Cuestionario de evaluación de GxP para el software SoftMax Pro GxP

Sistema de gestión de calidad

¿El software se ha desarrollado y producido de conformidad con un sistema de gestión de calidad?

Sí, conforme a un sistema de gestión de calidad bajo la norma ISO 9001:2015.

¿Se utilizan pautas, manuales o modelos de procedimientos armonizados o internos de la empresa para el desarrollo del software (por ejemplo, pautas de programación o documentación)?

El manual del sistema de gestión de calidad (QMSM) y los procesos e instrucciones de trabajo de QMS se ponen en práctica para proporcionar pautas de programación, desarrollo y documentación.

¿El software has sido desarrollado exclusivamente por Molecular Devices? Si no es así, ¿los subcontratistas están certificados o son auditados?

Los subcontratistas externos son auditados y tienen formación en los procesos de desarrollo de Molecular Devices.

¿El desarrollador de software o sistemas posee educación y formación apropiadas y documentadas para realizar las tareas asignadas?

Los desarrolladores son contratados y formados en función de la descripción de un trabajo definido.

¿Existen auditorías internas de los procesos de desarrollo del software?

Las auditorías internas de los procesos de desarrollo del software se realizan de forma rutinaria y cualquier problema de falta de conformidad genera acciones correctivas y preventivas (CAPA).

Ciclo de vida del desarrollo de sistemas (SDLC)

¿Cuenta Molecular Devices con un proceso de ciclo de vida del desarrollo de sistemas?

El proceso de desarrollo de productos de Molecular Devices rige el desarrollo de todos los productos en la compañía.

¿Están suficientemente probados los resultados de las fases individuales de desarrollo de software dentro del modelo de ciclo de vida (revisión de los resultados de las fases)?

El proceso de desarrollo de productos de Molecular Devices requiere revisiones de los resultados y los logros de las fases de desarrollo y todos los logros que incluyen los resultados que requieren la aprobación de su integridad.

¿Los requisitos del software han sido formalmente definidos, revisados y aprobados?

Los requisitos de alto nivel del software para un producto determinado se definen en el documento “Especificaciones de requisitos del mercado”. Los requisitos detallados están documentados en un documento de requisitos del subsistema. Los requisitos están revisados y aprobados. En metodología Agile, los requisitos de alto nivel se recogen en el documento “Especificaciones de requisitos del mercado” y la funcionalidad detallada se define en pruebas de especificación ejecutables denominadas “story tests” (pruebas de aceptación).

Diseño e implementación del software

¿Se realizan revisiones técnicas durante el desarrollo del software?

Durante el desarrollo del software se realizan revisiones críticas del diseño.

¿Se utiliza un ciclo de vida del desarrollo del software establecido y estándar? Si es así, ¿qué modelo se utiliza?

Molecular Devices utiliza el proceso de desarrollo de software Agile.

¿El proceso de publicación de mejoras incluye documentación completa de la nueva funcionalidad?

Para las versiones de actualizaciones importantes y menores del software, se documentan todas las nuevas funciones en “Notas de la versión” y, dependiendo del tipo y el alcance de la versión, también en las guías de usuario.

¿Las prácticas de evaluación de productos adquiridos garantizan que están libre de virus?

Los software comerciales como los sistemas operativos y los paquetes de Office se adquieren de minoristas adecuados. Todos los productos que se utilizan en el desarrollo del software se evalúan en sistemas de desarrollo y los ordenadores de la empresa requieren el uso de un software antivirus definido que identifique cualquier virus conocido.

¿Los listados de fuentes se ajustan a las normas escritas (por ejemplo, las buenas prácticas de programación)?

Las normas de programación están documentadas en el sistema de calidad de Molecular Devices. Todos los desarrolladores tienen formación en las normas antes de trabajar en los productos de software.

¿Se revisan los diseños y el código fuente del software?

Personal cualificado de desarrollo de software se encarga de crear y revisar las especificaciones del diseño.

El código fuente se revisa para garantizar el cumplimiento de las normas de programación.

En la metodología Agile, los diseños y el código se revisan constantemente como parte de las prácticas de programación en pareja y refactorización.

No se garantiza una revisión formal independiente del código, ya que todo el código se revisa durante el desarrollo inicial y de nuevo al realizar actividades de refactorización.

Si no se utiliza la programación en pareja, entonces se requiere una revisión independiente del código como parte del proceso de registro y compilación del código.

¿El proceso de desarrollo proporciona una evaluación formal de los productos y servicios adquiridos mediante las especificaciones de requisitos técnicos y la evaluación de la conformidad de los productos con requisitos especificados?

Si el producto total implica el uso de un componente que es un producto adquirido, entonces se evalúa el producto adquirido para confirmar que es adecuado para el uso previsto. El producto global se evalúa antes de su lanzamiento.

¿Existen pruebas de que la metodología de desarrollo de software se implementó a través de procesos de trabajo y entregas para los siguientes procesos?: Definición y documentación de los requisitos del software. Diseño del software. Creación del software. Integración de los componentes del software. Pruebas de los componentes y el producto integrado. Lanzamiento y soporte del producto.

Sí a todos los puntos.

Análisis del software

¿Qué tipo de pruebas del software se realizan?

El personal de Desarrollo de Software es responsable de las pruebas de unidad e integración. Los evaluadores del producto son responsables de probar el software; el alcance de las pruebas se describe en un “Plan de verificación de software”. Los protocolos de pruebas y los registros de pruebas oficiales están disponibles para su revisión por parte de los clientes únicamente durante una auditoría in situ con un acuerdo de confidencialidad.

El personal de Aplicación de Productos o los clientes de un centro beta designado pueden realizar pruebas adicionales de un producto de software.

Con la metodología Agile de desarrollo basado en pruebas, los requisitos de alto nivel se refinan en la creación de “story tests” para crear una especificación funcional ejecutable que prueba los requisitos en desarrollo. Inicialmente, la prueba fallará hasta que se escriba el código que cumpla con el requisito. Los miembros del equipo del cliente (representantes de Gestión de Productos, expertos en Dominio, representantes de Verificación y Desarrollo de Información, etc.) aportan información a los “story tests”. El grupo de Verificación y otros miembros del equipo del cliente realizan pruebas adicionales en forma de pruebas exploratorias y pruebas de la GUI.

¿Dispone de un procedimiento que defina el proceso de pruebas?

Sí, hay procedimientos por escrito para las pruebas de los requisitos del software.

¿Los resultados de las pruebas han sido revisados y aprobados?

El equipo de Garantía de Calidad de Software revisa que los resultados de las pruebas cubran todos los requisitos del software.

¿Existen documentos para las siguientes pruebas?: Pruebas a nivel de unidad. Pruebas a nivel de integración. Pruebas a nivel de sistema. Pruebas estructurales y funcionales.

Sí. En función del producto de interés, la profundidad de las pruebas varía.

¿Se conservan documentos y registros de las pruebas originales que se utilizan para fines de pruebas de regresión?

El paquete de pruebas originales se conserva y se utiliza para fines de pruebas de regresión. Los registros de las pruebas originales se conservan y utilizan únicamente para comparar con los resultados de pruebas previas.

¿Se utilizan procesos adecuados de verificación y validación del software para el proyecto (planificación de pruebas, determinación de casos de prueba, generación de datos de prueba, rendimiento de las pruebas, análisis de las pruebas y documentación de las pruebas)? En caso afirmativo, ¿están disponibles los protocolos de las pruebas y los informes resumidos de las mismas?

Los planes y los informes de verificación y validación son obligatorios y se aprueban durante las fases correspondientes del desarrollo.

Los planes e informes de las pruebas se archivan y están disponibles.

¿Quién lleva a cabo la verificación y validación? ¿Hay un grupo independiente para este trabajo?

Los evaluadores del software y los científicos de aplicaciones realizan la verificación y validación. Los evaluadores del software pertenecen al grupo de pruebas del software.

¿Quién autoriza los planes de pruebas, los protocolos de pruebas y los informes de pruebas?

Los documentos de pruebas son autorizados por el gestor de proyectos, el director de producto, el responsable de control de calidad del software y el responsable del software.

¿Está garantizado el acceso al entorno de las pruebas (herramientas para las pruebas, datos de las prueba) y a la documentación de las pruebas?

Las herramientas, los datos y los documentos de las pruebas se archivan en un archivo central para todos los proyectos de software y son versiones controladas.

Controles de seguridad

¿Tiene la empresa normas o directrices para el establecimiento y conservación de la documentación de software?

Existe un archivo central para todos los documentos de proyectos.

¿Está garantizado el acceso a la documentación de desarrollo de software?

El acceso requiere autorización para el sistema de archivo.

¿Está garantizado el acceso al código fuente (si es necesario)?

El acceso y los permisos son aplicados por el sistema de gestión de códigos fuente.

Notificación de defectos

¿Tiene la empresa normas o directrices para el establecimiento y conservación de la documentación de software?

Existe un archivo central para todos los documentos de proyectos.

¿Existe un sistema formal de generación de informes?

Se aplica un sistema de seguimiento de defectos.

¿Cómo se reciben y procesan los informes y la corrección de errores y las recomendaciones de mejoras?

Los errores notificados se introducen en el sistema de seguimiento de defectos y se procesan siguiendo el flujo de trabajo definido en el sistema de seguimiento.

¿Cómo se informa a los clientes del estado del procesamiento?

A los clientes se les informa del estado del procesamiento previa solicitud.

Las notas de la versión se incluyen con cada versión del software y contienen una lista de los problemas resueltos.

Control de cambios

¿Quién aprueba los cambios en el software?

Los cambios en el software que afectan al cronograma del proyecto son aprobados por el equipo de gestión de carteras.

¿Existen procedimientos documentados de control de cambios o gestión de versiones?

Existe un procedimiento de control de cambios y todos los documentos del proyecto que exige el Sistema de Gestión de Calidad son archivados en un sistema de control de versiones.

¿Qué formación reciben los clientes sobre el uso de los sistemas de Molecular Devices?

Se proporciona formación con los instrumentos. Su nivel y duración dependen del producto. La formación es impartida por un científico de aplicaciones de campo, por un especialista de asistencia técnica o por el representante de ventas, dependiendo del producto.

¿Durante cuánto tiempo ofrece Molecular Devices asistencia para una determinada versión de actualización del software o del hardware?

Normalmente, Molecular Devices ofrece asistencia para el software y el hardware durante un periodo de 5 años después de la última fecha de fabricación.

¿Cómo se notifica a los clientes las nuevas versiones?

Los clientes reciben la información adecuada con la documentación suministrada con el sistema. Las actualizaciones de funcionamiento críticas se remiten a los clientes que registran sus productos. Las actualizaciones normales y los consiguientes cambios de ingeniería no se publican para los usuarios finales.

¿Cómo notifica el cliente los problemas (por ejemplo, errores del software o problemas con el instrumento)?

support.moleculardevices.com

¿Cómo se documentan y gestionan las quejas de los clientes?

Todas las quejas se documentan como casos en nuestro sistema de gestión de relación con los clientes (CRM). Nos comunicamos por medio del correo electrónico o por teléfono y no cerramos el caso hasta que el cliente acepta que el problema se ha resuelto.

Funcionamiento del sistema

¿El sistema aplica la secuenciación de eventos que pueden predefinirse, como por ejemplo en la gestión de secuencias por lotes, cuando la secuenciación se gestiona manualmente?

Sí. Los archivos de datos del software SoftMax Pro GxP pueden integrarse con herramientas de terceros, pero la configuración del sistema es responsabilidad del usuario final.

¿Utiliza el sistema comprobaciones para interrogar el origen de un comando operativo para garantizar que solo una estación de trabajo, terminal o dispositivo autorizados esté emitiendo el comando?

No procede para esta aplicación. La configuración del sistema es responsabilidad del cliente. Sin embargo, los comandos de automatización requieren inicio de sesión electrónico.

Integridad y copia de seguridad de registros

¿Cómo y cuándo se almacenan los registros en un soporte duradero?

Los registros se guardan manualmente cuando se ordena o después de que se complete una lectura si se utiliza el autoguardado. La orden se puede automatizar con un comando robótico o automatizado. El software guarda cada documento abierto en la base de datos cada cinco minutos para los fines de recuperación de datos y las copias de seguridad temporales se eliminan cuando el software está cerrado.

¿Los operadores pueden modificar el contenido de los registros después de que se hayan almacenado en un soporte duradero?

No, los datos sin procesar no se pueden modificar. Los cambios en la configuración de reducción y análisis se rastrean a través de la pista de auditoría.

¿Los operadores pueden eliminar registros que se han guardado en un soporte duradero?

La limitación de estas capacidades depende del administrador del sistema o del procedimiento normalizado de trabajo (PNT). Todos los registros se pueden guardar utilizando las preferencias de autoguardado.

¿Los administradores pueden modificar el contenido de los registros después de que se hayan almacenado en un soporte duradero?

No, los datos sin procesar no se pueden modificar. Los cambios en la configuración de reducción y análisis se rastrean a través de la pista de auditoría.

¿Los administradores pueden eliminar registros que se han guardado en un soporte duradero?

La limitación de estas capacidades depende del administrador del sistema o del procedimiento normalizado de trabajo (PNT).

¿Está equipado el sistema con herramientas y utilidades de archivo para crear copias de seguridad de los registros electrónicos en un soporte duradero?

La identificación de la funcionalidad de copia de seguridad y archivo depende del administrador del sistema o del procedimiento normalizado de trabajo (PNT).

¿Se pueden seleccionar los criterios, por ejemplo, se pueden seleccionar registros específicos para que se archiven?

No, una vez archivado el archivo, el registro del archivo no se puede eliminar.

Copia y recuperación de registros

¿En qué formato y tipos de archivo se almacenan electrónicamente los registros?

Los datos sin procesar se guardan en formato binario.

¿Cómo se recuperan los registros del soporte de archivo y cómo se cargan en el entorno operativo?

El registro se crea como resultado de abrir un archivo.

¿Proporciona el sistema la capacidad de recuperar y visualizar cualquier registro electrónicamente o generar informes impresos de cualquier registro electrónico?

Sí.

¿Pueden recuperarse y visualizarse registros de forma selectiva para su inspección?

Sí.

¿Proporciona el sistema formatos de informe estándar que se puedan modificar para cumplir los requisitos de notificación reglamentarios específicos?

Sí. Se pueden imprimir resúmenes personalizados de datos, conocidos como secciones de Notas y tablas de Grupo.

¿Genera el sistema registros como datos primarios, metadatos, pistas de auditoría, actividad de cuentas de usuario, configuración de seguridad y definición de firma electrónica?

Todos estos registros se pueden revisar o generar como informes.

¿El sistema almacena también automáticamente los metadatos que definen o limitan los datos primarios recopilados?

Sí.

¿El sistema puede notificar actividades de seguridad, como por ejemplo, las siguientes?: Adición de usuarios. Eliminación de usuarios. Actividad de inicio de sesión de usuarios.

Sí. Todas las actividades enumeradas se notifican en la pista de auditoría del sistema del software GxP Admin Portal.

La actividad de inicio de sesión de usuarios también se notifica en la pista de auditoría del archivo de datos del software SoftMax Pro GxP.

¿El sistema puede notificar parámetros de seguridad global, como por ejemplo, los siguientes?: Configuraciones de la aplicación. Configuraciones de función (p. ej., informe de configuración de seguridad).

Sí. Los parámetros de análisis y configuración del instrumento se registran en la pista de auditoría. Se pueden generar informes de niveles de permiso de cada usuario.

Registros electrónicos

¿Proporciona el sistema una función de firma electrónica destinada a reemplazar una firma manuscrita legalmente vinculante en un registro escrito?

Sí. Esta función se puede configurar en el software GxP Admin Portal. Nuestra función de firma electrónica está diseñada según los requisitos de la norma 21 CFR Parte 11:

§11,3 Definiciones
(b) Las siguientes definiciones de términos también se aplican a esta parte:

(5) Firma digital hace referencia a una firma electrónica basada en métodos criptográficos de autenticación del originador, calculada mediante el uso de un conjunto de reglas y un conjunto de parámetros de modo que se puede verificar la identidad del firmante y la integridad de los datos.

(7) Firme electrónica hace referencia a una compilación de datos informáticos de cualquier símbolo o serie de símbolos ejecutados, adoptados o autorizados por un individuo para ser el equivalente legalmente vinculante de la firma manuscrita del individuo.

¿La manifestación de la firma identifica claramente y sin ambigüedad al firmante en formato legible para humanos?

Sí. Nuestra función de firma electrónica está diseñada según los requisitos de la norma 21 CFR Parte 11:
§11,10 Controles para sistemas cerrados

(b) Capacidad para generar copias exactas y completas de registros tanto en formato legible para humanos como en formato electrónico adecuado para la inspección, revisión y copia por parte de la agencia reguladora.

¿La firma electrónica, como parte del registro electrónico, en formato electrónico o legible para humanos, proporciona la siguiente información?: Nombre del firmante. Hora y fecha de la firma. Significado de la firma (aprobación, revisión, certificación, etc).

Sí. Nuestra función de firma electrónica está diseñada según los requisitos de la norma 21 CFR Parte 11:

§11,50 Manifestaciones de firma

(a) Los registros electrónicos firmados contendrán información asociada con la firma que indique claramente todo lo siguiente:
1. El nombre en letra de imprenta del firmante;
2. La fecha y hora en que se ejecutó la firma; y
3. El significado (como revisión, aprobación, responsabilidad o autoría) asociado con la firma.

¿Proporciona el sistema opciones de configuración para especificar una cantidad de tiempo que constituye un periodo continuo de acceso controlado al sistema?

Sí. Esta función se puede configurar en el software GxP Admin Portal.

¿El software vincula una firma electrónica al registro electrónico y garantiza que la firma no se pueda eliminar, copiar ni rechazar?

Sí. Nuestra función de firma electrónica está diseñada según los requisitos de la norma 21 CFR Parte 11:
§11,70 Vinculación firma/registro

Las firmas electrónicas y las firmas manuscritas ejecutadas en registros electrónicos se vincularán a sus respectivos registros electrónicos para garantizar que las firmas no puedan ser eliminadas, copiadas o transferidas de otro modo para falsificar un registro electrónico por medios ordinarios.

¿Permite el sistema que un usuario anule los permisos operativos reservados para una firma específica por alguien que no sea su propietario genuino?

Sí. Tras las evaluaciones de riesgos de integridad de los datos del usuario final, el permiso "Revocar firmas" se puede configurar para que sea una función en el software GxP Admin Portal.

¿El sistema requiere de nuevo todos los componentes de contraseña una vez que ha transcurrido el tiempo especificado?
¿El sistema procesa varias firmas electrónicas de un mismo individuo dentro de un periodo único continuo de acceso controlado al sistema de la siguiente manera?: Firma inicial (requiere TODOS los componentes de la firma electrónica para el acto de firma). Firmas posteriores (requiere al menos un componente de la firma electrónica y, si es el caso, qué componente).

Nuestra función de firma electrónica está diseñada según los requisitos de la norma 21 CFR Parte 11:

§11,200 Componentes y controles de la firma electrónica

(a) Las firmas electrónicas que no se basen en datos biométricos deberán:

(1) Se emplean al menos dos componentes de identificación distintos, como un código de identificación y una contraseña.
(i) Cuando un individuo ejecuta una serie de firmas durante un periodo único continuo de acceso controlado al sistema, la primera firma debe ejecutarse usando todos los componentes de la firma electrónica; las firmas posteriores deben ejecutarse usando al menos un componente de la firma electrónica que solo pueda ejecutar y estar diseñado para ser utilizado por el individuo.
(ii) Cuando un individuo ejecuta una o más firmas no realizadas durante un periodo único continuo de acceso controlado al sistema, cada firma debe ejecutarse usando todos los componentes de la firma electrónica.

Seguridad

¿El inicio de sesión no biométrico utiliza al menos dos componentes distintos, como un código de identificación (ID de usuario) y una contraseña?

Sí.

¿La función de contraseña requiere el uso de suficientes caracteres y suficiente contenido para evitar que se adivine una contraseña?

Existen múltiples opciones de seguridad de la contraseña que se pueden configurar en GxP Admin Portal.

¿El sistema de seguridad comprueba la singularidad de cada combinación de ID de usuario y contraseña en el sistema y rechaza duplicaciones?

Sí, se verifica que el ID de usuario sea único y se rechazan duplicados.

¿Requiere el sistema una combinación de un ID de usuario único y una sola contraseña para obtener acceso a la aplicación o para ejecutar una función?

Sí. Todos los usuarios requieren un nombre de usuario único y una contraseña.

¿El archivo que contiene las contraseñas está cifrado para que el administrador no pueda leer su contenido?

Sí.

¿El sistema de seguridad registra todos los eventos de administración de seguridad y acceso controlado, ya sean con o sin éxito, a un registro histórico?

Sí. La pista de auditoría del sistema del software GxP Admin Portal registra la actividad de la aplicación, incluidos los eventos de creación, modificación y eliminación de archivos, y el software SoftMax Pro GxP registra la actividad específica de documentos.

¿Admite el sistema la caducidad de contraseñas con limitaciones sobre la reutilización de contraseñas anteriores?

Sí.

¿Pueden iniciar sesión simultáneamente en el sistema más de un operador?

Sí, en el caso de un entorno de varios ordenadores (servidor único).

No, en el caso de un entorno de un único ordenador.

¿Admite el sistema tiempo de espera automático durante periodos de inactividad?

Sí. Esta función se puede configurar en el software GxP Admin Portal.

¿Se puede configurar el periodo de espera?

Sí. Esta función se puede configurar en el software GxP Admin Portal.

¿Qué pasos son necesarios para reactivar el sistema tras un periodo de espera, especialmente si el tiempo de espera se produce durante una transacción?

El usuario debe introducir una contraseña para iniciar sesión en el sistema. Transcurrido el tiempo de espera, la actividad del instrumento continúa, pero la intervención del operador no es posible hasta que se introduce una contraseña de usuario autorizada.

Seguimientos de auditoría

¿Genera el sistema automáticamente pistas de auditoría con marca de tiempo que registran transacciones que crean, eliminan o modifican registros electrónicos?

Sí. Nuestra función de pista de auditoría del sistema está diseñado conforme a los requisitos de la norma 21 CFR Parte 11:

§11,10 Controles para sistemas cerrados

(e) Uso de registros de auditoría seguros, generados por computadora y con sello de hora para registrar de manera independiente la fecha y hora de las entradas y acciones del operador que crean, modifican o eliminan registros electrónicos. Los cambios en los registros no ocultarán la información registrada previamente. Dicha documentación de registro de auditoría se conservará durante un periodo de tiempo como mínimo el necesario para los registros electrónicos del sujeto y estará disponible para su revisión y copia por parte de la agencia.

¿Registran las pistas de auditoría la siguiente información?: Fecha y hora de la transacción. Identidad del usuario/operador. Acción ejecutada (creada, eliminada, modificada) por el usuario/operador.

El registro se crea como resultado de abrir un archivo.

¿La pista de auditoría forma parte del registro primario?

Sí.

¿La pista de auditoría es un registro electrónico independiente?

No.

¿La pista de auditoría está protegida frente a intervenciones intencionadas o accidentales de usuarios, incluidas las actividades del “superusuario”?

Sí.

¿Mantiene el sistema todas las versiones previas del registro de autenticación después de su modificación o eliminación?

No, el cliente debe implementar los PNT para archivar las versiones sucesivas del documento. La pista de auditoría rastrea los cambios en un archivo en particular. El software SoftMax Pro GxP no puede sobrescribir un documento existente.

¿Existen limitaciones que impidan que la pista de auditoría se conserve durante la vigencia del registro?

No.

¿El sistema recupera y muestra copias exactas y completas de la pista de auditoría (un registro electrónico) tanto en formato legible para humanos como en formato electrónico, adecuadas para inspección, revisión y copia en un formato “para llevar”?

Sí.