Integridad

de

datos

24 DE AGOSTO DEL 2016

Generalidades

El día 03 de agosto del 2016 entro en vigor la NOM-059-SSA1-2015, Buenas Prácticas de Fabricación de medicamentos ampliando con ello entre otros, el tema de integridad de datos.

9.13 Validación de sistemas computacionales.

9.13.1 Los sistemas computacionales que impactan en la calidad del producto deben estar validados.

9.13.2 Deben contar con un sistema de protección, integridad y respaldo de la información.

9.13.3 El acceso a éstos debe ser controlado.

9.13.4 Cuando un sistema computarizado genere registros electrónicos y/o emplee firmas electrónicas, éstos deben ser considerados en la validación:

9.13.4.1 Son considerados registros electrónicos los documentos y registros que son creados, modificados, mantenidos, archivados, recuperados y/o transmitidos a través de sistemas

electrónicos.

9.13.4.2 Para firmas electrónicas:

9.13.4.2.1 Estas deben ser únicas para cada persona e intransferibles.

9.13.4.2.2 Cuando el uso de firmas electrónicas sea adoptado, se debe establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a las firmas autógrafas.

9.13.4.2.3 Las firmas electrónicas deben contar con al menos dos elementos distintos tales como un código de identificación y una contraseña.

NOM-059-2013

3

9.13 Validación de sistemas computacionales.

9.13.1 Los sistemas computacionales que impactan en la calidad del producto e integridad de datos, deben estar validados.

9.13.2 Deben contar con un inventario de todos los sistemas computacionales.

9.13.3 Los sistemas computacionales deben considerar componentes de software, instrumentos, equipos e infraestructura de tecnología de la información, entre otros.

9.13.3.1 Deben contar con un sistema de protección, integridad y respaldo de la información, los cuales deben determinarse basados en la documentación de evaluación de riesgos del sistema

computacional. El acceso y legibilidad de los datos debe asegurarse durante todo el tiempo de retención.

9.13.3.2 El acceso a éstos debe ser controlado.

9.13.3.2.1 Se deben aplicar controles físicos y/o lógicos para restringir el acceso a usuarios con diferentes niveles de autorización. Los códigos de seguridad deben definirse de acuerdo a

criterios predeterminados y ser modificados periódicamente.

9.13.3.2.2 El Sistema debe bloquear un usuario después de una cantidad definida de intentos de ingreso fallido.

9.13.3.3 Cuando un sistema computarizado genere registros electrónicos y/o emplee firmas electrónicas, éstos deben ser considerados en la validación:

9.13.3.3.1 Son considerados registros electrónicos los documentos y registros que son creados, modificados, mantenidos, archivados, recuperados y/o transmitidos a través de sistemas

electrónicos.

9.13.3.3.2 En caso que se determine que un Sistema genera y mantiene datos electrónicos regulados, debe existir evidencia documental para asegurar su trazabilidad, fácil acceso e integridad de

los mismos.

9.13.3.4 Si efectúan captura de datos críticos manualmente debe haber una revisión adicional en la exactitud de los datos que puede ser realizada por una segunda persona o a través de un

medio electrónico validado.

9.13.3.5 Los datos deben ser protegidos por herramientas tales como copias de seguridad realizadas con las frecuencias definidas de acuerdo a un procedimiento.

9.13.3.6 La capacidad para restaurar los datos, así como la integridad y la exactitud para su respaldo, deberá ser verificada durante la validación y ser monitoreados en forma periódica.

9.13.3.7 Basado en una valoración de riesgos determinar la necesidad de que el sistema incluya un sistema de auditoría de datos, programada para registrar independientemente la fecha y hora

de ingreso de los usuarios, así como las acciones de crear, modificar o eliminar registros electrónicos.

9.13.3.7.1 La auditoría de los datos (Audit trail) deberá prevenir su alteración y deberá estar disponible y convertible en un modo entendible, durante su periodo de retención, para permitir

evidencia en la cadena de eventos.

NOM-059-SSA1-2015

4

9.13.4 El proceso de validación debe abarcar todas las fases relevantes del ciclo de vida de acuerdo a la categoría y arquitectura del sistema, para asegurar la exactitud, integridad y

consistencia en el desempeño previsto de los Sistemas Computacionales.

9.13.4.1 La gestión de riesgos debe aplicarse al ciclo de validación completo, incluyendo las fases de planeación, especificaciones, pruebas, liberación del Sistema, mantenimiento y retiro del

sistema.

9.13.4.2 Los componentes de la infraestructura de tecnología de la información y cualquier instrumento o equipo relevante deben ser calificados.

9.13.4.3 Para el proceso de validación, puede emplear las pruebas ejecutadas por el proveedor, sin embargo la aceptación de los registros de prueba entregados por el proveedor no deben

substituir las pruebas de validación efectuadas en sus instalaciones, equipos y personal, tales como Plan de Validación, requisitos de Usuario, Análisis de Riesgo, Calificación de Desempeño,

Reporte de Validación, entre otros.

9.13.4.4 Si se emplea un Sistema centralizado en múltiples sitios, el proceso de validación debe incluir la verificación de los procesos ejecutados a través del Sistema en cada sitio individual.

9.13.5 Deben contar con una matriz de trazabilidad donde se documenten las múltiples etapas de especificaciones (incluyendo las revisiones) y las pruebas una vez que se han cumplido de

manera satisfactoria.

9.13.5.1 Todo cambio a un Sistema computacional debe realizarse de acuerdo al sistema de control de cambios, incluyendo configuraciones de Sistema, deben aplicarse de acuerdo a un

proceso predefinido y controlado que comprenda la definición del impacto del cambio y las actividades de verificación resultantes, incluyendo pruebas regresivas.

9.13.5.2 Deberán implementarse procedimientos de control, que aseguren la revisión de la auditoría de datos de forma regular; la frecuencia y el método serán determinados, de acuerdo al

riesgo.

9.13.5.3 Los sistemas con la funcionalidad de auditoría de datos deben emitir información que permita verificar si algún dato ha sido alterado desde su ingreso original.

9.13.5.4 Si los datos son transferidos a otro formato de datos o sistema, la validación debe incluir la revisión de que los datos no sean alterados en valor y/o definición durante el proceso de

migración

9.13.6 Para firmas electrónicas:

9.13.6.1 Éstas deben ser únicas para cada persona e intransferibles.

9.13.6.2 Cuando el uso de firmas electrónicas sea adoptado, se debe establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a las firmas autógrafas.

9.13.6.3 Las firmas electrónicas deben contar con al menos dos elementos distintos tales como un código de identificación y una contraseña.

9.13.6.4 Las firmas electrónicas deberán estar enlazadas a sus respectivos registros electrónicos que aseguren que las firmas no han sido alteradas, copiadas o de alguna manera, transferidas

a un registro electrónico para ser falsificadas por medios ordinarios.

9.13.6.5 En caso que la firma electrónica sea realizada mediante tokens o dispositivos biométricos, el sistema deberá asegurar que no puede emplearlo otra persona y que se han implementado

medidas de control necesarias.

NOM-059-SSA1-2015

5

Los requerimientos regulatorios establecidos por las Buenas Practicas de Fabricación están

orientados a garantizar la integridad de datos, es decir la:

6

Seguridad

Trazabilidad

Fiabilidad

Exactitud

La integridad de datos debe cumplir las características de ALCOA, por sus siglas en ingles

significa:

7

A: Attributable to the person generating the data. (Trazable)

L: Legible and permanente. (Legible y permanente)

C: Contemporaneous. (en el momento)

O: Original record (or true copy). (Registro original)

A: Accurate. (Exacto)

Referencia: Data Integrity and Compliance With CGMP Guidance for Industry DRAFT GUIDANCE

Los sistemas computacionales deben considerar los componentes de:

8

software

infraestructura de tecnología

de la información

instrumentos

equipos entre otros

Deben contar con un sistema de:

9

Protección

Integridad

Respaldo de la

información

Los cuales deben determinarse basados en la documentación de evaluación de riesgos

del sistema computacional.

El acceso y legibilidad de los datos debe asegurarse durante todo el tiempo de

retención.

10

Se deben aplicar controles físicos y/o lógicos para:

.

11

Restringir el acceso a usuarios con diferentes

niveles de autorización

Definir códigos de seguridad de acuerdo a

criterios predeterminados y ser modificados

periódicamente

El Sistema debe bloquear un usuario

después de una cantidad definida de intentos

de ingreso fallido

Son considerados registros electrónicos los documentos y registros que son:

.

12

Creados

Modificados

Mantenidos

Archivados

Recuperados

Transmitidos a través de

sistemas electrónicos

Para determinar que un Sistema genera y mantiene datos electrónicos regulados, debe

existir evidencia documental para:

. 13

Asegurar su

trazabilidad Fácil acceso Mantenidos

Si efectúan captura de datos críticos manualmente debe haber una revisión adicional en

la exactitud de los datos que puede ser realizada por una segunda persona o a través de un

medio electrónico validado.

Los datos deben ser protegidos por herramientas tales como copias de seguridad realizadas con las

frecuencias definidas de acuerdo a un procedimiento

Debe realizarse la validación del sistema de acuerdo a la categoría y arquitectura del

sistema, para asegurar la exactitud, integridad y consistencia en el desempeño previsto de

los Sistemas Computacionales y debe incluir:

14

Fase planeación

Fase de liberación de sistema

Fase de pruebas y

cumplimiento de especificaciones

Mantenimiento del sistema

Retiro del sistema

Si los datos son transferidos a otro formato de datos o sistema, se debe incluir la revisión de que

los datos no sean alterados en valor y/o definición durante el proceso de migración.

El proceso de validación puede realizarse por:

15

El establecimiento Proveedor

Importante considerar que las pruebas ejecutadas por el proveedor no deben substituir:

Las pruebas de validación efectuadas en las instalaciones

Equipos y

Personal, del establecimiento.

Para efectuar la validación se debe contar como mínimo con:

16

Plan de Validación

Requisitos de Usuario

Análisis de Riesgo (Para establecer los puntos críticos y pruebas

mínimas a ejecutar)

Calificación de Desempeño, y

Reporte de Validación, entre otros.

Todo cambio a un Sistema computacional:

Debe realizarse de acuerdo al sistema de control de cambios, y

Verificación de resultantes, incluyendo pruebas regresivas.

Deben establecerse procedimientos de control, como:

Auditoría de datos de forma regular; la frecuencia y el método serán determinados, de

acuerdo al riesgo.

La auditoría de datos debe permitir verificar si algún dato ha sido alterado desde su ingreso

original.

.

17

Para firmas electrónicas:

Deben ser únicas para cada persona e intransferibles.

Establecer la fecha a partir de la cual las firmas electrónicas son vigentes y equivalentes a

las firmas autógrafas.

Contar con al menos dos elementos distintos tales como un código de identificación y una

contraseña.

Estar enlazadas a sus respectivos registros electrónicos que aseguren que las firmas no

han sido alteradas, copiadas o de alguna manera, transferidas a un registro electrónico

para ser falsificadas por medios ordinarios.

En caso que la firma electrónica sea realizada mediante tokens o dispositivos biométricos,

el sistema deberá asegurar que no puede emplearlo otra persona y que se han

implementado medidas de control necesarias.

.

18

Gracias Q.F.B. Iris Lorena Arreola Domínguez

ilarreola@cofepris.gob.mx

Gerente de Dictamen de Servicios

e Insumos para la Salud

Dictamen Sanitario COS

24 DE AGOSTO DEL 2016