Want to create interactive content? It’s easy in Genially!

Get started free

PNO PARA EL CONTROL DE ACCESO PARA SISTEMAS COMPUTARIZADOS BPx

Capacitacion IMT

Created on July 10, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

Minimal Course

Basic Interactive Course

Laws and Regulations Course

Explore all templates

Transcript

Codigo: P.CAI.SIS.003 Rev.0

PNO PARA EL CONTROL DE ACCESO PARA SISTEMAS COMPUTARIZADOS BPx

índice

16

14

12

10

Documentación/ revisión/ auditoria

Creación de cuentas de usuarios

Configuración del sistema / Software de aplicación

Acceso a los sistemas computarizados BPx

Responsabilidades

Definiciones

Objetivo/ Alcance

Al personal autorizado para ingresar a los sistemas computarizados cuyos registros electrónicos cuenten con impacto BPx, que se encuentren instalados en el Centro de Análisis Industrial (CAI).

Alcance

Establecer los lineamientos para el control de acceso a los usuarios autorizados a los sistemas computarizados que adquieren, evalúan, transmiten, archivan y recuperan registros BPx para asegurar la integridad de datos y evitar accesos no autorizados a los sistemas del Centro de Análisis Industrial (CAI).

Objetivo

Usuario (regulado o Cliente

Registro BPx

Registro electrónico

Administrador de aplicación o sistema

Integridad de datos

Ciclo de vida de datos

DEFINICIONES

Área de sistemas

Jefe de Laboratorio

Dueño del proceso al que sirve el sistema computarizado

departamento de Validación

Supervisor del Sistema y Dueño del proceso

Área de sistemas

Usuario del Sistema

Responsabilidades

Requisito de negocio y regulatorio

  • Buscar la adquisición de sistemas computarizados BPx
  • Permitan bloquear a un usuario por una cantidad definida de intentos fallidos
  • Cambiar la contraseña de manera periódica
  • Bloquear automáticamente la sesión después de un breve período de inactividad para evitar el acceso no autorizado
  • Contar con auditoria de rastreo e inactivar la cuenta de usuario cuando el colaborador deje de laborar en la empresa.

El dueño del proceso y el administrador del sistema, deberán:

El dueño del proceso y administrador del sistema deberán de aplicar los controles físicos y/o lógicos para restringir el acceso a usuarios con diferentes niveles de autorización.

El acceso a los sistemas computarizados BPx debe ser controlado.

Conforme al tipo de tareas que el usuario realiza, asignar o modificar los privilegios asociados con el perfil de usuario.

El Dueño del sistema debe:
  • Que se ingresen el número y tipo de caracteres de la contraseña establecidos.
  • Que bloqueé al usuario después de los intentos de acceso fallidos que estén establecidos en el sistema de cómputo.
  • Cierre de sesión después de máximo 15 minutos de inactividad
  • Inhabilitar contraseña después de 6 meses como máximo en caso de no ser actualizada antes de ese tiempo

Realizar la configuración del sistema, si las características tecnológicas del software lo permiten, de la siguiente manera:

El Administrador del Sistema debe:

Configuración del sistema / Software de aplicación

El Responsable Sanitario debe:

El Administrador del Sistema y el Jefe de Área deben:

El Supervisor / Jefe de área debe:

Creación de cuentas de usuarios

Acceso al software y sus aplicaciones. Acceso a los registros. Acceso a acciones tales como escritura, lectura, revisión y aprobación.

El acceso al sistema incluye:

Usuarios autorizados para el uso de sistemas computarizados BPx

Matriz de Usuarios Autorizados y privilegios para sistemas computarizados BPx

¿Cómo se llenan los formatos?

  • Definir en el FormatoSolicitud de acceso para sistemas computarizados BPx, el tipo de perfil de acuerdo con la Matriz de Usuarios autorizados para el uso de sistemas computarizados BPx, descrita para cada sistema y la Matriz de Usuarios Autorizados y privilegios para sistemas computarizados BPx.

Formatos

Creación de cuentas de usuarios

Los cambios en la configuración inicial.

Sanciones administrativas

El administrador del sistema debe definir una contraseña para el acceso inicial al sistema como se define en los siguientes puntos:

Definir una identificación de usuario (ID) para los nuevos usuarios, utilizando las iniciales de su nombre seguido de su primer apellido.

El Dueño del Sistema debe verificar que el nuevo usuario o modificación de tipo de usuario tiene las competencias para operar el sistema

Auditorias
Revisión
Documentación

Es responsabilidad del Responsable Sanitario/ Encargado de Calidad:

  • Asegurar el cumplimiento de las regulaciones y políticas internas.
  • Aprobar la solicitud de acceso para sistemas computarizados GxP.
  • Autorizar este procedimiento.

El Administrador de la Aplicación/Sistema y el dueño del sistema deben revisar el Formato Matriz de Usuarios autorizados para el uso de sistemas computarizados BPx y el Formato Solicitud de acceso para sistemas computarizados BPx cada seis meses para verificar la precisión de la documentación con la situación real

Revisión

Es responsabilidad del Dueño del proceso al que sirve el sistema computarizado:

  • Asegurar la disponibilidad, soporte, mantenimiento del sistema y la seguridad de los datos que residen en ese sistema.
  • Configurar los nuevos usuarios en el sistema.
  • Cambiar la configuración de usuarios existentes.
  • Otorgar la identificación de usuario y contraseña inicial para el acceso.
  • Mantener la matriz de usuarios aprobados y privilegios de acceso actualizados para cada sistema.
  • Administrar la documentación de accesos generada para el sistema instalado.

Verificación o modificación de nuevos usuarios

  • Capacitación en procedimientos aplicables.
  • Capacitación, comprensión y aceptación del acuerdo descrito en el Acuerdo de Contraseñas y Acceso a los Sistemas Computarizados.

El Supervisor / Jefe de área debe:

Solicitar, la inclusión, del usuario mediante el Formato Solicitud de acceso para sistemas computarizados BPx, al Administrador de Sistemas. La solicitud debe incluir la siguiente información:
  • Datos del sistema computarizado
  • Datos del usuario
  • Tipo de Solicitud
  • Alta
  • Modificación.
  • Baja
  • Revisión y aprobación

Es el grado en que una colección de datos que se ha completado es consistente y precisa a lo largo del ciclo de vida de los datos. Para asegurar la integridad de datos se requieren sistemas de gestión de calidad y gestión de riesgos incluida la adhesión a principios científicos y buenas prácticas de documentación.

Integridad de datos

Definicion de contraseña

  • Debe incluir al menos 10 caracteres de longitud.
  • Debe incluir una combinación de letras mayúsculas, minúsculas, números y símbolos.
  • La contraseña no debe contener información personal, como nombre, apellidos, fechas de nacimiento, nombre de mascotas, ciudades, direcciones, etc.
  • La contraseña no debe contener números ni letras consecutivas.
  • La identificación del usuario y las contraseñas no deben ser las mismas.
  • Las contraseñas o frases de contraseña predeterminadas proporcionadas por el proveedor no están permitidas y deben cambiarse.

Es la persona autorizada por BPF, que es responsable de la operación de un sistema computarizado, las aplicaciones, archivos y datos que contiene.

Usuario (Usuario regulado o Cliente)

Es responsabilidad del administrador del sistema desarrollar procedimientos / instrucciones de trabajo suficientemente detallados relacionadas con las tareas de administración del sistema y para garantizar que dichas tareas se ejecuten de conformidad con el procedimiento.

Administrador de aplicación o sistema

Sanciones administrativas

Se aplicarán sanciones administrativas cuando se detecten usuarios que incumplan los siguientes puntos y se deberá de levantar una desviación de acuerdo con lo descrito en el procedimiento PNO para la identificación y control de No Conformidades vigente, los puntos a consideran son los siguiente:

  • Las contraseñas de usuario no deberán ser compartidas, divulgadas y/o publicadas, su uso es exclusivo para el usuario designado.
  • Las contraseñas no deben de escribirse donde personas no autorizadas puedan descubrirlas, (por ejemplo, Post-it, papeles, etcétera)
  • No utilizar la opción “recordar contraseña” en ninguna aplicación.
  • Todas las contraseñas de servicio de sistemas productivos deberán cambiarse como mínimo cada 6 meses y todas deben de ser diferentes.
  • El hurto y/o suplantación de una cuenta de usuario deberá ser investigado por el administrador del sistema y dueño del proceso.

Es responsabilidad del Área de sistemas:

  • Configurar el sistema operativo del software.
  • Configurar los programas que se inician junto con el sistema.
  • Configurar las redes (aplicaciones que se ejecuten desde la infraestructura de TI).
  • Configurar el hardware.
  • Administrar los programas.
  • Configurar los dispositivos de almacenamiento, impresoras, equipos, conexiones a red, internet, configurar impresoras.
  • Configurar la zona horaria, fecha y hora.
  • Configurar los servicios que funcionarán en red (aplicaciones que se ejecuten desde la infraestructura de TI).
  • Solucionar los problemas con los dispositivos o programas.
  • En caso del cambio de área de un colaborador el Jefe de área debe solicitar al Administrador de la Aplicación y/o Sistema la modificación o baja del usuario mediante el Formato Solicitud de acceso para sistemas computarizados BPx
  • El Administrador de la Aplicación y/o Sistema debe inhabilitar la cuenta cuando:
  • Bloquear la cuenta en caso de que el colaborador ya no labore en un área por cambio de esta. Realizar las bajas o inhabilitaciones conforme al Formato Solicitud de acceso para sistemas computarizados BPx.

Al conjunto de registros generados como parte de las buenas x prácticas, que aseguran la trazabilidad en las diferentes etapas del proceso de manufactura de un medicamento o dispositivo médico.

Registro BPx

Matriz de Usuarios Autorizados y privilegios para sistemas computarizados BPx

  • Datos del sistema: Se debe colocar nombre, código del sistema o equipo, versión del software, el fabricante/proveedor del sistema, fecha de su última actualización y el departamento / Ubicación del equipo/sistema.
  • Datos de Administración
  • Tabla de privilegios:
    • Funciones del sistema: Se debe registrar todas las funciones que tiene el sistema.
    • Tipo de perfil: Indicar cada uno de los perfiles que tiene el sistema ejemplo: Administración, Atención a Clientes, Calidad, etc. y se debe señalar con una “✔” las funciones del sistema a las que tendrá acceso el usuario conforme a su perfil.

Es responsabilidad del Usuario del Sistema:

  • Cumplir el Acuerdo de Contraseñas y Acceso a los Sistemas Computarizados y Datos.
  • Ingresar solo a los sistemas autorizados a los cuales tenga una cuenta de usuario habilitada en el sistema computarizado BPx.
  • No compartir su ID y contraseña a las cuentas de usuario habilitadas en sistemas computarizados BPx.

Todas las fases de la vida de los datos (incluyendo los datos en bruto) de generación inicial y grabación a través del procesamiento (incluida la transformación o migración) utilizan datos de retención, archivo/recuperación y destrucción.

Ciclo de vida de datos

Es responsabilidad del Supervisor del Sistema y Dueño del proceso:

  • Define los privilegios de acceso del usuario al software y a los datos.
  • Define privilegios para leer, escribir o modificar registros electrónicos BPx.
  • Revisar la solicitud de acceso para sistemas computarizados
  • Cumplir con este procedimiento tal y como está escrito.
  • Gestionar la solicitud de acceso al sistema para nuevos usuarios.
  • Solicitar cambios para usuarios existentes.
  • Solicitar la baja de usuarios.
  • Asegura una capacitación adecuada de usuarios nuevos y existentes.
  • Aprobar la solicitud de acceso para sistemas computarizados BPx.

Documentación

  • El Administrador de la Aplicación/Sistema debe mantener el Formato Matriz de Usuarios autorizados para el uso de sistemas computarizados BPx aprobado para cada sistema junto con los privilegios de acceso.
  • Archivar durante el ciclo de vida del sistema computarizado (validación y mantenimiento al estado validado) los registros de cuentas de usuarios documentados en Solicitud de acceso para sistemas computarizados BPx.

Auditorias

  • El Encargado de Calidad debe incluir en el programa de auditorías internas, auditar el proceso de Control de Acceso a sistemas Computarizados.
  • Realizar la revisión de Audit Trail que debe ser al cien por ciento.

Usuarios autorizados para el uso de sistemas computarizados BPx

  • Datos del sistema: Se debe colocar nombre, código del sistema o equipo, versión del software, el fabricante/proveedor del sistema, fecha de su última actualización y el departamento/ Ubicación del equipo/sistema.
  • Datos de Administración:
  • Tabla de Perfiles:
    • Puesto: Indicar el puesto, que ocupa dentro de la organización, cada persona que será dada de alta en el sistema.
    • Tipos de Perfil: Indicar cada uno de los niveles de los perfiles que tiene el sistema ejemplo: Administración, Atención a Clientes, Calidad, etc. y se debe señalar con una “✔” quien tendrá cada privilegio conforme a su puesto.