Integridad de Datos (ALCOA+) en SaaS/Cloud: controles y audit trail
Compartir

Integridad de Datos (ALCOA+) en SaaS/Cloud: audit trail, accesos, firmas electrónicas y controles operativos
En un contexto GxP, la pregunta del auditor siempre está implícita:
«¿Cómo demuestra que sus datos son fiables?»
En el cloud, esta pregunta es aún más central porque:
- los sistemas están altamente interconectados,
- los accesos suelen ser remotos,
- las actualizaciones son frecuentes,
- y parte de los controles técnicos está en manos del proveedor.
La respuesta no es una única “política”. Es una combinación coherente de:
- controles técnicos,
- procesos operativos,
- gobernanza.
La guía lo resume con un concepto clave: Integridad de Datos por diseño, combinando controles técnicos (audit trail, permisos, firmas) y controles procedimentales (SOPs, revisión del audit trail, doble verificación) para garantizar ALCOA+ en los registros electrónicos.
ALCOA+ (explicado como lo usaría en una URS)
ALCOA+ no es teoría: es un conjunto de requisitos traducibles a configuraciones y procedimientos.
- Attributable (Atribuible): quién hizo qué (identidad, firma, rol)
- Legible: datos legibles e interpretables
- Contemporaneous (Contemporáneo): registrados en el momento de la acción
- Original: la fuente original se conserva
- Accurate (Exacto): corrección, controles y prevención de errores
- Complete / Consistent / Enduring / Available: datos completos, coherentes, conservados en el tiempo y disponibles (también durante auditorías)
Dónde el cloud puede generar brechas (si no se gestiona desde el inicio)
Ejemplos típicos:
- roles “admin” excesivamente potentes,
- audit trail activado pero nunca revisado,
- cuentas compartidas o usuarios de prueba activos,
- actualizaciones SaaS que modifican flujos de trabajo o restablecen configuraciones,
- falta de claridad sobre backup/restore y ubicación de los datos.
El Anexo 11, por ejemplo, pone el foco en gestión de riesgos, audit trail, backup y seguridad; en el entorno cloud exige además atención a localización de datos, cifrado, segregación de datos entre clientes, y a cómo la empresa verifica periódicamente la integridad de los datos (p. ej., re-extracciones y conciliaciones).
Marco práctico: los 5 controles de Integridad de Datos que debes “cerrar” en SaaS
1) Identity & Access Management (IAM) + segregación de funciones
En SaaS no puedes “controlar los servidores”, pero sí puedes controlar perfectamente:
- quién accede,
- con qué rol,
- y con qué permisos.
Buenas prácticas:
- principio de mínimo privilegio,
- segregación de funciones (p. ej., QA ≠ administrador técnico),
- revisiones periódicas de accesos.
La guía también propone una Matriz de Roles y Permisos como documento audit-ready para demostrar segregación y controles de autoridad (Part 11).
2) Audit trail (activo, protegido, revisable)
Preguntas que debes saber responder:
- ¿qué eventos se registran? (logins, cambios, aprobaciones, eliminaciones, etc.)
- ¿el audit trail es inmutable?
- ¿quién puede verlo y quién (si aplica) puede modificarlo?
- ¿cómo se revisa? (frecuencia, muestreo, criterios)
3) Firmas electrónicas y controles Part 11
No basta con “hay una firma”:
- debe ser atribuible de forma única al usuario,
- debe estar vinculada al registro y a su significado (aprobación, revisión, etc.),
- debe existir gobernanza sobre contraseñas, sesiones, timeouts, etc.
En la URS, es útil mapear los requisitos de cumplimiento a las referencias regulatorias (Part 11 / Anexo 11) para garantizar integridad y trazabilidad.
4) Ciclo de vida del dato: retención, exportación, disponibilidad
En el cloud también hay que pensar en la salida:
- exportación de datos en formato legible,
- retención y archivado,
- accesibilidad al finalizar el contrato.
(Esto suele estar regulado en el Quality Agreement y la estrategia de salida.)
5) Controles procedimentales: SOPs + revisión + formación
Los controles técnicos sin procedimientos son frágiles.
Mínimos indispensables:
- SOP de gestión de cuentas,
- SOP de revisión del audit trail,
- SOP de control de cambios (incluidas actualizaciones SaaS),
- formación documentada y periódica.
“Audit trail review” bien ejecutada: mini-procedimiento operativo (ejemplo)
Para ser creíble, define claramente:
- Frecuencia: mensual/trimestral, basada en riesgo
- Rol: QA o personal delegado bajo supervisión QA
- Qué buscar: intentos de login anómalos, cambios de rol, eliminaciones, bypass de workflows
- Evidencias: informes/extracciones, registros de revisión, posibles desviaciones/CAPA
Si buscas checklists y plantillas para verificar la Integridad de Datos, configurar roles/permisos, construir URS “compliance-by-design” y presentar evidencias sólidas en auditoría, encontrarás todo en la guía «SaaS & Cloud Validation: guía de implementación GxP» en guidegxp.com.
