Google Cloud-Whitepaper

Google Cloud in GxP-Systemen verwenden

Mai 2020

1.0 Einführung

Cloud-Computing wird aufgrund seiner strategischen und operativen Vorteile mit zunehmender Regelmäßigkeit in der Branche der Biowissenschaften eingeführt. Cloud-Computing ermöglicht regulierten Unternehmen die Verwendung globaler Plattformlösungen für die Datenverwaltung und -analyse und bietet die Gelegenheit, regulatorische Verpflichtungen effizienter zu erfüllen. Bei Google sind wir mit den Anforderungen, Einschränkungen und Überlegungen vertraut, die unsere Kunden im Bereich Biowissenschaften bei der Migration ihrer Arbeitslasten zur Cloud erleben. In diesem Artikel wird beschrieben, wie Google Cloud Kunden unterstützt, die die Cloud für den Aufbau einer GxP-konformen IT-Umgebung nutzen möchten. Dazu gehören unser Ansatz für die Verwaltung von Qualität, Sicherheit und Compliance für Google Cloud sowie die organisatorischen und technischen Kontrollen von Google zum Schutz von Kundendaten.

Was ist Google Cloud?

Google Cloud ist eine Suite an Cloud-Diensten, die allgemein nach Infrastruktur, Plattform und Softwarelösungen kategorisiert sind. Neben diesen Diensten bietet Google Cloud eine Reihe an Tools, von intelligenten Analysen bis hin zu Funktionen, die künstliche Intelligenz nutzen. Im Kern besteht Google Cloud aus einer Reihe physischer Assets, darunter Computer und Festplattenlaufwerke, sowie aus virtuellen Ressourcen wie VMs (virtuelle Maschinen), die über die Google-Rechenzentren weltweit bereitgestellt werden. Jeder Standort eines Rechenzentrums befindet sich in einer Region. Regionen sind in Asien, Australien, Europa, Nordamerika und Südamerika verfügbar. Jede Region besteht wiederum aus verschiedenen, voneinander isolierten Zonen. Diese Verteilung von Ressourcen hat mehrere Vorteile, unter anderem den der Redundanz im Falle eines Ausfalls sowie eine reduzierte Latenz, da sich Ressourcen näher am Kundenstandort befinden.

Beim Cloud-Computing wird das, was Sie als Software- und Hardware-Produkte kennen, zu Diensten. Diese Dienste ermöglichen Ihnen Zugriff auf die zugrunde liegenden Ressourcen. Die Liste der verfügbaren Google Cloud-Dienste ist sehr umfangreich und wird ständig erweitert. Wenn Sie Ihre Website oder Anwendung in der Google Cloud entwickeln, können Sie diese Dienste zu Kombinationen zusammenstellen, die die von Ihnen benötigte Infrastruktur oder Lösung bereitstellen, und dann Ihren Code hinzufügen, um die gewünschten Szenarien zu ermöglichen.

Was ist GxP?

Im biowissenschaftlichen Bereich ist GxP eine Abkürzung für die verschiedenen gesetzlichen Vorgaben und Richtlinien für Best Practices für medizinische Produkte. Die Variable „x“ in GxP deckt eine breite Palette von Prozessen ab, die bei der Entwicklung, Herstellung und dem Vertrieb regulierter Produkte verwendet werden. Spezifische GxP-Kriterien finden Sie in den Bestimmungen und Richtlinien von Behörden (z. B. Federal Food, Drug and Cosmetic Act) sowie branchenspezifischen Best-Practice-Frameworks. Obwohl GxP eine beliebige Anzahl von Themen abdecken kann, haben Behörden zur Einhaltung gesetzlicher Aufsichtsvorschriften fast einheitliche Anforderungen an die Produktfertigung, die Dokumentationsverfahren, die Qualifizierung und Schulungen von Mitarbeitern sowie die Verteilung und Speicherung. Für biowissenschaftliche Organisationen, die in den USA tätig sind, sind die GxP-Anforderungen in der Regel im Code of Federal Regulations („CFR“) aufgeführt.1

Hier die wichtigsten Maßnahmen:

  • Good-Manufacturing-Practice (GMP, Gute Herstellungspraxis): 21 CFR Teile 210 und 211 (für Arzneimittelprodukte)

  • Quality System Regulation (QSR, Regelung des Qualitätssystems): 21 CFR Teil 820, (für medizinische Geräte)

  • Good Laboratory Practice (GLP, Gute Laborpraxis): 21 CFR Teil 58, (für nicht-klinische Laborstudien)

  • Good Clinical Practice (GCP, Gute klinische Praxis): Umfasst mehrere Vorschriften und Leitlinien, die für wissenschaftliche Studien gelten2

  • Good Distribution Practice (BIP, Gute Vertriebspraxis): Umfasst verschiedene Bestimmungen und Richtlinien, die in den 21 CFR Teilen 211 und 820 behandelt werden, einschließlich derer, die sich auf die Handhabung, Lagerung und Installation beziehen

GxPs wurden entwickelt, um sicherzustellen, dass medizinische Produkte wie Medikamente, Geräte und Biologika sicher sind, ihren Verwendungszweck erfüllen und während des gesamten Herstellungs- und Vertriebsprozesses Qualitätsverfahren einhalten. Dieses Whitepaper konzentriert sich auf die GxP-bezogenen Themen, die für Unternehmen der Biowissenschaft am relevantesten sind, und insbesondere darauf, wie die Google Cloud von Unternehmen als Element ihrer GxP-Compliance-Systeme genutzt werden kann.

Wie können Kunden Cloud-Dienste in GxP-Systemen nutzen?

Unsere Kunden aus dem Bereich Biowissenschaften, von denen viele GxP-Anforderungen unterliegen, nutzen Google Cloud auf eine Art und Weise, die nicht nur dazu beiträgt, die Compliance zu erfüllen, sondern auch zu differenzierten Funktionen, technologischen Fortschritten und organisatorischer Effizienz führt. Ein paar repräsentative Beispiele sind:

  • Da diese Art von Kunden eine klinische Studie leitet, unterliegen sie der guten klinischen Praxis und bestimmten Anforderungen, die dem Schutz der Patienten dienen. Der Umfang klinischer Studien kann stark variieren, wobei einige Studien nur die Nutzung einiger weniger regionaler Standorte erfordern, während andere Daten von Tausenden von Patienten über Dutzende von Standorten weltweit benötigen. Mit Google Cloud-Diensten können Nutzer eine beliebige Anzahl von maßgeschneiderten Anwendungen und Lösungen erstellen, die ihren Anforderungen entsprechen. Durch die Verwendung eines Online-Workflows für das Onboarding und die Nachverfolgung von Patienten könnte ein CRO zum Beispiel die Pflege und Prüfung von Papierunterlagen, die sich physisch an jedem Standort befinden, überflüssig machen. Google Cloud-Dienste können auch dazu beitragen, die Einhaltung der Verfahren für klinische Studien zu verbessern, indem sie dem CRO Echtzeit-Feedback darüber geben, wie die Standorte die geltenden Protokolle einhalten. Darüber hinaus ermöglicht die Speicherung von Studiendaten in der Cloud den Zugriff auf die Daten an jedem Ort und zu jeder Zeit durch die entsprechenden Teams, mit einer größeren Kontrolle über die Zugriffsanforderungen der Nutzer als bei herkömmlichen Papierakten.

  • Ein Hersteller in den Biowissenschaften nutzt eine in der Cloud gehostete interaktive Sprachdialogplattform, um Kunden-Zuzahlungskartenanfragen zu verwalten.

    Je nachdem, wie die Plattform Informationen sammelt, unterliegt der Prozess der guten Praxis der Pharmakovigilanz oder der Sicherheitsberichterstattung (GPvP). Wenn das System in der Cloud gehostet wird, muss der Kunde berücksichtigen, wie die Infrastruktur qualifiziert oder bestimmt wurde, um die Anforderungen zu erfüllen. Die Organisation kann auch Kontrollen unterliegen, die sicherstellen, dass die GxP-Aufzeichnungen, in diesem Fall Anrufnotizen, angemessen geschützt sind. Die Anforderungen der FDA an elektronische Aufzeichnungen in 21 CFR Teil 11 sehen vor, dass alle Änderungen an Daten, die in elektronischen Systemen gespeichert sind, aufgezeichnet und einer entsprechenden Person zugeordnet werden. In diesem Beitrag skizzieren wir, wie Google Cloud Kunden helfen kann, diese Anforderungen zu erfüllen.

Wie unterstützt Google Cloud Kunden bei der Einhaltung der GxP-Anforderungen?

Als führender Clouddienstanbieter unterstützt Google Cloud bei Biowissenschaftsorganisationen gemäß 21 CFR Teil 11 und den entsprechenden globalen Entsprechungen die Anforderungen an die elektronischen Aufzeichnungen der FDA.3 Die administrativen, physischen und technischen Kontrollen von Google Cloud helfen unseren Biowissenschafts-Kunden, ihre Qualitäts- und Sicherheitsziele zu erfüllen. Neben der zugrunde liegenden Infrastruktur und dem von Google verwalteten Betrieb bieten Google Cloud-Produkte auch Funktionen, die es unseren Kunden erleichtern, geltende GxP-Anforderungen zu erfüllen, indem sie ihre GxP-Aufzeichnungspflichten in der Cloud verwalten. Google setzt sich für den Schutz seiner Kundeninformationen ein und unterzieht sich routinemäßigen Audits durch unabhängige Dritte, um die Einhaltung zahlreicher weltweit anerkannter Sicherheits- und Datenschutzstandards zu überprüfen. In der Tat hat Forrester Research Google Cloud als Leader für Public Cloud Native Security für unsere Sicherheitsfunktionen und -merkmale und als Leader für Data Security Portfolio für unsere Sicherheitsproduktangebote ausgezeichnet.

In diesem Beitrag beschreiben wir die verschiedenen Maßnahmen, die Google Cloud ergreift, um Kunden bei der Anpassung an die GxP-Anforderungen zu unterstützen. Außerdem erklären wir, wie Unternehmen der Biowissenschaft die Google Cloud-Angebote so nutzen können, dass sie den verschiedenen Qualitäts- und Sicherheitsanforderungen der regulierten Industrie entsprechen. Während Verweise auf - und Details von - regulatorischen Standards und Richtlinien als Diskussionsrahmen zur Verfügung gestellt werden, stellen sie keine Rechtsberatung für pharmazeutische Organisationen oder andere Unternehmen dar.

Modell der geteilten Verantwortung

Während die Verantwortung für die GxP-Konformität letztlich bei unseren Kunden aus der Biowissenschaft liegt, hilft unser Modell der geteilten Verantwortung den Kunden, ihre Ressourcen effektiver einzusetzen, indem es den Aufwand für die Entwicklung und Wartung einer IT-Umgebung reduziert. Das Modell hilft, einige der administrativen und technischen Belastungen unserer Kunden zu verringern, da unsere Tools bei der effizienten Verwaltung und Kontrolle von Systemkomponenten helfen, auf die sich Organisationen, die GxP-Anforderungen unterliegen, oft verlassen. Außerdem wird ein Teil der Kosten für die Sicherheit auf Google Cloud verlagert und die Kosten für die GxP-Compliance können gesenkt werden. Wie diese illustrative, aber nicht endgültige Grafik zeigt, ist Google generell für die Sicherung unserer Infrastruktur verantwortlich und die Kunden sind für die Sicherung ihrer Daten verantwortlich. Die spezifischen Zuständigkeiten variieren je nachdem, ob ein Kunde IaaS-ähnliche Dienste auf Google Cloud wie Compute Engine, PaaS-ähnliche Dienste wie App Engine oder SaaS-ähnliche Dienste wie Google Workspace nutzt. Wir helfen unseren Kunden bei ihrem Teil der Verantwortung, indem wir Best Practices, Vorlagen, Produkte und Lösungen bereitstellen.

Geteilte Verantwortung

2.0 Google Cloud in GxP-Systemen verwenden

Als Cloud-Pionier ist sich Google seiner Verantwortung für die Sicherheit des Cloud-Modells voll bewusst. Unsere Clouddienste bieten von vornherein mehr Sicherheit als viele traditionelle lokale Lösungen. Sicherheit hat bei uns Priorität, um unsere eigenen Betriebsabläufe zu schützen. Da Google Prozesse jedoch auf derselben Infrastruktur ausführt, die auch unseren Kunden zur Verfügung steht, kann Ihr Unternehmen auch direkt von diesen Schutzmaßnahmen profitieren. Aus diesem Grund legen wir nicht nur viel Wert auf Sicherheit, sondern zählen auch den Datenschutz zu unseren primären Entwicklungskriterien. Sicherheit ist die treibende Kraft hinter unserer Unternehmensstruktur, unseren Schulungsprioritäten und Einstellungsprozessen. Sie bestimmt den Aufbau unserer Rechenzentren und die Technologie, die sich darin befindet. Sie ist ein zentraler Aspekt unserer täglichen Betriebsabläufe und Notfallplanung sowie der Art und Weise, wie wir auf Bedrohungen reagieren. Sie hat beim Umgang mit den Daten unserer Kunden höchste Priorität. Und sie ist der Grundpfeiler unserer Kontensteuerungen und Compliance-Audits sowie der Zertifizierungen, die wir unseren Kunden anbieten.

Dieser Abschnitt bietet einen Überblick darüber, wie die Google Cloud-Tools und der Ansatz für Sicherheits- und Qualitätsmanagement bei der Unterstützung von GxP-Systemen von pharmazeutischen und anderen Biowissenschaftsorganisationen helfen können. Außerdem fassen wir kurz einige Elemente unserer Cloud-Produkte und -Funktionen zusammen, die es Kunden erleichtern können, die GxP-Anforderungen zu erfüllen. Abschließend sehen wir uns die relevanten Google Cloud-Zertifizierungen, -Attestierungen und -Prüfungen an.

2.1 Anforderungen an elektronische Aufzeichnungen

Die FDA und ihre weltweiten Pendants haben Vorschriften und Verfahren entwickelt, die die sichere elektronische Speicherung der erforderlichen Dokumentation betreffen, einschließlich derjenigen, die sich unter anderem auf behördliche Einreichungen, interne Compliance-Richtlinien, Lieferanten-/Einkaufsinformationen und Kundenbeschwerden beziehen. Diese Bestimmungen dienen dem Schutz und der Verhinderung von Änderungen oder Löschungen von Daten, die deren Integrität beeinträchtigen könnten. In den USA wird die Einhaltung der Anforderungen an elektronische Datensätze oft als „Part 11 Compliance“ bezeichnet, benannt nach dem CFR-Teil, in dem die Anforderungen zu finden sind.4 Google ist sich bewusst, dass diese Schutzmaßnahmen der Produktsicherheit und -qualität dienen, und in diesem Teil beschreiben wir die Prozesse und Produkte, die es unseren Kunden ermöglichen, die Sicherheits- und Integritätsziele zu erfüllen, die durch die Part 11 Compliance gefördert werden.

Tabelle 1: Verallgemeinerte GxP-Anforderungen an elektronische Datensätze und Signaturen5

Anforderungen an elektronische Aufzeichnungen Anforderungen an elektronische Signaturen
  • Die Fähigkeit, ungültige oder geänderte Datensätze zu erkennen
  • Sichere, computergenerierte, mit Zeitstempel versehene Prüfpfade
  • Schutz von Datensätzen, um deren genaue und schnelle Wiederauffindung zu ermöglichen
  • Berechtigungsprüfungen für Systemzugang und -nutzung
  • Validierung von Systemen zur Sicherstellung von Genauigkeit, Zuverlässigkeit und konsistenter Leistung
  • Operative Systemprüfungen zur Durchsetzung der zulässigen Ereignisabfolge
  • Angemessene Personalqualifikation einschließlich angemessener Ausbildung, Schulung und Erfahrung
  • Angemessene Kontrollen über die Systemdokumentation, einschließlich Verteilung, Zugriff, Verwendung und Überarbeitung sowie Änderungskontrollen (Prüfprotokoll der Dokumentationsentwicklung und -änderung)
  • Verantwortungsrichtlinien für Aktionen, die unter dem Konto einer Person initiiert wurden
  • Mindestens zwei eindeutige Identifikationskomponenten (z. B. Nutzername und Passwort)
  • Regelmäßige Überprüfungen, Rückrufe oder Überarbeitungen von Anmeldedaten für die Autorisierung
  • Einsatz von Transaktionssicherungen zur Verhinderung, Erkennung und Meldung von Versuchen der unbefugten Nutzung.
  • Kontrollen für die Zusammenarbeit von zwei oder mehreren Personen, die nicht der eigentliche Eigentümer sind, um die elektronische Signatur des Einzelnen zu verwenden
  • Verfahren zur Verlustverwaltung, um potenziell kompromittierte Token, Karten und andere Geräte zu deautorisieren und temporäre oder permanente Ersatzgeräte mit geeigneten Kontrollen auszugeben.
  • Erstmaliges und regelmäßiges Testen von Geräten, wie z. B. Token oder Karten, um die ordnungsgemäße Funktionalität sicherzustellen
  • Verantwortungsrichtlinien für Aktionen, die unter der Signatur einer Person initiiert wurden

Verhaltensanforderungen, wie z. B. Einschränkungen bei der Weitergabe von Passwörtern, Schulung von Nutzern über die Bedeutung ihrer elektronischen Signatur und Verantwortlichkeit für die Verwendung einer elektronischen Signatur liegen in der Verantwortung des Kunden und werden in diesem Teil nicht weiter beschrieben. Weitere Informationen zum „Modell für geteilte Verantwortung“ finden Sie in Teil 1.

Die Anforderungen an die Verwendung elektronischer Datensätze in GxP-Systemen lassen sich in mehrere separate Teilmengen unterteilen, die mit der Erstellung, Verwaltung und Dokumentation solcher Datensätze zu tun haben. Biowissenschaftsunternehmen, die elektronische Aufzeichnungssysteme nutzen, sollten Best Practices zu Themen wie Datenaufbewahrung, Identitäts- und Zugriffsverwaltung, Datensicherheit und Audit-Trail sowie Dateneigentumsrechte berücksichtigen, die wir unten besprechen. Außerdem beschreiben wir kurz, wie Google die GxP-Anforderungen für die von uns verwalteten Back-End-Funktionen erfüllt, und besprechen einige Zertifizierungen, die Googles Compliance mit diesen Standards ansprechen.

Datenaufbewahrung

GxP-konforme Dokumentsteuerungs- und Datenspeichersysteme sollten Datensätze schützen und aufbewahren sowie ihr genaues und schnelles Wiederauffinden ermöglichen. In der Vergangenheit, als die meisten Datensätze in Papierform aufbewahrt wurden, erfüllten Unternehmen die Anforderungen an die Aufbewahrung, indem sie die Dokumente unter vordefinierten Bedingungen, die ein systematisches Abrufen ermöglichten, vor Ort oder an einem anderen Ort aufbewahrten. Der Begriff „abrufbereit“ könnte, wenn er auf Cloud-basierte Anwendungen und Speicher angewendet wird, so verstanden werden, dass sie über robuste Sicherungs- und Wiederherstellungsprozesse und/oder Hochverfügbarkeitssysteme verfügen. Die Speicherung von Daten in der Cloud ermöglicht den maßgeschneiderten Abruf von Dokumentationen zu jedem Zeitpunkt ihres Lebenszyklus, von mehreren globalen Standorten aus gleichzeitig, wobei die zuverlässige Datensicherung ein weiterer Vorteil der Google-Plattform gegenüber anderen elektronischen Datensätzen ist.

Die Verwaltung des Objektlebenszyklus in Google Cloud kann mit Lebenszyklusrichtlinien konfiguriert werden, um Buckets des Archivspeichers für Daten zu erstellen. Diese Storage-Buckets könnten zum Beispiel auf der Grundlage unterschiedlicher Zugriffshäufigkeiten konfiguriert werden. Ältere Versionen vorhandener Dokumente, auf die seltener zugegriffen wird, können in kostengünstigere Nearline- oder Coldline-Speicheroptionen verschoben werden. Dadurch ist der Zugriff insgesamt viel einfacher als bei der Abfrage von Papierdokumenten aus einem externen Aufbewahrungsort.

Kunden können auch Dienste wie BigQuery und Cloud Bigtable konfigurieren, um Ablaufzeiten für bestimmte Datentypen zu automatisieren, sodass jede Organisation den Ablauf und das Löschen der Dokumentation in Übereinstimmung mit ihren Datenaufbewahrungsrichtlinien konfigurieren kann. Dadurch müssen Nutzer nicht mehr manuell auf Daten zugreifen und diese löschen oder aufbewahren, für die es aufgrund verschiedener Vorschriften Aufbewahrungsrichtlinien gibt.

Identitäts- und Zugriffsverwaltung

GxP-konforme Systeme erfordern Kontrollen, die regeln, wer generell und/oder in regelmäßigen Abständen Zugriffsrechte auf die Daten hat, um das Risiko einer unbefugten Änderung oder Löschen von Datensätzen zu mindern. Die Zugriffsrechte sollten gemäß den Richtlinien des Kunden zur Aufgabentrennung sowie nach Funktion oder Rolle festgelegt werden, um sicherzustellen, dass die Nutzer ihres Unternehmens auf alles zugreifen können, was sie im Rahmen ihrer Verantwortungsbereiche benötigen, während der nicht autorisierte Zugriff auf kritische oder sensible Daten eingeschränkt wird.

Mit Cloud Identity and Access Management (Cloud IAM) können Administratoren festlegen, wer Aktionen für bestimmte Ressourcen ausführen kann. Gleichzeitig bietet dies vollständige Kontrolle und Sichtbarkeit zum zentralen Verwalten von Cloudressourcen. Da Unternehmen der Biowissenschaften komplexe Organisationsstrukturen und Prozesse sowie eine globale Präsenz haben können, bietet unsere Suite von Sicherheits- und Identitätswerkzeugen eine einheitliche Übersicht auf die Sicherheitsrichtlinien in Ihrem gesamten Unternehmen mit integrierter Prüfung, um Compliance-Prozesse zu erleichtern.

Wie in Teil 11 vorgesehen, sollten elektronische GxP-Systeme Verfahren zum Verlustmanagement implementieren. Sollte es erforderlich sein, Anmeldedaten wie API-Schlüssel oder Verschlüsselungsschlüssel zum Schutz sensibler Gesundheitsdaten zu rotieren, bietet Google Cloud Optionen zur einfachen Rotation von Anmeldedaten in der Cloud IAM-Schnittstelle und zur Rotation oder Zerstörung von asymmetrischen oder symmetrischen Verschlüsselungsschlüsseln im Cloud Key Management Service.

GxP-Systeme sollten auch geeignete Standards für digitale Signaturen verwenden, wie z. B. Multi-Faktor-Authentifizierung („MFA“), um die Authentizität, Integrität und Vertraulichkeit von Datensätzen zu gewährleisten. Google Cloud bietet Kunden die Möglichkeit, MFA, wie z. B. die Bestätigung in zwei Schritten („2SV“), für Cloud Identity-Konten zu aktivieren und zu verlangen. Zu den Optionen für MFA gehören die Verwendung von Sicherheitsschlüsseln, Push-Benachrichtigungen an mobile Geräte oder Einmal-Passwörter.

Datensicherheit und Prüfprotokoll

Neben den Anforderungen an die Datenaufbewahrung sollten GxP-Datensätze auch vor unbefugten oder unbeabsichtigten Änderungen oder Löschungen geschützt werden. Kunden sollten sicherstellen, dass sie wissen, wann Daten erstellt wurden, von wem, wer auf diese Daten zugegriffen hat, und ob/wann/wie/und von wem Änderungen vorgenommen wurden. Dies kann durch einen robusten und sicheren Prüfpfad erreicht werden, der das vorherige Ergebnis, das geänderte Ergebnis, das Konto, das die Änderung vorgenommen hat, und einen maßgeblichen Zeit- und Datumsstempel erfasst. Auf diese Weise ist die Änderung des Datensatzes sowohl zuordenbar als auch nachweisbar. Google Cloud verfügt über mehrere Lösungen, die dies durch Tools wie Cloud-Audit-Logging (das unveränderliche Logs für Administrator-Aktivitäten, Datenzugriffe und Systemereignisse erstellen kann) und anpassbare Überwachungs- und Benachrichtigungsfunktionen erreichen.

Mit Cloud Logging können Sie beispielsweise Log-Daten und -Ereignisse aus der Google Cloud und anderen Quellen, einschließlich Amazon Web Services (AWS), speichern, suchen, analysieren, überwachen und mit einer Benachrichtigung versehen. Wir bieten auch eine starke Verschlüsselung für Daten bei der Übertragung in der Google Cloud, um sie vor unbefugten Zugriffen außerhalb unseres Perimeters zu schützen, und wir sind einer der einzigen Dienstanbieter, der standardmäßig eine Verschlüsselung für inaktive Daten anbietet. Darüber hinaus ermöglichen wir unseren Kunden, ihre eigenen Verschlüsselungsschlüssel für ausgewählte Produkte über einen Schlüsselverwaltungsdienst (Key Management Service) zu verwalten und bieten gesundheitsspezifische Dienste für die Verwaltung sensibler Daten wie PHI und medizinische Datensätze an.

Inhaberschaft von Daten

Alle Daten sind Eigentum der jeweiligen Google Cloud-Kunden und nicht von Google. Wir greifen nicht auf Kundendaten zu, die nicht zur Erfüllung unserer vertraglichen und rechtlichen Verpflichtungen notwendig sind. Nur eine kleine Gruppe von Google-Mitarbeitern, z. B. solche, die autorisierte Kundenadministratoren unterstützen, haben Zugriff auf Kundendaten. Die Zugriffsrechte und -ebenen unserer Mitarbeiter basieren auf ihrer beruflichen Funktion und Rolle. Sie basieren auf den Konzepten der geringsten Berechtigung und der Notwendigkeit von Informationen. Außerdem bieten wir Kunden durch Transparenz die Möglichkeit, Protokolle fast in Echtzeit aufzurufen, wenn Google-Administratoren auf Kundeninhalte zugreifen. Lesen Sie unsere Vertrauensgrundsätze, um mehr über die Philosophie von Google Cloud und die Verpflichtungen gegenüber unseren Kunden zu erfahren.

Darüber hinaus ist Google für das Speichern, Zurückgeben, Vernichten oder Löschen personenbezogener Daten gemäß den vertraglichen Vereinbarungen oder Service Level Agreements (SLAs) zuständig. Wir empfehlen Kunden im Bereich Biowissenschaften, ihre Service Level Agreements an die Aufbewahrungsanforderungen für Daten und/oder den regulatorischen Anforderungen zur Datenaufbewahrung anzupassen. Weitere Informationen zum Löschen von Daten in Google Cloud finden Sie im Whitepaper zur Datenlöschung auf der Google Cloud Platform. Weitere Informationen finden Sie in unserem Zusatz zur Verarbeitung von Cloud-Daten unter Datensicherheit.

Physische Sicherheit

In Google-Rechenzentren wird mit einem mehrschichtigen Sicherheitsmodell gearbeitet, bei dem eigens entwickelte elektronische Zugangskarten, Alarme, Fahrzeugschranken, Umzäunungen, Metalldetektoren und biometrische Verfahren zum Einsatz kommen. In den Gebäuden der Rechenzentren werden zur Erkennung von nicht autorisierten Eindringversuchen Laserstrahlen eingesetzt. Nur autorisierte Mitarbeiter mit spezifischen Rollen haben Zutritt. Weniger als 1 % der Google-Mitarbeiter wird jemals eines unserer Rechenzentren betreten. Wenn Google Cloud Server in Rechenzentren von Drittanbietern hostet, sorgen wir dafür, dass die von Google kontrollierten physischen Sicherheitsmaßnahmen zusätzlich zu den Sicherheitsebenen des Rechenzentrumsbetreibers implementiert sind. Weitere Informationen finden Sie in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google.

Netzwerksicherheit

Neben der Bereitstellung von Datenverschlüsselung bei der Übertragung und im inaktiven Zustand unterstützt Google Cloud auch unterstützende Systeme und Netzwerke mit Produkten, die Kundendienstperimeter definieren und durchsetzen, die eine Netzwerksegmentierung, Fernzugriff und Denial of Service-Abwehr ermöglichen. Systemadministratoren haben die Flexibilität, die Verbindung von Arbeitslasten regional und global sicher zu skalieren und zu steuern, je nachdem, wo ihre Geräte und Einrichtungen eingesetzt werden. Um die Sicherheit großer Netzwerke von Geräten und Anlagen zu unterstützen, hat Google Application Layer Transport Security und Virtual Private Clouds mit Service Controls entwickelt, die Entwicklern helfen können, ihre Design-Kontrollen in Übereinstimmung mit den Vorschriften u. a. des FDA-Qualitätssystems zu verbessern.

Während der Traffic durch die verwaltete Infrastruktur von Google fließt, nutzt Google Cloud automatisch verschiedene Schutzmaßnahmen für Daten bei der Übertragung und bietet Kunden auch die Möglichkeit, zusätzliche Schutzebenen anzuwenden. Ein wichtiger Aspekt für Organisationen bei der Einführung von Governance und Kontrolle über Netzwerksicherheitsrichtlinien ist die Einführung von freigegebenen VPC-Netzwerken. Netzwerkadministratoren müssen Routing- und Firewallregeln auf Hostprojektebene definieren und Ressourcen für Dienstprojekte explizit autorisieren, an einzelne Subnetze im Hostprojekt angehängt zu werden. Mit diesem Ansatz für die Zuweisung des Netzwerkzugriffs können Organisationen festlegen, dass Dienstprojektinhaber bestimmte Sicherheitsstandards erfüllen müssen, bevor sie Zugriff auf das Produktionsnetzwerk erhalten.

Organisationen, die personenbezogene Gesundheitsdaten oder andere vertrauliche Daten verarbeiten oder speichern, sollten außerdem VPC Service Controls einrichten. VPC Service Controls bietet tiefgreifende Abwehrmaßnahmen, um die Möglichkeiten zur Daten-Exfiltration einzuschränken. VPC Service Controls gibt auch an, welche Hosts außerhalb der perimetergeschützten Ressourcen eine Verbindung herstellen oder Daten übertragen dürfen.

Anwendungssicherheit

Google Cloud bietet eine Vielzahl an Anwendungssicherheitsprodukten, die die Geschäftsanwendungen unserer Kunden über Anwendungstests, Scans und API-Sicherheitsfunktionen schützen und verwalten. Google empfiehlt, dass alle Kunden ihre Arbeitslasten regelmäßig scannen, um häufig auftretende Sicherheitslücken zu erkennen. Zur Unterstützung dieser Kunden bietet Google Cloud den Einsatz des Web Security Scanner an, der gängige Einschleusungen, gemischte HTTP/S-Inhalte und die Verwendung unsicherer Bibliotheken in über App Engine, Compute Engine und Kubernetes Engine bereitgestellten Anwendungen erkennt.

Für die Ende-zu-Ende-Sicherheit auf den API-Plattformen von Kunden bietet Google Cloud Lösungen wie Cloud Endpoints und Apigee. Mit beiden Lösungen können Entwickler die Identität von Endnutzern anhand von Optionen wie JSON-Webtokens, API-Schlüsseln oder Oauth 2.0-Tokens überprüfen. Obwohl Cloud Endpoints eine Lösung ist, die speziell auf Google Cloud-Bereitstellungen zugeschnitten ist, kann Apigee in Hybridszenarien mit APIs verwendet werden, die in Google Cloud und lokal bereitgestellt werden. Apigee kann Back-End-Systeme vor Nutzlastinjektionsangriffen (z. B. SQL-Injection) schützen und bestimmte Arten von vertraulichen Daten (z. B. Gesundheitsinformationen) erkennen und maskieren, bevor sie in Trace-Logs aufgezeichnet werden. Apigee Sense bietet die Möglichkeit, APIs proaktiv vor Bedrohungen oder verdächtigem Verhalten zu schützen.

Redundanz der Infrastruktur

Bei der Entwicklung der Plattformkomponenten achtet Google auf hohe Redundanz. Diese Redundanz gilt für das Serverdesign, die Datenspeicherung, Netzwerk- und Internetverbindungen sowie die Softwaredienste selbst. Die Redundanz sämtlicher Bestandteile umfasst auch die konzeptionelle Behandlung von Fehlern und ermöglicht eine Lösung, die nicht von einem einzigen Server oder Rechenzentrum oder einer einzigen Netzwerkverbindung abhängt. Die Rechenzentren von Google sind auf verschiedene Standorte verteilt, um die Auswirkungen regionaler Störungen wie Naturkatastrophen und lokaler Ausfälle auf weltweit verfügbare Produkte gering zu halten. Bei einem Hardware-, Software- oder Netzwerkausfall werden die Plattformdienste und Steuerungsebenen automatisch und unverzüglich von einer Einrichtung in eine andere verschoben, sodass die Plattformdienste ohne Unterbrechung weiter bereitgestellt werden können. Googles hochredundante Infrastruktur unterstützt außerdem die Kunden dabei, sich vor Datenverlust zu schützen. Google Cloud-Ressourcen können in mehreren Regionen und Zonen erstellt und bereitgestellt werden, sodass Kunden stabile und hochverfügbare Systeme aufbauen können.

Bei der Datenspeicherung auf physischer Ebene speichert Google inaktive Kundendaten in zwei Arten von Systemen: aktiven Speichersystemen und Sicherungsspeichersystemen. Die aktiven Speichersysteme sind die Produktionsserver von Google Cloud, auf denen die Anwendungs- und Speicherebenen von Google ausgeführt werden. Unsere Sicherungsspeichersysteme speichern für einen bestimmten Zeitraum vollständige und inkrementelle Kopien der aktiven Systeme, damit Google Daten und Systeme bei einem katastrophalen Ausfall oder einer Katastrophe wiederherstellen kann. In den oben beschriebenen Speichersystemen werden Kundendaten während der Speicherung verschlüsselt. Die Verschlüsselung inaktiver Daten erfolgt auf den Anwendungs- und Speicherebenen in aktiven Speichermedien und Sicherungsspeichermedien. Eine genauere Beschreibung der Verschlüsselungstechniken von Google finden Sie in den Whitepapers zur Sicherheit der Google Cloud.

2.2 Relevante GxP-Produktfunktionen: Validierung und Qualifizierung der Infrastruktur

Qualifizierung der Infrastruktur

Eine der wichtigsten Anforderungen an GxP-Computersysteme ist, dass sie validiert werden, um sicherzustellen, dass das System die Anforderungen der Nutzer erfüllt.6 In einer herkömmlichen gehosteten Umgebung ist der erste Schritt zum Aufbau eines validierten Computersystems die Qualifizierung der Infrastruktur.7 Ähnlich wie bei der Qualifizierung der lokalen Infrastruktur würde ein Kunde seinem Infrastruktur-Qualifizierungsprozess folgen, um die erforderlichen technischen Spezifikationen zu dokumentieren, die cloudbasierte Infrastruktur nach diesen Komponenten aufzubauen und dann zu überprüfen, ob der tatsächliche Aufbau die Spezifikationen erfüllt. Die Validierungsmethode des Kunden sollte die spezifischen Dokumentationsanforderungen umreißen, und die während dieses Prozesses erstellte Build-Dokumentation könnte verwendet werden, um den qualifizierten Zustand der Infrastruktur zu unterstützen.

Cloud-Ressourcen wie Compute Engine oder Cloud Storage können über die Google Cloud Console oder programmatisch über Cloud Deployment Manager, Hashicorp Terraform oder direkt über die RESTful APIs der GCP bereitgestellt werden. Cloud Deployment Manager ist ein Dienst zum Bereitstellen von Infrastruktur und zum automatisierten Erstellen und Verwalten von Google Cloud-Ressourcen. Kunden können flexible Vorlagen- und Konfigurationsdateien schreiben und damit Bereitstellungen mit einer Vielzahl von Cloud Platform-Diensten wie Cloud Storage, Compute Engine und Cloud SQL erstellen, die auf die Zusammenarbeit ausgelegt sind. Mit Deployment Manager kann sich ein Kunde das Manifest ansehen, das alle Eingaben, Spezifikationen, Uploaddateien usw. (die "Anforderungen") sowie einen Bericht des tatsächlichen Builds enthält, der zeigt, dass die Cloud-Ressourcen qualifiziert wurden. Anschließend kann der Kunde mit Anwendungsvalidierungsaktivitäten fortfahren.

Änderungsmanagement und operatives Monitoring

Zusätzlich zur Validierung der Systeminfrastruktur sollten in GxP-konformen Systemen angemessene Verfahren zur Änderungskontrolle in Bezug auf Infrastruktur- und Anwendungskomponenten implementiert werden. Dies kann erreicht werden, indem sichergestellt wird, dass nur autorisierte Änderungen an Systemen vorgenommen werden, dass nur autorisierte Nutzer Änderungen vornehmen können und dass ein kontinuierliches Monitoring erfolgt, um sicherzustellen, dass es keine betrieblichen Probleme oder Sicherheitsbedenken gibt. Kunden sollten ihre eigenen Kontrollen für das Änderungsmanagement in die Google Cloud-Umgebung einbinden, um die Auswirkungen von Änderungen an der Cloud-Infrastruktur, an Anwendungskonfigurationen oder an Daten in Anwendungen zu bewerten.

Eine Organisation sollte außerdem Schutzmaßnahmen in Form von Richtlinieneinschränkungen festlegen, die bestimmen, welche Teams Zugriff auf welche Arten von Daten benötigen, und welche Einschränkungen für diesen Zugriff gelten. Beispiel: Kunden können dafür sorgen, dass Teams nur genehmigte Images für den Einsatz von virtuellen Maschinen verwenden.

Kunden können das Security Command Center (CSCC) verwenden, um ein Inventar ihrer Cloud-Ressourcen anzuzeigen und zu überwachen, Zugriffsrechte auf ihre Ressourcen zu überprüfen, Benachrichtigungen über Richtlinienverstöße von Forseti zu erhalten (z. B. übermäßig zulässige Cloud Storage-ACLs oder Firewallregeln der Compute Engine) und gängige Web-Schwachstellen zu erkennen - und das alles über ein einziges, zentrales Dashboard. Unsere Kunden können über Cloud IAM auch kontrollieren, wer Zugriff auf Änderungen an ihrer Infrastruktur hat, und so Richtlinien zur Änderungskontrolle und Workflows zur Überprüfung durch Administratoren implementieren. Nachdem die genehmigte Google Cloud-Infrastrukturänderung vorgenommen wurde, wird empfohlen, dass Nutzer eine gezielte Überprüfungsaktivität durchführen, um zu bestätigen, dass die Änderung die erwarteten Ergebnisse hatte.

Änderungen an Serverkonfigurationen, einschließlich Änderungen an den Spezifikationen, können über die Cloud Console oder über Cloud Deployment Manager gesteuert werden. Mit der entsprechenden Dokumentation von Deployment Manager können Sie nachweisen, dass die Änderungen gemäß den Anforderungen vorgenommen wurden. Die Cloud Console ist die zentrale Benutzeroberfläche, über die Kunden Aktivitäten im Zusammenhang mit Google Cloud-Ressourcen verwalten, erstellen, bearbeiten oder abrufen können. Außerdem können Kunden das Cloud SDK oder Cloud Shell verwenden. Damit können Google Cloud-Kunden die Infrastruktur und Anwendungen über die Befehlszeile in einem Browser verwalten.

Bei Google Cloud achten wir kontinuierlich auf bösartige Aktivitäten, behandeln Sicherheitsvorfälle und unterstützen operative Prozesse, die Bedrohungen und Leistungsprobleme verhindern, erkennen und darauf reagieren. Darüber hinaus sammelt die Google Cloud Operations-Suite Messwerte, Logs und Ereignisse aus der Infrastruktur und gibt Kunden die Möglichkeit, Leistungsprobleme proaktiv zu überwachen und kontrolliert zu beheben. Die Operations-Suite verwaltet auch den Änderungsverlauf für den Server selbst in Form des Prüfprotokolls. Dadurch können Sie zeigen, dass alle Änderungen autorisiert wurden und den entsprechenden Verfahren zur Änderungskontrolle folgen. Cloud Logging ermöglicht es Kunden, Log-Daten zu suchen, zu speichern, zu analysieren, zu überwachen und bei Änderungen oder Aktualisierungen von Log-Daten benachrichtigt zu werden.

Auf der Seite Google Cloud-Produkte finden Kunden detaillierte Informationen zu den Produkten und Betriebsabläufen von Google Cloud.

Reaktion auf Vorfälle

Eine effektive Reaktion auf Vorfälle ist nicht nur der Schlüssel zur Bewältigung und Wiederherstellung nach Vorfällen, sondern auch zur Verhinderung zukünftiger Vorfälle. Die umfassenden Funktionen der Reaktion auf Vorfälle in Google Cloud basieren auf einer Kombination aus spezialisierten Experten, effizienten Prozessen und ausgefeiltem Monitoring, um Vorfälle proaktiv zu erkennen, zu vermeiden, Auswirkungen abzumildern, Kunden zu informieren und Dienste auf vertrauenswürdige Weise wiederherzustellen. Hier finden Sie eine Übersicht über den Reaktionsprozess beim Vorfallmanagement, unterteilt nach Phasen:

1. Erkennung

Die frühzeitige und genaue Erkennung von Vorfällen ist für ein starkes und effektives Vorfallmanagement maßgebend. In dieser Phase liegt der Fokus auf der Überwachung von Sicherheitsereignissen, um potenzielle Datenvorfälle zu erkennen und zu melden.

2. Koordination

Wenn ein Vorfall gemeldet wird, überprüft und bewertet der Bereitschaftsdienst die Art des Vorfalls, um festzustellen, ob dieser einen potenziellen Datenvorfall darstellt, und leitet den Google-Prozess für die Reaktion auf Vorfälle ein.

3. Lösung

In dieser Phase liegt der Fokus darauf, die Hauptursache zu untersuchen, die Auswirkungen des Vorfalls zu begrenzen, unmittelbare Sicherheitsrisiken, falls vorhanden, zu beseitigen, im Rahmen der Behebung notwendige Korrekturen durchzuführen und betroffene Systeme, Daten und Dienste wiederherzustellen.

4. Kontinuierliche Verbesserungen

Wir analysieren jeden Vorfall, um neue Erkenntnisse zu gewinnen, die uns dabei helfen, unsere Tools, Schulungen und Prozesse sowie das gesamte Sicherheits- und Datenschutzprogramm von Google zu verbessern

Weitere Informationen zu unserem Vorfallmanagement finden Sie in unserem Whitepaper zur Reaktion auf Datenvorfälle.

2.3 Anforderungen für GxP erfüllen

Regulierte biowissenschaftliche Organisationen, einschließlich Arzneimittelherstellern sowie Herstellern medizinischer Geräte und biologischer Produkte, die in den USA oder in anderen internationalen Märkten der Gesundheitsfürsorge tätig sind, widmen erhebliche Ressourcen der Entwicklung, Verwaltung und dem Betrieb von GxP-Systemen. Insbesondere die Entwicklung von Systemen und Protokollen, die Good Manufacturing Practice (GMP)- und Quality System (QS)-Vorgaben einhalten müssen, nimmt wertvolle Zeit und Mühen in Anspruch.8 In den USA werden die GMP-/QS-Anforderungen von der FDA durchgesetzt und verlangen von biowissenschaftlichen Organisationen, dass Fertigungsprozesse und -anlagen ordnungsgemäß designt, überwacht und kontrolliert werden. Obwohl Organisationen ein gewisses Maß an Entscheidungsfreiheit in Bezug auf die Spezifikationen ihrer Systeme erhalten, müssen konforme GMP-/QS-Systeme weitreichende Entwicklungs- und Produktionsthemen berücksichtigen, die die Sicherheit und Wirksamkeit von hergestellten Produkten beeinträchtigen könnten. Zu diesen Themen gehören:

  • Management-Verantwortung
  • Personalschulungen
  • Datensätze und Berichte
  • Qualitätsprüfungen
  • Kontrollen im Einkauf
  • Anbieterbewertungen

Diese Systeme unterliegen häufig erheblichen Aufbewahrungspflichten. Organisationen müssen dafür sorgen, dass ihre Dokumentations-, Datenverwaltungs- und Änderungskontrollprozesse den Bestimmungen entsprechen. Im Folgenden erfahren Sie, wie Kunden durch den Übergang zu cloudbasierten Anwendungen ihre Compliance-Initiativen optimieren und zuverlässige elektronische Systeme entwickeln können.

Management-Verantwortung:

In der Regel verlangen GxP-Systeme, dass biowissenschaftliche Einrichtungen offizielle Richtlinien und Ziele festlegen und pflegen, um für eine hohe Produktqualität zu sorgen.9 Es unterliegt der Verantwortung der Unternehmensleitung, dass die Qualitätsrichtlinie auf allen Ebenen der Organisation verstanden, umgesetzt und gepflegt wird. Zu dieser Verantwortung gehört es, den Mitarbeitern, die qualitätsrelevante Arbeiten verwalten, erledigen und bewerten, die erforderlichen Rechte zu übertragen. In einer cloudbasierten IT-Umgebung ist es dazu erforderlich, die Berechtigungen und Zugriffsrechte für das relevante Personal festzulegen und den Zugriff auf und die Nutzung von bestimmten elektronischen GxP-Systemen durch das Personal zu überwachen und zu verwalten.

Kunden, die Google Cloud verwenden, können Cloud IAM-Berechtigungen konfigurieren, um den Zugriff auf Cloud-Ressourcen zu steuern und den Zugriff durch ihre eigenen Administratoren einzuschränken. Dazu vergeben Sie den jeweils erforderlichen Zugriff auf Projekt-, Ordner- oder Dataset-Ebene. Dabei nutzen Sie eine umfassende Liste an Berechtigungen und die vordefinierten Rollen, die diese gewähren. Sie können auch eigene benutzerdefinierte Rollen erstellen, die genau die von Ihnen angegebenen Berechtigungen enthalten.

Mit VPC Service Controls können Kunden einen Sicherheitsbereich für Google Cloud-Ressourcen wie Cloud Storage, BigQuery oder Bigtable zur Vermeidung von Daten-Exfiltration definieren und so Risiken wie die falsche Konfiguration von Mitarbeiterzugriffskontrollen oder Angriffe unter Ausnutzung gehackter Konten minimieren. Mit Identity-Aware Proxy (IAP) können Kunden den Zugriff auf Cloud-Anwendungen und VMs basierend auf der Identität des Nutzers und dem Kontext seiner Anfrage steuern. Kunden können auch steuern, wer Zugriff auf Ihre Cloud Storage-Buckets und -Objekte hat und welche Zugriffsebene gewährt wird. Weitere Informationen finden Sie auf der Dokumentationsseite für Cloud Storage.

Schulungen für Organisationen und Personal:

Unternehmen der Biowissenschaft sind dafür verantwortlich, die Qualitätsrichtlinien ihres Unternehmens zu entwickeln und umzusetzen sowie eine angemessene Organisationsstruktur zu unterhalten, um sicherzustellen, dass ihre Produkte in Übereinstimmung mit den gesetzlichen Anforderungen entwickelt und produziert werden. Dazu gehört, dass das Personal über den erforderlichen Hintergrund, die Ausbildung und die Erfahrung verfügt, um alle zugewiesenen qualitätsbezogenen Aktivitäten korrekt durchzuführen. Wenn diese Funktionen die Nutzung von Google Cloud-Diensten zur Konfiguration der Infrastrukturunterstützung von elektronischen GxP-Systemen umfassen, sollte bei der Einstellung und/oder Schulung von Personal die Erfahrung mit Google Cloud-Diensten berücksichtigt werden. Kunden können eine Reihe von Google Cloud-Schulungen nutzen, um ganzen Teams zusätzliche Fähigkeiten und Kenntnisse in Bereichen wie der Architektur mit Google Kubernetes Engine und der Verwendung von maschinellem Lernen mit TensorFlow auf Google Cloud zu vermitteln. Ihre Mitarbeiter können dann Zertifizierungen erwerben, die ihre technische Qualifikation für eine bestimmte berufliche Aufgabe oder Technologie unter Beweis stellen

Kunden sollten auch in Erwägung ziehen, ihre Richtlinien und Verfahren und/oder andere organisatorische Dokumente zu aktualisieren, die die Anforderungen an die Ausbildung und Erfahrung des Personals sowie die Verwaltung von Schulungsplänen betreffen. Wir empfehlen unseren Kunden, sich mit der Kundenverantwortungsmatrix von Google Cloud vertraut zu machen.

Datensätze und Berichte

Ein zentrales Element sowohl der GMP- als auch der QS-Regelungen ist die Anforderung, Datensätze einzurichten, auf die bei einer behördlichen Inspektion leicht zugegriffen werden kann und die überprüft werden können. Der Zweck dieser Systeme ist es, sicherzustellen, dass die Verfahren zur Produktqualität angemessen aufrechterhalten und befolgt werden.10 So sind z. B. in der Regel Datensätze zu jedem wesentlichen Schritt des Vertriebsprozesses, einschließlich der Herstellung, Verarbeitung, Verpackung und Lagerung eines bestimmten Produkts oder einer Produktcharge, erforderlich. Darüber hinaus müssen regulierte Organisationen Verfahren für die Entgegennahme, Prüfung und Bewertung von Kundenbeschwerden einrichten und umfassende Datensätze führen, die detailliert aufzeigen, wie jede eingegangene Beschwerde gelöst wurde. Für die Überprüfung durch Aufsichtsbehörden ist eine ordnungsgemäße Verwaltung der Datensätze, die die Integrität der Daten sicherstellt, entscheidend.

Wie bereits erwähnt, bietet Google Cloud seinen Kunden Tools wie Cloud-Audit-Logs, mit denen Sicherheitsteams Audit-Trails in Google Cloud verwalten und detaillierte Informationen zu Administratoraktivitäten, Datenzugriffen und Systemereignisse abrufen können. Cloud-Audit-Logs befinden sich in einem hochgeschützten Speicher, was einen sicheren, unveränderlichen und langlebigen Audit-Trail ermöglicht. Kunden können mit Cloud Logging auch Logdaten und Ereignisse aus Google Cloud speichern, analysieren und überwachen, darin suchen sowie Benachrichtigungen dazu versenden. Unsere API ermöglicht außerdem die Aufnahme benutzerdefinierter Logdaten aus beliebigen Quellen und kann für eine erweiterte Loganalyse mit den Daten- und Analyseprodukten von Google Cloud kombiniert werden.

Weitere Informationen zur Operations-Suite von Google Cloud finden Sie auf unserer Produktseite und auf der Dokumentationsseite.

Qualitätsprüfungen

GxP-konforme Organisationen der Biowissenschaft sind verpflichtet, Verfahren zur Durchführung von Qualitätsprüfungen zu etablieren. Solche Audits werden durchgeführt, um sicherzustellen, dass die Qualitätssysteme des Unternehmens mit den GxP-Vorschriften übereinstimmen, und um ihre Gesamtwirksamkeit zu bestimmen.11 Als Teil dieses Prozesses müssen Organisationen Berichte über die Ergebnisse jeder Qualitätsprüfung erstellen und aufbewahren, und diese Berichte sollten von der verantwortlichen Geschäftsleitung überprüft werden, um festzustellen, ob Korrekturmaßnahmen erforderlich sind. Behördliche Inspektoren verlangen oft eine Dokumentation, dass Qualitätsprüfungen durchgeführt werden.

Kunden, die Qualitätsprüfungen ihrer Systeme machen, können Google Cloud-Dienste nutzen, um den Prüfprozess zu unterstützen. Durch die Nutzung von Diensten wie der Operations-Suite von Google Cloud, Cloud IAM und Open-Source-Tools wie Forseti Security können Sie einen umfassenden Überblick über Ihre Google Cloud-Umgebung und deren Verlauf erhalten, ohne bestehende Qualitätssicherungsprozesse zu beeinträchtigen.

Kontrollen im Einkauf

Als Teil ihrer GxP-Kontrolle sind Hersteller biowissenschaftlicher Produkte dafür verantwortlich, dass alle gekauften oder anderweitig erhaltenen Produkte die jeweiligen Anforderungen erfüllen.12 Je nach Größe und Komplexität der Organisation, haben Unternehmen im Bereich der Biowissenschaften oft unterschiedliche Anforderungen und Erwartungen in Bezug auf ihre IT-Infrastruktur. In jedem Fall müssen regulierte Organisationen aber Aufzeichnungen pflegen, die klar definierte Spezifikationsanforderungen beschreiben und sonstige Dokumentationen zur Kaufkontrolle enthalten. Mit Google Cloud können Kunden unsere Berichte und Zertifizierungen aufrufen, die eine unabhängige Prüfung unserer Kontrollen darstellen.

Anbieterbewertungen

Organisationen mit GxP-Verpflichtungen sind dafür verantwortlich, potenzielle Lieferanten, Auftragnehmer und Berater auf der Grundlage ihrer Fähigkeit zu bewerten und auszuwählen, die festgelegten Anforderungen zu erfüllen, einschließlich derer, die sich auf die Produktqualität beziehen. Im Rahmen dieses Prozesses muss die Unternehmensleitung auf Basis der Bewertungsergebnisse Art und Umfang der Kontrolle über das Produkt, die Dienste und die Lieferanten festlegen. Außerdem kann die Dokumentation dieses Prozesses von der FDA oder anderen Aufsichtsbehörden im Rahmen einer Compliance-Inspektion angefordert werden. Daher ist die Erstellung und Pflege von Datensätzen über bewertete und akzeptierte Lieferanten, Auftragnehmer und Berater für Unternehmen der Biowissenschaft von entscheidender Bedeutung.

Sowohl unsere Kunden als auch die zuständigen Aufsichtsbehörden erwarten eine unabhängige Überprüfung unserer Sicherheits-, Datenschutz- und Compliancevorkehrungen. Deshalb unterziehen wir uns regelmäßig Prüfungen durch unabhängige Dritte. Einige der wichtigsten internationalen Standards, nach denen wir geprüft werden, sind:

Google ist auch an branchen- und länderspezifischen Rahmenwerken wie FedRAMP (US-Behörden), HITRUST CSF (hauptsächlich Healthcare), BSI C5 (Deutschland), MTCS (Singapur) und viele andere. Außerdem stellen wir Ressourcendokumente und Zuordnungen zu Rahmenwerken und Gesetzen zur Verfügung, wenn keine formelle Zertifizierung oder Bescheinigung erforderlich ist oder erfolgt. Eine vollständige Liste unserer Compliance-Angebote finden Sie in unserem Center für Compliance-Ressourcen.

2.4 Anwendbare Google Cloud-Zertifizierungen, Attestierungen und Audits

Um Kunden im Bereich Biowissenschaften bei der Compliance und Berichterstellung zu helfen, stellen wir Informationen, Best Practices und einfachen Zugriff auf die Dokumentation zur Verfügung. Unsere Produkte werden regelmäßig von unabhängigen Stellen auf Sicherheit, Datenschutz und Compliance geprüft und erhalten Zertifizierungen gemäß verschiedenen Standards. Zertifizierungen und Attestierungen im Zusammenhang mit der Informationssicherheit (z. B. ISO 27000, CSA STAR) sowie spezielle Zertifizierungen, Vorschriften und Rahmenbedingungen im Gesundheitswesen (z. B. HITRUST, FedRAMP, HIPAA) helfen, die Anforderungen unserer regulierten Kunden zu erfüllen. Darüber hinaus geben viele der in unseren SOC-Berichten getesteten Kontrollen, insbesondere im Zusammenhang mit Sicherheit, Nutzerzugriff, Änderungsmanagement und Bereitstellungsverfahren, den Kunden Einblick in das Design und die Betriebseffizienz bestimmter Kontrollen, die für GXP-Anforderungen relevant sind.

Eine vollständige Liste der anwendbaren Zertifizierungen und weitere Informationen finden Sie auf unserer Seite Standards, Vorschriften und Zertifizierungen.

2.5 Informationen, die Google Cloud zur Verwendung bereitstellen kann, wenn sie für einen FDA-Zulassungsantrag erforderlich sind

Google Cloud stellt eine umfangreiche, öffentlich zugängliche Dokumentation unserer Verfahren, Praktiken und Sicherheitsmaßnahmen zur Verfügung, die bei der Einreichung von Zulassungsanträgen nützlich sein kann, um die Sicherheit und Effektivität eines in Google Cloud integrierten Medizinprodukts nachzuweisen oder um zu veranschaulichen, wie Google Cloud ein Qualitätssystem unterstützt. Ein großer Teil dieser Dokumentation ist in diesem Whitepaper verlinkt.

Darüber hinaus können Google Cloud-Kunden ausführlichere Dokumentationen zu den von ihnen verwendeten Produkten und Diensten erhalten. Einige Dokumentationen sind möglicherweise vertraulich und/oder durch Vertraulichkeitsvereinbarungen zwischen Google Cloud und unseren Kunden geschützt. Falls geschützte Informationen für einen FDA-Zulassungsantrag erforderlich sind und der Aufnahme im Voraus durch Google Cloud zugestimmt wurde, sollten sie als vertraulich gekennzeichnet werden, um der FDA mitzuteilen, dass die Informationen nicht gemäß dem Freedom of Information Act und den FDA-Bestimmungen zur Offenlegung von Informationen gemäß 21 CFR Part 20 veröffentlicht werden sollten. Wenn für die FDA eine zusätzliche nicht öffentliche Dokumentation erforderlich ist, um die Einhaltung behördlicher Bestimmungen zu überprüfen, sollte die potenzielle Freigabe dieser Informationen an die FDA in individuellen vertraglichen Vereinbarungen diskutiert werden.

2.6 Zusätzlicher Support für Compliance im Gesundheitswesen

Google Cloud unterhält ein aktives, fortlaufendes Repository mit Informationen, Best Practices und Dokumentationen im Zusammenhang mit der Einhaltung von Vorschriften im Gesundheitswesen und in der Biowissenschaft sowie der Berichterstattung für verschiedene Regionen auf der ganzen Welt. Einige der wichtigsten Angelegenheiten im Gesundheitswesen sind unten aufgeführt.

HIPAA-Compliance

Das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) aus dem Jahr 1996 legt Datenschutz- und Sicherheitsanforderungen für bestimmte Rechtspersönlichkeiten und Einzelpersonen zum Schutz der Gesundheitsdaten von Einzelpersonen fest. HIPAA schreibt Datenschutz und Sicherheitsanforderungen für "geschützte Gesundheitsdaten" (Protected Health Information, PHI) vor und gilt für Personen und Organisationen, die die Definition von "betroffenen Rechtspersönlichkeiten" oder "Geschäftspartnern" im Rahmen von HIPAA erfüllen. Kunden, die HIPAA unterliegen und Google Cloud-Produkte in Verbindung mit PHI verwenden, müssen die Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) von Google lesen und akzeptieren. Obwohl das US-amerikanische Gesundheitsministerium keine formale Zertifizierung für die Einhaltung von HIPAA anerkennt, unterzieht sich Google Cloud regelmäßig mehreren unabhängigen Prüfungen, um unsere Kontrollen in Bezug auf Sicherheit, Datenschutz, Betrieb und Compliance zu bewerten, die auf globalen Standards basieren, die die in HIPAA beschriebenen Anforderungen berücksichtigen. Die HIPAA-Compliance ist eine gemeinsame Verantwortung von unseren Kunden und uns. Weitere Informationen finden Sie in unserem HIPAA-Compliance-Leitfaden für die GCP.

3.0 Fazit

Unternehmen der Biowissenschaft können die Vorteile von Google Cloud-Produkten und -Diensten nutzen, um die Produktentwicklung zu rationalisieren, qualitativ hochwertige Herstellungsprozesse auszuführen und zu verfolgen und einen robusten Softwareentwicklungslebenszyklus als Teil der Einhaltung von FDA- und anderen globalen regulatorischen Anforderungen zu ermöglichen. Durch erhebliche Investitionen in die Qualität und Sicherheit unserer Dienste haben wir es für Kunden aus der Biowissenschaft einfacher gemacht, die Einhaltung gesetzlicher Vorschriften nachzuweisen. Indem wir unsere Systeme sichern und vor Bedrohungen schützen, ermöglichen wir es Softwareentwicklern, von unseren Technologien und Verfahren zu profitieren und gleichzeitig die Risiken für Patienten und Nutzer ihrer Produkte zu minimieren.

4.0 Zusätzliche Ressourcen

Auf Ihrem Weg zur Entwicklung von GxP-konformen Geräten, Anlagen, Systemen oder Anwendungen laden wir Sie ein, die unten aufgeführten Ressourcen zu nutzen.

Google Cloud Google Workspace
Mehr erfahren
Warum sich andere Organisationen für Google Cloud entscheiden Vorteile von Google Cloud Vorteile von Google Workspace
Wir beraten Sie gern. Google Cloud-Lösungen Google Workspace-Schulungscenter
Weitere Informationen zu unseren Preisen Google Cloud – Preise Google Workspace-Lösungen
Begeistern
Google Cloud kostenlos testen Kostenlose GCP-Stufe Kostenlose Testversion von Google Workspace
Knowledge Center anrufen 844-613-7589 855-312-7191
Haben Sie Fragen zu Sicherheit, Datenschutz oder Compliance? Kontaktieren Sie unsere Experten unter compliance@google.com.
Handeln Sie jetzt!
Holen Sie Google in Ihr Team Füllen Sie dieses Formular aus oder rufen Sie uns unter 844-613-7589 an. Füllen Sie dieses Formular aus oder rufen Sie uns unter 855-312-7191 an.
Teamschulungen Google Cloud-Schulung Schulungen zu Google Workspace
Kurzanleitungen: Die erste Lösung kann in höchstens 10 Minuten bereitgestellt werden Erste Schritte mit der GCP Kurzanleitung für Google Workspace
Support erhalten
FAQ Häufig gestellte Fragen zur GCP FAQ zu Google Workspace
Technischer Kundensupport Wenden Sie sich an das Google Cloud-Supportcenter.

Haftungsausschluss

Dieses Whitepaper gilt für die unter cloud.google.com beschriebenen Google Cloud-Produkte. Der hierin enthaltene Inhalt ist auf dem Stand von Mai 2020 und repräsentiert den Status Quo zum Zeitpunkt der Erstellung. Die Sicherheitsrichtlinien und -systeme von Google können sich in Zukunft ändern, da wir den Schutz unserer Kunden kontinuierlich verbessern.

1. Auch wenn der Umfang dieses Papiers keine vollständige internationale Suche nach allen anwendbaren GxPs beinhaltet, so gilt doch allgemein, dass die Aufsichtsbehörden weltweit verlangen, dass Medizinprodukte in Übereinstimmung mit guten Praktiken entwickelt und hergestellt werden. Solche Praktiken finden sich direkt in staatlichen Vorschriften, Leitfäden und herausgegebenen internationalen Standards.

2. Siehe Food and Drug Administration, Regulations: Good Clinical Practice and Clinical Trialshttps://www.fda.gov/science-research/clinical-trials-and-human-subject-protection/regulations-good-clinical-practice-and-clinical-trials.

3. Siehe Food and Drug Administration, (2019, 7. May) Teil 11, Electronic Records; Electronic Signatures - Scope and Application, abgerufen unter https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

4. 21 CFR Part 11: Electronic Records: Electronic Signatures.

5 Bitte beachten Sie, dass der gesamte 21 CFR Part 11 zwar technisch in Kraft bleibt, die FDA jedoch derzeit bestimmte Anforderungen dieser Vorschriften durchsetzt. Die Behörde hat einen Leitfaden herausgegeben, der klarstellt, welche Anforderungen die FDA aktiv durchsetzt. Einen Link dazu finden Sie unter FN 4. Kunden aus der Biowissenschaft sollten eigenständig bewerten, welche Anforderungen auf ihre Datensätze zutreffen könnten.

6. NIST definiert Validierung als: „Bestätigung, durch die Erbringung eines objektiven Nachweises, dass die Anforderungen für einen bestimmten Verwendungszweck oder eine bestimmte Anwendung erfüllt sind.“ (siehe NIST SP 800-160 [Superseded] (ISO 9000)).

7. NIST definiert die Qualifizierung als einen Prozess, mit dem nachgewiesen wird, ob eine Rechtspersönlichkeit die angegebenen Anforderungen erfüllen kann. (Siehe NIST SP 800-160 [Superseded] (ISO/IEC/IEEE 12207:2017).) Abgerufen unter https://csrc.nist.gov/Glossary/Term/eligibility

8. Die für pharmazeutische Produkte geltenden FDA-Vorschriften zur „Current Good Manufacturing Practice“ finden Sie in 21 CFR Part 210 & 211; die für Medizinprodukte geltenden Anforderungen an das Qualitätssystem sind in 21 CFR Part 820 enthalten.

9. Siehe 21 CFR Part 211, Subpart B—Organization and Personnel; 21 CFR 820 Part 820, Subpart B—Quality System Requirements.

10. Siehe 21 CFR Part 211, Subpart J--Records and Reports; 21 CFR Part 820, Subpart M--Records.

11. Siehe 21 CFR § 820.22.

12. Siehe 21 CFR Part 820, Subpart E--Purchasing Controls.