MP.SI Protección de los soportes de información

Esta sección establece las medidas de protección para soportes de información utilizados en el contexto de dispositivos médicos, garantizando la seguridad de los datos médicos durante todo su ciclo de vida.

Aplicabilidad según categoría del sistema

Medida	Básica	Media	Alta
mp.si.1 - Etiquetado	✓	✓	✓
mp.si.2 - Criptografía	-	✓	✓
mp.si.3 - Custodia	✓	✓	✓
mp.si.4 - Transporte	✓	✓	✓
mp.si.5 - Borrado y destrucción	✓	✓	✓

MP.SI.1 Etiquetado [APLICA: BÁSICA, MEDIA, ALTA]

Objetivo

Implementar un sistema coherente de etiquetado para soportes de información médica que permita la identificación, clasificación y manejo apropiado según el nivel de sensibilidad.

Documentos de referencia

• T-024-006 Cybersecurity Risk Management Plan
• Real Decreto 311/2022 - Anexo II, mp.si.1
• Guía CCN-STIC 804 - Guía de implantación del ENS
• ISO 27001:2022 - A.8.2.2 Labelling of information

Guía de implantación

Sistema de clasificación de la información

Niveles de clasificación:

Nivel	Descripción	Color	Ejemplos
SECRETO	Información extremadamente sensible	Rojo	Datos genéticos, historiales psiquiátricos completos
CONFIDENCIAL	Datos de salud protegidos	Naranja	Imágenes médicas, diagnósticos, tratamientos
INTERNO	Uso interno organizacional	Amarillo	Procedimientos, configuraciones, documentación técnica
PÚBLICO	Sin restricciones de acceso	Verde	Material promocional, información general

Requisitos de etiquetado por categoría ENS:

Categoría	Requisitos mínimos
BÁSICA	- Identificación del soporte - Fecha de creación - Propietario
MEDIA	Además: - Nivel de clasificación visible - Código de barras/QR - Fecha de caducidad
ALTA	Además: - RFID para trazabilidad - Indicadores de manipulación - Firma digital del contenido

Implementación del etiquetado:

1. Etiquetas físicas

   • Adhesivos de seguridad con código de colores
   • Resistentes al agua y deterioro
   • Evidencia de manipulación (tamper-evident)
   • Información mínima: ID, clasificación, propietario, fecha

2. Metadatos digitales

   • Propiedades del archivo no modificables
   • Marcas de agua digitales
   • Headers con clasificación
   • Tags automáticos basados en contenido

3. Registro y trazabilidad

   • Base de datos centralizada de soportes
   • Historial de ubicaciones
   • Log de accesos y modificaciones
   • Alertas por soportes no localizados

info

Todos los soportes que contengan datos de salud deben etiquetarse como mínimo "CONFIDENCIAL" según RGPD Art. 9.

MP.SI.2 Criptografía [APLICA: MEDIA, ALTA]

Objetivo

Aplicar medidas criptográficas apropiadas para proteger la confidencialidad e integridad de datos médicos almacenados en soportes de información.

Documentos de referencia

• T-024-007 Threat Modeling Assessment
• Real Decreto 311/2022 - Anexo II, mp.si.2
• Guía CCN-STIC 807 - Criptología de empleo en el ENS
• FDA Cybersecurity Guidance - Encryption Requirements

Guía de implantación

Requisitos de cifrado por categoría

Categoría	Algoritmo mínimo	Longitud de clave	Gestión de claves
MEDIA	AES-128	128 bits	Software KMS
ALTA	AES-256	256 bits	HSM certificado

Implementación del cifrado

1. Cifrado de soportes físicos:

• Discos duros y SSD

  • Cifrado completo del disco (FDE)
  • BitLocker (Windows) / FileVault (macOS) / LUKS (Linux)
  • TPM 2.0 cuando esté disponible

• Dispositivos USB y extraíbles

  • Cifrado por hardware preferible
  • Software de cifrado certificado CCN
  • Imposibilidad de uso sin cifrado activo

• Cintas de backup

  • Cifrado nativo del sistema de backup
  • Claves diferentes para cada conjunto
  • Almacenamiento separado de claves y cintas

2. Gestión de claves criptográficas:

Jerarquía de claves:
├── Clave Maestra (HSM)
│   ├── Clave de Cifrado de Datos (DEK)
│   │   ├── Clave de soporte 1
│   │   ├── Clave de soporte 2
│   │   └── Clave de soporte N
│   └── Clave de Cifrado de Claves (KEK)
└── Clave de Recuperación (Escrow)

3. Políticas de rotación:

Tipo de clave	Frecuencia de rotación	Método
Claves maestras	Anual	Ceremonia de claves
Claves de cifrado de datos	90 días	Automático
Claves de sesión	Por sesión	Automático

4. Algoritmos aprobados (CCN-STIC 807):

• Cifrado simétrico: AES (128/256), 3DES (fase out)
• Cifrado asimétrico: RSA (2048/4096), ECC (P-256/P-384)
• Funciones hash: SHA-256, SHA-384, SHA-512
• Firma digital: RSA-PSS, ECDSA

Nota sobre quantum-safe

Para sistemas de categoría ALTA, considerar la migración progresiva a algoritmos post-cuánticos según las recomendaciones del CCN.

MP.SI.3 Custodia [APLICA: BÁSICA, MEDIA, ALTA]

Objetivo

Establecer procedimientos seguros para la custodia y almacenamiento de soportes de información médica, minimizando riesgos de acceso no autorizado, pérdida o deterioro.

Documentos de referencia

• T-024-008 Incident Response Plan
• Real Decreto 311/2022 - Anexo II, mp.si.3
• ISO 27001:2022 - A.8.3.1 Management of removable media

Guía de implantación

Requisitos de custodia por categoría

Categoría	Almacenamiento	Control de acceso	Monitorización
BÁSICA	Armario con llave	Llave física	Registro manual
MEDIA	Armario ignífugo	Cerradura electrónica	CCTV + logs
ALTA	Cámara acorazada	Biometría + tarjeta	24/7 + alarmas

Condiciones de almacenamiento

Parámetros ambientales controlados:

Parámetro	Rango óptimo	Límite crítico	Monitorización
Temperatura	18-22°C	<15°C o >25°C	Continua
Humedad relativa	40-60%	<30% o >70%	Continua
Campos magnéticos	<50 Gauss	>100 Gauss	Periódica
Protección fuego	2 horas	-	Sistemas activos

Organización física:

1. Segregación por clasificación

   • Sección SECRETO: Acceso ultra-restringido
   • Sección CONFIDENCIAL: Acceso restringido
   • Sección INTERNO: Acceso controlado
   • Sección PÚBLICO: Acceso normal

2. Sistema de inventario

   Estructura de código de ubicación:
   [EDIFICIO]-[SALA]-[ARMARIO]-[ESTANTE]-[POSICIÓN]
   Ejemplo: HQ-S03-A12-E04-P023

3. Control de acceso escalonado

   • Nivel 1: Acceso al edificio
   • Nivel 2: Acceso a la sala
   • Nivel 3: Acceso al armario
   • Nivel 4: Acceso al soporte específico

Responsabilidades del custodio:

• Mantener el inventario actualizado
• Realizar verificaciones diarias de integridad
• Gestionar préstamos y devoluciones
• Reportar anomalías inmediatamente
• Coordinar auditorías periódicas

Procedimiento de acceso:

1. Solicitud formal con justificación
2. Aprobación del responsable de datos
3. Registro de entrada con firma
4. Supervisión durante el acceso (si CONFIDENCIAL o superior)
5. Verificación de devolución
6. Registro de salida con verificación de integridad

MP.SI.4 Transporte [APLICA: BÁSICA, MEDIA, ALTA]

Objetivo

Asegurar el transporte seguro de soportes de información médica entre ubicaciones, manteniendo la confidencialidad, integridad y disponibilidad durante el tránsito.

Documentos de referencia

• T-024-009 Vulnerability Disclosure Procedures
• Real Decreto 311/2022 - Anexo II, mp.si.4
• ISO 27001:2022 - A.8.3.3 Physical media transfer

Guía de implantación

Requisitos de transporte por categoría

Categoría	Método de transporte	Protección	Trazabilidad
BÁSICA	Mensajería estándar	Sobre sellado	Registro envío
MEDIA	Mensajería certificada	Contenedor con llave	Tracking + firma
ALTA	Transporte seguro	Contenedor blindado	GPS + escolta

Procedimiento de transporte seguro

1. Preparación para el envío:

• Verificación del contenido

  • Inventario detallado del envío
  • Verificación de cifrado activo
  • Comprobación de etiquetado correcto

• Embalaje por niveles

  Nivel 1: Soporte cifrado
  Nivel 2: Bolsa antiestática (si electrónico)
  Nivel 3: Espuma protectora
  Nivel 4: Contenedor rígido
  Nivel 5: Precinto de seguridad
  Nivel 6: Embalaje exterior

• Documentación requerida

  • Formulario de envío (R-110-019)
  • Autorización del responsable
  • Lista de contenido (sin detalles sensibles)
  • Instrucciones de manejo

2. Cadena de custodia:

Punto de control	Acción requerida	Registro
Origen	Firma y sello de salida	Hora, fecha, responsable
Recogida	Verificación de precintos	ID mensajero, empresa
Tránsito	Tracking continuo	Ubicación GPS, eventos
Entrega	Verificación de integridad	Firma receptor autorizado
Confirmación	Acuse de recibo	Verificación de contenido

3. Medidas de seguridad en tránsito:

• Físicas

  • Contenedores con cerraduras de seguridad
  • Precintos numerados tipo barrera
  • Indicadores de manipulación (shock, tilt, temperatura)
  • Materiales de protección contra impactos

• Lógicas

  • Cifrado del soporte obligatorio
  • Contraseña de acceso comunicada por canal separado
  • Autodestrucción tras intentos fallidos (si tecnológicamente viable)

• Procedimentales

  • Rutas predefinidas y seguras
  • Comunicación de llegada estimada
  • Protocolo de actuación ante incidentes
  • Límite de tiempo en tránsito

4. Transportes especiales:

• Internacional

  • Cumplimiento normativa aduanera
  • Documentación de exportación de datos
  • Consideraciones GDPR para transferencias

• Emergencias médicas

  • Procedimiento acelerado autorizado
  • Transporte prioritario
  • Comunicación directa origen-destino

Restricciones

No transportar nunca soportes con datos SECRETOS o CONFIDENCIALES sin cifrar. En caso de pérdida durante el transporte, activar inmediatamente el protocolo de brecha de datos.

MP.SI.5 Borrado y destrucción [APLICA: BÁSICA, MEDIA, ALTA]

Objetivo

Garantizar la eliminación segura y definitiva de información médica sensible de soportes de información al final de su ciclo de vida útil.

Documentos de referencia

• T-024-006 Cybersecurity Risk Management Plan
• Real Decreto 311/2022 - Anexo II, mp.si.5
• NIST SP 800-88 Rev. 1 - Guidelines for Media Sanitization
• Guía CCN-STIC 804 - Guía de implantación del ENS

Guía de implantación

Métodos de sanitización según NIST SP 800-88

Método	Descripción	Aplicable a	Nivel seguridad
Clear	Borrado lógico	Todos	Básico
Purge	Sobrescritura/Degauss	Magnéticos	Medio
Destroy	Destrucción física	Todos	Alto

Matriz de métodos por tipo de soporte y clasificación

Tipo de soporte	PÚBLICO	INTERNO	CONFIDENCIAL	SECRETO
HDD	Format	DoD 5220.22-M (3 pasadas)	DoD 5220.22-M (7 pasadas)	Destrucción física
SSD/Flash	Secure Erase	Crypto Erase	Crypto Erase + Purge	Destrucción física
Cintas	Sobrescritura	Degaussing	Degaussing + Verify	Incineración
Optical (CD/DVD)	Trituración	Trituración	Trituración fina	Incineración
Papel	Contenedor reciclaje	Trituración cruzada	Trituración DIN P-4	Trituración DIN P-7

Procedimientos específicos de borrado

1. Borrado lógico (Clear):

# Linux - Sobrescritura simple
dd if=/dev/urandom of=/dev/sdX bs=4M status=progress

# Windows - Cipher
cipher /w:C:\

# Verificación
hexdump /dev/sdX | head -100

2. Sobrescritura segura (Purge):

• DoD 5220.22-M (3 pasadas)

  1. Escritura de ceros (0x00)
  2. Escritura de unos (0xFF)
  3. Escritura de patrón aleatorio

• DoD 5220.22-M ECE (7 pasadas)

  1. Escritura de 0x00
  2. Escritura de 0xFF
  3. Escritura de patrón aleatorio
  4. Verificación
  5. Escritura de 0x00
  6. Escritura de 0xFF
  7. Escritura de patrón aleatorio

3. Destrucción física (Destroy):

Método	Descripción	Tamaño resultante
Trituración	Corte en fragmentos	< 2mm²
Desintegración	Reducción a polvo	< 0.5mm²
Incineración	Combustión completa	Cenizas
Fundición	Fusión del material	Líquido/sólido nuevo

Proceso de destrucción certificada

1. Solicitud y autorización:

Formulario R-110-020: Solicitud de Destrucción
- Identificación del soporte
- Clasificación de la información
- Motivo de la destrucción
- Método propuesto
- Firma del solicitante
- Aprobación del responsable de datos

2. Ejecución:

• Verificación de la identidad del soporte
• Aplicación del método aprobado
• Supervisión por personal de seguridad
• Documentación fotográfica (antes/después)

3. Certificación:

Certificado de Destrucción R-110-021
- Número de certificado único
- Fecha y hora de destrucción
- Método empleado
- Identificación de soportes destruidos
- Verificación de destrucción completa
- Firma del ejecutor
- Firma del supervisor
- Sello de la organización

4. Verificación forense (para datos CONFIDENCIALES o superior):

• Muestreo aleatorio de fragmentos
• Análisis de recuperabilidad
• Informe técnico de imposibilidad de recuperación

Proveedores autorizados de destrucción

Requisitos mínimos:

• Certificación ISO 27001
• Certificación EN 15713 (destrucción segura)
• Seguro de responsabilidad civil
• Transporte seguro propio
• Certificados de destrucción con validez legal

Cumplimiento normativo

La destrucción inadecuada de datos de salud puede resultar en sanciones graves bajo GDPR (hasta 20M€ o 4% de facturación anual). Siempre obtener certificación de destrucción.

Evaluación de eficacia

Indicadores clave de rendimiento (KPIs)

Medida	KPI	Objetivo BÁSICA	Objetivo MEDIA	Objetivo ALTA
mp.si.1	% soportes correctamente etiquetados	> 95%	> 98%	> 99%
mp.si.2	% soportes cifrados	N/A	100%	100%
mp.si.3	Tiempo localización cualquier soporte	< 1 hora	< 30 min	< 10 min
mp.si.4	Incidentes en transporte	0	0	0
mp.si.5	Destrucciones certificadas	100%	100%	100%

Métricas operacionales

Métrica	Frecuencia medición	Umbral alerta	Umbral crítico
Soportes sin localizar	Diaria	> 1	> 3
Accesos no autorizados	Continua	> 0	> 0
Temperatura sala custodia	Continua	<15°C o >25°C	<10°C o >30°C
Intentos de acceso fallidos	Tiempo real	> 3	> 5
Tiempo medio de destrucción	Mensual	> 7 días	> 14 días

Programa de auditoría

Auditorías internas:

Aspecto	BÁSICA	MEDIA	ALTA
Inventario completo	Anual	Semestral	Trimestral
Muestreo etiquetado	Semestral	Trimestral	Mensual
Verificación cifrado	N/A	Trimestral	Mensual
Simulacro transporte	Anual	Semestral	Trimestral
Proceso destrucción	Anual	Semestral	Trimestral

Elementos a verificar:

1. Etiquetado y clasificación

   • Correcta aplicación de etiquetas
   • Coherencia con el contenido
   • Legibilidad y estado

2. Cifrado

   • Algoritmos utilizados
   • Gestión de claves
   • Imposibilidad de acceso sin autorización

3. Custodia

   • Condiciones ambientales
   • Control de acceso funcionando
   • Inventario actualizado
   • Trazabilidad completa

4. Transporte

   • Cumplimiento de procedimientos
   • Integridad de precintos
   • Documentación completa

5. Destrucción

   • Métodos apropiados según clasificación
   • Certificados emitidos
   • Imposibilidad de recuperación

Formación y concienciación

Plan de formación

Audiencia	Contenido	Duración	Frecuencia
Todo el personal	Clasificación y etiquetado	1h	Anual
Personal IT	Cifrado y gestión de claves	4h	Anual
Custodios	Procedimientos completos	8h	Semestral
Personal de transporte	Manejo seguro	2h	Anual

Material de concienciación

• Guía rápida de clasificación
• Pósters de recordatorio
• Checklist de transporte
• Vídeos de procedimientos
• Simulacros de incidentes

Responsabilidades

Rol	Responsabilidades principales
Propietario de la información	- Clasificar la información - Autorizar acceso y destrucción - Definir periodo de retención
Custodio de soportes	- Mantener inventario - Controlar acceso físico - Gestionar préstamos - Verificar condiciones
Administrador de seguridad	- Gestionar cifrado - Auditar cumplimiento - Investigar incidentes
Usuario	- Etiquetar correctamente - Seguir procedimientos - Reportar incidencias

Registros y documentación

• R-110-019: Formulario de envío de soportes
• R-110-020: Solicitud de destrucción
• R-110-021: Certificado de destrucción
• R-110-022: Inventario de soportes
• R-110-023: Registro de accesos a custodia
• R-110-024: Auditoría de soportes de información

Referencias adicionales

• Guía CCN-STIC 804
• NIST SP 800-88 Rev. 1
• ISO/IEC 27040:2015 - Storage security

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

• Author: Team members involved
• Reviewer: JD-003, JD-004
• Approver: JD-001