Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery And Comissioning
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
      • MP Medidas de protección
        • MP.IF Protección de las instalaciones e infraestructuras
        • MP.PER Gestión del personal
        • MP.EQ Protección de los equipos
        • MP.COM Protección de las comunicaciones
        • MP.SI Protección de los soportes de información
        • MP.SW Protección de las aplicaciones informáticas
        • MP.INFO Protección de la información
        • MP.S Protección de los servicios
        • MP.AUX - Protección de Medios Auxiliares
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de protección
  • MP.S Protección de los servicios

MP.S Protección de los servicios

Esta sección establece las medidas de protección para servicios relacionados con dispositivos médicos, garantizando la disponibilidad, integridad y confidencialidad de los servicios críticos para la atención sanitaria.

MP.S.1 Protección del correo electrónico​

Objetivo​

Proteger las comunicaciones por correo electrónico que contengan información relacionada con dispositivos médicos y datos de pacientes, implementando controles de seguridad apropiados.

Documentos de referencia​

  • T-024-006 Cybersecurity Risk Management Plan
  • Real Decreto 311/2022 - Artículo 36
  • Guía CCN-STIC 812 - Seguridad en entornos y aplicaciones Web

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Cifrado de comunicaciones

    • TLS 1.3 obligatorio para todas las comunicaciones de correo
    • S/MIME para cifrado de extremo a extremo en comunicaciones médicas sensibles
    • Certificados digitales válidos para autenticación de remitentes autorizados

  2. Filtrado y detección de amenazas

    • Filtros anti-spam con listas blancas para proveedores médicos autorizados
    • Detección de phishing específica para el sector sanitario
    • Sandboxing de archivos adjuntos antes de la entrega

  3. Control de información médica

    • Etiquetado automático de correos con información de pacientes
    • Prevención de envío accidental de datos médicos fuera del dominio
    • Archivo seguro de comunicaciones médicas según normativa de retención

  4. Gestión de identidades

    • Autenticación multifactor para cuentas con acceso a sistemas médicos
    • Integración con Active Directory para control centralizado
    • Políticas de contraseñas robustas específicas para personal sanitario

Controles específicos:

  • Alertas automáticas para correos con información de pacientes enviados externamente
  • Cuarentena temporal para archivos adjuntos de proveedores no verificados
  • Logs de auditoría para comunicaciones relacionadas con dispositivos médicos críticos

MP.S.2 Protección de servicios y aplicaciones web​

Objetivo​

Asegurar las aplicaciones web y servicios relacionados con dispositivos médicos contra ataques cibernéticos, garantizando la continuidad de servicios críticos para la atención sanitaria.

Documentos de referencia​

  • T-024-007 Threat Modeling Assessment
  • Real Decreto 311/2022 - Artículo 36
  • Guía CCN-STIC 815 - Métricas e Indicadores

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Arquitectura de seguridad

    • Segmentación de red para servicios de dispositivos médicos críticos
    • WAF (Web Application Firewall) con reglas específicas para aplicaciones médicas
    • Balanceadores de carga con capacidades de detección de anomalías

  2. Autenticación y autorización

    • SSO (Single Sign-On) integrado con sistemas de gestión hospitalaria
    • Autorización basada en roles específicos del personal sanitario
    • Sesiones seguras con tokens JWT y timeouts adaptativos

  3. Protección de APIs médicas

    • Rate limiting para APIs de dispositivos médicos
    • Validación estricta de entradas para datos de pacientes
    • Cifrado de datos en tránsito y en reposo (AES-256)

  4. Monitoreo continuo

    • SIEM con correlación de eventos específica para entornos médicos
    • Detección de comportamientos anómalos en tiempo real
    • Alertas automatizadas para intentos de acceso no autorizado

Configuraciones específicas:

  • Certificados SSL/TLS renovados automáticamente cada 90 días
  • Headers de seguridad HTTP específicos (HSTS, CSP, X-Frame-Options)
  • Timeouts de sesión diferenciados: 8 horas para sistemas críticos, 2 horas para administrativos

MP.S.3 Protección frente a la denegación de servicio​

Objetivo​

Implementar medidas preventivas y reactivas contra ataques de denegación de servicio que puedan afectar la disponibilidad de dispositivos médicos y servicios críticos.

Documentos de referencia​

  • T-024-008 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 36
  • Guía CCN-STIC 817 - Esquema Nacional de Seguridad

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Infraestructura resistente

    • CDN (Content Delivery Network) para distribución de carga
    • Servidores redundantes en múltiples ubicaciones geográficas
    • Capacidad de sobrecarga del 200% para picos de demanda médica

  2. Detección temprana

    • Monitoreo de tráfico en tiempo real con umbrales dinámicos
    • Análisis de patrones de tráfico específicos de aplicaciones médicas
    • Correlación de eventos con inteligencia de amenazas sectorial

  3. Mitigación automática

    • Rate limiting adaptativo basado en comportamiento histórico
    • Blacklisting automático de IPs maliciosas por periodos definidos
    • Priorización de tráfico médico crítico durante ataques

  4. Respuesta a incidentes

    • Procedimientos de escalado automático de recursos en la nube
    • Comunicación automática a stakeholders médicos durante ataques
    • Planes de continuidad con sistemas alternativos pre-configurados

Métricas clave:

  • Tiempo de detección de ataques DDoS < 60 segundos
  • Tiempo de mitigación automática < 300 segundos
  • Disponibilidad de servicios críticos > 99.95% durante ataques

MP.S.9 Medios alternativos​

Objetivo​

Establecer servicios alternativos y de respaldo para garantizar la continuidad de operaciones críticas de dispositivos médicos durante fallos o interrupciones de servicios principales.

Documentos de referencia​

  • T-024-008 Incident Response Plan
  • Real Decreto 311/2022 - Artículo 36
  • Guía CCN-STIC 817 - Esquema Nacional de Seguridad

Guía de implantación​

Implementación para dispositivos médicos​

Medidas obligatorias:

  1. Servicios de respaldo críticos

    • Servidores espejo para aplicaciones de soporte vital
    • Sistemas de backup para bases de datos de pacientes
    • Servicios de comunicación alternativa para emergencias médicas

  2. Arquitectura redundante

    • Balanceadores de carga con failover automático
    • Replicación de datos en tiempo real entre sitios
    • DNS secundario para resolución de servicios críticos

  3. Procedimientos de activación

    • Playbooks automatizados para activación de servicios alternativos
    • Umbrales de performance para conmutación automática
    • Notificaciones inmediatas al personal médico durante conmutaciones

  4. Testing y mantenimiento

    • Pruebas mensuales de failover para servicios críticos
    • Sincronización continua de configuraciones entre sitios primario y alternativo
    • Validación de integridad de datos durante conmutaciones de servicio

Configuraciones específicas:

  • RTO (Recovery Time Objective) < 4 horas para servicios no críticos
  • RTO < 30 minutos para servicios críticos de soporte vital
  • RPO (Recovery Point Objective) < 15 minutos para datos de pacientes

Monitoreo y métricas:

  • Disponibilidad de servicios alternativos > 99.9%
  • Tiempo de detección de fallas < 3 minutos
  • Tiempo de activación de servicios alternativos < 10 minutos para sistemas críticos

Evaluación de eficacia​

Indicadores clave de rendimiento:

  • Tiempo medio entre fallas (MTBF) > 720 horas para servicios críticos
  • Tiempo medio de reparación (MTTR) < 2 horas para servicios críticos
  • Disponibilidad general de servicios médicos > 99.95%

Revisión y mejora continua:

  • Auditorías semestrales de capacidad de servicios alternativos
  • Simulacros de contingencia con personal médico cada trimestre
  • Actualización anual de procedimientos basada en lecciones aprendidas

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
MP.INFO Protección de la información
Next
MP.AUX - Protección de Medios Auxiliares
  • MP.S.1 Protección del correo electrónico
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.S.2 Protección de servicios y aplicaciones web
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.S.3 Protección frente a la denegación de servicio
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
  • MP.S.9 Medios alternativos
    • Objetivo
    • Documentos de referencia
    • Guía de implantación
      • Implementación para dispositivos médicos
    • Evaluación de eficacia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)