问题1:Iaas/PaaS/SaaS/XaaS是什么意思?
IaaS、PaaS和SaaS是各种云服务提供商(CSP)产品的缩写和不同等级(或服务模型)。“aaS”始终代表“即服务”。在XaaS中,X是I、P或S的占位符,表示基础架构、平台或软件。有时,XaaS也被称为“Anything as a Service”或“Everything as a Service”,可以具有非常具体的特征,例如“高性能计算即服务(HPCaaS)”或“人工智能即服务(AIaaS)”。
CSP根据基本服务模型提供各种服务和优势,要执行的任务可能会相应变化,见下表:
n对于传统上在本地运行的计算机化系统或应用程序,受监管的公司(或其IT部门或IT服务提供商,如果外包)负责与计算机化系统验证(CSV)相关的所有任务。
nIaaS:如果基础结构由CSP提供和管理,则该模型称为IaaS。在这里,受监管公司的任务和职责从操作系统的安装开始。
n在下一个级别,CSP接管基础结构和操作系统的安装和运营。受监管的公司介入运行时环境的配置。
nSaaS:对于此模型,CSP在基础结构和操作系统之上提供和操作运行时环境和应用程序的配置。
换句话说,活动从用户(作为客户的受监管公司)转移到云服务提供商(供应商)。但是,应用程序的验证和操作以及所有相关主题(如数据完整性、数据隐私、数据安全等)的责任仍由受监管的公司承担。
问题 2:有哪些云模型,它们在GxP环境中的哪些应用?
基本上,云模型的分类没有统一的规范。NIST(美国国家标准与技术研究院)制定了所谓的“部署模型”,它描述了一种广泛使用的分类(The NIST Definition of Cloud Computing,Special Publication 800-145,Sept.2011):
n私有云:在私有云中,云基础架构仅供一个机构运行。它可以由机构本身或第三方组织和管理,可以位于机构本身的数据中心或第三方机构中。
n公有云:如果服务可以被公众或大型群体(例如整个行业部门)使用,我们称之为公有云;这些服务由相应的云服务提供商在其设施/数据中心提供。
n社区云:在社区云中,云基础设施由具有相似兴趣(例如,在安全性、合规性方面)的多个机构共享。这样的云可以由这些机构之一或第三方运营。
n混合云:如果通过标准化接口共享多个相互独立的云基础架构,则称为混合云。
在私有云中,提供商和用户通常是相同的,用户可以完全控制所使用的服务,而在公共云中,用户将控制权转移给云服务提供商。但是,上述定义并未涵盖云服务的所有变体,因此需要进一步定义,例如“虚拟私有云”等。云模型的另一个常见区别是按“服务模型”(SaaS、PaaS、IaaS)分类 - 请参阅问题 1。
基本上,所有“部署模型”或“服务模型”也用于GxP监管的行业。在这里,云模型的选择主要基于云服务支持的GxP流程的关键性以及流程中处理的数据。例如,支持培训过程的工具,即所谓的学习管理系统(LMS),通常作为公共云获得许可。相比之下,非常关键的应用程序(例如试用主文件的管理)最多在社区云服务的框架内运行。
无论流程和数据的重要性如何,受支持流程的特定特征都支持使用社区或私有云产品:流程越专业化(例如,维护跟踪主文件),潜在订阅者群体就越小、越专业。
问题 3:选择特定云模式(私有云、社区云、公有云)的原因是什么?
除了商业原因(在GxP监管的应用程序上下文中不再进一步讨论)之外,实际原因通常在云模型的选择中起作用。特别是,IT资源相对有限的小公司倾向于使用云服务,而这些服务是他们无法用自己的资源提供的。这可能是因为他们没有足够的人力资源来提供所需的所有主题,或者因为他们根本没有必要的专业知识(与流程相关的技术、数据安全)。
在GCP领域,那里普遍存在的特殊条件也出于非常实际的原因促进了云服务的使用:临床试验与许多方(医院、医生、CMO、申办者)共享,通常是全球性的。此外,有关各方的组成不是一个固定的群体,但可能会发生变化。云服务通过互联网普遍可访问,支持这种工作方式,并且由于其国际化定位而专为24x7全天候操作而设计。
另一个需要考虑的因素,尤其是在选择云服务时,是系统支持的GxP流程的安全要求。在附件11中,明确要求制药公司将所需的安全措施与风险保持一致(欧盟GMP附录11[12.2]:“安全控制的程度取决于计算机化系统的关键程度)”。
这可能意味着,出于GxP数据完整性的原因,通常不应在公共云中处理特别敏感的数据。这种决策需要所有专业学科(IT、流程所有者、QA)的合作,以实现经过深思熟虑、技术上合理的风险评估。这尤其需要深入的IT专业知识,因为“数据安全”的主题可能非常复杂(云服务的嵌套、跨多个数据中心的冗余、使用的身份验证提供商等),并且可能会发生永久性变化。
如果基于计算机的系统所支持的业务流程对数据和功能的可用性提出了很高的要求,这可能会对基于云的服务的适用性产生直接影响:
n无论是对互联网连接的额外依赖,还是主张可以通过LAN访问的“本地”实现;
n虽然跨多个区域的高度冗余设计以及易于水平扩展对于使用云服务至关重要,而不是安装在本地网络上。
特别是在GCP领域,数据保护要求(例如,临床试验中的个人数据)起着至关重要的作用。因此,数据保护决定了是否考虑了所需的云服务,如果是,则使用的数据中心必须位于哪个国家/地区。
即使这不是基于GxP要求,对敏感数据(例如,来自临床研究或产品开发的数据)的机密性的高要求也可以决定是否考虑云服务或限制云服务。
问题 4:SaaS封闭系统是否符合21 CFR PART 11?
SaaS和“封闭系统”这两个术语并不相关,即一个既不暗示也不排除另一个。首先,SaaS是一种服务模型,用于由云服务提供商(CSP)在云中(即通过互联网)提供软件应用程序。这要求数据至少暂时传输到云中,并在云中存储和处理数据,通常是永久性的。
另一方面“开放”和“封闭”系统的定义并不是指提供数据或应用程序的方式,而是定义了预期的控制级别。这种对数据和应用程序的控制主要通过与访问保护、用户身份和权限管理以及加密相关的操作和技术措施来实现。因此,控制级别并不独立于SaaS,而是代表了不同的维度。
在§11.3(b)(4)中,21 CFR PART 11将封闭系统定义为“系统访问由负责系统上电子记录内容的人员控制的环境”。相比之下,§11.3(b)(9)将开放系统定义为缺乏这种控制的系统。因此,封闭和开放系统的验证、数据隐私等措施有很大不同,分别在第§11.10和§11.30段中进行了详细定义。
因此,每个SaaS提供的应用程序可能是一个开放系统,但通常作为封闭系统运行,尤其是在处理关键、敏感或可信数据(通常:值得保护的数据)时。
上一篇:分享!关于制药企业的微生物鉴定
下一篇:【验证专题】干热灭菌验证怎么做?