Lab4Action Horizontal Blanc

Gestion des données de laboratoire personnalisée pour la conformité

Fondation de DECIDE4ACTION

Simplifier pour réussir

LAB4ACTION est un système complet de gestion des informations de laboratoire (LIMS) qui élimine la nécessité de collecter des données sur papier. Il simplifie la gestion de la qualité en la transférant du laboratoire au site de production. Les organisations peuvent éviter de compromettre la qualité et la cohérence des données saisies.  Avec LAB4ACTION, les leaders de l’assurance qualité créent une organisation transparente où toutes les personnes impliquées ont accès aux contrôles, tests et données nécessaires pour prendre des décisions judicieuses qui affectent directement la qualité opérationnelle.

Conçu pour la conformité

personnalisé pour répondre à vos besoins

DECIDE4ACTION  utilise les directives et les attentes de l’industrie de la Food and Drug Administration (FDA) concernant le rôle de l’intégrité des données dans les bonnes pratiques de fabrication actuelles (CGMP) comme un critère de mesure pour concevoir et évaluer nos méthodes et processus. Notre approche consiste à faire en sorte que toutes les données soient fiables, précises, enregistrées, conservées et sécurisées. En utilisant la FDA et le CGMP comme baromètre, les recommandations et les règlements en vigueur permettent aux organisations d’adopter des stratégies souples et basées sur les risques pour prévenir et détecter les problèmes d’intégrité des données. Selon la FDA, dans son guide final pour l’industrie, “les entreprises devraient mettre en œuvre des stratégies significatives et efficaces pour gérer les risques liés à l’intégrité des données en se basant sur leur compréhension des processus et leur gestion des connaissances des technologies et des modèles commerciaux”.

recommandation de la FDA

Pour déterminer comment répondre à ces nombreuses exigences réglementaires, il peut être utile de se poser les questions suivantes :

  • Des contrôles sont-ils en place pour garantir que les données sont complètes ?
  • Les activités sont-elles documentées au moment du rendement?
  • Les activités sont-elles attribuables à une personne en particulier?
  • Seules les personnes autorisées peuvent apporter des modifications aux dossiers?
  • Y a-t-il un registre des changements apportés aux données?
  • Les dossiers sont-ils examinés pour en vérifier l’exactitude, l’exhaustivité et la conformité aux normes établies?
  • Les données sont-elles conservées en toute sécurité depuis leur création jusqu’à leur élimination après la période de conservation du document ?

Source: Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry

LAB4ACTION: Conçu pour la conformité

LAB4ACTION offre un service personnalisé afin non seulement de répondre aux besoins spécifiques des clients tels que les terminologies, les calculs, les spécifications, les rapports et les processus, mais aussi de s’adapter, de répondre et de se conformer aux diverses exigences de conformité et de réglementation de l’industrie, c’est-à-dire FDA, ISO, SQF, CLIA, HIPAA, CFR Part 11, GDPR, MHRA, etc. Les solutions DECIDE4ACTION telles que LAB4ACTION sont conçues pour aider les organisations à se conformer aux directives de conformité et de réglementation associées à la gestion des données en mémoire temporaire.

Voici comment l’architecture, la conception et les fonctionnalités de LAB4ACTION répondent aux exigences de conformité réglementaire :

Spécification réglementaire

Introduire un mécanisme pour authentifier les informations protégées, c'est-à-dire ePHI
  • Intègre le protocole d’autorisation standard de l’industrie (OAuth2)
  • Architecture et mécanisme en place pour confirmer si les renseignements protégés ont été modifiés ou détruits de façon non autorisée
  • Saisir, documenter et conserver les dossiers historiques des accès individuels des utilisateurs avec l’horodatage de l’accès

Spécification réglementaire

Mise en placee des outils de cryptage et de décryptage
  • Sécurité renforcée disponible au niveau des données grâce au cryptage AES256
  • Cryptage/décryptage de messages via TCP/TLS

Spécification réglementaire

Faciliter la déconnexion automatique des PC et des appareils
  • Empêche l’accès non autorisé à des informations protégées sur des appareils non surveillés, en déconnectant les personnels autorisés des appareils qu’ils utilisent pour accéder ou communiquer des informations protégées après une période de temps prédéfinie
  • Les JWTs expirent automatiquement après une période de non-activité, verrouillant l’accès à l’API RESTful

Spécification réglementaire

Capacité de produire des copies exactes et complètes des dossiers sous forme lisible par un individu et sous forme électronique pouvant être inspectées, examinées et copiées par l'organisme
  • Possibilité de générer/imprimer des rapports pour accéder aux données saisies par LAB4ACTION. Les rapports peuvent être extraits pour n’importe quelle période
  • Possibilité de signer numériquement les enregistrements dans le système. La signature numérique permet de saisir automatiquement l’horodatage, l’ID utilisateur et l’état de l’examen du dossier (exactitude, exhaustivité et conformité vérifiées ; fréquence atteinte ; commentaires, etc.)

Spécification réglementaire

Protection des dossiers pour permettre leur extraction précise et rapide tout au long de la période de conservation des dossiers
  • Les enregistrements supprimés sont archivés pour une éventuelle récupération et pour assurer l’intégrité complète des données
  • Sécurité basée sur les rôles limitant qui peut ajouter / modifier / supprimer des enregistrements

Spécification réglementaire

Utilisation de protocoles d'audit sécurisés, générés par ordinateur et horodatés pour enregistrer indépendamment la date et l'heure des entrées de l'opérateur et des actions de création, de modification ou de suppression des enregistrements électroniques
  • Le serveur génère automatiquement un enregistrement contenant l’ID de l’utilisateur et l’horodatage pour chaque modification de données

Spécifications réglementaires

Utilisation de contrôles d'autorité pour s'assurer que seules les personnes autorisées peuvent utiliser le système, signer électroniquement un enregistrement, accéder à l'opération ou au dispositif d'entrée ou de sortie du système informatique, modifier un enregistrement ou effectuer l'opération en cours
  • L’accès au système n’est accordé qu’aux utilisateurs qui ont un rôle valide dans le système
  • L’accès granulaire aux différentes fonctions est contrôlé sur la base des rôles au sein du système

Spécification Réglementaire

Les contrôles pour les systèmes ouverts correspondent aux contrôles pour les systèmes fermés cités ci-dessus (§11.30)
  • Les systèmes DECIDE4ACTION comme LAB4ACTION ssupportent le cryptage sécurisé des sessions HTTP (HTTPS) et SSL pour protéger les sessions et les enregistrements contre les accès non autorisés.
  • L’API RESTful ne répondra pas aux requêtes ne contenant pas de code Web JSON signé. Les JWT peuvent être signés en utilisant soit le HS256 soit le RS256

Spécifications réglementaires

Mettre en place un moyen de contrôle d'accès des utilisateurs aux personnes autorisées
  • REST API cryptée via des codes web JSON (JWT) sécurisés conformes aux normes de l’industrie
  • Attribue à chaque utilisateur un nom d’utilisateur et un code uniques centralement contrôlés

Spécifications réglementaires

INTRODUIRE DES REGISTRES D'ACTIVITÉ ET DES CONTRÔLES D'AUDIT
  • Le système produit une trace d’audit en temps réel, générées par ordinateur et horodatées, qui garantissent la fiabilité des enregistrements
  • Le système saisit, identifie et enregistre automatiquement les données et les changements de configuration tels que l’ID utilisateur, la date/heure, la valeur d’origine, la nouvelle valeur, etc.
  • Maintient des contrôles d’audit stricts en enregistrant les tentatives d’accès aux informations protégées et tient des registres historiques de ce qui est fait de ces données une fois qu’elles ont été consultées
  • Toute donnée saisie manuellement est vérifiée par rapport aux spécifications prédéfinies par le client
  • Le système enregistre automatiquement les défaillances et les erreurs du système
  • Toutes les traces d’audit sont disponibles pour une visualisation et un rapport en temps réel et historique

Spécifications réglementaires

Validation des systèmes pour garantir l'exactitude, la fiabilité, la cohérence des performances prévues et la capacité à discerner les enregistrements incorrects ou altérés
  • Tests de validation périodiques pour confirmer l’intégrité des changements de fonctionnalité
  • Messages et avertissements dans l’application avant que les administrateurs ne changent les paramètres qui affectent les fonctionnalités du produit
  • Saisie automatique de l’ID de l’utilisateur, de l’horodatage, des anciennes et des nouvelles valeurs pour toutes les modifications. Capture des modifications “non autorisées” via les outils de la base de données

Spécifications réglementaires

Limiter l'accès au système aux personnes autorisées
  • Sécurité basée sur les rôles, liée aux comptes d’utilisateurs individuels, limitant la portée des fonctions accessibles
  • L’accès au système n’est accordé qu’aux utilisateurs approuvés utilisant un compte d’utilisateur et un mot de passe uniques
  • Protocole 0Auth2.0 

Spécifications réglementaires

Utilisation de contrôles des systèmes opérationnels pour faire respecter les étapes et les événements dans l'ordre autorisé, le cas échéant
  • Les tests et les transactions sont configurés de manière progressive (un nouveau test ne peut être lancé sans avoir terminé le précédent). Les utilisateurs du système sont contraints d’exécuter la saisie des données dans l’ordre autorisé
  • La séquence de la collecte des données est saisie automatiquement par le serveur

Spécifications réglementaires

Utilisation de contrôles de dispositifs (i.e, terminaux) pour déterminer, le cas échéant, la validité de la source d'entrée des données ou de l'instruction opérationnelle
  • LAB4ACTION a la capacité de capturer l’adresse IP d’un appareil et de mettre en liste noire des adresses spécifiques. Les adresses IP statiques peuvent être attribuées à des codes uniques générés automatiquement pour chaque appareil. La mise en œuvre de cette fonction doit être effectuée sur le système de serveur du client

Spécifications réglementaires

Exigences relatives aux signatures électroniques (par exemple, §§ 11.50, 11.70, 11.100, 11.200, et147 11.300)
  • Les systèmes DECIDE4ACTION comme LAB4ACTION intègrent des signatures électroniques/numériques, avec des combinaisons nom d’utilisateur/mot de passe ainsi que les initiales de l’utilisateur et des données/estampilles de sécurité