O que é o 21 CFR part 11?

Os laboratórios na indústria farmacêutica submeteram historicamente aplicações de produto ao Food and Drug Association (FDA) no papel.

Com o advento da tecnologia isto é dominado agora com registros de dados eletrônicos e submissões eletrônicas. Esta mudança na filosofia significou que nos esforços do FDA de ''proteger a saúde humana'', tiveram que fazer um controle para se assegurar de que estes dados ' novos ' fossem tão confiáveis quanto os originais. O ''1997 Eletronic Records''; ''Eletronics Signatures Rule'' (21 CFR Part 11) é o documento que define estes controles. O 21 CFR Part 11 estipula as regras a respeito do uso dos registros eletrônicos e define também as exigências para a captação de dados, o armazenamento, a recuperação, a manutenção e a segurança daqueles registros quando revistos por inspetores do FDA.

As companhias farmacêuticas produzem tipicamente duas coisas, drogas e dados. Os dados são recolhidos na fonte e baixados automaticamente em um banco de dados ou manualmente registrados em um banco de dados. Como muitos formatos de bancos de dados existem sem qualquer formato de segurança comum, os requerimentos para um padrão da indústria tornaram-se aparentes. Os dados que não são gerados, armazenados ou mantidos como registro eletrônico permanente, pelas mesmas provisões, não precisam atender regulamentos, portanto, dados armazenados localmente na memória temporária do instrumento e impressos diretamente em uma impressora não necessitam atender aos regulamentos do 21 CFR Part 11.

O regulamento 21 CFR Part 11 é dividido em três subpartes: Provisões Gerais, Registros Eletrônicos e Assinaturas eletrônicas.

Registro Eletrônico

Um registro eletrônico é ''qualquer dado ou outra informação representada de forma digital, que é criado, modificado, mantido, arquivado ou distribuído por um sistema de computador''.

Assinaturas Eletrônicas

Sob o regulamento, as assinaturas podem ser:

Uma assinatura escrita à mão ''é a marca legal de um indivíduo, escrita à mão por aquele indivíduo e feita para apresentar a intenção de autenticar uma escrita de forma permanente''.

Uma assinatura eletrônica é ''uma compilação de dados de computador de qualquer símbolo ou série de símbolos usados, adotados ou autorizados por um indivíduo para ser legalmente equivalente à assinatura do indivíduo''.

Uma assinatura digital é uma assinatura eletrônica baseada em medidas biométricas da autenticidade da origem.

Os sistemas de computador são divididos em duas categorias, sistemas fechados e sistemas abertos. Um sistema fechado é um sistema mantido em uma conexão dedicada entre a fonte e o armazenagem onde o acesso externo aberto não é permitido. No sistema aberto os dados são recolhidos de múltiplos pontos e armazenados em um ponto central comum; o acesso a este banco de dados deve ser mantido rigorosamente e requer encriptação para assegurar que a fonte dos dados seja válida.

As exigências da segurança do sistema fechado especificam controles para a autenticidade, integridade e confidencialidade de registros eletrônicos. Isto exige que:

Os dados podem ser recuperados para auditoria, ou a revisão em formato para leitura humana.

''Audit trails'' devem existir, ser seguros, data e hora ser registradas e não-editáveis. Devem gravar todas as mudanças no sistema aplicáveis aos dados coletados, armazenados e recuperados.

Controles de segurança existem para assegurar que:

Dois indivíduos não possuam a mesma combinação de nome de usuário e senha.

Hajam verificações periódicas de código de identificação ou senhas.

Sejam feitos controle de perda e procedimentos de reposição.

Existam proteções contra uso não autorizado.

Hajam relatórios e/ou mensagens de alerta de uso não autorizado em caráter urgente e imediato - como por exemplo por e-mail, SMS nos celulares, sinalização visual ou sonora, ect.

As exigências da segurança do ''sistema aberto'' também têm que estar em conformidade com estes padrões, mas além das medidas garantirem a autenticidade, a integridade e a confidencialidade, por exemplo, encriptação de documentos e padrões de sinal digital devem ser usados.

O sistema acima dita as regras que se aplicam aos sistemas de software. Entretanto, em vista de todos os sistemas serem inerentemente diferentes, estão abertos à interpretação. Os guias do FDA (Title: Enforcement Policy 21 CFR Part 11 Electronic Records; Electronic Signatures, CPG7153.17 13-May-1999) para inspetores ditam que isto é ''a interpretação atual da lei pela agência''. Para este fim a Partice Measuring Systems fez o máximo para estar em conformidade com todas as interpretações do FDA.

Pharmaceutical-NET 2.9.3 e o 21 CFR Part 11

Pharmaceutical-NET é um software de monitoramento para a fábrica, que oferece o pacote de software compatível baseado em Windows® NT que fornece a coletagem, a armazenagem e análise de dados relatados pela instrumentação da Particle Measuring Systems e outros dispositivos de monitoramento da fábrica.

Os dados de outros dispositivos tais como contadores de partículas de terceiros, velocidade de fluxo de ar, resistência à água deionizada (DI), oxigênio dissolvido, temperatura, pressão absoluta, pressão diferencial e os sensores da umidade relativa podem ser coletados com o Pharmaceutical-NET enquanto satisfaz os requisitos do 21 CFR Part 11.

Para estar em conformidade com as provisões gerais e assegurar que os registros eletrônicos (dados) possam ser tão genuínos e tão confiáveis quanto o original, o banco de dados que é usado no Pharmaceutical-Net 2.9.3 está em formato binário, encriptado e em um banco de dados ''Borland''.

Três arquivos por banco de dados são gerados por o dia e três são requeridos para recuperar os dados. Isto impede qualquer alteração dos dados fora do Pharmaceutical-NET.

O software é instalado em um computador local (RTS). Este computador se comunica com os sensores do campo usando comandos diretos de Ethernet TCP IP 10BaseT, RS-485 serial ou RS-232 serial. Os dados retornam dos sensores de campo ao banco de dados RTS.

O único acesso neste banco de dados é através do Pharmaceutical-Net, seguindo as regras que aplicam-se aos sistemas fechados.

Se o sistema deve ser conectado em rede através de uma rede já existente no local então um ''firewall'' entre o segmento de rede da Particle Measuring Systems e a rede corporativa é recomendado.

Para assegurar que o acesso aos dados atenda a todos os controles exigidos para sistemas fechados, os seguintes sistemas devem ser considerados:

Um ''audit trail'' (''event-log'') completo e detalhado monitora todos os eventos gerados pelo sistema, incluindo alarmes e alertas, alarmes de hardware, mudanças da segurança, mudanças de configuração, acessos e saídas de usuários ao sistema (log-in's/log-out's) e todos os demais eventos de usuários.

Na janela de configuração de segurança cada usuário recebe as tarefas específicas que são definidas pelo administrador de segurança, e cada usuário é configurado com um único nome de usuário e uma senha.

No primeiro acesso ao sistema- ou ''log-in'' - o usuário deverá mudar a senha. Para a facilidade da validação, a configuração da segurança completa pode ser impressa – sem as senhas!

As senhas são recuperadas cada 90 dias para a revisão e mudanças; este período de tempo pode ser mudado pelo administrador da segurança.

Se qualquer tentativa de log-in de usuário não autorizado seja feita, um alarme de sistema comunica este alarme por meio de um pager configurado ou por alerta de e-mail. Após 5 tentativas, uma entrada também é feita no ''audit trail'' (event-log).

Para sistemas de rede integrados de grande porte, os operadores nos terminais de rede são responsáveis pela segurança ou do computador de rede local ou controlado pelo RTS respectivo.

SamplerSight Pharma e o 21 CFR Part 11

O ''SamplerSight Pharma'' é o software de sistema de amostragem de produtos parenterais de pequeno e grande volume (''SPPV'' e ''SPGV''), ele é usado em conjunto com um contador de partículas LiQuilaz® e um amostrador de seringa , LS200.

O capítulo <788> da USP 30 permite a determinação do grau de contaminação por partículas em produtos parenterais tanto de pequeno ou grande volume: Soluções Parenterais de Pequeno ''SPPV'' e Grande Volume ''SPGV''.

As amostras são feitas através de um contador de partículas a laser com funcionamento de obscuração de luz (''extinção ou bloqueio de luz''). Este regulamento também define os limites de grau de contaminação contida nas amostras líquidas.

A Particle Measuring Systems usa ''SamplerSight Pharma'' para estar em conformidade com os regulamentos da USP30 e FDA 21 CFR Part 11 sobre registros eletrônicos: assinaturas Eletrônicas.

O software ''SamplerSight Pharma'' funciona com plataformas Windows NT e Windows 98/2000; isto oferece vantagens à plataforma Windows 32-bit junto com as funções do software APSS-View 21 CFR Part 11.

Os sistemas APSS-200 são usados como instrumentação de laboratório ''stand-alone'' e assim são exclusivamente conectados aos instrumentos da Particle Measuring Systems. Portanto, eles são considerados como ''sistemas fechados''.

Os usuários do sistema devem primeiramente fazer seu ''log-in'' utilizando um nome de usuário único e senha. Cada usuário deve ser atribuído a um dos três grupos: Operadores, Supervisores ou Administradores. Cada grupo de usuário possui um nível de funcionalidade. No primeiro ''log-in'', os usuários devem renovar a senha. A cada 90 dias o sistema pede que cada usuário revise e altere a senha. De qualquer forma, o períodio de 90 dias poder ser mudado por um ''Administrador'' do sistema para ser conforme possíveis regras internas da empresa.

Desde que os sistemas APSS 200 não são conectados tipicamente às demais redes existentes, se tentativas de ''log-in'' por usuários não autorizados forem feitas, a tela ativará uma janela de alarme local e o alarme interno no computador.

Todos os dados são armazenados em um arquivo de dados binário. Se uma amostra consistir em múltiplas sub-amostragens, estas são armazenadas dentro de um arquivo de dados comum, específico a esse lote ou amostragem.

Cada arquivo de dados é atribuído com um usuário de sistema logado, e um arquivo de configuração, o arquivo de configuração retém os detalhes dos dados 'META' para cada amostra. Nenhuma amostra é armazenada sem um usuário configurarado ou dados 'Meta' associados que formam o ''audit trail'' (''event-log'') para cada amostra.

Relatórios de sistema podem ser impressos de modo seletivo com os dados da amostra, os dados 'META' da configuração ou ambos.

Autor: Mark Hallworth, Particle Measuring Systems