicas que pretenden ser el equivalente de firmas manuscritas, iniciales y otras firmas generales requeridas por reglas establecidas. Las firmas de la Parte 11 incluyen firmas electrónicas que se utilizan, por ejemplo, para documentar el hecho de que ciertos eventos o acciones ocurrieron de acuerdo con la regla establecida (por ejemplo, aprobado, revisado y verificado).
Enfoque de los requisitos específicos de la Parte 11
Validación
La Agencia tiene la intención de ejercer la discreción de cumplimiento con respecto a los requisitos específicos de la parte 11 para la validación de sistemas computarizados y los requisitos correspondientes. Aunque las personas aún deben cumplir con todos los requisitos de las reglas establecidas aplicables para la validación, esta guía no debe interpretarse como una imposición de requisitos adicionales para la validación.
Sugerimos que su decisión de validar los sistemas computarizados y el alcance de la validación tengan en cuenta el impacto que los sistemas tienen en su capacidad para cumplir con los requisitos de las reglas establecidas. También debe considerar el impacto que esos sistemas podrían tener en la precisión, confiabilidad, integridad, disponibilidad y autenticidad de los registros y firmas requeridos. Incluso si no existe un requisito de regla de establecido para validar un sistema, en algunos casos puede ser importante validar el sistema.
Recomendamos que base su enfoque en una evaluación de riesgos justificada y documentada y una determinación del potencial del sistema para afectar la calidad y seguridad del producto y la integridad del registro. Por ejemplo, la validación no sería importante para un procesador de texto que se usa solo para generar SOP.
Pista de auditoría
La Agencia tiene la intención de ejercer la discreción de cumplimiento con respecto a los requisitos específicos de la parte 11 relacionados con las pistas de auditoría generadas por computadora y con sello de tiempo y cualquier requisito correspondiente. Las personas aún deben cumplir con todos los requisitos de reglas establecidas aplicables relacionados con la documentación de, por ejemplo, fecha, hora o secuencia de eventos, así como cualquier requisito para garantizar que los cambios en los registros no oscurezcan entradas previas.
Incluso si no existen requisitos de reglas establecidas para documentar, por ejemplo, la fecha, la hora o la secuencia de eventos en una instancia particular, puede ser importante contar con pistas de auditoría u otras medidas de seguridad físicas, lógicas o de procedimiento para garantizar la confiabilidad y confiabilidad de los registros. Le recomendamos que base su decisión de aplicar pistas de auditoría u otras medidas apropiadas, en la necesidad de cumplir con los requisitos de la regla establecida, una evaluación de riesgos justificada y documentada, y una determinación del efecto potencial sobre la calidad y seguridad del producto y la integridad del registro. Le sugerimos que aplique los controles apropiados basados en dicha evaluación. Los registros de auditoría pueden ser particularmente apropiados cuando se espera que los usuarios creen, modifiquen o eliminen registros regulados durante el funcionamiento normal.
Sistemas heredados
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a todos los requisitos de la parte 11 para los sistemas que de otro modo estaban operativos antes del 20 de agosto de 1997, la fecha de vigencia de la parte 11, bajo las circunstancias especificadas a continuación.
Esto significa que la Agencia no tiene la intención de tomar medidas de cumplimiento para imponer el cumplimiento de los requisitos de la parte 11 si se cumplen todos los siguientes criterios para un sistema específico:
- El sistema estaba operativo antes de la fecha de vigencia.
- El sistema cumplió con todos los requisitos de reglas establecidas aplicables antes de la fecha de vigencia.
- Actualmente, el sistema cumple con todos los requisitos de reglas establecidas aplicables.
- Tiene evidencia documentada y justificación de que el sistema es apto para el uso previsto (lo que incluye tener un nivel aceptable de seguridad e integridad de registros, si corresponde).
Si un sistema ha cambiado desde el 20 de agosto de 1997, y si los cambios impiden que el sistema cumpla con los requisitos de la regla establecidad, los controles de la Parte 11 deben aplicarse a los registros y firmas de la Parte 11 de conformidad con la política de cumplimiento expresada en esta guía.
Copias de Registros
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a los requisitos específicos de la parte 11 para generar copias de registros y cualquier requisito correspondiente. Debe proporcionar a un investigador un acceso razonable y útil a los registros durante una inspección. Todos los registros en su poder están sujetos a inspección de acuerdo con las reglas establecidas.
Recomendamos que proporcione copias de registros electrónicos por:
- Producir copias de registros mantenidos en formatos portátiles comunes cuando los registros se mantienen en estos formatos
- Usar métodos de conversión o exportación automatizados establecidos, cuando estén disponibles, para hacer copias en un formato más común (los ejemplos de dichos formatos incluyen, entre otros, PDF, XML o SGML)
En cada caso, recomendamos que el proceso de copiado produzca copias que conserven el contenido y el significado del registro. Si tiene la capacidad de buscar, ordenar o buscar tendencias en los registros de la parte 11, las copias entregadas a la Agencia deben proporcionar la misma capacidad si es razonable y técnicamente factible. Debe permitir la inspección, revisión y copia de registros en un formato legible en su sitio utilizando su hardware y siguiendo sus procedimientos y técnicas establecidos para acceder a los registros.
Retención de registros
La Agencia tiene la intención de ejercer la discreción de ejecución con respecto a los requisitos de la parte 11 para la protección de registros para permitir su recuperación precisa y rápida durante todo el período de retención de registros y cualquier requisito correspondiente. Las personas aún deben cumplir con todos los requisitos de reglas establecidas aplicables para la retención y disponibilidad de registros.
Sugerimos que su decisión sobre cómo mantener los registros se base en los requisitos de las reglas predicadas y que base su decisión en una evaluación de riesgos justificada y documentada y en una determinación del valor de los registros a lo largo del tiempo.
FDA no tiene la intención de objetar si usted decide archivar los registros requeridos en formato electrónico en medios no electrónicos como microfilm, microficha y papel, o en un formato de archivo electrónico estándar (ejemplos de tales formatos incluyen, entre otros, PDF, XML o SGML). Las personas aún deben cumplir con todos los requisitos de las reglas establecidas, y los propios registros y cualquier copia de los registros requeridos deben conservar su contenido y significado. Siempre que los requisitos de la regla establecida se cumplan por completo y el contenido y el significado de los registros se conserven y archiven, puede eliminar la versión electrónica de los registros. Además, los componentes de firmas y registros en papel y electrónicos pueden coexistir (es decir, una situación híbrida) siempre que se cumplan los requisitos de la regla establecida y se conserve el contenido y el significado de esos registros.
No olvides que en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
REFERENCES
- Glossary of Computerized System and Software Development Terminology (Division of Field Investigations, Office of Regional Operations, Office of Regulatory Affairs, FDA 1995)
- General Principles of Software Validation; Final Guidance for Industry and FDA Staff (FDA, Center for Devices and Radiological Health, Center for Biologics Evaluation and Research, 2002)
- Guidance for Industry, FDA Reviewers, and Compliance on Off-The-Shelf Software Use in Medical Devices (FDA, Center for Devices and Radiological Health, 1999)
- Pharmaceutical CGMPs for the 21st Century: A Risk-Based Approach; A Science and Risk-Based Approach to Product Quality Regulation Incorporating an Integrated Quality Systems ApproachExternal Link Disclaimer (FDA 2002)
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
12, Ene 2022
Ciclo de vida de la información
En la actualidad las instituciones y empresas producen, almacenan y respaldan gran cantidad e información. Hoy en día, la información que posee una empresa es uno de sus valores mas importantes. Este valor no solo es mantener un acceso rápido a los dispositivos que la almacenan. Existen casos donde no se justifica el gasto porque el valor de la información no siempre es el mismo. El veloz crecimiento del volumen de información no puede ser excusa para no organizar esta información según su criticidad y volumen. Cuando la información de una empresa o institución no se encuentra ordenada y clasificada se producen inconvenientes que dificultan su procesamiento ya que se presentan diferentes tiempos de acceso a la información.
El concepto de ciclo de vida esta evolucionado rápidamente en la industria de la información (medianas y grandes empresas) junto al valor que le otorga la información. La idea que sustenta el ciclo de vida es el concepto de la cadena de valor que posee una información en particular desde que se crea hasta que se accede a ella en mayor o menor medida. En estos accesos pasa por una serie de procesos cuya función es añadir valor para quien debe utilizarla hasta agotar su funcionalidad. Sucede que al aumentar el valor de la información también se aumenta el coste de almacenamiento.
Los inconvenientes mencionados surgen ya que el desorden o falta de clasificación se produce por no acceder a la información por los mismos canales o bajo las mismas pautas y los detallamos a continuación.
1.1-Dificultad de acceder a llegar a la información
Mencionábamos que una organización depende de la información que tiene almacenada para poder llevar a cabo sus objetivos. Que el volumen de información esté informatizado no implica que esté de forma ordenada, es decir, que los integrantes de la información sepan cómo, o tengan los medios necesarios para acceder a la información. Éste es el primer obstáculo a superar cuando hablamos de gestionar información dentro del ciclo de vida.
1.2.-Deficiencia en el acceso en cuanto a tiempo y forma
Superado el primer inconveniente, nuestra tarea continua en mejorar el acceso a la información considerando los aspectos técnicos. En esta tarea lo principal es el análisis de los requerimientos de la organización y del relevamiento del hardware disponible para llevar adelante las operaciones.
1.3.-Diferentes modos de acceder a la información
Por último, pondremos foco en mejorar el acceso a la información teniendo presente los aspectos externos al hardware y dependientes de cada uno de los usuarios o áreas que necesitan acceder.
Muchas veces para mitigar o corregir parcialmente estos inconvenientes se intenta alojar la mayor cantidad de información en servidores con discos duros (de alto rendimiento). Ya que el alojamiento en estos servidores ayudan a mantener, gestionar, hacer peticiones y establecer conexiones de bases de datos que ayudan con el orden de información.
Ya hemos dicho que el significado y la importancia de esta información serán los mismos a medida que transcurre el tiempo. Debido a esto la forma, los métodos y las técnicas con que debe ser almacenada y respaldada la información cambiaran de acuerdo al paso del tiempo, ya que la información no tendrá el mismo valor, es decir, el concepto principal que obtenemos del ciclo de vida de la información es almacenar la información donde podremos obtener el mejor beneficio de ella.
Relevar y analizar los puntos antes mencionados nos proporcionaran una idea muy acertada de cómo encarar al almacenamiento y, si fuera necesario, protección (backups) de la información concerniente al sistema que estamos analizando, diseñado o administrando.
No olvides que en caso de ser necesario, puedes contactarnos para mejorar el proceso de laboratorio y administrativo de tu organización a través software 100% confiable y seguro. Recuerda que en deappharma somos expertos en la materia, por lo que procesos complejos no representa un reto para nosotros, debido a que tenemos en mente los aspectos relevantes de cumplimiento.
Referencia;
- Administración de Storage y Backups_Dante cantone, España, Editorial Alfa Omega
¡Contáctanos! y conoce de que manera te vamos a ayudar.
¡Únete a nuestra comunidad en redes!
