BLOG para cGMPdoc.com

La tendencia en la industria farmacéutica también se está moviendo hacia la computación en la nube. Como ventajas, podemos indicar las financieras, también las organizativas, sin embargo, también deben tenerse en cuenta los peligros potenciales y las restricciones reglamentarias. Algunos temas relevantes desde la perspectiva GxP son:

• Conceptos básicos de la tecnología de computación en la nube
• Regulaciones y Expectativas de los Inspectores
• Relación Cliente-Proveedor
• Requisitos para proveedores de servicios en la nube (CSP)
• Requisitos para la evaluación de proveedores y auditorías de proveedores
• Requisitos para la Calificación / Validación

Hoy quiero de modo introductorio al tema, definir el significado de algunas abreviaturas utilizadas en computación en la nube, por ejemplo ¿Cuál es el significado de Iaas/PaaS/SaaS/XaaS?

IaaS, PaaS y SaaS son abreviaturas y diferentes modelos de servicio de varias ofertas de proveedores de servicios en la nube (CSP).

“aaS” siempre significa “como servicio”. En XaaS, la X es un marcador de posición para I, P o S, lo que significa Infraestructura, Plataforma o Software. A veces, XaaS también se denomina “Cualquier cosa como servicio” o “Todo como servicio” y puede tomar características muy específicas como “Computación de alto rendimiento como servicio (HPCaaS)” o “Inteligencia artificial como servicio (AIaaS)”.

Los CSP ofrecen varios servicios y beneficios según el modelo de servicio básico, y las tareas a ejecutar pueden cambiar en consecuencia, veamos la tabla siguiente:

Para los sistemas o aplicaciones computarizados que se operan tradicionalmente en las instalaciones, la empresa regulada (o su departamento de TI o proveedor de servicios de TI, si se subcontrata) es responsable de todas las tareas relacionadas con la validación del sistema computarizado (CSV).

IaaS: si el CSP proporciona y administra la infraestructura, el modelo se llama IaaS. Aquí, las tareas y responsabilidades de la empresa regulada comienzan con la instalación del sistema operativo.

PaaS: en el siguiente nivel, el CSP se encarga de la instalación y operación tanto de la infraestructura como del sistema operativo. La empresa regulada interviene con la configuración del entorno de tiempo de ejecución.

SaaS: para este modelo, el CSP proporciona y opera la configuración del entorno de tiempo de ejecución y la aplicación además de la infraestructura y el sistema operativo.

En otras palabras, las actividades pasan del usuario (empresa regulada como cliente) al proveedor de servicios en la nube (proveedor).

Sin embargo, la responsabilidad de la validación y el funcionamiento de la aplicación y todos los temas relacionados, como la integridad de los datos, la privacidad de los datos, la seguridad de los datos, etc., siguen siendo de la empresa regulada.

Tomado de la News letter de la ECA, 2023.

El acceso remoto por parte del proveedor ofrece muchas ventajas al mantener el software, solucionar problemas e instalar nuevas funcionalidades. Sin embargo, ¿qué regulaciones deben existir para el acceso remoto de los proveedores de servicios a los sistemas críticos de GxP? ¿Qué requisitos de integridad de datos se deben incluir?

¿Cómo se puede hacer que este proceso sea compatible con GxP?

El acceso remoto permite a los proveedores de servicios acceder a sistemas computarizados a través de una conexión de red para corregir errores o cambiar la configuración. Si se accede a un sistema computarizado crítico GxP de forma remota, las actividades del proveedor de servicios o la compañía de servicios pueden modificar el sistema de tal manera que el estado validado ya no se mantenga. Por lo tanto, el acceso remoto y las acciones realizadas durante esta sesión deben controlarse y documentarse. Esto significa que el acceso debe ser habilitado activamente por el RU (usuario regulado). Además, esto debe hacerse a través de una conexión de red segura y se debe mantener un registro de las actividades realizadas. Si es necesario, se debe iniciar un proceso de control de cambios.

El objetivo es mantener y controlar el estado validado del sistema.

Publicado en el Boletín GMP de la ECA (6/5/2020)

Les dejo este artículo relacionado sobre aplicaciones en la nube.

Como usualmente solemos decir, la validación de los sistemas computarizados GxP es requerida para asegurar que cumplimos con las regulaciones, y además para demostrar que son adecuados para su propósito de uso.

Previo a la puesta en uso y nuevamente cuando hay cambios en el SC, la validación puede ser intensa en cuanto al tiempo y los recursos necesarios. Frecuentemente el mismo rigor es aplicado a todos los cambios en los SC, independientemente del impacto potencial, esto provoca un ahogo que puede llevar a tener SC estancados y un GAP creciente entre las soluciones y las necesidades de los usuarios del SC o del negocio.

Los vendedores actuales han reducido la carga de validación por medio de las ejecuciones de IQ y de OQ y/o proveer la documentación, sin embargo algunas soluciones en la nube tienen actualizaciones frecuentes y mandatorias.

Un proceso de gestión de cambio optimizado (basado en el riesgo) puede hacer que los sistemas se mantengan vigentes. Este enfoque consistente, permitirá reducir tiempos y esfuerzos.

Para esto es fundamente que el entrenamiento (conocimiento) del proceso de cambios sea adecuado.

Aplicaciones GxP en la nube.

La popularidad de aplicaciones basadas en la web, dispositivos inteligentes, usuarios están listos, hace que tengamos un ritmo constante de release de actualizaciones, introduciendo cambios más frecuentes que en el pasado. Por tal razón, es fundamental disponer de un proceso para el manejo de los cambios de los sistemas.

Las características de las aplicaciones de la nube tienen un impacto significativo en la validación de las organizaciones y en la estrategia de control de cambios.

En general hay dos tipos de opciones en la nube:

•           Hosted (alojado)

•           Multitenant (multiinquilino)

Una diferencia fundamental entre ambas es como sus vendedores gestionan y entregan las nuevas versiones de sus aplicaciones a sus clientes.

Hosted Cloud (HC)

Con este tipo de aplicaciones cada cliente tiene su propio software y un enfoque tradicional es usado para proveer una nueva versión.

El vendedor notifica al cliente cuando un nuevo release está disponible y el cliente decide si quiere la nueva versión, y cuando el vendedor debería efectuar la actualización.

Después de la actualización, son efectuadas las actividades de validación y su liberación para uso productivo.

No todos los clientes actualizan la última versión de un HC al mismo tiempo y alguno nunca lo hacen. Como resultado de esto, los vendedores de aplicaciones en la nube deben soportar múltiples versiones de sus aplicaciones.

Multitenant Cloud (MC)

En este modelo, múltiples clientes usan una versión única del software y coexiste sobre una infraestructura de IT compartida.

Se entrega una nueva versión del software para todos los clientes al mismo tiempo sobre una agenda predefinida por el vendedor. Como resultados de esto, cada cliente está siempre con la última versión de la aplicación y no hay viejas versiones para que el vendedor soporte.

Los clientes son notificados con anticipación cuando una actualización tomará lugar. Luego son efectuadas las actividades de validación y su liberación para uso productivo.

En este punto es de suma importancia trabajar con proveedores aprobados y disponer de un acuerdo de calidad.

La expectativa es la existencia de un proceso de cambio robusto, que nos permita mantener el estado validado de nuestros sistemas computarizados GxP y no comprometa la calidad del “producto” del sistema.