GxP monitoring - felhős megoldással
Szempontok a választáshoz - Milyen alternatívák közül választhatunk?
A gyógyszeripari termékek esetében a GxP előírásai szerint folyamatosan monitorozni és dokumentálni kell a környezeti paramétereket a teljes ellátási lánc folyamatában. Erre a feladatra már többféle felhőmegoldás is létezik, ezért jogos a felvetés, vajon ezek kockázata, illetve előnyei milyen arányban állnak egymáshoz képest. A cikkben a GxP vonatkozásában bemutatjuk a különböző felhőalapú szolgáltatásokat, és elemezzük, hogy melyik esetben melyiket érdemes használni.
Tartalom
Bevezetés
Miért fontos?
Mit is jelent, hogy felhőalapú megoldás?
Az Infrastruktúra, mint szolgáltatás (IaaS)
A Platform mint szolgáltatás (PaaS)
A Szoftver mint szolgáltatás (SaaS)
Nyilvános felhő
A magánfelhő
A Hibrid felhő
Milyen felhő-szolgáltatás alkalmas a GxP megfelelőségű alkalmazások számára?
- A felhőmodelltől függetlenül
- Nyilvános felhőmodell
- Magánfelhő esetén
- Amikor hibrid felhőmodellben gondolkodunk
Kockázatok és azok csökkentése a felhőalapú szoftver mint szolgáltatás (SaaS) által biztosított GxP monitoring rendszerek esetében
Következtetés
Bevezetés
Az elmúlt években rohamosan nőtt a felhőalapú számítástechnikai megoldások és a felhőalapú adattárolás elfogadottsága az ipari alkalmazások területén. Nyilvánvaló előnyöket tudunk felsorolni, mint például:
- skálázhatóság (a folyamatmonitoring és az adattárolás monitorozására),
- beépített adatmentés és adathelyreállítás
- karbantartáshoz szükséges erőforrásigény csökkenése
- egyszerű hozzáférés a földrajzilag távol elhelyezkedő részlegek számára is
- költséghatékony, mert kevesebb informatikai szakemberre van szükség, és kisebb az informatikai beruházás igénye
Ma még azonban vannak aggályok a zárt rendszerekkel kapcsolatban, amik függőséget alakítanak ki, biztonsági és irányítási kérdések merülnek fel a megoldás-szállítókkal kapcsolatban.
Amikor hozzáadjuk a GxP megfelelőséget a megfontolandó dolgok listájához, akkor egyedi helyzet áll elő egyedi adatkörnyezettel. Mivel a gyógyszeripar és a élettudomány is egyre inkább átköltözik a felhőbe a fentebb említett előnyök miatt, érdemes megfontolni, hogy ez hogyan érinti ezt a spcializálódott szakterületet. Vajon a felhőalapú infrastruktúra, a platformok és szoftverek a felhőben megfelelnek-e az előírásoknak és az adatintegritási követelményeknek? Ebben a cikkben olvashatjuk a válaszokat, különös tekintettel környezeti paraméterek monitorozására vonatkozó megoldásokkal a gyógyszerészet, élettudomány, biotechnológia és az egészségügy területén.
Miért fontos?
A GxP előírásokat használó vállalatok a globális követelmények hosszú listájával rendelkeznek az adatok felhasználását, tárolását és továbbítását illetően - FDA 21 CFR Part 11, európai adatvédelmi előírások (GDPR), számos ország adatintegritási szabályai, ... - hogy csak néhányat említsünk. A szabályozások mentén meg kell értenünk, hogy a gyógyszeripar számára mik a felhőalapú megoldások előnyei és hátrányai. A cikk bemutatja azokat a tényeket, hogy egy felhőalapú megoldás milyen módon tudja biztosítani a megfelelőséget a GxP környezetben használt monitorozó rendszerek és ezzel összefüggő mérésekkel kapcsolatban.
Mit is jelent, hogy felhőalapú megoldás?
Mielőtt elkezdenénk a felhőalapú GxP kompatibilis környezeti monitorozó megoldásokkal kapcsolatos konkrét szempontok megvitatását, röviden nézzük át a felhőalapú szolgáltatások különböző modelljeit. Általában három felhős megoldást különböztetünk meg, amelyek abban különböznek a hagyományos helyszíni infrastruktúra kiépítéstől, hogy bizonyos egységek kiszervezésre kerülnek a felhőbe.
Az Infrastruktúra, mint szolgáltatás (IaaS)az a felhőmodell, amelyben az ügyfél a három típus közül a legnagyobb felelősséget vállalja: az alkalmazásokat és az adatbázist saját operációs rendszerén és egy köztes szoftver segítségével (Middleware) futtatja, amely a felhő-szolgáltatótól származó virtualizált szerverekkel működik együtt. Az IaaS azoknak a nagy szervezeteknek előnyös, amelyek teljes ellenőrzést szeretnének fenntartani az alkalmazások és a szoftveres infrastruktúrák felett, de megfelelő számukra, ha a hardvert egy specializált szolgáltató üzemelteti, vagy csak arra törekszenek, hogy csak azt vásárolják meg, amit ténylegesen fogyasztanak vagy igényelnek (pl. az erőforrások vagy a tárolókapacitások dinamikus használata). Jó példa lehet egy olyan élettudományi társaság, amely részben igényes alkalmazásokat futtatni egy IaaS szolgáltatáson keresztül: a kiszervezés előnyeivel élve, de továbbra is a szigorú ellenőrzés fenntartásával.
A Platform mint szolgáltatás (PaaS) nagyobb felelősséget ró a felhő-szolgáltatóra, mivel a virtualizált szerverek tartalmazzák az operációs rendszert és a köztes szoftvert is. A PaaS nagy sebességet és rugalmasságot biztosíthat a teljes folyamatban azoknak a vállalatoknak, amelyek saját alkalmazásukat "kulcsrakész" környezetben akarják futtatni. Jó példa lehet egy gyógyszeripari cég, amely saját irodai alkalmazását üzemelteti egy nagy felhő-szolgáltató, például az Amazon Web Service vagy a Microsoft Azure PaaS-án.
A Szoftver mint szolgáltatás (SaaS), más néven felhő alkalmazás-szolgáltatások, a legnagyobb piacot képviseli. A SaaS (üzleti) alkalmazásokat szállít, amelyekhez általában közvetlenül a webböngészőn keresztül férhetünk hozzá, és nincs szükség letöltésre vagy telepítésre az ügyféloldalon.
A fent leírt különféle felhőmodellek mellett, a kihelyezett összetevőktől függően, vannak különféle modellek arra is, hogy ezeket a kiszervezett felhőforrásokat hogyan telepítik:
Nyilvános felhő
"A nyilvános felhőa külső szolgáltatók által a nyilvános interneten kínált, bárki által használható vagy megvásárolható számítástechnikai szolgáltatások halmazaként definiálható. A szolgáltatások lehetnek ingyenesek vagy igény szerinti díjszabásúak, ahol az ügyfelek csak a ténylegesen felhasznált processzorciklusokért, tárhelyért vagy sávszélességért fizetnek.
A magánfelhőkkel ellentétben a nyilvános felhők révén a cégek megspórolhatják a helyszíni hardveres és alkalmazásinfrastruktúra tetemes beszerzési, üzemeltetési és fenntartási költségét - a rendszer minden felügyeleti és fenntartási feladatáért a felhőszolgáltató felel. A nyilvános felhő gyorsabban üzembe helyezhető, mint a helyszíni infrastruktúra, és szinte végtelenül skálázható platformot kínál. A felhőt a cég összes dolgozója ugyanazzal az alkalmazással érheti el bármelyik irodából vagy telephelyről, tetszése szerinti eszközről, ha van internetkapcsolata. Bár a nyilvánosfelhő-alapú környezeteket biztonsági szempontból sok kritika éri, egy jól implementált nyilvános felhő ugyanolyan biztonságos lehet, mint a leghatékonyabban felügyelt magánfelhő-implementáció, amennyiben a szolgáltató megfelelő biztonsági eszközöket használ, például behatolásérzékelő és -megelőző (IDP) rendszereket." (Microsoft Azure)
A hozzáférés azonban nem nyilvános, hanem csak egy meghatározott felhasználói csoport számára elérhető, közös követelményekkel. Közös érdek lehet például az ellenőrzési szabályoknak (audit) való megfelelés vagy a gyors reakcióidőre vonatkozó azonos teljesítménykövetelmények [2].
A magánfelhő
"A magánfelhő a nagyközönség helyett csak meghatározott felhasználóknak kínált, az interneten vagy belső magánhálózaton keresztül elérhető számítástechnikai szolgáltatások halmazaként definiálható. A belső vagy vállalati felhőként is ismert magánfelhő a nyilvános felhők számos előnyét biztosítja a cégeknek - például az önkiszolgáló jelleget, a skálázhatóságot és a rugalmasságot - a helyszínen üzemeltetett IT-infrastruktúrán elérhető dedikált erőforrások jelentette szélesebb körű szabályozási és testreszabási lehetőségek mellett. Ezenfelül a magánfelhő a céges tűzfalak és a belső üzemeltetés révén jobb biztonságot és adatvédelmet kínál, így biztosítja, hogy külső szolgáltatók ne férjenek hozzá a napi működéssel kapcsolatos vagy bizalmas adatokhoz. Hátránya ugyanakkor, hogy a magánfelhő üzemeltetésének költsége és feladatai a cég IT-részlegét terhelik - a magánfelhő tehát ugyanolyan személyzeti, felügyeleti és fenntartási költségeket jelent, mint a hagyományos adatközpontok birtoklása." (Microsoft Azure)
A Hibrid felhő
A magánfelhőt nyilvános felhőkkel kombinálva hibrid felhő is kialakítható, amellyel a cég a felhőbeli tartalékkapacitásra alapozva több helyet szabadíthat fel, és a számítási szolgáltatásokat a nyilvános felhőben skálázhatja fel, ha megnövekszik a számítási igény.
Manapság egyre inkább előtérbe kerül a felhőalapú informatikai megoldások használata. Elég érdekes, hogy a pénzügyi, banki, biztosítási szolgáltatások, ipari gyártási és telekommunikációs szolgáltatások azon iparágakhoz tartoznak, amelyekben az üzleti funkciónként a felhőalapú alkalmazások száma a legtöbb. [3] Ez jól illusztrálja, hogy manapság (vagy akár túlnyomórészt) azok az iparágak is, amelyekben magasak a követelmények a megfelelés és a biztonság szempontjából, felhőalapú számítástechnikai szolgáltatásokat használnak.
Milyen felhő-szolgáltatás alkalmas a GxP megfelelőségű alkalmazások számára?
A felhőalapú szolgáltatások különféle típusainak és erőforrásainak ismeretében a következő szakasz részletesen bemutatja a GxP monitorozó megoldások speciális követelményeinek megfelelő beállítását.
Az adatbázist tartalmazó monitorozó rendszert validálni kell. A számítógépes rendszer validálása a dokumentált folyamat annak biztosítására, hogy a számítógépes rendszer pontosan azt végezi el, amit terveztek, következetes és reprodukálható módon. Alapvetően azt jelenti, hogy a követelményeket dokumentálni kell, validálási és tesztelési terveket kell írni, a kockázatokat írásbeli kockázatértékelésben kell értékelni, a funkciókat a tesztterv szerint kell tesztelni és dokumentálni, végül pedig az összes validálási folyamatról összefoglaló validációs jelentést kell kiadni. Az IaaS vagy a PaaS lehet a megfelelő eszköz azok számára, akik képesek validálni a felhőinfrastruktúra-szolgáltatót, és maguk kezelik a szoftver telepítését és karbantartását. Azoknak a felhasználóknak, akik nem akarnak foglalkozni ezekkel a kérdésekkel, vagy akik nem rendelkeznek tapasztalt informatikai kapacitással, a SaaS használata lehet a megfelelő megoldás: további előnye, hogy egyetlen felhőalapú szolgáltatóval állnak kapcsolatban, ahelyett, hogy külön meg kellene egyezni a szoftverforgalmazójával és a felhőinfrastruktúra-szolgáltatóval is.
Leginkább a költségek meghatározóak, hogy a nyilvános-, magán-, vagy a nyilvános felhőmegoldást válasszuk. Milyen szervezeti egységek között oszlik meg ez a költség?
- A felhőmodelltől függetlenül, az adatgyűjtő eszközök és érzékelők költségét mindegyik szervezeti egységnek viselnie kell.
- Nyilvános felhőmodell esetén a monitoring szoftverhez kapcsolódó összes költség megoszlik a felhasználók között. Általában a felhő-szolgáltató mérési pontonként számláz, ezáltal viseli a pénzügyi kockázatot. A felhasználó jól jár, mert a költségek sok vállalat között oszlanak meg, alacsony induló összegre van szükség, mivel nincs fejlesztési, validálási és működtetési költsége a monitoring szoftvernek.
- Magánfelhő esetén a költségek nem oszlanak meg a cégek között. Így az izolált felhőstruktúra (például szerverek, applikációk és az operációs rendszerek licenszdíjai) állandó költségeit a felhasználó fizeti. Ellentétben a változó költségekkel, amelyek alacsonyabbak, mint az előző esetben.
- Amikor hibrid felhőmodellben gondolkodunk, akkor nagy hangsúlyt kap a nyilvános és a magán felhő közötti erőforrás eloszlás. Általános gyakorlat, hogy az felhasználó-specifikus fejlesztési költségeket, valamint az osztott architektúra validálásának költségeit közvetlenül a felhasználó fedezi. Ezenkívül a hibrid megoldás magánrészének infrastrukturális költségeit közvetlenül a felhasználónak kell fedeznie. Az infrastruktúra nyilvános részének költsége ennélfogva sok felhasználó között oszlik meg, és a megfigyelési pontonkénti változó árba belefoglalódhat.
Az alábbi ábra vázlatosan bemutatja az eltérő felhőmodellek különböző költségblokkjait. Szépen látszik, hogy elsősorban a kisebb rendszerek számára előnyös a nyilvános felhőmodell, mivel a felhasználó mentesül a beruházási költségek alól. Ezek a költségek a több száz vagy ezer mérési ponttal rendelkező nagyobb létesítmények esetében csökkenthetőek.
GxP környezetben az adatoknak megváltoztathatatlannak kell lenniük. A legfontosabb kérdés az adatok integritása (annak biztosítása, hogy az adatok hozzárendelhetőek, egyértelműek, egyidejűek eredetiek, pontosak, teljesek, megegyezőek, maradandóak és teljes életciklusuk alatt elérhetőek legyenek [4,5]), és a betegbiztonságot vegyék figyelembe. A felhőalapú monitoring megoldások esetében ez azt jelenti, hogy:
- Bármelyik infrastruktúrát választjuk, olyan többrétegű alkalmazásra van szükség, ahol az adatok biztonságosak és nem manipulálhatók. Megkérdezheted magadtól, hogy véleményed szerint a cégben dolgozó informatikai szakemberek vajon szakszerűbben képesek-e egy belső adatközpontot működtetni, mint a globális felhőszolgáltatók - az Amazon Web Services, a Microsoft Azure vagy a Google Cloud Platform stb. - , amelyek egyébként ismerik a specifikus GxP követelményeket és átfogó dokumentációs anyagokat nyújt azoknak a megoldás-szolgáltatóknak, akik infrastruktúrájukban kritikus alkalmazásokat akarnak futtatni.
- Azt a kérdést is feltehetjük magunknak, hogy vajon jobban tisztában vagyunk az adatintegritás kockázatával, mint a monitoring rendszerek szolgáltatója, aki legjobban ismeri a rendszer összes összekapcsolt elemét? Így újra előtérbe kerül a Nyilvános felhőmodellben működő szoftverszolgáltatás (SaaS) amely kiválóan használható bármilyen méretű rendszer esetében, különös tekintettel kisebb rendszerek esetében a költséghatékonyságra, míg a Magán felhőmodellel működő szoftverszolgáltatás (SaaS) bájos alternatívája a nagyobb rendszereknek, mivel ez a beállítás - összehasonlítva a Nyilvános felhőmodellben működő szoftverszolgáltatással - nagyobb teret adhat a szoftverfrissítések kezeléséhez a szervezet kvalifikációs követelményeinek megfelelően, mivel a monitoring rendszer példányát csak Ön használja, és nem osztja meg a más felhasználók között.
Következtetés: A fentebb vázolt érvelés alapján aligha meglepő, hogy egyre több monitorozási megoldást látunk a GxP-kritikus alkalmazások számára, amelyeket SaaS-ként kínálnak egy nyilvános felhőben. Ez a választás a minimális kockázat mellett a legjobb minőséget nyújtja, ugyanakkor minimális költségekkel számol e célok eléréséhez. Számos szolgáltató alternatívaként kínál egyszemélyes SaaS-t egy privát felhőben, jelentősen magasabb költségek mellett. A következő fejezetek ezért erre a két lehetőségre összpontosítva mutatják be a GxP-kompatibilis monitoring rendszert a felhőben használva.
Kockázatok és azok csökkentése a felhőalapú szoftver, mint szolgáltatás (SaaS) által biztosított GxP monitoring rendszerek esetében
Ebben a szakaszban részletesebben tárgyaljuk a GxP-kompatibilis monitoring rendszerekkel kapcsolatban a Public Cloud SaaS (megosztott szolgáltatás több felhasználó számára) vagy Private Cloud SaaS (kizárólagos használat egyetlen szervezet számára) kockázatait és azok csökkentésének módjait, amelyeket igényelhetünk a szolgáltatótól.
- A SaaS-beállításokban a szolgáltató határozza meg az adattárolás fizikai helyét. Az adatok tárolása különféle kontinenseken, régiókban és országokban történhet, és az adatvédelemre, valamint a titkosításra vonatkozó törvények eltérőek lehetnek. Ha magán adatokat is tartalmaz (például neveket, címeket, telefonszámokat vagy hitelkártya adatokat), ezek az adatok különböző jogszabályok és szabályok alapját is képezhetik (például az EU GDPR-je, mint az európai adatvédelmi rendelet). A szolgáltatónak ezért ellenőriznie kell (és a szolgáltatási szintű megállapodásban meg kell jelölnie), hogy:
- Megfelelő biztonsági intézkedéseket hoznak az adatok védelme érdekében (illetéktelen hozzáférés ellen).
- Megfelelő biztonsági mentési intézkedések vannak érvényben az adatok biztonságos védelme érdekében (a törlés vagy az elvesztés ellen).
- Az adatvédelem garantált (és a megoldás támogatja a GDPR betartását).
- Minden GxP-kompatibilis megoldást érvényesíteni kell. Egy SaaS szolgáltatás esetén, amelyet akár nyilvános, akár privát felhő megoldásként kínálnak, ez kifejezetten azt jelenti, hogy a szolgáltatónak kell:
- Bizonyítani, hogy a monitorozó rendszer összes elemét a GAMP 5 szerint fejlesztették ki - ideértve a validálási tervet, a kockázatelemzést és az összes hardver- és szoftverösszetevő validációs jelentését
- Biztosítani a felhőszoftver IQ-dokumentációját.
- Biztosítani hatékony eszközöket az ügyfélspecifikus hardverkomponensek minősítéséhez és az ügyfél általi konfiguráláshoz: IQ (Telepítési Minősítés = "milyen mérőberendezést telepítettek?") És OQ (Operatív Minősítés = "működik-e a mérési hardver és szoftver konfigurációja a tervek szerint együtt (pl. riasztást adhat eltérés esetén)? ").
- A SaaS egyik legnagyobb előnye, hogy a szolgáltató gondoskodik a szoftverjavításokról és frissítésekről. Hogyan lehet biztosítani az ügyfél GxP-megfelelését? Ha egy auditor meg akarja látni a monitorozó rendszer validálási és minősítési dokumentációját, de a szoftvert folyamatosan frissítik, hogyan lehet ezt naprakészen tartani? Ez az a szempont, ami a legnagyobb különbséget mutatja a nyilvános felhő szolgáltatás és a magán felhő szolgáltatás között. Mindkét esetben a szolgáltatónak kell:
- A szolgáltatási szintű megállapodásban egyértelműen meghatározni az értesítésre, a dokumentációra és a kvalifikációra vonatkozó irányelveit (a Private Cloud SaaS esetében van még lehetőség tárgyalni ezekről az irányelvekről, hogy azok a telepítés előtt összehangolhatóak legyenek a szervezet előírásaival az értesítések, a tesztelés és a kvalifikálási lehetőségek vonatkozásában, előtérbe helyezve a szoftver javításokat vagy frissítéseket)
- Biztosítani a változáskezelési értesítéseket és dokumentációt (a javítások kisebb változások, amelyek esetében legalább dokumentálni kell; a frissítéseket előre be kell jelenteni, meg kell jelölni, hogy kisebb vagy nagyobb jelentőségű, és megfelelő módon dokumentálni kell). Helyes gyakorlatként minden dokumentumban egyértelműen fel kell tüntetni, hogy az ügyfélnek intézkednie kell-e (vagy sem) (ez csak jó gyakorlat, mivel a GxP-megfelelés biztosításának felelőssége mindig a szoftvert használó szervezeté.)
- A fentiek mindegyikének bármikor elérhetőnek kell lennie az ügyfél számára, beleértve az ellenőrzést is (ideális esetben online a Cloud szolgáltatás részeként).
- Az ügyfélnek képesnek kell lennie a szolgáltatóra bízni, hogy az adat integritása mindig biztonságos. A szolgáltatónak kell:
- Meggyőződ arról, hogy a nyers adatokat (mérési értékeket) egyáltalán ne lehessen megváltoztatni.
- Létrehozni egy ellenőrzési eljárást, amely nyomon követi az összes változást.
- A szolgáltatási szintű megállapodásban nyilatkoznia, hogy gondoskodik az adatok pontosságának, következetességének és teljességének fenntartásáról és biztosításáról a teljes életciklusa alatt.
- Fontos szempont az üzletmenet folytonossága - ezért egy SaaS rendszerben, ahol az ügyfélnek nincs beleszólása, hogyan működik a rendszer, a szolgáltatónak kell:
- Meghatározni meg és garantálni a rendszer teljesítményét és elérhetőségét egy szolgáltatási szintű megállapodásában. >> Gondoskodnia kell a rendszer és az adatok rendszeres biztonsági másolatairól, és a helyreállításról, valamint a rendszeres dokumentálásról.
- Figyelemmel kísérni a szolgáltatás elérhetőségét és teljesítményét, és jelentéseket szolgáltatni az ügyfél számára.
- Az archiválást a GxP rendeletek nem határozzák meg egyértelműen, és nyitva hagyják mindenki számára, hogy sajátosan értelmezzék. Az ellenőrzések során gyakran hallható a 10 éves, néha 15 éves archiválási időszak. Könnyű éveken át tárolni az elektronikus adatokat, ám hatalmas probléma az elemzésre alkalmas szoftverek rendelkezésre állása. Általában az a romantikus gondolat, hogy amikor az adatokat archiválják, akkor örökké rendelkezésre kell állniuk, ugyanúgy, mint a létrehozásukkor (ugyanaz a szoftver, ugyanaz az interfész). A Wikipedia szerint: "Az adatok archiválása azon adatok mozgatásának folyamata, amelyet már nem aktívan használnak, külön tárolóeszközre a hosszú távú megőrzés céljából. Az archív adatok régebbi adatokból állnak, amelyek továbbra is fontosak a szervezet számára, és amelyekre későbbi referencia miatt lehet szükség, valamint olyan adatokból áll, amelyeket meg kell őrizni a jogszabályok betartása érdekében." Tehát definíció szerint a "arhív adat" mást jelent, mint a "folyamat adat":
- A folyamatadat tulajdonképpen "friss adat", amelyeket üzleti döntések meghozatalához használnak (pl. egy termék, stabilitási tanulmányhoz átlagos kinetikus hőmérséklet (MKT) kiszámítása). Két éven keresztül a szolgáltatónak biztosítania kell, hogy a folyamatadatok - elektronikusan elérhetők legyenek a vizualizációkhoz (pl. nagyítás, átfedés) - könnyen megjeleníthetővé kell tenni a statisztikákat (pl. kiszámítani az átlagos kinetikus hőmérsékletet (MKT)), - lehetővé kell tenni, hogy jelentéseket lehessen generálni és megjegyzésekkel ellátni (pl. döntés közzététele), - lehetővé kell tenni az adatok exportálását (pl. egy magasabb szintű irányítási rendszerbe).
- Az első két év után az adatokra már nincs szükség az üzleti folyamatokban, és általában megváltoztatja helyét és formáját, hogy archív adatokká váljon. A szolgáltatónak gondoskodnia kell arról, hogy az Archívum adatok legalább 10 évig elérhetőek legyenek, és megfeleljenek a következő követelményeknek:
- egyértelműen címkézve legyen (pl. havi jelentés szenzoronként)
- rekordként "emberi olvashatósággal" (pl. PDF / A jelentés)
- biztonságos archívumban (például egy meghajtóban, amelyről rendszeresen biztonsági másolatot készül egy másik fizikai helyre)
- A GxP-monitoring szolgáltató kiválasztásakor az ügyfél függ a szolgáltatótól. Hogyan biztosítható, hogy az adatok továbbra is rendelkezésre álljanak, ha a szolgáltató megszűnik, vagy a szolgáltatást már nem kínálják?
- Ügyeljünk arra, hogy az adatok másolatát (például az érzékelők havi jelentését) emberi olvasható formátumban (pl. PDF / A) tároljuk az saját telephelyen (például automatikus havi e-mail a cégen belüli e-mail fiókhoz).
- A szolgáltatási szintű megállapodásnak tartalmaznia kell, hogy az ügyfél az adatok tulajdonosa marad, és hogy az adatok letölthetők legyenek a szolgáltatás befejezése előtt.
- A szolgáltatási szintű megállapodásnak meg kell határoznia egy betartható felmondási időszakot a szolgáltatás megszűnése előtt.
- A fent említett intézkedéseket meghatározó szolgáltatási szintű megállapodás mellett a szolgáltatónak el kell fogadnia az ügyfelek által végzett helyszíni ellenőrzéseket is. Ezen ellenőrzések részeként az ügyfeleknek képesnek kell lenniük:
- Hozzáférni a GAMP 5 részletes dokumentációhoz, ami hitelesíti a szolgáltató érvényesítési tanúsítványát.
- Elolvasni a vonatkozó fiókkezelési irányelveket, pl. a Cloud szerverek fiókjaihoz (a szolgáltató oldaláról ki férhet hozzá a felhő infrastruktúrájához? Ezek a személyek milyen utasításokat hajtanak végre, hogyan történt a képzésük)
- Áttekinteni az ügyfélfiókok fiókkezelési irányelveit (a szolgáltató oldaláról ki férhet hozzá az ügyfél egyes adataihoz? Hogyan utasítják / képzik ezeket a személyeket?) Áttekinteni a Cloud infrastruktúrára vonatkozóan a harmadik féllel megkötött szerződéseket / szolgáltatási szintű megállapodásokat (például az Amazon Web Services, Microsoft Azure stb.), ha ilyen megállapodások léteznek.
- Áttekinteni a "szolgáltatási szervezeti vezérlés (SOC) 2" jelentéseket az adatközpont vagy felhőinfrastruktúra szolgáltatóra vonatkozóan. Az SOC 2 jelentés az üzleti vállalkozások nem pénzügyi beszámolóinak ellenőrzésére összpontosít, mivel azok a rendszer biztonságával, rendelkezésre állásával, a feldolgozás integritásával, titkosságával és hitelesítésével kapcsolatosak, szemben az SOC 1 / SSAE 18-lal, amely a pénzügyi beszámolási ellenőrzésre összpontosít [ 8].
Következtetés
Ha helyesen alkalmazzák, akkor a felhőalapú monitoring rendszerek olyan előnyöket kínálnak, mint a költséghatékonyság, a méretezhetőség, a kényelem (nincs hardver és szoftver karbantartás), a magas szintű professzionális biztonsági mentési és helyreállítási stratégiák stb. azon a vállalatok számára, amelyeknek be kell tartaniuk a GxP előírásait. Az validálási és kvalifikálási igényeket illetően ugyanazok a követelmények vonatkoznak a felhőalapú szolgáltatásokra, mint az önműködő rendszerekre. Ez azt jelenti, hogy a dokumentáció mindent visz, és a dokumentációval kapcsolatos megosztott felelősségeket egyértelműen meg kell határozni a szolgáltatási szintű megállapodásban. A szolgáltatási szintű megállapodás részeként meg kell határozni azokat a kritikus folyamatokat is, mint a változáskezelési folyamat, az adatok biztonsági mentése és megőrzése az üzleti folyamatosság biztosítása érdekében, vagy a hosszú távú archiválás.
Ezenkívül azt javasoljuk, hogy kérje a szolgáltatójától, hogy fogadja el az ügyfelek által végzett helyszíni ellenőrzéseket, ahol hozzáférést kap további, részletesebb dokumentációhoz. Mindezek meghatározása és a szolgáltató által elérhető átfogó, de kezelhető dokumentumkészlet nemcsak a GxP környezetben működő ügyfelek számára biztosítja a szükséges támogatást és biztonságot, hanem elősegíti a felhőalapú szolgáltatás közötti szoros partnerség kialakítását és létrehozását a szolgáltató és az ügyfél között. Az erős partnerkapcsolat lehet legfontosabb sikertényező, hogy elérjük kívánt megfelelőségi szintet és a betegek biztonságáért felelős felhasználó "audit alkalmasságát".
Ha többet szeretne tudni az ELPRO Cloud megoldásáról, amelyet laboratóriumok, gyógyszertárak és olyan létesítmények számára fejlesztettek ki, ahol szempont dobozos megoldás, és a könnyű telepíthetőség, további információt talál az ELPRO Cloudról itt.
Ellenőrzőlista a felhő GxP figyelő környezetben történő használatához
Természetes, hogy sok kérdés merül fel, ha kiszervezzük az adatainkat, de ez tényleg kiszervezés? Kinek a birtokában vannak az adatok? Biztosítja-e az SaaS adatok mentését és helyreállítását? A szolgáltató elfogad-e helyszíni ellenőrzéseket?
Töltse le a teljes ellenőrző listát a Cloud használatához.
Microsoft Azure - Felhő és számítástechnikai szakkifejezések
https://azure.microsoft.com/hu-hu/overview/cloud-computing-dictionary/