Calificación de la Infraestructura de TI para Pequeñas y Medianas Empresas de Productos Sanitarios (y SaMD): Cumplimiento de la Norma ISO 13485:2016

¿Qué es la Calificación de Infraestructura de TI?

La Calificación de Infraestructura de Tecnología de la Información prevalece en las industrias reguladas, particularmente dentro de los sectores de las Ciencias de la Vida como farmacéutica, biotecnología y productos sanitarios. Su objetivo es garantizar la fiabilidad, la seguridad y el cumplimiento de las normas de cumplimiento de los sistemas e infraestructura informática utilizados en el desarrollo, la fabricación, las pruebas y la distribución de productos.

Este proceso implica una serie de actividades y documentación para validar que la infraestructura de TI cumple con los requisitos normativos y los estándares de calidad definidos. A continuación, se destacan los aspectos clave de la calificación de la infraestructura de TI: ciberseguridad, cumplimiento normativo, evaluación de riesgos, control de cambios, control de acceso de usuarios, integridad de datos, revisión periódica, auditoría e inspecciones, formación y documentación.

Importancia para las Empresas Pequeñas y Medianas de Dispositivos Médicos

Las normas reglamentarias se aplican de manera uniforme a todas las empresas de todos los tamaños, sin ofrecer indulgencia a las compañías más pequeñas. Por lo tanto, las empresas pequeñas y medianas deben priorizar la ciberseguridad para sobrevivir.

Una brecha significativa podría poner en peligro proyectos y datos confidenciales, especialmente en mercados altamente regulados. Descuidar la ciberseguridad y carecer de la documentación adecuada o de la gobernanza de TI es un descuido crítico.

La calificación de la infraestructura ofrece tres ventajas clave:

  • 1- La mejora de la ciberseguridad protege el negocio.
  • 2- El cumplimiento de las normas ISO 13485:2016 atrae a clientes e inversores.
  • 3- Preparar a la empresa para un crecimiento escalable.

Las organizaciones que adoptan esta certificación demuestran su dedicación a la calidad, no solo a sus clientes, sino también a las autoridades reguladoras.

¿Es la Calificación de Infraestructura un Requisito de la Norma ISO 13485:2016?

De hecho, eso es correcto. En particular, para el punto 7.5.1 (b) bajo control de la producción y la prestación de servicios, centrándose en el subpunto (b) 'calificación de la infraestructura'.

En esencia, este requisito enfatiza la necesidad de que la producción y la prestación de servicios se planifiquen, ejecuten, monitoreen y controlen para garantizar el cumplimiento de las especificaciones. Esto implica varios controles de producción, que incluyen, entre otros, la calificación de la infraestructura.

Además, el apartado 6.3 introduce un requisito de infraestructura destinado a evitar mezcla entre artículos y facilitar la manipulación organizada de las mercancías. Además, incluye los sistemas de información entre los servicios de apoyo enumerados.

De manera similar, en ese punto específico se explica que la organización debe documentar las necesidades de mantenimiento, delineando los intervalos para llevar a cabo las actividades correspondientes de la infraestructura, incluida la tecnología de la información. Estas especificaciones son cruciales, especialmente cuando la ausencia o el descuido de las actividades de mantenimiento podrían afectar la calidad del producto.

Además, estos requisitos deben abarcar los equipos utilizados en la producción, así como la gestión del entorno de trabajo y los procesos de seguimiento y medición. Esto se alinea con lo que normalmente se lleva a cabo durante la calificación de la infraestructura utilizando un enfoque basado en riesgos.

Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF)

El IMDRF facilita la cooperación multilateral internacional para converger las regulaciones relativas a los productos sanitarios y software como dispositivo médico (SaMD). El objetivo es promover estrategias adaptables para hacer frente a los nuevos desafíos, garantizando al mismo tiempo la protección y mejora de la salud y la seguridad públicas. Entre sus miembros se encuentran autoridades competentes de diversos países comprometidas a colaborar en los esfuerzos de armonización regulatoria.

El IMDRF cuenta con varios grupos de trabajo técnicos que emiten guías. Uno de ellos que está relacionado con el tema de este blog - ‘SaMD: Aplicación del Sistema de Gestión de la Calidad’ emitido el 02/10/2015. Este manual vincula los requisitos de la norma ISO 13485 vigente en ese momento con el ciclo de procesos y actividades de SaMD.

En el punto 8.3, se destaca que contar con herramientas automatizadas y una infraestructura de soporte debidamente calificadas es crucial para administrar de manera efectiva la configuración y garantizar la trazabilidad a otras actividades del ciclo de vida. Esto subraya la ventaja que puede proporcionar la calificación de infraestructura.

Al considerar la seguridad del paciente y los factores del entorno clínico, como se enfatiza en varios procesos y actividades del ciclo de vida de SaMD, es esencial tener en cuenta a las personas, la tecnología, la infraestructura y los posibles nuevos peligros que surgen de la implementación y el uso. El proceso de calificación de la infraestructura de TI puede abordar eficazmente estas consideraciones.

Impacto de la Infraestructura no Calificada

Las instalaciones médicas son cada vez más vulnerables a los ciberataques, y los actores maliciosos atacan los sistemas informáticos con ransomware. A diferencia de otros dispositivos de red, los equipos médicos tradicionalmente carecen de medidas de seguridad sólidas, lo que los convierte en un blanco fácil para los hackers que buscan acceso a conjuntos completos de servidores. La violación de dichos equipos no solo permite a los piratas informáticos comprometer o interrumpir otros dispositivos, sino que también crea vías para posibles violaciones de los datos de los pacientes. El estado validado de las aplicaciones BPx, que son críticas para la seguridad del paciente, la calidad del producto o la integridad de los datos, depende en gran medida de la infraestructura de TI en el que se insertan. Si no se mantiene esta infraestructura en un estado controlado y compatible, la integridad de estas aplicaciones puede verse comprometida. Para garantizar el cumplimiento y mitigar los riesgos, es esencial un proceso de calificación planificado que incluya especificación y verificación, basado en las mejores prácticas de la industria de TI.

Control de la Infraestructura de TI

En resumen, se deben verificar varios aspectos clave para el cumplimiento de la Calificación de la Infraestructura de TI:

  • Gestión del control de cambios
  • Gestión de la configuración
  • Gestión de la seguridad
  • Administración de servidores
  • Gestión de redes
  • Gestión de incidentes y problemas
  • Help Desk (también conocido como Service Desk en ITIL)®
  • Copia de seguridad, restauración y archivo
  • Recuperación de desastres
  • Supervisión del rendimiento
  • Gestión de proveedores
  • Garantía de calidad

Cuando un proveedor externo aloja o gestiona algunos o todos los aspectos de una nube o infraestructura de TI regulada, varios componentes del sistema de gestión de la calidad (QMS) deben someterse a una evaluación. Entre ellas, se encuentran:

  • Manual de calidad
  • Documentos de calificación
  • Evaluación de riesgos
  • Documento de privacidad de datos
  • Gestión y supervisión de centro de datos
  • Gestión de cambios y configuración
  • Plan de recuperación de desastres
  • Control de documentos
  • Procedimiento de formación
  • Procedimiento de auditoría interna
  • Respuesta a emergencias
  • Copia de seguridad, restauración y archivo

Programe una reunión

para descubrir cómo el equipo de FIVE Validation puede ayudarlo con el proyecto de calificación de infraestructura de TI de su empresa.
 

Sobre las autoras:

 

Lilian Ribeiro tiene casi 10 años de experiencia técnica y comercial en la industria alimentaria, especializándose en calidad corporativa y control de calidad. Además, cuenta con experiencia en el sector sanitario/farmacéutico. Como entusiasta de la validación sin papel, se apasiona por aportar eficiencia e innovación a las empresas de Ciencias de la Vida. Su experiencia se centra en proyectos de validación y calificación, que incluyen VLMS, ERP, EQMS, automación industrial (PW) y calificación de infraestructura de TI.

Silvia Martins es ingeniera eléctrica con dos décadas de experiencia ayudando a empresas biofarmacéuticas y de productos sanitarios. Ha prestado servicios a muchos clientes en varios países en validación, calificación de infraestructuras de TI y OT y en integridad y gobernanza de datos. Como CEO y cofundadora de FIVE Validation, una empresa dedicada a optimizar los procedimientos de compliance, su dedicación es agilizar y simplificar el cumplimiento para los clientes. Silvia es también la idealizadora de la plataforma de validación digital conocida como GO!FIVE®.

Referencias:

ISPE® GAMP® Good Practice Guide: IT Infrastructure Control and Compliance (Second Edition)

ISO 13485:2016 Medical Devices – Quality management systems – Requirements for regulatory purposes

IMDRF SaMD: Application of Quality Management System

 

GAMP5® es una guía cuyos derechos intelectuales están reservados a la ISPE®. Disponible para su compra en https://ispe.org/.

Posts relacionados

24 de abril de 2024

Calificación de la Infraestructura de TI para Pequeñas y Medianas Empresas de Dispositivos Médicos (y Software as a Medical Device – SaMD): Cumplimiento de la norma ISO 13485:2016

Lea Más
20 de febrero de 2024

¿Qué es el rollout?

Lea Más
1 de febrero de 2024

Principios de validación: validación colaborativa y soporte de terceros

Lea Más