Soporte en el ciclo de vida de los sistemas informáticos

Desde TRESCAL ofrecemos servicios especializados para la correcta gestión integral del ciclo de vida de los sistemas informáticos y de su infraestructura IT, ofreciendo una consultoría de calidad específica en las siguientes materias:

  • Evaluación inicial (impacto del sistema): Establecimiento de requerimientos iniciales, categorización del sistema (impacto y criticidad, uso de registros electrónicos y firma electrónica, privacidad y seguridad de datos, otros).
  • Planificación del proyecto: Planificación, selección de la solución y evaluación del proveedor (incluyendo proveedores XaaS).
  • Especificaciones de diseño, configuración y funcionales; configuración/desarrollo: Generación de la documentación de especificaciones en conformidad a la categoría y complejidad del sistema, marco regulador y políticas internas.
  • Plan de pruebas: Desarrollo y ejecución del Plan de Pruebas de acuerdo al VP (ensayos UAT, DQ, TM, IQ, OQ, PQ). Implicación y acompañamiento del proveedor.
  • Liberación del sistema: Informe de validación; aceptación y liberación del Sistema.
  • Mantenimiento del estado de validación: Gestión de cambios y configuraciones, gestión de incidencias, seguridad, física y lógica, copias de seguridad y restauración, planes de contingencia y recuperación de desastres, mantenimiento, revisión periódica.
  • Retirada: Migración, sustitución, retirada.

Con foco en la nueva aproximación de garantía de calidad del software de la FDA (enfoque CSA)

El nuevo borrador guía sobre Validación del software “Computer Software Assurance for Production and Quality System Software” recomienda que la «garantía de la calidad del software» se centre en prevenir la introducción de defectos en el proceso de desarrollo de software y fomenta el uso de un enfoque basado en el riesgo para asegurar que el software es adecuado a su uso previsto.

Los procesos o actividades de garantía de calidad que tienen lugar a lo largo del ciclo de vida de un sistema informático salen reforzadas inherentemente con el nuevo enfoque CSA, al optimizar y maximizar las actividades de gestión de riesgos, la gestión del conocimiento, el pensamiento crítico, las buenas prácticas documentales, y/o las evaluaciones a proveedores.

Fuente: Guía ISPE GAMP® 5 . A Risk-Based Approach to Compliant GxP Computerized Systems. Figure 3.5: Critical Thinking for Computerized Systems

Validación de sistemas informáticos

La validación de sistemas informáticos permite garantizar que los procesos de gestión y control de una empresa, cumplen con su uso previsto, en conformidad con el marco regulador vigente. Esta validación incluye el funcionamiento del hardware y el software, así como su integración con los procesos de gestión y control empresarial.

La validación de sistemas informáticos es un requerimiento GMP, y es clave a la hora de garantizar la calidad de los procesos.

Según la FDA (21 CFR part 11), la validación de un sistema informático es la confirmación mediante examen y provisión de evidencias objetivas que las especificaciones de un sistema informatizado son conformes a los requerimientos del usuario y a su uso previsto, y que todos los requerimientos pueden ser consistentemente cumplidos.

Etapas del proceso de validación

La estrategia de cada proyecto de validación puede cambiar, pero se puede resumir en las siguientes etapas de validación:

  • Plan de validación: Se identifica el sistema a validar, así como se define la estrategia de validación, y recursos, presentando la lista de documentación que conforma el Dossier de Validación.
  • Requerimientos de usuario: Se definen las necesidades del sistema, desde diferentes enfoques como puede ser el funcional, tecnológico, informático y regulador.
  • Evaluación de proveedores: Se evalúa la capacidad y desempeño del proveedor para asegurar el cumplimiento de los requisitos. Evaluación de proveedores: XaaS (X as a Service, donde “X” puede ser: “Platform” PaaS -Platform as a Service-; IaaS -Infrastructure as a Service-; SaaS -Software as a Service)
  • Cualificación del Diseño: Es la verificación documentada que el diseño del sistema es conforme a los requerimientos de usuario definidos (trazabilidad de la documentación de especificación de diseño con los requerimientos de usuario).
  • Valoración de riesgos: Se identifican los peligros asociados al sistema, para su posterior análisis y evaluación. Las pruebas deben focalizarse en las funcionalidades de riesgo elevado, minimizando el esfuerzo en las áreas de bajo riesgo. Por cada riesgo se determinan las pruebas de verificación necesarias para su control y mitigación (trazabilidad de las pruebas de verificación con los riesgos).
  • Matriz de Trazabilidad:  Se realiza la trazabilidad de los requerimientos de usuario con el plan de pruebas.
  • Cualificación de la instalación: Verificación documentada que el sistema está instalado y configurado conforme a las especificaciones de instalación definidas en su ubicación y entorno definitivo (software y hardware).
  • Cualificación de la operación: Verificación documentada del funcionamiento del sistema de acuerdo con las especificaciones funcionales, así como la seguridad y la integridad de los datos.
  • Cualificación del proceso: Verificación documentada que el sistema es capaz de operar de forma efectiva y reproducible de acuerdo con especificaciones (uso previsto) en entorno de producción.
  • Informes de validación: Documentos que dan respuesta a los objetivos del proceso de validación.
  • Gestión de cambios y configuraciones: Permiten asegurar el control y la trazabilidad de los cambios incluyendo las configuraciones durante el ciclo de vida del sistema.
  • Revisión periódica: Permite garantizar que el sistema informático sigue siendo apto para su uso previsto, cumple con la normativa, y satisface las políticas y los procedimientos internos de la compañía.
  • Revisión periódica de cuentas de usuarios; Revisión del Audit Trail; Revisión periódica de copias de seguridad.

Normativas de referencia de sistemas informáticos

Conformidad con el marco regulador:

  • 21 CFR Part 11: Criterios dirigidos por FDA para asegurar que los registros y firmas electrónicas son fiables y equivalentes a los registros y firmas escritas en papel.
  • Anexo 11 de las EU GMP: Requisitos de la comisión europea para los sistemas informáticos. Cuando un sistema informático reemplace una operación manual, no debe ser en detrimento de la calidad del producto, control del proceso o garantía de calidad. No debe haber un incremento del riesgo total del proceso.
  • Guía GAMP5 2nd Edition: Guía desarrollada por la ISPE que promueve un ciclo de vida del sistema informático basado en buenas prácticas. Clarifica las responsabilidades y roles entre la industria farmacéutica y los proveedores de sistemas informáticos.
  • Guía GAMP IT Infrastructure Control and Compliance: Guía desarrollada por la ISPE que incluye la orientación para el control adecuado de la infraestructura informática (nuevas tecnologías de virtualización, sistemas/plataformas cloud / XaaS, seguridad, servidores, redes).
  • Data Integrity: Guías específicas de la FDA, MHRA, WHO, PIC/S, EMA, GAMP RDI para asegurar la veracidad, consistencia, trazabilidad y disponibilidad de los datos durante todo el ciclo de vida de los datos.
  • Guideline on computerised systems and electronic data in clinical trials de la EMA (9 March 2023).
  • Normas específicas de productos sanitarios:
    • ISO/TR 80002-2:2017 Medical device software – Part 2: Validation of software for medical device quality systems
    • UNE-EN 62304:2007/A1:2016 Software de dispositivos médicos. Procesos del ciclo de vida del software.
    • UNE-EN ISO 14971:2019 Dispositivos médicos/productos sanitarios. Aplicación de la gestión del riesgo a los MD.
    • UNE-EN 82304-1:2017 Software sanitario. Parte 1: Requisitos generales para la seguridad de los productos (Ratificada por la Asociación Española de Normalización en octubre de 2017.)
    • UNE-CEN ISO/TS 82304-2:2021 Software sanitario. Parte 2: Apps de salud y bienestar. Calidad y confiabilidad (ISO/TS 82304-2:2021) (Ratificada por la Asociación Española de Normalización en septiembre de 2021).

Nuestro servicio integral incluye, además

  • Proceso de desarrollo y mantenimiento del software de dispositivo médico.
  • Evaluaciones de Sistemas informáticos y Data Integrity:  Verificación 21 CFR Part 11, Data Integrity Risk Assessment (DIRA), data process mapping, GAP analysis, data integrity remediation plan, orphan data check).
  • Establecimiento de estrategias.
  • Pruebas de aceptación FAT / SAT / Comisionado.
  • Cualificacion de Infraestructura IT (QP, RA, DQ, IQ, OQ, PQ, gestión de cambios y revisión periódica).
  • Acompañamiento a proveedores en pruebas de aceptación.
  • Preparación de procedimientos de gestión y mantenimiento del sistema informático.
  • Implantación de Sistemas de Calidad IT. Sistemas de Calidad para desarrolladores de software.
  • Procesos de migración de datos.
  • Evaluación ante la retirada de un sistema informático.
  • Plan de Transformación CSA.
  • Actividades de formación dirigida.

Metodología

Equipo de expertos:

  • Metodología GAMP5 2nd Edition.
  • Enfoque CSA.
  • Pensamiento crítico
  • Quality Risk Management.
  • Gestión del conocimiento.
  • Metodología Agile.
  • Cumplimiento GxP, integridad de los datos.
  • Equipo multidisciplinar dependiendo de las necesidades del proyecto.
  • Entorno adaptado a las necesidades del cliente (personal externalizado in-situ).

Para más información podéis escribirnos a través de sales.spain@trescal.com