En ellos vimos en qué medida influye la identificación segura de los empleados que desarrollan las tareas en los procesos de producción.

En este artículo entraremos más en detalle en la problemática alrededor de la identificación de los empleados con firma electrónica basada en códigos en procesos de producción digitalizados, y cómo afecta a la integridad de datos y el cumplimiento de la normativa. Y dejaremos para otro artículo posterior el análisis de procesos de producción basados en papel.

Las empresas farmacéuticas que tienen digitalizados sus procesos de fabricación cuentan con ERPs (Enterprise Resource Planning) especializados en entornos industriales, MES (Manufacturing Execution System) para la ejecución de las tareas en las áreas de fabricación y acondicionado, y/o LIMS (Laboratory Information Management System) del laboratorio de control de calidad.

En dichos casos los empleados se identifican para cada una de las acciones que reportan mediante su firma electrónica. La normativa regula su utilización para conseguir así que todos los procesos en la fabricación de medicamentos queden rubricados con una firma de la persona responsable.

En concreto, la EMA en su Anexo 11 de las guías GMP, y en concordancia la Agencia Española del Medicamento AEMPS, así como la FDA (Food and Drug Administration, de EE.UU. establecen básicamente a este respecto que:

• La firma debe identificar al usuario de la firma junto a la fecha y hora de la acción.
• Cada firma electrónica deberá ser única para un individuo, y no deberá ser reutilizada o reasignada a nadie más.
• Cada usuario debe poder estar identificado de manera segura, sin ningún género de dudas.

En el caso que la firma electrónica se base en la identificación biométrica, la norma establece que no se necesita ningún otro componente de identificación, debido a la máxima seguridad aportada por la biometría en un único paso en cualquier punto de identificación.

En caso contrario, la norma establece:

• Las firmas electrónicas deberán emplear al menos dos componentes de identificación distintos, como código de identificación y contraseña.
• Cuando un individuo ejecuta una serie de firmas durante un periodo único y continuo de acceso controlado al sistema, la primera firma será realizada con los dos componentes de la firma electrónica, y en las siguientes, para aportar comodidad, será suficiente con sólo uno de ellos.
• En el caso de utilizar nombre de usuario y contraseña, se deberá incorporar controles para garantizar su seguridad e integridad. Dichos controles incluirán mantener la singularidad de cada código de identificación y contraseña combinados, de manera que no haya dos personas que tengan la misma combinación.

En la actualidad la firma electrónica utilizada mayoritariamente en los software de fabricación de la industria farmacéutica se basa en la introducción de 2 códigos de identificación: clave + contraseña (login + password).

Su utilización genera una serie de problemas:

1. Problemas de seguridad en la identificación del empleado.
2. Incomodidad para el empleado en el manejo de las contraseñas.
3. Pérdida de tiempo de los empleados en la identificación.
4. Costes del equipo de IT en mantenimientos del sistema de contraseñas.
5. Riesgo de tener que reportar en papel ante un olvido de códigos.

En el resto del presente artículo nos centramos en el problema más grave, la inseguridad en la identificación del usuario, y dejamos el resto de problemas para un artículo posterior.

El uso de códigos compromete la integridad y trazabilidad de los datos, y con ello el cumplimiento de la normativa farmacéutica y nivel de calidad deseado, derivado de:

• Cualquier empleado podría reportar actividades por otro, simplemente sabiendo su nombre de usuario y contraseña. Es muy fácil pasarse las claves en algún mensaje o chat, o incluso escritas en algún papel.
• La normativa permite para una serie de procesos en un periodo, que tras la primera firma con nombre de usuario y contraseña se puedan realizar las siguientes firmas en el periodo sólo con nombre de usuario. Pero esto resulta aún más inseguro, puesto que algún empleado podría tener el periodo “abierto” con su nombre de usuario y contraseña, y que otros continúen firmando en su sesión simplemente sabiendo su nombre de usuario.
• Se pueden dar casos de empleados aprobando procesos de manera remota introduciendo nombre de usuario y contraseña, en lugar de estar físicamente en el sitio adecuado verificando primero los trabajos que se deben aprobar.
• La incomodidad de los empleados de introducir nombre de usuario y contraseña para registrar cada operación puede llevar a la empresa a decidir que se firmen varios procesos a la vez, cuando lo adecuado es hacerlo uno a uno.
• Esa misma incomodidad puede llevar a la empresa a decidir tiempos de inactividad largos antes de bloquear la pantalla de una estación de trabajo, lo que permitiría que un empleado pudiera utilizar la sesión abierta de otro compañero, ya sea intencionadamente o por error. Estas cuestiones pueden suceder cuando un empleado se ausenta del puesto, o está en varias líneas de trabajo a la vez.

La propia norma establece que el uso de la identificación biométrica como firma electrónica no requiere de más componentes de identificación, porque reconoce la máxima seguridad que aporta.

Ello es debido a que la biometría nos permite identificarnos mediante nuestro cuerpo (sin tarjetas que pueden ser robadas o copiadas y sin contraseñas que pueden ser transmitidas o hackeadas), con lo que evitamos cualquier posibilidad de error o fraude, y mantenemos la máxima seguridad unida a la máxima comodidad y rapidez.

En artículos posteriores de este blog nos adentramos en más detalle en cómo utilizar las tecnologías biométricas como firma electrónica en los procesos de fabricación de medicamentos.

Averigua cómo Verázial ID Pharma soluciona todos los problemas de identificación de empleados en los procesos de fabricación farmacéutica.

Contacta con nosotros para una demostración y/o estudio personalizado.