Generalidades
El día 03 de agosto del 2016 entro en vigor la NOM-059-SSA1-2015, Buenas Prácticas de Fabricación de medicamentos ampliando con ello entre otros, el tema de integridad de datos.
9.13 Validación de sistemas computacionales.
9.13.1 Los sistemas computacionales que impactan en la calidad del producto deben estar validados.
9.13.2 Deben contar con un sistema de protección, integridad y respaldo de la información.
9.13.3 El acceso a éstos debe ser controlado.
9.13.4 Cuando un sistema computarizado genere registros electrónicos y/o emplee firmas electrónicas, éstos deben ser considerados en la validación:
9.13.4.1 Son considerados registros electrónicos los documentos y registros que son creados, modificados, mantenidos, archivados, recuperados y/o transmitidos a través de sistemas
electrónicos.
9.13.4.2 Para firmas electrónicas:
9.13.4.2.1 Estas deben ser únicas para cada persona e intransferibles.
9.13.4.2.2 Cuando el uso de firmas electrónicas sea adoptado, se debe establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a las firmas autógrafas.
9.13.4.2.3 Las firmas electrónicas deben contar con al menos dos elementos distintos tales como un código de identificación y una contraseña.
NOM-059-2013
3
9.13 Validación de sistemas computacionales.
9.13.1 Los sistemas computacionales que impactan en la calidad del producto e integridad de datos, deben estar validados.
9.13.2 Deben contar con un inventario de todos los sistemas computacionales.
9.13.3 Los sistemas computacionales deben considerar componentes de software, instrumentos, equipos e infraestructura de tecnología de la información, entre otros.
9.13.3.1 Deben contar con un sistema de protección, integridad y respaldo de la información, los cuales deben determinarse basados en la documentación de evaluación de riesgos del sistema
computacional. El acceso y legibilidad de los datos debe asegurarse durante todo el tiempo de retención.
9.13.3.2 El acceso a éstos debe ser controlado.
9.13.3.2.1 Se deben aplicar controles físicos y/o lógicos para restringir el acceso a usuarios con diferentes niveles de autorización. Los códigos de seguridad deben definirse de acuerdo a
criterios predeterminados y ser modificados periódicamente.
9.13.3.2.2 El Sistema debe bloquear un usuario después de una cantidad definida de intentos de ingreso fallido.
9.13.3.3 Cuando un sistema computarizado genere registros electrónicos y/o emplee firmas electrónicas, éstos deben ser considerados en la validación:
9.13.3.3.1 Son considerados registros electrónicos los documentos y registros que son creados, modificados, mantenidos, archivados, recuperados y/o transmitidos a través de sistemas
electrónicos.
9.13.3.3.2 En caso que se determine que un Sistema genera y mantiene datos electrónicos regulados, debe existir evidencia documental para asegurar su trazabilidad, fácil acceso e integridad de
los mismos.
9.13.3.4 Si efectúan captura de datos críticos manualmente debe haber una revisión adicional en la exactitud de los datos que puede ser realizada por una segunda persona o a través de un
medio electrónico validado.
9.13.3.5 Los datos deben ser protegidos por herramientas tales como copias de seguridad realizadas con las frecuencias definidas de acuerdo a un procedimiento.
9.13.3.6 La capacidad para restaurar los datos, así como la integridad y la exactitud para su respaldo, deberá ser verificada durante la validación y ser monitoreados en forma periódica.
9.13.3.7 Basado en una valoración de riesgos determinar la necesidad de que el sistema incluya un sistema de auditoría de datos, programada para registrar independientemente la fecha y hora
de ingreso de los usuarios, así como las acciones de crear, modificar o eliminar registros electrónicos.
9.13.3.7.1 La auditoría de los datos (Audit trail) deberá prevenir su alteración y deberá estar disponible y convertible en un modo entendible, durante su periodo de retención, para permitir
evidencia en la cadena de eventos.
NOM-059-SSA1-2015
4
9.13.4 El proceso de validación debe abarcar todas las fases relevantes del ciclo de vida de acuerdo a la categoría y arquitectura del sistema, para asegurar la exactitud, integridad y
consistencia en el desempeño previsto de los Sistemas Computacionales.
9.13.4.1 La gestión de riesgos debe aplicarse al ciclo de validación completo, incluyendo las fases de planeación, especificaciones, pruebas, liberación del Sistema, mantenimiento y retiro del
sistema.
9.13.4.2 Los componentes de la infraestructura de tecnología de la información y cualquier instrumento o equipo relevante deben ser calificados.
9.13.4.3 Para el proceso de validación, puede emplear las pruebas ejecutadas por el proveedor, sin embargo la aceptación de los registros de prueba entregados por el proveedor no deben
substituir las pruebas de validación efectuadas en sus instalaciones, equipos y personal, tales como Plan de Validación, requisitos de Usuario, Análisis de Riesgo, Calificación de Desempeño,
Reporte de Validación, entre otros.
9.13.4.4 Si se emplea un Sistema centralizado en múltiples sitios, el proceso de validación debe incluir la verificación de los procesos ejecutados a través del Sistema en cada sitio individual.
9.13.5 Deben contar con una matriz de trazabilidad donde se documenten las múltiples etapas de especificaciones (incluyendo las revisiones) y las pruebas una vez que se han cumplido de
manera satisfactoria.
9.13.5.1 Todo cambio a un Sistema computacional debe realizarse de acuerdo al sistema de control de cambios, incluyendo configuraciones de Sistema, deben aplicarse de acuerdo a un
proceso predefinido y controlado que comprenda la definición del impacto del cambio y las actividades de verificación resultantes, incluyendo pruebas regresivas.
9.13.5.2 Deberán implementarse procedimientos de control, que aseguren la revisión de la auditoría de datos de forma regular; la frecuencia y el método serán determinados, de acuerdo al
riesgo.
9.13.5.3 Los sistemas con la funcionalidad de auditoría de datos deben emitir información que permita verificar si algún dato ha sido alterado desde su ingreso original.
9.13.5.4 Si los datos son transferidos a otro formato de datos o sistema, la validación debe incluir la revisión de que los datos no sean alterados en valor y/o definición durante el proceso de
migración
9.13.6 Para firmas electrónicas:
9.13.6.1 Éstas deben ser únicas para cada persona e intransferibles.
9.13.6.2 Cuando el uso de firmas electrónicas sea adoptado, se debe establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a las firmas autógrafas.
9.13.6.3 Las firmas electrónicas deben contar con al menos dos elementos distintos tales como un código de identificación y una contraseña.
9.13.6.4 Las firmas electrónicas deberán estar enlazadas a sus respectivos registros electrónicos que aseguren que las firmas no han sido alteradas, copiadas o de alguna manera, transferidas
a un registro electrónico para ser falsificadas por medios ordinarios.
9.13.6.5 En caso que la firma electrónica sea realizada mediante tokens o dispositivos biométricos, el sistema deberá asegurar que no puede emplearlo otra persona y que se han implementado
medidas de control necesarias.
NOM-059-SSA1-2015
5
Los requerimientos regulatorios establecidos por las Buenas Practicas de Fabricación están
orientados a garantizar la integridad de datos, es decir la:
6
Seguridad
Trazabilidad
Fiabilidad
Exactitud
La integridad de datos debe cumplir las características de ALCOA, por sus siglas en ingles
significa:
7
A: Attributable to the person generating the data. (Trazable)
L: Legible and permanente. (Legible y permanente)
C: Contemporaneous. (en el momento)
O: Original record (or true copy). (Registro original)
A: Accurate. (Exacto)
Referencia: Data Integrity and Compliance With CGMP Guidance for Industry DRAFT GUIDANCE
Los sistemas computacionales deben considerar los componentes de:
8
software
infraestructura de tecnología
de la información
instrumentos
equipos entre otros
Deben contar con un sistema de:
9
Protección
Integridad
Respaldo de la
información
Los cuales deben determinarse basados en la documentación de evaluación de riesgos
del sistema computacional.
Se deben aplicar controles físicos y/o lógicos para:
.
11
Restringir el acceso a usuarios con diferentes
niveles de autorización
Definir códigos de seguridad de acuerdo a
criterios predeterminados y ser modificados
periódicamente
El Sistema debe bloquear un usuario
después de una cantidad definida de intentos
de ingreso fallido
Son considerados registros electrónicos los documentos y registros que son:
.
12
Creados
Modificados
Mantenidos
Archivados
Recuperados
Transmitidos a través de
sistemas electrónicos
Para determinar que un Sistema genera y mantiene datos electrónicos regulados, debe
existir evidencia documental para:
. 13
Asegurar su
trazabilidad Fácil acceso Mantenidos
Si efectúan captura de datos críticos manualmente debe haber una revisión adicional en
la exactitud de los datos que puede ser realizada por una segunda persona o a través de un
medio electrónico validado.
Los datos deben ser protegidos por herramientas tales como copias de seguridad realizadas con las
frecuencias definidas de acuerdo a un procedimiento
Debe realizarse la validación del sistema de acuerdo a la categoría y arquitectura del
sistema, para asegurar la exactitud, integridad y consistencia en el desempeño previsto de
los Sistemas Computacionales y debe incluir:
14
Fase planeación
Fase de liberación de sistema
Fase de pruebas y
cumplimiento de especificaciones
Mantenimiento del sistema
Retiro del sistema
Si los datos son transferidos a otro formato de datos o sistema, se debe incluir la revisión de que
los datos no sean alterados en valor y/o definición durante el proceso de migración.
El proceso de validación puede realizarse por:
15
El establecimiento Proveedor
Importante considerar que las pruebas ejecutadas por el proveedor no deben substituir:
Las pruebas de validación efectuadas en las instalaciones
Equipos y
Personal, del establecimiento.
Para efectuar la validación se debe contar como mínimo con:
16
Plan de Validación
Requisitos de Usuario
Análisis de Riesgo (Para establecer los puntos críticos y pruebas
mínimas a ejecutar)
Calificación de Desempeño, y
Reporte de Validación, entre otros.
Todo cambio a un Sistema computacional:
Debe realizarse de acuerdo al sistema de control de cambios, y
Verificación de resultantes, incluyendo pruebas regresivas.
Deben establecerse procedimientos de control, como:
Auditoría de datos de forma regular; la frecuencia y el método serán determinados, de
acuerdo al riesgo.
La auditoría de datos debe permitir verificar si algún dato ha sido alterado desde su ingreso
original.
.
17
Para firmas electrónicas:
Deben ser únicas para cada persona e intransferibles.
Establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a
las firmas autógrafas.
Contar con al menos dos elementos distintos tales como un código de identificación y una
contraseña.
Estar enlazadas a sus respectivos registros electrónicos que aseguren que las firmas no
han sido alteradas, copiadas o de alguna manera, transferidas a un registro electrónico
para ser falsificadas por medios ordinarios.
En caso que la firma electrónica sea realizada mediante tokens o dispositivos biométricos,
el sistema deberá asegurar que no puede emplearlo otra persona y que se han
implementado medidas de control necesarias.
.
18
Gracias Q.F.B. Iris Lorena Arreola Domínguez
Gerente de Dictamen de Servicios
e Insumos para la Salud
Dictamen Sanitario COS
24 DE AGOSTO DEL 2016