En este artículo te presento un check-list inspección informática de UPLC-MS, y ver si está preparado para pasar una inspección regulatoria. Está pensado, por ejemplo, para laboratorios analíticos, empresas de preclínica y ensayos clínicos, pero vale para cualquier laboratorio con instrumentación analítica, que genere datos con impacto en calidad, seguridad y eficacia de medicamentos.

¿Quieres evitar deficiencias en auditorías de sistemas informáticos?

Para empezar, diré que, revisando bibliografía, resolviendo problemas con clientes, o comentando sus experiencias en auditorías, las deficiencias son siempre las mismas. Y casi siempre con las mismas consecuencias: Subidón de stress en la empresa, para dar un CAPA plan y que nos den el certificado.

Diciéndolo de otra forma, en los laboratorios (químicos, bioquímicos y microbiológicos) los sistemas que gobiernan instrumentación analítica deben de estar validados. Sin embargo, hay que señalar que, la tarea se reparte entre tú y el fabricante del software. En otro post futuro, hablaré de la responsabilidad y tarea del fabricante del software.

A continuación, te ofrezco una lista de comprobación, para evaluar un sistema informático:

Check-list para no tener problemas en auditorías de sistemas informáticos:

Registros electrónicos:

Primeramente, para asegurar que los instrumentos analíticos son seguros, gestionados por su sistema informático (software) se debe cumplir lo siguiente (Evalúa con cumple / no cumple):

  • El software debe estar validado
  • Se debe disponer de documentación GMP que lo demuestre.
  • El software debe poder detectar registros alterados o invalidados.
  • Solo las personas autorizadas deben tener acceso al software.
  • El nivel de acceso debe alinearse con la responsabilidad.
  • No hay conflicto de intereses entre generación, revisión, aprobación y administración de datos.
  • Existe una funcionalidad “Audit trail” para monitorizar la creación y los cambios en los registros, incluido el archivo, alteración o eliminación de datos
  • Hay registros de cualificación para las personas que utilizan el software
  • Como mínimo hay registros de formación en el procedimiento de uso
  • La formación está dada antes de darles de alta en el sistema.
  • La formación alcanza a todo el personal relacionado con el sistema informático.
  • Los registros están protegidos durante un período de conservación definido.
  • Esto puede ser hasta 15-20 años dependiendo de lo que representen los datos.
  • Los datos y metadatos del sistema están fácilmente disponibles para auditoría.
  • Los registros del sistema incluyen el nombre de la persona, motivo, fecha y hora en el momento.
  • La firma debe estar vinculada al registro para que (la firma) no se pueda eliminar ni copiar.
  • Hay procedimientos que responsabilicen a la persona por las acciones tomadas con su firma electrónica.
  • Cuando se requiere confidencialidad de los datos, se añade seguridad adicional.
  • Esta seguridad consiste en el cifrado de archivos o el uso de firmas digitales.

Firmas electrónicas:

Para continuar, el check-list puede evaluar el cumplimiento de las firmas electrónicas así:

  • El software que genere firma electrónica verifica identidad antes de uso.
  • Existe una declaración de equivalencia legal entre firma electrónica y manuscrita, a disposición de las autoridades reguladoras
  • La firma electrónica es exclusiva de una persona y la empresa nunca la reutiliza.
  • Existen controles para prevenir el fraude (el fraude requiere la colaboración de dos o más personas)
  • El sistema de gestión de firmas electrónicas detecta intentos de acceso no autorizado y notifica al administrador del sistema.

Contraseñas:

Para empezar, digamos que, la firma electrónica más sencilla es una combinación de “identificación de usuario” y “contraseña”. Sin embargo, su efectividad depende del diseño de la contraseña. Es decir, pensemos, por ejemplo, en que las contraseñas que se recuerdan fácilmente también se pueden adivinar fácilmente. Además, las personas se apuntan las contraseñas, porque trabajan con muchos sistemas y cada uno va variando las contraseñas con su propia frecuencia. Así que, los “apuntes” son un punto débil de seguridad.

Por todo ello, una gestión adecuada de contraseñas requiere lo siguiente:

  • Longitud mínima de 8 caracteres.
  • Introducir caracteres diferentes de letras y números, complica, pero no aumenta la seguridad.
  • La caducidad de las contraseñas es necesaria mientras existan los “apuntes”
  • No usar palabras comunes como contraseña: Son vulnerables por ser adivinables.
  • No reutilizar contraseñas para diferentes sistemas.
  • Integrar autenticación por Windows.

Finalmente, la administración de contraseñas requiere un procedimiento, cualificación basada en el mismo y diseño del software, para asegurar que:

  • El ID de usuario y el nombre de usuario es único y nunca se reutiliza.
  • La contraseña tiene una seguridad adecuada y es sólo conocida por su usuario.
  • La combinación ID de usuario – contraseña es sólo usada por su usuario

Temas definidos, implementados y descritos en procedimiento:

  • Tener todas las operaciones que siguen, definidas en procedimientos detallados.
  • Tener control de versiones para instrumentos, hardware y software.
  • Dirigir la cualificación inicial del instrumento analítico.
  • Realizar la validación inicial del software.
  • Mantener el estado de validación mediante el procedimiento de control de cambios.
  • Redactar, mantener y asegurar el cumplimiento estricto de los procedimientos.
  • Configurar el software, adecuándolo a un uso GxP en la empresa.
  • Controlar la configuración de fecha y hora en la terminal PC o portátil
  • Definir el periodo de validez de los registros.
  • Tener las operaciones de archivo, back-up y restauración definidas en procedimiento
  • Tener bien definido y controlado todo el hardware y software de infraestructura.
  • Al hablar de esto, considerarlo también para la operación de back-up y archivo.
  • Tener el control de acceso y la seguridad del sistema definido en procedimiento.
  • Esto incluye al software del instrumento y a la plataforma Windows.
  • El mantenimiento del control de acceso y la seguridad, también.
  • Configurar las funciones de seguridad del software.
  • Gestionar los privilegios de acceso, listas de usuarios e históricos de ambas cosas.
  • Configurar las funciones de Autologoff tanto del software como de Windows.
  • Configurar la funcionalidad de “Audit trail” del software de acuerdo al procedimiento de uso.
  • Habilitar las funciones de firma electrónica y describir el uso en procedimiento
  • Auditar de forma presencial, documental o en remoto al fabricante del software y del instrumento.
  • Tener cualificado en el uso y gestión de los sistemas, a todo el personal involucrado.
  • Notificar a las Agencias Reguladoras el uso de firmas electrónicas.
  • Tener un procedimiento de control de cambios de sistemas informáticos.
  • Tener el mantenimiento de los instrumentos descrito en procedimiento y gestionado por un plan.

También puede interesarte ampliar conocimientos, sabiendo las claves para pasar una auditoría de sistemas informáticos sin sustos, y lo que le tienes que auditar a un fabricante de software antes de comprarle.

¿Cómo te ayuda ERANOVA PHARMA a preparar auditorías de sistemas informáticos sin sustos?


ERANOVA PHARMA hace un diagnóstico de cada sistema, prepara un plan, y aborda en su totalidad el cumplimiento regulatorio de tus sistemas informáticos. Esto abarca la documentación de uso y la validación de todos tus sistemas.

Si una inspección ya te ha puesto contra las cuerdas, ERANOVA PHARMA te ayuda a resolver todas las deficiencias que tengas y validará el sistema que esté al descubierto.

ERANOVA PHARMA emplea un enfoque basado en el riesgo al validar un sistema informático. Así, evaluamos el sistema de gobierno de datos y documentos. A continuación, identificamos sus vulnerabilidades e implementamos CAPAs con vosotros. Cuando el diseño de los sistemas y procedimientos cumple, entonces abordamos la validación. Este enfoque permite asegurar la calidad del producto, la seguridad de los pacientes y la integridad de los datos generados y usados durante el estudio clínico.

En validación, ERANOVA PHARMA verifica también que hay procedimientos para migración de datos y documentos, archivo, back-up y restauración y firmas electrónicas según 21 CFR Parte 11. Y, además, que los sistemas informáticos los ejecutan con todas las garantías de integridad de datos.

Si vas a pasar una auditoría EU GMP o FDA, ponte en contacto con ERANOVA PHARMA. Si te enfrentas a una inspección, más vale prevenir que curar. Tener en cuenta la Regulación europea o americana al planificar, realizar y documentar las actividades de CSV reducirá el riesgo de recibir un informe de deficiencias. Y, en consecuencia, pasarás la inspección sin sustos.

Y si ya te han pillado en renuncio, ERANOVA PHARMA te ayudará a resolver el problema. De forma segura, eficiente y eficaz. Ya está.

En definitiva, si crees que necesitas ayuda, rellena el formulario pinchando aquí.