En este post se explica cómo es la validación de los sistemas informatizados en la nube.

¿Qué es la validación de sistemas informatizados en la nube?

La validación de los sistemas informatizados en la nube es demostrar que el sistema funciona tal y como se espera, cuando está alojado en la nube, es decir, cuando hacemos uso de proveedores de servicios de alojamiento y computación.

Los sistemas informatizados en la nube son parte de la revolución digital. Las empresas ven gran oportunidad alojando los sistemas en la nube, Y acceder para uso desde terminales propios. La industria farmacéutica requiere la validación de toda aplicación alojada en nube, si la información que maneja tiene impacto en eficacia, seguridad y calidad del medicamento. Además, la tendencia actual es una visión aún más amplia, en términos de disponibilidad, seguridad e integridad de la información.

Validación de sistemas informatizados en la nube: ¿Qué es Cloud Computing?

Cloud Computing es la posibilidad de uso de un servicio en Internet para operar nuestro sistema informático. Así, es posible almacenamiento de datos, uso de servidores, bases de datos, redes y software. El almacenamiento en la nube es un recurso de gran valor para la empresa que busca una solución de gestión de datos fuera de sus sistemas propios. De esta forma, la información es accesible en cualquier momento, independientemente de la ubicación física del usuario.

¿Cuáles son los tipos de Cloud Computing?

Los tipos de Cloud Computing son tres: SaaS (Software-as-a-Service), PaaS (Platform-as-a-service) e IaaS (Infrastructure-as-a-Service)

¿Qué es SaaS? Software-as-a-service.

SaaS (SOFTWARE-AS-A-SERVICE): Es un servicio de software (aplicaciones) alojado en la nube. El acceso del usuario es por navegador web. O también por un cliente de escritorio dedicado. O incluso, por una aplicación que se integra con un sistema operativo de escritorio o móvil. El usuario aprovecha las nuevas funciones (automática) cuando el proveedor las agrega. El usuario no tiene que gestionar una actualización local. El usuario no pierde datos si su dispositivo falla porque SaaS almacena los datos en la nube junto con la aplicación.

¿Qué es PaaS? Platform-as-a-service.

PaaS (PLATFORM-AS-A-SERVICE) es un servicio de plataforma (hardware, paquete de software, infraestructura y herramientas de desarrollo) para desarrolladores. Es para ejecutar, desarrollar y administrar aplicaciones. PaaS evita el costo, la complejidad y la inflexibilidad de mantener esa plataforma en la propia empresa. El proveedor de la nube aloja todo (servidores, redes, almacenamiento, software del sistema operativo, middleware, bases de datos) en su centro de datos. Los desarrolladores eligen de un menú para «activar» los servidores y entornos que necesitan para ejecutar, crear, probar, implementar, mantener, actualizar y escalar aplicaciones.

¿Qué es IaaS? Infrastructure-as-a-service.

IaaS (INFRASTRUCTURE-AS-A-SERVICE): Es un servicio de recurso informático (servidores físicos y virtuales, redes y almacenamiento) a través de Internet. IaaS permite al usuario final escalar y reducir recursos según sea necesario, lo que reduce el gasto de capital inicial por infraestructura local y la compra de recursos para los picos periódicos de uso.

¿Cuándo hay que hacer la validación de un sistema informatizado en la nube?

En industria farmacéutica, hay que validar un sistema informático en la nube si gestiona información con impacto en eficacia, seguridad y calidad del medicamento. Y, además, si la información debe ser accesible, segura e integra (ej. Información de salud de pacientes). Es decir, aplica el mismo criterio de evaluación que si el sistema se alojara y operara dentro de nuestra infraestructura local.

Esto aplica a sistemas relacionados con investigación pre-clínica, clínica, fabricación de medicamentos, sustancias activas, excipientes y sistemas envase-cierre, y seguimiento del medicamento en el mercado. Igualmente, aplica al entorno de dispositivos médicos (Medical Devices) y productos sanitarios. La validación de un sistema informático en la nube puede ser objetivo de Inspección por una Autoridad Reguladora. O por un cliente farmacéutico, como parte de su programa de homologación de fabricantes.

¿Cómo se hace la validación de un sistema informático en la nube?

Primero: Un sistema informático en la nube se valida siguiendo el mismo requisito de cumplimiento que un sistema local. La gran diferencia es que hay un proveedor de servicios en medio. Por tanto, en el ciclo de vida del servicio, y su validación, se debe enfrentar la homologación del proveedor de servicios en la nube. Se debe considerar una evaluación documentada del proveedor. Con acceso a la información técnica del servicio. Y también, a la información del sistema de gestión de la calidad del proveedor. Esto puede hacerse en un ejercicio separado. O como parte ya de la cualificación del diseño, durante el ejercicio de validación.

Segundo: En consecuencia, para la cualificación del diseño, tengamos claro qué queremos. Es decir, por delante debe ir un ejercicio de gestión de riesgos. Para el sistema informático en la nube. Y a continuación, la especificación de requisitos de usuario (URS) del sistema. Así que a pensar lo que necesitamos del proveedor del servicio. Si esto no se hace, los problemas aparecerán durante la cualificación de la operación/prestación.

Validación de sistemas informatizados en la nube: Contratación del servicio.

Si esta cualificación del diseño es conforme, puede contratarse el servicio. El contrato debe responder a gran parte de las acciones de mitigación de riesgos. Capturadas en la URS.

Tercero: Plan de validación, protocolos de test, ejecución e informe de validación. Aquí, las pruebas se hacen en un entorno test antes de la liberación del sistema a entorno de producción. O sea, que incluso en la nube, deben existir estos entornos. Si el servicio ofrece la personalización de la base de datos, también se considera la existencia de un entorno de desarrollo.

¿Qué es clave al contratar los servicios de Cloud Computing?

Al contratar los servicios de un proveedor de Cloud Computing es esencial disponer de dos cosas: Primero: Certificaciones de su sistema de gestión de calidad. Segundo: Documentación explicativa del servicio.

El proveedor debe disponer de certificaciones que demuestran la calidad del servicio. Y, además, la capacidad de cumplir requisitos importantes para la validación. Estas certificaciones son, entre otras: NIST, ISO 27001, ITIL, Cloud Security Alliance (CSA), etc… Estos certificados deben formar parte de la documentación de validación del sistema informatizado. O estar disponibles en la documentación de homologación del fabricante.

El proveedor de servicios en la nube debe permitir el acceso a sus servidores para realizar los test. Y, además, acceso para recoger la información para completar la validación. O también, para recoger documentación que sirva para generar nuestros procedimientos de uso del sistema. Los proveedores de servicios en la nube tienen portales de documentación para que sus clientes accedan a información sobre el cumplimiento de la normativa. Los técnicos de validación deben acceder para descargar y documentar la práctica del proveedor. Y, además, las características del sistema. Como clientes, debemos estar seguros que las prácticas están alineadas con los requerimientos de un entorno GxP.

¿Qué no es necesario saber en validación de sistemas informáticos en la nube?

En validación de sistemas informáticos en la industria farmacéutica, alojados en la nube, no hay que conocer a fondo la tecnología del proveedor. La empresa de validación de sistemas informatizados en la nube debe demostrar que esta tecnología cumple los requisitos de los estándares de validación. Y de sistemas informatizados. Y esto es porque el sistema se usa en entorno GxP.

¿Cómo te ayuda ERANOVA PHARMA como empresa de validación de sistemas informáticos en la nube?

ERANOVA PHARMA dispone de consultores expertos como empresa de validación de sistemas informatizados en la nube.

ERANOVA PHARMA ofrece servicios de colaboración adaptados a tus necesidades de Cloud Computing, para validar sistemas informáticos en la nube:

Primero: Acuerdo de colaboración para asesoramiento por un tiempo definido, para la evaluación de tus sistemas informatizados e implementación de la actividad de validación.
Segundo: Aplicación de las herramientas de gestión de riesgos para la evaluación de uno o varios sistemas concretos.
Tercero: Formación en Cloud Computing y en validación de sistemas informatizados. Sin más.
Cuarto: Acciones de validación para sistemas aislados, según tus necesidades concretas.

Pídenos información, y sube ya el nivel de Cumplimiento, antes que sean las inspecciones las que lo hagan. Si tú quieres, ven con esas inquietudes y novedades que tienes en la cabeza. Disfrutamos ayudándote a encontrar tu solución exacta, y a implementar validación de sistemas informatizados en tu planta: Pincha aquí.

También puede interesarte en esta web:

Guía de respuestas rápidas:

¿Qué es Cloud Computing?

Cloud Computing es un acceso bajo demanda, a través de Internet, a los recursos informáticos: aplicaciones, servidores (servidores físicos y servidores virtuales), almacenamiento de datos, herramientas de desarrollo, capacidades de red y más. Alojados en un centro de datos remoto. Administrado por un proveedor de servicio. El proveedor del servicio pone a disposición estos recursos por una tarifa de suscripción mensual o los factura según el uso.

¿Cómo validar un sistema informático en la nube?

Validar un sistema informático requiere la redacción de un protocolo de validación, ejecutarlo y redactar un informe de validación. El Informe debe anexar evidencias que demuestren que el sistema informático funciona de acuerdo a la intención de uso. Hacerlo en la nube implica considerar al proveedor, su tecnología y la calidad de su servicio dentro del ciclo de vida de la validación.

¿Qué es la validación de un sistema informático?

La validación de un sistema informático es demostrar que el sistema informático funciona de acuerdo a la intención de uso. El diseño parte de un documento llamado especificación de requisitos de usuario. La intención de uso se describe mediante un procedimiento de obligado cumplimiento. Todo parte de un principio. El principio es un ejercicio de gestión de riesgos. Este ejercicio de gestión de riesgos se enfoca en garantizar que el sistema no aporta riesgos adicionales para la seguridad, eficacia y calidad del medicamento, ni para la integridad de la información gestionada.

¿Qué son los riesgos de un sistema informático?

Los riesgos de un sistema informático son carencias del código de programación cuyas consecuencias tienen impacto en la calidad, seguridad o eficacias del medicamento, o bien en la integridad de la información. Los riesgos no mitigados se llaman vulnerabilidades y el diseño del software debe impedirlos, o bien ofrecer controles para que no pasen desapercibidos, y puedan ser mitigados externamente.

¿Cuáles son los pasos del proceso de validación de un sistema informatizado en la nube?

Los pasos del proceso de validación, según los anexos de GMPs de la Unión Europea, y la GAMP 5 2ª edición, son:

RA→URS→SA→DQ→SAT→PQ

Donde, según siglas en inglés:

RA: Es un ejercicio (o varios) de gestión de riesgos del servicio del proveedor y del sistema en la nube.

URS: Es la escritura de una especificación de requisitos de usuarios para el sistema informatizado en la nube.

SA: Es la evaluación del proveedor del servicio de computación en la nube.

DQ: Es la cualificación del diseño del sistema informatizado alojado en la nube.

SAT: Son las pruebas de aceptación del sistema a abrirse el acceso al sistema en la planta del cliente.

PQ: Son las pruebas de cualificación del sistema tal y como se usará en la nube con sus procedimientos y configuración.

ERANOVA PHARMA ofrece servicios profesionales como: empresas de validación de sistemas informatizados, empresas de validaciones, empresas de cualificación de salas limpias, empresas de cualificación de equipos de fabricación farmacéutica, empresas de asesoramiento farmacéutico GxP, empresas de formación GMP y empresas de gestión de la seguridad de la información.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Validación de sistemas informatizados en la nube