Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
        • MP.IF Protección de las instalaciones e infraestructuras
          • MP.IF.1 Áreas separadas y con control de acceso
          • MP.IF.2 Identificación de las personas
          • MP.IF.3 Acondicionamiento de los locales
          • MP.IF.4 Energía eléctrica
          • MP.IF.5 Protección frente a incendios
          • MP.IF.6 Protección frente a inundaciones
          • MP.IF.7 Registro de entrada y salida de equipamiento
          • MP.IF.8 Mantenimiento de las instalaciones
          • MP.IF.9 Instalaciones alternativas
        • MP.PER Gestión del personal
        • MP.EQ Protección de los equipos
        • MP.COM Protección de las comunicaciones
        • MP.SI Protección de los soportes de información
        • MP.SW Protección de las aplicaciones informáticas
        • MP.INFO Protección de la información
        • MP.S Protección de los servicios
        • MP.AUX - Protección de Medios Auxiliares
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de protección
  • MP.IF Protección de las instalaciones e infraestructuras
  • MP.IF.9 Instalaciones alternativas

MP.IF.9 Instalaciones alternativas

Objetivo​

Garantizar la continuidad del servicio ante eventos disruptivos que afecten a la infraestructura utilizada para el procesamiento de datos y la prestación del servicio.

Marco normativo y cumplimiento​

Real Decreto 311/2022 (ENS)​

  • Artículo 33: Instalaciones alternativas
  • Anexo II, Medida MP.IF.9: Protección de las instalaciones e infraestructuras

Regulaciones de dispositivos médicos​

  • Reglamento (UE) 2017/745 (MDR):
    • Artículo 10.9: Sistemas de gestión de calidad
    • Anexo I, Cap. I: Requisitos generales de seguridad y funcionamiento
  • ISO 13485:2016: Sistema de gestión de calidad para dispositivos médicos
  • ISO 14971:2019: Gestión de riesgos para dispositivos médicos

Estándares de continuidad de negocio​

  • ISO 22301: Sistemas de gestión de continuidad del negocio

Documentos de referencia​

Procedimientos internos​

  • GP-110 Esquema Nacional de Seguridad
  • OP.CONT Plan de continuidad de servicio

Referencias externas​

  • CCN-STIC 804: Medidas de implantación del ENS
  • CCN-STIC 822: Guía de configuración segura para servicios en la nube

Aplicabilidad: modelo de teletrabajo sin instalaciones físicas​

La organización opera bajo un modelo de teletrabajo al 100%. No existen oficinas físicas, centros de datos propios ni instalaciones de procesamiento on-premise. Por tanto, la medida MP.IF.9 no se aplica en el sentido clásico de disponer de una sede física alternativa.

Infraestructura de procesamiento​

Toda la infraestructura de procesamiento y almacenamiento de datos se encuentra en AWS (región eu-west-1). La continuidad y resiliencia de esta infraestructura se gestiona mediante:

  • Multi-AZ: Los servicios críticos (ECS, DocumentDB, S3) están desplegados en múltiples zonas de disponibilidad dentro de la misma región.
  • Backups y recuperación: Política de backups automatizados con retención definida y procedimiento de restauración documentado.
  • Failover automático: Los servicios gestionados de AWS incorporan mecanismos de failover automático entre zonas de disponibilidad.

Para más detalle, véase el Plan de continuidad (OP.CONT.2).

Puestos de trabajo​

Cada empleado trabaja desde su domicilio con un MacBook Pro corporativo. En caso de que un empleado no pueda utilizar su puesto de trabajo habitual:

  • Puede trabajar desde cualquier ubicación con conexión a Internet, ya que todos los sistemas son accesibles en la nube.
  • Si falla su conexión a Internet doméstica, puede utilizar su conexión de datos móvil como hotspot.
  • Si su equipo queda inoperativo, el Responsable del Sistema coordina el envío o provisión de un equipo de reemplazo.

Justificación de no aplicabilidad de instalaciones físicas alternativas​

Requisito ENS (MP.IF.9)Aplicación en la organización
Sitio alternativo geográficamente separadoNo aplica: no hay sede física. La infraestructura cloud (AWS) dispone de múltiples zonas de disponibilidad.
Capacidad equivalente de procesamientoGarantizada por la arquitectura Multi-AZ de AWS.
Replicación de datosGestionada mediante backups automatizados y replicación Multi-AZ en AWS.
Personal disponible en sitio alternativoTodos los empleados trabajan en remoto; no dependen de una ubicación física concreta.
Procedimientos de activación documentadosDocumentados en el Plan de continuidad (OP.CONT.2).
Conectividad redundanteCada empleado dispone de su propia conexión a Internet y, como respaldo, conexión de datos móvil.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
MP.IF.8 Mantenimiento de las instalaciones
Next
MP.PER Gestión del personal
  • Objetivo
  • Marco normativo y cumplimiento
    • Real Decreto 311/2022 (ENS)
    • Regulaciones de dispositivos médicos
    • Estándares de continuidad de negocio
  • Documentos de referencia
    • Procedimientos internos
    • Referencias externas
  • Aplicabilidad: modelo de teletrabajo sin instalaciones físicas
    • Infraestructura de procesamiento
    • Puestos de trabajo
    • Justificación de no aplicabilidad de instalaciones físicas alternativas
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)