Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery And Comissioning
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
        • MP.IF Protección de las instalaciones e infraestructuras
        • MP.PER Gestión del personal
        • MP.EQ Protección de los equipos
        • MP.COM Protección de las comunicaciones
        • MP.SI Protección de los soportes de información
        • MP.SW Protección de las aplicaciones informáticas
        • MP.INFO Protección de la información
        • MP.S Protección de los servicios
        • MP.AUX - Protección de Medios Auxiliares
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de protección
  • MP.COM Protección de las comunicaciones

MP.COM Protección de las comunicaciones

Esta sección establece las medidas de protección para las comunicaciones de dispositivos médicos, garantizando la seguridad de datos médicos en tránsito y la integridad de las redes sanitarias.

MP.COM.1 Perímetro seguro​

Objetivo​

Establecer y mantener un perímetro de seguridad robusto para proteger las redes de dispositivos médicos contra amenazas externas e internas.

Documentos de referencia​

  • T-024-006 Cybersecurity Risk Management Plan
  • Real Decreto 311/2022 - Artículo 40

Guía de implantación​

Medidas obligatorias:

  1. Firewall de nueva generación (NGFW): Inspección profunda de paquetes para tráfico médico
  2. Sistema de detección de intrusiones (IDS/IPS): Reglas específicas para protocolos médicos
  3. Segmentación de red: Aislamiento de dispositivos críticos de soporte vital
  4. Monitoreo continuo: SIEM con correlación para eventos de dispositivos médicos

MP.COM.2 Protección de la confidencialidad​

Objetivo​

Garantizar la confidencialidad de las comunicaciones que contengan datos de pacientes y información crítica de dispositivos médicos.

Documentos de referencia​

  • T-024-007 Threat Modeling Assessment
  • Real Decreto 311/2022 - Artículo 40
  • GDPR - Artículo 32

Guía de implantación​

Medidas obligatorias:

  1. Cifrado extremo a extremo: TLS 1.3 para todas las comunicaciones de dispositivos
  2. VPN médica: IPSec para conexiones entre sitios hospitalarios
  3. Certificados digitales: PKI corporativa para autenticación de dispositivos
  4. Protocolos seguros: HTTPS, SFTP para transferencia de imágenes médicas

MP.COM.3 Protección de la autenticidad y la integridad​

Objetivo​

Asegurar la autenticidad de las comunicaciones y la integridad de los datos transmitidos entre dispositivos médicos y sistemas hospitalarios.

Documentos de referencia​

  • T-024-008 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 40

Guía de implantación​

Medidas obligatorias:

  1. Firmas digitales: Para comandos críticos de dispositivos de soporte vital
  2. HMAC: Verificación de integridad para mensajes HL7/DICOM
  3. Timestamping: Sellado temporal para eventos médicos críticos
  4. Certificación mutua: Autenticación bidireccional dispositivo-servidor

MP.COM.4 Segregación de redes​

Objetivo​

Implementar una arquitectura de red segmentada que aisle dispositivos médicos críticos y limite el alcance de potenciales incidentes de seguridad.

Documentos de referencia​

  • T-024-006 Cybersecurity Risk Management Plan
  • Real Decreto 311/2022 - Artículo 40

Guía de implantación​

Medidas obligatorias:

  1. VLANs por criticidad: Soporte vital, diagnóstico, administrativo
  2. Micro-segmentación: Aislamiento dispositivo a dispositivo
  3. Zero Trust Network: Verificación continua de acceso
  4. Network Access Control (NAC): Control de dispositivos no autorizados

MP.COM.9 Medios alternativos​

Objetivo​

Garantizar la continuidad de comunicaciones críticas mediante medios alternativos cuando fallen los sistemas principales de comunicación.

Documentos de referencia​

  • T-024-008 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 40

Guía de implantación​

Medidas obligatorias:

  1. Conexiones redundantes: Múltiples ISPs, enlaces dedicados
  2. Comunicación satelital: Para emergencias y áreas remotas
  3. Redes móviles: 4G/5G como respaldo para dispositivos portátiles
  4. Procedimientos de conmutación: Activación automática < 30 segundos

Evaluación de eficacia​

Indicadores clave:

  • Disponibilidad de comunicaciones > 99.95%
  • Tiempo de detección de intrusiones < 5 minutos
  • Éxito en cifrado de comunicaciones > 100%
  • Tiempo de activación de medios alternativos < 30 segundos

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
MP.EQ Protección de los equipos
Next
MP.SI Protección de los soportes de información
  • MP.COM.1 Perímetro seguro
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
  • MP.COM.2 Protección de la confidencialidad
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
  • MP.COM.3 Protección de la autenticidad y la integridad
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
  • MP.COM.4 Segregación de redes
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
  • MP.COM.9 Medios alternativos
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
    • Evaluación de eficacia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)