导言：本文将围绕SaaS验证的要点展开深度解读，帮助药企与计算机化系统供应商快速掌握SaaS软件的验证逻辑。

• 责任边界：软件厂商负责基础设施部署、运维，企业专注业务；
• 数据安全：开放式系统需满足21CFR Part 11的数据加密要求（近日EU新发布的GMP附录11草案也提出了开放系统数据加密要求）；
• 持续合规：依赖供应商的SLA（服务水平协议）保障运行。

SaaS项目常见的供应商及评估考虑如下：

专家提示：

⑴ 企业应优先选择经认证的供应商，常见包括以下：

• ISO27001-信息安全管理体系；
• ISO27017-云服务信息安全管理体系；
• ISO27018-公有云个人信息保护管理体系；
• ISO27701-隐私信息管理体系；
• ISO22301-业务连续性管理体系。

⑵ SOC2审计以评估安全和隐私为导向，尤其是Type II，因包含运行有效性验证，普遍被视为更高阶的合规成就，也是高敏感行业合作的准入门槛。这类审计报告可以在风险评估、系统设计以及测试验证过程引用和说明。

SaaS软件在验证交付后，企业通常只开展业务层面活动，运维工作依赖于供应商。因此SaaA验证需要关注合同与SLA，重点包括：

• 核心条款：明确系统运维、数据保存与备份、灾难恢复、响应时限等具体委托的服务和工作；
• 合规绑定：需要签订书面的服务水平协议(SLA)，确保在供应商的支持下，可达到GMP合规性。

验证和质量项目计划需覆盖多方协作流程，明确厂商、企业、第三方的职责边界，避免责任模糊地带过。

企业应结合SAAS软件特性和项目实际，建立完整的系统设计信息，包括：

• 基础架构、主应用、安全和数据管理等信息（供应商或其前级供应商）；
• 标准项、配置项和二次开发项相关设计信息（供应商或实施方）；
• 企业本地相关设计信息（如PDA、打印机等，企业或实施方）。

专家提示：可以考虑引用权威证据，例如引用供应商的SOC 2审计报告证明系统和数据安全设计有效性。

完整的验证包需要包括：

• SAAS主应用、支持程序及相关基础设施的安装，由厂商开展；
• 本地软件安装、硬件和网络的配置，由企业IT部门开展，或基于合同定义；
• SAAS标准功能和支持功能相关测试，由厂商开展，考虑供应商文件的引用；
• 业务功能端到端测试，由企业开展，或基于合同定义；
• 其它适用的支持文件，如具有一定公信力的审计报告。

结合产品特性，一些供应商会对标准功能进行测试和验证，以高效的方式，为多个企业进行验证支持。这种情况下，企业需要关注对文件的审核，确保测试是充分的，并保留适当的证据。

验证报告应结合验证计划，汇总各参与方验证文件，评估系统整体合规性，并开展系统放行。

企业需要按照SLA持续监控供应商活动，评估供应商的表现，并保留文件化证据，确保在供应商支持下，可以达到合规性。

掌握SaaS验证的4个关键点：

• 责任划分：通过合同/SLA明确厂商与企业的运维边界；
• 设计实现：收集各方面的设计信息，形成完整的设计文件；
• 验证实施：结合项目实施，考虑各关键设计的验证实施策略；
• 持续合规：围绕SLA定义的委托活动，开展持续动态管理。

如果您想了解更多GMP解决方案，可以访问www.gempexchina.com/gmp-knowledge获取。在那里，您将更深入了解gempex德恩咨询的GMP服务。