SaaS 应用程序需要哪些验证文件？谁提供哪些文件？

基于云的 GxP 应用程序 （SaaS） 提供商经常在其广告承诺中声明，制药公司可以完全消除昂贵且耗时的验证活动。这种说法只是部分正确，因为受监管的公司需要一系列验证活动，服务提供商无法接管或必须由双方执行。原则上，有三种验证选项。

场景 1：完全信任提供商

只要云提供商与客户建立了良好的信任关系，定期接受审计，没有重大投诉/观察，并允许深入了解所有活动，制药公司就可以将自己限制在用户验收测试 （UAT） 中测试关键功能。先决条件是仔细执行功能风险分析，以确定应用程序的关键功能。

场景 2：对提供商

的部分信任 在许多情况下，客户与云服务提供商之间只有短暂的合同关系，审计可能已经发现了重大但非关键的问题/投诉，并且并非所有流程都向客户披露。在这里，客户应该对每个版本进行完整的用户验收测试。

情景 3： “安全”

这种昂贵的选择在保守的制药行业非常普遍，因为人们不想在监管检查的情况下承担任何风险。制药公司对每个版本都进行完整的验证，包括需要大量资源的大量文档。

下表概述了客户或服务提供商应提供的验证文件。

在与服务提供商签订合同协议之前，制药公司必须在审计中对供应商进行资格认证。在正式检查的情况下，可能必须向研究者提交相应的审计报告。执行通常的验证第一步（系统风险评估、电子记录评估和验证总体计划）并制定需求规范。服务提供商为其应用程序创建验证计划、功能规范和设计规范。功能风险分析是客户的任务，但服务提供商可能会非常积极地支持，因为他对其应用程序的功能有最好的洞察力。

服务提供商定期进行通常的 IQ/OQ 测试活动，并在定期审计期间由客户随机检查。在这种情况下，还必须详细评估 IT 基础设施资格和安全设置以及证书（ISO27001、SOC 等）。通常，IT 基础设施外包给第三方公司（例如 Amazon、Microsoft），这些公司充当第三方分包商。

用户验收测试 （UAT） 由双方合作伙伴根据服务提供商开发的测试用例、客户和服务提供商的 UAT 报告进行，其中制药公司的报告对于评估验证成功具有决定性意义。

使用自动化测试工具执行测试是有利的，因为每个版本都会有一个新的。