Cloud Computing im validierten Umfeld?

Cloud Computing konfrontiert die Life Sciences Branche mit ganz neuen Herausforderungen. Cloud Computing ermöglicht es Firmen, ihre Betriebsprozesse schneller an die Markterfordernisse anzupassen als es mit herkömmlichen Technologien möglich ist; entsprechend groß ist der Druck, sich damit auseinanderzusetzen. Kann man Cloud Computing überhaupt im regulierten Umfeld einsetzen? Diese allgemeine Frage lässt sich nicht generell beantworten und bedarf besonderer Betrachtung.

• Welche Ziele will man mit der Cloud-Lösung erreichen, sind die Anforderungen klar definiert?
• Wird die Cloud-Lösung vorgesehen, um GxP relevante Daten zu erstellen, zu ändern, zu pflegen, zu archivieren, abzurufen oder zu übertragen?
• Wo werden diese GxP relevante Daten gespeichert und wer ist verantwortlich für die Datenqualität, Vertraulichkeit und Integrität?
• Welches Cloud Deployment Model wird angestrebt (IaaS / PaaS / SaaS)? Welche Rolle ist dabei dem Cloud Service Provider zugedacht (siehe Bild)? Welches Cloud Service Modell wird angedacht (public - private - community - hybrid cloud)? Wurden die Dienstleistungen des Cloud Service Providers z. B. im Rahmen eines SAS70 / SSAE 16 Audits überprüft?
  
  

• Sind die relevanten Compliance-, Qualitäts-, Sicherheits- und Datenschutzanforderungen klar definiert? Jedes Cloud-Modell hat seine eigene Risikosignatur. Aufgrund einer Risikoanalyse sollten die organisatorischen und technischen Maßnahmen definiert werden, um die spezifischen Cloud Datenintegritätsrisiken zu beherrschen. Dabei geht es unter anderem um technische Themen wie: Welche Verschlüsselungstechnologie soll einsetzt werden? Wie wird das eigene Identity und Access Management in das des Dienstleisters integriert? Welche Intrusion Prevention Lösung soll der Dienstleister einsetzen, um seine Daten zu schützen? Wie sieht der Standard Computer / Browser aus, mit dem auf der Cloud zugegriffen wird?

Wenn die Antworten mehrheitlich zu Gunsten des Cloud Computings ausfallen, gelten folgende Ansätze um die Umgebung zu validieren:

• Entwicklung spezifischer Cloud Compliance / Governance Policies, Validierungsstrategien und Service Agreements
• Integration der Cloud Lösung mit bestehenden Enterprise Services
• Durchführen einer Machbarkeitsstudie (inkl. Validierung) bevor die Cloud in Betrieb genommen wird
• Manage the cloud environment.

Léon van Deurse
Chemgineering GmbH

Definitionen:

Cloud Computing umschreibt den Ansatz, abstrahierte IT-Infrastrukturen (z. B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen.
Public Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen für die breite Öffentlichkeit über das Internet.
Private Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen innerhalb der eigenen Organisation.
Hybrid Cloud bietet kombinierten Zugang zu abstrahierten IT-Infrastrukturen aus den Bereichen von Public Clouds und Private Clouds - nach den Bedürfnissen der Nutzer.
Community Cloud bietet Zugang zu abstrahierten IT-Infrastrukturen, wie bei der Public Cloud - jedoch für einen kleineren Nutzerkreis, der sich, meist örtlich verteilt, die Kosten teilt

Mit IaaS - Infrastruchture as a Service - gestalten sich Nutzer frei ihre eigenen virtuellen Computer-Cluster und sind daher für die Auswahl, die Installation, den Betrieb und das Funktionieren ihrer Software selbst verantwortlich.
Mit PaaS - Platform as a Service - entwickeln Nutzer ihre eigenen Softwareanwendungen oder lassen diese innerhalb einer Softwareumgebung ausführen, die vom Dienstanbieter (Service Provider) bereitgestellt und unterhalten wird
SaaS - Software as a Service - Dienstanbieter offerieren eine spezielle Auswahl von Software, die auf ihrer Infrastruktur läuft. SaaS wird auch als Software on demand (Software bei Bedarf) bezeichnet.

Links:

Hinweis zur angekündigte FDA-Guidance "GxP Considerations for Outsourced IT (Cloud Computing) Systems in Medical Product Manufacturing and Clinical Study Environments"