Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.ACC.1 Identificación
          • OP.ACC.2 Requisitos de acceso
          • OP.ACC.3 Segregación de funciones y tareas
          • OP.ACC.4 Proceso de gestión de derechos de acceso
          • OP.ACC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.ACC.6 Acceso local

OP.ACC.6 Acceso local

Finalidad​

Este documento define los controles para el acceso local al sistema de información conforme al control OP.ACC.6 del Anexo II del Real Decreto 311/2022, aplicable a un sistema de categoría ALTO. El acceso local se refiere a las conexiones realizadas desde estaciones de trabajo y dispositivos dentro de la red de la organización.

Controles de acceso local​

La organización aplica las siguientes medidas para el acceso local:

Antes de conceder el acceso​

  • Se muestra exclusivamente el diálogo de autenticación, evitando información que pueda atraer a usuarios no autorizados (no se indica el tipo de información que contiene el sistema).
  • Se requiere identificación y autenticación conforme a OP.ACC.1 y OP.ACC.5.
  • Para categoría ALTO, se requiere autenticación de doble factor en el acceso local.

Bloqueo por intentos fallidos​

Se limita a 3 intentos fallidos consecutivos antes de bloquear la cuenta, impidiendo ataques de fuerza bruta. El bloqueo se gestiona conforme a la política de autenticación (OP.ACC.5).

Registro de accesos​

Se registran todos los accesos al sistema, tanto exitosos como fallidos, incluyendo:

  • Identificador del usuario.
  • Fecha y hora.
  • Resultado (exitoso o fallido).
  • Dirección de origen.

Los registros se conservan durante un mínimo de 2 años (requisito para categoría ALTO) y se revisan periódicamente o mediante herramientas automatizadas para detectar patrones anómalos.

Notificación al usuario​

Tras un acceso exitoso, el sistema informa al usuario del último acceso realizado con su identidad (fecha y hora), permitiéndole detectar posibles suplantaciones.

Restricción de horarios y ubicaciones​

Se controla el acceso al sistema restringiendo, cuando proceda, los horarios y las ubicaciones desde las que se permite el acceso. Las excepciones se documentan y justifican.

Entorno protegido​

Para categoría ALTO, el acceso local se realiza desde un entorno protegido que cumple las siguientes condiciones:

  • Las estaciones de trabajo están configuradas conforme a las guías CCN-STIC aplicables (Serie 500 para entornos Windows, Serie 600 para otros entornos).
  • El cifrado de disco está habilitado.
  • El firewall local está activo.
  • Las actualizaciones de seguridad se aplican de forma periódica.
  • Los dispositivos de almacenamiento extraíble están deshabilitados salvo autorización expresa del Responsable de Seguridad.

Verificación puntual de identidad​

En puntos críticos del sistema se requiere verificación adicional de la identidad del usuario (por ejemplo, para operaciones sensibles), acotando la ventana de riesgo ante un posible robo de sesión.

Responsabilidades​

Rol ENSResponsabilidad
Responsable de SeguridadDefinir la política de acceso local, aprobar excepciones
Responsable del SistemaConfigurar y mantener las estaciones de trabajo, aplicar las políticas técnicas
Responsable del ServicioDefinir restricciones de horarios y ubicaciones para el servicio
Responsable de la InformaciónDefinir restricciones de acceso a la información desde entornos locales

Documentos de referencia​

  • Real Decreto 311/2022, Anexo II, OP.ACC.6
  • Guías CCN-STIC: Serie 500 (Entornos Windows), Serie 600 (Otros Entornos)
  • ISO/IEC 27002:2013, 9.4.2 - Procedimientos seguros de inicio de sesión
  • NIST SP 800-53 rev. 4: AC-7, AC-8, AC-9

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Previous
OP.ACC.5 Mecanismo de autenticación
Next
OP.ACC.7 Acceso remoto
  • Finalidad
  • Controles de acceso local
    • Antes de conceder el acceso
    • Bloqueo por intentos fallidos
    • Registro de accesos
    • Notificación al usuario
    • Restricción de horarios y ubicaciones
    • Entorno protegido
    • Verificación puntual de identidad
  • Responsabilidades
  • Documentos de referencia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)