GxP Compliance on AWS 的好处
在考虑大规模迁移到云端时,许多组织都会从广泛的规划和评估开始,这需要投入大量的时间和资源。GxP Compliance on AWS 解决方案利用特定 AWS 应用程序来加快云迁移。这些应用程序可建立维持合规性所需的环境,让客户能够利用符合 GxP 的 AWS Cloud 环境改善用户体验、降低成本、增强安全性与敏捷性。
缩短在 AWS 上预置、配置和测试符合 GxP 合规性的基础设施所需的时间,以保持持续验证的状态。自动创建安装认证(IQ/OQ)报告。将受监管的工作负载迁移到 AWS 云的认证时间通常会缩短 30-40%。
通过专用的患者数据主机/实例以及用于加密静态或动态数据的工具,继承全球安全性和合规性控制。大规模加密以遵守当地数据隐私法,例如PCI DSS、SOC、FedRAMP、NIST、ISO、HIPAA和HITRUST。
通过集中审核/记录功能,对在符合 GxP 的基础架构上运行的应用程序实现持续监控和警报。利用自动可追溯性以及实时审计视图和风险管理。
部署 GxP Compliance on AWS 的组织
精选客户案例
Idorsia
Idorsia 是一家专门从事小分子药物发现与开发的公司,拥有广泛的药物组合、经验丰富的团队和成果丰硕的研究中心,凭借积极进取的研究工作取得了商业上的辉煌成功。Idorsia 利用 AWS 的自动部署和测试功能执行监管任务,确保符合 GxP
“建立 Idorsia 基础设施时考虑了两个目标:第一是质量和 GxP 监管合规性,第二是未来扩大容量和规模的能力。AWS 技术有助于我们在工作中更智能、更灵活,并充分利用创新。”
约瑟夫·贝贾尼,爱多西亚首席信息官
案例研究
Moderna
了解与本地数据中心相比,AWS 如何帮助 Moderna 更轻松地验证其 GxP 合规性。“AWS 人员不仅熟知技术,还拥有丰富的监管经验并且真正了解我们的行业,能够与他们合作,价值不可估量。”(Dave Johnson,Moderna Therapeutics 信息学主管) 探索故事
TraceLink Life Sciences Cloud
TraceLink Life Sciences Cloud 帮助生命科学公司及其合作伙伴打击药品假冒和转移行为。该解决方案通过从成分到患者的全面药物可追溯性来保护产品质量并确保遵守全球跟踪和追踪法规(包括GXP)。TraceLink选择了AWS云来支持其使用AWS GxP合规计划来支持其TraceLink生命科学云解决方案,以帮助确保其客户在整个全球生命科学供应网络中的合规性。 探索故事
沃特世公司
Waters Corporation 为在严格监管行业中运营的实验室依赖组织制造、销售和服务专业科学测量仪器和软件。通过在 AWS 上部署 Empower Cloud,沃特世能够帮助客户利用云计算的灵活性和成本效益——不仅用于科学研究,还可用于满足 GxP 要求。 探索故事
Core Informatics
Core Informatics 为生物制药、基因组学和其他生命科学组织提供实验室信息学解决方案,包括实验室信息管理系统 (LIMS)。Core Informatics 希望构建一个用于部署经过 GxP 验证的客户工作负载的标准化平台,并选择利用 AWS 来大规模满足客户需求。 探索故事
Bristol Myers Squibb
Bristol Myers Squibb(BMS)评估其 SAP S/4HANA 转型方案时,需要一种方法来简化对 GxP 和其他监管要求的合规过程。本视频介绍 BMS 如何使用 AWS CloudFormation 创建一致、可扩展且可重复的合规流程,从而可以专注于更广泛的 SAP 转型。 立即观看 »
特色使用案例
单击此处深入了解架构、最佳实践和部署选项。
此解决方案有什么作用?
虽然持续集成/持续交付 (CI/CD) 和自动化测试工具的使用已有一段时间了,但现在可以全自动部署基础架构和执行安装认证 (IQ) 步骤。以下架构为自动测试提供了参考设计,表明软件和硬件的安装和配置是正确的。
假设 IQ 步骤成功完成,则自动化可以继续实现操作认证(OQ)和性能认证(PQ)的自动化。
详细流程如下:
-
触发自动 IQOQ 报告工具:根据应用程序的要求或客户的偏好,IQOQ 报告工具可以通过多种方式触发。要触发 IQOQ 报告工具的创建,客户需要传递 AWS 账户的详细信息,即账户 ID、环境(开发/测试/生产),以及需要符合条件的区域名称。 此外,客户还可以在触发 IQOQ 报告工具时传递应用程序 ID,这是在 AWS 标签中指定的一组 AWS 资源的唯一标识符。这些参数可以通过API网关传递,也可以通过在亚马逊简单存储服务 (Amazon S3) 存储桶中上传Excel文件来传递。
然后,IQOQ 报告工具将生成与触发时传递的账户 ID、环境、区域和应用程序 ID 标签相对应的报告。
-
IQOQ 报告工具将账户 ID、环境、区域和应用程序 ID 传递给资源收集器 AWS Lambda 函数,该函数检索与传递的参数对应的 AWS 元数据。Lambda 函数必须为相应的账户 ID、环境和区域启用跨账户角色,才能检索不同 AWS 资源的元数据参数。
如果识别的 AWS 资源是通过 AWS CloudFormation 堆栈配置的,则资源收集器 Lambda 函数还会捕获 “偏差”,即当前堆栈配置对用于创建或更新堆栈的模板中指定的任何更改。
-
不同 AWS 资源和 CloudFormation Drift 的元数据作为资源收集器 Lambda 函数的原始 JSON 输出存储在 S3 桶中。
-
在 S3 桶中存储上一步中的 JSON 输出会触发报告生成器 Lambda 函数。此 lambda 函数读取资源收集器 Lambda 函数捕获的 AWS 资源元数据的 “实际” 值,以及合规团队维护的 A mazon DynamoDB IQOQ 表中的 “预期” 值。如果资源是通过 CloudFormation 堆栈预置的,则资源收集器 Lambda 函数捕获的“偏差”也可以作为“预期”和“实际”值的来源(“实际”值是当前堆栈配置,“预期”值是最初预置 AWS 资源的堆栈配置)。
-
然后,报告生成器 Lambda 函数创建 IQOQ PDF 报告并将其存储在 S3 存储桶中。此 IQOQ PDF 报告包含以下内容:
* 生成 IQOQ 报告的应用程序信息
* AWS 资源的构建规范(IQ)
* AWS 资源的构建后规范(OQ)
* IQOQ 表,详细说明 IQ 和 OQ AWS 资源的预期值与实际值匹配/不匹配时的“通过/失败”结果
* 汇总表,详细说明通过/失败的 IQ 和 OQ 结果的数量
-
成功生成 IQOQ 报告会触发 Amazon SNS 通知,该通知会向合规团队发送一封电子邮件,详细说明 IQOQ 报告的位置以及如何下载该报告的说明。
-
IQOQ报告也可以由 AWS Gl ue读取,并由亚马逊雅典娜查询,以填充实时的亚马逊 QuickSight控制面板。 此仪表板汇总了各种资源的安装和操作认证状态。
-
如果 IQOQ 报告工具功能出现任何错误,将向云运营团队发送一份 Amazon SNS 通知,详细说明错误和可能的调试步骤。
了解更多
了解有关 GxP 合规性的更多信息。
相关内容
技术博客
自动执行安装认证(IQ)步骤以加快 GxP 合规性
多年来,GxP 合规性一直是生命科学行业的一部分,它对 HCLS 客户需要如何将计算机系统作为其质量管理体系的一部分进行交付产生了深刻影响。一个关键点是需要对计算机系统进行资格认证和验证。 传统上,创建和执行验证计划的过程是手动和劳动密集型的。在这篇文章中,我们提出了一种方法,该方法可以自动执行验证计划的第一个组成部分中的一项步骤:安装认证(IQ)。
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
此解决方案有什么作用?
下图描绘了一种架构,您可以使用该架构来构建可自动持续验证 GxP 控件的系统。
详细流程如下:
账户预置
-
A1 — Infra 团队预置了新的 AWS 功能账户,并附在 AWS 组织单位 (OU) 中。AWS CodePipeline 触发向预置的功能账户部署一组执行策略,以确保在将应用程序发布给最终用户之前先启动列入允许列表的服务和相关执行策略,从而确保应用程序的合规性。每项执行策略都会创建/转换为 CloudWatch 事件和 Lambda 函数。
-
AL1 -DevOps 团队开发、测试和部署应用程序可编程接口 (API),这些接口由职能账户的个别云托管机构强制调用。
-
AL2 — DevOps团队制定、测试和部署执行策略到职能账户。
服务支持
-
S1 — Infra 团队和/或账户所有者可以通过自助控制平台用户界面 (UI) 在任何特定的功能账户上启用允许清单的服务。
-
S2 -应用程序负载均衡器公开了由服务启动器 API Lambda 函数支持的终端节点。
-
S3 -服务启用器 API Lambda-在功能账户上启用和禁用 AWS 服务。这还将在目标功能账户中启用/禁用特定于 AWS 服务的执行,并将执行元数据记录在 DynamoDB 数据存储中。
执法的定义
-
R1 -检索存储在 DynamoDB 数据存储库中的执法定义,并将其显示在由 AWS Amplify 控制面板提供支持的控制平面用户界面上。控制面板提供账户与服务、服务到执行控制映射的分层视图。
合规状态
-
E1 -强制策略 CloudWatch Event 通过定期或基于事件的触发器监控每项服务的执行策略更改。当违反执法政策时,执法 lambda 会对每项服务采取主动或被动行动(警报),以保持其合规状态。
-
E2 -来自所有功能账户的执法事件日志将发送到集中式日志存储桶。
-
E3- 使用 Glue、Athena 和 QuickSight 将执法事件日志转换为有意义的见解。
-
E4 — Infra团队可以近乎实时地监控执法合规仪表板中的合规状况见解。
-
EA1/ EA2 — 向账户所有者发送违反政策的通知,其中包含有关所采取的纠正和预防措施的详细信息。
了解更多
了解有关 GxP 合规性的更多信息。
相关内容
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
技术博客
在云中自动满足 GxP 合规性:最佳实践和架构指南
在本博客中,我们演示了生命科学客户如何使用 AWS Cloud 自动执行 GxP 合规流程。我们将为想要自动执行 GxP 合规流程的开发人员、系统管理员和安全专家提供一些最佳实践和架构指南。但是,客户对系统认证和验证负有最终责任,包括安装认证(IQ)、操作认证(OQ)和性能认证(PQ)。客户可以使用这些最佳实践、设计指南和自动化测试来实现认证和验证流程的自动化。
此解决方案有什么作用?
下图描绘了一种架构,您可以使用该架构来构建可自动验证 GxP 控件的系统。该系统的核心是 AWS 服务目录和 AWS 着陆区。生命科学企业可通过 AWS Service Catalog 一站式集中化管理 IT 服务目录。生命科学安全管理员可以控制哪些 AWS 服务和版本可用,限制可用服务的配置,并按开发人员或角色委派访问权限。AWS 登录区是一种解决方案,可帮助客户根据 AWS 最佳实践更快地设置安全的多账户 AWS 环境。它提供了一个基准环境,其中包括多账户架构、身份和访问管理、治理、数据安全、网络设计和集中式记录,这些都是 GxP 解决方案不可分割的组成部分。
AWS Service Catalog
详细流程如下:
-
AWS Landing Zone 允许安全管理员自动设置运行安全和可扩展工作负载的环境。安全管理员使用 AWS CloudFormation 模板定义 AWS 服务目录产品(例如 GxP 应用程序)。
-
安全管理员在 AWS 服务目录中为开发人员发布模板。开发人员使用此框架根据应用程序要求进一步改进模板。
-
开发人员使用该框架并修改应用程序,以在 Git 源代码控制下进一步增强该框架,并使用 AWS CodeCommit 来全面管理私有代码存储库。
-
开发人员使用 AWS服务目录将修改后的代码从 CodeComm it部署到他们的GxP基础设施中,以AWS CloudFormation堆栈的形式启动他们所需的产品。
-
堆栈根据开发人员指定的已提交到代码存储库的内容,自动预置必要的 AWS 资源。
-
AWS Service Catalog 是该架构的中心,因此开发人员无需访问任何底层资源或通过安全管理员即可发布其源代码。
-
使用 AWS Lambda 或 Python 程序自动完成测试/安装资格认证流程,并在 Amazon S3 存储桶中自动创建测试摘要/资格认证报告。
-
所有单独的 CloudTrail 日志、VPC 流日志和 AWS 配置更改都将汇总到一个单独的 AWS 账户中的一个集中式 S 3 存储桶中。
-
安全管理员通过 Amazon CloudWatch 配置、监控和设置有关变更和堆栈运行状况的自动警报。
-
当堆栈发生变化时,系统会通过 AWS Config 记录和跟踪变更事件。不合规事件显示在控制面板中。
-
为了表明某件事可能不合规,CloudWatch 可以根据您设计的规则启动警报。
-
CloudTrail 监控针对 AWS 环境进行的 API 调用。
-
当某些变化可能导致系统不合规时,CloudWatch Event s 会通知/提醒管理员。
-
出于任何审计目的,使用 Amazon Athena 查询日志数据并将其转换为人类可读的格式,如 CSV。
-
使用 Amazon Quick S ight 可视化 Cloud
了解更多
了解有关 GxP 合规性的更多信息。
相关内容
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
技术博客
在云中自动满足 GxP 合规性:最佳实践和架构指南
在本博客中,我们演示了生命科学客户如何使用 AWS Cloud 自动执行 GxP 合规流程。我们将为想要自动执行 GxP 合规流程的开发人员、系统管理员和安全专家提供一些最佳实践和架构指南。但是,客户对系统认证和验证负有最终责任,包括安装认证(IQ)、操作认证(OQ)和性能认证(PQ)。客户可以使用这些最佳实践、设计指南和自动化测试来实现认证和验证流程的自动化。
资源
合作伙伴解决方案
通过 AWS 合作伙伴网络和 AWS Marketplace 探索最新的医疗保健合作伙伴解决方案。在合作伙伴网络或 AWS Marketplace 中查看更多解决方案。
ClearDATA
ClearDATA Compliance and Security Dashboard 简化了对管理、物理和技术保障措施的遵守。此 Dashboard 直接映射到 HIPAA、FDA 和 GDPR 指南。另外,ClearDATA 可以通过其 ClearDATA Comply 解决方案提供的自动化和报告功能为必须遵守并证明自身医疗合规性和 GxP 流程的组织提供帮助。该解决方案不仅能为解决合规性问题提供支持,还可就质量体系提供相关证据。ClearDATA Comply Automated Safeguards 根据我们记录在案的合规性参考架构监控违规行为,并补救任何记录在案的不合规事件,使配置恢复到有记录的合规状态。 了解更多
Metaphacts
metaphacts 是一家总部位于德国的公司,提供用于描述、交换和查询图形数据的产品、解决方案和服务。此外,该公司还提供一个以用户为导向的开放平台,可以对知识图谱进行可视化和交互。metaphacts 团队在企业知识图谱方面拥有同行不能企及的深厚经验与卓越专有技术,可为商业、金融、生命科学和文化遗产等领域的客户提供助力。 了解更多
HealthVerity
HealthVerity Census 采用最准确的方式,通过将个人身份信息替换为 HealthVerity ID 来建立唯一且持久的身份。HVID 在云中分配,这样一来,各种不同的数据集就能够在每个 HVID 上实现大规模快速链接和互操作。 了解更多
JupiterOne
JupiterOne 提供云原生网络资产集合、监控、安全性和治理功能。自动连续收集网络资产基础设施和安全配置数据,以提供始终最新、易于查询的记录系统,构建您的网络资产体系。 了解更多
开始使用
生命科学行业的众多领先公司已经在使用 AWS。联系我们的专家,立即踏上您的 AWS 云之旅。