MP.SI Protección de los soportes de información
Esta sección establece las medidas de protección para soportes de información utilizados en el contexto de dispositivos médicos, garantizando la seguridad de los datos médicos durante todo su ciclo de vida.
Aplicabilidad según categoría del sistema
| Medida | Básica | Media | Alta |
|---|---|---|---|
| mp.si.1 - Etiquetado | ✓ | ✓ | ✓ |
| mp.si.2 - Criptografía | - | ✓ | ✓ |
| mp.si.3 - Custodia | ✓ | ✓ | ✓ |
| mp.si.4 - Transporte | ✓ | ✓ | ✓ |
| mp.si.5 - Borrado y destrucción | ✓ | ✓ | ✓ |
MP.SI.1 Etiquetado [APLICA: BÁSICA, MEDIA, ALTA]��
Objetivo
Implementar un sistema coherente de etiquetado para soportes de información médica que permita la identificación, clasificación y manejo apropiado según el nivel de sensibilidad.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.si.1
- Guía CCN-STIC 804 - Guía de implantación del ENS
- ISO 27001:2022 - A.8.2.2 Labelling of information
Guía de implantación
Sistema de clasificación de la información
Niveles de clasificación:
| Nivel | Descripción | Color | Ejemplos |
|---|---|---|---|
| CONFIDENCIAL | Información sensible que requiere protección especial | Rojo | Datos de salud, imágenes médicas, credenciales, claves criptográficas, código fuente |
| USO OFICIAL | Información de uso interno con restricciones de difusión | Amarillo | Procedimientos internos, configuraciones, documentación técnica, datos de negocio |
| PÚBLICO | Información sin restricciones de acceso | Verde | Material promocional, documentación pública, información general |
Esta clasificación está unificada con la calificación de la información definida en MP.INFO.2, garantizando coherencia entre el marcado de soportes y la clasificación de la información. La política de seguridad (ORG.1) establece quién es responsable de cada tipo de información y los criterios que determinan el nivel de seguridad requerido.
Requisitos de etiquetado por categoría ENS:
| Categoría | Requisitos mínimos |
|---|---|
| BÁSICA | - Identificación del soporte - Fecha de creación - Propietario |
| MEDIA | Además: - Nivel de clasificación visible - Código de barras/QR - Fecha de caducidad |
| ALTA | Además: - RFID para trazabilidad - Indicadores de manipulación - Firma digital del contenido |
Implementación del etiquetado:
- Etiquetas físicas
- Adhesivos de seguridad con código de colores
- Resistentes al agua y deterioro
- Evidencia de manipulación (tamper-evident)
- Información mínima: ID, clasificación, propietario, fecha
- Metadatos digitales
- Propiedades del archivo no modificables
- Marcas de agua digitales
- Headers con clasificación
- Tags automáticos basados en contenido
- Registro y trazabilidad
- Base de datos centralizada de soportes
- Historial de ubicaciones
- Log de accesos y modificaciones
- Alertas por soportes no localizados
Todos los soportes que contengan datos de salud deben etiquetarse como mínimo "CONFIDENCIAL" según RGPD Art. 9.
MP.SI.2 Criptografía [APLICA: MEDIA, ALTA]
Objetivo
Aplicar medidas criptográficas apropiadas para proteger la confidencialidad e integridad de datos médicos almacenados en soportes de información.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.si.2
- Guía CCN-STIC 807 - Criptología de empleo en el ENS
Guía de implantación
Requisitos de cifrado por categoría
| Categoría | Algoritmo mínimo | Longitud de clave | Gestión de claves |
|---|---|---|---|
| MEDIA | AES-128 | 128 bits | Software KMS |
| ALTA | AES-256 | 256 bits | HSM certificado |
Implementación del cifrado
Cifrado de soportes físicos
- Discos duros y SSD
- Cifrado completo del disco (FDE)
- BitLocker (Windows) / FileVault (macOS) / LUKS (Linux)
- TPM 2.0 cuando esté disponible
- Dispositivos USB y extraíbles
- Cifrado por hardware preferible
- Software de cifrado certificado CCN
- Imposibilidad de uso sin cifrado activo
- Cintas de backup
- Cifrado nativo del sistema de backup
- Claves diferentes para cada conjunto
- Almacenamiento separado de claves y cintas
Gestión de claves criptográficas
Jerarquía de claves: ├── Clave Maestra (HSM) │ ├── Clave de Cifrado de Datos (DEK) │ │ ├── Clave de soporte 1 │ │ ├── Clave de soporte 2 │ │ └── Clave de soporte N │ └── Clave de Cifrado de Claves (KEK) └── Clave de Recuperación (Escrow)
Políticas de rotación
| Tipo de clave | Frecuencia de rotación | Método |
|---|---|---|
| Claves maestras | Anual | Ceremonia de claves |
| Claves de cifrado de datos | 90 días | Automático |
| Claves de sesión | Por sesión | Automático |
Algoritmos aprobados (CCN-STIC 807)
- Cifrado simétrico: AES (128/256), 3DES (fase out)
- Cifrado asimétrico: RSA (2048/4096), ECC (P-256/P-384)
- Funciones hash: SHA-256, SHA-384, SHA-512
- Firma digital: RSA-PSS, ECDSA
Para sistemas de categoría ALTA, considerar la migración progresiva a algoritmos post-cuánticos según las recomendaciones del CCN.
MP.SI.3 Custodia [APLICA: BÁSICA, MEDIA, ALTA]
Objetivo
Establecer procedimientos seguros para la custodia y almacenamiento de soportes de información médica, minimizando riesgos de acceso no autorizado, pérdida o deterioro.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.si.3
- ISO 27001:2022 - A.8.3.1 Management of removable media
Guía de implantación
Requisitos de custodia por categoría
| Categoría | Almacenamiento | Control de acceso | Monitorización |
|---|---|---|---|
| BÁSICA | Armario con llave | Llave física | Registro manual |
| MEDIA | Armario ignífugo | Cerradura electrónica | CCTV + logs |
| ALTA | Cámara acorazada | Biometría + tarjeta | 24/7 + alarmas |
Condiciones de almacenamiento
Parámetros ambientales controlados
| Parámetro | Rango óptimo | Límite crítico | Monitorización |
|---|---|---|---|
| Temperatura | 18-22°C | <15°C o >25°C | Continua |
| Humedad relativa | 40-60% | <30% o >70% | Continua |
| Campos magnéticos | <50 Gauss | >100 Gauss | Periódica |
| Protección fuego | 2 horas | - | Sistemas activos |
Organización física
-
Segregación por clasificación
- Sección CONFIDENCIAL: Acceso restringido
- Sección USO OFICIAL: Acceso controlado
- Sección PÚBLICO: Acceso normal
-
Sistema de inventario
Estructura de código de ubicación:
[EDIFICIO]-[SALA]-[ARMARIO]-[ESTANTE]-[POSICIÓN]Ejemplo:
HQ-S03-A12-E04-P023Donde:
- EDIFICIO: Código del edificio o instalación
- SALA: Número de sala segura
- ARMARIO: Identificador del armario o contenedor
- ESTANTE: Nivel del estante
- POSICIÓN: Posición específica en el estante
-
Control de acceso escalonado
- Nivel 1: Acceso al edificio
- Nivel 2: Acceso a la sala
- Nivel 3: Acceso al armario
- Nivel 4: Acceso al soporte específico
Responsabilidades del custodio
- Mantener el inventario actualizado
- Realizar verificaciones diarias de integridad
- Gestionar préstamos y devoluciones
- Reportar anomalías inmediatamente
- Coordinar auditorías periódicas
Procedimiento de acceso
- Solicitud formal con justificación
- Aprobación del responsable de datos
- Registro de entrada con firma
- Supervisión durante el acceso (si CONFIDENCIAL o superior)
- Verificación de devolución
- Registro de salida con verificación de integridad
MP.SI.4 Transporte [APLICA: BÁSICA, MEDIA, ALTA]
Objetivo
Asegurar el transporte seguro de soportes de información médica entre ubicaciones, manteniendo la confidencialidad, integridad y disponibilidad durante el tránsito.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.si.4
- ISO 27001:2022 - A.8.3.3 Physical media transfer
Guía de implantación
Requisitos de transporte por categoría
| Categoría | Método de transporte | Protección | Trazabilidad |
|---|---|---|---|
| BÁSICA | Mensajería estándar | Sobre sellado | Registro envío |
| MEDIA | Mensajería certificada | Contenedor con llave | Tracking + firma |
| ALTA | Transporte seguro | Contenedor blindado | GPS + escolta |
Procedimiento de transporte seguro
Preparación para el envío
-
Verificación del contenido
- Inventario detallado del envío
- Verificación de cifrado activo
- Comprobación de etiquetado correcto
-
Embalaje por niveles
Nivel 1: Soporte cifrado
Nivel 2: Bolsa antiestática (si electrónico)
Nivel 3: Espuma protectora
Nivel 4: Contenedor rígido
Nivel 5: Precinto de seguridad
Nivel 6: Embalaje exterior -
Documentación requerida
- Formulario de envío
- Autorización del responsable
- Lista de contenido (sin detalles sensibles)
- Instrucciones de manejo
Cadena de custodia
| Punto de control | Acción requerida | Registro |
|---|---|---|
| Origen | Firma y sello de salida | Hora, fecha, responsable |
| Recogida | Verificación de precintos | ID mensajero, empresa |
| Tránsito | Tracking continuo | Ubicación GPS, eventos |
| Entrega | Verificación de integridad | Firma receptor autorizado |
| Confirmación | Acuse de recibo | Verificación de contenido |
Medidas de seguridad en tránsito
- Físicas
- Contenedores con cerraduras de seguridad
- Precintos numerados tipo barrera
- Indicadores de manipulación (shock, tilt, temperatura)
- Materiales de protección contra impactos
- Lógicas
- Cifrado del soporte obligatorio
- Contraseña de acceso comunicada por canal separado
- Autodestrucción tras intentos fallidos (si tecnológicamente viable)
- Procedimentales
- Rutas predefinidas y seguras
- Comunicación de llegada estimada
- Protocolo de actuación ante incidentes
- Límite de tiempo en tránsito
Transportes especiales
- Internacional
- Cumplimiento normativa aduanera
- Documentación de exportación de datos
- Consideraciones GDPR para transferencias
- Emergencias médicas
- Procedimiento acelerado autorizado
- Transporte prioritario
- Comunicación directa origen-destino
No transportar nunca soportes con datos SECRETOS o CONFIDENCIALES sin cifrar. En caso de pérdida durante el transporte, activar inmediatamente el protocolo de brecha de datos.
MP.SI.5 Borrado y destrucción [APLICA: BÁSICA, MEDIA, ALTA]
Objetivo
Garantizar la eliminación segura y definitiva de información médica sensible de soportes de información al final de su ciclo de vida útil.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.si.5
- NIST SP 800-88 Rev. 1 - Guidelines for Media Sanitization
- Guía CCN-STIC 804 - Guía de implantación del ENS
Guía de implantación
Métodos de sanitización según NIST SP 800-88
| Método | Descripción | Aplicable a | Nivel seguridad |
|---|---|---|---|
| Clear | Borrado lógico | Todos | Básico |
| Purge | Sobrescritura/Degauss | Magnéticos | Medio |
| Destroy | Destrucción física | Todos | Alto |
Matriz de métodos por tipo de soporte y clasificación
| Tipo de soporte | PÚBLICO | USO OFICIAL | CONFIDENCIAL |
|---|---|---|---|
| HDD | Format | DoD 5220.22-M (3 pasadas) | DoD 5220.22-M (7 pasadas) o destrucción física |
| SSD/Flash | Secure Erase | Crypto Erase | Crypto Erase + Purge o destrucción física |
| Cintas | Sobrescritura | Degaussing | Degaussing + Verify o incineración |
| Optical (CD/DVD) | Trituración | Trituración | Trituración fina o incineración |
| Papel | Contenedor reciclaje | Trituración cruzada | Trituración DIN P-4 mínimo |
Procedimientos específicos de borrado
Borrado lógico (Clear):**
# Linux - Sobrescritura simple
dd if=/dev/urandom of=/dev/sdX bs=4M status=progress
# Windows - Cipher
cipher /w:C:\
# Verificación
hexdump /dev/sdX | head -100
Sobrescritura segura (Purge):**
- DoD 5220.22-M (3 pasadas)
- Escritura de ceros (0x00)
- Escritura de unos (0xFF)
- Escritura de patrón aleatorio
- DoD 5220.22-M ECE (7 pasadas)
- Escritura de 0x00
- Escritura de 0xFF
- Escritura de patrón aleatorio
- Verificación
- Escritura de 0x00
- Escritura de 0xFF
- Escritura de patrón aleatorio
Destrucción física (Destroy)
| Método | Descripción | Tamaño resultante |
|---|---|---|
| Trituración | Corte en fragmentos | < 2mm² |
| Desintegración | Reducción a polvo | < 0.5mm² |
| Incineración | Combustión completa | Cenizas |
| Fundición | Fusión del material | Líquido/sólido nuevo |
Proceso de destrucción certificada
Solicitud y autorización
Formulario: Solicitud de Destrucción
- Identificación del soporte
- Clasificación de la información
- Motivo de la destrucción
- Método propuesto
- Firma del solicitante
- Aprobación del responsable de datos
Ejecución
- Verificación de la identidad del soporte
- Aplicación del método aprobado
- Supervisión por personal de seguridad
- Documentación fotográfica (antes/después)
Certificación
Certificado de Destrucción
- Número de certificado único
- Fecha y hora de destrucción
- Método empleado
- Identificación de soportes destruidos
- Verificación de destrucción completa
- Firma del ejecutor
- Firma del supervisor
- Sello de la organización
Verificación forense (para datos CONFIDENCIALES o superior)
- Muestreo aleatorio de fragmentos
- Análisis de recuperabilidad
- Informe técnico de imposibilidad de recuperación
Herramienta de borrado seguro: diskutil secureErase
Para el borrado seguro de soportes de información, se utiliza diskutil secureErase, la utilidad nativa de macOS para borrado seguro de discos y volúmenes. Dado que todos los equipos en el alcance del ENS son MacBook Pro con macOS, esta herramienta está disponible de forma nativa sin necesidad de instalación adicional.
Niveles de borrado disponibles:
| Nivel | Método | Equivalencia | Uso recomendado |
|---|---|---|---|
| 1 | Sobrescritura con ceros (1 pasada) | Clear (NIST 800-88) | PÚBLICO |
| 2 | Sobrescritura aleatoria (1 pasada) | Clear+ | USO OFICIAL |
| 3 | DoD 5220.22-M (3 pasadas) | Purge | CONFIDENCIAL |
| 4 | DoD 5220.22-M ECE (7 pasadas) | Purge+ | CONFIDENCIAL+ |
Comandos de ejecución:
# Borrado seguro de un volumen completo (nivel 3 — DoD 3 pasadas)
diskutil secureErase 3 /dev/diskN
# Borrado seguro del espacio libre en un volumen (sin afectar datos existentes)
diskutil secureErase freespace 3 /Volumes/NombreVolumen
# Verificar el resultado del borrado
diskutil info /dev/diskN
Proceso de borrado seguro:
- Identificar el soporte a borrar y verificar que no contiene información necesaria
- Obtener autorización del propietario de la información
- Seleccionar el nivel de borrado según la clasificación del contenido (ver tabla anterior)
- Ejecutar
diskutil secureErasecon el nivel apropiado - Verificar que el borrado se ha completado correctamente (salida del comando +
diskutil info) - Capturar la salida del terminal como evidencia
- Registrar el borrado en el registro de borrado seguro
En discos SSD modernos con APFS, la sobrescritura múltiple tiene eficacia limitada debido al wear leveling del controlador. Para estos soportes, se recomienda: (1) activar FileVault antes de almacenar datos sensibles (Crypto Erase al borrar), y (2) complementar el borrado lógico con la destrucción física del soporte al final de su vida útil.
Registro de borrado seguro
Cada operación de borrado seguro debe documentarse con los siguientes campos:
| Campo | Descripción |
|---|---|
| ID del soporte | Identificador único del dispositivo (número de serie) |
| Tipo de soporte | HDD / SSD / USB / Otro |
| Marca y modelo | Marca y modelo del dispositivo |
| Software utilizado | diskutil secureErase (versión de macOS) |
| Nivel de borrado | 1 / 2 / 3 / 4 (ver tabla de niveles) |
| Método de borrado | Clear / Purge / Destroy (según clasificación) |
| Fecha de borrado | Fecha y hora de la operación |
| Responsable | Persona que ejecutó el borrado |
| Verificación | Resultado de la verificación post-borrado (OK / KO) |
| Evidencia | Captura de la salida del terminal (comando ejecutado + resultado) |
| Motivo | Reutilización / Liberación / Fin de vida útil |
| Observaciones | Incidencias o notas adicionales |
diskutil secureErase es una utilidad nativa de macOS y no figura en el catálogo de productos certificados del CCN (CPSTIC). Como medidas compensatorias: (1) se verifica el resultado del borrado mediante inspección posterior, (2) se documenta el proceso completo en el registro con captura de la salida del terminal, y (3) se complementa con FileVault (Crypto Erase) para discos SSD. Si en el futuro se dispone de una herramienta certificada compatible con macOS, se evaluará su adopción.
Destrucción segura de equipos inservibles
Cuando un soporte de información ha llegado al final de su vida útil y no puede ser reutilizado (fallo de hardware, obsolescencia, daño físico), se procede a su destrucción segura.
Opciones de destrucción
| Opción | Descripción | Cuándo aplicar |
|---|---|---|
| Destrucción interna | Destrucción física del soporte (trituración de discos, perforación de platillos) | Soportes de baja capacidad, equipos pequeños |
| Destrucción por tercero certificado | Contratación de empresa especializada con certificación EN 15713 o equivalente | Volúmenes grandes, necesidad de certificado de destrucción con validez legal |
Proceso de destrucción
- Identificar el soporte como inservible y documentar el motivo
- Realizar borrado seguro previo (si el soporte es funcional) con
diskutil secureErase - Obtener autorización del Responsable de Seguridad
- Ejecutar la destrucción según el método seleccionado
- Si se utiliza un tercero: exigir y archivar el certificado de destrucción
- Registrar la destrucción en el registro de destrucción segura
Registro de destrucción segura
| Campo | Descripción |
|---|---|
| ID del soporte | Identificador único del dispositivo |
| Tipo y modelo | Tipo de soporte, marca, modelo |
| Método de destrucción | Trituración / Perforación / Destrucción por tercero |
| Fecha | Fecha de destrucción |
| Responsable | Persona que ejecutó o supervisó la destrucción |
| Tercero certificado | Nombre de la empresa (si aplica) |
| Certificado de destrucción | Referencia al certificado del tercero (si aplica) |
| Documentación fotográfica | Antes/después de la destrucción |
A la fecha de redacción de este procedimiento, no se ha producido la destrucción de ningún equipo, ya que todos los soportes de información se encuentran operativos. El procedimiento está establecido para cuando sea necesario. Cuando se produzca la primera destrucción, se generará el correspondiente registro.
Proveedores autorizados de destrucción
Requisitos mínimos:
- Certificación ISO 27001
- Certificación EN 15713 (destrucción segura)
- Seguro de responsabilidad civil
- Transporte seguro propio
- Certificados de destrucción con validez legal
La destrucción inadecuada de datos de salud puede resultar en sanciones graves bajo GDPR (hasta 20M€ o 4% de facturación anual). Siempre obtener certificación de destrucción.
Evaluación de eficacia
Indicadores clave de rendimiento (KPIs)
| Medida | KPI | Objetivo BÁSICA | Objetivo MEDIA | Objetivo ALTA |
|---|---|---|---|---|
| mp.si.1 | % soportes correctamente etiquetados | > 95% | > 98% | > 99% |
| mp.si.2 | % soportes cifrados | N/A | 100% | 100% |
| mp.si.3 | Tiempo localización cualquier soporte | < 1 hora | < 30 min | < 10 min |
| mp.si.4 | Incidentes en transporte | 0 | 0 | 0 |
| mp.si.5 | Destrucciones certificadas | 100% | 100% | 100% |
Métricas operacionales
| Métrica | Frecuencia medición | Umbral alerta | Umbral crítico |
|---|---|---|---|
| Soportes sin localizar | Diaria | > 1 | > 3 |
| Accesos no autorizados | Continua | > 0 | > 0 |
| Temperatura sala custodia | Continua | <15°C o >25°C | <10°C o >30°C |
| Intentos de acceso fallidos | Tiempo real | > 3 | > 5 |
| Tiempo medio de destrucción | Mensual | > 7 días | > 14 días |
Programa de auditoría
Auditorías internas
| Aspecto | BÁSICA | MEDIA | ALTA |
|---|---|---|---|
| Inventario completo | Anual | Semestral | Trimestral |
| Muestreo etiquetado | Semestral | Trimestral | Mensual |
| Verificación cifrado | N/A | Trimestral | Mensual |
| Simulacro transporte | Anual | Semestral | Trimestral |
| Proceso destrucción | Anual | Semestral | Trimestral |
Elementos a verificar
- Etiquetado y clasificación
- Correcta aplicación de etiquetas
- Coherencia con el contenido
- Legibilidad y estado
- Cifrado
- Algoritmos utilizados
- Gestión de claves
- Imposibilidad de acceso sin autorización
- Custodia
- Condiciones ambientales
- Control de acceso funcionando
- Inventario actualizado
- Trazabilidad completa
- Transporte
- Cumplimiento de procedimientos
- Integridad de precintos
- Documentación completa
- Destrucción
- Métodos apropiados según clasificación
- Certificados emitidos
- Imposibilidad de recuperación
Formación y concienciación
Plan de formación
| Audiencia | Contenido | Duración | Frecuencia |
|---|---|---|---|
| Todo el personal | Clasificación y etiquetado | 1h | Anual |
| Personal IT | Cifrado y gestión de claves | 4h | Anual |
| Custodios | Procedimientos completos | 8h | Semestral |
| Personal de transporte | Manejo seguro | 2h | Anual |
Material de concienciación
- Guía rápida de clasificación
- Pósters de recordatorio
- Checklist de transporte
- Vídeos de procedimientos
- Simulacros de incidentes
Responsabilidades
| Rol | Responsabilidades principales |
|---|---|
| Propietario de la información | - Clasificar la información - Autorizar acceso y destrucción - Definir periodo de retención |
| Custodio de soportes | - Mantener inventario - Controlar acceso físico - Gestionar préstamos - Verificar condiciones |
| Administrador de seguridad | - Gestionar cifrado - Auditar cumplimiento - Investigar incidentes |
| Usuario | - Etiquetar correctamente - Seguir procedimientos - Reportar incidencias |
Referencias adicionales
- Guía CCN-STIC 804 - Guía de implantación del ENS
- NIST SP 800-88 Rev. 1
- ISO/IEC 27040:2015 - Storage security
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager