En este artículo, analizamos los factores y pasos a seguir que hay que tener en cuenta en la cualificación de equipos en el cumplimiento de la integridad de datos.

Cualificación de equipos en el cumplimiento de la integridad de datos

Como vimos en el webinar Cómo abordar un proyecto de digitalización en entornos regulados GxP, en la estrategia para informatizar procesos e implementar políticas de integridad de datos hay que llevar a cabo la cualificación de de equipos en el cumplimiento de integridad de datos.

Hoy queremos profundizar en cuáles son los factores a tener en cuenta para cualificar los equipos de proceso y asegurar la integridad de datos.

Cualificación de equipos en el cumplimiento de la integridad de datos

1. Definición del objetivo

El objetivo es determinar la estrategia de cualificación de equipos en el cumplimiento de la integridad de datos.

El objetivo de la cualificación de equipos en la integridad de datos es asegurar el ciclo de vida del dato, desde su generación, pasando por su selección, representación, almacenaje, recuperación, distribución y uso. Independientemente del formato o medio en el que hayan sido registrados, procesados, archivados, utilizados o retirados.

2. Definición del alcance

Afecta a la vida útil de los equipos desde la instalación, la calibración, configuración, uso del equipo y la información generada y su mantenimiento.

La estrategia de cualificación debe determinar claramente los equipos que serán analizados, los pasos a seguir en el proyecto, el personal de la organización participante y sus responsabilidades, los objetivos, los criterios de aceptación y la metodología a seguir.

3. Formación del equipo de proyecto

La cualificación se diseñará, revisará y gestionará por un grupo de trabajo multidisciplinar que aporte experiencia y conocimiento en los campos:

  • Sistema de Gestión de Calidad (SGC).
  • Software.
  • Infraestructuras informáticas.
  • Mantenimiento.
  • Administración y uso del equipo.

4. Inventario de equipos

Es necesario disponer y mantener un listado de equipos de la organización.

A continuación, se detalla la información a concretar:

  • Código de equipo.
  • Fabricante.
  • Modelo.
  • Código de software.
  • Software.
  • Estado de cualificación del equipo en integridad de datos.

5. Creación de ficha de integridad de datos de equipos

Por cada uno de los equipos a cualificar, se debe elaborar una ficha para asegurar el ciclo de vida de la integridad de los datos. Debe dar respuesta a los siguientes puntos:

  • Descripción:
    • Código del equipo.
      • Código interno del equipo.
    • Nombre del equipo.
      • Nombre genérico del equipo.
    • Fabricante.
    • Modelo.
    • Código de software.
    • Software.
  • Estado y localización:
    • Zona.
      • Dónde se ubica el equipo.
    • Conexión red.
  • Documentación asociada al equipo:
    • Instalación.
    • Configuración.
    • Calibración.
    • Administración y uso.
    • Mantenimiento.
    • Cualificación de equipo.
    • Validación de sistemas.
    • Validación del método.
  • Proveedor de servicios:
    • Nombre del Proveedor.
    • Contrato.
    • Servicios contratados.
  • Función del equipo e información generada:
    • Función del equipo.
    • Evaluación de la función y criticidad del sistema y de los datos asociados.
    • Registro.
    • Almacenamiento.
    • Audit Trail.
    • Posibilidad de modificar registros existentes.
  • Atribuible:
    • Usuarios finales definidos.
    • Usuarios administradores definidos.
    • Accesos permitidos para cada perfil de usuario definido.
    • Asociación del usuario en el registro generado por el equipo.
  • Audit Trail:
    • Alta de registro:
      • Detalle de fecha y hora.
      • Detalle de usuario/equipo que realiza el alta.
      • Dato generado.
      • Valor del dato.
    • Modificación de registro:
      • Detalle de fecha y hora.
      • Detalle de usuario/equipo que realiza la modificación.
      • Dato modificado.
      • Valor antiguo del dato.
      • Valor nuevo del dato.
      • Motivo de la modificación.
    • Baja de registro:
      • Detalle de fecha y hora.
      • Detalle de usuario/equipo que realiza la baja.
      • Dato dado de baja.
      • Valor antiguo del dato.
      • Motivo de la baja.
  • Legible:
    • Registro de los datos y metadatos necesarios en las tareas reguladas.
    • Disponibilidad del dato original y modificaciones.
  • Contemporáneo:
    • Registro en el momento que se realiza la actividad.
    • Método de sincronización/asignación fechas/horas en el equipo.
    • En caso de que el proceso tenga varias etapas: registro en cada una de las etapas del resultado parcial.
  • Original:
    • Datos primarios asociados al equipo:
      • Dónde se genera el dato y donde se almacena.
    • Determinar si se conserva la naturaleza/atributos del registro (si es dinámico continúa siendo dinámico).
  • Exacto:
    • Cualificación de equipo:
      • Cómo se cualificó y documentación asociada.
    • Calibración de equipo:
      • Periodicidad y modo.
    • Mantenimiento equipo:
      • Qué acciones preventivas se emplean para el mantenimiento.
    • Validación métodos:
      • Posible documentación adjunta.
  • Completo, consistente, perdurable y disponible:
    • Localización y extensión del registro.
    • Política de copias de seguridad.
    • Política de restauración de las copias.
    • Proceso de archivo validado:
      • Generación fichero.
      • Almacenamiento del fichero.
      • Acceso controlado mediante permisos.
      • Lectura e información.
    • Registro de repeticiones y reprocesos.
    • Los datos se guardan en medios duraderos.

6. Criticidad de equipos basada en análisis de riesgos

Características a tener en cuenta para establecer su criticidad:

  • Categoría según GAMP 5:
    • Categoría 3 – Productos no configurados.
      El equipo no necesita ser configurado para adaptarse al proceso que debe gestionar. Cabe destacar que será posible almacenar ciertos parámetros de configuración, pero éstos no tendrán como fin la definición del funcionamiento del equipo.
    • Categoría 4: Productos configurados.
      Puede ser productos muy complejos con configuración para adaptarse al proceso, pero sin modificaciones en el código fuente.
    • Categoría 5: Desarrollos a medida.
      Software (parcial o totalmente) diseñado y desarrollado a medida para adaptarse al proceso.
  • Tipología de software: integrado en el equipo o externo:
    • Software integrado en el equipo.
    • Software externo, a modo cliente/servidor. El equipo se comunicará con el servidor para ofrecer los datos obtenidos, la visualización y gestión de esta información se realizará en un dispositivo externo (PC, tablet, etc.).
  • Almacenamiento de registro de datos (en local, dispositivo externo o red):
    • Almacenamiento en dispositivo externo. El registro se almacena en un dispositivo externo conectado al equipo (USB, tarjeta SD, etc.).
    • Almacenamiento local. El registro se almacena en el propio equipo.
    • Almacenamiento en red. El registro se almacena en red o se integra en un software ubicado en red.
  • Disponibilidad de medidas de seguridad (configuración y registro):
    • Disponibilidad de seguridad a nivel de administrador y usuario. Disponibilidad de definición de permisos de usuario.
    • Registros en almacenamiento temporal y final encriptados.
    • Registros, emitidos por el equipo, bloqueados sin posibilidad de modificación. O en su defecto, con audit trail activado.
  • Disponibilidad de audit trail. Siendo el registro de audit trail el detalle de la siguiente información: fecha y hora, usuario, entidad, valor antiguo, valor nuevo y motivo del cambio (para modificaciones o bajas).
    • Disponibilidad de audit trail completo.
    • Disponibilidad de audit trail incompleto.
    • Ausencia de audit trail.
  • Documentación asociada:
    • Instalación y configuración.
    • Calibración.
    • Administración.
    • Uso.
    • Mantenimiento.
    • Cualificación equipo.

7. Evaluación del equipo en el cumplimiento de la integridad de datos

La evaluación consistirá en la verificación del cumplimiento de los requisitos de la regla ALCOA+.

Requisito ALCOA+Expectativa en la gestión de la información
AAtribuibles (Attributable)
  • Registro de la persona o sistema que genera el dato.
  • Registro de la persona o sistema que realiza la actividad que genera o modifica datos.
  • Gestión de usuarios: administradores y usuarios finales.
  • Gestión de perfiles de seguridad: accesos funcionalidades a usuarios capacitados y gestión de contraseñas
  • Audit trail de registros de datos, usuarios, perfiles de seguridad y contraseñas.
LLegibles (Legible)
  • Se encontrarán disponibles tanto los datos originales como las modificaciones posteriores.
  • Datos y metadatos se registren.
CSimultáneos (Contemporaneous)
  • Registrado y visualizado en el momento en el que se realiza la actividad.
  • En caso de que el proceso se componga de varias etapas, debe quedar registrado en cada una de las etapas el resultado parcial. En caso de error, no habrá pérdida de datos parciales.
OOriginales (Original)
  • El registro original puede ser descrito como la primera captura de información o una “copia verificada” que preserva su contenido o significado.
AExactos (Accurate)
  • Libre de errores.
  • Sin modificaciones no registradas.
  • Conforme a los hechos y protocolos establecidos.
  • Precisión del registro conforme a los datos obtenidos.
+Completos (Complete)
  • Todos los datos y metadatos relevantes, incluida cualquier repetición o reproceso.
Consistentes (Consistent)
  • Aplicación de buenas prácticas de documentación en cualquier proceso.
  • Registro de fecha y hora en todos los registros y en la secuencia esperada.
Perdurables (Enduring)
  • Registrado de forma permanente y mantenida durante el periodo de retención declarado.
  • Destino de los registros. Control de seguridad. Copias de seguridad de estos datos.
Disponibles (Available)
  • Disponibles y accesibles para revisiones, auditorías e inspecciones durante su tiempo de archivo.

En Oqotech acompañamos a nuestros clientes a lo largo del todo el proceso de informatización de procesos, desde la elección del sistema, implantación de nuevos sistemas (retirada de sistemas si procede), la validación de los sistemas informatizados, el mantenimiento del entorno validado y la formación y entrenamiento del equipo interno.

Si necesitas ayuda para digitalizar y asegurar el cumplimiento en integridad de datos de tus procesos, solicita información y uno de nuestros consultores te ofrecerá el asesoramiento que necesitas.



Guía práctica para la informatización de procesos de negocio

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies

Pin It on Pinterest

Share This