Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.ACC.1 Identificación
          • OP.ACC.2 Requisitos de acceso
          • OP.ACC.3 Segregación de funciones y tareas
          • OP.ACC.4 Proceso de gestión de derechos de acceso
          • OP.ACC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.ACC.1 Identificación

OP.ACC.1 Identificación

Finalidad​

Este documento define los controles de identificación conforme al control OP.ACC.1 del Anexo II del Real Decreto 311/2022, aplicables a un sistema de categoría ALTO. El objetivo es garantizar que cada entidad (usuario o proceso) que accede al sistema disponga de un identificador singular que permita la trazabilidad completa de sus acciones.

Principios de identificación​

Se asigna un identificador singular a cada entidad que accede al sistema y a cada rol de cada entidad frente al sistema (administrador, usuario, etc.), de forma que:

  • Se pueda saber quién recibe qué derechos de acceso.
  • Se pueda saber quién ha hecho qué, permitiendo depurar responsabilidades y corregir errores.

La identificación de usuarios va asociada a una cuenta de usuario. Los derechos de un usuario son los de su cuenta en el sistema.

Gestión de cuentas de usuario​

La organización gestiona las cuentas de usuario conforme a las siguientes reglas:

SituaciónAcción
El usuario deja la organizaciónInhabilitación inmediata de la cuenta
El usuario cesa en la función que requería la cuentaInhabilitación de la cuenta
La persona que autorizó el acceso da orden en contraInhabilitación de la cuenta
Cuenta inhabilitadaRetención durante el período necesario para la trazabilidad de los registros de actividad
Inactividad superior a 90 díasInhabilitación automática de la cuenta
3 intentos fallidos de autenticaciónBloqueo temporal de la cuenta

No pueden existir dos cuentas con el mismo identificador, de forma que no se puedan confundir dos usuarios ni imputar actividades a usuarios diferentes.

Tipos de identidades​

TipoDescripciónMétodo de autenticación
Usuarios de la plataformaProfesionales sanitarios y personal autorizadoOAuth 2.0 + MFA
Personal técnicoAdministradores y soporteOAuth 2.0 + MFA
Servicios automatizadosProcesos e integraciones internasCertificado mTLS
Integraciones externasConexiones con sistemas de tercerosAPI Key + certificado

Ciclo de vida de las identidades​

Alta​

  1. El Responsable de la Información o del Servicio solicita el alta, indicando la función y los derechos necesarios.
  2. El Responsable de Seguridad valida la solicitud.
  3. Se genera un identificador único y se asignan los roles correspondientes.
  4. Se configura la autenticación multifactor de forma obligatoria.
  5. Se registra el alta en el log de auditoría.

Revisión periódica​

El Responsable de Seguridad coordina revisiones periódicas de las identidades activas:

  • Trimestral: cuentas con privilegios de administración.
  • Semestral: cuentas de usuarios estándar.
  • Anual: cuentas de servicio e integraciones.

En cada revisión se verifica que la necesidad de acceso perdura. Las cuentas sin justificación vigente se inhabilitan.

Baja​

  1. Inhabilitación inmediata del acceso.
  2. Revocación de tokens y sesiones activas.
  3. Retención de registros de actividad durante el período establecido (mínimo 2 años para categoría ALTO).

Responsabilidades​

Rol ENSResponsabilidad
Responsable de la InformaciónSolicitar altas y bajas de usuarios que acceden a la información de su competencia
Responsable del ServicioSolicitar altas y bajas de usuarios que acceden al servicio de su competencia
Responsable de SeguridadAprobar altas, supervisar revisiones periódicas, definir la política de identificación
Responsable del SistemaEjecutar la gestión técnica de identidades, generar informes de auditoría

Documentos de referencia​

  • Real Decreto 311/2022, Anexo II, OP.ACC.1
  • ISO/IEC 27002:2013, 9.2.1 - Registro y baja de usuario
  • NIST SP 800-53 rev. 4: AC-2 (Account Management), IA-4 (Identifier Management)

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Previous
OP.ACC Control de acceso
Next
OP.ACC.2 Requisitos de acceso
  • Finalidad
  • Principios de identificación
  • Gestión de cuentas de usuario
  • Tipos de identidades
  • Ciclo de vida de las identidades
    • Alta
    • Revisión periódica
    • Baja
  • Responsabilidades
  • Documentos de referencia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)