1. Come faccio a firmare i record contenuti all’interno di un tool?
I record elettronici nei tool non devono essere firmati con firma elettronica, ma è sufficiente che vengano approvati.
Le GAMP5 ed. 2 (Appendix D8 §28.5.3) dicono che: <<C’è l’errata convinzione che approvazione significa firma, e per estensione che ci sia la necessità di essere conformi ai requisiti regolatori sulla firma elettronica, per esempio US FDA 21 CFR part 11. Questo non è il caso e si applica dove l’approvazione è equivalente alla firma manoscritta tradizionale, con valenza legale, richiesta dalle predicate rules. Per i deliverables del ciclo di vita del SW, questo vale solo per i SaMD o i SW embedded in un medical device regolato. Approvazione può essere ottenuta anche in altri modi come il cambio di stato, l’email, l’audit trail, e in molti casi l’evidenza dell’accettazione invece che l’approvazione è sufficiente.
I tool moderni hanno frequentemente dei log di change non modificabili al loro interno. Questi log registrano esattamente chi ha fatto cosa e quando rispetto ciascun oggetto e possono essere configurati per forzare i privilegi per definire esattamente chi può fare cosa>>.
2. Infrastrutture IT: che differenza c'è tra qualifica e convalida?
| CONVALIDA | QUALIFICA |
| Si applica alla cat. 3, 4 e 5. | Si applica alla cat. 1. |
| Si basa sulla definizione degli URS | Si basa su standards riconosciuti |
| Viene pensata per assicurare la conformità del prodotto e dimostrare che le funzioni soddisfano i requisiti e operano in accordo a specifiche e SOP. | E’ una istantanea del sistema (prendo atto della sua funzionalità) come è installato e nella configurazione corrente. |
| Si basa sulle “migliori pratiche” dell’industria farmaceutica (es. GAMP) | Si basa sulle migliori pratiche di settore (es. ITIL). |
| Richiede una accettazione formale da parte dell’utente per ogni sistema. | Non richiede una accettazione del singolo sistema da parte dell’utente. |
3. Infrastruttura IT: server SQL è considerato qualificato di default?
SQL server è un categoria 1 della stessa tipologia di Microsoft Windows, quindi è necessario registrarne la versione in convalida iniziale (IQ) e gestire eventuali aggiornamenti tramite procedura di change. Le funzionalità di SQL server vengono verificate in modo indiretto durante la convalida del SW applicativo che lo utilizza, pertanto non è necessaria una qualifica dedicata a SQL server.
4. Le GAMP possono essere consultate gratuitamente?
No, sono linee guida a pagamento che possono essere acquistate sul sito ISPE a questo link: https://ispe.org/publications/guidance-documents/gamp-5-guide-2nd-edition
5. Quali sono i criteri di classificazione dei tool non critici e quelli critici?
Per i tool che supportano attività del ciclo di vita dei sistemi e processi IT e di infrastruttura (i SW tool di infrastruttura includono quei tool come i SW per il monitoraggio della rete, i tool per la schedulazione dei job, i SW di sicurezza, gli antivirus, e i tool per la gestione della configurazione) non è richiesta convalida CSV perché non direttamente critici dal punto di vista GxP.
Per le componenti e le applicazioni che sono parte di un processo GxP regolato o che possono impattare direttamente data/record che supportano direttamente il ciclo di vita del prodotto, è richiesto una convalida basata sull’analisi dei rischi per dimostrare che siano in essere adeguati controlli. Per esempio, i SW utilizzati per migrare o convertire record GxP richiedono una convalida CSV.
(ref. Appendix M4 §12.3.4 e Appendix D9 §29.2)
6. Un software che stampa etichette neutre ed usa autenticazione LDAP a quale categoria appartiene e quali sono gli step da eseguire in fase di convalida? IQ, OQ, PQ, altro o solo alcune di queste?
Direi un categoria 3, ma andrebbe analizzato meglio perché la descrizione fornita nella domanda è troppo generica. Se assumiamo che sia un categoria 3, il ciclo di vita è ridotto, quindi almeno requisiti, protocollo di test (con strategia se non si emette un VPL), matrice di tracciabilità e dichiarazione dello stato di convalida (VR o report di test). Come test, IQ/OQ/PQ eventualmente accorpati in un solo documento.
7. Un software semplice su cui eseguo la configurazione delle funzionalità dei profili utente rientra nella categoria 3 o 4?
Se c’è solo la profilazione degli utenti realizzata tramite flag, può essere considerato un categoria 3.
8. Un chiarimento sul restore e sulla restorabilità. Verifico la prova di restore nella convalida iniziale... ma come verifico poi periodicamente la restorabilità e l'integrità del dato? Non sono sempre obbligato a simulare il processo per verificarlo?
La verifica di integrità della copia di restore può essere eseguita senza effettuare un restore completo con lettura del dato, come invece va fatto in convalida iniziale. Alcuni tool di backup hanno nativamente la funzione di verifica di integrità delle copie di backup oppure si possono usare altre modalità, come il ricorso ai codici hash.
(ref. Appendix O9 §41.4.6)
9. E' sempre necessaria la sfida pratica del restore?
Secondo le nuove indicazioni delle GAMP5 ed. 2 no, è sufficiente una verifica di integrità della copia di backup.
(ref. Appendix O9 §41.4.6)
10. Come viene valutata oggigiorno l'applicazione di fogli excel e la loro convalida da parte delle Autorità? Sulle nuove GAMP ci sono esempi (mi ricordo che c'era un appendix dedicato)...sono rimasti esempi o capitoli ad hoc?
Dal punto di vista della data integrity, sono accettabili solo gli Excel template, mentre non sono più accettabili Excel utilizzati come registri e come database. Questa indicazione è stata ripresa dall’Appendix S3 delle GAMP5 ed.2.
11. L'introduzione di un nuovo SW nel system inventory va considerato e trattato come un processo di change management?
Normalmente l’introduzione di un nuovo SW non è un change (le modifiche a un SW in uso sono da gestire secondo processo di change control), ma dipende anche dal sistema qualità aziendale.
12. Appendix D5: testing per identificare i difetti dell'operatività del software è necessario eseguire una risk analysis?
In generale la strategia di convalida dipende dall’analisi dei rischi (oltre che da critical thinking, dalla categoria del SW e dal risultato dell’audit al fornitore), quindi da questa analisi potrebbe nascere la necessità anche di fare degli (unscripted) test mirati ad identificare i bug del SW.
13. Appendix O Backup & Restore: per verificare la restorabilità dei dati è sufficiente verificare che i dati "backuppati" sono leggibili anche fuori dal software? Il restore di dati di un sistema in produzione è sempre un processo critico da testare.
La verifica del processo di backup & restore deve essere completa in convalida iniziale e in caso di modifiche significative al tool al processo o all’infrastruttura di backup. Questa verifica, però, non deve essere fatta necessariamente sull’ambiente “vero”, ma può essere fatta su un ambiente “equivalente” per evitare di impattare l’ambiente reale.
14. Bisogna produrre evidenze per dimostrare l'ottemperanza alle GAMP 5 rev. II? Ci sono dei gap da colmare rispetto alla precedente versione?
Le GAMP5 sono linee guida, quindi non è necessario dare evidenza di conformità. L’azienda può decidere di adottare in tutto o in parte la nuova linea guida e il consiglio è di “ufficializzare” la scelta con una nuova emissione del VMP e/o della policy di convalida dei sistemi computerizzati. Essendo linee guida non sono nemmeno retroattive, quindi, dopo il recepimento della nuova versione, le convalida andranno impostate secondo le nuove indicazioni; le vecchie convalide non devono essere, invece, aggiornate.
Cover designed by @Freepik
Articolo a cura di
Laura Monti, GxP Compliance Expert di Adeodata
