Cloud Computing: Was bedeuten die Abkürzungen IaaS / PaaS / SaaS / XaaS?

Auch in der pharmazeutischen Industrie geht der Trend in Richtung Cloud Computing. Finanzielle aber auch organisatorische Vorteile sprechen für die Cloud. Gleichzeitig sollten aber auch potentielle Gefahren und regulatorische Einschränkungen beachtet werden. Neun Experten aus der Pharmaindustrie und von Überwachungsbehörden beantworten einen umfangreichen Fragenkatalog aus den folgenden GxP-relevanten Themenkreisen:

• Grundlagen der Cloud Computing Technologie
• Regulatorische Grundlagen und Erwartungen von Inspektoren
• Kunden-Lieferanten-Beziehung
• Anforderungen an den Cloud Service Provider (CSP)
• Anforderungen an die Lieferantenbewertung und Lieferantenaudits
• Qualifizierungs-/Validierungsanforderungen

Frage 1: Was bedeuten die Abkürzungen Iaas / PaaS / SaaS / XaaS? - Themenkreis Grundlagen der Cloud Computing Technologie

IaaS, PaaS und SaaS sind Abkürzungen und Abstufungen für die diversen Angebote von Cloud Service Providern (CSP). "aaS" steht dabei immer für "as a Service", also "als Dienst(leistung)". Bei XaaS steht das X stellvertretend entweder für I, P oder S, d. h. Infrastruktur, Plattform oder Software. XaaS wird daher auch als "Anything as a Service" oder "Everything as a Service" bezeichnet und kann spezielle Formen wie "High Performance Computing as a Service (HPCaaS)" oder "Artificial Intelligence as a Service (AIaaS)" annehmen.
Je nach Servicemodell werden also vom CSP unterschiedlich abgestufte Leistungen angeboten, entsprechend verlagern sich die jeweils durchzuführenden Aufgaben (siehe Tabelle 1):

• Bei einem traditionellen Betrieb eines computergestützten Systems oder einer Softwareanwendung ist das regulierte Unternehmen (bzw. dessen IT-Abteilung oder IT-Dienstleister) für Installation und Betrieb sowie für sämtliche Aktivitäten der Computersystemvalidierung (CSV) verantwortlich.
• IaaS: Wenn die Infrastruktur bereits fertig vom CSP zur Verfügung gestellt wird, spricht man von IaaS. Hier beginnen die Aufgaben des regulierten Unternehmens bei der Installation des Betriebssystems.
• PaaS: In der zweiten Stufe übernimmt der CSP neben der Infrastruktur auch die Installation des Betriebssystems. Das regulierte Unternehmen steigt bei der Konfiguration der Laufzeitumgebung ein.
• SaaS: Bei diesem Modell stellt der CSP zusätzlich zu Infrastruktur und Betriebssystem auch die Konfiguration der Laufzeitumgebung und die Softwareanwendung selbst zur Verfügung und betreibt diese.

Je nach gewähltem Modell verlagern sich also die Aktivitäten vom Anwender (reguliertes Unternehmen als Auftraggeber) immer mehr zum Cloud Service Provider (Auftragnehmer). Die Verantwortung für die Validierung und die Funktion der Anwendung selbst und damit zusammenhängende Themen wie Datenintegrität, Datenschutz, Datensicherheit etc. verbleibt jedoch stets beim regulierten Unternehmen.

Die Experten

Frank Behnisch, CSL Behring GmbH, Marburg
Klaus Feuerhelm, ehem. Inspektor beim Regierungspräsidium Tübingen
Oliver Herrmann; Q-FINITY Quality Management, Dillingen
Eberhard Kwiatkowski, PharmAdvantageIT GmbH, Neuschoo
Stefan Münch, Körber Pharma Consulting, Karlsruhe
Yves Samson, Kereon AG, Basel
Dr. Wolfgang Schumacher, ehem. F. Hoffmann-La Roche AG, Basel
Dr. Arno Terhechte, Bezirksregierung Münster
Sieghard Wagner, Chemgineering Germany GmbH, Stuttgart