Aktuelle Entwicklungen bei der Lieferantenqualifizierung von Cloud Service Providern (CSP)

3. August 2023

Herausforderungen für regulierte Unternehmen

Die Nutzung cloud-basierter Systeme durch regulierte Unternehmen erfordert veränderte Schwerpunkte in der Validierung dieser Systeme. Durch die Bereitstellung sowie den Betrieb von IT-Infrastruktur-Komponenten (Infrastructure-as-a-Service (IaaS)), Plattform-Services (Platform-as-a-Service (PaaS)) und Applikationen (Software-as-a-Service (SaaS)) durch Cloud Service Provider (CSP), erhält die Qualifizierung dieser Lieferanten eine signifikant verstärkte Bedeutung.

Umfangreiche und kritische Tätigkeiten, die bisher durch das regulierte Unternehmen durchgeführt wurden, werden in einem Cloud Service-Modell verantwortlich («Responsible») durch Cloud Service Provider erbracht. Cloud Service Provider folgen ihren eigenen Prozessen und Verfahren für die Entwicklung, die Bereitstellung und den Betrieb der cloud-basierten Services. Das regulierte Unternehmen bleibt aber für ein GxP-konformes System verantwortlich («Accountable»). Durch diese verteilte Verantwortung in der Leistungserbringung («Shared Responsibility») erhält die Qualifizierung von Lieferanten / Cloud Service Providern eine deutlich stärkere Bedeutung. Dies bedeutet ebenfalls, dass kritische IT-Betriebsthemen (z.B. Change Management, Release Management, Systemverfügbarkeit) bereits in der Lieferantenqualifizierung überprüft und bewertet sowie vertraglich in SLAs dokumentiert werden müssen.

Herausforderung bei der Lieferantenqualifizierung

Gleichzeitig stellt die Durchführung von Lieferantenaudits zunehmend eine Herausforderung für regulierte Unternehmen dar. Vor allem große Anbieter von IT-Infrastruktur-Komponenten «Hyperscaler» (IaaS) und Plattform-Services (PaaS), wie MS Azure und AWS, aber auch SaaS-Provider (wie ServiceNow) und zunehmend auch Softwareanbieter, räumen ihren Kunden kein Recht auf Auditierung ein.

Durchführung der Lieferantenqualifizierung

In diesem Fall sind Alternativen zu prüfen, beispielsweise die Prüfung von Ergebnisberichten externer Assessment Reports oder die Bereitstellung von Zertifikaten inklusive der Geltungsbereiche.

Große Cloud Service Provider stellen Assessment Reports, Zertifizierungen und Guidelines zu ihren Services bereit. Diese Assessment Reports und Zertifikate sind keine GxP-Zertifizierungen, umfassen jedoch die Prüfpunkte (Controls), die auch für ein reguliertes Unternehmen wichtig sind.

Besonders geeignet sind der SOC 2 Type II Assessment Report und die ISO 27001 Zertifizierung. In allen Fällen sind ein vollständiger Assessment Report und die Ergebnisse sehr wichtig, da der Umfang einer Prüfung und die jeweils geprüften Kontrollen ggf. variieren können.

Für die Lieferantenqualifizierung anhand von bereitgestellten Assessment Reports und Zertifizierungen hat sich in von uns durchgeführten Lieferantenqualifizierungen eine um die GxP-Anforderungen ergänzte Cloud Control Matrix (CCM) bewährt. Diese GxP CCM basiert auf etablierten Industriestandards, wie der CCM der Cloud Security Alliance (CSA) und dem C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ,und wurde von uns durch GxP-relevante Controls ergänzt. Die GxP CCM umfasst 25 Kontrollbereiche (Control Domains) vom QMS des Lieferanten, Supplier Management über das Information Security Management, den System Development Life Cycle (SDLC) bis zum Decommissioning. Jeder Kontrollbereich (Control Domain) wird durch eine Reihe von Kontrollen (Controls) operationalisiert. Die Kontrollen beschreiben detailliert die erwarteten Kontrollaktivitäten des Lieferanten, um das Kontrollziel zu erreichen.

Alle in der GxP CCM enthaltenen Kontrollen werden anhand der entsprechenden Kontrollen in den Assessment Reports, Zertifizierungen und Guidelines des Lieferanten überprüft. Für jede überprüfte Kontrolle wird bewertet, ob die verfügbaren Dokumente/Nachweise die Kontrollanforderungen erfüllen (bestanden oder nicht bestanden). Abweichungen werden im Auditbericht bewertet.

Wir haben anhand der oben beschriebenen Vorgehensweise die Lieferantenqualifizierung bereits für verschiedene Hyperscaler/IaaS-, PaaS- und SaaS-Provider durchgeführt.

Sprechen Sie uns gerne an.

Ein Blogbeitrag von Thomas Pauly, Practice Manager, IT Compliance

Kostenfreie Websession

Unsere Websessions sind ein kostenloser Service für Kunden und Interessenten der DHC.