Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.ACC.1 Identificación
          • OP.ACC.2 Requisitos de acceso
          • OP.ACC.3 Segregación de funciones y tareas
          • OP.ACC.4 Proceso de gestión de derechos de acceso
          • OP.ACC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.ACC.4 Proceso de gestión de derechos de acceso

OP.ACC.4 Proceso de gestión de derechos de acceso

Finalidad​

Este documento establece el proceso de gestión del ciclo de vida de los derechos de acceso conforme al control OP.ACC.4 del Anexo II del Real Decreto 311/2022, aplicable a un sistema de categoría ALTO. El objetivo es garantizar que los accesos se otorgan según necesidad legítima, se mantienen actualizados y se revocan oportunamente.

Principios​

  • Los derechos de acceso se estructuran según las necesidades de cada usuario en función de su rol y las tareas encomendadas.
  • La necesidad de acceso debe constar por escrito, autorizada por el Responsable de la Información o del Servicio correspondiente.
  • La necesidad de acceso se reasegura periódicamente; los derechos se extinguen cuando no se demuestre positivamente que la necesidad perdura.
  • Las cuentas de administración reciben atención especial, con procedimientos ágiles de cancelación y mecanismos de monitorización.

Ciclo de vida de los derechos de acceso​

Solicitud y concesión​

  1. El responsable del área solicita el acceso indicando el usuario, los recursos necesarios y la justificación.
  2. El Responsable de la Información o del Servicio autoriza la solicitud por escrito.
  3. El Responsable de Seguridad valida que la solicitud es coherente con la política de seguridad y la segregación de funciones (OP.ACC.3).
  4. El Responsable del Sistema implementa los derechos de acceso.
  5. Se notifica al usuario y se registra la concesión en el log de auditoría.

Revisión periódica​

Tipo de accesoFrecuenciaRevisor
Accesos con privilegios de administraciónTrimestralResponsable de Seguridad
Accesos a datos clínicosSemestralResponsable de la Información
Accesos estándarSemestralResponsable del Servicio
Accesos temporalesAl vencimientoResponsable que autorizó

En cada revisión se verifica que la necesidad de acceso persiste. Si no se justifica positivamente, los derechos se revocan.

Matriz de permisos persona × sistema × nivel​

La organización mantiene una matriz actualizada que relaciona cada persona del alcance con cada sistema y su nivel de acceso. Esta matriz es la referencia para todas las revisiones periódicas.

Sistemas incluidos en la matriz:

SistemaNiveles de acceso posibles
AWS IAMAdministrador, Desarrollador (escritura), Lectura, Sin acceso
Google WorkspaceAdministrador, Usuario estándar, Sin acceso
GitHubOwner, Maintainer, Escritura, Lectura, Sin acceso
WazuhAdministrador, Analista (lectura), Sin acceso

Formato de la matriz:

PersonaRol funcionalAWS IAMGoogle WorkspaceGitHubWazuh
(nombre)(rol)(nivel)(nivel)(nivel)(nivel)

La matriz se almacena como registro de GP-110 y se actualiza cada vez que se concede, modifica o revoca un acceso.

Proceso de revisión semestral de permisos​

Cada 6 meses, el Responsable del Sistema coordina una revisión completa de permisos siguiendo este flujo:

  1. Preparación (Responsable del Sistema):

    • Obtener capturas de pantalla de los permisos reales de cada sistema (consola AWS IAM, panel de administración de Google Workspace, configuración de GitHub, etc.).
    • Comparar las capturas con la matriz de permisos vigente.
    • Documentar las discrepancias encontradas.

  2. Verificación (Responsable de Seguridad):

    • Revisar las capturas y las discrepancias identificadas.
    • Confirmar que cada permiso está justificado y es coherente con la política de seguridad.
    • Aprobar o solicitar la revocación de permisos injustificados.
    • Registrar su revisión mediante commit en el repositorio del QMS.

  3. Registro:

    • Crear un registro de revisión semestral con los siguientes campos:
CampoDescripción
Fecha de revisiónFecha en que se realizó la revisión
Período revisadoSemestre al que corresponde (ej. 2026-S1)
Revisor (área sistemas)Persona que obtuvo las capturas y preparó la comparación
Verificador (Resp. Seguridad)Persona que validó la revisión
Sistemas revisadosLista de sistemas incluidos en la revisión
Discrepancias encontradasNúmero y descripción de permisos no justificados
Acciones correctivasCambios aplicados (revocaciones, ajustes)
Capturas adjuntasReferencia a las capturas de pantalla de cada sistema
ObservacionesNotas adicionales

Modificación​

Cuando un usuario cambia de función o de responsabilidades, se ajustan sus derechos de acceso. El proceso es el mismo que para la solicitud inicial: autorización del responsable del recurso, validación de seguridad e implementación técnica.

Revocación​

EventoPlazo de revocación
Terminación de la relación laboral o contractualInmediato
Cambio de rol o función24 horas
Violación de la política de seguridadInmediato
Expiración de acceso temporalAutomático
No justificación en revisión periódica48 horas
Inactividad superior a 90 díasAutomático

Gestión de accesos privilegiados​

Los accesos con privilegios de administración se gestionan con controles reforzados:

  • Concesión temporal y por tarea específica (principio just-in-time).
  • Autenticación multifactor obligatoria.
  • Registro completo de todas las acciones realizadas durante la sesión privilegiada.
  • Revocación automática al finalizar la tarea o al expirar el plazo concedido.

Responsabilidades​

Rol ENSResponsabilidad
Responsable de la InformaciónAutorizar el acceso a la información de su competencia, participar en revisiones
Responsable del ServicioAutorizar el acceso al servicio de su competencia, participar en revisiones
Responsable de SeguridadValidar solicitudes, coordinar revisiones periódicas, gestionar revocaciones de emergencia
Responsable del SistemaImplementar la concesión, modificación y revocación técnica de derechos

Documentos de referencia​

  • Real Decreto 311/2022, Anexo II, OP.ACC.4
  • ISO/IEC 27002:2013: 9.2.2, 9.2.3, 9.2.5, 9.2.6
  • NIST SP 800-53 rev. 4: AC-3 (Access Enforcement), AC-24 (Access Control Decisions)

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.ACC.3 Segregación de funciones y tareas
Next
OP.ACC.5 Mecanismo de autenticación
  • Finalidad
  • Principios
  • Ciclo de vida de los derechos de acceso
    • Solicitud y concesión
    • Revisión periódica
    • Matriz de permisos persona × sistema × nivel
    • Proceso de revisión semestral de permisos
    • Modificación
    • Revocación
  • Gestión de accesos privilegiados
  • Responsabilidades
  • Documentos de referencia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)