Integridad de Datos (ALCOA+) en SaaS/Cloud: controles y audit trail

Integridad de Datos (ALCOA+) en SaaS/Cloud: audit trail, accesos, firmas electrónicas y controles operativos

En un contexto GxP, la pregunta del auditor siempre está implícita:

«¿Cómo demuestra que sus datos son fiables?»

En el cloud, esta pregunta es aún más central porque:

  • los sistemas están altamente interconectados,
  • los accesos suelen ser remotos,
  • las actualizaciones son frecuentes,
  • y parte de los controles técnicos está en manos del proveedor.

La respuesta no es una única “política”. Es una combinación coherente de:

  • controles técnicos,
  • procesos operativos,
  • gobernanza.

La guía lo resume con un concepto clave: Integridad de Datos por diseño, combinando controles técnicos (audit trail, permisos, firmas) y controles procedimentales (SOPs, revisión del audit trail, doble verificación) para garantizar ALCOA+ en los registros electrónicos.

ALCOA+ (explicado como lo usaría en una URS)

ALCOA+ no es teoría: es un conjunto de requisitos traducibles a configuraciones y procedimientos.

  • Attributable (Atribuible): quién hizo qué (identidad, firma, rol)
  • Legible: datos legibles e interpretables
  • Contemporaneous (Contemporáneo): registrados en el momento de la acción
  • Original: la fuente original se conserva
  • Accurate (Exacto): corrección, controles y prevención de errores
  • Complete / Consistent / Enduring / Available: datos completos, coherentes, conservados en el tiempo y disponibles (también durante auditorías)

Dónde el cloud puede generar brechas (si no se gestiona desde el inicio)

Ejemplos típicos:

  • roles “admin” excesivamente potentes,
  • audit trail activado pero nunca revisado,
  • cuentas compartidas o usuarios de prueba activos,
  • actualizaciones SaaS que modifican flujos de trabajo o restablecen configuraciones,
  • falta de claridad sobre backup/restore y ubicación de los datos.

El Anexo 11, por ejemplo, pone el foco en gestión de riesgos, audit trail, backup y seguridad; en el entorno cloud exige además atención a localización de datos, cifrado, segregación de datos entre clientes, y a cómo la empresa verifica periódicamente la integridad de los datos (p. ej., re-extracciones y conciliaciones).

Marco práctico: los 5 controles de Integridad de Datos que debes “cerrar” en SaaS

1) Identity & Access Management (IAM) + segregación de funciones

En SaaS no puedes “controlar los servidores”, pero sí puedes controlar perfectamente:

  • quién accede,
  • con qué rol,
  • y con qué permisos.

Buenas prácticas:

  • principio de mínimo privilegio,
  • segregación de funciones (p. ej., QA ≠ administrador técnico),
  • revisiones periódicas de accesos.

La guía también propone una Matriz de Roles y Permisos como documento audit-ready para demostrar segregación y controles de autoridad (Part 11).

2) Audit trail (activo, protegido, revisable)

Preguntas que debes saber responder:

  • ¿qué eventos se registran? (logins, cambios, aprobaciones, eliminaciones, etc.)
  • ¿el audit trail es inmutable?
  • ¿quién puede verlo y quién (si aplica) puede modificarlo?
  • ¿cómo se revisa? (frecuencia, muestreo, criterios)

3) Firmas electrónicas y controles Part 11

No basta con “hay una firma”:

  • debe ser atribuible de forma única al usuario,
  • debe estar vinculada al registro y a su significado (aprobación, revisión, etc.),
  • debe existir gobernanza sobre contraseñas, sesiones, timeouts, etc.

En la URS, es útil mapear los requisitos de cumplimiento a las referencias regulatorias (Part 11 / Anexo 11) para garantizar integridad y trazabilidad.

4) Ciclo de vida del dato: retención, exportación, disponibilidad

En el cloud también hay que pensar en la salida:

  • exportación de datos en formato legible,
  • retención y archivado,
  • accesibilidad al finalizar el contrato.

(Esto suele estar regulado en el Quality Agreement y la estrategia de salida.)

5) Controles procedimentales: SOPs + revisión + formación

Los controles técnicos sin procedimientos son frágiles.

Mínimos indispensables:

  • SOP de gestión de cuentas,
  • SOP de revisión del audit trail,
  • SOP de control de cambios (incluidas actualizaciones SaaS),
  • formación documentada y periódica.

“Audit trail review” bien ejecutada: mini-procedimiento operativo (ejemplo)

Para ser creíble, define claramente:

  • Frecuencia: mensual/trimestral, basada en riesgo
  • Rol: QA o personal delegado bajo supervisión QA
  • Qué buscar: intentos de login anómalos, cambios de rol, eliminaciones, bypass de workflows
  • Evidencias: informes/extracciones, registros de revisión, posibles desviaciones/CAPA

Si buscas checklists y plantillas para verificar la Integridad de Datos, configurar roles/permisos, construir URS “compliance-by-design” y presentar evidencias sólidas en auditoría, encontrarás todo en la guía «SaaS & Cloud Validation: guía de implementación GxP» en guidegxp.com.

Regresar al blog

¿Buscas algo específico?