首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

FDA警告信:服务账号(管理员权限)泄露,对数据为所欲为

文摘   2024-08-07 06:54   中国  

醉死梦中惊坐起,没有难度也要创造难度,哈哈哈,无论再忙也要看点东西,总不会错。


美国食品和药物管理局 (FDA) 于 2019 年 6 月 24 日至 28 日检查了位于海得拉巴 Nacharam 路 11 号 6/3 号地块的药品制造设施 GPT Pharmaceuticals Pvt. Ltd., FEI 3008311641。并于2019年12月17日披露了对其的一份警告信。警告信中的发现项3,显得十分有意思,是比较少见的服务账号被滥用案例。

3. Your firm failed to exercise appropriate controls over computer or related systems to assure that only authorized personnel institute changes in master production and control records, or other records (21 CFR 211.68(b)).
3. 贵公司未能对计算机或相关系统进行适当的控制,以确保只有授权人员才能对主生产和控制记录或其他记录进行更改(21 CFR 211.68(b))。

Our investigator observed your laboratory equipment lacked appropriate controls. For example, from January 1, 2018, to June 25, 2019, audit trails from(b)(4) Agilent 1260 Infinity Series II high-performance liquid chromatography (HPLC) instruments showed a pattern of aborted runs and single run entries for testing (b)(4). Single run entries included analyses of multiple peaks or split peaks without documented investigations or adequate scientific justifications. Your employees used the Agilent Service Account login, with full administrative privileges, to abort HPLC testing runs without being attributable to a specific individual.
我们的调查员观察到您的实验室设备缺乏适当的控制。例如,从 2018 年 1 月 1 日到 2019 年 6 月 25 日,来自 (b)(4) Agilent 1260 Infinity 系列 II 高效液相色谱 (HPLC) 仪器的审计跟踪显示了测试 (b)(4) 中止运行和单次运行条目的模式。单次运行条目包括对多个峰或分裂峰的分析,没有记录在案的调查或充分的科学依据。您的员工使用具有完全管理权限的安捷伦服务帐户登录来中止 HPLC 测试运行,而无需归因于特定个人。

Your response identified the number of deleted, aborted, and single runs during your HPLC testing. However, your response did not provide adequate investigations or evidence of corrective actions put in place to prevent these data integrity issues from recurring.
您的回复确定了 HPLC 测试期间删除、中止和单次运行的次数。但是,您的回复没有提供充分的调查或证据来证明为防止这些数据完整性问题再次发生而采取的纠正措施。

西门的吐槽:

Windows 中的应用是依靠服务来运行各种功能。而服务账号是一种通常由应用或计算工作负载(例如 Compute Engine 实例)而非真人使用的特殊账号。一般GMP基于windows的应用,都会有一些服务账号,无论是运行备份脚本、运行数据库或者运行这里的CDS主要应用。往往这些账号是管理员权限。

其实从最早的PICS数据完整性指南,或者omcl的完整性指南附录来说,都需要对于管理员进行管控(如下,从最早只说应用的管理员,到后来infra基础架构也要控制,一般公司会维护一个清单及时识别,应有的所有特权账号,包括但不限于服务账号归属,infra的特权账号,包括root或者数据admin归属,通过机制,知道追谁的责),所有匿名账号应能追溯到个人,不存在特权匿名账号共享的可能。

PI 041 draft(2016.08.10)

Administrator access to computer systems used to run applications should be controlled.
应对用于运行应用程序的计算机系统的管理员访问进行控制。

PI 041(final)

A list of all currently approved normal and administrative users specifying the username and the role of the user.
指定用户名和用户角色的所有当前批准的普通用户和管理用户的列表。

Granting of administrator access rights to computerised systems and infrastructure used to run GMP/GDP critical applications should be strictly controlled. Administrator access rights should not be given to normal users on the system (i.e. segregation of duties).
应严格控制授予管理员对用于运行GMP/GDP关键应用程序的计算机化系统和基础设施的访问权限。不应将管理员访问权限授予系统上的普通用户(即职责分离)。

 http://mp.weixin.qq.com/s?__biz=MzUyMTAyMDg3OQ==&mid=2247487603&idx=1&sn=f4428d4972bab645d378d32d8b3c28d6
BasicPharma搬砖工
散修,非团队,非咨询公司,西门君个人的学习笔记,欢迎交流学习申明:所有文章,均为西门君本人一人所思所想,与任何企业/组织/个人,无关,可能不全面,也在变化,请谅解。
 最新文章
FDA483:经典计算机化系统缺陷,操作系统权限分配、文件夹写保护、审计追踪不全、管理员为利益相关方
每时每刻是夕阳亦是旭日
实验室数据完整性量化指标
FDA认可的483回复:未用计时器确保灯检5S时长/灯检资质确认用缺陷品库提前标记
FDA483:某CDMO大厂,文件防删除保护没开/4700次单针进样/KPP设备不做数据审核/一堆非固有积分原因是"积分"
礼来任命首位CAIO(首席 AI 官)
仙人指路:DI文化建设
数据完整性的起点&二十年间的踌躇不前
Bob McDowell:数据流匹配的简化
30条警报管理Alarm实践
门禁系统属不属于GxP关键系统-Part 2
ECA:关于欧盟无菌附录1的问答
FDA483:未能彻查的灌装HMI程序BUG(关键不符合项)-归因于偏差调查不彻底/验证方法论无效
十月五日 苏州 GMP警报管理沙龙
FDA483:未及时报告受试者死亡-三星Bioepis
FDA483:没有灵魂的观察项-QC设备没接UPS!
FDA483:QAの锅-电子数据审核未达到最低要求点检&批记录打印无监控
杂思:别想,狂做
最后一次印刷:计算机化系统数据治理百问百答二版
FDA对于国内计算机化系统检查趋势
数据完整性的另一面:真实可得疑罪从无
数据完整性:一直在路上
给西某一个面子,继续帮填下:FDA一般优先查哪些计算机化系统
FDA483:怕麻烦私自改EMS报警/三方校准记录篡改不可信/IT GMP意识不足 未经质量授权的更改
FDA483:电子数据完整性-简单仪器未备份漏报/PA800之伤/生产主管可删/通用数审单不被接受/数据丢失
FDA483:培训和资质维护、生产的压差维持&生产没有压差报警且生产期间无人监视压差、温湿度报警下班后无报警通知流程
​Pharmaceuticalonline:一年过去了,Sanofi 的 Plai AI 之旅正在帮助做出质量决策
求帮填写“FDA现场审计哪些CS系统”,结果下周日公布
关于批数据的电子数据审核和审计追踪审核的思考冥想
FDA483:权限分配,数据处理前可以预览,有三级权限但是没有分配原则,公司内不知道系统功能含义
周一就开始吐个槽_di真的在发展么
周六吐个槽…系统管理员被忽视的需求
FDA483:系统性失效,生产负责人删数据,QA重复发放,大量数据对不上,未放行产品直接发运
无菌之门管理-压差报警延迟Part2
FDA483:SOP中的积分参数仅为形式一点用没有,每个实验员做每个ce都要手动积分,每次有几十个版本,仅审核第一个和最后一个
FDA 483: 未及时检测导致重复制备,在不同色谱系统上测试同一批样品数据无效
近两年无菌CSDI汇总
吐槽:解决问题,落地方案
常见的12条色谱发现项
电子数据管理24问(摘录自CSDG百问百答)
91年,34岁,CSQ,一直在路上
计算机化系统权责及权限划分15问
EMS报警是否需要周期性再确认
PDA 数据完整性警告信分析-FY15&16
FDA483:灯检缺陷集--缺陷品库不充分&无更新流程/无完整性记录/未规定最短检查时间……近两年的灯检缺陷项
FDA警告信:服务账号(管理员权限)泄露,对数据为所欲为
合规的备份介质是啥,同一台 PC 中的 Raid 1 或 Copy 属于合规的备份介质么?
数据行业最佳实践:RPO是什么、如何计算、好处
吐槽:长三角药企普通工程师越来越难
ECA:欧盟附录1中,A级和B级的5 μ m粒子的限度要求
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉