Pàgina d'inici » IS Governance » Validació – Qualificació

Category Archives: Validació – Qualificació

Anuncis

GAMP5 i la seguretat del Software

 

USA Flag Spain Flag German Flag

GAMP 5 i la necessitat de protegir el software (programari).

Resum: Si, les GAMP 5 indiquen que cal protegir el software a més a més de les dades.

 

 

 

 

L’adaptació als “nous” standards costa. Costa molt. I no es cert que sempre sigui manca de voluntat, la majoria de vegades es manca de recursos.

En aquesta situació m’he trobat quan he hagut d’explicar que el software cal protegir-lo contra modificació, voluntària o accidental, i que un BackUp, simplificadament, no es més que una protecció contra accidents i no una mesura de protecció del software.

Al final, per a demanar recursos, cal anar a la font regulatòria, i tot i això, les prioritats de recursos no van a seguretat.

Però que diu específicament les GAMP 5? Cal protegir el programa contra modificació?

La seguretat de la informació apareix, però no esta específicament reclamada en la major part dels apartats, bàsicament perquè es focalitza en la qualitat, no en la seguretat. Malgrat això  indica el següent:


4.3.7.1 Security Management
Security management is the process that ensures the confidentiality, integrity, and availability of an organization’s regulated systems, records, and processes. Effective security management protects assets to minimize the business impact of security vulnerabilities and incidents.
Measures should be implemented to ensure that GxP regulated computerized systems and data are adequately and securely protected against willful or accidental loss, damage, or unauthorized change.
Such measures should ensure the continuous control, integrity, availability, and (where appropriate) the confidentiality of regulated data.
See Appendix 10, Security Management for Laboratory Computerized Systems

I que indica al Appendix 10?


17.1 Introduction
Security management is the process that ensures the confidentiality, integrity, and availability of an organization’s regulated systems, records, and processes.
Security measures should be implemented to ensure that only authorized individuals may access the system and the data, and that the data are accurate and available when needed. Data should be adequately protected against willful or accidental loss, damage, or unauthorized change. Security management includes physical, logical, technical, and procedural controls to ensure the confidentiality, integrity, and availability of the system and data.
...
17.1.4 Logical Security
In addition to preventing unauthorized access or damage to the application or operating system, access controls should be enabled to prevent access to modify the system clock, operating system permissions, and application system files.

Que ens diu les MHRA?

A la darrera actualització de Març 2018, al apartat 6.16 indica:


...
Access controls should be applied to both the operating system and application levels.
...
System Administrator rights (permitting activities such as data deletion, database amendment or system configuration changes) should not be assigned to individuals with a direct interest in the data (data generation, data review or approval).
...

Aquesta definició es pot ampliar a persones que, malgrat no tenir drets d’administració complerta sobre el sistema, puguin accedir a la configuració del software.

Que no explica les GAMP 5?

Dons no explica ni la estructura organitzativa, ni les línies de reporting, i tampoc quines guies tècniques s’han de seguir.(Recomano llegir aquest post de sans.org)

Ara bé, donat els canvis estructurals a la indústria farmacèutica, i al món en general, cap a l’ús massiu de dades, es d’esperar que hi hagi un canvi en breu que posi la seguretat de la informació com a un dels pilars fonamentals a tenir en compte durant l’anàlisi de la qualitat.

Com aquests standards ja existeixen (ISO 27K, NIST, etc…) com més aviat incorporem la seguretat als nostres processos, millor preparats i més ràpidament ens podrem adaptar als nous requeriments i això, al cap i a la fi, també es gestió de riscos.

Conclusió

from Pixabay qimono

En conclusió, malgrat que la moda es parlar només de “Data Integrity” això en cap cas exclou protegir el sistema / software que genera les dades.

Quins procediments tècnics i organitzatius emprem per a acomplir-ho es tema per a un altre post i amplia discussió.

No ens hem d’oblidar que l’objectiu de tota aquesta, enorme, normativa es aconseguir fiabilitat en els processos de investigació i comercialització de productes farmacèutics, que tard o d’hora acabarem utilitzant.

 

Enllaços relacionats:

Altres temes dels que parlo:


DevOps o com recuperar la visió global de IS

GAMP, 21CFR part11 … i altres històries de validació

Mites sobre Big Data



 

Anuncis

Validació, QA i “Military Standards”

USA Flag Spain Flag German Flag

SLA image

Terms and conditions

Military Standards MIL-STD-105

MIL-STD-105 era una norma de defensa dels Estats Units que proporcionava procediments i taules per a la mostra basats en atributs, segons les teories d’inspecció de mostres i càlcul estadístic. Van ser àmpliament adoptades fora de les aplicacions de compra militar per al mostreig industrial i la inspecció de lots de producció i en conseqüència en tot l’àmbit del QA .

L’última revisió va ser MIL-STD-105E i, tot i que va ser cancel·lada oficialment al febrer de 1995, continua sent molt popular.
La nota de cancel·lació (Notificació 3) recomana MIL-STD-1916, “Mètodes preferits per a l’acceptació del producte” (disponible a aquí), o ANSI / ASQ Z1.4, “Procediments de mostreig i taules per a la inspecció per atributs” (disponible a ASQ).

Conceptes

:

Concepte Comentari
AQL
Acceptance Quality Limit (abans Level)
Normalment, els plans de mostreig es configuren amb referència a un nivell de qualitat acceptable o AQL que expressa el % màxim de elements no acceptables d’una mostra.
Es va canviar el concepte de Level per Limit per evitar donar la idea de que s’esta autoritzant fabricar amb un nivell de error acceptable sense dret a protesta.Per contra Limit transmet la idea de un màxim que s’ha de procurar reduir per a no ser rebutjat.
Tal com ho expressa ISO 2859-1:1999 (confirmada en la revisió 2014):


Tot i que es poden acceptar lots individuals amb qualitat tan dolenta com el límit de qualitat d’acceptació amb probabilitat bastant alta, la designació d’un límit de qualitat d’acceptació no suggereix que aquest sigui un nivell de qualitat desitjable. Els esquemes de mostreig […] estan dissenyats per encoratjar els proveïdors a que les mitjanes dels processos siguin sempre millors que les AQL…

L’objectiu és recolzar el moviment per canviar d’una estratègia d’inspecció basada en AQL (Detecció) per implementar una estratègia basada en la prevenció, buscant la qualitat integral, millora contínua, etc…

Nivell d’inspecció
(Inspection Level)
Avalua la relació entre la mida del lot (lot de producció, transport, etc…) i el volum de mostres a extreure.
S-1, S-2, S-3, S-4, I, II, III)
Tipus de mostreig Mil. Std. 105E ofereix 3 tipus: simple, doble o múltiple. Es a dir, agafar un volum d’una vegada, 2 vegades (condiciona la 2a al resultat de la 1a) o fer múltiples mostrejos.
Severity Habitualment s’utilitza “Normal”, però es van crear “Tightened” i “Reduced” per a introduir un cert valor de fiabilitat (i reduir costos de mostreig).
Si el proveïdor es confiable “Reduced” i si te un cert historial de errors, es pot fer una revisió més estricta i ajustada (Tightened“)
A la pràctica s’acostuma a utilitzar “Normal”

Procediment:

  1. Escollir AQL.
  2. Escollir nivell d’inspecció.
  3. Determineu la mida del lot.
  4. Introduïu la taula per trobar lletres de codi de mida de mostra.
  5. Escollir el tipus de mostreig.
  6. Introduïu la taula adequada per trobar el pla que s’utilitzarà.
  7. Comenceu amb una inspecció normal, seguiu les regles de commutació i la regla per aturar la inspecció (si cal).

Alguns sites, com SQCOnline, ofereixen fer el càlcul de manera interactiva (amb totes o part de les opcions de manera gratuïta).

Enllaços relacionats:

%d bloggers like this: