OP.ACC.6 Acceso local
Objetivo
Definir los controles y procedimientos para el acceso local al sistema Legit Health Plus, garantizando la seguridad en las conexiones desde redes internas, estaciones de trabajo autorizadas y entornos controlados, cumpliendo con ENS, MDR y normativas de ciberseguridad para dispositivos médicos.
Alcance
Este procedimiento aplica a:
- Acceso desde estaciones de trabajo dentro de la red corporativa
- Conexiones desde equipos médicos con el software instalado
- Acceso administrativo local a servidores y sistemas
- Terminales y kioscos de acceso en instalaciones sanitarias
- Acceso desde redes segmentadas y VLANs médicas
- Conexiones de mantenimiento y soporte técnico local
Implementación en Legit Health Plus
Arquitectura de Acceso Local
Configuración de Estaciones de Trabajo
Requisitos Mínimos de Seguridad
| Componente | Requisito | Configuración | Verificación |
|---|---|---|---|
| Sistema Operativo | Windows 10/11 Enterprise o macOS 12+ | Hardening según CIS Benchmarks | Quarterly audit |
| Antivirus/EDR | Solución empresarial actualizada | CrowdStrike o similar | Monitoreo continuo |
| Firewall Local | Habilitado y configurado | Reglas restrictivas | Revisión mensual |
| Cifrado de Disco | BitLocker/FileVault activo | AES-256 | Verificación periódica |
| Parches | Actualizaciones automáticas | Ventana de mantenimiento | WSUS/JAMF |
| Navegador | Última versión estable | Configuración empresarial | GPO/MDM |
Política de Configuración Segura
Configuración de Seguridad para Estaciones de Trabajo Windows
Método de Aplicación: Group Policy Objects (GPO) centralizado
Controles de Seguridad Requeridos:
1. Seguridad Local del Sistema
| Control | Configuración Requerida | Valor | Justificación |
|---|---|---|---|
| Limitación de contraseñas en blanco | LimitBlankPasswordUse | Habilitado (1) | Prevenir acceso sin contraseña a cuentas locales |
2. Política de Bloqueo de Pantalla
| Parámetro | Valor Requerido | Descripción |
|---|---|---|
| Tiempo de inactividad | 600 segundos (10 minutos) | Bloqueo automático de pantalla tras 10 minutos sin actividad |
| Requiere credenciales | Sí | Solicitar contraseña para desbloquear |
3. Restricción de Dispositivos USB
| Control | Estado | Descripción |
|---|---|---|
| Almacenamiento USB (USBSTOR) | Deshabilitado (Start = 4) | Bloquear uso de dispositivos de almacenamiento USB para prevenir fuga de datos |
Excepciones: Dispositivos autorizados específicamente por el equipo de seguridad deben añadirse a lista blanca mediante política separada.
4. Auditoría de Eventos
Categorías de auditoría habilitadas:
| Categoría | Eventos Exitosos | Eventos Fallidos | Propósito |
|---|---|---|---|
| Logon/Logoff | Habilitado | Habilitado | Rastrear todos los inicios y cierres de sesión |
| Object Access | Habilitado | Habilitado | Registrar accesos a archivos y recursos protegidos |
Propósito: Generar registros completos de auditoría para análisis de seguridad y cumplimiento ENS.
5. Configuración de Windows Defender
Protecciones activadas obligatoriamente:
| Protección | Estado Requerido | Descripción |
|---|---|---|
| Monitoreo en tiempo real | Habilitado (false = no deshabilitado) | Escaneo activo continuo de archivos y programas |
| Monitoreo de comportamiento | Habilitado | Detección de comportamientos sospechosos |
| Bloqueo a primera vista | Habilitado | Bloquear malware conocido instantáneamente |
| Protección IOAV | Habilitado | Protección contra malware en descargas y adjuntos |
Frecuencia de actualización de definiciones: Diaria automática
Verificación de Aplicación:
Método: Auditoría trimestral mediante:
- Verificación de configuración de GPO aplicada
- Comprobación en muestra aleatoria de estaciones (10% mínimo)
- Revisión de logs de aplicación de políticas
- Test de cumplimiento con herramientas de escaneo CIS
Responsable: Equipo de IT Operations + Security Team
Registro de Evidencias:
- Screenshots de configuración GPO
- Reportes de cumplimiento trimestral
- Logs de aplicación de políticas
- Incidencias detectadas y resolución
Control de Acceso a la Red (NAC)
Validación de Dispositivos
PRO-NAC-001: Validación de Dispositivo para Acceso a la Red
Objetivo: Validar que un dispositivo cumple con los requisitos de seguridad antes de permitir su acceso a la red corporativa.
Sistema: Network Access Control (NAC) - Control de Acceso a la Red
Pasos de validación:
- Inicializar resultado de validación:
- Registrar ID del dispositivo (dirección MAC)
- Anotar timestamp de la validación
- Preparar lista de verificaciones realizadas
- Establecer estado inicial: Acceso denegado
- VLAN asignada: Ninguna
- Verificar registro del dispositivo:
- Criterio: El dispositivo debe estar registrado en el inventario corporativo
- Verificación: Consultar base de datos de dispositivos autorizados usando la dirección MAC
- Si NO está registrado:
- Agregar verificación fallida: "device_registration" - FAILED
- Motivo: "Dispositivo no registrado"
- DENEGAR acceso y finalizar validación
- Acción: Enviar alerta al equipo de seguridad
- Si está registrado: Continuar con siguiente verificación
- Verificar certificado del dispositivo:
- Criterio: El dispositivo debe presentar un certificado digital válido y no expirado
- Verificación: Validar certificado X.509 del dispositivo
- Si el certificado es inválido o ha expirado:
- Agregar verificación fallida: "certificate_validation" - FAILED
- Motivo: "Certificado inválido o expirado"
- DENEGAR acceso y finalizar validación
- Acción: Notificar al propietario del dispositivo para renovación
- Si el certificado es válido: Continuar con siguiente verificación
- Verificar cumplimiento de políticas de seguridad:
- Criterio: El dispositivo debe cumplir con todos los requisitos de seguridad (ver PRO-NAC-001-A)
- Verificación: Ejecutar validación de cumplimiento
- Si NO cumple con las políticas:
- Agregar verificación fallida: "policy_compliance" - FAILED
- Motivo: Lista de violaciones detectadas
- DENEGAR acceso y finalizar validación
- Acción: Proporcionar lista de violaciones para corrección
- Si cumple con todas las políticas: Continuar con siguiente verificación
- Verificar estado de seguridad (postura de seguridad):
- Criterio: El dispositivo debe tener una puntuación de riesgo aceptable
- Verificación: Evaluar postura de seguridad y calcular puntuación de riesgo (0.0 a 1.0)
- Si puntuación de riesgo > 0.7 (70%):
- Agregar verificación: "security_posture" - QUARANTINE
- Motivo: "Riesgo elevado detectado"
- ASIGNAR a VLAN de remediación: "VLAN_REMEDIATION" (VLAN 99)
- El dispositivo tendrá acceso limitado solo para aplicar correcciones
- Finalizar validación con acceso restringido
- Si puntuación de riesgo ≤ 0.7: Continuar con asignación de VLAN
- Determinar y asignar VLAN apropiada:
- Consultar tipo de dispositivo (estación clínica, dispositivo médico, administrativo, etc.)
- Asignar VLAN según tabla de segmentación de red:
- VLAN 10 (CLINICAL): Estaciones clínicas con acceso a funciones diagnósticas
- VLAN 20 (MEDICAL_DEVICES): Dispositivos médicos con comunicación restringida
- VLAN 30 (ADMINISTRATIVE): Gestión y administración con acceso limitado
- VLAN 40 (GUEST): Invitados y pacientes con acceso mínimo
- VLAN 50 (MANAGEMENT): Administración IT con privilegios
- CONCEDER acceso a la red
- Registrar VLAN asignada
- Registrar resultado de validación:
- Documentar todas las verificaciones realizadas
- Estado final: Acceso concedido o denegado
- VLAN asignada (si aplica)
- Timestamp de decisión
- Generar log de auditoría
Resultado: Dispositivo validado con acceso concedido (con VLAN asignada), acceso restringido (cuarentena), o acceso denegado (con motivo específico)
Tiempo de procesamiento objetivo: < 5 segundos
PRO-NAC-001-A: Verificación de Cumplimiento de Políticas de Seguridad
Objetivo: Verificar que un dispositivo cumple con los requisitos mínimos de seguridad para acceder a la red.
Requisitos verificados:
1. Antivirus Actualizado:
- Criterio: El software antivirus debe estar instalado y actualizado
- Verificación: Comprobar fecha de última actualización de definiciones
- Si NO está actualizado: Agregar violación "Antivirus no actualizado"
2. Cifrado de Disco:
- Criterio: El disco duro debe estar cifrado (BitLocker, FileVault, LUKS)
- Verificación: Comprobar estado de cifrado del disco del sistema
- Si NO está cifrado: Agregar violación "Disco no cifrado"
3. Parches del Sistema Operativo:
- Criterio: El sistema debe tener todos los parches críticos aplicados
- Verificación: Contar número de parches críticos pendientes
- Si hay > 5 parches críticos pendientes: Agregar violación "Parches críticos pendientes"
4. Firewall Activo:
- Criterio: El firewall local debe estar habilitado y activo
- Verificación: Comprobar estado del firewall del sistema
- Si NO está habilitado: Agregar violación "Firewall deshabilitado"
Evaluación de cumplimiento:
- CUMPLE (compliant = true): Si NO hay violaciones (lista vacía)
- NO CUMPLE (compliant = false): Si hay una o más violaciones
Resultado:
- compliant: true/false
- violations: Lista de violaciones detectadas (vacía si cumple)
Acción si no cumple:
- Denegar acceso a la red
- Proporcionar lista específica de violaciones al usuario
- Guiar al usuario para corregir cada violación
- Permitir revalidación una vez corregidas las violaciones
Segmentación de Red
VLANs y Zonas de Seguridad
| VLAN | Nombre | Propósito | Controles Especiales |
|---|---|---|---|
| 10 | CLINICAL | Estaciones clínicas | Acceso completo a funciones diagnósticas |
| 20 | MEDICAL_DEVICES | Dispositivos médicos | Comunicación restringida, sin Internet |
| 30 | ADMINISTRATIVE | Gestión y administración | Acceso limitado a datos clínicos |
| 40 | GUEST | Invitados y pacientes | Solo acceso a portal de pacientes |
| 50 | MANAGEMENT | Administración IT | Acceso privilegiado con MFA |
| 99 | QUARANTINE | Dispositivos en cuarentena | Sin acceso, solo remediación |
Gestión de Sesiones Locales
Parámetros de Sesión
Configuración de Sesiones Locales
1. Configuración de Timeouts
| Parámetro | Valor | Descripción |
|---|---|---|
| Timeout por inactividad | 600 segundos (10 minutos) | Tiempo máximo sin actividad antes de cerrar sesión automáticamente |
| Timeout absoluto | 28800 segundos (8 horas) | Duración máxima de sesión independientemente de actividad |
| Aviso previo | 60 segundos (1 minuto) | Notificación antes del cierre por timeout, permite extender sesión |
2. Configuración de Bloqueo de Pantalla
| Parámetro | Valor | Descripción |
|---|---|---|
| Bloqueo habilitado | Sí | Bloqueo automático de pantalla activado |
| Tiempo para bloqueo | 300 segundos (5 minutos) | Tiempo de inactividad antes de bloquear pantalla |
| Requiere contraseña | Sí | Solicitar contraseña para desbloquear |
| Requiere MFA | No | MFA no requerido para reactivación rápida (solo contraseña) |
Justificación MFA: Para sesiones locales, MFA no se requiere en el desbloqueo de pantalla para permitir reactivación rápida tras breves ausencias. La autenticación inicial de login sí requiere MFA.
3. Restricciones de Sesión
| Restricción | Configuración | Descripción |
|---|---|---|
| Sesiones locales concurrentes | Máximo 1 | Un usuario solo puede tener una sesión local activa simultáneamente |
| Captura de pantalla | Prevenir: Sí | Bloquear captura de pantalla en aplicaciones sensibles |
| Portapapeles | Deshabilitar: No | Portapapeles habilitado para operaciones normales |
| Marca de agua | Habilitada: Sí | Mostrar marca de agua con ID de usuario en pantallas con datos sensibles |
Propósito de controles:
- Prevención de capturas: Proteger datos de pacientes contra capturas no autorizadas
- Portapapeles habilitado: Permitir operaciones de copiar/pegar necesarias para trabajo clínico
- Marca de agua: Identificar al usuario responsable en capturas o fotografías de pantalla
Monitorización y Logs
Eventos de Acceso Local Monitorizados
| Evento | Severidad | Acción | Retención |
|---|---|---|---|
| Login exitoso | INFO | Log + Dashboard | 90 días |
| Login fallido | WARNING | Log + Alerta tras 3 intentos | 180 días |
| Escalación de privilegios | HIGH | Log + Alerta inmediata + SIEM | 2 años |
| Acceso fuera de horario | MEDIUM | Log + Notificación manager | 1 año |
| Dispositivo no autorizado | HIGH | Bloqueo + Alerta SOC | 2 años |
| Sesión expirada | INFO | Log | 30 días |
Procedimientos
PRO-AAC-015: Configuración de Acceso Local
- Registro de Estación de Trabajo
- Inventario del equipo en CMDB
- Instalación de agente de gestión
- Aplicación de políticas de grupo
- Instalación de certificado de dispositivo
- Hardening del Sistema
- Aplicación de baseline de seguridad
- Configuración de auditoría local
- Deshabilitación de servicios innecesarios
- Configuración de firewall local
- Integración con NAC
- Registro de MAC address
- Configuración de 802.1X
- Pruebas de conectividad
- Asignación de VLAN
PRO-AAC-016: Gestión de Sesiones Locales
- Inicio de Sesión
- Presentación de banner legal
- Autenticación multifactor
- Carga de perfil de usuario
- Notificación de último acceso
- Durante la Sesión
- Monitoreo de actividad
- Aplicación de timeouts
- Bloqueo automático de pantalla
- Prevención de captura de pantalla si aplica
- Cierre de Sesión
- Guardado de estado
- Limpieza de caché local
- Cierre de conexiones
- Registro de logout
PRO-AAC-017: Respuesta a Incidentes de Acceso Local
- Detección de Anomalías
- Alertas automáticas del SIEM
- Revisión de logs
- Correlación de eventos
- Contención
- Aislamiento del equipo afectado
- Suspensión de cuenta si necesario
- Captura de evidencia forense
- Investigación
- Análisis de logs detallado
- Entrevista al usuario
- Determinación de causa raíz
- Remediación
- Eliminación de malware si presente
- Cambio de credenciales
- Actualización de controles
- Documentación de lecciones aprendidas
Responsabilidades
Administradores de Sistemas
- Configurar y mantener estaciones de trabajo
- Aplicar políticas de seguridad
- Gestionar NAC y VLANs
- Responder a incidentes locales
Equipo de Seguridad
- Definir políticas de acceso local
- Monitorizar eventos de seguridad
- Auditar configuraciones
- Investigar incidentes
Usuarios Finales
- Proteger sus estaciones de trabajo
- Bloquear pantalla al ausentarse
- No compartir credenciales
- Reportar comportamientos anómalos
Service Desk
- Soporte de primer nivel
- Reseteo de contraseñas locales
- Asistencia en problemas de conectividad
- Escalamiento de incidentes
Registros y Evidencias
Documentación Requerida
| Registro | Descripción | Retención | Ubicación |
|---|---|---|---|
| R-TF-110-019 | Inventario de estaciones | Permanente | CMDB |
| R-TF-110-020 | Configuración de hardening | 3 años | SharePoint |
| R-TF-110-021 | Logs de acceso local | 1 año | SIEM |
| R-TF-110-022 | Incidentes de acceso local | 5 años | JIRA |
Formato de Log
Contenido Requerido en Registros de Auditoría de Acceso Local
Cada evento de acceso local debe registrar la siguiente información completa para cumplir con los requisitos de auditoría de ENS:
Información del Evento:
- Tipo de evento: LOCAL_ACCESS, WORKSTATION_LOGIN, LOCAL_LOGOUT, SCREEN_LOCK, SCREEN_UNLOCK, etc.
- Timestamp (fecha y hora): Momento exacto del evento en formato ISO 8601 (ej: 2024-01-20T09:15:30Z)
Información de la Estación de Trabajo:
- Identificador de estación: Nombre o código único de la estación de trabajo (ej: WS-CLINIC-001)
- Dirección IP: Dirección IP asignada a la estación (ej: 192.168.10.45)
- Dirección MAC: Dirección física de la tarjeta de red (ej: AA:BB:CC:DD:EE:FF)
- VLAN asignada: Segmento de red al que pertenece (ej: CLINICAL, ADMINISTRATIVE, MANAGEMENT)
Información del Usuario:
- ID del usuario: Identificador único del usuario (ej: LH-HCP-dr-smith)
- Tipo de identidad: HCP, ITP, ADMIN, etc.
- Departamento: Servicio o área al que pertenece
Información de Autenticación:
- Acción realizada: LOGIN_SUCCESS, LOGIN_FAILURE, LOGOUT, SESSION_TIMEOUT, FORCED_LOGOUT, etc.
- Método de autenticación: SMARTCARD, PASSWORD, BIOMETRIC, CERTIFICATE, PASSWORD_MFA, etc.
- Factores utilizados: Número y tipo de factores de autenticación aplicados
Información de Sesión:
- ID de sesión: Identificador único de la sesión local (ej: local-sess-123456)
- Duración de sesión: Tiempo total de la sesión (al cerrar)
- Última actividad: Timestamp de última acción del usuario
Estado de Cumplimiento:
- Estado de compliance: COMPLIANT, NON_COMPLIANT, QUARANTINE, REMEDIATION
- Verificaciones realizadas: Antivirus actualizado, disco cifrado, parches aplicados, firewall activo
- Violaciones detectadas: Lista de incumplimientos si estado es NON_COMPLIANT
Ejemplos de Registros:
-
Login exitoso: Tipo: LOCAL_ACCESS, Timestamp: 2024-01-20T09:15:30Z, Estación: WS-CLINIC-001, Usuario: LH-HCP-dr-smith, IP: 192.168.10.45, MAC: AA:BB:CC:DD:EE:FF, VLAN: CLINICAL, Acción: LOGIN_SUCCESS, Método: SMARTCARD, Sesión: local-sess-123456, Estado: COMPLIANT
-
Login fallido por certificado inválido: Tipo: LOCAL_ACCESS, Timestamp: 2024-01-20T10:30:15Z, Estación: WS-ADMIN-005, Usuario: LH-ITP-jdoe, IP: 192.168.30.12, Acción: LOGIN_FAILURE, Método: SMARTCARD, Motivo: CERTIFICATE_EXPIRED, Estado: NON_COMPLIANT
-
Dispositivo en cuarentena: Tipo: LOCAL_ACCESS, Timestamp: 2024-01-20T11:45:00Z, Estación: WS-TEMP-099, Usuario: LH-HCP-mlopez, IP: 192.168.99.5, VLAN: QUARANTINE, Acción: LOGIN_RESTRICTED, Estado: REMEDIATION, Violaciones: [Antivirus no actualizado, 8 parches críticos pendientes]
-
Logout por timeout: Tipo: LOCAL_ACCESS, Timestamp: 2024-01-20T18:25:30Z, Estación: WS-CLINIC-001, Usuario: LH-HCP-dr-smith, Sesión: local-sess-123456, Acción: SESSION_TIMEOUT, Duración: 28800 segundos (8 horas), Última actividad: 2024-01-20T18:15:30Z
Almacenamiento y Retención:
- Sistema de almacenamiento: SIEM (Security Information and Event Management)
- Período de retención: 1 año (según R-TF-110-021)
- Logs de incidentes de seguridad: 5 años (según R-TF-110-022)
- Acceso a logs: Restringido a Security Team y auditores autorizados
Métricas y KPIs
| Métrica | Objetivo | Frecuencia | Responsable |
|---|---|---|---|
| Estaciones compliance | >95% | Diario | IT Ops |
| Intentos de acceso bloqueados | <10/día | Continuo | SOC |
| Tiempo medio de login | <10 seg | Continuo | Infrastructure |
| Dispositivos en cuarentena | <5% | Diario | NAC Admin |
| Parches aplicados en plazo | 100% críticos | Semanal | Patch Mgmt |
| Incidentes de seguridad local | <2/mes | Mensual | Security |
Referencias Cruzadas
Documentos Internos
- OP.ACC.5: Mecanismos de autenticación
- OP.ACC.7: Acceso remoto (complementario)
- MP.EQ.2: Protección de equipos
- T-024-009: Security Architecture
- GP-013: Marco de ciberseguridad
Cumplimiento Normativo
- ENS: [op.acc.6] Acceso local
- ISO 27001: A.9.4.2 - Procedimientos seguros de inicio de sesión
- MDR: Requisito 17.2 - Seguridad de acceso físico y lógico
- NIST 800-53: AC-7, AC-8, AC-9
- CIS Controls: Control 1, 4, 5
Documentos de referencia
- Guías CCN-STIC:
- Serie CCN-STIC-500 Guías para Entornos Windows
- Serie CCN-STIC-600 Guías para otros Entornos
- ISO/IEC 27000
- 27002:2013:
- 9.4.2 - Procedimientos seguros de inicio de sesión
- 27002:2013:
- NIST SP 800-53 rev4:
- [AC-7] Unsuccessful Login Attempts
- [AC-8] System Use Notification
- [AC-9] Previous Login Notification
- [IA-5] Authenticator Management
- [IA-6] Authenticator Feedback
- [SI-11] Error Handling
Guía de implantación
- La mayor parte de las medidas requeridas se pueden conseguir simplemente configurando los puestos de usuario según se indica.
- Como manera preventiva, la información que se visualiza antes de acceder a un sistema deberá procurar ser la menos posible para evitar dar a conocer qué información puede encontrar dentro alguien que pueda estar tentado de vulnerar el sistema. Por tanto, es recomendable que se muestre meramente el diálogo de acceso y en todo caso algo de información comercial sin valor relacionada con la información manejada. Por ejemplo, deberá evitarse texto de tipo advertencia por estar a punto de entrar a un portal o aplicación que contiene información confidencial de un determinado tipo, ya que habitualmente estas advertencias pueden atraer a usuarios no autorizados.
- Limitar el número de intentos de acceso para bloquear la oportunidad de acceso una vez efectuados un cierto número de fallos consecutivos, ya sea mediante bloqueo de la cuenta o retardo de la solicitud de contraseña.
- Guardar un registro o log de los accesos realizados a un sistema, tanto los accesos correctos como aquéllos realizados erróneamente. Esto último es especialmente importante de cara a detectar continuos intentos de vulnerar el sistema (mediante por ejemplo ataques de fuerza bruta), ya sea mediante revisiones periódicas de los registros (logs) o con herramientas automatizadas que detecten este tipo de eventos.
- El usuario deberá tener conocimiento de las obligaciones tras acceder satisfactoriamente a un sistema (por ejemplo, una ventana emergente). En caso de que el sistema no permita notificar inmediatamente tras el acceso, deberá notificársele por otras vías compensatorias (por ejemplo, un correo electrónico tras el alta en el sistema).
-
El sistema debe informar al usuario del último acceso con éxito realizado con su identidad (fecha y hora), una vez haya obtenido acceso. Este mecanismo (que puede ser implementado mediante diferentes mecanismos como: pop-up, correo electrónico, SMS, etc.) permitirá al usuario detectar si su cuenta de usuario ha sido comprometida y pueda activar el procedimiento de resolución de incidentes relacionados con contraseñas. Por ejemplo, tras un periodo de inactividad en la cuenta (vacaciones, bajas, etc.), si al usuario se le notifica un acceso reciente sabrá inmediatamente que alguien ha suplantado su identidad en el sistema.
-
En caso de no ser posible la implementación de este aviso de manera proactiva por parte del sistema, se deberán establecer los mecanismos necesarios para que el usuario pueda consultar el registro de accesos.
-
Se deberá controlar que el acceso a los sistemas se restrinja en determinados momentos (por ejemplo, días festivos, fin de la jornada laboral, etc.) y lugares (direcciones IP fuera del dominio de seguridad, teletrabajo, equipos no autorizados, etc.), para evitar accesos no supervisados que puedan generar modificaciones o fraudes clandestinos o no autorizados.
-
No obstante, es posible que existan sistemas que no requieran limitar el acceso (por ejemplo, porque precisamente el propósito del sistema sea ser accesible en cualquier momento y lugar), pero deberá estar debidamente documentada esta casuística.
-
El requisito de que en ciertos puntos se requiera una identificación singular no es alcanzable por medio de configuración del puesto del usuario, sino que requiere instrumentar workflow de los procesos. Como regla general, estos puntos deben ser pocos y el sistema no debe memorizar la identidad del usuario, sino que debe verificarla cada vez.
-
Como ejemplo, piense en la firma electrónica que se exige en banca por Internet cada vez que queremos realizar una transferencia; esta ‘firma’ complementa la identificación y autenticación de la sesión de usuario. Esta verificación puntual acota la ventana de riesgo ante un posible robo de sesión.
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001