A GxP hatálya alá tartozó számítógépes rendszerek validálásához két alapvető forrás áll rendelkezésre:

• a Food and Drug Administration (FDA) szabálya az elektronikus nyilvántartásokról / aláírásokról (21 CFR Part 11)

• az Európai Gyógyszerügynökség (EMA) Guidelines to Good Manufacturing Practice (GMPs)–Annex 11, Computerised Systems (EU Annex 11).

A 21 CFR Part 11 kétféle számítógépes rendszert különböztet meg:

• Zárt rendszer: Olyan környezet, melyben a rendszerhozzáférést az a személy ellenőrzi, aki a rendszerben fellelhető elektronikus rekordok tartalmáért felelős.

• Nyílt rendszer: Olyan környezet, melyben a rendszerhozzáférést nem az a személy ellenőrzi, aki a rendszerben fellelhető elektronikus rekordok tartalmáért felelős.

A 21 CFR Part 11 a zárt rendszerek számára előírásszerűen meghatározza a teljesítendő feltételeket. Nyílt rendszer esetén pedig az üzemeltető felelősségi körébe helyezi bizonyos további eszközök alkalmazását, amellyel biztosítani tudja, hogy a kívánt célok teljesüljenek.

Az EU Annex 11 - ben nincsenek előírásszerű szabályok. Nem különböztet meg nyílt és zárt rendszereket. Az üzemeltetőnek az ALCOA+ elveket kell teljesíteni. Ennek érdekében kockázatelemzést követően, a megfelelő eszközök felhasználásával kell a kockázatot elfogadható szintre csökkenteni.

Néhány példa az elvárásokra / kockázatot csökkentő eszközrendszerre:

A kellő részletességgel kidolgozott jogosultsági rendszer lehetővé teszi az egyes funkciók / feladatkörök elkülönítését:

• a normál munkavégzéshez szükséges feladatkörök,

• emelt szintű munkavégzéshez szükséges feladatkörök (power user, menedzser),

• ellenőri munkavégzéshez szükséges feladatkörök (ezzel biztosítva a független szereplők kölcsönös ellenőrzését)

• Egyéb speciális feladatkörök.

A jogszabály elvárja a rendszertől, hogy a felhasználóktól független módon, a GxP szempontjából fontos eseményekről (belépés, kilépés, törlés stb) audit fájlokat 

Rendszeresen mentéseket kell készíteni és azok visszaállíthatóságát rendszeresen ellenőrizni kell. A mentéseket fizikailag elkülönítve (pl. más telephelyen ) megfelelő körülmények között (pl. biztonságos szerver szoba) kell tárolni. Ha a mentések gyakorisága megfelelő, akkor még valamilyen technikai / emberi hiba sem okozhat GxP szempontból jelentős veszteséget.

A digitális aláírás (PKI) egy további biztosíték az integritás biztosítására / igazolására.

Munkakörök kockázati alapon történő elkülönítése. Ellenőri munkakörök / ellenőrzési eljárások kialakítása, működtetése.

Dolgozók oktatása és a személyi (jogi) számonkérhetőség feltételének kialakítása.