Сертификация по лучшим практикам GMP, GLP,GDP

Что проверяется в таких случаях?

У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:

1. Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
2. Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
3. Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
4. Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
5. Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.

Что такое центры сертификации (ca)?

Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.

Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.

Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата.

Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.

Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью.

Центров сертификации существует достаточно много, вот перечень самых популярных:Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, СШАSymantec — бывший Verisign в состав которого входит и Geotrust.

Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.

Что в tls 1.3?

Все упомянутые трудности решаются использованием TLS 1.3. Половины проблем вообще нет, всё проще, красивее, всё прям отличненько. Но TLS 1.3 еще распространен маловато. Самые важные отличия TLS 1.3 (их очень много, они везде, поэтому только самые важные):

• Плохие шифры удалены, остались только хорошие. Инициализировать сессию TLS 1.3 на плохих шифрах не получится. Всё дело в новых cipher suites: тут и другие алгоритмы обмена сеансовых ключей, и так называемый HMAC – не будем углубляться в подробности, потому что Патрик устал. Вкратце: раньше подпись каждого TLS-пакета шла отдельно. На это были атаки, потому что было известно, какой там контент находится. Сейчас ее запихали вовнутрь (режим AEAD), и в TLS 1.3 по-другому быть не может, соответственно, мы избавились от таких атак.
• Handshake стал короче – нет старых сообщений, нет старых расширений, нет возможности по каким-то странным штукам обменяться ключиками. То есть, он тупо короче количественно – даже самый полный TLS 1.3 handshake короче, чем в TLS 1.2.
• Переход на шифрованный канал происходит почти что сразу. Для этого используются разные ключики: да, пока не договорились о хороших ключиках, оптимальных, мы используем какие попало, но канал уже шифрованный. То есть hello – hello и пошло всё зашифрованное. Из-за этого сложнее всё это ломать.
• Всё регламентировано, больше не надо пытаться менять размеры пакетов, забивая их ноликами, чтобы сложнее было расшифровывать.
• Своя пара ключей на каждую сеансовую фазу. Сеансовые ключи меняются: пока мы ни о чем не договорились – они такие, договорились о более крутых – они более крутые, сертификаты проверили и всё хорошо – еще другие ключи. В итоге их много, они усложняются и очень трудно это всё поломать. Еще одна важная вещь, почему это быстрее: Early Data (она же 0-RTT, Zero Round Trip Time) – это когда у тебя в TLS-handshake посылается полезная инфа – ну например GET-запрос. То есть нет такого, что поговорили-поговорили и только потом посылаем что-то отдельным потоком. Сразу же в handshake идет запрос. Как только сервер его получил, он начинает его обрабатывать, отдает клиенту свои данные, сертификат и пока клиент проверяет, сервер уже готов отдать. И может даже в TLS-handshake и отдать иногда.
• Есть pre-shared key, то есть клиент с сервером могут договориться и сохранить сеансовые ключи для последующих соединений. И, соответственно, когда происходит handshake таких вот договорившихся клиентов, на этап выбора ключей время не тратится. Долго объяснять, как это сделано криптографически, но тех атак, которые были на Session ID, вот в этом месте сейчас нет (что хорошо). Всё стало безопаснее и быстрее.

Основная проблема, что поддержка TLS 1.3 – она во всех браузерах, которые актуальны, есть, но не во всех по дефолту включена. Например, в Safari нет (но там очень легко включить), Google Chrome и Mozilla Firefox уже по дефолту поддерживают TLS 1.3. Ngnix с TLS 1.3 – без проблем, в Apache есть нюансы, а вот с почтовыми клиентами хуже — там только Exim молодец, а остальные не очень.

В общем, это наше будущее, там всё получше и попроще, самое главное. Но пока оно еще не везде наступило.

Capi и scvp

Еще про верификацию и про цепочку. Есть маленькая особенность – похвалим здесь Windows. Если сервер не отдал сертификат, в обычном (традиционном) подходе сертификат нам взять неоткуда, цепочки нет, всё сломалось. Так вот, в Windows есть такая штука как Certificate API, и она может достроить цепочку, взяв промежуточные сертификаты из своего хранилища.

Как эти сертификаты туда попадают? Либо залиты в хранилище, либо из сертификата, установленного на сервере. Например, в Plesk, если получить сертификат от Comodo и поставить его на домен – в хранилище попадет промежуточный сертификат от Comodo.

Ну и еще люди, которым Windows нравится, придумали SCVP (Server-based Certificate Validation Protocol). В действительности не работает почти ни у кого и нигде – в смысле глобально и массово, — но как концепция есть. Более того, есть продукты, которые это делают, и даже в каких-то сетях это может быть настроено.

Это сервис, который за тебя эту цепочку строит и частично даже проверяет, что удобно. Если там заявлена поддержка DPV (Delegated Path Validation), то он цепочку еще и провалидирует. То есть, клиенту надо этому сервису отправить сертификат и получить ответ – продолжать сессию или рвать.

Предположительно это могло бы всё ускорить, но из-за того, что сервису тоже надо как-то доверять, идея глохнет. И всё-таки она была.

Итак, вот у нас получается такая вот цепочка.

Прежде всего мы проверяем, что с подписями у нас всё нормально: выстраиваем цепочку, проверяем подписи – и считаем, что содержимое сертификатов верно. Дальше нам надо проверить конечный сертификат. Промежуточный нам проверять не надо, потому что мы идем к Патрику и проверить нам надо только самый последний сертификат.

Давайте проверять.

Intermediate certificate

Следующий в цепочке – Intermediate Certificate. Зачем он нужен? Дело в том, что в случае, если с Root CA Certificate что-то пошло не так, очень сложно его поменять. Центру сертификации нужно сделать новый приватный ключ, новый публичный ключ, всем это всё нужно обновить и так далее, это утомительно и это ломает всю секьюрити.

И вообще, чем меньше мы работаем с машиной, на которой находится этот CA, тем меньше шансов, что этот приватный ключ украдут. Поэтому CA выписывают промежуточные сертификаты и уже с их помощью подписывают конечные (end-entity) сертификаты для вашего домена.

Такая цепочка происходит очень часто и сертификат для нашего Патрика может быть подписан Губкой Бобом, а сертификат Губки Боба – Мистером Крабсом (а Губка Боб работает на мистера Крабса, как мы знаем из мультика). То есть это, в принципе, может быть вообще одна организация.

Для того, чтобы всё это провалидировать, клиенту нужно всю эту цепочку составить и проверить: взять ключик рутового сертификата, проверить, что промежуточный правильный и подпись валидна, потом взять ключик промежуточного сертификата и проверить конечный сертификат.

Цепочка должна присутствовать в списке сертификатов, которые сервер отсылает. По факту бывает всякое. Бывает, что не посылаются. Symantec, например, очень любил в бесплатные сертификаты не вставлять промежуточный. И поэтому в браузерах ничего не работало.

На самом деле, для большей производительности, поиск производится не по ишьюеру и субъекту, а с помощью расширений (extensions) – там вся эта информация лежит в виде хэшей, поэтому всё происходит быстрее. Но иногда хэшей нет, тогда происходит поиск по текстовым полям субъекта и ишьюера, и вот здесь могут случаться атаки.

Поэтому если вы видите сертификат, в котором этих полей нет, можно возбудиться и что-нибудь покопать – возможно, там всё не очень хорошо.

№5.а казахстан принял стандарт gmp?

Стандарты надлежащих фармацевтических практик, в том числе GMP, были утверждены в системе Госстандарта Республики Казахстан ещё в 2006 году. Тогда они носили рекомендательный, добровольный характер. Но уже с марта 2021 года все иностранные компании, экспортирующие продукцию в Казахстан, должны были подтвердить, что работают по стандарту GMP, иначе ввоз их продукции в страну запрещался.

В 2021-м стандарты GMP актуализировали с учётом требований ЕС и ЕАЭС. С января 2021 года начал функционировать общий рынок лекарств для стран Евразийского экономического союза. На территории ЕАЭС должны производиться и распространяться только медицинские препараты стандарта GMP, который подтверждает эффективность, безопасность и качество продукции.

С 1 января 2021 года стандарты GMP сделали обязательными для казахстанских производителей. Те из них, кто ещё не внедрил GMP, могут подавать заявку на проведение оценки безопасности и качества продукции и реализовывать препараты до истечения сроков действия их регистрационных удостоверений.

№6.какие производители имеют сертификат соответствия gmp?

Производители продукции, изготовление которой регламентировано стандартом GMP, должны пройти процедуру сертификации. Наличие сертификата GMP у производителя подтверждает, что:

1. в производстве продукции участвуют квалифицированные специалисты;
2. обеспечен стабильный производственный процесс с заданными валидированными параметрами;
3. при производстве используются новейшие технологии и оборудование;
4. продукция прошла несколько этапов проверки качества, начиная с выбора сырья.

Сертификаты GMP в Казахстане уже получили 58 предприятий. Одним из первых отечественных производителей, активно внедряющих этот стандарт, стала компания SANTO. Компания получила первый сертификат GMP по производству мягких лекарственных форм в 2021 году.

В 2021-м SANTO получила сертификат GMP на производственный участок асептической рассыпки порошковых антибиотиков. В 2021-м – сертификат на действующий ампульный цех, в 2021-м – на производство инъекционных растворов в цехе по производству инъекционных растворов и инфузий.

В 2021-м SANTO был выдан сертификат GMP на производственный участок инфузионных растворов, а в 2021-м – на производственные площадки по производству инъекционных растворов и инфузий, производству твёрдых пероральных лекарственных средств. Также SANTO – обладатель сертификата на соответствие аптечного склада стандарту надлежащей дистрибьютерской практики (GDP).

Ocsp stapling

Это примерно в ту же степь, но тут мы уже начинаем уходить от структуры Certificate Authority. То есть возлагаем эту проверку на сервер. Как это работает: сервер периодически ходит по этому OSCP URL-у и говорит: «OCSP-resolver, посмотри-ка, вот этот мой сертификат – в отозванных или нет?».

OCSP-resolver отвечает подписанным ответом, наш сервер его запоминает, и когда клиент приходит, ему отдаётся этот ответ. То есть у клиента есть подписанный ответ и в нём написано, что всё хорошо. Из-за того, что серверов меньше, чем клиентов и сервер может на какое-то время это кэшировать, нагрузка на всех становится меньше.

Тут есть тоже некоторые проблемы: текущий механизм — это только на один сертификат, а у нас цепочка (и это важно). А еще, из-за того, что мой сервер отвечать на это не обязан, клиент не может рассчитывать на то, что OSCP-stapling точно будет. И поэтому отказаться ни от CRL, ни от OCSP не получается – просто потому, что серверы не обязаны опрашивать и отвечать. Ну и еще один аспект: если в вебе с этим нормально, то в почте всё плохо, а в FTP даже слов таких не знают.

Проблема того, что сервер не обязан отвечать, может решиться добавлением в сертификат еще одного поля – так как оно еще не утряслось, у него просто номер, — в котором мы говорим клиенту, что сервер таки обязан ответить, и если он не ответил, считать этот сертификат невалидным.

Вот это всё вместе теоретически может начать работать, но пока еще мало распространено.

Google и Mozilla, так как им всё это не нравится, сделали свой CRL. И зашили его в браузер. Огонь вообще! Это работает быстро, ну и на этом все плюсы заканчиваются. Для того чтобы не помереть, они не запихивают в него DV-сертификаты. То есть если DV-сертификат отозван, они считают – ну и ладно.

Так что если DV-сертификат отозван и при этом нет OSCP-степлинга, Chrome об этом не скажет – он посчитает этот сертификат нормальным. На самом деле, правильно пользоваться OSCP-степлингом иOCSP Must Staple флагом в сертификате.

When to use gsp certificate of origin: form a?

Есть ли разница в каком центре сертификации заказывать сертификат?

Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.

Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.

Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами ->

Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).

Нормативная база

В Российской Федерации получение сертификата GMP осуществляется на основании действующей нормативной базы, включающей следующие основные правовые акты:

• национальный стандарт РФ ГОСТ Р 52249-2009, устанавливающий правила изготовления и контроля качества лекарственных препаратов;
• постановление Правительства от 5 июня 2008 года N 438 с рядом изменений, внесенных за последние годы, которое утверждает полномочия Министерства промышленности и торговли в этой области;
• постановление Правительства от 3 декабря 2021 года N 1314, устанавливающее порядок оценки соответствия производителей требованиям стандарта надлежащей практики;
• приказ Минпромторга от 14 июня 2021 года N 916, утверждающий правила применения надлежащей производственной практики в соответствии с актуальным стандартом;
• приказ Минпромторга от 26 мая 2021 года N 1714, определяющий административный регламент предоставления государственной услуги по выдаче документации, подтверждающей соответствие изготовителя установленным нормам надлежащей производственной практики;
• приказ Минпромторга России от 17.12.2021 N 4119, утверждающий правила ведения реестра сведений о том, какие лекарства имеют сертификат качества GMP в России.

При этом необходимо принимать во внимание, что в настоящий момент наша страна вместе с другими государствами, входящими в состав Евразийского экономического союза, находится на этапе становления общего рынка, объединяющего фармацевтическое и косметическое производство в границах Союза.

Это предполагает в том числе введение в действие единых требований к качеству и безопасности таких продуктов. В соответствии с принятым в мире порядком они реализуются в форме внедрения стандартов надлежащей производственной практики. Применение таких стандартов регулируется следующими нормативными документами:

• Решение Совета ЕЭК от 3 ноября 2021 года N 77, утверждающее правила надлежащей производственной практики в границах ЕАЭС;
• Приказ Минпромторга от 4 сентября 2020 года N 2945, которым введен административный регламент предоставления госуслуги по выдаче документации, подтверждающей соответствие производств установленным правилам.

Обратите внимание!

Для полноценного применения разработанного административного регламента необходимо решение Правительства о порядке реализации некоторых процедур, связанных с проведением фармацевтических инспекций. Приказ № 2945 вступит в силу только после принятия соответствующего постановления: пока этого не произошло.

По какому принципу работает ssl сертификат?

Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.

Публичный ключ не является секретным и он помещается в запрос CSR.Вот пример такого запроса:—–BEGIN CERTIFICATE REQUEST—–MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYDVQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGluZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNVBAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDTg7iUv/iX SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKidNyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5ccgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR xui2S3z2JJQEwChmflIojGnSCO/iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H/G4eO5WF6fFb7etm8M d8ebkqEztRAVdhXvTGBZ4Mt2DOV/bV4e/ffmQJxffTYEqWg8wb465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOCAQEAuCfJKehyjt7N1IDv44dd V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRIkrnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIhKQGngL2PjWdhMVLlRTB/01nVSKSEk2jhO8 7yLOY1MoGIvwAEF4CL1lAjov8U4XGNfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm/vTxjJgchUFro/0goVpBcredpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 ZNDWsPPKxo/zWHm6Pa/4F4o2QKvPCPx9x4fm /xHqkhkR79LxJ EHzQ==—–END CERTIFICATE REQUEST—–

Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.

Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.

Правила gsp – good storage practice — мегаобучалка

Проблемы перевода gsp сертификата

У агентств, занимающихся медицинским переводом, никогда не возникает проблем с переводом GSP. Сертификат имеет стандартную форму, требует от переводчика лишь двух вещей: внимательности при транслитерации названия компании и продукции. Это особенно важно, отдельным документом он не заказывается, служит дополнением для сертификатов GMP и GDP.

Другой пункт очевиден – абсолютное знание терминологии. Эту проблему наше агентство решает легко – регулярное пополнение переводческих баз. Для каждого клиента мы заводим отдельную, систематически её пополняя, что позволяет выполнять ваши заказы быстрее. Несмотря на это, перевод GSP сертификата поручается переводчикам, имеющим мед. образование и тщательно проверяется.

Пакет документов, подтверждающий право обладания стандартом отличается громоздкостью: требуется экспертиза, подтверждающая страну происхождения; копии всех контрактов на экспорт; копии, доказывающие, что фирма не является однодневкой. Для компаний посредников список возрастает ещё на несколько пунктов.

Наличие же сертификата не требует документов подтверждения при переводе. При проверке перевода сертификата важно помнить об особенностях оформления перевода. С 2021 года недействителен перевод GSP в форме «сертификат А», вместо него введен сертификат формы «СТ-1».

Цена на перевод сертификата базируется от 450 рублей, причиной для увеличения стоимости может стать потребность заказчика в срочном переводе.

Мы выбрали медицинский перевод основным профилем работы, поэтому потратили много времени на изучение проблемы точного перевода всех существующих медицинских сертификатов.  Вы можете быть уверены, поручая нам заказ, он будет выполнен в срок и качественно.

Процедура получения сертификата в россии

Первым шагом для производителя, который желает пройти сертификацию, является подача соответствующего заявления в Минпромторг. В течение 10 рабочих дней специалисты ведомства проводят проверку корректности представленных в заявлении сведений и определяют возможность проведения сертификации.

В случае необходимости они вправе запросить у заявителя дополнительные документы, которые он обязан предоставить в течение 20 рабочих дней. В случае, если в отношении данного препарата принято положительное решение о проведении процедуры сертификации, необходимые данные направляются в ФГБУ «ГИЛС и НП», который в течение 20 рабочих дней с момента их получения обязан определить дату проведения сертификационных мероприятий и внести ее в график.

На подготовку итогового отчета по результатам ее проведения исполнителю отводится 30 рабочих дней, а на его направление заявителю — 3 рабочих дня. Копия такого отчета также направляется в Минпромторг. На основании отчета формируется окончательное заключение, которое в случае положительного характера сопровождается выдачей сертификата производителю лекарственного препарата.

Сertificate transparency

Итак, всё хорошо, но Google не был бы Google, если бы не придумал еще одну технологию конкретно для себя. Она называется Сertificate Transparency. Откуда что идет: Google очень беспокоится о том, чтобы кто-нибудь не выписал плохой сертификат на него самого – чтобы именно Google не пострадал от того, что кто-то там выписывает какие-то нехорошие сертификаты.

И вот с помощью Сertificate Transparency каждый владелец домена (и вообще кто угодно) может посмотреть, какие сертификаты на этот домен были выписаны. Дальше он может этот сертификат взять и с ним что-нибудь сделать. Например, проверить, хороший он или нет. Ну и возбудиться (или не возбудиться).

Это не только технология, но и набор процессов. То есть Google говорит: ребята, вот у нас есть Сertificate Transparency, мы в него записываем только нормальные сертификаты – такие, где цепочка есть, цепочка правильная и всё нормально. Мы можем время записи Сertificate Transparency Log запихать в сертификат, чтобы клиент мог четче посмотреть, что вот этот сертификат в Transparency Log должен быть тогда-то.

Мы гарантируем, что это вот эта штука не редактируема обратно (из-за того, что блокчейн) – ну то есть нельзя взять и подменить старые записи, можно только добавлять новые. И давайте, ребята, кто-нибудь из вас будет периодически ходить по этому логу, и проверять, что там всё нормально, а если что-то не так, говорить нам и мы будем это править. А другие ребята пусть держат у себя всё это, потому что надо, чтобы было много мощностей на вот эту вот штуку.

Серия стандартов в области надлежащих практик охватывает собой весь жизненный цикл продукции и включает в себя:

• Стандарт GLP/ГОСТ Р 53434-2009 – лучшая/надлежащая лабораторная практика; 

• Стандарт GCP/ГОСТ Р 52379-2005 – лучшая/надлежащая клиническая практика; 

• Стандарт GPP – лучшая/надлежащая практика в области продажи лекарственных средств и медицинских изделий; 

• Стандарт GDP – лучшая/надлежащая практика в области оптовой продажи лекарственных средств и медицинских изделий; 

• Стандарт GSP – лучшая/надлежащая практика в области хранения лекарственных средств и медицинских изделий.

При необходимости мы можем обеспечить разработку корпоративных процедур, процессов и документов в соответствии с требованиями лучших практик GMP, GMP , GLP, GCP, DGP, GSP, которые будут созданы с Вашим участием и специально для Вашей компании и позволят оптимизировать бизнес-процессы Вашей организации.

Сертификаты с расширенной проверкой.

Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.

Вот как это выглядит на сайте у Thawte.

Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.

SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации.

Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:

1. Должен проверить правовую, физическую и операционную деятельности субъекта.
2. Должен убедиться, что организация соответствует официальным документам.
3. Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
4. Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.

Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.

EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.

Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.

Стандарт gmp в международной практике

Процесс сертификации на соответствие лекарственного препарата стандартам GMP в международной практике имеет комплексный характер, а ее основной целью является подтверждение безопасности и действенности продукции. В этой связи для достижения поставленной цели специалисты аккредитованных сертификационных организаций не ограничиваются оценкой ряда выборочных образцов лекарственных препаратов, как это часто предусматривается другими стандартами.

В процедуру установления требуемого уровня качества лекарств любой международный центр сертификации лекарственных средств включает оценку предприятия, занимающегося его выпуском. В результате эксперты, занимающиеся проведением сертификации, анализируют конкретный препарат и процесс его выпуска в следующих областях:

• оценка производства на соответствие критериям безопасности, включая проведение его проверки в отношении вероятности попадания в продукт посторонних примесей и веществ;
• оценка производства на соблюдение технических требований к выпуску продукции, включая выполнение условий относительно влажности, температуры и других параметров в производственных помещениях;
• оценка качества, безопасности и действенности лекарственных средств, производимых на конкретном предприятии;
• оценка соответствия параметров производства и характеристик лекарственного средства нормативной документации, принятой в рамках процедуры GMP.

Стоимость получения сертификата

Обязательной для всех производителей лекарственных средств, претендующих на получение сертификата, подтверждающего соответствие их продукции стандартам GMP, является оплата государственной пошлины за рассмотрение соответствующего заявления в Министерстве промышленности и торговли.

Однако данная пошлина — это далеко не единственный и не самый крупный платеж, который потребуется осуществить производителю лекарств. Другой значительной статьей расходов станет плата за проведение экспертной оценки производства и продукции заявителя.

При этом размер платы за проведение оценки не является строго установленным, а определяется в зависимости от объема, характера и сложности необходимых процедур в соответствии с положениями приказа Министерства промышленности и торговли Российской Федерации от 11.01.

2021 № 9 «Об утверждении методики определения размера платы за оказание услуги по инспектированию GMP». В случае, если проверка потребует проведения значительного объема работы и привлечения большого количества высококвалифицированных экспертов, размер платы за ее проведение может превышать 2,5 миллиона рублей.