(Por ejemplo, para laboratorios analíticos, empresas de preclínica y ensayos clínicos).

¿Quieres evitar deficiencias en auditorías de sistemas informáticos?. Check-list para aprobar fabricante de software:

Para empezar, tal y como decía en otros post, revisando bibliografía, resolviendo problemas con clientes, o comentando su experiencia en auditorías, las deficiencias son siempre las mismas. Y casi siempre con la misma consecuencia: Subidón de stress en la empresa, para dar un CAPA plan y que nos den el certificado.

Diciéndolo de otra forma, en los laboratorios (químicos, bioquímicos y microbiológicos) los sistemas que gobiernan instrumentación analítica deben de estar validados. Sin embargo, hay que señalar que, la tarea se reparte entre tú y el fabricante del software. En otros post, hablé de la responsabilidad y tarea que tienes tú como empresa.

Pasar una auditoría es un trabajo de equipo.

El fabricante del software es responsable de gran parte de su ciclo de vida:

Al principio, el fabricante de instrumentación analítica desarrolla un diseño funcional. A continuación, lo plasma en unas especificaciones funcionales. Seguidamente, el detalle se lleva a un nivel mucho más alto para escribir líneas de código (programa en sí): Esto son las especificaciones de diseño detallado. Gracias a ellas, se puede escribir el programa. O lo que es lo mismo, implementar las especificaciones en forma de líneas de código, ya integrado con el  hardware. El fabricante ha de hacer este desarrollo bajo un Sistema de Garantía de Calidad.

La cualificación de la instalación (IQ) del software está asociada al desarrollo de detalle, su implementación y la interacción con el hardware. Por otro lado, la cualificación de la operación (OQ), está relacionada con el desarrollo de la especificación funcional y los límites de diseño asociados. El grado de especialización es muy alto.

Por esta razón, tanto la IQ como la OQ se deben hacer mediante test scripts suministrados y ejecutados por el fabricante.

Pero nosotros somos responsables del resultado final. Check-list para aprobar fabricante de software.

Sin embargo, la integración del software en el procedimiento de nuestra empresa, es cosa nuestra. Es decir, el uso que nosotros hacemos del software, con nuestros procedimientos y bajo regulación farmacéutica, también requiere un grado de especialización muy alto. En consecuencia, somos nosotros quienes tenemos que integrar el software en nuestro entorno. Es decir, debemos configurar el software de acuerdo a la regulación farmacéutica. Por esa razón, la cualificación de la prestación (PQ) la debemos hacer nosotros como clientes del fabricante del software.

En cualquier caso, también nosotros tenemos que asegurar que el diseño del software se hizo bajo un sistema de calidad (alineado con las GMPs). Y, además, que la IQ y OQ demuestran que el software está diseñado de acuerdo a la regulación farmacéutica actual.

A continuación, te ofrezco un check-list, para evaluar si el software cumple 21 CFR parte 11 (data integrity). Eso sí, un 21 CFR parte 11, con los requerimientos de integridad actuales:

Check-list para aprobar fabricante de software:

Diseño del software:

El software viene con funciones y características para:

  • Detectar cambios en un registro electrónico.
  • Detectar archivos de datos corruptos.
  • Guardar en auto toda alteración de datos en un registro de actividad.
  • Guardar en auto todo evento de aplicaciones y sistemas en un registro de actividad.
  • Hacer consulta selectiva sobre ese registro de actividad (“Audit trail”).
  • Impedir el acceso al registro de actividad y “audit trail” de modo que no se pueda editar, sino sólo buscar, ver e imprimir.
  • Vincular características ALCOA+ a los datos.
  • Disponer de funciones de impresión en papel y exportación a formato .pdf.
  • Impedir acceso simultaneo de varios usuarios al mismo registro.
  • Limitar el acceso al software mediante credenciales únicas (user ID – contraseña).
  • Actualizar credenciales sólo a través de pantallas con acceso restringido.
  • Limitar la visualización o copia de contraseñas.
  • Registrar el acceso y el cambio en la configuración de seguridad.
  • Controlar las versiones para capturar el cambio de contenido.
  • Integrar controles del sistema operativo para garantizar la secuenciación de pasos y eventos del software.
  • Autenticar usuario con credenciales adicionales para realizar operaciones especificas (ej. Aprobación de datos).
  • Controlar los dispositivos de entrada de datos (instrumentación analítica), mediante modelo, número de serie y versión de los drivers.
  • Gestionar este control mediante el métodos de captura de datos.
  • Firmar electrónicamente, con el nombre impreso del firmante, la fecha y hora de la firma, y el significado asociado a la firma (revisión, aprobación, autoría, etc…).

Check-list para aprobar fabricante de software:

  • Mostrar el nombre completo del usuario en la pantalla al momento de firmar.
  • Guardar en el registro de actividad y Audit Trail, las características de firma indicadas en los dos últimos puntos.
  • Crear un significado específico para la firma.
  • Registrar el evento de firma en el “audit trail” y vincularlo con el registro (datos) correspondiente.
  • Evitar el intento de eliminar una firma electrónica y aplicarla a otro registro.
  • Usar la seguridad de Windows® como fuente de identidad del usuario y contraseña para la firma electrónica.
  • Limitar el acceso inicial a la sesión de trabajo con credenciales (usuario y contraseña)
  • Permitir que un usuario, en una sesión de trabajo con acceso controlado, pueda introducir su contraseña para firmas posteriores.
  • Permitir que Windows finalice la sesión del usuario si no detecta actividad.
  • Autenticar al usuario con Windows y verificar su identidad en la lista de usuarios permitidos.
  • No presentar contraseñas en la pantalla y evitar la eliminación de contraseñas de los campos en pantalla.
  • Mostrar de forma restringida, la configuración de seguridad actual, el historial de seguridad y la adición y eliminación de usuarios.
  • Poder imprimir la configuración de seguridad.
  • Guardar los acceso al sistema en el registro de actividad y audit trail.
  • Guardar la transacción de datos en registro de actividad y audit trail.

Ciclo de vida del software

Y, además, hay unos básicos que debe cumplir el fabricante en sí:

  • Desarrollo del software bajo un sistema de gestión de la calidad.
  • Futura actualización de software compatible con archivos y datos actuales
  • Proporcionar funcionalidad de traducción al la nueva versión.
  • Disponer de registro de cualificación de las personas que desarrollan software.
  • Documentación vinculada específicamente a cada versión del software
  • Registro de actividad y “audit trail” para la actividad de mantenimiento del instrumento.

Puede interesarte también las claves para pasar una auditoría de sistemas informáticos y ejecutar un check-list para un software y ver si cumple 21 CFR parte 11.

¿Cómo te ayuda ERANOVA PHARMA a preparar auditorías de sistemas informáticos?

ERANOVA PHARMA hace un diagnóstico de cada sistema, prepara un plan, y aborda en su totalidad el cumplimiento regulatorio de tus sistemas informáticos. Esto abarca la documentación de uso y la validación de todos tus sistemas.

Si una inspección ya te ha puesto contra las cuerdas, ERANOVA PHARMA te ayuda a resolver todas las deficiencias que tengas y validará el sistema que esté al descubierto.

ERANOVA PHARMA emplea un enfoque basado en el riesgo al validar un sistema informático. Así, evaluamos el sistema de gobierno de datos y documentos. A continuación, identificamos sus vulnerabilidades e implementamos CAPAs con vosotros. Cuando el diseño de los sistemas y procedimientos cumple, entonces abordamos la validación. Este enfoque permite asegurar la calidad del producto, la seguridad de los pacientes y la integridad de los datos generados y usados durante el estudio clínico.

En validación, ERANOVA PHARMA verifica también que hay procedimientos para migración de datos y documentos, archivo, back-up y restauración y firmas electrónicas según 21 CFR Parte 11. Y, además, que los sistemas informáticos los ejecutan con todas las garantías de integridad de datos.

Si vas a pasar una auditoría EU GMP o FDA, ponte en contacto con ERANOVA PHARMA. Si te enfrentas a una inspección, más vale prevenir que curar. Tener en cuenta la Regulación europea o americana al planificar, realizar y documentar las actividades de CSV reducirá el riesgo de recibir un informe de deficiencias. Y, en consecuencia, pasarás la inspección sin sustos.

Y si ya te han pillado en renuncio, ERANOVA PHARMA te ayudará a resolver el problema. De forma segura, eficiente y eficaz. Ya está.

En definitiva, si crees que necesitas ayuda, rellena el formulario siguiente pinchando aquí.