Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
          • OP.EXT.1 Contratación y acuerdos de nivel de servicio
          • OP.EXT.2 Gestión diaria
          • OP.EXT.3 Protección de la cadena de suministro
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Grants
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.EXT Servicios externos
  • OP.EXT.1 Contratación y acuerdos de nivel de servicio

OP.EXT.1 Contratación y acuerdos de nivel de servicio

☑️Aplicación de la medida

De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad OP.EXT.1 Contratación y acuerdos de nivel de servicio sí aplica dada la categoría de seguridad del sistema.

Documentos de referencia​

  • ISO/IEC 27000:
    • 27002:2013:
      • 15.1.1 - Information security policy for supplier relationships
      • 15.1.2 - Addressing security within supplier agreements
      • 15.2.1 - Monitoring and review of supplier services
  • NIST SP 800-53 rev4:
    • [SA-9] External Information System Services
    • [SA-4] Acquisition Process
  • Otras referencias:
    • FDA Cybersecurity in Medical Devices: Quality System Considerations
    • MDR Regulation (EU) 2017/745 - Supply chain requirements
    • NIS2 Directive - Supply chain security

Guía de implantación​

  1. Se establecerán los mecanismos necesarios que permitan asegurar que los servicios prestados por terceros mantienen el nivel de seguridad requerido.

Incluirá al menos:

  • Procedimientos de análisis y gestión de riesgos de externalización
  • Procedimientos de selección y contratación de proveedores de servicios
  • Definición de acuerdos de nivel de servicio
  • Procedimientos de supervisión del cumplimiento de las cláusulas de seguridad

Implementación en Legit Health Plus​

Marco de gestión de proveedores médicos​

La gestión de servicios externos para Legit Health Plus requiere consideraciones específicas para dispositivos médicos, cumplimiento regulatorio y protección de datos clínicos.

Clasificación de servicios externos​

Servicios críticos (Nivel 1)​

Los servicios críticos tienen impacto directo en el funcionamiento del dispositivo médico y en la capacidad diagnóstica. Requieren los niveles más altos de disponibilidad y soporte.

Clasificación de servicios críticos:

ServicioProveedorServicios incluidosImpactoDisponibilidad requeridaSoporteRecuperación
Infraestructura CloudAmazon Web ServicesEC2, RDS, S3, CloudFrontImpacto directo en diagnóstico de pacientes99.99%24x7 EnterpriseRTO 15 min, RPO 1 min
Certificación MédicaOrganismo Notificado (BSI/TUV)Marcado CE, Cumplimiento MDRCumplimiento regulatorio—Horario comercial + emergenciasRespuesta en 24h para incidencias críticas
Servicios importantes (Nivel 2)​

Los servicios importantes no tienen impacto directo en el diagnóstico pero son esenciales para la seguridad y el cumplimiento legal del dispositivo.

Clasificación de servicios importantes:

ServicioProveedorServicios incluidosImpactoTiempo de detecciónTiempo de respuestaCobertura
SOC de CiberseguridadCrowdStrikeProtección de endpoints, Threat IntelligenceMonitorización y respuesta de seguridadMedia 5 minutos15 minutos para alertas críticas24x7x365
Cumplimiento LegalFirma Legal SanitariaAsesoramiento regulatorio, Revisión de contratosCumplimiento legal y regulatorio—4 horas para asuntos urgentesEspecialistas en derecho de dispositivos médicos

Proceso de selección y due diligence​

Evaluación inicial de proveedores​

PRO-EXT-EVAL-001: Procedimiento de evaluación de proveedores médicos​

Objetivo: Evaluar de forma sistemática y cuantitativa a los proveedores de servicios externos que soportan el dispositivo médico, garantizando el cumplimiento regulatorio y la seguridad del paciente.

Criterios de evaluación y ponderación:

CriterioPesoAspectos evaluadosRequisitos mínimos
Cumplimiento regulatorio25%• Certificación ISO 13485
• Cumplimiento GDPR
• Experiencia con dispositivos médicos (>5 clientes)
• Equipo regulatorio (>2 personas)
• Capacidad de auditoría		Todos los factores son obligatorios. Incumplimiento = descalificación automática
Postura de seguridad20%Evaluación de capacidades de ciberseguridad—
Experiencia médica20%Conocimiento del dominio médico y sanitario—
Continuidad del negocio15%Planes de continuidad y recuperación—
Estabilidad financiera10%Análisis de viabilidad financiera del proveedor—
Validación de referencias10%Referencias verificables en sector médico—

Proceso de evaluación:

  1. Recopilar información del proveedor: Obtener datos de cumplimiento regulatorio, postura de seguridad, experiencia médica, continuidad del negocio, estabilidad financiera y referencias
  2. Evaluar cada criterio: Calcular puntuación individual (0-10) para cada uno de los 6 criterios según los datos recopilados
  3. Aplicar ponderación: Multiplicar cada puntuación por su peso correspondiente
  4. Calcular puntuación total: Sumar las puntuaciones ponderadas para obtener la puntuación total (0-10)
  5. Generar recomendación:
    • Puntuación ≥ 8.0: Proveedor recomendado (aprobación automática)
    • Puntuación 6.0-7.9: Proveedor aceptable (requiere aprobación de CISO)
    • Puntuación < 6.0: Proveedor no recomendado (rechazar)

Nota sobre cumplimiento regulatorio: El criterio de cumplimiento regulatorio es eliminatorio. Si el proveedor no cumple con todos los factores regulatorios obligatorios (ISO 13485, GDPR, experiencia médica, equipo regulatorio, capacidad de auditoría), recibe puntuación 0 y queda descalificado automáticamente, independientemente de su desempeño en otros criterios

Checklist de due diligence médica​

Due Diligence Checklist - Proveedores Médicos​

A. Cumplimiento Regulatorio​

  • Certificación ISO 13485 (vigente)
  • Experiencia con dispositivos médicos Clase II/III
  • Conocimiento de MDR/IVDR (EU)
  • Experiencia con FDA (si aplica)
  • Cumplimiento GDPR/LOPD-GDD
  • Políticas de retención de datos clínicos

B. Seguridad y Ciberseguridad​

  • Certificación ISO 27001
  • Evaluación de ciberseguridad (SOC 2 Type II)
  • Plan de respuesta a incidentes
  • Cifrado de datos en tránsito y en reposo
  • Controles de acceso basados en roles
  • Monitorización de seguridad 24x7

C. Continuidad del Negocio​

  • Plan de continuidad de negocio documentado
  • SLA de disponibilidad >= 99.9%
  • Procedimientos de backup y recuperación
  • Sitios alternativos de operación
  • Seguro de responsabilidad civil (>= €2M)
  • Plan de sucesión de personal clave

D. Experiencia Médica​

  • Equipo especializado en dispositivos médicos
  • Referencias verificables en el sector salud
  • Conocimiento de flujos de trabajo clínicos
  • Experiencia con datos de pacientes
  • Formación en seguridad del paciente

Estructura de SLA para servicios médicos​

Template de SLA crítico​

Plantilla de SLA para servicios críticos de dispositivos médicos

Definición del servicio:

AspectoDescripción
NombreInfraestructura Cloud AWS para Dispositivo Médico
AlcanceTodos los servicios de computación, almacenamiento y base de datos que soportan el diagnóstico
ClasificaciónCrítico - Impacto en Seguridad del Paciente

Requisitos de disponibilidad:

AspectoRequisito
SLA de uptime99.99% (máximo 4.38 minutos/mes de downtime)
Mantenimiento planificado≤ 4 horas/mes, programado con 48h de antelación
Mantenimiento de emergencia≤ 30 minutos de notificación
Método de mediciónDisponibilidad end-to-end del servicio de diagnóstico

Requisitos de rendimiento:

AspectoRequisito
Tiempo de respuesta API≤ 2 segundos (percentil 95)
ThroughputSoportar ≥ 200 sesiones de diagnóstico concurrentes
Procesamiento de datosProcesamiento de imágenes ≤ 30 segundos
Consultas de base de datosConsultas de datos clínicos ≤ 100ms

Requisitos de seguridad:

AspectoRequisito
Cifrado de datosAES-256 mínimo (en reposo y en tránsito)
Control de accesoMFA obligatorio para todo acceso privilegiado
AuditoríaRegistro de auditoría completo, retención de 7 años
Respuesta a incidentesEscalado de incidentes de seguridad ≤ 15 minutos

Requisitos de soporte:

SeveridadTiempo de respuestaObjetivo de resoluciónHorario de soporte
Severidad 1 (Crítico)15 minutos4 horas24x7x365
Severidad 2 (Alto)1 hora24 horas24x7x365
Severidad 3 (Medio)4 horas5 días—

Continuidad del negocio:

AspectoRequisito
RTO (Recovery Time Objective)15 minutos (failover automático)
RPO (Recovery Point Objective)1 minuto (replicación continua)
Recuperación ante desastresBackup multi-región, probado trimestralmente
Backup de datosIncremental diario, completo semanal, distribuido geográficamente

Requisitos de cumplimiento:

AspectoRequisito
Estándares regulatoriosISO 13485, MDR Artículo 17, FDA 21 CFR 820
Derechos de auditoríaCliente puede auditar con 30 días de aviso
Mantenimiento de certificacionesCertificaciones válidas durante toda la vigencia del contrato
Gestión de cambiosNotificación con 60 días de antelación para cambios que afecten cumplimiento

Penalizaciones y créditos por incumplimiento:

Por disponibilidad:

Nivel de disponibilidadPenalización
99.95-99.99%5% de crédito sobre tarifa mensual
99.90-99.94%10% de crédito sobre tarifa mensual
< 99.90%25% de crédito sobre tarifa mensual + derecho a terminar contrato

Por rendimiento:

Incumplimiento de rendimientoPenalización
Tiempo de respuesta > 3 segundos2% de crédito sobre tarifa mensual por día
Downtime > RTO10% de crédito sobre tarifa mensual por hora

Por incidentes de seguridad:

Gravedad del incidentePenalización
Incidente menor5% de crédito sobre tarifa mensual
Incidente mayor20% de crédito sobre tarifa mensual
Brecha de datosDerecho a terminar contrato + compensación por daños

Gestión de contratos y cláusulas clave​

Cláusulas específicas para dispositivos médicos​

Cláusulas Contractuales Clave​

A. Protección de Datos Clínicos​

Cláusula de Confidencialidad Médica "El Proveedor reconoce que tendrá acceso a datos clínicos y de pacientes que constituyen información especialmente protegida bajo GDPR Art. 9. El Proveedor se compromete a:

  • Implementar medidas técnicas y organizativas apropiadas (Art. 32 GDPR)
  • Limitar el acceso solo al personal autorizado y necesario
  • Notificar cualquier violación de datos en un plazo máximo de 4 horas
  • Facilitar el ejercicio de derechos de los titulares de datos
  • Eliminar o devolver todos los datos al finalizar el contrato"

B. Cumplimiento Regulatorio​

Cláusula de Compliance Regulatorio "El Proveedor garantiza que sus servicios cumplen con:

  • Medical Device Regulation (MDR) EU 2017/745
  • FDA Quality System Regulation (21 CFR Part 820)
  • ISO 13485:2016 para dispositivos médicos
  • Directiva NIS2 para ciberseguridad Cualquier cambio que afecte el cumplimiento debe notificarse con 90 días de antelación."

C. Continuidad del Servicio​

Cláusula de Continuidad Médica "Reconociendo que los servicios soportan dispositivos médicos críticos para diagnóstico:

  • El Proveedor mantendrá planes de continuidad que garanticen RTO ≤ 15 minutos
  • Notificación inmediata (< 5 min) de cualquier interrupción
  • Activación automática de sistemas de respaldo
  • Coordinación con autoridades sanitarias si se requiere
  • Indemnización por daños derivados de interrupciones evitables"

D. Auditoría y Acceso​

Cláusula de Derechos de Auditoría "El Cliente, organismos notificados, y autoridades regulatorias tendrán derecho a:

  • Auditar las instalaciones del Proveedor con 30 días de aviso
  • Acceso a documentación relevante para cumplimiento
  • Entrevistas con personal clave del Proveedor
  • Verificación de controles de seguridad implementados
  • Copia de certificaciones y evaluaciones de terceros"

Monitorización y supervisión continua​

Sistema de monitorización de proveedores​

PRO-EXT-MONITOR-001: Monitorización continua de proveedores críticos​

Objetivo: Monitorizar de forma continua el desempeño de proveedores críticos para garantizar el cumplimiento de SLAs y detectar incumplimientos antes de que afecten al servicio.

Aspectos monitorizados:

VerificaciónDescripciónFrecuencia
Disponibilidad (SLA)Verificar que la disponibilidad actual cumple con el objetivo de SLAContinua
Rendimiento (SLA)Verificar que los tiempos de respuesta y throughput cumplen con los objetivosContinua
SeguridadVerificar cumplimiento de controles de seguridadContinua
Cumplimiento regulatorioVerificar vigencia de certificaciones y cumplimiento normativoDiaria
Salud financieraEvaluar la viabilidad financiera del proveedorMensual

Proceso de monitorización:

  1. Recopilar métricas del proveedor: Obtener datos actuales de disponibilidad, rendimiento, seguridad, cumplimiento y finanzas
  2. Verificar cada aspecto: Evaluar cada uno de los 5 aspectos monitorizados
  3. Evaluar cumplimiento: Para cada verificación, determinar estado:
    • COMPLIANT: Cumple con los requisitos
    • WARNING: Cerca del umbral de incumplimiento (requiere atención)
    • VIOLATION: Incumplimiento de SLA o requisito
  4. Generar alertas según estado:
    • Si hay VIOLATION: Generar alerta de violación de SLA
    • Si hay WARNING: Generar alerta preventiva
  5. Actualizar dashboard: Reflejar el estado actual del proveedor en el dashboard de gestión
  6. Calcular estado general: Determinar el estado global del proveedor basándose en todas las verificaciones

Verificación de disponibilidad (ejemplo):

Disponibilidad actualObjetivo SLAEstadoAcción
≥ ObjetivoEj: 99.99%COMPLIANTNinguna
< ObjetivoEj: 99.99%VIOLATION• Calcular crédito de SLA aplicable
• Si < 99.5%: Escalado automático a equipo de dirección

Resultado de la monitorización:

El sistema genera un informe que incluye:

  • ID del proveedor
  • Resultados de todas las verificaciones (disponibilidad, rendimiento, seguridad, cumplimiento, finanzas)
  • Lista de alertas generadas (violaciones y advertencias)
  • Estado general del proveedor (COMPLIANT / WARNING / CRITICAL)

Gestión de riesgos de terceros​

Matriz de riesgos de externalización​

Escenarios de alto riesgo en externalización de servicios médicos:

RiesgoImpactoProbabilidadEstrategias de mitigación
Brecha de datos por proveedorCrítico - Exposición de datos de pacientesBaja• Cláusulas contractuales de responsabilidad
• Requisito de seguro (≥ 5M EUR)
• Auditorías de seguridad regulares
• Principios de minimización de datos
Fallo del negocio del proveedorAlto - Interrupción del servicioMedia• Monitorización de salud financiera
• Acuerdos de escrow para IP crítica
• Pre-calificación de proveedores alternativos
• Garantías de portabilidad de datos
Incumplimiento regulatorio del proveedorCrítico - Pérdida de certificación del dispositivoMedia• Dashboard de monitorización de cumplimiento
• Auditorías regulares de cumplimiento
• Requisitos de notificación de cambios
• Validación de experiencia regulatoria

Procedimientos de terminación y transición​

Plan de exit strategy​

Marco de estrategia de salida para proveedores de servicios médicos:

Recuperación de datos:

AspectoRequisito
PlazoExtracción completa de datos dentro de 30 días
FormatosFormatos estándar (CSV, JSON, SQL) + formatos propietarios si existen
ValidaciónVerificación de integridad de datos requerida
Eliminación seguraEliminación certificada dentro de 60 días tras extracción

Transición del servicio:

AspectoRequisito
Período de solapamientoMínimo 90 días con proveedor alternativo
Transferencia de conocimientoDocumentación completa + sesiones de formación
Exportación de configuraciónTodas las configuraciones y personalizaciones documentadas
Período de pruebas30 días de operación en paralelo

Continuidad regulatoria:

AspectoRequisito
Transferencia de certificaciónSoporte para mantenimiento de certificaciones durante transición
Preservación de auditoríaRetención mínima de 7 años de registros de auditoría
Notificación a autoridadesNotificación conjunta a organismos regulatorios (AEMPS, organismos notificados)

Referencias cruzadas​

  • OP.EXT.2: Gestión diaria de proveedores
  • OP.EXT.3: Protección de cadena de suministro
  • R-TF-013-002: Riesgos asociados a terceros
  • GP-013: Marco de ciberseguridad aplicado a terceros
  • T-024-007: Procedimiento de gestión de proveedores

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
OP.EXT Servicios externos
Next
OP.EXT.2 Gestión diaria
  • Documentos de referencia
  • Guía de implantación
  • Implementación en Legit Health Plus
    • Marco de gestión de proveedores médicos
      • Clasificación de servicios externos
        • Servicios críticos (Nivel 1)
        • Servicios importantes (Nivel 2)
    • Proceso de selección y due diligence
      • Evaluación inicial de proveedores
        • PRO-EXT-EVAL-001: Procedimiento de evaluación de proveedores médicos
      • Checklist de due diligence médica
  • Due Diligence Checklist - Proveedores Médicos
    • A. Cumplimiento Regulatorio
    • B. Seguridad y Ciberseguridad
    • C. Continuidad del Negocio
    • D. Experiencia Médica
    • Estructura de SLA para servicios médicos
      • Template de SLA crítico
    • Gestión de contratos y cláusulas clave
      • Cláusulas específicas para dispositivos médicos
  • Cláusulas Contractuales Clave
    • A. Protección de Datos Clínicos
    • B. Cumplimiento Regulatorio
    • C. Continuidad del Servicio
    • D. Auditoría y Acceso
    • Monitorización y supervisión continua
      • Sistema de monitorización de proveedores
        • PRO-EXT-MONITOR-001: Monitorización continua de proveedores críticos
    • Gestión de riesgos de terceros
      • Matriz de riesgos de externalización
    • Procedimientos de terminación y transición
      • Plan de exit strategy
    • Referencias cruzadas
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)