Livre blanc de Google Cloud

Utiliser Google Cloud dans des systèmes GxP

Mai 2020

1.0 Présentation

En raison de ses avantages stratégiques et opérationnels, l'adoption du cloud computing dans le secteur des sciences de la vie est en constante augmentation. Le cloud computing permet aux organisations réglementées d'utiliser des solutions de plate-forme mondiale pour la gestion et l'analyse des données, et d'assurer le respect de leurs obligations réglementaires de façon plus efficace. Chez Google, nous comprenons les besoins, les contraintes et les considérations de nos clients du secteur des sciences de la vie lors de la migration de leurs charges de travail vers le cloud. Ce livre blanc décrit comment Google aide les clients qui souhaitent utiliser le cloud pour créer un environnement informatique conforme aux consignes GxP. Cela comprend notre approche en matière de gestion de la qualité, de la sécurité et de la conformité pour Google Cloud, ainsi que des contrôles techniques et organisationnels de Google pour la protection des données client.

Qu'est-ce que Google Cloud ?

Google Cloud est une suite de services cloud qui repose essentiellement sur une infrastructure, une plate-forme et des solutions logicielles. En plus de ces services, Google Cloud propose une large gamme d'outils allant de l'analyse intelligente aux capacités d'intelligence artificielle. Google Cloud est constitué d'un ensemble de ressources physiques, telles que des ordinateurs et des disques durs, et de ressources virtuelles, telles que des machines virtuelles (VM), répartis dans les centres de données de Google à travers le monde. L'emplacement de chaque centre de données se trouve dans une région. Les régions sont disponibles en Asie, en Australie, en Europe, en Amérique du Nord et en Amérique du Sud. Chaque région est constituée d'un ensemble de zones isolées les unes des autres. Cette répartition des ressources offre plusieurs avantages, y compris la redondance en cas d'échec et la réduction de la latence grâce à la localisation des ressources plus près des clients.

Dans le cloud computing, ce que vous considérez peut-être comme des logiciels et du matériel deviennent des services. Ces services permettent d'accéder aux ressources sous-jacentes. La liste des services Google Cloud disponibles est longue et ne cesse de croître. Lorsque vous développez une site Web ou une application sur Google Cloud, vous pouvez combiner ces services pour obtenir l'infrastructure ou la solution dont vous avez besoin, puis ajouter votre code pour activer les scénarios que vous voulez créer.

Qu'est-ce que GxP ?

Dans le secteur des sciences de la vie, GxP est une abréviation faisant référence aux différentes réglementations et bonnes pratiques concernant les produits médicaux. La variable "x" dans GxP désigne un large éventail de processus utilisés pour le développement, la fabrication et la distribution de produits réglementés. Les critères particuliers GxP sont décrits dans les réglementations et les directives des autorités administratives de contrôle (par exemple, loi fédérale sur les aliments, les médicaments et les cosmétiques), ainsi que dans les cadres de bonnes pratiques du secteur. Même si les GxP concernent un nombre illimité de sujets spécifiques, les autorités administratives ont adopté presque uniformément les exigences concernant les processus de fabrication de produits, les procédures de documentation, les qualifications et la formation du personnel, ainsi que les activités de distribution et de stockage. Pour les entreprises du secteur des sciences de la vie établies aux États-Unis, Les exigences GxP se trouvent généralement dans le Code of Federal Regulations ("CFR").1

Voici quelques exemples :

  • Bonnes pratiques de fabrication (GMP): 21 CFR Parties 210 et 211, applicables aux produits pharmaceutiques

  • Réglementation du système qualité (QSR): 21 CFR Partie 820, applicable aux dispositifs médicaux

  • Bonnes pratiques de laboratoire : 21 CFR Partie 58, applicable aux essais non cliniques

  • Bonnes pratiques cliniques (GCP): comprend plusieurs réglementations et consignes applicables à la recherche scientifique2

  • Bonnes pratiques de distribution (GDP): englobe plusieurs dispositions et consignes décrites dans le CFR 21 parties 211 et 820, y compris celles en rapport avec le traitement, le stockage et l'installation.

Les GxP ont été créés pour garantir la sécurité des produits médicaux tels que les médicaments, les appareils et les dispositifs biologiques, respecter leur utilisation prévue et suivre les procédures de qualité tout au long du processus de fabrication et de distribution. Ce livre blanc porte sur les sujets liés aux GxP les plus pertinents pour les organisations du secteur des sciences de la vie. Il traite surtout de la façon dont Google Cloud peut être utilisé par les organisations en tant qu'élément de leurs systèmes de conformité GxP.

Comment les clients peuvent-ils exploiter les services cloud dans les systèmes GxP ?

Nos clients du secteur des sciences de la vie, dont la plupart sont soumis aux exigences GxP, utilisent Google Cloud non seulement pour assurer leur conformité, mais également pour bénéficier de fonctionnalités différenciées, d'avancées technologiques et d'améliorations en termes d'efficacité organisationnelle. Voici quelques exemples représentatifs:

  • Comme ce type de client gère un essai clinique, il est soumis à de bonnes pratiques cliniques et à certaines exigences destinées à protéger les patients. La taille des essais cliniques peut varier considérablement, car certains essais ne nécessitent que l'utilisation de quelques sites régionaux, tandis que d'autres peuvent nécessiter des données provenant de milliers de patients sur des dizaines de sites à travers le monde. Avec les services Google Cloud, les utilisateurs peuvent créer autant d'applications et de solutions personnalisées qu'ils le souhaitent. Par exemple, en utilisant un workflow en ligne pour intégrer et suivre les patients, un CRO pourrait avoir besoin de gérer et d'auditer des enregistrements papier situés physiquement sur chaque site. Les services Google Cloud peuvent également contribuer à améliorer la conformité avec les procédures d'essai clinique en fournissant des commentaires en temps réel au CRO sur les sites conformes aux protocoles applicables. En outre, en conservant les informations des données d'essai sur le cloud, vous permettez à ces équipes d'accéder à ces données n'importe où et à tout moment par les équipes concernées, et à mieux contrôler les conditions d'accès des utilisateurs par rapport aux fichiers papier classiques.

  • Un fabricant du secteur des sciences de la vie utilise une plate-forme de réponse vocale interactive hébergée dans le cloud pour gérer les demandes de cartes Copay des clients.

    Selon la façon dont la plate-forme est utilisée pour collecter des informations, cette procédure peut être soumise à de bonnes pratiques de pharmacovigilance ou de rapports de sécurité (GPvP). Si le système étant hébergé dans le cloud, le client doit réfléchir à la manière dont l'infrastructure a été qualifiée ou jugée conforme aux exigences. L'organisation peut également être soumise à des contrôles qui garantissent que les enregistrements GxP, dans ce cas, les notes de l'appel, sont protégés de manière appropriée. Les exigences de la FDA en matière d'enregistrements électroniques, conformément à la 21 CFR Partie 11, garantissent que toute modification des données stockées dans des systèmes électroniques est enregistrée et attribuable à une personne spécifique. Dans ce livre blanc, nous décrivons comment Google Cloud peut aider les clients à répondre à ces exigences.

Comment Google Cloud aide-t-il les clients à se conformer aux exigences GxP ?

En tant que fournisseur de services cloud de premier plan, Google Cloud aide les entreprises du secteur des sciences de la vie à respecter les exigences de la FDA en matière d'enregistrements électroniques conformément à la 21 CFR Partie 11 et à ses équivalents à l'échelle mondiale.3Les contrôles administratifs, physiques et techniques de Google Cloud permettent à nos clients des sciences de la vie d'atteindre leurs objectifs en termes de qualité et de sécurité. En plus de l'infrastructure et des opérations sous-jacentes gérées par Google, les produits Google Cloud fournissent également des fonctionnalités qui peuvent aider nos clients à respecter plus facilement les exigences GxP applicables grâce à la gestion de leurs obligations de tenue des dossiers dans le cloud. Google s'engage à protéger les informations sur ses clients et se soumet à des audits réguliers effectués par des tiers indépendants afin de vérifier la conformité avec les nombreuses normes de sécurité et de confidentialité des données mondialement reconnues. En fait, Forrester Research a reconnu Google Cloud comme Leader de la sécurité cloud public native pour nos capacités et fonctionnalités de sécurité, et comme Leader du portefeuille de sécurité des données pour nos offres de produits liés à la sécurité.

Dans cet article, nous décrivons les différentes mesures prises par Google Cloud pour aider les clients à respecter les exigences GxP. Nous expliquons également comment les organisations du secteur des sciences de la vie peuvent utiliser les offres Google Cloud d'une manière conforme aux différentes exigences de qualité et de sécurité applicables au secteur réglementé. Bien que les références à des normes et consignes réglementaires soient fournies en tant que cadre de discussion, elles ne constituent en aucun cas des conseils juridiques pour les organisations pharmaceutiques, ni pour aucune autre entité.

Modèle de responsabilité partagée

Bien que la responsabilité de la conformité avec les réglementations GxP incombe à nos clients du secteur des sciences de la vie, notre modèle de responsabilité partagée leur permet de mieux répartir les ressources allouées en réduisant le nombre d'opérations requises pour développer et gérer un environnement informatique. Ce modèle allège la charge administrative et techniques de nos clients, car nos outils facilitent la gestion et le contrôle efficaces des composants système sur lesquels les organisations soumises aux exigences GxP s'appuient souvent. Il transfère également une partie des coûts de sécurité vers Google Cloud, et contribue à réduire les coûts liés à la conformité avec les réglementations GxP. Comme le montre ce graphique fourni à titre d'exemple, Google est généralement responsable de la sécurisation de notre infrastructure, et les clients de la sécurisation de leurs données. Les responsabilités spécifiques varient selon que le client exploite des services de type IaaS sur Google Cloud tels que Compute Engine, des services de type PaaS tels qu'App Engine ou des services de type SaaS tels que Google Workspace. Nous aidons les clients à assumer leur responsabilité en fournissant les bonnes pratiques, les modèles, les produits et les solutions.

Responsabilité partagée

2.0 Utiliser Google Cloud dans les systèmes GxP

En tant qu'entreprise pionnière dans le cloud, Google comprend parfaitement les implications du modèle de cloud en termes de sécurité. Nos services cloud sont conçus pour offrir une sécurité supérieure à celle de nombreuses solutions traditionnelles sur site. Nous faisons de la sécurité une priorité afin de protéger nos propres opérations, et comme nous exploitons la même infrastructure que celle que nous proposons à nos clients, votre organisation peut directement bénéficier de ces protections. C'est pourquoi nous mettons l'accent sur la sécurité et c'est aussi la raison pour laquelle la protection des données fait partie de nos principaux critères de conception. De la sécurité vont découler notre structure organisationnelle, nos priorités en matière de formation et nos processus de recrutement. Elle façonne aussi nos centres de données et les technologies qu'ils hébergent. Elle est au cœur de nos opérations quotidiennes et de notre planification en cas de sinistre, et régit la manière dont nous gérons les menaces. Elle est notre priorité lors du traitement des données client. Et elle est la pierre angulaire de nos contrôles sur les comptes, de nos audits de conformité et des certifications que nous offrons à nos clients.

Cette section offre un aperçu de la façon dont les outils et l'approche de Google Cloud en matière de sécurité et de gestion de la qualité peuvent aider à soutenir les systèmes GxP des entreprises pharmaceutiques et autres organisations du secteur des sciences de la vie. Nous y présentons également une brève présentation de certains éléments de notre suite de produits et de fonctionnalités cloud, qui peuvent aider les clients à respecter les exigences GxP. Enfin, nous examinerons les certifications, attestations et audits Google Cloud pertinents.

2.1 Exigences relatives aux enregistrements électroniques

La FDA et ses équivalents dans le monde ont élaboré des réglementations et des procédures concernant le stockage électronique sécurisé des documents, y compris ceux liés aux déclarations réglementaires, aux règles de conformité internes, aux achats et fournisseurs, aux réclamations clients, entre autres. Ces dispositions visent à protéger et à éviter toute modification ou suppression des données pouvant compromettre leur intégrité. Aux États-Unis, la conformité avec les exigences relatives aux enregistrements électroniques est souvent désignée par les termes "Partie 11 Conformité", d'après la partie du CFR dans laquelle ces exigences sont énoncées.4 Google reconnaît que ces protections sont en place pour promouvoir la sécurité et la qualité des produits. Dans cette section, nous décrivons les processus et les produits qui permettent à nos clients d'atteindre les objectifs de sécurité et d'intégrité tels que décrits dans la Partie 11 Conformité.

Tableau 1: Exigences générales GxP relatives aux enregistrements électroniques et à la signature électronique5

Exigences relatives aux enregistrements électroniques Exigences relatives à la signature électronique
  • Possibilité de détecter les enregistrements non valides ou modifiés
  • Pistes d'audit sécurisées, générées par ordinateur et horodatées
  • Protection des enregistrements pour permettre leur récupération précise et rapide
  • Vérifications de l'autorité des accès au système et de son utilisation
  • Validation des systèmes pour garantir la précision, la fiabilité et des performances constantes
  • Vérifications du système d'exploitation pour appliquer le séquençage des événements autorisés
  • Qualifications appropriées du personnel, y compris éducation, formation et expérience appropriées
  • Contrôles appropriés sur la documentation des systèmes, y compris sur la distribution, l'accès, l'utilisation, la révision et le contrôle des modifications (piste d'audit de l'élaboration et de la modification de la documentation)
  • Règles en matière de responsabilité pour les actions lancées depuis le compte d'un particulier
  • Au moins deux composants d'identification uniques (tels que le nom d'utilisateur et le mot de passe)
  • Vérifications, rappels ou révisions périodiques des identifiants d'autorisation
  • Utilisation des protections de transaction pour éviter, détecter et signaler les tentatives d'utilisation non autorisée.
  • Contrôle de la collaboration d'au moins deux personnes qui ne sont pas les propriétaires réels de leur signature électronique
  • Procédures de gestion des pertes pour annuler l'autorisation des jetons, des cartes et d'autres appareils potentiellement compromis, et pour émettre des remplacements temporaires ou permanents avec des contrôles adaptés
  • Tests initiaux et périodiques des appareils, tels que les jetons ou les cartes, afin de garantir leur bon fonctionnement
  • Règles de responsabilité pour les actions lancées sous la signature d'une personne

Les exigences comportementales, telles que les restrictions sur le partage des mots de passe, la formation des utilisateurs finaux à la signification de leur signature électronique et la responsabilité pour l'utilisation d'une signature électronique incombent au client et ne sont pas traitées dans cette section. Pour en savoir plus sur le modèle de responsabilité partagée, reportez-vous à la section 1.

Les exigences liées à l'utilisation des enregistrements électroniques dans les systèmes GxP peuvent être classées en sous-ensembles distincts liés à la manière dont les enregistrements sont créés, gérés et documentés. Les organisations du secteur des sciences de la vie qui utilisent des systèmes de dossiers électroniques doivent tenir compte des bonnes pratiques en matière de conservation des données, de gestion de l'authentification et des accès, de la sécurité des données et des outils d'audit, ainsi que la propriété des données que nous décrivons ci-dessous. Nous décrivons également brièvement comment Google répond aux exigences GxP concernant les fonctions de backend que nous gérons, ainsi que certaines certifications qui répondent à ces normes.

Conservation des données

Les systèmes de contrôle de documents et de stockage de données conformes aux exigences GxP doivent assurer la protection et la conservation des enregistrements, ainsi que permettre leur récupération précise et rapide. Auparavant, lorsque la plupart des enregistrements étaient conservés au format papier, les organisations conservaient les documents dans des installations de stockage physiques sur ou hors site, dans des conditions prédéfinies conformes aux exigences de conservation et permettant une récupération systématique. Le terme "récupération rapide" dans le contexte des applications et d'un espace de stockage dans le cloud s'entend comme des processus robustes de sauvegarde et de restauration, et/ou des systèmes à haute disponibilité. Le stockage des données dans le cloud permet la récupération personnalisée de la documentation à tout moment de son cycle de vie, depuis plusieurs emplacements à travers le monde. La sauvegarde de données fiable est un avantage inclus dans l'utilisation de la plate-forme Google par rapport à d'autres systèmes d'enregistrement électroniques.

Vous pouvez configurer la gestion du cycle de vie des objets Google Cloud avec des règles de cycle de vie pour créer des buckets de stockage d'archives pour les données. Par exemple, ces buckets de stockage peuvent être configurés en fonction de différents niveaux de fréquence d'accès. Les anciennes versions de documents existants qui sont moins fréquemment utilisés peuvent être déplacées vers des options de stockage Nearline ou Coldline plus économiques, offrant un accès nettement plus facile globalement par rapport à la récupération de documents papier à partir d'une installation hors site.

Les clients peuvent également configurer des services tels que BigQuery et Cloud Bigtable afin d'automatiser les délais d'expiration pour certains types de données, permettant ainsi à chaque organisation de configurer l'expiration et la suppression des documents conformément à leurs règles de conservation des données. Ainsi, les utilisateurs n'ont plus besoin d'accéder, de supprimer ni de conserver manuellement des données pour lesquelles des règles de conservation obligatoires sont imposées par différentes réglementations.

Gestion de l'authentification et des accès

Les systèmes conformes GxP exigent la présence de contrôles qui régissent les droits d'accès aux données de façon générale et/ou régulière, afin de réduire le risque de modification ou de suppression non autorisés des enregistrements. Les droits d'accès doivent être établis en fonction des règles de séparation des tâches du client, ainsi que par fonction ou par poste, pour veiller à ce que les utilisateurs de l'organisation puissent accéder à tous les éléments dont ils ont besoin en fonction de leurs responsabilités, tout en limitant l'accès non autorisé à des données critiques ou sensibles.

Cloud Identity and Access Management (Cloud IAM) permet aux administrateurs d'accorder les autorisations permettant d'effectuer des actions sur des ressources spécifiques. Ils bénéficient ainsi d'un contrôle total et d'une visibilité permettant de gérer les ressources cloud de manière centralisée. Comme les organisations du secteur des sciences de la vie peuvent présenter des structures organisationnelles et des processus complexes, ainsi qu'une présence internationale, notre suite d'outils de sécurité et d'identité offre une vue unifiée des règles de sécurité. pour l'ensemble de l'organisation, avec un système d'audit intégré qui simplifie les processus de conformité.

Comme indiqué dans la partie 11, les systèmes électroniques GxP doivent mettre en œuvre des procédures de gestion des pertes. Si vous avez besoin d'alterner les identifiants de compte, tels que les clés API ou les clés de chiffrement qui protègent les informations médicales sensibles, Google Cloud propose des options simples pour faciliter la rotation des identifiants dans l'interface Cloud IAM, ainsi que la rotation ou la destruction de clés de chiffrement asymétriques ou symétriques dans Cloud Key Management Service.

Les systèmes GxP doivent également utiliser les normes de signature numérique appropriées, telles que l'authentification multifacteur ("MFA") pour garantir l'authenticité, l'intégrité et la confidentialité des enregistrements. Google Cloud permet aux clients d'activer et d'exiger l'authentification MFA, comme la validation en deux étapes ("2SV") pour les comptes Cloud Identity. Les options MFA incluent l'utilisation de clés de sécurité, les notifications push sur les appareils mobiles ou les mots de passe à usage unique.

Piste d'audit et sécurité des données

Parallèlement aux exigences de conservation des données, les enregistrements GxP doivent également être protégés contre toute modification ou suppression non autorisée ou involontaire. Les clients doivent s'assurer qu'ils savent quand les données ont été créées, par qui, qui a accédé à ces données, à quel moment, où, et par qui les modifications ont été apportées. Pour ce faire, vous disposez d'une solution d'audit robuste et sécurisée qui capture le résultat précédent, le résultat modifié, le compte à l'origine de la modification, ainsi que des informations de date et d'heure faisant autorité. De cette façon, la modification de l'enregistrement est à la fois attribuable et détectable. Pour ce faire, Google Cloud propose plusieurs solutions via des outils tels que Cloud Audit Logging (pouvant créer des journaux immuables pour les activités d'administration, l'accès aux données et les événements système) et des capacités de surveillance et d'alerte personnalisables.

Par exemple, Cloud Logging vous permet de stocker, de rechercher, d'analyser et de surveiller les données et les événements des journaux de Google Cloud et d'autres sources, y compris Amazon Web Services (AWS), et d'envoyer des alertes le cas échéant. Nous proposons également une fonctionnalité de chiffrement renforcé pour les données en transit sur Google Cloud afin d'empêcher tout accès non autorisé en dehors de notre périmètre. En outre, nous sommes l'un des seuls fournisseurs de services cloud à proposer un chiffrement par défaut pour les données au repos. En outre, nous permettons aux clients de gérer leurs propres clés de chiffrement pour des produits sélectionnés via un service de gestion de clés et de fournir des services spécifiques au secteur médical pour la gestion des données sensibles telles que les PHI et les dossiers médicaux.

Propriété des données

Les clients de Google Cloud sont les propriétaires de leurs données, pas Google. Nous n'accédons aux données de nos clients en aucune circonstance, excepté lorsque nos obligations contractuelles et juridiques l'exigent. Seul un petit nombre d'employés de Google, tels que ceux qui assistent les administrateurs de clients autorisés, ont accès aux données des clients. Les droits et niveaux d'accès de nos employés sont attribués en fonction de leur poste et de leur rôle, selon les principes de moindre privilège et de besoin de connaître. En outre, notre engagement en termes de transparence nous permet de fournir aux clients la possibilité d'afficher des journaux en temps réel lorsque les administrateurs Google accèdent au contenu du client. Pour en savoir plus sur la philosophie et les engagements envers les clients de Google, consultez nos principes de confiance.

En outre, Google s'engage à conserver, retourner, détruire ou supprimer les données à caractère personnel conformément au contrat ou aux contrats de niveau de service. Nous recommandons aux clients du secteur des sciences de la vie de mettre en cohérence leurs contrats de niveau de service avec toutes les exigences en matière de conservation des données et/ou de conformité. Pour en savoir plus sur la suppression des données dans Google Cloud, consultez le livre blanc sur la suppression des données sur Google Cloud Platform. Pour plus d'informations, reportez-vous à nos pratiques de sécurité des données dans notre Avenant relatif au traitement des données dans le cloud.

Sécurité physique

Les centres de données Google sont conçus selon un modèle de sécurité multicouche comprenant les dispositifs suivants : cartes d'accès électroniques conçues sur mesure, alarmes, barrières pour contrôler l'accès des véhicules, clôtures de sécurité, détecteurs de métaux et technologies biométriques. Chaque centre de données est également doté d'un système de détection des intrusions à faisceau laser. Seuls les employés approuvés qui détiennent un rôle spécifique peuvent y accéder. Moins de 1 % des Googleurs entreront un jour dans l'un de nos centres de données. Lorsque Google Cloud héberge des serveurs dans des centres de données tiers, nous nous assurons que des mesures de sécurité physique contrôlées par Google s'ajoutent aux niveaux de sécurité fournis par l'opérateur du centre de données. Pour en savoir plus, consultez la présentation de la sécurité sur l'infrastructure de Google.

Sécurité du réseau

En plus de fournir aux clients une fonctionnalité de chiffrement des données en transit et au repos, Google Cloud contribue également à sécuriser les systèmes et les réseaux de soutien avec des produits qui définissent et appliquent les périmètres de service client, ce qui permet une segmentation réseau, et fournissent un accès à distance ainsi que des protections contre les attaques par déni de service. Les administrateurs système sont en mesure d'adapter et de contrôler de manière sécurisée la connexion des charges de travail à l'échelle régionale et mondiale, en fonction de l'endroit où leurs équipements et de leurs installations sont déployés. Afin d'assurer la sécurité de vastes réseaux d'appareils et d'équipements, Google a développé les services Application Layer Transport Security et des clouds privés virtuels intégrant des contrôles de service qui peuvent aider les développeurs à améliorer leurs contrôles de conception, conformément aux réglementations du système qualité de la FDA, entre autres.

Lorsque le trafic circule sur l'infrastructure gérée de Google, Google Cloud utilise automatiquement différentes protections pour les données en transit et permet aux clients d'appliquer des couches de protection supplémentaires. L'adoption des réseaux VPC partagés est une considération importante pour les organisations qui introduisent la gouvernance et le contrôle des politiques de sécurité réseau. Les administrateurs réseau doivent définir des règles de routage et de pare-feu au niveau du projet hôte, et fournir une autorisation explicite pour les ressources du projet de service à associer aux sous-réseaux individuels du projet hôte. Cette approche d'attribution d'accès réseau permet aux organisations de demander aux propriétaires de projets de service de respecter certaines normes de sécurité avant d'être intégrés pour accéder au réseau de production.

Un autre aspect à prendre en compte pour les organisations qui traitent ou stocke des données médicales à caractère personnel ou d'autres données sensibles consiste à installer VPC Service Controls. VPC Service Controls offre une défense en profondeur en vue de limiter les possibilités d'exfiltration de données. VPC Service Controls détermine également quels hôtes situés en dehors des ressources protégées du périmètre peuvent se connecter ou transférer des données.

Sécurité des applications

Google Cloud propose divers produits de sécurité des applications pour protéger et gérer les applications professionnelles de nos clients, qu intègrent des fonctionnalités de test, d'analyse et de sécurité des API. Google recommande à tous les clients d'analyser régulièrement leurs charges de travail afin de détecter la présence de failles courantes dans les applications. Pour aider les clients dans cette démarche, Google Cloud propose l'utilisation de son Web Security Scanner qui détecte les failles courantes par injection, l'utilisation de contenus HTTP/S mixtes, et l'utilisation de bibliothèques non sécurisées au sein d'applications déployées sur App Engine, Compute Engine et Kubernetes Engine.

Pour assurer la sécurité de bout en bout sur les plates-formes d'API des clients, Google Cloud propose des solutions telles que Cloud Endpoints et Apigee. Chacune des deux solutions permettra aux développeurs de valider l'identité des utilisateurs finaux à l'aide d'options telles que les jetons Web JSON, les clés API ou les jetons Oauth 2.0. Bien que Cloud Endpoints soit une solution spécialement conçue pour les déploiements Google Cloud, Apigee peut être utilisé dans des scénarios hybrides impliquant des API déployées dans Google Cloud et sur site. Apigee peut protéger les systèmes backend contre les attaques par injection de charge utile (par exemple, les injections SQL) et détecter et masquer certains types d'informations sensibles (informations médicales, par exemple) avant qu'elles ne soient enregistrées dans les journaux de trace. Apigee Sense permet de protéger de manière proactive les API des menaces ou des comportements suspects.

Redondance de l'infrastructure

Nous concevons les composants de notre plate-forme de manière à garantir un niveau de redondance élevé. Cette redondance s'applique à la conception de nos serveurs, au stockage de données, à la connectivité réseau et Internet, ainsi qu'aux services logiciels eux-mêmes. De par sa nature, cette "redondance intégrale" se charge de la gestion des erreurs et crée une solution qui ne dépend pas d'un serveur, d'un centre de données ou d'une connexion réseau unique. Nos centres de données sont répartis dans différents endroits pour minimiser les conséquences de dysfonctionnements potentiels au niveau régional sur les produits internationaux, pouvant être dus à des catastrophes naturelles ou des pannes locales. Dans le cas d'une panne matérielle, logicielle ou de réseau, les services sont automatiquement et instantanément permutés vers d'autres sites pour que les services de plate-forme se poursuivent sans interruption. Notre infrastructure à haute redondance aide également les clients à se prémunir contre la perte de données. Les ressources Google Cloud peuvent être créées et déployées dans plusieurs régions et zones, ce qui permet aux clients de concevoir des systèmes résilients et à disponibilité élevée.

Pour le stockage des données au niveau physique, Google stocke les données client au repos dans deux types de systèmes : les systèmes de stockage actifs et les systèmes de stockage de sauvegarde. Bien que les systèmes de stockage actifs soient des serveurs de production de Google Cloud exécutant les couches d'application et de stockage de Google, nos systèmes de stockage de sauvegarde conservent des copies complètes et incrémentielles des systèmes actifs sur une période définie pour permettre à Google de récupérer les données et les systèmes en cas de d'interruption ou de sinistre. Dans les systèmes de stockage décrits ci-dessus, les données client sont chiffrées lorsqu'elles sont stockées au repos. Le chiffrement des données au repos s'effectue au niveau des couches d'application et de stockage, sur des supports de stockage actifs et de sauvegarde. Pour en savoir plus sur les techniques de chiffrement de Google, consultez les livres blancs sur la sécurité dans Google Cloud.

2.2 Fonctionnalités des produits compatibles GxP: validation et qualification de l'infrastructure

Qualification de l'infrastructure

L'un des principaux besoins des systèmes informatiques GxP est leur validation afin de garantir la conformité du système avec les exigences de l'utilisateur.6 Dans un environnement hébergé standard, la première étape de la création d'un système informatique validé est la qualification de l'infrastructure.7De même que pour qualifier l'infrastructure sur site, le client doit suivre les processus de certification de l'infrastructure afin de documenter les spécifications techniques requises, de créer une infrastructure basée sur le cloud pour ces composants, puis de vérifier que la compilation respecte les spécifications. La méthodologie de validation du client doit décrire les exigences spécifiques de la documentation, et la documentation de compilation générée pendant ce processus peut être utilisée pour garantir l'état qualifié de l'infrastructure.

Les ressources cloud, telles que Compute Engine ou Cloud Storage, peuvent être provisionnées via Google Cloud Console ou par programmation via Cloud Deployment Manager, HashiCorp Terraform ou directement via les API RESTful de GCP. Deployment Manager est un service de déploiement d'infrastructures qui vous permet d'automatiser la création et la gestion de ressources Google Cloud. Il permet aux clients d'écrire des fichiers de modèle et de configuration flexibles, puis de les utiliser pour créer des déploiements qui disposent d'une variété de services Cloud Platform, tels que Cloud Storage, Compute Engine et Cloud SQL, configurés pour fonctionner ensemble. Avec Deployment Manager, un client peut afficher le fichier manifeste, qui contient toutes les entrées, spécifications, fichiers d'importation, etc. (les "exigences") ainsi qu'un rapport de la compilation, qui peut être utilisé pour montrer que les ressources cloud ont été qualifiées. Le client peut alors poursuivre toutes les activités de validation de l'application.

Gestion du changement et surveillance opérationnelle

En plus de valider l'infrastructure système, les systèmes alignés sur GxP doivent également mettre en œuvre des procédures appropriées de contrôle du changement concernant les composants de l'infrastructure et des applications. Pour ce faire, il convient de s'assurer que seules les modifications autorisées sont apportées aux systèmes, que les utilisateurs autorisés sont les seuls à pouvoir effectuer des modifications et d'effectuer une surveillance continue pour éviter tout problème opérationnel ou de sécurité. Les clients doivent intégrer leurs contrôles uniques des processus de gestion du changement dans l'écosystème Google Cloud afin d'évaluer l'impact des modifications apportées à l'infrastructure cloud, aux configurations des applications ou aux modifications des données dans les applications.

Une organisation doit également mettre en place des garde-fous sous forme de contraintes de règle spécifiant les équipes qui doivent pouvoir accéder aux types de données, ainsi que les restrictions qui s'appliquent à cet accès. Par exemple, les clients peuvent s'assurer que les équipes n'utilisent que des images approuvées pour l'utilisation de machines virtuelles.

Les clients peuvent utiliser Security Command Center (CSCC) pour consulter et surveiller l'inventaire de leurs ressources cloud, examiner les droits d'accès à ces ressources, recevoir des alertes en cas de non-respect des règles.Forseti(telles que les LCA Cloud Storage ou les règles de pare-feu Compute Engine trop permissives) et détecter les failles Web courantes à partir d'un tableau de bord unique et centralisé. Nos clients peuvent également contrôler qui a accès à la modification de leur infrastructure via Cloud IAM, ce qui leur permet de mettre en œuvre des stratégies de contrôle du changement et des workflows d'examen par les administrateurs. Une fois la modification de l'infrastructure Google Cloud approuvée, il est recommandé aux utilisateurs d'effectuer une opération de validation ciblée pour confirmer que la modification a produit les résultats escomptés.

Les modifications apportées aux configurations de serveur, y compris celles apportées aux spécifications, peuvent être contrôlées via Cloud Console ou Cloud Deployment Manager, et la documentation de Deployment Manager permet de montrer que les modifications ont été effectuées conformément aux exigences. Cloud Console représente l'interface utilisateur centrale d'un client pour gérer, créer, modifier ou afficher les activités liées à ses ressources Google Cloud. De plus, les clients peuvent utiliser le SDK Cloud ou Cloud Shell, ce qui permet aux clients Google Cloud de gérer l'infrastructure et les applications à partir de la ligne de commande depuis n'importe quel navigateur.

Chez Google Cloud, nous surveillons en permanence les activités malveillantes, nous traitons les incidents de sécurité et soutenons les processus opérationnels qui préviennent, détectent et contrent les menaces et les problèmes de performances. De plus, la suite Google Cloud Operations regroupe les métriques, les journaux et les événements liés à l'infrastructure, permettant aux clients de surveiller et de résoudre les problèmes de performances de manière proactive et contrôlée. La suite Operations conserve également l'historique des modifications pour le serveur lui-même sous la forme d'une trace d'audit, qui permet de montrer que toutes les modifications ont été autorisées et qu'elles respectent les procédures appropriées. Cloud Logging permet aux clients de rechercher, stocker, analyser, surveiller et être averti de toute modification ou mise à jour dans les données de journalisation.

Les clients peuvent consulter la documentation détaillée sur les produits et processus opérationnels de Google Cloud sur la page Produits Google Cloud.

Gestion des incidents

Une intervention efficace en cas d'incident n'est pas seulement cruciale pour la gestion et à la récupération, mais aussi pour la prévention d'incidents futurs. Les fonctionnalités complètes de gestion des incidents de Google Cloud exploitent l'association de processus experts efficaces et d'outils de surveillance sophistiqués pour détecter de manière proactive les incidents, les contenir, limiter les répercussions, informer les clients et reconstruire les services de manière fiable. Voici une vue d'ensemble du processus de gestion des incidents, réparti par phases:

1. Identification

Pour pouvoir résoudre efficacement les incidents, il est essentiel de les identifier rapidement et précisément. L'objectif de cette phase est de surveiller les événements liés à la sécurité afin de détecter et de signaler les éventuels incidents affectant les données.

2. Coordination

Lorsqu'un incident est signalé, l'employé d'astreinte examine et évalue la nature du rapport d'incident pour déterminer s'il s'agit d'un éventuel incident lié aux données et lance le processus de gestion des incidents de Google.

3. Solution

À ce stade, l'accent est mis sur la recherche de la cause première, la limitation de l'impact de l'incident, la résolution des risques de sécurité immédiats (le cas échéant), la mise en œuvre des correctifs nécessaires dans le cadre de la résolution ainsi que la restauration des systèmes, données et services affectés.

4. Amélioration continue

Nous analysons chaque incident pour obtenir de nouveaux insights qui nous aident à améliorer nos outils, nos formations et nos processus, ainsi qu'à travers le programme global de sécurité et de protection des données de Google.

Pour en savoir plus sur la gestion des incidents, consultez notre livre blanc sur la gestion des incidents liés aux données.

2.3 Satisfaire aux exigences GxP

Les organisations réglementées du secteur des sciences de la vie, y compris les laboratoires pharmaceutiques, les dispositifs médicaux et les fabricants de produits biologiques qui opèrent aux États-Unis ou sur d'autres marchés mondiaux, nécessitent d'importantes ressources pour développer, gérer et exploiter des systèmes GxP. En particulier, le développement des systèmes et des protocoles de développement conformes aux réglementations GMP (Current Good Fabric Practice) et celles du système qualité (QS) nécessitent un temps et des efforts considérables.8 Aux États-Unis, les exigences GMP/QC sont appliquées par la FDA, et imposent à ces organisations d'établir des procédures qui garantissent la conformité de la conception, de la surveillance, du contrôle des processus et des installations de fabrication. Bien que les entreprises soient autorisées à prendre certaines décisions concernant les spécificités de leurs systèmes, les systèmes conformes GMP/QS doivent traiter de nombreux sujets ayant trait au développement et à la production susceptibles d'affecter la sécurité et l'efficacité des produits manufacturés. Ces sujets concernent les domaines suivants :

  • Responsabilité des gestionnaires
  • Formation du personnel
  • Enregistrements et rapports
  • Audits de la qualité
  • Contrôle des achats
  • Évaluations des fournisseurs

Ces systèmes impliquent souvent d'importantes obligations concernant la tenue des dossiers, et les organisations sont tenues de veiller à la conformité de leur documentation, de leur gestion des données et de leurs processus de contrôle du changement. Nous décrivons ci-dessous la manière dont les clients peuvent simplifier leur mise en conformité et renforcer leur fiabilité dans ces systèmes électroniques en passant à des applications basées dans le cloud.

Responsabilité des gestionnaires :

En règle générale, les systèmes GxP exigent que les organisations du secteur des sciences de la vie définissent et respectent des règles et objectifs officiels pour assurer la qualité des produits.9Les gestionnaires ayant des fonctions de direction sont tenus de garantir le respect des règles de qualité, leur mise en œuvre et leur gestion à tous les niveaux de l'entreprise. Une partie de ces responsabilités consiste à attribuer des pouvoirs au personnel approprié chargé de gérer, d'exécuter et d'évaluer les tâches concernant la qualité. Dans un environnement informatique basé sur le cloud, cela inclut l'attribution des autorisations et des droits d'accès au personnel approprié, ainsi que le contrôle et la gestion des accès du personnel et l'utilisation de certains systèmes électroniques GxP.

Les clients qui utilisent Google Cloud peuvent configurer des autorisations Cloud IAM pour contrôler l'accès à leurs ressources cloud et limiter l'accès de leurs propres administrateurs, en définissant le niveau d'accès approprié au niveau du projet, du dossier ou de l'ensemble de données. Cela comprend une liste complète d'autorisations, ainsi que les rôles prédéfinis qui les octroient. Vous pouvez également créer vos propres rôles personnalisés contenant exactement les autorisations que vous spécifiez.

Afin de réduire les risques, tels qu'une configuration inappropriée des contrôles d'accès des employés ou des pirates informatiques exploitant les comptes piratés, VPC Service Controls permet aux clients de définir un périmètre de sécurité autour des ressources Google Cloud, tels que Cloud Storage, BigQuery ou Bigtable pour éviter l'exfiltration de données. Identity-Aware Proxy (IAP) permet aux clients de contrôler l'accès aux applications et aux VM cloud en fonction de l'identité de l'utilisateur et du contexte de la requête. Les clients peuvent également contrôler qui a accès à vos buckets et objets Cloud Storage, ainsi que le niveau d'accès. Pour plus d'informations, reportez-vous à la page de documentation de Cloud Storage.

Organisation et formation du personnel:

Les organisations du secteur des sciences de la vie sont tenues d'élaborer et de mettre en œuvre des règles de qualité dans leur entreprise, ainsi que de mettre en place une structure organisationnelle appropriée afin de garantir la conformité de la conception et de la fabrication de leurs produits avec les exigences réglementaires. Ces responsabilités consistent à s'assurer que le personnel dispose des compétences, de la formation et de l'expérience nécessaires pour accomplir correctement toutes les activités liées à la qualité. Lorsque ces fonctions incluent l'utilisation des services Google Cloud pour configurer la compatibilité de l'infrastructure des systèmes électroniques GxP, l'expérience des services Google Cloud doit être prise en compte lors de l'embauche et/ou la formation du personnel. Les clients peuvent profiter d'un certain nombre deformations Google Cloud pour apporter des compétences et des connaissances supplémentaires à des équipes entières dans des domaines tels que l'architecture avec Google Kubernetes Engine et l'utilisation du machine learning avec TensorFlow sur Google Cloud. Votre personnel pourra obtenir des certifications qui démontrent ses compétences techniques pour un poste ou une tâche particulière.

Les clients doivent également envisager de mettre à jour leurs règles et procédures, et/ou tout autre document organisationnel qui couvre les exigences en matière d'éducation et d'expérience du personnel, ainsi que de gestion des programmes de formation. Nous encourageons nos clients à se familiariser avec notre matrice de responsabilité Clients Google Cloud.

Enregistrements et rapports

L'un des éléments principaux des réglementations GMP et QS est l'obligation d'établir des systèmes d'enregistrements facilement accessibles et consultables lors de l'inspection des autorités de contrôle. Le but de ces systèmes est de s'assurer que les procédures de qualité des produits sont correctement gérées et suivies.10 Par exemple, les enregistrements de chaque étape importante du processus de distribution, y compris la fabrication, le traitement, l'emballage et la conservation d'un produit ou d'un lot spécifiques de produit sont généralement requis. En outre, les entités réglementées doivent établir des procédures permettant de recevoir, d'examiner et d'évaluer les réclamations des clients, et de conserver des documents complets détaillant l'issue de la résolution de chaque réclamation. Pour les besoins de l'inspection des autorités de contrôle, une gestion des enregistrements appropriée est essentielle pour garantir l'intégrité des données.

Comme indiqué précédemment, Google Cloud propose des outils clients comme les journaux d'audit Cloud qui permettent aux équipes de sécurité de maintenir des outils d'audit dans Google Cloud et d'afficher des informations détaillées sur les activités d'administration, l'accès aux données et les événements système. Les journaux d'audit Cloud résident dans un espace de stockage très protégé, offrant ainsi un outil d'audit sécurisé, immuable et extrêmement durable. Grâce à Cloud Logging, les clients peuvent également stocker, rechercher, analyser et surveiller les données et les événements des journaux à partir de Google Cloud, mais aussi déclencher des alertes. Notre API permet également d'ingérer n'importe quel type de données de journaux personnalisées depuis n'importe quelle source et peut être combinée avec les produits de données et d'analyse de Google Cloud pour une analyse avancée des journaux.

Vous trouverez plus d'informations sur la suite Google Cloud Operations sur les pages Produits et Documentation concernant nos opérations.

Audits de la qualité

Les organisations du secteur des sciences de la vie conformes GxP sont tenues d'établir des procédures permettant de réaliser des audits de la qualité. De tels audits permettent de garantir que les systèmes de qualité de l'entreprise sont conformes aux réglementations GxP et de déterminer leur efficacité globale.11 Dans le cadre de ce processus, les organisations doivent produire et gérer des rapports de résultats pour chaque audit qualité, et ces rapports doivent être examinés par la direction responsable qui déterminera si des actions correctives sont nécessaires. Les examinateurs réglementaires demandent souvent à accéder à la documentation concernant les audits de la qualité.

Les clients qui effectuent des audits de qualité de leurs systèmes peuvent tirer parti des services Google Cloud pour faciliter le processus d'audit. En bénéficiant de services tels que la suite Google Cloud Operations, Cloud IAM et des outils Open Source comme Forseti Security, vous pouvez conserver une vue et un historique complets de ce qui se passe dans votre environnement Google Cloud, sans impact important sur vos processus d'audit qualité actuels.

Contrôles des achats

Dans le cadre de leurs contrôles GxP, les fabricants du secteur des sciences de la vie sont responsables de tous les produits achetés ou reçus conformément aux exigences spécifiées.12Selon la taille et la complexité de l'entreprise, les besoins et les attentes en matière de gestion informatique sont différents. Toutefois, dans tous les cas, les organisations réglementées doivent conserver des enregistrements qui décrivent clairement les exigences de spécifications, ainsi que toute autre documentation relative au contrôle des achats. Avec Google Cloud, les clients peuvent consulter nos rapports et certifications qui représentent une validation indépendante de nos contrôles.

Évaluations des fournisseurs

Les organisations soumises à des obligations GxP doivent évaluer et sélectionner les fournisseurs, prestataires et consultants potentiels en fonction de leur capacité à répondre aux exigences spécifiées, y compris celles liées à la qualité des produits. Dans le cadre de ce processus, la direction de l'entreprise doit définir le type et l'étendue du contrôle à exercer sur les produits, les services et les fournisseurs en fonction des résultats de l'évaluation. En outre, la FDA peut fournir une documentation sur ce processus à l'occasion d'une inspection de conformité. Par conséquent, il est essentiel pour les organisations du secteur des sciences de la vie d'établir et de conserver des enregistrements des fournisseurs, prestataires et consultants évalués et acceptables.

Nos clients et les autorités de régulation exigent un examen indépendant de nos contrôles de sécurité, de confidentialité et de conformité. Pour satisfaire à cette obligation, Google se soumet régulièrement à différents audits conduits par des tiers indépendants. Voici certaines des principales normes internationales sur lesquelles nous sommes audités :

Google participe également à des frameworks spécifiques à un secteur ou à un pays, tels que FedRAMP (administration américaine), HITRUST CSF (secteur médical principalement), BSI C5 (Allemagne), MTCS (Singapour) et bien d'autres. Nous fournissons également des documents de référence et des correspondances avec les frameworks et les lois applicables dans lesquels des certifications ou attestations officielles peuvent ne pas être requises ou appliquées. Pour obtenir la liste complète de nos offres de conformité, consultez notre Centre de ressources pour la conformité.

2.4 Certifications, attestations et audits Google Cloud applicables

Pour aider les clients des sciences de la vie remplir leurs obligations de conformité et de reporting, nous mettons à leur disposition des informations, des bonnes pratiques et un accès facile à la documentation. Nous soumettons régulièrement nos produits à des contrôles indépendants de sécurité, de confidentialité et de conformité afin d'obtenir des certifications répondant à différentes normes. Certifications et attestations liées à la sécurité des informations (par exemple, ISO 27000, CSA STAR), ainsi que certaines certifications, réglementations et frameworks spécifiques au secteur de la santé (HITRUST, FedRAMP, HIPAA, par exemple) pour répondre aux besoins de nos clients réglementés. En outre, un grand nombre des contrôles testés dans nos rapports SOC, notamment sur la sécurité, l'accès des utilisateurs, la gestion du changement et les procédures de déploiement, offrent aux clients une transparence en termes de conception et d'efficacité des contrôles spécifiques liés à la compatibilité GxP.

Pour afficher la liste complète des certifications applicables, et pour en savoir plus, consultez la page Normes, réglementations et certifications.

2.5 Informations que Google Cloud peut fournir pour utilisation si nécessaire dans le cadre d'une déclaration réglementaire à la FDA

Google Cloud fournit une documentation disponible au public sur nos procédures, pratiques et mesures de sécurité qui peuvent être utiles dans le cadre de déclarations réglementaires visant à démontrer la sécurité et l'efficacité d'un dispositif médical intégré à Google Cloud, ou à montrer comment Google Cloud gère un système qualité. Une grande partie de cette documentation a été indiquée tout au long de ce livre blanc.

Les clients Google Cloud peuvent également recevoir une documentation plus détaillée sur les produits et services qu'ils utilisent. Certains documents peuvent être confidentiels et/ou protégés par des accords de non-divulgation entre Google Cloud et nos clients. Dans le cas où il est nécessaire d'inclure des informations protégées dans une déclaration à la FDA, sous réserve que cette intégration ait été préalablement autorisée par Google Cloud, celles-ci doivent être marquées comme confidentielles afin d'indiquer à la FDA qu'elles ne doivent pas être publiées, conformément à la Loi sur la liberté d'information et aux réglementations 21 CFR Partie 20 relatives à la divulgation d'informations de la FDA. Si la FDA demande des documents non publics supplémentaires à des fins d'examen d'une déclaration réglementaire, la divulgation potentielle de ces informations auprès de la FDA doit être mentionnée dans des accords contractuels individuels.

2.6 Assistance supplémentaire pour la conformité dans le secteur médical

Google Cloud dispose d'un référentiel actualisé regroupant les informations, les bonnes pratiques et la documentation concernant la conformité et la création de rapports pour le secteur de la santé et des sciences de la vie pour plusieurs régions dans le monde. Nous mettons également en évidence certains des points clés ci-dessous concernant ce secteur.

Conformité avec la loi HIPAA

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) de 1996 est une loi fédérale qui établit les exigences en matière de sécurité et de confidentialité des données pour certains individus et certaines entités. Elle a pour but de protéger les données de santé de chacun. Cette loi impose des protections en matière de confidentialité et de sécurité pour les données de santé protégées. Elle s'applique aux individus et aux entités qui répondent à la définition de "entités" ou "partenaires" soumis à la loi HIPAA. Les clients qui sont soumis à la loi HIPAA et qui souhaitent utiliser les produits Google Cloud en lien avec des données de santé protégées doivent lire et accepter un accord de partenariat BAA (Business Associate Agreement) avec Google. Si le département américain de la Santé et des Services sociaux (HHS) ne reconnaît pas un processus de certification formel pour garantir la conformité avec la loi HIPAA, Google Cloud est régulièrement soumis à des audits indépendants afin d'évaluer les contrôles de la sécurité, de la confidentialité, des opérations et de la conformité que nous avons mis en place sur la base de normes internationales couvrant les exigences décrites dans la loi HIPAA. La conformité avec la loi HIPAA est une responsabilité partagée entre nos clients et nous. Pour en savoir plus, reportez-vous à notre Guide de conformité avec la loi HIPAA pour GCP.

3.0 Conclusion

Les organisations du secteur des sciences de la vie peuvent tirer parti des produits et services Google Cloud pour simplifier le développement des produits, exécuter et suivre les processus de contrôle de la qualité de fabrication, et permettre un cycle de développement logiciel robuste en conformité avec les exigences de la FDA et des autres réglementations internationales. Grâce à un investissement important dans la qualité et la sécurité de nos services, nous facilitons pour les clients des sciences de la vie la démonstration de leur conformité avec les exigences réglementaires. En sécurisant nos systèmes et en les protégeant contre les menaces, nous permettons aux développeurs de logiciels de bénéficier de nos technologies et pratiques, tout en limitant les risques pour les patients et les utilisateurs de leurs produits.

4.0 Ressources complémentaires

Pour vous accompagner dans le développement de dispositifs, équipements, systèmes et applications compatibles GxP, nous vous invitons à consulter les ressources répertoriées ci-dessous.

Google Cloud Google Workspace
En savoir plus
Découvrez pourquoi d'autres entreprises choisissent Google Cloud Pourquoi choisir Google Cloud ? Pourquoi Google Workspace
En savoir plus sur nos services Solutions Google Cloud Centre de formation Google Workspace
En savoir plus sur nos tarifs Tarifs de Google Cloud Solution Google Workspace
Échanger
Profiter d'un essai gratuit Version gratuite de GCP Essai gratuit de Google Workspace
Appelez notre centre de connaissances 844-613-7589 855-312-7191
Vous avez des questions concernant la sécurité, la confidentialité ou la conformité ? Contactez nos experts à l'adresse compliance@google.com
Agir
Faites profiter votre équipe de Google Remplissez ce formulaire ou appelez le 844-613-7589 Remplissez ce formulaire ou appelez le 855-312-7191
Formez votre équipe Formation Google Cloud Formation Google Workspace
Guides de démarrage rapide : Déployez votre première solution en 10 minutes ou moins Premiers pas avec GCP Guide de démarrage rapide Google Workspace
Obtenir de l'aide
Questions fréquentes Questions fréquentes sur GCP Questions fréquentes sur Google Workspace
Assistance technique client Contactez notre centre d'assistance Google Cloud.

Clause de non-responsabilité

Ce livre blanc concerne les produits Google Cloud décrits à l'adresse cloud.google.com. Le contenu du présent document est correct et représente l'état des connaissances à sa date de rédaction, soit mai 2020. Les règles et les systèmes de sécurité Google peuvent changer par la suite, car nous améliorons continuellement la protection de nos clients.

1. Bien que le présent document ne constitue pas une étude internationale exhaustive de toutes les réglementations GxP applicables, il est généralement reconnu que les autorités de réglementation exigent que les produits médicaux soient développés et fabriqués conformément aux bonnes pratiques. Ces pratiques sont accessibles directement dans les réglementations gouvernementales et les documents de référence, ainsi dans les normes internationales telles que publiées.

2. Voir Food and Drug Administration, Regulations : Good Clinical Practice and Clinical Trials, https://www.fda.gov/science-research/clinical-trials-and-human-subject-protection/réglementaire-good-clinical-practice-and-clinical-trials.

3. Voir Food and Drug Administration (7 mai 2019), Partie 11, Electronic Records; Electronic Signatures – Scope and Application, informations fournies à partir de la page https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

4. 21 CFR Part 11: Electronic Records: Electronic Signatures.

5. Notez que même si l'intégralité de la partie 21 du CFR est toujours en vigueur, la FDA requiert actuellement l'application de certaines exigences indiquées dans ces réglementations. L'autorité de contrôle a publié des consignes qui clarifient les exigences de la FDA qui entrent en vigueur, dont le lien d'accès est disponible à la section FN 4. Les clients du secteur des sciences de la vie doivent évaluer de manière distincte les exigences qui s'appliquent à leurs systèmes de tenue de dossier.

6. Le NIST définit la validation comme suit : "La signature, au moyen de la fourniture d'une preuve objective, que les exigences liées à une utilisation ou une application spécifiques ont été remplies". (voir NIST SP 800-160 [Remplacée] (ISO 9000)).

7. Le NIST définit la qualification comme suit : "Processus permettant de démontrer si une entité est capable de répondre aux exigences spécifiées". (voir NIST SP 800-160 [Remplacée] (ISO/IEC/IEEE 12207:2017). Informations fournies à partir de la page https://csrc.nist.gov/Glossary/Term/qualification

8. Les règles de bonnes pratiques de fabrication actuelles de la FDA applicables aux produits pharmaceutiques se trouvent dans les CFR 21 Parties 210 et 211 ; les exigences du système qualité applicables aux dispositifs médicaux sont fournies dans les CFR 21 Partie 820.

9. Voir 21 CFR Part 211, Subpart B—Organization and Personnel; 21 CFR 820 Part 820, Subpart B—Quality System Requirements.

10. Voir 21 CFR Part 211, Subpart J--Records and Reports; 21 CFR Part 820, Subpart M--Records.

11. Voir 21 CFR § 820.22.

12. Voir 21 CFR Part 820, Subpart E--Purchase Controls.