2024-04-10
由于云能够带来显著的财务优势和组织优势,因此制药行业的趋势也是在向云计算发展,与此同时我们也应考虑到潜在的合规风险和监管限制。以下是来自制药行业和监管部门的九位专家针对[云计算技术基础]主题发表的系列GxP相关问题:
l 云计算技术基础
l 法规和检查员的期望
l 客户-供应商关系
l 针对云服务提供商(CSP)要求
l 对于供应商评估和供应商审核要求
l 对于确认/验证要求
以下问题是我们将在接下来的几周内在本网站的GMP新闻文章中发布的一系列问题之一。
问题15:SaaS系统验证的特殊考虑,谁负责?——确认/验证需求
SaaS代表“软件即服务”,是云服务提供商(CSP)的几种服务模型之一。SaaS意味着CSP提供和管理包括基础设施和平台在内的完整的应用程序。受监管的公司支付订阅费,但无需投资服务器硬件和软件开发。因此,它只需为系统使用和运营支付费用,而CSP负责IT基础设施的管理和维护以及应用系统的持续更新。
然而,坦率地说:责任是无法委派的!受监管的公司仍然对应用程序的合规使用和由CSP执行的实施负有全部责任。这种责任可以通过对提供SaaS解决方案的CSP进行资格认证以及对解决方案本身进行验证来实现。
对于任何其他软件应用程序而言,首要步骤是将需求写下来,例如写成用户需求规范(URS)。URS定义了应用程序的用途,并可作为一个基线,用来评估不同CSP及其应用程序,通常URS中也包括商业层面的要求。受监管公司应该对在其候选名单上的CSP进行资格审查,形式可以视情况从填写问卷到进行为期多天的现场审计,具体取决于应用程序的风险和该程序所需处理的数据。
因此,CSP的透明度以及客户/供应商之间的关系和合作方式,都将显著影响验证过程。基本上,SaaS应该被视为一种需要像任何其他类型的软件一样进行验证的“黑盒子”解决方案。然而,以下方面需要特别注意:
ü CSP/供应商提供的文档 - 这一方面的重要性在于它不仅仅影响应用程序本身,还包括基础设施、操作系统的安装、部署和运维。
ü 供应商的活动(针对验证)和应用程序的质量 - 过审查CSP的文件可以验证这两个方面。
ü 数据安全、隐私和保护- 适用通用数据保护条例(GDPR),受监管公司需要了解其数据的存储和处理方式以及多租户系统如何分离和保护其数据。
ü 更新策略/部署
除了在初步评估时对应用程序的质量进行评估外,受监管公司还需要了解供应商进行配置管理、变更控制、错误纠正和系统部署的流程和方法,所有这些都有助于维持系统的高质量和始终处于验证状态。通常,在SaaS模式下,受监管公司不参与也无法控制系统更新的范围和时间。
退出策略
最后,在评估过程中应该考虑到的一个重要的方面是退出策略:SaaS解决方案很方便,但可能会导致依赖(“供应商锁定”)。请记住,CSP负责运维应用程序,同时还存储和管理您的数据。
总的来说,SaaS的验证策略遵循与传统计算机化系统验证(CSV)相同的原则。然而,SaaS引入了新的风险并转移了关注重点,CSP/供应商的活动在其中扮演了更重要的角色。
