Suscripción a la Revista
MediaKit
Contactar

Infraestructura cloud: requisitos regulatorios indispensables en Iaas y Paas

  • Artículos > Industria 4.0
  • 09-10-2020
  • Francesc Garrido

Las empresas del sector de la salud están adoptando soluciones en cloud como parte de su proceso de transformación tecnológica. Los requisitos que se derivan de las diferentes normativas sanitarias (recogidas bajo las siglas GxP) establecen un marco regulatorio que requiere una especial atención en el momento de migrar hacia estas tecnologías. Desde la necesidad de que algunos datos residan físicamente en servidores de la Unión Europea, hasta la garantía de disponer de una infraestruc

Las empresas del sector de la salud están adoptando soluciones en cloud como parte de su proceso de transformación tecnológica. Los requisitos que se derivan de las diferentes normativas sanitarias (recogidas bajo las siglas GxP) establecen un marco regulatorio que requiere una especial atención en el momento de migrar hacia estas tecnologías.

Desde la necesidad de que algunos datos residan físicamente en servidores de la Unión Europea, hasta la garantía de disponer de una infraestructura cualificada y controlada. En consecuencia, cualquier acción sobre el cloud debe estar adecuadamente evaluada y documentada, lo que en muchos casos supone una barrera para la migración de los sistemas actuales a un entorno cloud.

Lo que sí es cierto es que la industria de la salud se encuentra en una situación de impasse, y solo algunas de las grandes corporaciones farmacéuticas están introduciendo en su estrategia empresarial la digitalización avanzada de procesos de fabricación, dando valor al dato como activo fundamental que les permita tomar decisiones que se alineen con sus objetivos y metas de la organización. Mientras tanto, muchas startups de producto sanitario están naciendo directamente en entornos cloud, siendo su centro de actividad.

La importancia de los datos

Hemos pasado de la industria que se centra únicamente en garantizar que cada lote de producto que sale al mercado cumpla sus especificaciones, a una industria moderna que necesita realizar un análisis continuado de los datos obtenidos de los procesos, con el fin de obtener información de valor.

La necesidad de garantizar la integridad del dato es un elemento clave para poder transformarlo en información de valor para la organización. Es algo que se antoja obvio, cierto, pero son muchos los ejemplos que a través de las Warning Letters de la FDA ponen en tela de juicio esta obviedad. Tras el análisis de las distintas Warning Letters de 2019, cerca del 70% de las desviaciones detectadas tienen relación directa con el incumplimiento de Data Integrity.

También se está observando, a raíz de la crisis sanitaria derivada de la COVID-19, la necesidad de compartir datos entre centros de investigación, empresas, centros sanitarios… pero siempre protegiendo los datos de pacientes, datos sensibles que pueden suponer un riesgo de fuga de conocimiento, patentes, etc. En este campo, las nuevas tecnologías están ofreciendo un pilar básico para agilizar y garantizar todos estos requerimientos.

Cloud Computing, el futuro del dato

Ante esta demanda continua y creciente de capacidad de generación, almacenamiento y procesado de datos, el modelo tradicional basado en disponer de sistemas informáticos en las instalaciones del fabricante farmacéutico o de producto sanitario, está siendo superado por las nuevas apuestas hacia el Cloud Computing. Se está observando que los costes de mantenimiento, ritmos de actualizaciones de la infraestructura y de los sistemas, los requisitos de seguridad crecientes… hacen que cada vez sea más oneroso disponer de una infraestructura propia.

Se vislumbra que los sistemas basados en entornos cloud cada vez ganarán más terreno en nuestro día a día, siendo ya una realidad para la gran mayoría de las organizaciones. Según previsiones de Telefónica, el 61% de las empresas tienen previsto migrar al cloud en 2020, pero las dudas para adaptarlo a entorno regulados afloran.

Sin embargo, el miedo al cambio pasa por dar respuesta a preguntas habituales: ¿de quién es la responsabilidad de mantener el dato?, ¿cómo se controlan los cambios?, ¿cómo garantiza la continuidad del negocio?, ¿cómo evitar ciberataques?

Hacia modelos IaaS y PaaS

Para muchas personas, hablar de Cloud Computing automáticamente lleva implícito el concepto de SaaS (Software as a Service) y, de hecho, hay muchos proveedores tecnológicos que ya están ofreciendo sus soluciones en este ámbito, pero cabe recordar que hay tres modelos básicos en el mundo del Cloud Computing. Según la guía de la GAMP ‘Good Practice Guide: IT Infrastructure Control and Compliance’, estos son los que se recogen en la figura 1.

El modelo SaaS es el utilizado por muchas empresas de software que ya ofrecen productos bajo el concepto de pago por uso. Sin embargo, debajo del modelo SaaS se encuentra la infraestructura (modelo IaaS o PaaS). Asimismo, muchos departamentos de TIC están externalizando su propia infraestructura al cloud. Para dar respuesta a las preguntas anteriores, este artículo se centra en la visión regulatoria a considerar en los entornos IaaS y PaaS.

IaaS y PaaS: cómo adaptar a entornos regulados GxP

Desde la óptica de negocio y regulatoria, son muchos los aspectos que se solicitan a un entorno IaaS o PaaS (listados a continuación) y que, en gran medida, van a condicionar la solución que adopte la organización, dado que todos ellos deberían ser considerados. La celebración de un contrato cliente-proveedor detallado y conciso es necesaria para saber qué tareas recaen sobre cada uno de ellos, teniendo en cuenta que la responsabilidad final sobre la integridad de los datos siempre es del cliente.

A nivel regulatorio, se pueden identificar siete grandes bloques de requisitos:

  1. Sistema de calidad del proveedor de los servicios cloud. Es el punto de partida. Conocer si dispone de sistema de calidad, certificaciones ISO o equivalentes, la existencia de un departamento de calidad… deben ser elementos fundamentales a tener en cuenta en el momento de contratar el servicio. Cuanto más madura sea la organización del proveedor y más robusto sea su sistema de calidad, más seguridad de que el servicio contratado aborde con detalle todas las actividades necesarias y sus responsables. Asimismo, la posibilidad de poder auditar al proveedor siempre va a aportar un mejor conocimiento de las condiciones físicas del hospedaje de la infraestructura y de la gestión del servicio. La disponibilidad de un sistema de calidad que contemple aspectos GxP o que se base en los principios de la ICH Q10, siempre va a ser un punto para valorar de forma positiva.
  2. Integridad y protección de los datos. Los datos que se van a almacenar en el entorno IaaS o PaaS siempre van a ser de propiedad del cliente (aspecto que debe quedar recogido en el contrato). Habrá datos GxP relevantes y otros que no lo serán, pero en ambos casos, el cloud tiene que ofrecer garantías en cuanto a la disponibilidad del dato durante el periodo requerido (retention period), asegurando a su vez que este sea inalterable e inviolable. Para este fin hay que solicitar al proveedor:
    • Política de backup y recuperación de los datos, con el testeo periódico de los mecanismos de recuperación.
    • Controles de seguridad de acceso a los datos almacenados y copiados.
    • Garantías de que los datos de los diferentes clientes están claramente separados y aislados del resto.
    • Cumplimiento de controles de protección de datos de normativas aplicables (GDPR, HIPPA).
    • Habrá que considerar, si aplica, la observación que se hace desde la EMA respecto a los datos de farmacovigilancia o de serialización, que requiere que se encuentren en servidores ubicados en la Unión Europea.
  3. Cualificación y validación. El proveedor de servicios cloud tipo IaaS debe garantizar que la infraestructura está adecuadamente cualificada. Para ellos es recomendable disponer de una CMDB (Configuration Management Database) bien definida, los protocolos y test de cualificación, así como su aplicación continuada frente a los cambios que se realizan a la infraestructura. Esta documentación debe estar disponible para ser consultada por el cliente, ya sea por auditoría o bien mediante entrega de la documentación al cliente o informes periódicos.

Es un requisito del Anexo 11 de las EU GMP: “la infraestructura debe estar cualificada”. Pero el nivel de interpretación de este requisito es muy amplio; desde quien interpreta de forma muy básica que se trata de realizar la cualificación de la instalación (IQ), a las organizaciones que están aplicando la visión más moderna y completa que nos ofrece la guía GAMP ‘Good Practice Guide IT Infrastructure Control and Compliance’: “demostrar la capacidad de componentes como servidores, clientes y periféricos para cumplir con los requisitos especificados para las diversas plataformas, independientemente de si son específicas o de carácter genérico”. Cabe pensar que en un entorno cambiante como es el cloud, la IQ tradicional queda obsoleta de forma inmediata y tenemos que pensar en modelos más dinámicos, basados en la definición de la CMDB con controles documentales adecuados.

En cuanto a la validación, se debe centrar en elementos que ofrecen los entornos PaaS como servicios adicionales: gestión de la seguridad (como el directorio activo), las herramientas de backup, la CMDB o ticketing utilizadas.

  1. Gestión del cambio y de la configuración. Una de las virtudes de los entornos cloud es la rápida capacidad de adaptación a las necesidades del cliente y la incorporación de mejoras técnicas, lo que implica cambios continuos en las diferentes capas de los modelos IaaS y PaaS. Estos cambios deben ser gestionados por el proveedor con un control exhaustivo de las acciones, del impacto que tiene sobre el servicio contratado por el cliente y su nivel de intervención. En este sentido, deben existir unos mecanismos claros de comunicación de los cambios desde el proveedor del servicio al cliente, a la vez que incluir unos criterios bien definidos de cuándo es necesaria la participación del cliente en el cambio (de qué modo, qué pruebas realizará, quién las documentará, etc.). De nuevo, la documentación generada en este capítulo deberá estar disponible para consulta del cliente en caso de necesidad. A nivel de la configuración, la disponibilidad de una CMDB bien definida y mantenida es fundamental para garantizar el control de los diferentes elementos de la plataforma (gestión de los cambios, de la configuración, análisis de los impactos…).
  2. Seguridad. Un elemento clave de los servicios cloud es garantizar la seguridad de acceso a la infraestructura, de los datos almacenados, de las comunicaciones… Para ello, es necesario disponer de información muy detallada de cómo se realiza la gestión de los usuarios del cloud, control de acceso, política de contraseñas, encriptación… Se hará hincapié en la gestión del personal del proveedor para minimizar vulnerabilidades, manipulación y robo de datos… La seguridad física del CPD (Central de Proceso de Datos) debe estar adecuadamente controlada y monitorizada. El proveedor debe demostrar que los controles implantados son efectivos y funcionan correctamente, ya sea mediante auditorías periódicas o informes de los controles aplicados.
  3. Gestión de incidentes. La correcta gestión de las incidencias es otro elemento clave para garantizar el control del sistema. En este apartado, las incidencias que se producen en el día a día son de muchos tipos, por lo que es necesario que el proveedor disponga de un sistema eficaz de registro, clasificación, evaluación y resolución de las incidencias. Asimismo, la documentación de las resoluciones vuelve a ser clave en este apartado. Los mecanismos de notificación de los incidentes a los clientes deben estar bien definidos, así como el nivel de intervención en la decisión de las acciones a tomar y las verificaciones de las resoluciones por parte del cliente.
  4. Plan de continuidad. Finalmente, puesto que se delegan tareas clave a la empresa del cloud, es necesario que el proveedor tenga bien definido el plan de continuidad y verifique periódicamente su correcta aplicación, que el proveedor disponga de la capacidad técnica y de personal suficiente para ejecutar el plan en caso de necesidad... Este punto es básico para que el cliente identifique los riesgos que puede llegar a asumir con la contratación del servicio.

La figura 2 muestra de forma esquemática los aspectos regulatorios que hay que tomar en consideración en la contratación del servicio IaaS o PaaS.

Cumplimiento de las expectativas en cloud público o privado

En este punto se plantea la siguiente cuestión: ¿qué tipo de cloud ofrece un mejor cumplimiento regulatorio, el privado, el público o el híbrido?

No existe una respuesta única y concisa, ya que va a depender de la criticidad de nuestro sistema y de las características del proveedor:

  • del nivel de servicio ofrecido
  • de la experiencia en el sector de la salud (farmacéutico o producto sanitario)
  • del conocimiento de los conceptos regulatorios
  • de su madurez en la organización del sistema de calidad y la gobernanza del servicio

La mejor manera de conocer la realidad y el nivel de cumplimiento ciertamente es a través de una relación muy directa con el proveedor, entendiendo muy bien cómo trabaja. Y no cabe decir que la herramienta más efectiva y directa va a ser la realización de auditorías periódicas al proveedor. Y en este punto ya se encuentra una gran diferencia: los grandes clouds públicos (AWS, Azure, Google Cloud), difícilmente van a ser auditables. Por el contrario, los clouds privados casi siempre van a estar dispuestos a abrir sus puertas frente auditorías de cliente.

En esta sección se hace una propuesta general de cómo los clouds públicos y privados afrontan la realidad de los requisitos del sector de la salud:

  • Por un lado los clouds públicos, que ofrecen altas garantías de seguridad y continuidad, pero siempre bajo sus premisas y poco abiertos a la intervención de los clientes.
  • Por otro los clouds privados generalistas. Se trata de compañías especializadas en ofrecer servicios de IaaS y PaaS a cualquier tipo de empresa con distintos requisitos. Aquí el nivel de cumplimiento va a depender mucho del interés que dicha compañía muestre por el sector salud.
  • Y finalmente, el cloud privado creado expresamente para el sector salud. En su ADN radica el interés específico en cumplir los requisitos farmacéuticos/producto sanitario.
  • No se incluye en la comparativa el concepto de cloud híbrido, puesto que el nivel de cumplimiento va a depender totalmente de cómo el cliente establezca los requisitos y se celebren los acuerdos entre las diferentes compañías.

A modo de resumen, fruto de revisión de diferentes tipos de cloud del mercado utilizados en el sector farmacéutico, la figura 3 presenta una comparativa del nivel de cumplimiento de los requisitos GxP de cada uno de ellos.

Conclusiones

El movimiento de la industria de la salud a entornos de cloud computing es una realidad que ha venido para quedarse. El reto de demostrar el cumplimiento regulatorio por parte del cliente farmacéutico o producto sanitario pasa por un correcto diseño de la solución cloud a la que se migra, estableciendo requisitos que se deberán cumplir de forma contractual.

La diversidad de arquitecturas que se encuentran en los servicios IaaS y PaaS (cloud público, privado), obliga al cliente del sector salud a analizar con detalle cómo el proveedor cumple con los requisitos y obtener evidencias. La colaboración del proveedor del cloud es fundamental. Este nivel de colaboración encaja mejor en proveedores de cloud privados, que ofrecen servicios más ajustados a las necesidades del cliente. Esto permitirá distribuir tareas entre cliente-proveedor (en base a un contrato de servicios) y una comunicación más directa y eficaz entre ambos. El diseño de cloud privado específico del sector farmacéutico abre las puertas a cubrir el reto con las máximas garantías.

Artículo escrito por:
 Francesc Garrido Socio director ,AMBIT-BST/CSVExperts