Qualificação de Infraestrutura de TI para Empresas de Dispositivos Médicos de Pequeno e Médio Porte (e SaMD): Compliance com a ISO 13485:2016
O que é Qualificação de Infraestrutura de TI
Esse processo envolve uma série de atividades e documentação para validar que a infraestrutura de TI atende aos requisitos normativos e padrões de qualidade definidos. A seguir, destacam-se os principais aspectos da qualificação da infraestrutura de TI: segurança cibernética, conformidade regulatória, avaliação de riscos, controle de mudanças, controle de acesso de usuários, integridade de dados, revisão periódica, auditoria e inspeções, treinamento e documentação.
Importância para Pequenas e Médias Empresas de Dispositivos Médicos
As normas regulatórias se aplicam uniformemente em empresas de todos os portes, não oferecendo leniência para companhias menores. Por isso, as pequenas e médias empresas devem priorizar a segurança cibernética para sobreviver.
Uma violação significativa pode comprometer projetos e dados sensíveis, especialmente em mercados altamente regulamentados. Negligenciar a segurança cibernética e a falta de documentação adequada ou governança de TI é uma supervisão crítica.
A qualificação da infraestrutura oferece três benefícios principais:
- 1- Melhorar a segurança cibernética protege os negócios.
- 2- A adesão às normas ISO 13485:2016 atrai clientes e investidores.
- 3- Preparar a empresa para um crescimento escalável.
As organizações que adotam essa certificação demonstram sua dedicação à qualidade, não apenas aos seus clientes, mas também às autoridades reguladoras.
A Qualificação de Infraestrutura é um Requisito da ISO 13485:2016?
Em essência, esse requisito enfatiza a necessidade de que a produção e a prestação de serviços sejam planejadas, executadas, monitoradas e controladas para garantir a aderência às especificações. Isso implica vários controles de produção, incluindo, mas não se limitando, a qualificação da infraestrutura.
Além disso, a Seção 6.3 introduz um requisito de infraestrutura destinado a evitar misturas entre itens e a facilitar o manuseio organizado de mercadorias. Além disso, inclui sistemas de informação entre os serviços de suporte listados.
Da mesma forma, o mesmo item elabora que a organização deve documentar os requisitos de manutenção, delineando os intervalos para a realização das atividades de manutenção da infraestrutura, incluindo a TI. Essas especificações são cruciais, especialmente quando a ausência ou negligência das atividades de manutenção pode afetar a qualidade do produto.
Além disso, esses requisitos devem abranger os equipamentos utilizados na produção, bem como a gestão do ambiente de trabalho e os processos de monitoramento e medição. Isso se alinha com o que normalmente é realizado durante a qualificação da infraestrutura usando uma abordagem baseada em riscos.
Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF)
O IMDRF facilita a cooperação multilateral internacional para convergir regulamentos relativos a dispositivos médicos e Software como Dispositivo Médico (SaMD). O objetivo é promover estratégias adaptáveis para enfrentar os desafios emergentes, garantindo a proteção e o aprimoramento da saúde e segurança públicas. Seus membros incluem autoridades competentes de diversos países comprometidas em colaborar nos esforços de harmonização regulatória.
O IMDRF tem vários grupos de trabalho técnicos que emitem guias. Um deles que está relacionado ao assunto deste blog é o SaMD: Aplicação do Sistema de Gestão da Qualidade emitido em 02/10/2015. Este guia relaciona os requisitos da ISO 13485 em vigor na época com o ciclo SaMD de processos e atividades.
No item 8.3, destaca que ter ferramentas automatizadas e infraestrutura de suporte devidamente qualificadas é crucial para gerenciar efetivamente a configuração e garantir a rastreabilidade para outras atividades do ciclo de vida. Isso ressalta a vantagem que a qualificação de infraestrutura pode proporcionar.
Ao considerar os fatores de segurança do paciente e ambiente clínico, como enfatizado em vários processos e atividades do ciclo de vida do SaMD, é essencial levar em conta as pessoas, a tecnologia, a infraestrutura e os potenciais novos riscos decorrentes da implementação e do uso. O processo de qualificação da infraestrutura de TI pode efetivamente abordar essas considerações.
Impacto da Infraestrutura Não Qualificada
Ao contrário de outros dispositivos de rede, o equipamento médico tradicionalmente carece de medidas de segurança robustas, tornando-se um alvo fácil para hackers que buscam acesso a conjuntos de servidores inteiros. Violar esses equipamentos não apenas permite que hackers comprometam ou interrompam outros dispositivos, mas também cria caminhos para possíveis violações de dados de pacientes.
O status validado das aplicações BPx, que são críticos para a segurança do paciente, a qualidade do produto ou a integridade dos dados, depende muito da infraestrutura de TI em que estão inseridas. A falha em manter essa infraestrutura em um estado controlado e em conformidade pode comprometer a integridade desses sistemas.
Para garantir a conformidade e mitigar riscos, um processo de qualificação planejado envolvendo especificação e verificação, com base nas melhores práticas do setor para TI, é essencial.
Controle de Infraestrutura de TI
Em resumo, vários aspectos importantes devem ser verificados para a conformidade em relação à Qualificação de Infraestrutura de TI:
- Gestão de controle de mudanças
- Gerenciamento de configuração
- Gerenciamento de segurança
- Gerenciamento de servidores
- Gerenciamento de redes
- Gestão de incidentes e problemas
- Help Desk (também conhecido como Service Desk em ITIL®)
- Backup, restauração e arquivamento
- Recuperação de desastres
- Monitoramento de desempenho
- Gestão de fornecedores
- Garantia da qualidade
Quando um fornecedor externo hospeda ou gerencia alguns ou todos os aspectos de uma nuvem ou infraestrutura da TI regulada, vários componentes do Sistema de Gerenciamento da Qualidade (QMS) devem passar por avaliação. Estes incluem:
- Manual da Qualidade
- Documentos de qualificação
- Avaliação de riscos
- Documento de privacidade de dados
- Gerenciamento e monitoramento de datacenter
- Gerenciamento de alterações e configuração
- Plano de recuperação de desastres
- Controle de documentos
- Procedimento de treinamento
- Procedimento de auditoria interna
- Resposta a emergências
Backup, restauração e arquivamento
Sobre as autoras:
Lilian Ribeiro possui quase 10 anos de experiência técnica e de negócios na indústria alimentícia, especializando-se em qualidade corporativa/controle de qualidade. Além disso, tem experiência nos setores de saúde/farmacêutico. Como entusiasta da validação sem papel, Lilian é apaixonada por trazer eficiência e inovação para empresas de Ciências da Vida. Sua expertise está em projetos de validação e qualificação, incluindo VLMS, ERPs, EQMS, automação (PW) e Qualificação de Infraestrutura de TI.
Silvia Martins é engenheira eletricista com duas décadas de experiência no apoio a empresas biofarmacêuticas e de dispositivos médicos. Atendeu diversos clientes em vários países nas áreas da validação, qualificação de infraestruturas de TI e OT e em integridade de dados e governança de dados. Como CEO e co-fundadora da FIVE Validation, uma empresa dedicada a otimizar os procedimentos de compliance, a sua dedicação é agilizar e simplificar a conformidade para os clientes. Silvia é também a idealizadora da plataforma de validação digital conhecida como GO!FIVE®.
Referências:
ISPE® GAMP® Good Practice Guide: IT Infrastructure Control and Compliance (Second Edition)
ISO 13485:2016 Medical Devices – Quality management systems – Requirements for regulatory purposes
IMDRF SaMD: Application of Quality Management System
GAMP5® é um guia que tem seus direitos intelectuais reservados à ISPE®. Disponível para aquisição no site https://ispe.org/.
