问题5：德国 AMWHV （Arzneimittel-und Wirkstoff-Herstellungs-Verordnung）要求根据制造商的授权，所有数据都存放在场所内。那么云解决方案是否可行？

德国EFG（专家工作组）11将这个问题的法律依据解释为对“电子数据存储要求”的投票的一部分。

AMWHV第20条规定，文件必须“根据《德国药品法》第13条、第72条或第72c（4）条的规定，存放在许可证所涵盖的场所的适当区域”。

在制药环境中，数字化和用电子记录（电子记录）取代纸质文档的趋势正在稳步增长。与此同时，跨国公司正在全球引入计算机化系统作为客户端/服务器解决方案。这涉及企业资源规划（ERP）系统、制造执行系统（MES）、实验室信息和管理系统（LIMS），以及变更系统、CAPA和培训管理系统。近年来，将部分或全部IT和基于计算机的系统外包给第三方，转而采用各种云服务模式：基础设施即服务（IAAS）、平台即服务（PAAS）和软件即服务（SAAS），后者作为服务模式变得越来越普遍。

就电子文件而言，如果许可证所涵盖的房间内至少有一个终端（例如终端或PC加打印机），则满足根据《德国药品法》第13条、第72条或第72c（4）条将电子记录/文件存储在许可证所涵盖的房间内的要求，以便可以访问全部数据和元数据，可以在数据载体上生成可读的打印输出和副本。同样，（内部或外部）服务提供商必须满足IT基础设施（IAAS、PAAS）、应用程序验证（SAAS）和确保可用性、可读性和完整性的要求。

问题6：常见认证（例如 27000ff）是否可靠地证明云服务提供商是合适的，或者认证必须满足哪些要求才能在CSP的适用性中发挥作用？

供应商和服务提供商必须拥有质量保证体系这一事实源自EU-GMP附录 11：3.4 应根据要求向检查员提供关于所用软件和系统的供应商或开发商的质量体系和审计信息。

从附录 11中无法确定它应该是什么样的质量体系。然而，德国EFG 11 在其Votum V1100202“保留电子数据的要求”中对此问题发表了评论。它指出：在下文中，制定了对CSP质量和数据完整性（针对动态和静态数据）的要求，这些要求在欧盟GMP指南中没有以这种方式明确发现，但从EFG 11的角度来看被认为是合理的：

n处理机密数据或具有高可用性要求的数据的CSP必须具有经过认证的ISMS（例如，根据 DIN 27001）。然而，从法律角度来看，这是否可以执行还有待观察。

问题7：我们是否可以假设，如果实施了适当的QMS，并且CSP的行为符合该QMS（作为审计的结果），则根据规范提供的服务功能和操作控制按照CSP的内部程序进行？

根据附录11，使用计算机化系统不会导致质量保证下降。对服务提供商的评估包括对其质量保证体系的评估。除了此初始评估外，第7章还要求RU（受监管用户）通过监督KPI来持续监控服务提供商。

在应用和适当的质量管理体系的情况下，可以假设将执行质量管理体系中定义的操作控制，并且不符合规范的结果将在偏差/OOS的含义内得到解决。

然而，RU（受监管用户）在实施QMS时需要持续评估合规性。《欧盟良好生产规范指南》第7章规定：“合同制定者最终负责确保流程到位，以确保对外包活动的控制”。类型和范围可以根据风险来定义，并且它们受到服务提供商持续监控的经验的影响。

问题8：服务提供者的变更控制必须涵盖哪些内容，必须以何种方式将合同人纳入该系统？

尽管受监管公司对患者安全、产品质量和数据完整性的责任不能委托给云服务提供商（CSP），但CSP仍然发挥着重要作用，并接管了重要的任务，例如规范、验证和更改文档（除了实施之外），无论是在基础设施（IaaS）、平台（PaaS）、或应用程序（SaaS）本身。受监管公司的目标之一是维护系统的验证和合规状态。这需要相应的验证措施（影响分析、风险评估以及进一步的测试和文档活动，如果适用），这些措施通常需要了解CSP执行的更改或在CSP执行的更改。

因此，建议使用验证概念的以下元素：

n受监管的公司验证CSP是否建立了高质量且合规的变更控制流程（例如通过审计）。

n服务水平协议（SLA）确保在必要的范围内按时获得有关计划和所需变更的信息（和文档），使受监管公司能够进行（风险）评估并酌情计划所需的措施。