Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Google Cloud-Whitepaper

Google Cloud in GxP-Systemen verwenden

Mai 2020

1.0 Einführung

Cloud-Computing kommt aufgrund der strategischen und operativen Vorteile mit zunehmender Regelmäßigkeit in biowissenschaftlichen Unternehmen zum Einsatz. Cloud-Computing ermöglicht regulierten Unternehmen die Nutzung globaler Plattformlösungen für die Datenverwaltung und -analyse und bietet die Option, regulatorische Verpflichtungen effizienter zu erfüllen. Bei Google sind wir mit den Anforderungen, Einschränkungen und Überlegungen vertraut, die unsere Kunden aus den Biowissenschaften im Hinblick auf die Migration ihrer Arbeitslasten zur Cloud haben. In diesem Whitepaper beschreiben wir, wie Google Cloud Kunden unterstützt, die die Cloud für den Aufbau einer GxP-orientierten IT-Umgebung nutzen möchten. Dazu gehören unser Ansatz zur Verwaltung von Qualität, Sicherheit und Compliance für Google Cloud sowie die organisatorischen und technischen Kontrollen von Google zum Schutz von Kundendaten.

Was ist Google Cloud?

Google Cloud ist eine Suite an Cloud-Diensten, die allgemein nach Infrastruktur, Plattform und Softwarelösungen kategorisiert sind. Neben diesen Diensten bietet Google Cloud eine Reihe an Tools, von intelligenten Analysen bis hin zu Funktionen, die künstliche Intelligenz nutzen. Im Kern besteht Google Cloud aus einer Reihe physischer Assets, darunter Computer und Festplattenlaufwerke, sowie aus virtuellen Ressourcen wie VMs (virtuelle Maschinen), die über die Google-Rechenzentren weltweit bereitgestellt werden. Jeder Standort eines Rechenzentrums befindet sich in einer Region. Regionen sind in Asien, Australien, Europa, Nordamerika und Südamerika verfügbar. Jede Region besteht wiederum aus verschiedenen, voneinander isolierten Zonen. Diese Verteilung von Ressourcen hat mehrere Vorteile, unter anderem den der Redundanz im Falle eines Ausfalls sowie eine reduzierte Latenz, da sich Ressourcen näher am Kundenstandort befinden.

Beim Cloud-Computing wird das, was Sie als Software- und Hardware-Produkte kennen, zu Diensten. Diese Dienste ermöglichen Ihnen Zugriff auf die zugrunde liegenden Ressourcen. Die Liste der verfügbaren Google Cloud-Dienste ist sehr umfangreich und wird ständig erweitert. Wenn Sie Ihre Website oder Anwendung in der Google Cloud entwickeln, können Sie diese Dienste zu Kombinationen zusammenstellen, die die von Ihnen benötigte Infrastruktur oder Lösung bereitstellen, und dann Ihren Code hinzufügen, um die gewünschten Szenarien zu ermöglichen.

Was ist GxP?

GxP ist eine Abkürzung aus den Biowissenschaften und verweist auf verschiedene „Best Practice“-Bestimmungen und -Richtlinien für medizinische Produkte. Die Variable „x“ in GxP deckt eine Vielzahl an Prozessen ab, die bei der Entwicklung, Herstellung und Verteilung regulierter Produkte verwendet werden. Spezifische GxP-Kriterien finden Sie in den Bestimmungen und Richtlinien von Behörden (z.B. Federal Food, Drug and Cosmetic Act) sowie in den Best Practices der Branche. Obwohl GxP eine beliebige Anzahl an Themen abdeckt, haben die verschiedenen Behörden zur besseren Übersicht fast gleichlautende Anforderungen in den Bereichen Fertigung, Dokumentation, Qualifikationen und Training für Mitarbeiter sowie Vertrieb und Lagerung übernommen. Für biowissenschaftliche Organisationen, die in den USA tätig sind, finden sich die GxP-Anforderungen im Allgemeinen im CFR (Code of Federal Regulations). 1

Hier die wichtigsten Maßnahmen:

  • Good-Manufacturing-Practice (GMP, Gute Herstellungspraxis): 21 CFR Teile 210 und 211 (für Arzneimittelprodukte)

  • Quality System Regulation (QSR, Regelung des Qualitätssystems): 21 CFR Teil 820, (für medizinische Geräte)

  • Good Laboratory Practice (GLP, Gute Laborpraxis): 21 CFR Teil 58, (für nicht-klinische Laborstudien)

  • Good Clinical Practice (GCP, Gute klinische Praxis): Umfasst mehrere Vorschriften und Leitlinien, die für wissenschaftliche Studien gelten2

  • Good Distribution Practice (BIP, Gute Vertriebspraxis): Umfasst verschiedene Bestimmungen und Richtlinien, die in den 21 CFR Teilen 211 und 820 behandelt werden, einschließlich derer, die sich auf die Handhabung, Lagerung und Installation beziehen

GxPs wurden entwickelt, um sicherzustellen, dass medizinische Produkte wie Medikamente, Geräte und Biologika sicher sind, ihren Verwendungszweck erfüllen und während des gesamten Herstellungs- und Vertriebsprozesses Qualitätsverfahren einhalten. Dieses Whitepaper konzentriert sich auf die GxP-bezogenen Themen, die für Unternehmen der Biowissenschaft am relevantesten sind, und insbesondere darauf, wie die Google Cloud von Unternehmen als Element ihrer GxP-Compliance-Systeme genutzt werden kann.

Wie können Kunden Cloud-Dienste in GxP-Systemen nutzen?

Unsere Kunden aus dem Bereich Biowissenschaften, von denen viele GxP-Anforderungen unterliegen, nutzen Google Cloud auf eine Art und Weise, die nicht nur dazu beiträgt, die Compliance zu erfüllen, sondern auch zu differenzierten Funktionen, technologischen Fortschritten und organisatorischer Effizienz führt. Ein paar repräsentative Beispiele sind:

  • Da diese Art von Kunden eine klinische Studie leitet, unterliegen sie der guten klinischen Praxis und bestimmten Anforderungen, die dem Schutz der Patienten dienen. Der Umfang klinischer Studien kann stark variieren, wobei einige Studien nur die Nutzung einiger weniger regionaler Standorte erfordern, während andere Daten von Tausenden von Patienten über Dutzende von Standorten weltweit benötigen. Mit Google Cloud-Diensten können Nutzer eine beliebige Anzahl von maßgeschneiderten Anwendungen und Lösungen erstellen, die ihren Anforderungen entsprechen. Durch die Verwendung eines Online-Workflows für das Onboarding und die Nachverfolgung von Patienten könnte ein CRO zum Beispiel die Pflege und Prüfung von Papierunterlagen, die sich physisch an jedem Standort befinden, überflüssig machen. Google Cloud-Dienste können auch dazu beitragen, die Einhaltung der Verfahren für klinische Studien zu verbessern, indem sie dem CRO Echtzeit-Feedback darüber geben, wie die Standorte die geltenden Protokolle einhalten. Darüber hinaus ermöglicht die Speicherung von Studiendaten in der Cloud den Zugriff auf die Daten an jedem Ort und zu jeder Zeit durch die entsprechenden Teams, mit einer größeren Kontrolle über die Zugriffsanforderungen der Nutzer als bei herkömmlichen Papierakten.

  • Ein Hersteller in den Biowissenschaften nutzt eine in der Cloud gehostete interaktive Sprachdialogplattform, um Kunden-Zuzahlungskartenanfragen zu verwalten.

    Je nachdem, wie die Plattform Informationen sammelt, unterliegt der Prozess der guten Praxis der Pharmakovigilanz oder der Sicherheitsberichterstattung (GPvP). Wenn das System in der Cloud gehostet wird, muss der Kunde berücksichtigen, wie die Infrastruktur qualifiziert oder bestimmt wurde, um die Anforderungen zu erfüllen. Die Organisation kann auch Kontrollen unterliegen, die sicherstellen, dass die GxP-Aufzeichnungen, in diesem Fall Anrufnotizen, angemessen geschützt sind. Die Anforderungen der FDA an elektronische Aufzeichnungen in 21 CFR Teil 11 sehen vor, dass alle Änderungen an Daten, die in elektronischen Systemen gespeichert sind, aufgezeichnet und einer entsprechenden Person zugeordnet werden. In diesem Beitrag skizzieren wir, wie Google Cloud Kunden helfen kann, diese Anforderungen zu erfüllen.

Wie unterstützt Google Cloud Kunden bei der Einhaltung der GxP-Anforderungen?

Als führender Clouddienstanbieter unterstützt Google Cloud bei Biowissenschaftsorganisationen gemäß 21 CFR Teil 11 und den entsprechenden globalen Entsprechungen die Anforderungen an die elektronischen Aufzeichnungen der FDA.3 Die administrativen, physischen und technischen Kontrollen von Google Cloud helfen unseren Biowissenschafts-Kunden, ihre Qualitäts- und Sicherheitsziele zu erfüllen. Neben der zugrunde liegenden Infrastruktur und dem von Google verwalteten Betrieb bieten Google Cloud-Produkte auch Funktionen, die es unseren Kunden erleichtern, geltende GxP-Anforderungen zu erfüllen, indem sie ihre GxP-Aufzeichnungspflichten in der Cloud verwalten. Google setzt sich für den Schutz seiner Kundeninformationen ein und unterzieht sich routinemäßigen Audits durch unabhängige Dritte, um die Einhaltung zahlreicher weltweit anerkannter Sicherheits- und Datenschutzstandards zu überprüfen. In der Tat hat Forrester Research Google Cloud als Leader für Public Cloud Native Security für unsere Sicherheitsfunktionen und -merkmale und als Leader für Data Security Portfolio für unsere Sicherheitsproduktangebote ausgezeichnet.

In diesem Beitrag beschreiben wir die verschiedenen Maßnahmen, die Google Cloud ergreift, um Kunden bei der Anpassung an die GxP-Anforderungen zu unterstützen. Außerdem erklären wir, wie Unternehmen der Biowissenschaft die Google Cloud-Angebote so nutzen können, dass sie den verschiedenen Qualitäts- und Sicherheitsanforderungen der regulierten Industrie entsprechen. Während Verweise auf - und Details von - regulatorischen Standards und Richtlinien als Diskussionsrahmen zur Verfügung gestellt werden, stellen sie keine Rechtsberatung für pharmazeutische Organisationen oder andere Unternehmen dar.

Modell der geteilten Verantwortung

Während die Verantwortung für die GxP-Konformität letztlich bei unseren Kunden aus der Biowissenschaft liegt, hilft unser Modell der geteilten Verantwortung den Kunden, ihre Ressourcen effektiver einzusetzen, indem es den Aufwand für die Entwicklung und Wartung einer IT-Umgebung reduziert. Das Modell hilft, einige der administrativen und technischen Belastungen unserer Kunden zu verringern, da unsere Tools bei der effizienten Verwaltung und Kontrolle von Systemkomponenten helfen, auf die sich Organisationen, die GxP-Anforderungen unterliegen, oft verlassen. Außerdem wird ein Teil der Kosten für die Sicherheit auf Google Cloud verlagert und die Kosten für die GxP-Compliance können gesenkt werden. Wie diese illustrative, aber nicht endgültige Grafik zeigt, ist Google generell für die Sicherung unserer Infrastruktur verantwortlich und die Kunden sind für die Sicherung ihrer Daten verantwortlich. Die spezifischen Zuständigkeiten variieren je nachdem, ob ein Kunde IaaS-ähnliche Dienste auf Google Cloud wie Compute Engine, PaaS-ähnliche Dienste wie App Engine oder SaaS-ähnliche Dienste wie Google Workspace nutzt. Wir helfen unseren Kunden bei ihrem Teil der Verantwortung, indem wir Best Practices, Vorlagen, Produkte und Lösungen bereitstellen.

Geteilte Verantwortung

2.0 Google Cloud in GxP-Systemen verwenden

Als Cloud-Pionier ist sich Google seiner Verantwortung für die Sicherheit des Cloud-Modells voll bewusst. Unsere Clouddienste bieten von vornherein mehr Sicherheit als viele traditionelle lokale Lösungen. Sicherheit hat bei uns Priorität, um unsere eigenen Betriebsabläufe zu schützen. Da Google Prozesse jedoch auf derselben Infrastruktur ausführt, die auch unseren Kunden zur Verfügung steht, kann Ihr Unternehmen auch direkt von diesen Schutzmaßnahmen profitieren. Aus diesem Grund legen wir nicht nur viel Wert auf Sicherheit, sondern zählen auch den Datenschutz zu unseren primären Entwicklungskriterien. Sicherheit ist die treibende Kraft hinter unserer Unternehmensstruktur, unseren Schulungsprioritäten und Einstellungsprozessen. Sie bestimmt den Aufbau unserer Rechenzentren und die Technologie, die sich darin befindet. Sie ist ein zentraler Aspekt unserer täglichen Betriebsabläufe und Notfallplanung sowie der Art und Weise, wie wir auf Bedrohungen reagieren. Sie hat beim Umgang mit den Daten unserer Kunden höchste Priorität. Und sie ist der Grundpfeiler unserer Kontensteuerungen und Compliance-Audits sowie der Zertifizierungen, die wir unseren Kunden anbieten.

Dieser Abschnitt bietet einen Überblick darüber, wie die Tools und der Ansatz von Google Cloud in Sachen Sicherheits- und Qualitätsmanagement GxP-Systeme pharmazeutischer und anderer biowissenschaftlicher Organisationen unterstützen können. Außerdem fassen wir einige Aspekte unserer Cloud-Produkte und -Funktionen kurz zusammen, die unseren Kunden die Erfüllung der GxP-Anforderungen erleichtern können. Zuletzt prüfen wir relevante Google Cloud-Zertifizierungen, -Bescheinigungen und -Audits.

2.1 Anforderungen an elektronische Aufzeichnungen

Die FDA und ihre weltweiten Pendants haben Vorschriften und Verfahren entwickelt, die die sichere elektronische Speicherung der erforderlichen Dokumentation betreffen, einschließlich derjenigen, die sich unter anderem auf behördliche Einreichungen, interne Compliance-Richtlinien, Lieferanten-/Einkaufsinformationen und Kundenbeschwerden beziehen. Diese Bestimmungen dienen dem Schutz und der Verhinderung von Änderungen oder Löschungen von Daten, die deren Integrität beeinträchtigen könnten. In den USA wird die Einhaltung der Anforderungen an elektronische Datensätze oft als „Part 11 Compliance“ bezeichnet, benannt nach dem CFR-Teil, in dem die Anforderungen zu finden sind.4 Google ist sich bewusst, dass diese Schutzmaßnahmen der Produktsicherheit und -qualität dienen, und in diesem Teil beschreiben wir die Prozesse und Produkte, die es unseren Kunden ermöglichen, die Sicherheits- und Integritätsziele zu erfüllen, die durch die Part 11 Compliance gefördert werden.

Tabelle 1: Verallgemeinerte GxP-Anforderungen an elektronische Datensätze und Signaturen5

Anforderungen an elektronische Aufzeichnungen Anforderungen an elektronische Signaturen
  • Die Fähigkeit, ungültige oder geänderte Datensätze zu erkennen
  • Sichere, computergenerierte, mit Zeitstempel versehene Prüfpfade
  • Schutz von Datensätzen, um deren genaue und schnelle Wiederauffindung zu ermöglichen
  • Berechtigungsprüfungen für Systemzugang und -nutzung
  • Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit und konsistenter Leistung
  • Operative Systemprüfungen zur Durchsetzung der zulässigen Ereignisabfolge
  • Angemessene Personalqualifikation einschließlich angemessener Ausbildung, Schulung und Erfahrung
  • Angemessene Kontrollen über die Systemdokumentation, einschließlich Verteilung, Zugriff, Verwendung und Überarbeitung sowie Änderungskontrollen (Prüfprotokoll der Dokumentationsentwicklung und -änderung)
  • Verantwortungsrichtlinien für Aktionen, die unter dem Konto einer Person initiiert wurden
  • Mindestens zwei eindeutige Identifikationskomponenten (z. B. Nutzername und Passwort)
  • Regelmäßige Überprüfungen, Rückrufe oder Überarbeitungen von Anmeldedaten für die Autorisierung
  • Einsatz von Transaktionssicherungen zur Verhinderung, Erkennung und Meldung von Versuchen der unbefugten Nutzung.
  • Kontrollen für die Zusammenarbeit von zwei oder mehreren Personen, die nicht der eigentliche Eigentümer sind, um die elektronische Signatur des Einzelnen zu verwenden
  • Verfahren zur Verlustverwaltung, um potenziell kompromittierte Token, Karten und andere Geräte zu deautorisieren und temporäre oder permanente Ersatzgeräte mit geeigneten Kontrollen auszugeben.
  • Erstmaliges und regelmäßiges Testen von Geräten, wie z. B. Token oder Karten, um die ordnungsgemäße Funktionalität sicherzustellen
  • Verantwortungsrichtlinien für Aktionen, die unter der Signatur einer Person initiiert wurden

Verhaltensanforderungen, wie z. B. Einschränkungen bei der Weitergabe von Passwörtern, Schulung von Nutzern über die Bedeutung ihrer elektronischen Signatur und Verantwortlichkeit für die Verwendung einer elektronischen Signatur liegen in der Verantwortung des Kunden und werden in diesem Teil nicht weiter beschrieben. Weitere Informationen zum „Modell für geteilte Verantwortung“ finden Sie in Teil 1.

Die Anforderungen an die Verwendung elektronischer Datensätze in GxP-Systemen lassen sich in mehrere separate Teilmengen unterteilen, die mit der Erstellung, Verwaltung und Dokumentation solcher Datensätze zu tun haben. Biowissenschaftsunternehmen, die elektronische Aufzeichnungssysteme nutzen, sollten Best Practices zu Themen wie Datenaufbewahrung, Identitäts- und Zugriffsverwaltung, Datensicherheit und Audit-Trail sowie Dateneigentumsrechte berücksichtigen, die wir unten besprechen. Außerdem beschreiben wir kurz, wie Google die GxP-Anforderungen für die von uns verwalteten Back-End-Funktionen erfüllt, und besprechen einige Zertifizierungen, die Googles Compliance mit diesen Standards ansprechen.

Datenaufbewahrung

GxP-konforme Dokumentsteuerungs- und Datenspeichersysteme sollten Datensätze schützen und aufbewahren sowie ihr genaues und schnelles Wiederauffinden ermöglichen. In der Vergangenheit, als die meisten Datensätze in Papierform aufbewahrt wurden, erfüllten Unternehmen die Anforderungen an die Aufbewahrung, indem sie die Dokumente unter vordefinierten Bedingungen, die ein systematisches Abrufen ermöglichten, vor Ort oder an einem anderen Ort aufbewahrten. Der Begriff „abrufbereit“ könnte, wenn er auf Cloud-basierte Anwendungen und Speicher angewendet wird, so verstanden werden, dass sie über robuste Sicherungs- und Wiederherstellungsprozesse und/oder Hochverfügbarkeitssysteme verfügen. Die Speicherung von Daten in der Cloud ermöglicht den maßgeschneiderten Abruf von Dokumentationen zu jedem Zeitpunkt ihres Lebenszyklus, von mehreren globalen Standorten aus gleichzeitig, wobei die zuverlässige Datensicherung ein weiterer Vorteil der Google-Plattform gegenüber anderen elektronischen Datensätzen ist.

Die Verwaltung des Objektlebenszyklus in Google Cloud kann mit Lebenszyklusrichtlinien konfiguriert werden, um Buckets des Archivspeichers für Daten zu erstellen. Diese Storage-Buckets könnten zum Beispiel auf der Grundlage unterschiedlicher Zugriffshäufigkeiten konfiguriert werden. Ältere Versionen vorhandener Dokumente, auf die seltener zugegriffen wird, können in kostengünstigere Nearline- oder Coldline-Speicheroptionen verschoben werden. Dadurch ist der Zugriff insgesamt viel einfacher als bei der Abfrage von Papierdokumenten aus einem externen Aufbewahrungsort.

Kunden können auch Dienste wie BigQuery und Cloud Bigtable konfigurieren, um Ablaufzeiten für bestimmte Datentypen zu automatisieren, sodass jede Organisation den Ablauf und das Löschen der Dokumentation in Übereinstimmung mit ihren Datenaufbewahrungsrichtlinien konfigurieren kann. Dadurch müssen Nutzer nicht mehr manuell auf Daten zugreifen und diese löschen oder aufbewahren, für die es aufgrund verschiedener Vorschriften Aufbewahrungsrichtlinien gibt.

Identitäts- und Zugriffsverwaltung

GxP-konforme Systeme erfordern Kontrollen, die regeln, wer generell und/oder in regelmäßigen Abständen Zugriffsrechte auf die Daten hat, um das Risiko einer unbefugten Änderung oder Löschen von Datensätzen zu mindern. Die Zugriffsrechte sollten gemäß den Richtlinien des Kunden zur Aufgabentrennung sowie nach Funktion oder Rolle festgelegt werden, um sicherzustellen, dass die Nutzer ihres Unternehmens auf alles zugreifen können, was sie im Rahmen ihrer Verantwortungsbereiche benötigen, während der nicht autorisierte Zugriff auf kritische oder sensible Daten eingeschränkt wird.

Mit Cloud Identity and Access Management (Cloud IAM) können Administratoren festlegen, wer Aktionen für bestimmte Ressourcen ausführen kann. Gleichzeitig bietet dies vollständige Kontrolle und Sichtbarkeit zum zentralen Verwalten von Cloudressourcen. Da Unternehmen der Biowissenschaften komplexe Organisationsstrukturen und Prozesse sowie eine globale Präsenz haben können, bietet unsere Suite von Sicherheits- und Identitätswerkzeugen eine einheitliche Übersicht auf die Sicherheitsrichtlinien in Ihrem gesamten Unternehmen mit integrierter Prüfung, um Compliance-Prozesse zu erleichtern.

Wie in Teil 11 vorgesehen, sollten elektronische GxP-Systeme Verfahren zum Verlustmanagement implementieren. Sollte es erforderlich sein, Anmeldedaten wie API-Schlüssel oder Verschlüsselungsschlüssel zum Schutz sensibler Gesundheitsdaten zu rotieren, bietet Google Cloud Optionen zur einfachen Rotation von Anmeldedaten in der Cloud IAM-Schnittstelle und zur Rotation oder Zerstörung von asymmetrischen oder symmetrischen Verschlüsselungsschlüsseln im Cloud Key Management Service.

GxP-Systeme sollten auch geeignete Standards für digitale Signaturen verwenden, wie z. B. Multi-Faktor-Authentifizierung („MFA“), um die Authentizität, Integrität und Vertraulichkeit von Datensätzen zu gewährleisten. Google Cloud bietet Kunden die Möglichkeit, MFA, wie z. B. die Bestätigung in zwei Schritten („2SV“), für Cloud Identity-Konten zu aktivieren und zu verlangen. Zu den Optionen für MFA gehören die Verwendung von Sicherheitsschlüsseln, Push-Benachrichtigungen an mobile Geräte oder Einmal-Passwörter.

Datensicherheit und Prüfprotokoll

Neben den Anforderungen an die Datenaufbewahrung sollten GxP-Datensätze auch vor unbefugten oder unbeabsichtigten Änderungen oder Löschungen geschützt werden. Kunden sollten sicherstellen, dass sie wissen, wann Daten erstellt wurden, von wem, wer auf diese Daten zugegriffen hat, und ob/wann/wie/und von wem Änderungen vorgenommen wurden. Dies kann durch einen robusten und sicheren Prüfpfad erreicht werden, der das vorherige Ergebnis, das geänderte Ergebnis, das Konto, das die Änderung vorgenommen hat, und einen maßgeblichen Zeit- und Datumsstempel erfasst. Auf diese Weise ist die Änderung des Datensatzes sowohl zuordenbar als auch nachweisbar. Google Cloud verfügt über mehrere Lösungen, die dies durch Tools wie Cloud-Audit-Logging (das unveränderliche Logs für Administrator-Aktivitäten, Datenzugriffe und Systemereignisse erstellen kann) und anpassbare Überwachungs- und Benachrichtigungsfunktionen erreichen.

Mit Cloud Logging können Sie beispielsweise Log-Daten und -Ereignisse aus der Google Cloud und anderen Quellen, einschließlich Amazon Web Services (AWS), speichern, suchen, analysieren, überwachen und mit einer Benachrichtigung versehen. Wir bieten auch eine starke Verschlüsselung für Daten bei der Übertragung in der Google Cloud, um sie vor unbefugten Zugriffen außerhalb unseres Perimeters zu schützen, und wir sind einer der einzigen Dienstanbieter, der standardmäßig eine Verschlüsselung für inaktive Daten anbietet. Darüber hinaus ermöglichen wir unseren Kunden, ihre eigenen Verschlüsselungsschlüssel für ausgewählte Produkte über einen Schlüsselverwaltungsdienst (Key Management Service) zu verwalten und bieten gesundheitsspezifische Dienste für die Verwaltung sensibler Daten wie PHI und medizinische Datensätze an.

Inhaberschaft von Daten

Alle Daten sind Eigentum der jeweiligen Google Cloud-Kunden und nicht von Google. Wir greifen nur auf Daten zu, die zur Erfüllung unserer vertraglichen und rechtlichen Verpflichtungen erforderlich sind. Nur eine kleine Gruppe an Google-Mitarbeitern, z. B. solche, die Administratoren von autorisierten Kunden unterstützen, hat Zugriff auf Kundendaten. Die Zugriffsrechte und -ebenen unserer Mitarbeiter basieren auf ihrer beruflichen Funktion und Rolle sowie auf dem Prinzip der geringsten Berechtigung und der geringsten Personenzahl. Da wir uns für Transparenz einsetzen, können Kunden außerdem Fast-Echtzeit-Protokollen einsehen, wenn Google-Administratoren auf Kundeninhalte zugreifen. Lesen Sie unsere Vertrauensgrundsätze, um mehr über die Philosophie von Google Cloud und die Verpflichtungen gegenüber unseren Kunden zu erfahren.

Darüber hinaus wird Google personenbezogene Daten gemäß den Vertrags- oder Service Level Agreements aufbewahren, zurückgeben, vernichten oder löschen. Wir empfehlen Kunden aus dem Bereich Biowissenschaften, ihre Service Level Agreements mit den geltenden Datenaufbewahrungs- und/oder behördlichen Anforderungen abzustimmen. Weitere Informationen zum Löschen von Daten in Google Cloud finden Sie im Whitepaper zum Löschen von Daten auf der Google Cloud Platform. Weitere Informationen finden Sie in unseren Nutzungsbedingungen zur Datenverarbeitung und Sicherheitsbestimmungen unter Datensicherheit.

Standortsicherheit

In Google-Rechenzentren wird mit einem mehrschichtigen Sicherheitsmodell gearbeitet, bei dem eigens entwickelte elektronische Zugangskarten, Alarme, Fahrzeugschranken, Umzäunungen, Metalldetektoren und biometrische Verfahren zum Einsatz kommen. In den Gebäuden der Rechenzentren werden zur Erkennung von nicht autorisierten Eindringversuchen Laserstrahlen eingesetzt. Nur autorisierte Mitarbeiter mit spezifischen Rollen haben Zutritt. Weniger als 1 % der Google-Mitarbeiter werden jemals eines unserer Rechenzentren betreten. Wenn Google Cloud Server in Rechenzentren von Drittanbietern hostet, müssen von Google kontrollierte physische Sicherheitsmaßnahmen zusätzlich zu den vom Rechenzentrumsbetreiber bereitgestellten Sicherheitsebenen implementiert werden. Weitere Informationen finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Netzwerksicherheit

Neben der Bereitstellung von Datenverschlüsselung bei der Übertragung und im inaktiven Zustand unterstützt Google Cloud auch unterstützende Systeme und Netzwerke mit Produkten, die Kundendienstperimeter definieren und durchsetzen, die eine Netzwerksegmentierung, Fernzugriff und Denial of Service-Abwehr ermöglichen. Systemadministratoren haben die Flexibilität, die Verbindung von Arbeitslasten regional und global sicher zu skalieren und zu steuern, je nachdem, wo ihre Geräte und Einrichtungen eingesetzt werden. Um die Sicherheit großer Netzwerke von Geräten und Anlagen zu unterstützen, hat Google Application Layer Transport Security und Virtual Private Clouds mit Service Controls entwickelt, die Entwicklern helfen können, ihre Design-Kontrollen in Übereinstimmung mit den Vorschriften u. a. des FDA-Qualitätssystems zu verbessern.

Während der Traffic durch die verwaltete Infrastruktur von Google fließt, nutzt Google Cloud automatisch verschiedene Schutzmaßnahmen für Daten bei der Übertragung und bietet Kunden die Möglichkeit, zusätzliche Schutzebenen anzuwenden. Ein wichtiges Thema bei Organisationen, die Governance und die Kontrolle über Netzwerksicherheitsrichtlinien adoptieren, ist die Einführung freigegebener VPC-Netzwerke. Netzwerkadministratoren müssen Routing- und Firewallregeln auf Hostprojektebene definieren und für Projektressourcen explizit eine Autorisierung erteilen, damit sie an einzelne Subnetze im Hostprojekt angehängt werden können. Dieser Ansatz für die Zuweisung des Netzwerkzugriffs ermöglicht es Organisationen, dass Inhaber von Serviceprojekten bestimmte Sicherheitsstandards erfüllen müssen, bevor für sie der Zugriff auf Produktionsnetzwerke eingerichtet wird.

Organisationen, die personenbezogene Gesundheitsdaten oder andere sensible Daten verarbeiten oder speichern, sollten zusätzlich VPC Service Controls einrichten. VPC Service Controls bietet tiefgreifenden Schutz vor der Daten-Exfiltration. Mit VPC Service Controls wird außerdem festgelegt, welche Hosts außerhalb der geschützten Ressourcen eine Verbindung aufbauen oder Daten übertragen dürfen.

Anwendungssicherheit

Google Cloud bietet eine Vielzahl an Anwendungssicherheitsprodukten, die die Geschäftsanwendungen unserer Kunden über Anwendungstests, Scans und API-Sicherheitsfunktionen schützen und verwalten. Google empfiehlt, dass alle Kunden ihre Arbeitslasten regelmäßig scannen, um häufig auftretende Sicherheitslücken zu erkennen. Zur Unterstützung dieser Kunden bietet Google Cloud den Einsatz des Web Security Scanner an, der gängige Einschleusungen, gemischte HTTP/S-Inhalte und die Verwendung unsicherer Bibliotheken in über App Engine, Compute Engine und Kubernetes Engine bereitgestellten Anwendungen erkennt.

Für die Ende-zu-Ende-Sicherheit auf den API-Plattformen von Kunden bietet Google Cloud Lösungen wie Cloud Endpoints und Apigee. Bei beiden Lösungen können Entwickler die Identität von Endnutzern anhand von Optionen wie JSON-Web-Tokens, API-Schlüsseln oder OAuth 2.0-Tokens prüfen. Obwohl Cloud Endpoints eine Lösung ist, die speziell auf Google Cloud-Bereitstellungen zugeschnitten ist, kann Apigee in Hybridszenarien mit in Google Cloud und lokal bereitgestellten APIs verwendet werden. Apigee kann Back-End-Systeme vor Nutzlast-Injection-Angriffen (z.B. SQL-Injection) schützen und bestimmte Arten vertraulicher Informationen (z.B. Gesundheitsinformationen) erkennen und maskieren, bevor sie in Trace-Logs aufgezeichnet werden. Apigee Sense bietet die Möglichkeit, APIs proaktiv vor Bedrohungen oder verdächtigem Verhalten zu schützen.

Redundanz der Infrastruktur

Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Diese Redundanz gilt für das Serverdesign, die Datenspeicherung, die Netzwerk- und Internetverbindung sowie die Softwaredienste selbst. Die Redundanz sämtlicher Bestandteile umfasst auch die konzeptionelle Behandlung von Fehlern und ermöglicht eine Lösung, die nicht von einem einzigen Server oder Rechenzentrum oder einer einzigen Netzwerkverbindung abhängt. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Plattformdienste und Steuerungsebenen automatisch und unverzüglich von einer Einrichtung in eine andere verschoben, sodass die Plattformdienste ohne Unterbrechung weiter bereitgestellt werden können. Googles hochredundante Infrastruktur unterstützt Kunden auch dabei, sich vor Datenverlust zu schützen. Google Cloud-Ressourcen können in mehreren Regionen und Zonen erstellt und bereitgestellt werden, sodass Kunden stabile und hochverfügbare Systeme erstellen können.

Zur Datenspeicherung auf physischer Ebene speichert Google ruhende Kundendaten in zwei Arten von Systemen: aktive Speichersysteme und Sicherungsspeichersysteme. Während es sich bei den aktiven Speichersystemen um die Produktionsserver von Google Cloud handelt, auf denen die Anwendungs- und Speicherebenen von Google ausgeführt werden, speichern unsere Sicherungsspeichersysteme vollständige und inkrementelle Kopien der aktiven Systeme für eine bestimmte Zeit, damit Google im Fall eines katastrophalen Ausfalls oder eines schweren Problems Daten und Systeme wiederherstellen kann. . In den oben beschriebenen Speichersystemen werden Kundendaten während der Speicherung verschlüsselt. Die Verschlüsselung inaktiver Daten erfolgt auf den Anwendungs- und Speicherebenen in aktiven Speichermedien und Sicherungsspeichermedien. Eine genauere Beschreibung der Verschlüsselungstechniken von Google finden Sie in den Whitepapers zur Sicherheit der Google Cloud.

2.2 Relevante GxP-Produktfunktionen: Validierung und Qualifizierung der Infrastruktur

Qualifizierung der Infrastruktur

Eine der wichtigsten Anforderungen an GxP-Computersysteme ist, dass sie validiert werden, um sicherzustellen, dass das System die Anforderungen der Nutzer erfüllt.6 In einer herkömmlichen gehosteten Umgebung ist der erste Schritt zum Aufbau eines validierten Computersystems die Qualifizierung der Infrastruktur.7 Ähnlich wie bei der Qualifizierung der lokalen Infrastruktur würde ein Kunde seinem Infrastruktur-Qualifizierungsprozess folgen, um die erforderlichen technischen Spezifikationen zu dokumentieren, die cloudbasierte Infrastruktur nach diesen Komponenten aufzubauen und dann zu überprüfen, ob der tatsächliche Aufbau die Spezifikationen erfüllt. Die Validierungsmethode des Kunden sollte die spezifischen Dokumentationsanforderungen umreißen, und die während dieses Prozesses erstellte Build-Dokumentation könnte verwendet werden, um den qualifizierten Zustand der Infrastruktur zu unterstützen.

Cloud-Ressourcen wie Compute Engine oder Cloud Storage können über die Google Cloud Console oder programmatisch über Cloud Deployment Manager, Hashicorp Terraform oder direkt über die RESTful APIs der GCP bereitgestellt werden. Cloud Deployment Manager ist ein Dienst zum Bereitstellen einer Infrastruktur, der das Erstellen und Verwalten von Google Cloud-Ressourcen automatisiert. Kunden können flexible Vorlagen und Konfigurationsdateien schreiben und damit Bereitstellungen erstellen, die eine Vielzahl an Cloud Platform-Diensten wie Cloud Storage, Compute Engine und Cloud SQL umfassen und für die Zusammenarbeit konfiguriert sind. Mit dem Deployment Manager können Kunden das Manifest aufrufen, das alle Eingaben, Spezifikationen, Uploaddateien usw. (die "Anforderungen") und einen Bericht über den eigentlichen Build enthält. Das Manifest kann dazu genutzt werden, zu zeigen, dass die Cloud-Ressourcen qualifiziert wurden. Anschließend kann der Kunde mit beliebigen Aktivitäten zur Anwendungsvalidierung fortfahren.

Änderungsmanagement und operatives Monitoring

Zusätzlich zur Validierung der Systeminfrastruktur sollten in GxP-Systemen geeignete Änderungskontrollverfahren für Infrastruktur und Anwendungskomponenten implementiert werden. Um dies zu erreichen, können beispielsweise nur autorisierte Änderungen an Systemen erlaubt werden, oder es kann festgelegt werden, dass nur autorisierte Nutzer Änderungen vornehmen können. Durch laufendes Monitoring kann gesichert werden, dass es keine operativen Probleme oder Sicherheitsbedenken gibt. Kunden sollten ihre eigenen Steuerungen für das Änderungsmanagement in die Google Cloud-Umgebung einbinden, um die Auswirkungen von Änderungen an der Cloud-Infrastruktur, an Anwendungskonfigurationen oder an Daten in Anwendungen zu bewerten.

Eine Organisation sollte außerdem Schutzmaßnahmen in Form von Richtlinieneinschränkungen festlegen, die bestimmen, welche Teams Zugriff auf welche Arten von Daten benötigen, und welche Einschränkungen für diesen Zugriff gelten. Beispiel: Kunden können dafür sorgen, dass Teams nur genehmigte Images für den Einsatz von virtuellen Maschinen verwenden.

Kunden können das Security Command Center (CSCC) verwenden, um ein Inventar ihrer Cloud-Ressourcen anzuzeigen und zu überwachen, Zugriffsrechte auf ihre Ressourcen zu überprüfen, Benachrichtigungen über Richtlinienverstöße von Forseti zu erhalten (z. B. übermäßig zulässige Cloud Storage-ACLs oder Firewallregeln der Compute Engine) und gängige Web-Schwachstellen zu erkennen - und das alles über ein einziges, zentrales Dashboard. Unsere Kunden können über Cloud IAM auch kontrollieren, wer Zugriff auf Änderungen an ihrer Infrastruktur hat, und so Richtlinien zur Änderungskontrolle und Workflows zur Überprüfung durch Administratoren implementieren. Nachdem die genehmigte Google Cloud-Infrastrukturänderung vorgenommen wurde, wird empfohlen, dass Nutzer eine gezielte Überprüfungsaktivität durchführen, um zu bestätigen, dass die Änderung die erwarteten Ergebnisse hatte.

Änderungen an Serverkonfigurationen, einschließlich Änderungen an den Spezifikationen, können über die Cloud Console oder den Cloud Deployment Manager gesteuert werden. Die relevanten Dokumentationen zum Deployment Manager können verwendet werden, um zu zeigen, dass die Änderungen gemäß den Anforderungen vorgenommen wurden. Die Cloud Console ist die zentrale Benutzeroberfläche, über die Kunden Aktivitäten im Zusammenhang mit Google Cloud-Ressourcen verwalten, erstellen, bearbeiten oder ansehen können. Darüber hinaus können Kunden das Cloud SDK oder Cloud Shell verwenden. Damit können Google Cloud-Kunden Infrastruktur und Anwendungen über die Befehlszeile eines beliebigen Browsers verwalten.

Bei Google Cloud achten wir kontinuierlich auf bösartige Aktivitäten, behandeln Sicherheitsvorfälle und unterstützen operative Prozesse, die Bedrohungen und Leistungsprobleme verhindern, erkennen und darauf reagieren. Darüber hinaus sammelt die Google Cloud Operations-Suite Messwerte, Logs und Ereignisse aus der Infrastruktur und gibt Kunden die Möglichkeit, Leistungsprobleme proaktiv zu überwachen und kontrolliert zu beheben. Die Operations-Suite verwaltet auch den Änderungsverlauf für den Server selbst in Form des Prüfprotokolls. Dadurch können Sie zeigen, dass alle Änderungen autorisiert wurden und den entsprechenden Verfahren zur Änderungskontrolle folgen. Cloud Logging ermöglicht es Kunden, Log-Daten zu suchen, zu speichern, zu analysieren, zu überwachen und bei Änderungen oder Aktualisierungen von Log-Daten benachrichtigt zu werden.

Ausführliche Informationen zu den Google Cloud-Produkten und -Vorgängen finden Kunden auf der Seite Google Cloud-Produkte.

Reaktion auf Vorfälle

Eine effektive Reaktion auf Vorfälle ist nicht nur der Schlüssel zur Bewältigung und Wiederherstellung nach Vorfällen, sondern auch zur Verhinderung zukünftiger Vorfälle. Die umfassenden Funktionen der Reaktion auf Vorfälle in Google Cloud basieren auf einer Kombination aus spezialisierten Experten, effizienten Prozessen und ausgefeiltem Monitoring, um Vorfälle proaktiv zu erkennen, zu vermeiden, Auswirkungen abzumildern, Kunden zu informieren und Dienste auf vertrauenswürdige Weise wiederherzustellen. Hier finden Sie eine Übersicht über den Reaktionsprozess beim Vorfallmanagement, unterteilt nach Phasen:

1. Erkennung

Die frühzeitige und genaue Erkennung von Vorfällen ist für ein starkes und effektives Vorfallmanagement maßgebend. In dieser Phase liegt der Fokus auf der Überwachung von Sicherheitsereignissen, um potenzielle Datenvorfälle zu erkennen und zu melden.

2. Koordination

Wenn ein Vorfall gemeldet wird, überprüft und bewertet der Bereitschaftsdienst die Art des Vorfalls, um festzustellen, ob dieser einen potenziellen Datenvorfall darstellt, und leitet den Google-Prozess für die Reaktion auf Vorfälle ein.

3. Lösung

In dieser Phase liegt der Fokus darauf, die Hauptursache zu untersuchen, die Auswirkungen des Vorfalls zu begrenzen, unmittelbare Sicherheitsrisiken, falls vorhanden, zu beseitigen, im Rahmen der Behebung notwendige Korrekturen durchzuführen und betroffene Systeme, Daten und Dienste wiederherzustellen.

4. Kontinuierliche Verbesserungen

Wir analysieren jeden Vorfall, um neue Erkenntnisse zu gewinnen, die uns dabei helfen, unsere Tools, Schulungen und Prozesse sowie das gesamte Sicherheits- und Datenschutzprogramm von Google zu verbessern

Weitere Informationen zu unserem Vorfallmanagement finden Sie in unserem Whitepaper zur Reaktion auf Datenvorfälle.

2.3 Anforderungen für GxP erfüllen

Regulierte biowissenschaftliche Einrichtungen, einschließlich Hersteller von Arzneimitteln, medizinischen Geräten und biologischen Produkten, die in den USA oder in anderen globalen Märkten des Gesundheitswesens tätig sind, stellen umfangreiche Ressourcen für Entwicklung, Verwaltung und Betrieb von GxP-Systemen bereit. Insbesondere wird wertvolle Zeit und Mühe in die Entwicklung von Systemen und Protokollen investiert, die so konzipiert sind, dass sie den GMP- (Good Manufacturing Practice) und Qualitätssicherungsbestimmungen entsprechen.8 In den USA werden die GMP/QS-Anforderungen von der FDA durchgesetzt. Diese verlangen von biowissenschaftlichen Einrichtungen, dass sie angemessene Verfahren für Design, Monitoring und Kontrolle von Fertigungsprozessen und -einrichtungen entwickeln. Obwohl Organisationen ein gewisses Maß an Entscheidungsfreiheit in Bezug auf die Besonderheiten ihrer Systeme zugesprochen wird, müssen konforme GMP/QS-Systeme allgemein Entwicklungs- und Produktionsthemen ansprechen, die die Sicherheit und Wirksamkeit hergestellter Produkte beeinträchtigen können. Zu diesen Themen gehören:

  • Management-Verantwortung
  • Personalschulungen
  • Aufzeichnungen und Berichte
  • Qualitätsprüfungen
  • Kontrollen im Einkauf
  • Anbieterbewertungen

Diese Systeme unterliegen häufig erheblichen Aufbewahrungspflichten. Organisationen müssen dafür sorgen, dass ihre Dokumentations-, Datenverwaltungs- und Änderungskontrollprozesse den Bestimmungen entsprechen. Im Folgenden erfahren Sie, wie Kunden durch den Übergang zu cloudbasierten Anwendungen ihre Compliance-Initiativen optimieren und zuverlässige elektronische Systeme entwickeln können.

Management-Verantwortung:

In der Regel verlangen GxP-Systeme, dass biowissenschaftliche Einrichtungen offizielle Richtlinien und Ziele festlegen und pflegen, um für eine hohe Produktqualität zu sorgen.9 Es unterliegt der Verantwortung der Unternehmensleitung, dass die Qualitätsrichtlinie auf allen Ebenen der Organisation verstanden, umgesetzt und gepflegt wird. Zu dieser Verantwortung gehört es, den Mitarbeitern, die qualitätsrelevante Arbeiten verwalten, erledigen und bewerten, die erforderlichen Rechte zu übertragen. In einer cloudbasierten IT-Umgebung ist es dazu erforderlich, die Berechtigungen und Zugriffsrechte für das relevante Personal festzulegen und den Zugriff auf und die Nutzung von bestimmten elektronischen GxP-Systemen durch das Personal zu überwachen und zu verwalten.

Kunden, die Google Cloud verwenden, können Cloud IAM-Berechtigungen konfigurieren, um den Zugriff auf Cloud-Ressourcen zu steuern und den Zugriff durch ihre eigenen Administratoren einzuschränken. Dazu vergeben Sie den jeweils erforderlichen Zugriff auf Projekt-, Ordner- oder Dataset-Ebene. Dabei nutzen Sie eine umfassende Liste an Berechtigungen und die vordefinierten Rollen, die diese gewähren. Sie können auch eigene benutzerdefinierte Rollen erstellen, die genau die von Ihnen angegebenen Berechtigungen enthalten.

Mit VPC Service Controls können Kunden einen Sicherheitsperimeter um Google Cloud-Ressourcen wie Cloud Storage, BigQuery oder Bigtable definieren, um Risiken wie die fehlerhafte Konfiguration von Mitarbeiterzugriffssteuerungen oder Angriffe über manipulierte Konten anzusprechen und die Daten-Exfiltration zu verhindern. Identity-Aware Proxy (IAP) ermöglicht es Kunden, den Zugriff auf Cloud-Anwendungen und VMs basierend auf der Nutzeridentität und dem Kontext der Anfrage zu steuern. Kunden können auch steuern, wer Zugriff auf Ihre Cloud Storage-Buckets und -Objekte hat und welche Zugriffsebene diese Personen haben. Weitere Informationen finden Sie auf der Dokumentationsseite für Cloud Storage.

Schulungen für Organisationen und Personal:

Unternehmen der Biowissenschaft sind dafür verantwortlich, die Qualitätsrichtlinien ihres Unternehmens zu entwickeln und umzusetzen sowie eine angemessene Organisationsstruktur zu unterhalten, um sicherzustellen, dass ihre Produkte in Übereinstimmung mit den gesetzlichen Anforderungen entwickelt und produziert werden. Dazu gehört, dass das Personal über den erforderlichen Hintergrund, die Ausbildung und die Erfahrung verfügt, um alle zugewiesenen qualitätsbezogenen Aktivitäten korrekt durchzuführen. Wenn diese Funktionen die Nutzung von Google Cloud-Diensten zur Konfiguration der Infrastrukturunterstützung von elektronischen GxP-Systemen umfassen, sollte bei der Einstellung und/oder Schulung von Personal die Erfahrung mit Google Cloud-Diensten berücksichtigt werden. Kunden können eine Reihe von Google Cloud-Schulungen nutzen, um ganzen Teams zusätzliche Fähigkeiten und Kenntnisse in Bereichen wie der Architektur mit Google Kubernetes Engine und der Verwendung von maschinellem Lernen mit TensorFlow auf Google Cloud zu vermitteln. Ihre Mitarbeiter können dann Zertifizierungen erwerben, die ihre technische Qualifikation für eine bestimmte berufliche Aufgabe oder Technologie unter Beweis stellen

Kunden sollten auch in Erwägung ziehen, ihre Richtlinien und Verfahren und/oder andere organisatorische Dokumente zu aktualisieren, die die Anforderungen an die Ausbildung und Erfahrung des Personals sowie die Verwaltung von Schulungsplänen betreffen. Wir empfehlen unseren Kunden, sich mit der Kundenverantwortungsmatrix von Google Cloud vertraut zu machen.

Aufzeichnungen und Berichte

Ein zentrales Element sowohl der GMP- als auch der QS-Regelungen ist die Anforderung, Datensätze einzurichten, auf die bei einer behördlichen Inspektion leicht zugegriffen werden kann und die überprüft werden können. Der Zweck dieser Systeme ist es, sicherzustellen, dass die Verfahren zur Produktqualität angemessen aufrechterhalten und befolgt werden.10 So sind z. B. in der Regel Datensätze zu jedem wesentlichen Schritt des Vertriebsprozesses, einschließlich der Herstellung, Verarbeitung, Verpackung und Lagerung eines bestimmten Produkts oder einer Produktcharge, erforderlich. Darüber hinaus müssen regulierte Organisationen Verfahren für die Entgegennahme, Prüfung und Bewertung von Kundenbeschwerden einrichten und umfassende Datensätze führen, die detailliert aufzeigen, wie jede eingegangene Beschwerde gelöst wurde. Für die Überprüfung durch Aufsichtsbehörden ist eine ordnungsgemäße Verwaltung der Datensätze, die die Integrität der Daten sicherstellt, entscheidend.

Wie bereits erwähnt, bietet Google Cloud seinen Kunden Tools wie Cloud-Audit-Logs, mit denen Sicherheitsteams Audit-Trails in Google Cloud pflegen und detaillierte Informationen zu Administratoraktivitäten, Datenzugriffen und Systemereignissen anzeigen können. Cloud-Audit-Logs befinden sich in einem hochgeschützten Speicher, was einen sicheren, unveränderlichen und langlebigen Audit-Trail ermöglicht. Kunden können mit Cloud Logging auch Logdaten und Ereignisse aus Google Cloud speichern, darin suchen, sie analysieren, überwachen und melden. Unsere API ermöglicht außerdem die Aufnahme benutzerdefinierter Logdaten aus beliebigen Quellen und kann mit den Daten- und Analyseprodukten von Google Cloud für eine erweiterte Loganalyse kombiniert werden.

Weitere Informationen zur Operations-Suite von Google Cloud finden Sie auf unserer Produktseite und auf der Dokumentationsseite.

Qualitätsprüfungen

GxP-konforme Organisationen der Biowissenschaft sind verpflichtet, Verfahren zur Durchführung von Qualitätsprüfungen zu etablieren. Solche Audits werden durchgeführt, um sicherzustellen, dass die Qualitätssysteme des Unternehmens mit den GxP-Vorschriften übereinstimmen, und um ihre Gesamtwirksamkeit zu bestimmen.11 Als Teil dieses Prozesses müssen Organisationen Berichte über die Ergebnisse jeder Qualitätsprüfung erstellen und aufbewahren, und diese Berichte sollten von der verantwortlichen Geschäftsleitung überprüft werden, um festzustellen, ob Korrekturmaßnahmen erforderlich sind. Behördliche Inspektoren verlangen oft eine Dokumentation, dass Qualitätsprüfungen durchgeführt werden.

Kunden, die Qualitätsprüfungen ihrer Systeme machen, können Google Cloud-Dienste nutzen, um den Prüfprozess zu unterstützen. Durch die Nutzung von Diensten wie der Operations-Suite von Google Cloud, Cloud IAM und Open-Source-Tools wie Forseti Security können Sie einen umfassenden Überblick über Ihre Google Cloud-Umgebung und deren Verlauf erhalten, ohne bestehende Qualitätssicherungsprozesse zu beeinträchtigen.

Kontrollen im Einkauf

Als Teil ihrer GxP-Kontrolle sind Hersteller biowissenschaftlicher Produkte dafür verantwortlich, dass alle gekauften oder anderweitig erhaltenen Produkte die jeweiligen Anforderungen erfüllen.12 Je nach Größe und Komplexität der Organisation, haben Unternehmen im Bereich der Biowissenschaften oft unterschiedliche Anforderungen und Erwartungen in Bezug auf ihre IT-Infrastruktur. In jedem Fall müssen regulierte Organisationen aber Aufzeichnungen pflegen, die klar definierte Spezifikationsanforderungen beschreiben und sonstige Dokumentationen zur Kaufkontrolle enthalten. Mit Google Cloud können Kunden unsere Berichte und Zertifizierungen aufrufen, die eine unabhängige Prüfung unserer Kontrollen darstellen.

Anbieterbewertungen

Organisationen mit GxP-Verpflichtungen sind dafür verantwortlich, potenzielle Lieferanten, Auftragnehmer und Berater auf der Grundlage ihrer Fähigkeit zu bewerten und auszuwählen, die festgelegten Anforderungen zu erfüllen, einschließlich derer, die sich auf die Produktqualität beziehen. Im Rahmen dieses Prozesses muss die Unternehmensleitung auf Basis der Bewertungsergebnisse Art und Umfang der Kontrolle über das Produkt, die Dienste und die Lieferanten festlegen. Außerdem kann die Dokumentation dieses Prozesses von der FDA oder anderen Aufsichtsbehörden im Rahmen einer Compliance-Inspektion angefordert werden. Daher ist die Erstellung und Pflege von Datensätzen über bewertete und akzeptierte Lieferanten, Auftragnehmer und Berater für Unternehmen der Biowissenschaft von entscheidender Bedeutung.

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Einige der wichtigsten internationalen Standards, nach denen wir geprüft werden, sind:

Google ist auch an branchen- und länderspezifischen Rahmenwerken wie FedRAMP (US-Behörden), HITRUST CSF (hauptsächlich Healthcare), BSI C5 (Deutschland), MTCS (Singapur) und viele andere. Außerdem stellen wir Ressourcendokumente und Zuordnungen zu Rahmenwerken und Gesetzen zur Verfügung, wenn keine formelle Zertifizierung oder Bescheinigung erforderlich ist oder erfolgt. Eine vollständige Liste unserer Compliance-Angebote finden Sie in unserem Center für Compliance-Ressourcen.

2.4 Anwendbare Google Cloud-Zertifizierungen, Attestierungen und Audits

Wir stellen Informationen, Best Practices und einfachen Zugriff auf Dokumentationen zur Verfügung, um Kunden in den Biowissenschaften Compliance und Berichterstellung zu erleichtern. Unsere Produkte werden regelmäßig von unabhängigen Stellen durch Zertifizierungen gemäß verschiedener Standards auf Sicherheit, Datenschutz und Compliance geprüft. Zertifizierungen und Attestierungen im Zusammenhang mit der Informationssicherheit (z.B. ISO 27000-Serie, CSA STAR) sowie einige spezifische Zertifizierungen, Vorschriften und Rahmenbedingungen im Gesundheitswesen (z.B. HITRUST, FedRAMP, HIPAA) können dabei helfen, die Anforderungen regulierter Kunden zu erfüllen. Darüber hinaus bieten viele der in unseren SOC-Berichten getesteten Kontrollen, insbesondere die mit Sicherheit, Nutzerzugriff, Änderungsmanagement und Bereitstellungsverfahren verbundenen, Kunden Transparenz in Sachen Design und Betriebseffizienz bestimmter Kontrollen, die für die entsprechenden GxP-Anforderungen relevant sind.

Eine vollständige Liste der anwendbaren Zertifizierungen und weitere Informationen finden Sie auf unserer Seite Standards, Vorschriften und Zertifizierungen.

2.5 Informationen, die Google Cloud zur Verwendung bereitstellen kann, wenn sie für einen FDA-Zulassungsantrag erforderlich sind

Google Cloud stellt eine umfangreiche, öffentlich zugängliche Dokumentation unserer Verfahren, Praktiken und Sicherheitsmaßnahmen zur Verfügung, die bei der Einreichung von Zulassungsanträgen nützlich sein kann, um die Sicherheit und Effektivität eines in Google Cloud integrierten Medizinprodukts nachzuweisen oder um zu veranschaulichen, wie Google Cloud ein Qualitätssystem unterstützt. Ein großer Teil dieser Dokumentation ist in diesem Whitepaper verlinkt.

Darüber hinaus können Google Cloud-Kunden ausführlichere Dokumentationen zu den von ihnen verwendeten Produkten und Diensten erhalten. Einige Dokumente sind möglicherweise vertraulich und/oder durch Vertraulichkeitsvereinbarungen zwischen Google Cloud und unseren Kunden geschützt. Für den Fall, dass geschützte Informationen für die Aufnahme in eine FDA-Regulierungseinreichung erforderlich sind und die Aufnahme im Voraus durch Google Cloud vereinbart wird, sollten diese als vertraulich gekennzeichnet werden, um der FDA mitzuteilen, dass die Informationen nicht gemäß dem Informationsfreiheitsgesetz „Freedom of Information Act“ und der FDA-Freigaberegulierung unter 21 CFR Part 20 veröffentlicht werden dürfen. Wenn die FDA weitere nicht öffentliche Dokumente zur Prüfung einer behördlichen Anordnung benötigt, sollten die möglichen Freigaben an die FDA in individuellen Vertragsvereinbarungen angesprochen werden.

2.6 Zusätzlicher Support für Compliance im Gesundheitswesen

Google Cloud unterhält ein aktives, fortlaufendes Repository mit Informationen, Best Practices und Dokumentationen im Zusammenhang mit der Einhaltung von Vorschriften im Gesundheitswesen und in der Biowissenschaft sowie der Berichterstattung für verschiedene Regionen auf der ganzen Welt. Einige der wichtigsten Angelegenheiten im Gesundheitswesen sind unten aufgeführt.

HIPAA-Compliance

Das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) aus dem Jahr 1996 legt Datenschutz- und Sicherheitsanforderungen für bestimmte Rechtspersönlichkeiten und Einzelpersonen zum Schutz der Gesundheitsdaten von Einzelpersonen fest. Der HIPAA schreibt Datenschutz- und Sicherheitsmaßnahmen für geschützte Gesundheitsinformationen (Protected Health Information, PHI) vor und gilt für Einzelpersonen und Entitäten, die der Definition einer „betroffenen Entität“ oder eines „Geschäftspartners“ gemäß HIPAA entsprechen. Kunden, die HIPAA unterliegen und die Google Cloud-Produkte in Verbindung mit PHI (Protected Health Information) nutzen möchten, müssen die Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) von Google lesen und akzeptieren. Das US-Ministerium für Gesundheitspflege und Human Services (HHS) erkennt keine formale Zertifizierung für HIPAA-Compliance an. Google Cloud wird regelmäßig unabhängigen Prüfungen unterzogen, um Sicherheit, Datenschutz, Betrieb und die bestehenden, auf globalen Standards basierenden Compliance-Kontrollen zu bewerten, die den im HIPAA beschriebenen Anforderungen entsprechen. Die HIPAA-Compliance ist eine Verantwortung, die wir mit unseren Kunden teilen. Weitere Informationen finden Sie in unserem HIPAA-Compliance-Leitfaden für die GCP.

3.0 Fazit

Unternehmen der Biowissenschaft können die Vorteile von Google Cloud-Produkten und -Diensten nutzen, um die Produktentwicklung zu rationalisieren, qualitativ hochwertige Herstellungsprozesse auszuführen und zu verfolgen und einen robusten Softwareentwicklungslebenszyklus als Teil der Einhaltung von FDA- und anderen globalen regulatorischen Anforderungen zu ermöglichen. Durch erhebliche Investitionen in die Qualität und Sicherheit unserer Dienste haben wir es für Kunden aus der Biowissenschaft einfacher gemacht, die Einhaltung gesetzlicher Vorschriften nachzuweisen. Indem wir unsere Systeme sichern und vor Bedrohungen schützen, ermöglichen wir es Softwareentwicklern, von unseren Technologien und Verfahren zu profitieren und gleichzeitig die Risiken für Patienten und Nutzer ihrer Produkte zu minimieren.

4.0 Zusätzliche Ressourcen

Auf Ihrem Weg zur Entwicklung von GxP-konformen Geräten, Anlagen, Systemen oder Anwendungen laden wir Sie ein, die unten aufgeführten Ressourcen zu nutzen.

Google Cloud Google Workspace
Mehr erfahren
Warum sich andere Organisationen für Google Cloud entscheiden Vorteile von Google Cloud Vorteile von Google Workspace
Wir beraten Sie gern. Google Cloud-Lösungen Google Workspace-Schulungscenter
Weitere Informationen zu unseren Preisen Google Cloud – Preise Google Workspace-Lösungen
Begeistern
Google Cloud kostenlos testen Kostenlose GCP-Stufe Kostenlose Testversion von Google Workspace
Knowledge Center anrufen 844-613-7589 855-312-7191
Haben Sie Fragen zu Sicherheit, Datenschutz oder Compliance? Kontaktieren Sie unsere Experten unter compliance@google.com
Handeln Sie jetzt!
Holen Sie Google in Ihr Team Füllen Sie dieses Formular aus oder rufen Sie uns unter 844-613-7589 an. Füllen Sie dieses Formular aus oder rufen Sie uns unter 855-312-7191 an.
Teamschulungen Google Cloud-Schulung Schulungen zu Google Workspace
Kurzanleitungen: Die erste Lösung kann in höchstens 10 Minuten bereitgestellt werden Erste Schritte mit der GCP Kurzanleitung für Google Workspace
Support erhalten
FAQ Häufig gestellte Fragen zur GCP FAQ zu Google Workspace
Technischer Kundensupport Wenden Sie sich an das Google Cloud-Supportcenter.

Haftungsausschluss

Dieses Whitepaper gilt für die unter cloud.google.com beschriebenen Google Cloud-Produkte. Der hierin enthaltene Inhalt ist auf dem Stand von Mai 2020 und repräsentiert den Status Quo zum Zeitpunkt der Erstellung. Die Sicherheitsrichtlinien und -systeme von Google können sich in Zukunft ändern, da wir den Schutz unserer Kunden kontinuierlich verbessern.

1. Auch wenn der Umfang dieses Papiers keine vollständige internationale Suche nach allen anwendbaren GxPs beinhaltet, so gilt doch allgemein, dass die Aufsichtsbehörden weltweit verlangen, dass Medizinprodukte in Übereinstimmung mit guten Praktiken entwickelt und hergestellt werden. Solche Praktiken finden sich direkt in staatlichen Vorschriften, Leitfäden und herausgegebenen internationalen Standards.

2. Siehe Food and Drug Administration, Regulations: Good Clinical Practice and Clinical Trialshttps://www.fda.gov/science-research/clinical-trials-and-human-subject-protection/regulations-good-clinical-practice-and-clinical-trials.

3. Siehe Food and Drug Administration, (2019, 7. May) Teil 11, Electronic Records; Electronic Signatures - Scope and Application, abgerufen unter https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

4. 21 CFR Part 11: Electronic Records: Electronic Signatures.

5 Bitte beachten Sie, dass der gesamte 21 CFR Part 11 zwar technisch in Kraft bleibt, die FDA jedoch derzeit bestimmte Anforderungen dieser Vorschriften durchsetzt. Die Behörde hat einen Leitfaden herausgegeben, der klarstellt, welche Anforderungen die FDA aktiv durchsetzt. Einen Link dazu finden Sie unter FN 4. Kunden aus der Biowissenschaft sollten eigenständig bewerten, welche Anforderungen auf ihre Datensätze zutreffen könnten.

6. NIST definiert Validierung als: „Bestätigung, durch die Erbringung eines objektiven Nachweises, dass die Anforderungen für einen bestimmten Verwendungszweck oder eine bestimmte Anwendung erfüllt sind.“ (siehe NIST SP 800-160 [Superseded] (ISO 9000)).

7. NIST definiert die Qualifizierung als: „Prozess, der zeigt, ob eine Entität gewisse Anforderungen erfüllen kann“. (siehe NIST SP 800-160 [ersetzt] (ISO/IEC/IEEE 12207:2017)). Abgerufen von https://csrc.nist.gov/Glossary/Term/qualification

8. Die für pharmazeutische Produkte geltenden FDA-Vorschriften zur „Current Good Manufacturing Practice“ finden Sie in 21 CFR Part 210 & 211; die für Medizinprodukte geltenden Anforderungen an das Qualitätssystem sind in 21 CFR Part 820 enthalten.

9. Siehe 21 CFR Part 211, Subpart B—Organization and Personnel; 21 CFR 820 Part 820, Subpart B—Quality System Requirements.

10. Siehe 21 CFR Part 211, Subpart J--Records and Reports; 21 CFR Part 820, Subpart M--Records.

11. Siehe 21 CFR § 820.22.

12. Siehe 21 CFR Part 820, Subpart E--Purchasing Controls.