Informe de Google Cloud

Usa Google Cloud en sistemas GxP

Mayo de 2020

1.0 Introducción

La computación en la nube, debido a sus ventajas estratégicas y operativas, se está adoptando con cada vez más regularidad en la industria de las ciencias biológicas. La computación en la nube permite a las organizaciones reguladas usar soluciones de plataformas globales en la administración y el análisis de datos, y presenta una oportunidad para cumplir con las obligaciones regulatorias con mayor eficiencia. En Google, comprendemos las necesidades, las restricciones y las consideraciones que nuestros clientes de ciencias biológicas experimentan con respecto a migrar sus cargas de trabajo a la nube. En este documento, describiremos cómo Google Cloud brinda asistencia a los clientes interesados en usar la nube para compilar un entorno de TI alineado con GxP. Esto incluye nuestro enfoque con respecto a la administración de la calidad, la seguridad y el cumplimiento en Google Cloud, y los controles técnicos y organizativos de Google para proteger los datos de los clientes.

¿Qué es Google Cloud?

Google Cloud es un conjunto de servicios en la nube categorizado en general en soluciones de infraestructura, plataforma y software. Junto con esos servicios, Google Cloud ofrece una variedad de herramientas que van desde estadísticas inteligentes hasta capacidades de inteligencia artificial. En esencia, Google Cloud consta de un conjunto de recursos físicos, como computadoras y unidades de disco duro, y virtuales, como las máquinas virtuales (VM), que se encuentran en Centros de datos de Google de todo el mundo. Cada centro de datos está ubicado en una región, específicamente en Asia, Australia, Europa, Norteamérica y Sudamérica. Cada región es una colección de zonas aisladas entre sí dentro de cada región. Esta distribución de los recursos brinda varios beneficios, que incluyen redundancia en caso de fallas y menor latencia, ya que los recursos se encuentran más cerca de los clientes.

En la computación en la nube, lo que conocías como productos de software y hardware pasan a ser servicios. Con ellos puedes acceder a los recursos subyacentes. La lista de servicios de Google Cloud disponibles es larga y está en constante crecimiento. Para desarrollar tu sitio web o aplicación en Google Cloud, puedes mezclar estos servicios y combinarlos a fin de proporcionar la infraestructura o solución que necesitas y, luego, agregar tu código para crear las situaciones que quieras.

¿Qué es GxP?

En el sector de las ciencias biológicas, GxP es una abreviatura que hace referencia a las diversas normas y pautas de “prácticas recomendadas” que se aplican a los productos médicos. La variable “x” de GxP abarca una amplia variedad de procesos usados en el desarrollo, la fabricación y la distribución de productos regulados. Los criterios de GxP participativos están disponibles en las normas y la orientación de la agencia gubernamental (p. ej., la Ley Federal de Alimentos, Medicamentos y Cosméticos), además de marcos de trabajo recomendados para la industria. Si bien GxP puede abarcar cualquier cantidad de temas especificados, a fin de cumplir con las regulaciones regulatorias, las agencias adoptaron casi de manera uniforme los requisitos relacionados con el proceso de fabricación de productos, los procedimientos de documentación, las calificaciones y la capacitación del personal, y la distribución y el almacenamiento. Para las organizaciones de ciencias biológicas que hacen negocios en EE.UU., los requisitos de GxP generalmente se pueden encontrar en el Código de Regulaciones Federales (“CFR”). 1

Estos requisitos incluyen, entre otros, los siguientes:

  • Prácticas recomendadas de fabricación (GMP): 21 CFR partes 210 y 211, aplicables a productos farmacéuticos

  • Reglamento de calidad del sistema (QSR): 21 CFR parte 820, aplicable a dispositivos médicos

  • Prácticas recomendadas de laboratorio (GLP): 21 CFR, parte 58, aplicable a estudios de laboratorio que no son clínicos.

  • Prácticas recomendadas clínica (GCP): Incluye varias normativas y guías aplicables a los estudios científicos2

  • Prácticas recomendadas de distribución (GDP): Comprende varias disposiciones y lineamientos tratados en 21 CFR partes 211 y 820, incluidas las relacionadas con el manejo, el almacenamiento y la instalación

Los GxP se desarrollaron para garantizar que los productos médicos, como los medicamentos, los dispositivos y los componentes biológicos, sean seguros y cumplan con el uso previsto y los procedimientos de calidad durante el proceso de fabricación y distribución. Este informe se enfoca en los temas relacionados con GxP respecto a las organizaciones de ciencias biológicas, y, en particular, sobre cómo las organizaciones pueden usar Google Cloud como un elemento de sus sistemas de cumplimiento de GxP.

¿Cómo pueden los clientes aprovechar los servicios en la nube de GxP Systems?

Nuestros clientes de ciencias biológicas, muchos de los cuales están sujetos a requisitos de GxP, usan Google Cloud de formas que no solo ayudan a satisfacer el cumplimiento, sino que también generan capacidades diferenciadas, avances tecnológicos y eficiencia organizacional. Algunos ejemplos representativos son los siguientes:

  • Dado que este tipo de cliente administra sus ensayos clínicos, están sujetos a prácticas recomendadas clínicas y a ciertos requisitos destinados a proteger a los pacientes. El tamaño de los ensayos clínicos puede variar en gran medida, ya que algunos solo requieren el uso de pocos sitios regionales, mientras que otros pueden requerir datos de miles de pacientes en decenas de sitios de todo el mundo. Con los servicios de Google Cloud, los usuarios pueden compilar cualquier cantidad de aplicaciones y soluciones personalizadas que se adapten a sus necesidades. Por ejemplo, cuando se usa un flujo de trabajo en línea para incorporar a los pacientes y hacer un seguimiento de ellos, una CRC podría eliminar la necesidad de mantener y auditar los registros en papel ubicados físicamente en cada sitio. Los servicios de Google Cloud también pueden ayudar a mejorar el cumplimiento de los procedimientos de los ensayos clínicos, ya que proporcionan comentarios en tiempo real a la CRO sobre cómo los sitios satisfacen los protocolos aplicables. Además, mantener la información de los datos de prueba en la nube permite el acceso a los datos en cualquier lugar y en cualquier momento por parte de los equipos correspondientes, con un mayor control sobre los requisitos de acceso de los usuarios que los archivos tradicionales en papel.

  • Un fabricante del sector de ciencias biológicas utiliza una plataforma de respuesta de voz interactiva alojada en la nube para administrar las solicitudes de tarjetas de copago de los clientes.

    Según el modo en que la plataforma recopila información, el proceso puede estar sujeto a buenas prácticaso farmacéuticas prácticas de informes de seguridad (GPvP). Si el sistema está alojado en la nube, el cliente tendrá que considerar cómo se clasificó o se determinó que la infraestructura cumple con los requisitos. Es posible que la organización también esté sujeta a controles que garantizan que los registros GxP, en este caso, las notas de llamada están protegidas de manera apropiada. Los requisitos de grabación electrónica de la FDA en el título 21 CFR parte 11 establecen que los cambios en los datos almacenados en los sistemas electrónicos se registran y atribuyen a una persona apropiada. En este artículo, describimos cómo Google Cloud puede ayudar a los clientes a cumplir con estos requisitos.

¿De qué manera Google Cloud ayuda a los clientes a cumplir con los requisitos de GxP?

Como proveedor de servicios en la nube líder en la industria, Google Cloud ayuda a las organizaciones de ciencias biológicas a cumplir con los requisitos de registros electrónicos de la FDA según el 21 CFR parte 11 y sus equivalentes globales.3 Los controles administrativos, físicos y técnicos de Google Cloud ayudan a nuestros clientes de ciencias biológicas a cumplir con sus objetivos de calidad y seguridad. Además de la infraestructura subyacente y las operaciones que administra Google, los productos de Google Cloud también brindan funciones que facilitan a nuestros clientes cumplir con los requisitos de GxP aplicables mediante la administración de sus obligaciones de registro de GxP en la nube. Google se compromete a proteger la información del cliente y se somete a auditorías de rutina de terceros independientes para verificar el cumplimiento de los estándares de seguridad y privacidad de los datos reconocidos globalmente. De hecho, Forrester Research reconoció a Google Cloud como líder de la seguridad pública nativa de la nube para nuestras funciones y características de seguridad y como líder de la cartera de seguridad de los datos para nuestras ofertas de productos de seguridad.

En este artículo, describiremos las distintas medidas que adopta Google Cloud para ayudar a los clientes a satisfacer los requisitos de GxP. También explicaremos cómo las organizaciones de ciencias biológicas pueden usar las ofertas de Google Cloud de una manera que cumpla con las diversas calidades y requisitos de seguridad aplicables a la industria regulada. Si bien las referencias a los estándares y la orientación normativos, y sus detalles, se proporcionan como un marco de trabajo para debates, no constituyen asesoramiento legal para organizaciones farmacéuticas ni para ninguna otra entidad.

Modelo de responsabilidad compartida

Si bien la responsabilidad del cumplimiento de GxP depende, en última instancia, de nuestros clientes de ciencias biológicas, nuestro modelo de responsabilidad compartida ayuda a los clientes a asignar recursos de manera más eficaz mediante la reducción de la cantidad de esfuerzo necesario para desarrollar y mantener un entorno de TI. El modelo ayuda a aliviar algunas de las cargas administrativas y técnicas que enfrentan nuestros clientes, ya que nuestras herramientas ayudan con la administración eficiente y el control de los componentes del sistema con las que cuentan las organizaciones sujetas al cumplimiento de requisitos de GxP. También cambia una parte del costo de seguridad a Google Cloud y puede reducir el costo de cumplimiento de GxP. Como lo muestra este gráfico ilustrativo pero no definitivo, Google suele ser responsable de proteger nuestra infraestructura, y los clientes son responsables de proteger sus datos. Las responsabilidades específicas varían según si un cliente aprovecha los servicios similares a IaaS en Google Cloud, como Compute Engine, similares a PaaS, como App Engine, o a SaaS, como Google Workspace. Ofrecemos prácticas recomendadas, plantillas, productos y soluciones para ayudar a los clientes con su cuota de responsabilidad.

Responsabilidad compartida

2.0 Usa Google Cloud en sistemas GxP

Como pionero en la nube, Google comprende por completo las implicaciones de seguridad de este modelo. Nuestros servicios en la nube están diseñados para ofrecer más seguridad que muchas soluciones tradicionales locales. Nuestra prioridad en seguridad es proteger las operaciones propias, pero como Google se ejecuta en la misma infraestructura que ponemos a disposición de nuestros clientes, tu organización puede beneficiarse directamente de estas protecciones. Es por eso que nos enfocamos en la seguridad, y la protección de datos se encuentra entre nuestros criterios de diseño principales. La seguridad es lo que impulsa la estructura organizativa, las prioridades de capacitación y los procesos de contratación. Define los centros de datos y la tecnología que alojan. Es fundamental para las operaciones cotidianas y la planificación ante desastres, incluida la manera en la que abordamos las amenazas. Se ve priorizada en la forma en que manejamos los datos de los clientes. Es el pilar de los controles de cuentas, las auditorías de cumplimiento y las certificaciones que les ofrecemos.

En esta sección, se proporciona una descripción general de cómo las herramientas y el enfoque de Google Cloud para la administración de la seguridad y la calidad pueden ayudar a respaldar los sistemas de GxP de empresas farmacéuticas y otras organizaciones de ciencias biológicas. Además, se resumen brevemente algunos elementos de nuestro conjunto de productos y capacidades en la nube que pueden mejorar la capacidad para que los clientes cumplan con los requisitos de GxP. Por último, revisamos las certificaciones y auditorías de Google Cloud relevantes.

2.1 Requisitos de los registros electrónicos

La FDA y sus contrapartes mundiales han desarrollado reglamentos y procedimientos relativos al almacenamiento electrónico seguro de la documentación requerida, incluidos aquellos relacionados con los envíos regulatorios, las políticas de cumplimiento interno, la información de proveedores o compras, y los reclamos de clientes, entre otros tipos. Estas disposiciones están diseñadas para proteger y evitar alteraciones o eliminaciones de datos que puedan comprometer su integridad. En EE.UU., a menudo, el cumplimiento de los requisitos de registros electrónicos se denomina “Parte 11 Cumplimiento”, cuyo nombre se debe a la sección de la CFR, en la que se pueden encontrar los requisitos.4 Google reconoce que estas protecciones existen para promover la seguridad y la calidad del producto. En esta sección, describimos los procesos y los productos que permiten que nuestros clientes cumplan con los objetivos de integridad y seguridad avanzados según la Parte 11 Cumplimiento.

Tabla 1: Requisitos generales de registro y firma electrónicos de GxP5

Requisitos de los registros electrónicos Requisitos de la firma electrónica
  • La capacidad de distinguir registros no válidos o alterados
  • registros de auditoría seguros, generados por computadora y con marcas de tiempo
  • Protección de los registros para permitir una recuperación precisa y lista
  • Verificaciones de la autoridad para el acceso y uso del sistema
  • Validación de sistemas para garantizar precisión, confiabilidad y rendimiento coherente
  • Verificaciones operacionales del sistema para aplicar la secuencia de eventos permitida
  • Calificaciones adecuadas del personal, como la formación, capacitación y experiencia adecuadas
  • Controles adecuados sobre la documentación de sistemas, que incluyen controles de distribución, acceso, uso y revisión, y cambio (registro de auditoría del desarrollo y modificación de la documentación)
  • Políticas de responsabilidad por las acciones iniciadas en la cuenta de un individuo
  • Al menos dos componentes de identificación únicos (como el nombre de usuario y la contraseña)
  • Verificaciones periódicas, recuperaciones o revisiones de credenciales de autorización
  • Uso de protecciones de transacciones para evitar, detectar e informar los intentos de uso no autorizado.
  • Controles para la colaboración de dos o más personas que no son los propietarios legítimos de la firma electrónica de la persona
  • Procedimientos de administración de pérdidas para desautorizar tokens, tarjetas y otros dispositivos potencialmente vulnerados y emitir reemplazos temporales o permanentes con controles adecuados
  • Pruebas iniciales y periódicas de dispositivos, como tokens o tarjetas, para garantizar una funcionalidad adecuada
  • Políticas de responsabilidad por las acciones iniciadas en la firma de una persona

Los requisitos del comportamiento, como las restricciones de uso compartido de contraseñas, la capacitación de usuarios finales en cuanto al significado de su firma electrónica y la responsabilidad por el uso de una firma electrónica son responsabilidad del cliente y no se describen en detalle en esta sección. Consulta el artículo 1 para obtener más detalles sobre el “Modelo de responsabilidad compartida”.

Los requisitos relacionados con el uso de registros electrónicos en sistemas GxP se pueden clasificar en algunos subconjuntos distintos relacionados con cómo se crean, administran y documentan esos registros. Las organizaciones de ciencias biológicas que usan sistemas de registros electrónicos deben considerar las prácticas recomendadas sobre los temas de retención de datos, administración de identidades y accesos, seguridad de los datos y registro de auditorías, y propiedad de los datos, que se analizan a continuación. También describiremos brevemente cómo Google cumple con los requisitos de GxP en las funciones de backend que administramos y analizaremos algunas de las certificaciones que abordan la conformidad de Google Cloud con estos estándares.

Retención de datos

El control de documentos alineado por GxP y los sistemas de almacenamiento de datos deben proteger y retener registros, además de permitir su recuperación precisa y lista. Antes, cuando la mayoría de los registros se conservaban en forma de copia impresa, las organizaciones cumplían con los requisitos de retención con el mantenimiento de los documentos en las instalaciones de almacenamiento físico en las instalaciones o fuera de ellas en condiciones predefinidas que permitían la recuperación sistemática. El término “recuperación lista” cuando se usa en las aplicaciones y al almacenamiento basados en la nube podría comprenderse como que implica contar con procesos sólidos de copia de seguridad y restablecimiento, o sistemas de alta disponibilidad. El almacenamiento de datos en la nube puede permitir la recuperación personalizada de documentación en cualquier momento de su ciclo de vida, desde múltiples ubicaciones globales al mismo tiempo, y la copia de seguridad de datos confiable como un beneficio incluido de usar la plataforma de Google en comparación con otros sistemas de registro electrónico.

La Administración del ciclo de vida de los objetos de Google Cloud se puede configurar con políticas de ciclo de vida a fin de crear buckets de almacenamiento de archivos para datos. Por ejemplo, estos buckets de almacenamiento podrían configurarse en función de diferentes niveles de frecuencia de acceso. Las versiones anteriores de documentos existentes a los que se accede con menor frecuencia se pueden mover a opciones de almacenamiento más rentables de Nearline o Coldline, lo que proporciona un acceso mucho más fácil en comparación con la recuperación de documentación de copia impresa de una instalación de almacenamiento fuera del sitio.

Los clientes también pueden configurar servicios como BigQuery y Cloud Bigtable a fin de automatizar los plazos de vencimiento para ciertos tipos de datos, lo que permite que cada organización configure el vencimiento y la eliminación de documentación según sus políticas de retención de datos. Esto elimina la necesidad de que los usuarios accedan y borren o conserven de forma manual los datos que requerían políticas de retención exigidas por varias regulaciones.

Administración de identidades y accesos

Los sistemas alineados de GxP requieren controles en marcha que rijan los derechos de acceso a los datos en general o de forma periódica a fin de mitigar el riesgo de alteración o eliminación no autorizada de los registros. Los derechos de acceso se deben establecer de acuerdo con las políticas de separación de obligaciones del cliente, así como según el cargo o función del trabajo, para garantizar que los usuarios de su organización puedan acceder a todo lo que necesiten dentro de las responsabilidades de su función y, a la vez, limitar el acceso no autorizado a datos críticos o sensibles.

Cloud Identity and Access Management (Cloud IAM) permite que los administradores autoricen a quiénes pueden realizar acciones en recursos específicos, lo que proporciona un control y una visibilidad completos para administrar recursos de nube de manera central. Dado que las organizaciones de ciencias biológicas pueden tener estructuras y procesos organizacionales complejos, así como una huella global, nuestro conjunto de herramientas de identidad y seguridad proporciona una vista unificada de la política de seguridad en toda la organización, con auditorías integradas para facilitar los procesos de cumplimiento.

Como se contempla en la Parte 11, los sistemas electrónicos de GxP deben implementar procedimientos de administración de pérdidas. Si se presenta la necesidad de rotar las credenciales de la cuenta, como las claves de API o las claves de encriptación que protegen la información sensible de la salud, Google Cloud ofrece opciones para facilitar la rotación simple de credenciales en la interfaz de Cloud IAM y la rotación o destrucción de claves de encriptación asimétrica o simétrica en Cloud Key Management Service.

Los sistemas GxP también deben usar los estándares de firma digital adecuados, como la autenticación de varios factores (“MFA”), para garantizar la autenticidad, integridad y confidencialidad de los registros. Google Cloud ofrece a los clientes la capacidad de habilitar y exigir MFA, como la verificación en dos pasos (“2SV”), en las cuentas de Cloud Identity. Las opciones de MFA incluyen el uso de llaves de seguridad, notificaciones push en dispositivos móviles o contraseñas de un solo uso.

Seguridad de los datos y registro de auditoría

Además de los requisitos de retención de datos, los registros GxP también deberían estar protegidos contra alteraciones o eliminaciones no autorizadas o no intencionales. Los clientes deben asegurarse de que sepan cuándo se crearon los datos, quién los creó, quién tiene acceso a ellos, además de quién hizo cambios, si se hicieron, y cuándo y cómo se realizaron. Esto se puede lograr a través de un registro de auditoría robusto y seguro que capta el resultado anterior, el resultado modificado, la cuenta que hizo el cambio y una marca de fecha y hora autorizada. De esta manera, el cambio de registro es atribuible y detectable. Google Cloud tiene varias soluciones que permiten lograr esto mediante herramientas como los registros de auditoría de Cloud (que pueden crear registros inmutables para la actividad del administrador, el acceso a los datos y los eventos del sistema) y las funciones personalizables de supervisión y alerta.

Por ejemplo, Cloud Logging te permite almacenar, buscar, analizar, supervisar y generar alertas sobre eventos y datos de registro de Google Cloud y otras fuentes, incluido Amazon Web Services (AWS). También ofrecemos encriptación sólida para datos en tránsito en Google Cloud a fin de protegerlos contra el acceso no autorizado fuera de nuestro perímetro. Somos uno de los únicos proveedores de servicios en la nube que ofrecen encriptación de forma predeterminada para los datos en reposo. Además, permitimos que los clientes administren sus propias claves de encriptación para productos seleccionados mediante un servicio de administración de claves y proporcionamos servicios específicos para el cuidado de la salud a fin de administrar datos sensibles, como historias clínicas y PHI.

Propiedad de los datos

Los clientes de Google Cloud son propietarios de sus datos, no Google. No accedemos a los datos de clientes por ningún motivo, excepto los necesarios para cumplir con nuestras obligaciones contractuales y legales. Solo un grupo pequeño de empleados de Google, como los que admiten administradores de clientes autorizados, tienen acceso a los datos de los clientes. Los derechos y niveles de acceso de nuestros empleados se basan en sus cargos y funciones en el trabajo, mediante los conceptos de mínimo privilegio y conocimiento necesario. Además, dado nuestro compromiso de transparencia, proporcionamos a los clientes la capacidad de ver registros casi en tiempo real cuando los administradores de Google acceden al contenido de los clientes. Consulta nuestros Principios de confianza para obtener más información sobre la filosofía y los compromisos de Google Cloud con los clientes.

Además, Google conservará, mostrará, destruirá o borrará datos personales de conformidad con los acuerdos de nivel de servicio o del contrato. Recomendamos que los clientes de ciencias biológicas alineen sus acuerdos de nivel de servicio con cualquier obligación de retención de datos o regulatoria para retener los datos. Para obtener más información sobre cómo se borran los datos en Google Cloud, consulta el informe de eliminación de datos en Google Cloud Platform. Para obtener más información, consulta nuestras Prácticas de seguridad de los datos en nuestras Condiciones de Seguridad y Procesamiento de Datos.

Seguridad física

Los centros de datos de Google están concebidos con base en un modelo de seguridad en capas con tarjetas de acceso electrónicas personalizadas, alarmas, barreras de acceso para vehículos, cercas perimetrales, detectores de metales y sistemas biométricos. El piso del centro de datos posee detectores de intrusión de rayos láser. Solo pueden ingresar los empleados autorizados que tengan funciones específicas. Menos del 1% de los empleados de Google ingresará a uno de nuestros centros de datos. Cuando Google Cloud aloja servidores en centros de datos de terceros, nos aseguramos de que las medidas de seguridad física controladas por Google se implementen sobre las capas de seguridad que proporciona el operador del centro de datos. Para obtener más información, consulta la descripción general del diseño de seguridad de la infraestructura de Google.

Seguridad de red

Además de proporcionar a los clientes encriptación de datos en tránsito y en reposo, Google Cloud también ayuda a proteger los sistemas y las redes de asistencia con productos que definen y aplican perímetros de servicio de atención al cliente, lo que permite la segmentación de la red, el acceso remoto y la defensa contra la denegación del servicio. Los administradores del sistema tienen la flexibilidad de escalar y controlar de forma segura cómo se conectan las cargas de trabajo a nivel regional y global en función de dónde se implementan sus instalaciones y equipos. Para respaldar la seguridad de grandes redes de dispositivos y equipos, Google desarrolló Seguridad de transporte de la capa de la aplicación y nubes privadas virtuales con controles de servicio que pueden ayudar a los desarrolladores a mejorar sus controles de diseño de acuerdo con las regulaciones de los sistemas de calidad de la FDA, entre otros.

A medida que el tráfico fluye a través de la infraestructura administrada de Google, Google Cloud usa varias protecciones para los datos en tránsito de forma automática y también permite que los clientes apliquen capas de protección adicionales. Un enfoque importante para las organizaciones a la hora de elementos de administración y control sobre las políticas de seguridad de red es la adopción de las redes de VPC compartidas. Los administradores de red deben definir reglas de enrutamiento y firewall a nivel del proyecto host y proporcionar autorización explícita para que los recursos del proyecto de servicio se conecten a subredes individuales en el proyecto host. Este enfoque para asignar el acceso a la red permitirá que las organizaciones requieran que los propietarios del proyecto de servicio cumplan con determinados estándares de seguridad antes de incorporarse a la red de producción.

Una consideración adicional para las organizaciones que procesan o almacenan información de salud personal o cualesquiera otros datos sensibles es establecer los Controles del servicio de VPC. Los Controles del servicio de VPC ofrecen defensa en profundidad para limitar las oportunidades de robo de datos. Los Controles del servicio de VPC también indican qué hosts fuera de los recursos protegidos del perímetro pueden conectar o transferir datos.

Seguridad para aplicaciones

Google Cloud ofrece una variedad de productos de seguridad para aplicaciones a fin de proteger y administrar las aplicaciones empresariales de nuestros clientes con pruebas de relacionadas, análisis y funciones de seguridad de la API. Google recomienda que todos los clientes analicen sus cargas de trabajo con frecuencia para detectar la presencia de vulnerabilidades comunes de aplicaciones. Para ayudar a los clientes con este esfuerzo, Google Cloud ofrece el uso de Web Security Scanner, que detecta fallas comunes de inyección, el uso de contenido HTTP/S mixto y de bibliotecas no seguras en aplicaciones implementadas en App Engine, Compute Engine y Kubernetes Engine.

Para garantizar la seguridad de extremo a extremo en las plataformas de API de los clientes, Google Cloud ofrece soluciones como Cloud Endpoints y Apigee. Cualquiera de las soluciones permitirá que los desarrolladores verifiquen la identidad de los usuarios finales mediante opciones como tokens web JSON, claves de API o tokens de OAuth 2.0. Si bien Cloud Endpoints es una solución diseñada específicamente para las implementaciones de Google Cloud, Apigee puede usarse en situaciones híbridas que involucran las API implementadas en Google Cloud y de forma local. Apigee puede proteger los sistemas de backend contra ataques de inyección de carga útil (p. ej., inyección de SQL) y detectar y enmascarar ciertos tipos de información sensible (p. ej., información de salud) antes de que se guarde en los registros de seguimiento. Apigee Sense brinda la capacidad de defender las API de las amenazas o un comportamiento sospechoso de forma proactiva.

Redundancia de infraestructura

Google diseña los componentes de la plataforma para que sean altamente redundantes. Esta redundancia se aplica al diseño de nuestro servidor, al almacenamiento de datos, a la conectividad a Internet y a la red, y a los propios servicios de software. Dicha “redundancia en todo” incluye el manejo de errores por diseño y crea una solución que no depende de un solo servidor, centro de datos o conexión de red. Los centros de datos de Google están distribuidos geográficamente para minimizar los efectos de las interrupciones regionales en los productos globales, como en el caso de desastres naturales y también interrupciones de servicio locales. En caso de producirse fallas en el hardware, el software o la red, los servicios de la plataforma y los planes de control se desplazan automáticamente de una instalación a otra, de manera que los servicios de la plataforma no se vean interrumpidos. La infraestructura altamente redundante también ayuda a los clientes a protegerse de la pérdida de datos. Los recursos de Google Cloud se pueden crear y, luego, implementar en varias regiones y zonas, lo que permite a los clientes compilar sistemas resilientes y con alta disponibilidad.

Para el almacenamiento de datos a nivel físico, Google almacena los datos en reposo de los clientes en dos tipos de sistemas: uno de almacenamiento activo y otro de copia de seguridad. Si bien los sistemas de almacenamiento activos son los servidores de producción de Google Cloud que ejecutan las capas de aplicación y de almacenamiento de Google, nuestros sistemas de almacenamiento de copia de seguridad albergan copias incrementales y completas de los sistemas activos durante un período determinado a fin de ayudar a Google en la recuperación de datos y sistemas en caso de una interrupción catastrófica o un desastre. En los sistemas de almacenamiento que se describen más arriba, los datos del cliente se encriptan cuando se guardan en reposo. La encriptación de los datos en reposo se realiza en las capas de aplicación y de almacenamiento, tanto en los medios de almacenamiento activos como en los de copia de seguridad. Los detalles de las técnicas de encriptación de Google se describen de forma más detallada en los informes de seguridad de los servicios de nube de Google.

2.2 Características de productos relevantes de GxP: validación y calificación de la infraestructura

Calificación de la infraestructura

Una de las necesidades principales de los sistemas informáticos de GxP es que se validen para garantizar que el sistema cumpla con los requisitos del usuario.6 En un entorno alojado tradicional, el primer paso para compilar un sistema computarizado validado es calificar la infraestructura.7 De manera similar a la calificación de la infraestructura “local”, un cliente debe seguir el proceso de calificación de infraestructura para documentar las especificaciones técnicas necesarias, compilar la infraestructura basada en la nube para esos componentes y, luego, verificar que la compilación real cumpla con las especificaciones. La metodología de validación del cliente debe detallar los requisitos de documentación específicos, y la documentación de compilación producida durante este proceso se puede usar para respaldar el estado calificado de la infraestructura.

Los recursos de la nube, como Compute Engine o Cloud Storage, se pueden aprovisionar a través de Google Cloud Console o de manera programática a través de Cloud Deployment Manager, Hashicorp Terraform o directamente a través de las API de RESTful de GCP. Cloud Deployment Manager es un servicio de implementación de infraestructura que automatiza la creación y automatización de los recursos de Google Cloud. Permite a los clientes escribir plantillas flexibles y archivos de configuración, y usarlos para crear implementaciones que tengan una variedad de servicios de Cloud Platform, como Cloud Storage, Compute Engine y Cloud SQL, configurados para funcionar en conjunto. Con Deployment Manager, un cliente puede ver el manifiesto, que contiene todas las entradas, especificaciones, archivos de carga, etc. (los “requisitos”) y un informe de la compilación real, que se puede usar para mostrar que se calificaron los recursos de la nube. Luego, el cliente puede realizar cualquier actividad de validación de la aplicación.

Administración de cambios y supervisión operativa

Además de validar la infraestructura del sistema, los sistemas alineados de GxP también deben implementar procedimientos de control de cambios adecuados con respecto a la infraestructura y los componentes de la aplicación. Para ello, asegúrate de que solo se realicen cambios de sistemas autorizados, solo los usuarios autorizados pueden realizar cambios y la supervisión continua para garantizar que no haya problemas operativos o de seguridad. Los clientes deben incorporar sus controles únicos de proceso de administración de cambios al ecosistema de Google Cloud para evaluar el impacto de cualquier cambio en la infraestructura de nube, la configuración de aplicaciones o los cambios en los datos de las aplicaciones.

Una organización también debe establecer protectores en forma de restricciones de política que especifiquen qué equipos necesitan tener acceso a qué tipos de datos y qué restricciones se aplican a ese acceso. Por ejemplo, los clientes pueden asegurarse de que los equipos solo usen imágenes aprobadas para el uso de máquinas virtuales.

Los clientes pueden usar Security Command Center (CSCC) para ver y supervisar un inventario de sus recursos en la nube, revisar los derechos de acceso a sus recursos, recibir alertas sobre incumplimientos de políticas de Forseti (p. ej., LCA de Cloud Storage o reglas de firewall de Compute Engine demasiado permisivas) y detectar vulnerabilidades web comunes, todo desde un único panel centralizado. Nuestros clientes también pueden controlar quién tiene acceso para realizar cambios en su infraestructura a través de Cloud IAM, lo que les permite implementar políticas de control de cambios y flujos de trabajo de revisión para administradores. Después de realizar el cambio aprobado en la infraestructura de Google Cloud, se recomienda que los usuarios realicen una actividad de verificación orientada para confirmar que el cambio tuvo los resultados esperados.

Los cambios en la configuración del servidor, incluidos los cambios en las especificaciones, se pueden controlar a través de Cloud Console o Cloud Deployment Manager, y la documentación de asistencia de Deployment Manager se puede usar para mostrar que se realizaron los cambios según los requisitos. Cloud Console representa la interfaz de usuario central de un cliente para administrar, crear, editar o ver la actividad relacionada con los recursos de Google Cloud. Además, los clientes pueden usar el SDK de Cloud o Cloud Shell, que permite que los clientes de Google Cloud administren la infraestructura y las aplicaciones desde la línea de comandos en cualquier navegador

En Google Cloud, supervisamos constantemente la actividad maliciosa, controlamos los incidentes de seguridad y respaldamos los procesos operativos que responden a las amenazas y a los problemas de rendimiento, los evitan y los detectan. Además, operations suite de Google Cloud agrega métricas, registros y eventos desde la infraestructura, lo que brinda a los clientes la capacidad de supervisar y resolver de forma proactiva cualquier problema de rendimiento de forma controlada. Operations suite también mantiene el historial de cambios del servidor en forma de registro de auditoría, que se puede usar para mostrar que todos los cambios se autorizaron y siguieron los procedimientos de control de cambios adecuados. Cloud Logging permite a los clientes buscar, almacenar, analizar, supervisar y recibir alertas sobre cualquier cambio o actualización en los datos de registro.

La documentación detallada sobre los productos y los procesos operativos de Google Cloud está disponible para los clientes en nuestra página de productos de Google Cloud.

Respuesta a incidentes

La respuesta efectiva ante incidentes no solo es clave para administrar los incidentes y recuperarse de ellos, sino también para evitar incidentes futuros. Las funciones completas de respuesta ante incidentes de Google Cloud aprovechan la combinación de expertos dedicados, procesos eficientes y supervisión sofisticada para detectar los incidentes de forma proactiva, contenerlos, mitigar el impacto, informar a los clientes y reconstituir los servicios de manera confiable. A continuación, se presenta una vista de alto nivel del proceso de respuesta de administración de incidentes desglosado por fases:

1. Identificación

La identificación temprana y exacta de incidentes es clave para lograr una administración de incidentes sólida y efectiva. El enfoque de esta fase está en la supervisión de los eventos de seguridad para detectar y denunciar los posibles incidentes de datos.

2. Coordinación

Cuando se informa un incidente, el experto en respuestas de guardia revisa y evalúa la naturaleza del informe de incidentes para determinar si representa un posible incidente de datos y comienza el proceso de respuesta de Google correspondiente.

3. Solución

En esta etapa el enfoque está en investigar la causa principal, limitar el impacto del incidente, resolver los riesgos de seguridad inmediatos (si existen), implementar las correcciones necesarias como parte de la solución y recuperar los sistemas, los datos y los servicios afectados.

4. Mejora continua

Analizamos cada incidente para obtener nuevas estadísticas que nos ayudan a mejorar nuestras herramientas, capacitaciones y procesos, así como el programa de protección general de datos de privacidad y seguridad de Google.

Para obtener más información sobre la administración de incidentes, consulta el informe de respuesta ante incidentes de datos.

2.3 Cumplimiento de los requisitos de GxP

Las organizaciones reguladas de ciencias biológicas, que incluyen los fabricantes de productos farmacéuticos, dispositivos médicos y productos biológicos que operan en los EE.UU. o en otros mercados globales de atención médica dedican recursos significativos a desarrollar, administrar y operar sistemas GxP. En particular, el tiempo y el esfuerzo valiosos que se utilizan en el desarrollo de sistemas y protocolos diseñados para cumplir con las regulaciones actuales de las prácticas recomendadas de fabricación (GMP) y del sistema de calidad (QS).8 En EE.UU., los requisitos de GMP/QS se aplican mediante la FDA y requieren que las organizaciones de ciencias biológicas establezcan procedimientos para garantizar el diseño, la supervisión y el control adecuados de los procesos y las instalaciones de fabricación. Si bien las organizaciones reciben cierta cantidad de discreción con respecto a los detalles de sus sistemas, los sistemas GMP/QS que cumplen con los requisitos deben abordar ampliamente los temas de desarrollo y producción que podrían afectar la seguridad y la eficacia de los productos fabricados. Estos temas incluyen:

  • Responsabilidad de la administración
  • Capacitación del personal
  • Informes y registros
  • Auditorías de calidad
  • Controles de compra
  • Evaluaciones del proveedor

A menudo, estos sistemas implican importantes obligaciones de conservación de registros, y las organizaciones deben garantizar que su documentación, administración de datos y sus procesos de control de cambios cumplan con las normas. A continuación, presentamos algunas formas en que los clientes pueden optimizar sus iniciativas de cumplimiento y generar confiabilidad en estos sistemas electrónicos mediante el cambio a aplicaciones basadas en la nube.

Responsabilidades de administración:

Por lo general, los sistemas de GxP requieren que las organizaciones de ciencias biológicas establezcan y mantengan políticas y objetivos oficiales para garantizar la calidad del producto.9 La administración con responsabilidad ejecutiva es obligatoria para garantizar que la política de calidad se comprenda, implemente y mantenga en todos los niveles de la organización. Parte de esta responsabilidad consiste en asignar autoridad a un personal apropiado que administre, ejecute y evalúe el trabajo que afecta la calidad. En un entorno de TI basado en la nube, esto incluirá los parámetros de configuración de permisos y la autorización de acceso para el personal adecuado, y la supervisión y administración del personal en relación con su acceso a determinados sistemas electrónicos de GxP y el uso de estos.

Los clientes que usan Google Cloud pueden configurar Permisos de Cloud IAM para controlar el acceso a sus recursos en la nube y limitar el acceso de sus propios administradores, con la selección de la cantidad de acceso correcta a nivel de proyecto, carpeta o conjunto de datos. Esto incluye una lista completa de permisos y las funciones predefinidas que los otorgan. Además, puedes crear funciones personalizadas que contengan exactamente los permisos que especifiques.

A fin de ayudar a mitigar riesgos, como la configuración incorrecta de los controles de acceso para empleados o los atacantes que aprovechan las cuentas hackeadas, los Controles del servicio de VPC permiten a los clientes definir un perímetro de seguridad en torno a los recursos de Google Cloud, como Cloud Storage, BigQuery o Bigtable para evitar el robo de datos. Identity-Aware Proxy (IAP) permite a los clientes controlar el acceso a las VM y aplicaciones en la nube según la identidad del usuario y el contexto de su solicitud. Los clientes también pueden controlar quién tiene acceso a tus buckets y objetos de Cloud Storage y, también, a nivel de acceso. Si deseas obtener más información, consulta la página de documentación de Cloud Storage.

Capacitación del personal y organización:

Las organizaciones de ciencias biológicas son responsables de desarrollar e implementar las políticas de calidad de sus empresas y de mantener una estructura organizativa adecuada para garantizar que sus productos se diseñen y produzcan de acuerdo con los requisitos regulatorios. Estas responsabilidades incluyen garantizar que el personal tenga conocimientos previos, capacitación y experiencia necesarios para realizar correctamente todas las actividades relacionadas con la calidad asignadas. Cuando esas funciones incluyen el uso de los servicios de Google Cloud para configurar la asistencia de infraestructura de los sistemas electrónicos de GxP, se debe tener en cuenta la experiencia con los servicios de Google Cloud cuando contratas o capacitas personal. Los clientes pueden aprovechar varias Capacitaciones de Google Cloud Para proporcionar habilidades y conocimiento adicionales a equipos completos en áreas como la arquitectura de Google Kubernetes Engine y el uso del aprendizaje automático con TensorFlow en Google Cloud. El personal podrá obtener certificaciones que demuestren sus habilidades técnicas en una tecnología o puesto particulares.

Los clientes también deben considerar la opción de actualizar sus políticas y procedimientos o cualquier otro documento de la organización que cubra la formación del personal y los requisitos de experiencia, así como la administración de planes de estudios de capacitación. Alentamos a nuestros clientes a familiarizarse con nuestra Matriz de responsabilidad de los clientes de Google Cloud.

Informes y registros

Un elemento central de las regulaciones de GMP y QS es el requisito para establecer sistemas de registros que se puedan revisar y a los que se pueda acceder fácilmente durante la inspección de la agencia. El propósito de estos sistemas es garantizar que los procedimientos de calidad del producto se mantengan y se sigan correctamente.10 Por ejemplo, suelen requerirse registros de cada paso significativo del proceso de distribución, incluido el proceso de fabricación, procesamiento, empaquetado y mantenimiento de un producto o lote de producto específico. Además, las organizaciones reguladas deben establecer procedimientos para recibir, revisar y evaluar los reclamos de los clientes, y mantener registros completos que detallen cómo se resolvió cada reclamo recibido. A efectos de la inspección regulatoria de la agencia, una administración de registros adecuada que garantice la integridad de los datos es fundamental.

Como se mencionó antes, Google Cloud ofrece a los clientes herramientas como Cloud Audit Logging que ayudan a los equipos de seguridad a mantener registros de auditoría en Google Cloud y ver información detallada sobre la actividad de los administradores, el acceso a los datos y los eventos del sistema. La información de los registros de auditoría de Cloud se encuentra en un almacenamiento con un alto nivel de protección, lo que te brinda un registro de auditoría seguro, inmutable y de gran durabilidad. Los clientes también pueden usar Cloud Logging para almacenar, buscar, analizar, supervisar y generar alertas sobre eventos y datos de registro de Google Cloud. Nuestra API también permite la transferencia de cualquier dato de registro personalizado desde cualquier fuente y se puede combinar con los productos de datos y estadísticas de Google Cloud para realizar análisis avanzados de registros.

Puedes encontrar más información sobre Google Cloud's operations suite en nuestras páginas de productos y documentación de Operaciones.

Auditorías de calidad

Las organizaciones de ciencias biológicas que cumplen con GxP deben establecer procedimientos para realizar auditorías de calidad. Se realizan esas auditorías para garantizar que los sistemas de calidad de la empresa cumplan con las regulaciones de GxP y para determinar su efectividad general.11 Como parte de este proceso, las organizaciones deben generar y mantener informes de los resultados de cada auditoría de calidad, y la administración responsable debe revisar estos informes para determinar si se necesitan acciones correctivas. Los inspectores regulatorios a menudo solicitan ver documentación que demuestre que se están realizando auditorías de calidad.

Los clientes que realizan auditorías de calidad de sus sistemas pueden aprovechar los servicios de Google Cloud para ayudar con el proceso de auditoría. Si aprovechas servicios como Google Cloud's operations suite, Cloud IAM y herramientas de código abierto como Forseti Security, puedes mantener una vista integral y un historial de lo que sucede en tu entorno de Google Cloud sin afectar demasiado tus procesos de auditoría de calidad existentes.

Controles de compra

Como parte de sus controles de GxP, los fabricantes de productos de ciencias biológicas son responsables de todos los productos comprados o recibidos de conformidad con los requisitos especificados.12 Según el tamaño y la complejidad de la organización, las organizaciones de ciencias biológicas suelen tener necesidades y expectativas diferentes en relación con su infraestructura de TI. Sin embargo, en cada caso, las organizaciones reguladas deben mantener registros que describan con claridad los requisitos de especificación establecidos junto con otra documentación de control de compra. Con Google Cloud, los clientes pueden ver nuestros informes y certificaciones que representan la verificación independiente de nuestros controles.

Evaluaciones del proveedor

Las organizaciones con obligaciones de GxP son responsables de evaluar y seleccionar proveedores, contratistas y asesores potenciales en función de su capacidad para cumplir con requisitos específicos, incluidos los relacionados con la calidad de los productos. Como parte de este proceso, la administración de la empresa debe definir el tipo y el alcance del control que se debe usar sobre el producto, los servicios y los proveedores según los resultados de la evaluación. Además, es posible que la documentación de este proceso lo solicite la FDA o cualquier otro organismo regulatorio como parte de una inspección de cumplimiento. Por lo tanto, establecer y mantener registros de proveedores, contratistas y asesores evaluados y aceptables es fundamental para las organizaciones de ciencias biológicas.

Nuestros clientes y reguladores esperan una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Google se somete a diversas auditorías independientes de terceros con regularidad para proporcionar esta seguridad. Entre los estándares internacionales clave con los que nos auditan, se encuentran los siguientes:

Google también participa en marcos de trabajo específicos de la industria y el país, como FedRAMP (Gobierno de los EE.UU.), HITRUST CSF (principalmente el cuidado de la salud), BSI C5 (Alemania), MTCS (Singapur) y muchas más. También proporcionamos documentos y asignaciones de recursos para marcos de trabajo y leyes en los que es posible que no se requieran ni apliquen certificaciones formales. Para ver un listado completo de nuestras ofertas de cumplimiento, visita nuestro Centro de recursos de cumplimiento.

2.4 Certificaciones y auditorías de Google Cloud aplicables

Para ayudar a los clientes de ciencias biológicas con informes y cumplimiento, compartimos información y prácticas recomendadas, y facilitamos el acceso a la documentación. Nuestros productos se someten periódicamente a una verificación independiente de los controles de seguridad, privacidad y cumplimiento, lo que permite obtener certificaciones de varios estándares. Certificaciones relacionadas con la seguridad de la información (p. ej., series ISO 27000, CSA STAR), así como algunas de las certificaciones, las normativas y los marcos de trabajo específicos relacionados con el cuidado de la salud (p. ej., HITRUST, FedRAMP y HIPAA) ayudan a satisfacer las necesidades de nuestros clientes regulados. Además, muchos de los controles probados en nuestros informes de SOC, especialmente relacionados con la seguridad, el acceso de los usuarios, la administración de cambios y los procedimientos de implementación, brindan a los clientes transparencia en el diseño y la eficacia operativa de controles específicos relevantes para la respaldar el cumplimiento de los requisitos de GxP.

Para ver nuestra lista completa de certificaciones aplicables y obtener más información, consulta nuestra página sobre estándares, regulaciones y certificaciones.

2.5 Información que Google Cloud puede proporcionar si se requiere en una presentación regulatoria de la FDA

Google Cloud proporciona documentación extensa disponible de forma pública sobre nuestros procedimientos, prácticas y medidas de seguridad que pueden ser útiles en las presentaciones regulatorias para demostrar la seguridad y la eficacia de un dispositivo médico integrado en Google Cloud, o ilustrar cómo Google Cloud admite un sistema de calidad. Gran parte de esta documentación se encuentra en vínculos en este informe.

Además, es posible que los clientes de Google Cloud reciban documentación más detallada sobre los productos y servicios que usan. Algunos documentos pueden ser confidenciales o estar protegidos por acuerdos de confidencialidad entre Google Cloud y nuestros clientes. En el caso de que la información protegida por eventos sea necesaria para la inclusión en una presentación regulatoria de la FDA, y Google Cloud acepta la inclusión con anticipación, debe marcarse como confidencial para indicar a la FDA que la información no debe divulgarse conforme a la Ley por la Libertad de la Información y los reglamentos de divulgación de información de la FDA en el título 21 CFR Parte 20. Si la FDA requiere documentación no pública adicional con el fin de revisar una presentación regulatoria, la divulgación potencial a la FDA de esta información se debe discutir en acuerdos contractuales individuales.

2.6 Asistencia adicional para el cumplimiento de la atención médica

Google Cloud mantiene un repositorio activo de información, prácticas recomendadas y documentación relacionados con el cumplimiento y los informes sobre cuidado de la salud y ciencias biológicas, para varias regiones del mundo. A continuación, también se destacan algunos de los problemas clave del cuidado de la salud.

Cumplimiento de la HIPAA

La Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) de 1996 es una ley federal de EE.UU. que estipula los requisitos de seguridad y privacidad de los datos para determinadas personas físicas y entidades que tiene como objeto proteger la información de salud de las personas. La HIPAA rige la protección de la privacidad y seguridad de la información de salud protegida (PHI) y se aplica a las personas físicas y entidades que cumplen con la definición de “entidades cubiertas” o “socios comerciales” según esta ley. Los clientes que están sujetos a la HIPAA y quieren usar productos de Google Cloud relacionados con la PHI deben leer y aceptar el Acuerdo entre Socios Comerciales (BAA) de Google. Si bien el Departamento de Salud y Servicios Humanos (HHS) de EE.UU. no reconoce un proceso de certificación formal para el cumplimiento de la HIPAA, Google Cloud se somete periódicamente a varias auditorías independientes para evaluar los controles de seguridad, privacidad, operación y cumplimiento que implementamos en función de estándares globales que abarcan los requisitos de esta ley. El cumplimiento de la HIPAA es una responsabilidad compartida entre nuestros clientes y nosotros. Para obtener más información, consulta nuestra guía de cumplimiento de la HIPAA para GCP.

3.0 Conclusión

Las organizaciones de ciencias biológicas pueden aprovechar los productos y los servicios de Google Cloud para optimizar el desarrollo de productos, ejecutar y realizar un seguimiento de procesos de fabricación de calidad, además de permitir un ciclo de vida de desarrollo de software sólido como parte del cumplimiento de la FDA y otras normativas globales requisitos. Gracias a una inversión significativa en la calidad y seguridad de nuestros servicios, facilitamos la demostración del cumplimiento de los requisitos normativos a los clientes de ciencias biológicas. A fin de proteger nuestros sistemas y protegerlos contra amenazas, permitimos que los desarrolladores de software se beneficien de nuestras tecnologías y prácticas, a la vez que mitigamos el riesgo para los pacientes y los usuarios de sus productos.

4.0 Recursos adicionales

A medida que continúes con el proceso de compilar dispositivos, aplicaciones, sistemas o aplicaciones alineados de GxP, te invitamos a aprovechar los recursos que se indican a continuación.

Google Cloud Google Workspace
Más información
Descubre por qué otras organizaciones eligen Google Cloud ¿Por qué elegir Google Cloud? Por qué usar Google Workspace
Obtén más información sobre nuestros servicios Soluciones de Google Cloud Centro de aprendizaje de Google Workspace
Obtén más información sobre nuestros precios Precios de Google Cloud Solución de Google Workspace
Interactúa
Prueba Google Cloud gratis Nivel Gratuito de GCP Prueba gratuita de Google Workspace
Llama a nuestro Centro de conocimiento 844-613-7589 855-312-7191
¿Tienes preguntas relacionadas con la seguridad, la privacidad o el cumplimiento? Comunícate con nuestros expertos en compliance@google.com.
Act
Obtén Google para tu equipo Completa este formulario o llama al 844-613-7589. Completa este formulario o llama al 855-312-7191.
Capacita a tu equipo Capacitación de Google Cloud Capacitación sobre Google Workspace
Guías de inicio rápido: Implementa tu primera solución en 10 minutos o menos Primeros pasos con GCP Guía de inicio rápido de Google Workspace
Obtener asistencia
Preguntas frecuentes Preguntas frecuentes de GCP Preguntas frecuentes sobre Google Workspace
Asistencia técnica al cliente Comunícate con nuestro Google Cloud Support Center

Renuncia de responsabilidad

Este informe se aplica a los productos de Google Cloud que se describen en cloud.google.com. El contenido de este artículo corresponde a mayo de 2020 y representa el statu quo en el momento de su redacción. Es posible que cambien las políticas y los sistemas de seguridad de Google a partir de ahora, ya que mejoramos la protección de nuestros clientes de forma continua.

1. Si bien el alcance de este documento no incluye una búsqueda internacional exhaustiva para todas las GxP aplicables, por lo general, las agencias reguladoras requieren que los productos médicos de todo el mundo se desarrollen y fabriquen de acuerdo con las prácticas recomendadas. Estas prácticas se pueden encontrar directamente en las regulaciones gubernamentales, los documentos de orientación y los estándares internacionales emitidos.

2. Consulta las normativas de la Administración de Alimentos y Medicamentos: Prácticas y pruebas clínicas recomendadas, https://www.fda.gov/science-research/clinical-trials-and-human-subject-protection/regulations-good-clinical-practice-and-clinical-trials.

3. Consulta la Parte 11 de la Administración de Alimentos y Medicamentos (7 de mayo de 2019), Registros electrónico, Registros electrónicos; Firmas electrónicas: alcance y aplicación, disponibles en https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

4. 21 CFR Parte 11: Registros electrónicos: Firmas electrónicas.

5. Ten en cuenta que, si bien toda la 21 CFR Parte 11 está técnicamente vigente, la FDA está implementando una aplicación forzosa de algunos requisitos que se estipulan en estas regulaciones. La agencia emitió una guía que aclara los requisitos que aplica la FDA de forma activa, y se encuentra disponible en un vínculo en FN 4. Los clientes de ciencias biológicas deben evaluar de forma independiente qué requisitos podrían aplicarse a sus sistemas de conservación de registros.

6. El NIST define la validación de la siguiente manera: “Confirmación, a través de la provisión de evidencia objetiva, de que se cumplieron los requisitos de un uso o aplicación específicos”. (consulta NIST SP 800-160 [Sustitución] (ISO 9000)).

7. El NIST define los requisitos de calificación como: “Proceso de demostrar si una entidad es capaz de cumplir con los requisitos especificados”. (consulta NIST SP 800-160 [Sustitución] (ISO/IEC/IEEE 12207:2017). Disponible en https://csrc.nist.gov/Glossary/Term/qualification

8. Las normativas actuales de prácticas recomendadas de fabricación de la FDA que se aplican a los productos farmacéuticos se pueden encontrar en 21 CFR Partes 210 y 211, y los requisitos del Sistema de Calidad aplicables a los dispositivos médicos se proporcionan en 21 CFR Parte 820.

9. Consulta 21 CFR Parte 211, Subparte B: Organización y Personal; 21 CFR 820 Parte 820, Subparte B: Requisitos del sistema de calidad

10. Consulta 21 CFR Parte 211, Subparte Informes y registros J; 21 CFR Parte 820, Subparte Registros M.

11. Consulta 21 CFR § 820.22.

12. Consulta 21 CFR Parte 820, Subparte E: Controles de compra.