GxP Compliance on AWS
GxP(良好实验室规范、良好药品临床试验规范和良好生产规范)Compliance on AWS 解决方案可用于建立安全且高度可用的基础设施,满足生命科学组织对经过验证和控制的工作负载的要求。客户将从符合 GxP 的 AWS Cloud 中获得多方面的好处,包括改善用户体验、降低成本、增强安全性和敏捷性。
新增内容
GxP Compliance on AWS 的好处
在考虑大规模迁移到云端时,许多组织都会从广泛的规划和评估开始,这需要投入大量的时间和资源。GxP Compliance on AWS 解决方案利用特定 AWS 应用程序来加快云迁移。这些应用程序可建立维持合规性所需的环境,让客户能够利用符合 GxP 的 AWS Cloud 环境改善用户体验、降低成本、增强安全性与敏捷性。
缩短在 AWS 上预置、配置和测试符合 GxP 的基础设施所需的时间,以保持持续验证状态。自动创建安装认证(IQ/OQ)报告。将受监管的工作负载迁移到 AWS Cloud 时所需的认证时间通常会缩短 30-40%。
沿用专属主机/实例对患者数据和工具的全局安全和合规性控制,对静态或传输中数据进行加密。大规模加密以遵守当地数据隐私法,例如 PCI DSS、SOC、FedRAMP、NIST、ISO、HIPAA 和 HITRUST。
通过集中审计/记录功能,为运行在符合 GxP 的基础设施上的应用程序实现持续监控和提醒。利用自动可追溯性功能,实现实时审计视图和风险管理。
部署 GxP Compliance on AWS 的组织
Idorsia 是一家专门从事小分子药物发现与开发的公司,拥有广泛的药物组合、经验丰富的团队和成果丰硕的研究中心,凭借积极进取的研究工作取得了商业上的辉煌成功。Idorsia 利用 AWS 的自动部署和测试功能执行监管任务,确保符合 GxP
“建立 Idorsia 基础设施时考虑了两个目标:第一是质量和 GxP 监管合规性,第二是未来扩大容量和规模的能力。AWS 技术有助于我们在工作中更智能、更灵活,并充分利用创新。”
Joseph Bejjani,Idorsia 首席信息官
“建立 Idorsia 基础设施时考虑了两个目标:第一是质量和 GxP 监管合规性,第二是未来扩大容量和规模的能力。AWS 技术有助于我们在工作中更智能、更灵活,并充分利用创新。”
Joseph Bejjani,Idorsia 首席信息官
了解与本地数据中心相比,AWS 如何帮助 Moderna 更轻松地验证其 GxP 合规性。“AWS 人员不仅熟知技术,还拥有丰富的监管经验并且真正了解我们的行业,能够与他们合作,价值不可估量。”(Dave Johnson,Moderna Therapeutics 信息学主管)
TraceLink Life Sciences Cloud 帮助生命科学公司及其合作伙伴打击药品假冒和转移行为。该解决方案通过从成分到患者的全面药物可追溯性来保护产品质量并确保遵守全球跟踪和追踪法规(包括 GxP)。TraceLink 选择了 AWS Cloud,利用 AWS GxP 合规性计划来支持其 TraceLink Life Sciences Cloud 解决方案,以确保客户在全球生命科学供应网络中的合规性。
沃特世公司构建、销售并维修专业科学测量仪器和软件,服务受到严格监管的行业中需要使用实验室的企业。通过在 AWS 上部署 Empower Cloud,沃特世能够帮助客户利用云计算的灵活性和成本效益——不仅用于科学研究,还可用于满足 GxP 要求。
Bigfinite(现名 Aizon)提供简单易用的产品,用于分析生物技术和制药行业中的复杂工业过程。其解决方案涵盖了从研发到给患者配药的整个供应链,并可以对制造过程进行更精密的控制。
Core Informatics 为生物制药、基因组学和其他生命科学组织提供实验室信息学解决方案,包括实验室信息管理系统(LIMS)。 Core Informatics 希望构建一个用于部署经过 GxP 验证的客户工作负载的标准化平台,并选择利用 AWS 来大规模满足客户需求。
Bristol Myers Squibb(BMS)评估其 SAP S/4HANA 转型方案时,需要一种方法来简化对 GxP 和其他监管要求的合规过程。本视频介绍 BMS 如何使用 AWS CloudFormation 创建一致、可扩展且可重复的合规流程,从而可以专注于更广泛的 SAP 转型。
特色使用案例
单击此处深入了解架构、最佳实践和部署选项。
-
IQ automation on AWS
尽管符合 GxP 的基础设施的底层构建块可能已通过认证,但应用程序开发团队仍需要验证其应用程序,包括在正常计算机系统验证(CSV)活动中执行安装认证(IQ),以证明基础设施构建块的特定应用程序组合已按预期部署和运行。 IQ Automation on AWS 使用案例可自动执行此验证过程。
单击可查看参考架构、工作流程详细信息和相关资源。
此解决方案有什么作用?
虽然对持续集成/持续交付(CI/CD)和自动化测试工具的使用已经有一段时间,但完全自动化地部署基础设施和执行安装认证(IQ)步骤直到如今才得以实现。以下架构为自动测试提供了参考设计,表明软件和硬件的安装和配置是正确的。
假设 IQ 步骤成功完成,则自动化可以继续实现操作认证(OQ)和性能认证(PQ)的自动化。
单击放大
详细流程如下:
- 触发自动 IQOQ 报告工具:根据应用程序的要求或客户的偏好,IQOQ 报告工具可以通过多种方式触发。要触发 IQOQ 报告工具的创建,客户需要传递 AWS 账户的详细信息,即账户 ID、环境(开发/测试/生产),以及需要符合条件的区域名称。 此外,客户还可以在触发 IQOQ 报告工具时传递应用程序 ID,这是在 AWS 标签中指定的一组 AWS 资源的唯一标识符。这些参数可以通过 API 网关传递,也可以通过在 Amazon Simple Storage Service(Amazon S3)桶中上传 Excel 文件来传递。
然后,IQOQ 报告工具将生成与触发时传递的账户 ID、环境、区域和应用程序 ID 标签相对应的报告。
- IQOQ 报告工具将账户 ID、环境、区域和应用程序 ID 传递给资源收集器 AWS Lambda 函数,该函数会检索与传递的参数对应的 AWS 元数据。Lambda 函数必须为相应的账户 ID、环境和区域启用跨账户角色,才能检索不同 AWS 资源的元数据参数。
如果识别的 AWS 资源是通过 AWS CloudFormation 堆栈预置的,则资源收集器 Lambda 函数还会捕获“偏差”,即当前堆栈配置与用于创建或更新堆栈的模板中指定的配置之间的任何更改。
- 不同 AWS 资源和 CloudFormation Drift 的元数据作为资源收集器 Lambda 函数的原始 JSON 输出存储在 S3 桶中。
- 在 S3 桶中存储上一步中的 JSON 输出会触发报告生成器 Lambda 函数。此 Lambda 函数读取资源收集器 Lambda 函数捕获的 AWS 资源元数据的“实际”值,以及合规团队维护的 Amazon DynamoDB IQOQ 表中的“预期”值。如果资源是通过 CloudFormation 堆栈预置的,则资源收集器 Lambda 函数捕获的“偏差”也可以作为“预期”和“实际”值的来源(“实际”值是当前堆栈配置,“预期”值是最初预置 AWS 资源的堆栈配置)。
- 然后,报告生成器 Lambda 函数创建 IQOQ PDF 报告并将其存储在 S3 桶中。此 IQOQ PDF 报告包含以下内容:
* 生成 IQOQ 报告的应用程序信息
* AWS 资源的构建规范(IQ)
* AWS 资源的构建后规范(OQ)
* IQOQ 表,详细说明 IQ 和 OQ AWS 资源的预期值与实际值匹配/不匹配时的“通过/失败”结果
* 汇总表,详细说明通过/失败的 IQ 和 OQ 结果的数量
- 成功生成 IQOQ 报告会触发 Amazon SNS 通知,该通知会向合规团队发送一封电子邮件,详细说明 IQOQ 报告的位置及其下载方法。
- IQOQ 报告也可以由 AWS Glue 读取,并由 Amazon Athena 查询,以填充实时的 Amazon QuickSight 控制面板。此仪表板汇总了各种资源的安装和操作认证状态。
- 如果 IQOQ 报告工具功能出现任何错误,系统会向云运维团队发送一则 Amazon SNS 通知,详细说明错误和可能的调试步骤。
相关内容
技术博客
自动执行安装认证(IQ)步骤以加快 GxP 合规性
多年来,GxP 合规性一直是生命科学行业的一部分,它对 HCLS 客户需要如何将计算机系统作为其质量管理体系的一部分进行交付产生了深刻影响。一个关键点是需要对计算机系统进行资格认证和验证。 传统上,创建和执行验证计划的过程是手动和劳动密集型的。在这篇文章中,我们提出了一种方法,该方法可以自动执行验证计划的第一个组成部分中的一项步骤:安装认证(IQ)。
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
- 触发自动 IQOQ 报告工具:根据应用程序的要求或客户的偏好,IQOQ 报告工具可以通过多种方式触发。要触发 IQOQ 报告工具的创建,客户需要传递 AWS 账户的详细信息,即账户 ID、环境(开发/测试/生产),以及需要符合条件的区域名称。 此外,客户还可以在触发 IQOQ 报告工具时传递应用程序 ID,这是在 AWS 标签中指定的一组 AWS 资源的唯一标识符。这些参数可以通过 API 网关传递,也可以通过在 Amazon Simple Storage Service(Amazon S3)桶中上传 Excel 文件来传递。
-
使用自动执行框架实现持续的 GxP 合规性
本使用案例涵盖了实现 GxP 合规性的参考架构和履行合规性的自动路径。
单击可查看参考架构、工作流程详细信息和相关资源。
此解决方案有什么作用?
下图描绘了一种架构,您可以使用该架构来构建可自动持续验证 GxP 控件的系统。
单击放大
详细流程如下:
账户预置
- A1 – Infra 团队预置了新的 AWS 功能账户,并附在 AWS 组织单元(OU)中。AWS CodePipeline 触发向预置的功能账户部署一组执行策略,以确保在将应用程序发布给最终用户之前先启动列入允许列表的服务和相关执行策略,从而确保应用程序的合规性。每项执行策略都会创建/转换为 CloudWatch 事件和 Lambda 函数。
- AL1 – DevOps 团队开发、测试和部署应用程序可编程接口(API),这些 API 是从功能账户的个别 Cloud Custodian 强制执行中调用的。
- AL2 – DevOps 团队面向功能账户开发、测试和部署执行策略。
服务支持
- S1 – Infra 团队和/或账户所有者可以通过自助控制面板用户界面(UI),在任何特定的功能账户上启用列入允许列表的服务。
- S2 – 应用程序负载均衡器公开了由服务启动器 API Lambda 函数支持的端点。
- S3 – 服务启动器 API Lambda:在功能账户上启用和禁用 AWS 服务。这还将在目标功能账户中启用/禁用特定于 AWS 服务的执行,并将执行元数据记录在 DynamoDB 数据存储中。
执行定义
- R1 – 检索存储在 DynamoDB 数据存储中的执行定义,并将其显示在由 AWS Amplify 控制面板提供支持的控制面板用户界面上。控制面板提供账户与服务、服务到执行控制映射的分层视图。
合规状态
- E1 – 执行策略 CloudWatch 事件通过定期或基于事件的触发器监控每项服务的执行策略更改。当违反执行策略时,执行 Lambda 会对每项服务采取主动或被动操作(警报),以使其保持合规状态。
- E2 – 来自所有功能账户的执行事件日志将发送到集中式日志桶。
- E3 – 使用 Glue、Athena 和 QuickSight 将执行事件日志转换为有意义的见解。
- E4 – Infra 团队可以近乎实时地监控执行合规控制面板中的合规状态见解。
- EA1/ EA2 – 向账户所有者发送违反策略的通知,其中包含有关所采取的纠正和预防措施的详细信息。
相关内容
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
技术博客
在云中自动满足 GxP 合规性:最佳实践和架构指南
在本博客中,我们演示了生命科学客户如何使用 AWS Cloud 自动执行 GxP 合规流程。我们将为想要自动执行 GxP 合规流程的开发人员、系统管理员和安全专家提供一些最佳实践和架构指南。但是,客户对系统认证和验证负有最终责任,包括安装认证(IQ)、操作认证(OQ)和性能认证(PQ)。客户可以使用这些最佳实践、设计指南和自动化测试来实现认证和验证流程的自动化。
-
在 AWS 上保持监管合规性
本使用案例介绍了一种常见的架构模式,以演示生命科学客户如何在 AWS 上自始至终自动执行 GxP 合规流程。
单击可查看参考架构、工作流程详细信息和相关资源。
此解决方案有什么作用?
下图描绘了一种架构,您可以使用该架构来构建可自动验证 GxP 控件的系统。该系统的核心是 AWS Service Catalog 和 AWS 登录区。生命科学企业可通过 AWS Service Catalog 一站式集中化管理 IT 服务目录。生命科学安全管理员可以控制哪些 AWS 服务和版本可用,限制可用服务的配置,并按开发人员或角色委派访问权限。AWS 登录区是一种解决方案,可帮助客户根据 AWS 最佳实践更快地设置安全的多账户 AWS 环境。它提供了一个基准环境,其中包括多账户架构、身份和访问管理、治理、数据安全、网络设计和集中式记录,这些都是 GxP 解决方案不可分割的组成部分。
单击放大
详细流程如下:
- AWS 登录区允许安全管理员自动设置运行安全和可扩展工作负载的环境。安全管理员使用 AWS CloudFormation 模板定义 AWS Service Catalog 产品(例如 GxP 应用程序)。
- 安全管理员在 AWS Service Catalog 中为开发人员发布模板。开发人员使用此框架根据应用程序要求进一步改进模板。
- 开发人员使用该框架并修改应用程序,以在 Git 源代码控制下进一步增强该框架,并使用 AWS CodeCommit 来全面管理私有代码存储库。
- 开发人员使用 AWS Service Catalog 将修改后的代码从 CodeCommit 部署到 GxP 基础设施中,以 AWS CloudFormation 堆栈的形式发布所需的产品。
- 堆栈根据开发人员指定的已提交到代码存储库的内容,自动预置必要的 AWS 资源。
- AWS Service Catalog 是该架构的中心,因此开发人员无需访问任何底层资源或通过安全管理员即可发布其源代码。
- 使用 AWS Lambda 或 Python 程序自动完成测试/安装认证流程,并在 Amazon S3 桶中自动创建测试摘要/认证报告。
- 所有单独的 CloudTrail 日志、VPC 流日志和 AWS Config 更改都将汇总到一个单独的 AWS 账户中的一个集中式 S3 桶中。
- 安全管理员通过 Amazon CloudWatch 配置、监控和设置有关变更和堆栈运行状况的自动警报。
- 当堆栈发生变化时,系统会通过 AWS Config 记录和跟踪变更事件。不合规事件显示在控制面板中。
- CloudWatch 可以根据您设计的规则启动警报,以指示某件事可能不合规。
- CloudTrail 监控针对 AWS 环境进行的 API 调用。
- 当某些变化可能导致系统不合规时,CloudWatch Events 会通知/提醒管理员。
- 出于任何审计目的,使用 Amazon Athena 查询日志数据并将其转换为人类可读的格式,如 CSV。
- 使用 Amazon QuickSight 可视化 CloudTrail 日志。
相关内容
技术白皮书
AWS 上的 GxP 系统技术白皮书
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
技术博客
在云中自动满足 GxP 合规性:最佳实践和架构指南
在本博客中,我们演示了生命科学客户如何使用 AWS Cloud 自动执行 GxP 合规流程。我们将为想要自动执行 GxP 合规流程的开发人员、系统管理员和安全专家提供一些最佳实践和架构指南。但是,客户对系统认证和验证负有最终责任,包括安装认证(IQ)、操作认证(OQ)和性能认证(PQ)。客户可以使用这些最佳实践、设计指南和自动化测试来实现认证和验证流程的自动化。
资源
请参阅相关的技术指南、网络研讨会、白皮书等等。
本网络研讨会提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 服务的指南。 GxP on AWS 解决方案使客户能够搭载多项 AWS 服务,从而建立维持合规性所需的环境,帮助他们开启云之旅。
本博客探讨了确认将 AWS 服务纳入 GxP 工作负载的第一步,有时业内也称之为“加入白名单”服务。具有 GxP 合规性要求的 AWS 客户可能希望对开发人员使用的 AWS 服务施加访问控制。
本执行摘要简要介绍了 AWS Cloud 安全和安全管理最佳实践,解释了如何将 AWS 质量管理系统用于受 GxP 监管的产品,并详细介绍了如何通过 AWS 监控来跟踪和衡量您的资源和基础设施。
本博客简要介绍了 GxP on AWS 白皮书,概述了 AWS 如何处理与 GxP 相关的合规性和安全性基本信息,并提供了使用 AWS 服务构建 GxP 监管系统的指南。
本白皮书提供了有关 AWS 如何实现 GxP 相关合规性和安全性的信息,并为客户提供了有关在 GxP 环境中使用 AWS 产品的指南。白皮书内容基于 AWS 制药和医疗设备客户以及软件合作伙伴的经验和反馈编写,软件合作伙伴目前正在其经验证的 GxP 体系中使用 AWS 产品。
这些网页简要介绍了 GxP 合规性以及其他 AWS 合规性和安全政策。
合作伙伴解决方案
通过 AWS 合作伙伴网络和 AWS Marketplace 探索最新的医疗保健合作伙伴解决方案。 在合作伙伴网络或 AWS Marketplace 中查看更多解决方案。
ClearDATA Compliance and Security Dashboard 简化了对管理、物理和技术保障措施的遵守。此 Dashboard 直接映射到 HIPAA、FDA 和 GDPR 指南。另外,ClearDATA 可以通过其 ClearDATA Comply 解决方案提供的自动化和报告功能为必须遵守并证明自身医疗合规性和 GxP 流程的组织提供帮助。该解决方案不仅能为解决合规性问题提供支持,还可就质量体系提供相关证据。ClearDATA Comply Automated Safeguards 根据我们记录在案的合规性参考架构监控违规行为,并补救任何记录在案的不合规事件,使配置恢复到有记录的合规状态。
8KMiles(现名 SecureKloud)是一家云原生技术公司,提供一系列用于解决区块链、云、企业安全、决策工程和托管服务相关问题的产品、框架和服务。
Metaphactory 与 Amazon Neptune 在制药和生命科学方面开展合作
metaphacts 是一家总部位于德国的公司,提供用于描述、交换和查询图形数据的产品、解决方案和服务。此外,该公司还提供一个以用户为导向的开放平台,可以对知识图谱进行可视化和交互。metaphacts 团队在企业知识图谱方面拥有同行不能企及的深厚经验与卓越专有技术,可为商业、金融、生命科学和文化遗产等领域的客户提供助力。
HealthVerity Census – 去标识化和身份匹配软件
HealthVerity Census 采用最准确的方式,通过将个人身份信息替换为 HealthVerity ID 来建立唯一且持久的身份。HVID 在云中分配,这样一来,各种不同的数据集就能够在每个 HVID 上实现大规模快速链接和互操作。
JupiterOne 网络资产管理平台
JupiterOne 提供云原生网络资产集合、监控、安全性和治理功能。自动连续收集网络资产基础设施和安全配置数据,以提供始终最新、易于查询的记录系统,构建您的网络资产体系。
PerkinElmer Signals Notebook
PerkinElmer Signals Notebook 是一款多学科电子笔记本,作为分散组织之间的中央通信中心,可高效捕获和共享实验数据。
