Comment qualifier les fournisseurs de cloud

Nous avons récemment terminé une mission d'analyse des lacunes 21 CFR Part 11 pour un client qui utilisait largement des applications SaaS, mais qui n'avait pas de processus de qualification de fournisseur de cloud en place. Ils venaient juste de permettre à chaque business unit de sélectionner les applications qui répondaient à ses besoins, acceptaient les documents de validation fournis par le fournisseur (le cas échéant) et étaient confiants que le fournisseur de cloud avait été complet et conforme.

ne vole pas avec les auditeurs, ni ne protège les entreprises et leurs données contre les risques. Parce que la responsabilité ultime de la conformité réglementaire incombe à vous – la société pharmaceutique ou médicale – vous devez être beaucoup plus proactif et critique.

Votre procédure d'exploitation normalisée (SOP) de qualification de fournisseur Cloud doit décrire comment vérifier qu'un nuage Le fournisseur se tient au même degré de conformité que vous le feriez si vous construisiez et / ou hébergiez le système. Il doit également décrire comment vous vous assurez que le fournisseur de cloud maintient ces normes au fil du temps.

Lors de la qualification d'un fournisseur Cloud, veillez à évaluer ses procédures écrites et la preuve documentée qu'il suit ses procédures dans les domaines clés suivants:

• Sécurité de l'espace physique, qui héberge les serveurs hébergeant des produits IaaS, PaaS et / ou SaaS, même si cet espace se trouve dans un centre de données tiers
• Sécurité, confidentialité et confidentialité des données client
• support, y compris les améliorations pour les produits PaaS et SaaS
• Disponibilité ou disponibilité de ses produits, y compris les processus de sauvegarde et de récupération
• Mobilité des données (options d'extraction de données de leur produit dans un format conforme aux réglementations) 19659006] Conformité réglementaire, spécifique aux besoins et aux lieux d'exploitation de votre entreprise (par exemple, 21 CFR Part 11, Annexe 11)
• Modifier les procédures de contrôle pour ses produits. Spécifiquement: Comment un changement est-il autorisé? Comment un changement est-il documenté? Une évaluation d'impact est-elle effectuée avant de procéder à un changement? Des tests adéquats sont-ils effectués avant de publier un changement? Les clients sont-ils prévenus à l'avance d'un changement? Un environnement de test est-il fourni aux clients avant le changement? Quelles options les clients ont-ils si une modification casse une fonctionnalité existante ou crée un risque de conformité?
• Comment le fournisseur de cloud qualifie les tiers qu'il utilise, y compris les centres de données

De plus, vous voulez considérer la longévité de chaque fournisseur. Depuis combien de temps le fournisseur de cloud existe-t-il? Quelle est la stabilité de l'entreprise? Et, bien sûr, vous voudrez parler avec d'autres sociétés en utilisant le (s) produit (s) que vous envisagez, idéalement à des fins similaires, pour avoir une idée de leur satisfaction à l'égard du fournisseur de cloud.

devrait également inclure un processus de requalification périodique pour assurer que le fournisseur de cloud continue à maintenir les normes que vous avez vérifiées à l'origine.

Si à un moment quelconque – soit lors de la qualification initiale ou de la requalification périodique – un fournisseur de cloud ne répond pas à vos exigences minimales , vous avez deux choix: négocier avec le fournisseur de cloud pour réviser ses procédures afin de répondre à vos besoins ou vous en éloigner. Cette dernière option est plus compliquée si la défaillance se produit lors de la requalification, mais c'est pourquoi il est essentiel de vérifier la mobilité des données pendant la qualification initiale.

La prochaine étape de cette série sur les systèmes cloud conformes à la réglementation est détaillée à vous protéger avec des conditions contractuelles ou des accords de niveau de service (SLA). En attendant, n'hésitez pas à télécharger notre guide sur ce sujet – il suffit de remplir le formulaire ci-dessous!