Soluciones Waters para asegurar la integridad de los · PDF fileRegulaciones & Guidelines FDA,...
Transcript of Soluciones Waters para asegurar la integridad de los · PDF fileRegulaciones & Guidelines FDA,...
©2016 Waters Corporation 1
Soluciones Waters para asegurar la integridad de los datos.
Buenas prácticas
Webinar Data Integrity 1 Aspectos generales de la configuración de
Empower
Antonio Fuentes
©2016 Waters Corporation 2
Noticias Waters
Empower3 Feature Release3 ha sido liberado en marzo de 2016. Soporta nuevas plataformas como Windows 2012 server, Citrix
7.6 XenApp y XenDesktop. Nuevas funcionalidades para la identificación de usuarios,
instrumentos y nodos. Seguimiento automático de los componentes en función de su
masa (aplicable a detectores de masas QDA). Mayor personalización de los informes sumario por
componentes Nueva función para campos personalizados Empower mobile.
©2016 Waters Corporation 3
Data Integrity Webinars
Configuración Empower
-System Policies -User types -Users -Users groups -Projects -System Audit Trail -Archive
Proyectos
-Identificadores -Sample sets -Methods -Results
Audit Trail
- Result Audit Viewer - Audit Trail -Sign off´s -Informes
Archivación
-Empower -NuGenesis
Laboratory Management System
-LIMS -LIS -LMS -LES -SDMS
©2016 Waters Corporation 4
Regulaciones & Guidelines
FDA, MHRA, EMA. –21CFR11, Annex11, –Consultar páginas de las principales agencias y cuerpos
regulatorios. – FDA 483 warning letters –EMA EUDRA Database –http://www.fda.gov/Drugs/GuidanceComplianceRegulato
ryInformation/Guidances/default.htm
ISPE
©2016 Waters Corporation 5
Definición Definición: Es la medida en la cual todos los
datos están completos, son consistentes y precisos a lo largo de su ciclo de vida.
Expectativas: La gestión de la integridad de los
datos debe asegurar que la exactitud, integridad, contenido y significado de los datos se conserva a lo largo de su ciclo de vida.
Consistency
Accuracy
Data Integrity
Completeness
MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015 https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/Data_integrity_definitions_and_guidance_v2.pdf
©2016 Waters Corporation 6
FDA ALCOA+
•¿Quien adquiere los datos o ejecuta una acción?
Attributable
•¿Se pueden leer y entender los datos?
Legible
•¿Los datos se registran en el momento que se generan?
Contemporaneous
•¿Los datos son registrados la primera vez que se generan u observan?
Original
•¿Datos precisos sin errores o edición?
Accurate
©2016 Waters Corporation 7
FDA ALCOA+
• Todos los datos deben estar presentes incluyendo repeticiones o re-análisis
Complete
• Todos los elementos de los análisis, acciones, deben tener una secuencia lógica de fecha y hora
Consistent
• Datos registrados de forma permanente y mantenidos durante toda su vida útil
Enduring
• Durante el tiempo de vida de los registros, estos han de estar disponibles para su revisión y auditoría
Available
©2016 Waters Corporation 8
Donde empieza la integridad de los datos Computerized System Validation
Los sistemas informáticos deben estar validados para su uso con las aplicaciones de laboratorio.
Las plataformas y sistemas operativos validados por Waters pueden reducir considerablemente el esfuerzo de validación.
Se recomienda la instalación siguiendo estrictamente las
indicaciones del fabricante (Microsoft, Citrix, etc.), documentando, capturando el proceso, y anotando las desviaciones que no detienen el proceso, para resolverlas posteriormente (comprobación de funcionamiento de servicios, visores de eventos, ficheros con la historia de la instalación , logs, etc.
©2016 Waters Corporation 9
Computerized System Validation
El administrador de TI debe definir claramente sus políticas de operación en los sistemas operativos y plataformas.
Los usuarios del sistema deben tener limitados los accesos a las
partes mas sensibles de los sistemas operativos. – Alteración de fecha y hora del sistema. – Permisos de modificación, eliminación o escritura en las carpetas de la
aplicación. – Creación de ficheros o registros fuera de los estrictamente definidos en
cada aplicación. – Acceso a las configuraciones del registro, etc.
Lo mas recomendable es que sean servicios de la aplicación los que accedan a los ficheros, carpetas o bases de datos para registrar su actividad.
©2016 Waters Corporation 10
Como empezar con Empower 1 System Owner
Defina que departamento y persona será el propietario del sistema.
El propietario del sistema es el último responsable del sistema, de su mantenimiento, soporte, disponibilidad y debe ser una persona física, no departamento, grupo, etc.
Una persona de Tecnologías de la información en muchos casos ejerce como propietario.
TI
Supervisores
Técnicos
Analistas
Visitantes
©2016 Waters Corporation 11
Como empezar con Empower 2 Administradores
La administración de usuarios, la archivación de los proyectos y de los Audit Trail del sistema podrían ser parte de sus tareas.
Es necesario definir al menos dos administradores de sistema.
(algunas acciones requieren la concurrencia de dos administradores, ejemplo purgar System Audit Trail).
En algunos laboratorios se comparte la responsabilidad con un administrador/supervisor de laboratorio.
©2016 Waters Corporation 12
Como empezar con Empower 3 Haga un mapa de los departamentos en su empresa que
estarán accediendo a la misma instancia de Empower.
Empower DataBase
Control Calidad
Estabilidades
Investigación Desarrollo
Control de proceso
Recuerde que Empower es una base de datos incrustada en la aplicación. Todos los datos están en la base de datos de forma permanente, nada queda fuera de esta. Incluso durante la adquisición en tiempo real, los datos solo se registran y almacenan en la base de datos.
©2016 Waters Corporation 13
Como empezar con Empower 4
Reúnase con los departamentos para acordar las políticas generales del sistema (System Policies). Están aplicarán por igual a todos los departamentos que comparten BD.
Empower etiqueta con GxP, ER y ES todas aquellas
características recomendables para el cumplimiento de GLP, GMP, Electronic Records y Electronic signature.
©2016 Waters Corporation 15
Como empezar con Empower 5
Se debe llegar a un consenso para explicitar las razones por las que se puede modificar la información ( Creación, alteración, eliminado).
Estás razones en Empower se denominan Default Strings y se recomienda utilizarlas pues aporta coherencia al documentar correctamente el motivo de los cambios (Audit Trail).
Ej. Modificación de los tiempos de retención de los componentes en el método de proceso. – Razon1: Cambio de columna – Razón2: Preparación nueva fase móvil – Razón3: Se cambian tiempos de retención
©2016 Waters Corporation 17
Como empezar con Empower 6
Identifique los distintos perfiles dentro de cada departamento. Procure que los perfiles se solapen en sus privilegios lo menos
posible.
Control calidad
Supervisor
Técnico QC
Analista QC
Desarrollo
Supervisor Dev
Técnico Dev
Analista Dev
Control proceso
Técnico Proc
Analista Proc
©2016 Waters Corporation 18
Empower Data integrity- Configuración. User Types
Para minimizar el riesgo de acciones no deseadas en el sistema es básico establecer los perfiles de usuario correctamente.
Los perfiles deben estar relacionados con la función que realiza en el laboratorio y no con su perfil académico o con su afinidad a las soluciones informáticas.
• Editar los perfiles predeterminados o eliminarlos y crear perfiles propios, por ejemplo:
• Analista, • Técnico, • Supervisor • Administrador, etc.
• Los perfiles sin uso deberían eliminarse.
©2016 Waters Corporation 19
Como empezar con Empower 7
Seleccione los Privilegios de cada perfil. Ejemplo de los privilegios “Management”. Estos privilegios son
básicos para asegurar la integridad de los datos. Técnicos, analistas y supervisores no se recomienda activar
ningún privilegio de borrado “Delete”.
©2016 Waters Corporation 20
Empower Data integrity – Configuración. User Types
Los perfiles pueden ser alterados en el tiempo para acometer nuevas tareas por parte de un grupo de usuarios, y estas alteraciones deberían ser documentadas en un procedimiento de control de cambios y revisadas por distintas personas.
Si es necesario delimitar el grado de actuación de los usuarios para
funciones muy distintas, entonces se recomienda tener mas de un perfil, para separar claramente los riesgos inherentes a cada una de estas funciones.
Mas de dos perfiles por persona no aporta claridad y sencillez a la hora de la inspección y ocasiona incoherencias.
©2016 Waters Corporation 21
Empower Data integrity – Configuración. User Types ejemplo
Usuario con funciones de técnico de laboratorio, revisando en segundo nivel Results Sets y con capacidad para crear copias de seguridad de proyectos y eliminar proyectos (Archivación).
El usuario en el ejemplo tiene un User Type = Admin_Level2 (creado para tal
fin) con privilegios para hacer Backup de proyectos, eliminado de proyectos y creación de nuevos proyectos, además del bloqueo y
desbloqueo de proyectos.
Este User type (Admin_Level2) no debería ser utilizado para la función de técnico de laboratorio; es recomendable que la gestión administrativa este encomendada a personal de TI ó
personal no ligado a las rutina de análisis.
©2016 Waters Corporation 22
Empower Data integrity – Configuración. User Types ejemplo
En el ejemplo el usuario cuando utiliza su perfil (Admin_level2) debe asegurar que…
Al archivar proyectos estos se encuentran Full Lock, se hacen dos copias independientes (con la función Backup Project) , se verifica la integridad (Empower emite un informe de integridad) y entonces puede proceder a su eliminación de la base de datos.
Importante recordar que el único mecanismo válido para hacer copias
de seguridad de los proyectos es a través de la función Backup Project de Empower, nunca utilizar el explorador de carpetas de Windows. (riesgo muy alto de pérdida de información, además estas copias no sirven para restaurar. Debería estar bloqueado el acceso a las carpetas del sistema Empower)
©2016 Waters Corporation 23
Empower Data integrity – Configuración. User Types ejemplo
El perfil de técnico no permite funciones administrativas “management” y si cromatográficas; los privilegios de borrado “Delete” están deshabilitados.
©2016 Waters Corporation 24
Empower Data Integrity. Usuarios Autenticación con LDAP
Una buena práctica en la administración de los usuarios consiste en autenticarse en el directorio activo de la empresa. El directorio activo de Microsoft es una funcionalidad organizativa del sistema operativo que permite asignar los privilegios, restricciones y políticas de seguridad de forma grupal o individual.
Esta practica permite bloquear los accesos indebidos en los ordenadores clientes para evitar cambios en las configuraciones que impliquen un alto riesgo de accesos no autorizados a ficheros, carpetas, reloj de sistema, puertos de comunicaciones, etc. ó supongan un impacto alto en la integridad de los datos.
©2016 Waters Corporation 25
Empower Data Integrity. Usuarios
Si no hay políticas de empresa en este sentido, entonces es mejor confiar a Empower la administración.
Los profesionales de TI son los expertos en estas cuestiones. Recuerde que cada usuario (persona física) debe tener una
cuenta de usuario – Cada usuario debe registrar con la cuenta una contraseña que debe
ser privada. – Su contraseña es la mejor garantía de que nadie en su nombre ha
efectuado una acción. – Ni siquiera los administradores tienen acceso a su contraseña.
©2016 Waters Corporation 26
Empower Data Integrity. Configuración LDAP.
Empower esta preparado para conectarse al directorio activo de Microsoft a través de LDAP.
Adicionalmente el autenticarse en el directorio activo permite al usuario tener un único perfil electrónico en la empresa, mantener y renovar sus contraseñas con mas facilidad.
Es una buena práctica general, que el usuario pueda utilizar este usuario/perfil en todas las
aplicaciones analíticas del laboratorio.
©2016 Waters Corporation 27
Empower Data Integrity Configuración LDAP.
Una vez activado LDAP Domain manager la administración de la cuenta de usuario (cuentas de usuario y contraseñas únicas, expiración de contraseñas, límite de intentos fallidos, longitud mínima de la contraseña) pasan a ser gobernadas por el sistema operativo de Microsoft.
No obstante, Empower permite tener usuarios con administración local en Empower (útil para administradores de alto nivel de la aplicación).
©2016 Waters Corporation 28
Empower Data Integrity Cuentas de usuarios
Empower incluye una cuenta de usuario con categoría administrador, que es permanente (System).
En la instalación se debe cambiar la contraseña por defecto de esta cuenta y guardarla en lugar seguro.
Esta cuenta no debe utilizarse para trabajar en Empower pues no corresponde a ningún usuario físico identificado.
Las cuentas de usuario incluyen el campo “User Name” que es
el nombre abreviado o alias, que se emplea para hacer Login en Empower, sin embargo es en el campo Full Name donde debe aparecer completamente identificado con nombre, apellidos ó cualquier otra descripción que no admita lugar a error al identificar a un usuario dentro de su empresa.
©2016 Waters Corporation 29
Usuarios cualificados
La cuenta System es permanente con privilegios de Administrador y no puede ser eliminada. Los usuarios, nodos e instrumentos pueden tener un campo identificativo de su localización (FR3)
©2016 Waters Corporation 30
Grupos de usuarios
Agrupar usuarios que tienen funciones en común o que pertenecen a un mismo departamento no incide directamente en la integridad de los datos, aunque facilita la administración de accesos a los proyectos.
Además, permite la figura de administrador de grupo; este administrador tiene privilegios para añadir, modificar y eliminar usuarios del grupo sin privilegios especiales. La figura de administrador de grupo descarga al administrador general de tareas mas cotidianas
©2016 Waters Corporation 31
Grupos de usuarios y Accesos
Proj
ect
QC
Proj
ect
Des
arro
llo
Proj
ect
QC &
I+
D
Acceso al proyecto • Owner • Group • World
Acceso al proyecto • Owner • Group • World
Acceso al proyecto • Owner • Group • World
©2016 Waters Corporation 32
Copias de seguridad con Empower
Hay que distinguir entre Backup y Archive – Backup es la copia de seguridad a corto plazo para el plan de
contingencia de recuperación en caso de desastre (DRP) – Puede utilizarse el backup como sistema de archivación pero es caro
y no es práctico a la hora de encontrar los datos y su revisión. – Backup copia el estado actual de toda la base de datos y no permite
recuperar partes discretas de esta, ejemplo una secuencia, un método.
– Archive permite hacer copias para largo plazo y buscar y recuperar datos discretos de forma rápida y fácil.
– La archivación estará configurada por las políticas de retención de datos. Ej. Eliminado de datos mas antiguos de 7 años salvo aquellos datos con un requerimiento especial ej. (Legal hold).
©2016 Waters Corporation 33
Archivación en Empower. Recomendación
Proyecto On-Line
Proyecto Process Only •No adquisición
Proyecto Read Only •Solo visualizar
Proyecto Archiving •2 copias en destinos diferentes
Integridad de las copias •Audit Trail
Full Lock •Sin acceso
Eliminar Proyecto
©2016 Waters Corporation 34
Data integrity…temas a seguir
Registros estáticos y dinámicos. Uso y gestión de los identificadores Los métodos y su audit trail Audit Trail records
– Revisión por registro – Revisión al final de la secuencia – Distintas personas – ¿cómo revisarlo? – ¿debe haber evidencia de la revisión? ¿dónde evidenciarlo?