Abordagem para a Validação de Sistema Computadorizado - Revisão do Anexo 11 das BPFs da UE

Os requisitos regulamentares comumente definidos em uma validação com abordagem baseada em risco são as estabelecidos pela 21 CFR Parte 11 e UE BPF Anexo 11, de modo que a próxima versão do Anexo 11 deve afetar a estratégia de validação, produtos relacionados e critérios de aceitação de testes.

O objetivo deste artigo é descrever as melhorias introduzidas pela revisão do Anexo 11 (ver “Concept Paper” na revisão do Anexo 11) e as possíveis implicações relacionadas a uma validação com abordagem baseada em risco, a fim de garantir a conformidade do sistema nos seguintes tópicos:

• Especificações de Requisitos dos Usuários (consulte a seção 4.4, Anexo 11)
• Verificações (consulte a seção 6, Anexo 11)
• Trilha de Auditoria (consulte a seção 9, Anexo 11)
• Segurança dos Dados (consulte a seção 12, Anexo 11)

Especificações de Requisitos dos Usuários 

A nova versão descreverá mais claramente as funções necessárias do sistema (com base em uma Avaliação de Risco e impacto BPx) a serem incluídas na ERU (ou documento similar): os requisitos devem detalhar e refletir os processos de negócios e/ou produção suportados pelo sistema, incluindo as funcionalidades críticas às BPx. As especificações devem ser não apenas rastreáveis ao longo do ciclo de vida do sistema, mas também mantidas ou atualizadas em caso de modificações (por exemplo: por meio de gerenciamento de controle de mudanças e avaliação de impacto).

Além disso, a rastreabilidade entre requisitos dos usuários, especificações funcionais e atividades de teste deve ser documentada e mantida atualizada.

As atualizações/modificações acima mencionadas podem afetar os seguintes entregáveis da validação:

• Especificações de Requisitos dos Usuários (por exemplo: atualização dos requisitos de integridade, como os relacionados à seção 4.4 do Anexo 11).
• Avaliação de Risco do Sistema (por exemplo: adição de novos cenários de risco/falhas potenciais relacionados aos requisitos de usuários afetados).
• Matriz de Rastreabilidade (por exemplo: adição da rastreabilidade entre a especificação do requisito de usuário e as especificações funcionais, de configuração e de design).
  
  

Verificações de precisão

A verificação consiste em checagem adicional (manual e/ou automática), realizada por um segundo operador/supervisor ou dispositivo/sistema validado, para dados inseridos manualmente e considerados críticos para o processo BPF (por exemplo: parâmetros instrumentais, de método ou de receita). A próxima versão incluirá orientações úteis para classificar melhor a criticidade dos dados e sistemas.

As atualizações/modificações acima mencionadas podem afetar os seguintes entregáveis da validação:

• Especificações de Requisitos Usuários (por exemplo: atualização dos requisitos de integridade, como os relacionados à seção 6 do Anexo 11).
• Avaliação de Risco do Sistema (por exemplo: adição de novos cenários de risco/falhas potenciais relacionados aos requisitos de usuários afetados).
• Scripts de testes de QI/QO (por exemplo: atualização da verificação e adição de uma avaliação de criticidade dos dados/parâmetros do sistema com base em uma avaliação de risco).

Trilha de Auditoria

A versão revisada descreverá mais precisamente o que uma Trilha de Auditoria deve rastrear e como revisá-la. Além disso, a Trilha de Auditoria deve estar sempre habilitada e bloqueada e não deve haver a possibilidade de desativar tal funcionalidade, nem excluir ou modificar (sem deixar vestígios) as informações relevantes. Caso as opções de desativação e/ou edição estejam disponíveis, somente os administradores do sistema (não envolvidos no processo) devem ter acesso. Orientações detalhadas sobre a frequência de revisão da trilha de auditoria serão adicionadas de acordo com o seguinte princípio: quanto maior a criticidade do sistema, mais frequentemente as trilhas de auditoria devem ser revisadas.

As atualizações/modificações acima mencionadas podem afetar os seguintes entregáveis da validação:

• Especificações de Requisitos dos Usuários (por exemplo: atualização dos requisitos de rastreabilidade, como os relacionados à seção 9 do Anexo 11).
• Avaliação de Risco do Sistema (por exemplo: adição de novos cenários de risco/falhas potenciais relacionados aos requisitos de usuários afetados).
• Scripts de testes de QI/QO (por exemplo: adição de verificações adicionais para funcionalidade de Trilha de Auditoria e verificação de rastreabilidade para todas as etapas de teste relacionadas à criação/modificação de registros eletrônicos, contas de usuário, grupos e/ou privilégios).
  
  

Segurança dos Dados

A versão atualizada trará mais detalhes sobre os controles de segurança (físicos e lógicos) a serem implementados (por exemplo: medidas de segurança adicionais, como autenticação multifatorial, gerenciamento de plataforma, etc.) para garantir o acesso ao sistema apenas por usuários autorizados. Em particular, não será aceita a utilização de identificações únicas porque podem ser perdidas ou compartilhadas. Nesses casos, dependendo da criticidade do sistema, deve ser recomendado o uso de um método de autenticação multifatorial.

Ao projetar e configurar os grupos de usuários do sistema e privilégios relacionados, os princípios de “segregação de funções” e “menor privilégio” devem ser considerados. Além disso, a criação, alteração e cancelamento de autorizações de acesso devem ser não apenas registradas (por exemplo, no log de acesso), mas também revisadas com frequência, uma vez que as pessoas podem assumir ou alterar suas funções dentro da empresa ou pedir demissão.

As atualizações/modificações acima mencionadas podem afetar os seguintes entregáveis da validação:

• Avaliação de Risco do Sistema (por exemplo: adição de novos cenários de risco/falhas potenciais relacionados aos requisitos de usuários afetados).
• Scripts de testes de QI/QO (por exemplo: adição de verificações adicionais para funcionalidade de Trilha de Auditoria e verificação de rastreabilidade para todas as etapas de teste relacionadas à criação/modificação de registros eletrônicos, contas de usuário, grupos e/ou privilégios).
• Especificações de Configuração e Design (ou documento similar) (por exemplo: adição de novos parâmetros de segurança, como complexidade e histórico de senha e recursos de autenticação multifatorial).
• Especificações de Requisitos dos Usuários (por exemplo: atualização dos requisitos de segurança, como os relacionados às seções 12.1 e 12.3 do Anexo 11).
• Avaliação de Risco do Sistema (por exemplo: adição de novos cenários de risco/falhas potenciais relacionados aos requisitos de usuários afetados).
• Scripts de testes de QI/QO (por exemplo: atualização da política de senha, perfil e privilégios do usuário e verificações de controle de acesso, incluindo verificação de rastreabilidade relacionada à modificação das configurações de senha).
  
  

Conclusões

Por último, teniendo en cuenta que han pasado (relativamente) muchos años desde que se actualizó el Anexo 11, se espera que el impacto sobre el enfoque de validación del sistema y los resultados relacionados sea importante, en función de las mejoras y los detalles que se proporcionarán en las nuevas directrices.Na última vez em que o Anexo 11 foi atualizado para incluir novas diretrizes sobre a Validação de Sistemas Computadorizados houve um impacto significativo na abordagem e nas entregas relevantes.

A revisão do Anexo 11 será crucial e considerará muitos feedbacks recebidos de usuários e fornecedores regulados, a fim de melhor esclarecer os atuais regulamentos. Espera-se que as diretrizes introduzam mais “ferramentas” e recomendações a serem usadas para garantir a conformidade do sistema com os requisitos de qualidade, segurança, integridade, rastreabilidade e responsabilidade de uma perspectiva de validação. Por fim, considerando que já se passaram (relativamente) muitos anos desde que o Anexo 11 foi atualizado, espera-se que o impacto na abordagem de validação do sistema e nas entregas relacionadas seja importante, dependendo das melhorias e detalhes que serão fornecidos nas novas diretrizes.