Data Integrity (ALCOA+) in SaaS/Cloud: audit trail, accessi, firme elettroniche e controlli operativi

In GxP, la domanda dell’auditor è sempre implicita:

“Come mi dimostri che i tuoi dati sono affidabili?”

Nel cloud questa domanda è ancora più centrale, perché:

• i sistemi sono altamente connessi,
• gli accessi sono spesso remoti,
• gli update sono frequenti,
• e parte dei controlli tecnici è in mano al provider.

La risposta non è una “policy”. È un insieme coerente di:

• controlli tecnici
• processi operativi
• governance

La guida lo riassume con un concetto chiave: Data Integrity by design, combinando controlli tecnici (audit trail, permessi, firme) e procedurali (SOP, audit trail review, doppie verifiche) per garantire ALCOA+ sui record elettronici.

ALCOA+ (spiegato come lo userei in una URS)

ALCOA+ non è teoria: è un set di requisiti “traducibili” in configurazioni e procedure.

• Attributable: chi ha fatto cosa (identità, firma, ruolo)
• Legible: dati leggibili e interpretabili
• Contemporaneous: registrazione al momento dell’azione
• Original: fonte originale preservata
• Accurate: correttezza, controlli e prevenzione errori
• Complete/Consistent/Enduring/Available: dati completi, coerenti, conservati, disponibili (anche nel tempo e in audit)

Dove il cloud può creare gap (se non ci pensi prima)

Esempi tipici:

• ruoli “admin” troppo potenti
• audit trail presente ma non reviewato
• account condivisi o utenze di test lasciate attive
• update SaaS che modificano workflow o azzerano configurazioni
• scarsa chiarezza su backup/restore e su dove risiedono i dati

Annex 11, ad esempio, porta attenzione su aspetti come risk management, audit trail, backup e sicurezza; per il cloud richiede focus su geolocalizzazione dei dati, cifratura, separazione dati fra clienti, e come l’azienda verifica periodicamente l’integrità (es. riestrazioni e riconciliazioni).

Framework pratico: i 5 controlli di Data Integrity che devi “chiudere” in SaaS

1) Identity & Access Management (IAM) + segregazione funzioni

In SaaS non puoi “controllare i server”, ma puoi controllare benissimo:

• chi accede
• con che ruolo
• con quali permessi

Best practice:

• ruoli minimi necessari (least privilege)
• separazione di funzioni (es. QA non coincide con admin tecnico)
• revisioni periodiche accessi

La guida propone anche una Matrice Ruoli e Permessi come documento utile in audit per dimostrare segregazione e authority checks (Part 11).

2) Audit trail (attivo, protetto, “reviewabile”)

Domande che devi saper rispondere:

• quali eventi sono tracciati? (login, change, approvazioni, cancellazioni, ecc.)
• l’audit trail è immutabile?
• chi può vederlo e chi può modificarlo?
• come lo revisioni (frequenza, campionamento, criteri)?

3) Firme elettroniche e controlli Part 11

Non basta “c’è una firma”:

• deve essere riconducibile all’utente
• deve legarsi a record e significato (approvazione, review, ecc.)
• deve esistere una governance su password, sessioni, timeout, ecc.

In URS è utile mappare requisiti di compliance ai riferimenti normativi (Part 11 / Annex 11) per assicurare completezza e tracciabilità.

4) Data lifecycle: retention, export, disponibilità

In cloud devi anche pensare all’uscita:

• export dati in formato leggibile
• retention e archiviazione
• accessibilità in caso di fine contratto

(Questo è spesso legato al Quality Agreement e all’exit strategy.)

5) Controlli procedurali: SOP + review + training

I controlli tecnici senza procedure sono fragili.

Minimo indispensabile:

• SOP gestione account
• SOP audit trail review
• SOP change control (incl. update SaaS)
• training registrato e periodico

“Audit trail review” fatta bene: una mini-procedura operativa (esempio)

Per essere credibile, definisci:

• Frequenza: mensile/trimestrale, in base al rischio
• Ruolo: QA o delegate con supervisione QA
• Cosa cercare: tentativi login anomali, cambi ruolo, cancellazioni, bypass workflow
• Evidenze: report/estrazioni, record di review, eventuali deviazioni/CAPA

Se vuoi checklist e template per verificare Data Integrity, configurare ruoli/permessi, costruire URS “compliance-by-design” e presentare evidenze in audit, trovi la guida “SaaS & Cloud Validation: guida all’implementazione GxP” su guidegxp.com.