Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
          • OP.ACC.1 Identificación
          • OP.ACC.2 Requisitos de acceso
          • OP.ACC.3 Segregación de funciones y tareas
          • OP.ACC.4 Proceso de gestión de derechos de acceso
          • OP.ACC.5 Mecanismo de autenticación
          • OP.ACC.6 Acceso local
          • OP.ACC.7 Acceso remoto
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.ACC Control de acceso
  • OP.ACC.7 Acceso remoto

OP.ACC.7 Acceso remoto

Finalidad​

Este documento define los controles para el acceso remoto al sistema de información conforme al control OP.ACC.7 del Anexo II del Real Decreto 311/2022, aplicable a un sistema de categoría ALTO. El acceso remoto es fuente de numerosos riesgos porque no puede suponer el mismo nivel de controles de seguridad física que en las instalaciones de la organización.

Controles de acceso remoto​

Identificación y autenticación reforzada​

Se exige un mecanismo robusto de identificación y autenticación conforme a OP.ACC.1 y OP.ACC.5. Para categoría ALTO, se requiere autenticación de doble factor con elementos criptográficos acreditados por el CCN.

Canal seguro​

El acceso remoto se realiza a través de una red privada virtual (VPN) u otro canal cifrado que garantice la confidencialidad e integridad de las comunicaciones, conforme a los controles MP.COM.2 y MP.COM.3.

Política de acceso remoto​

La organización mantiene una política que establece:

AspectoControl aplicado
Aplicaciones utilizables en remotoSolo las expresamente autorizadas
Datos accesiblesSegún perfil de acceso del usuario, con restricciones adicionales si procede
Almacenamiento local de datosProhibido salvo autorización expresa del Responsable de Seguridad
Duración máxima de sesiónLimitada conforme a OP.ACC.5
Timeout de inactividadCierre automático de sesiones inactivas
Dispositivos permitidosPreferentemente equipos propiedad de la organización, configurados y sin derechos de administración para el usuario

Bloqueo por intentos fallidos​

Se limita a 3 intentos fallidos consecutivos antes de bloquear la cuenta, conforme a la política de autenticación (OP.ACC.5).

Entorno protegido​

Para categoría ALTO, el acceso remoto se realiza desde un entorno protegido:

  • Se procura que el equipo remoto sea propiedad de la organización, configurado por la organización, y el usuario no tenga derechos de administración.
  • El dispositivo debe cumplir los requisitos mínimos de seguridad: cifrado de disco, antivirus actualizado, firewall activo y parches de seguridad aplicados.
  • Se instala un cortafuegos personal, configurado por la organización, que limita las comunicaciones permitidas.

Filtrado y prevención de fuga de datos​

Se establecen filtros en el servidor o en el cliente que limitan las acciones permitidas en remoto. Se aplican medidas de prevención de fuga de datos (DLP) para monitorizar la información que viaja por la red.

Registro y monitorización​

Se registra toda la actividad de acceso remoto, incluyendo:

  • Identificador del usuario.
  • Fecha y hora de conexión y desconexión.
  • Dirección IP de origen.
  • Recursos accedidos.
  • Volumen de datos transferidos.

Los registros se conservan durante un mínimo de 2 años (requisito para categoría ALTO) y se analizan periódicamente para verificar el cumplimiento de la política. Se recomienda el uso de un sistema SIEM para la detección de comportamientos anómalos.

Responsabilidades​

Rol ENSResponsabilidad
Responsable de SeguridadDefinir la política de acceso remoto, aprobar excepciones, supervisar el cumplimiento
Responsable del SistemaMantener la infraestructura de acceso remoto, configurar los dispositivos, aplicar las políticas técnicas
Responsable del ServicioDefinir qué funciones del servicio son accesibles en remoto
Responsable de la InformaciónDefinir qué información es accesible en remoto y bajo qué condiciones

Documentos de referencia​

  • Real Decreto 311/2022, Anexo II, OP.ACC.7
  • Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
  • ISO/IEC 27002:2013: 9.4.2, 13.1.1, 13.1.2
  • NIST SP 800-53 rev. 4: AC-17 (Remote Access), AC-18 (Wireless Access)

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.ACC.6 Acceso local
Next
OP.EXP Explotación
  • Finalidad
  • Controles de acceso remoto
    • Identificación y autenticación reforzada
    • Canal seguro
    • Política de acceso remoto
    • Bloqueo por intentos fallidos
    • Entorno protegido
    • Filtrado y prevención de fuga de datos
    • Registro y monitorización
  • Responsabilidades
  • Documentos de referencia
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)