OP.EXT.3 Protección de la cadena de suministro

☑️Aplicación de la medida

De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad OP.EXT.3 Protección de la cadena de suministro sí aplica dada la categoría de seguridad del sistema.

Documentos de referencia

• ISO/IEC 27000:
  • 27002:2013:
    • 15.1.3 - Information and communication technology supply chain
• NIST SP 800-53 rev4:
  • [SA-12] Supply Chain Protection
  • [SR-3] Supply Chain Controls and Processes
  • [SR-5] Acquisition Strategies, Tools, and Methods
• Otras referencias:
  • NIS2 Directive Article 21 - Supply chain security
  • FDA Cybersecurity in Medical Devices: Supply Chain Considerations
  • NIST SP 800-161 - Supply Chain Risk Management Practices

Guía de implantación

192. Se establecerán medidas de protección de la cadena de suministro que reduzcan los riesgos asociados con productos y servicios proporcionados por terceros.

Incluirá al menos:

• Identificación y evaluación de riesgos de la cadena de suministro
• Medidas de seguridad para la cadena de suministro
• Procedimientos de gestión de incidentes relacionados con la cadena de suministro
• Procedimientos de supervisión y auditoría de la cadena de suministro

Implementación en Legit Health Plus

Marco de protección de cadena de suministro médica

La protección de la cadena de suministro para Legit Health Plus como dispositivo médico Clase IIa requiere controles específicos para garantizar integridad, autenticidad y seguridad de todos los componentes críticos.

Mapeo de cadena de suministro crítica

Mapa de Cadena de Suministro Médica:

Componentes de Hardware:

Categoría	Proveedor	Componentes	Nivel de Riesgo	Notas
Infraestructura Cloud	AWS	EC2, RDS, S3, CloudFront	Crítico	Ubicación: EU (Irlanda, Frankfurt) Backup: Azure, Google Cloud
Dispositivos Médicos	Tablets/estaciones grado hospital	Sistemas display clínico, Dispositivos input	Medio	Certificación: Compatibilidad dispositivo médico

Componentes de Software:

Categoría	Proveedor	Componentes	Nivel de Riesgo	Consideraciones
Frameworks IA	TensorFlow (Google)	ML runtime, Model serving	Crítico	Integridad modelo, Ataques cadena suministro
Librerías Médicas	DICOM, HL7 FHIR	Procesamiento imagen, Intercambio datos médicos	Alto	Validación: Precisión clínica, Compliance regulatorio

Dependencias de Servicios:

Categoría	Proveedor	Servicio	Nivel de Riesgo	Impacto
Servicios Críticos	Notified Body (BSI)	Marcado CE y compliance MDR	Crítico	Autorización regulatoria para comercializar
Servicios de Seguridad	CrowdStrike	Protección endpoint y threat intelligence	Alto	Postura de ciberseguridad

Evaluación de riesgos de cadena de suministro

Metodología de evaluación de riesgos

Metodología de Evaluación de Riesgos de Cadena de Suministro Médica:

Categorías de Riesgo Evaluadas:

1. Compromiso de integridad (integrity_compromise)
2. Disrupción de disponibilidad (availability_disruption)
3. Incumplimiento regulatorio (regulatory_non_compliance)
4. Brecha de ciberseguridad (cybersecurity_breach)
5. Impacto en seguridad del paciente (patient_safety_impact)

Niveles de Cadena de Suministro: Tier 1, Tier 2, Tier 3

Procedimiento de Evaluación del Proveedor:

1. Análisis por Categoría de Riesgo

   • Para cada categoría: Calcular puntuación de riesgo (escala 0-10)
   • Determinar nivel de riesgo: BAJO / MEDIO / ALTO / CRÍTICO
   • Identificar si se requiere mitigación (puntuación > 6.0)

2. Análisis de Dependencias Críticas

   • Identificar dependencias críticas del proveedor
   • Evaluar impacto si el proveedor falla

3. Evaluación de Concentración de Riesgo

   • Analizar concentración de proveedores
   • Identificar puntos únicos de fallo

4. Resultado de la Evaluación

   • Puntuación global de riesgo
   • Riesgos por categoría
   • Dependencias críticas identificadas
   • Riesgo de concentración
   • Controles recomendados
   • Requisitos de monitorización

Evaluación Específica de Seguridad del Paciente:

Factores de Riesgo de Seguridad del Paciente:

Factor	Peso	Descripción
Afecta precisión diagnóstica	4.0	Proveedor afecta algoritmos IA o modelos ML
Maneja datos de pacientes	3.0	Procesa información de salud (PHI)
Historial regulatorio	3.5	Violaciones regulatorias previas
Infraestructura crítica	2.5	Servicio tier crítico
Sin backup médico	2.0	No tiene proveedor de respaldo médico

Cálculo de Puntuación:

• Suma de pesos para factores presentes
• Escala: 0-10 puntos
• Umbral de mitigación: Puntuación > 6.0

Controles de seguridad por nivel de tier

Tier 1 - Proveedores críticos directos

Controles de seguridad para proveedores Tier 1 (críticos):

Pre-selección:

Control	Descripción
Due diligence exhaustivo	Proceso de evaluación superior a 90 días
Auditoría en sitio obligatoria	Inspección física de instalaciones y procesos
Verificación de certificaciones médicas	Validación de ISO 13485, MDR compliance, etc.
Evaluación de equipo de ciberseguridad	Revisión del equipo y capacidades de seguridad
Referencias verificables en sector salud	Mínimo 3 referencias de clientes del sector sanitario

Requisitos contractuales:

Requisito	Descripción
Cláusulas de derecho a auditoría	Derecho a auditar instalaciones y procesos con aviso previo
Compromiso de soporte 24x7	Soporte continuo para servicios críticos
Notificación de incidentes < 4 horas	Requisito de notificación inmediata de incidentes
Cobertura de seguro ≥ €5M	Seguro de responsabilidad civil mínimo
Garantías de cumplimiento regulatorio	Garantías contractuales de compliance con MDR, GDPR, etc.
Escrow de código fuente (si aplica)	Depósito de código fuente para continuidad

Monitorización continua:

Actividad	Frecuencia
Evaluaciones de seguridad	Mensual
Revisiones de negocio	Trimestral
Pruebas de penetración	Anual
Monitorización de rendimiento	Tiempo real
Revisiones de certificaciones de cumplimiento	Según vencimiento de certificaciones

Respuesta a incidentes:

Elemento	Requisito
Procedimientos conjuntos de respuesta	Protocolos coordinados de respuesta a incidentes
Contactos de escalado dedicados	Personas designadas para escalado rápido
Requisitos de cooperación forense	Compromiso de colaborar en análisis forense
Protocolos de comunicación definidos	Canales y procedimientos de comunicación establecidos

3.2 Tier 2 - Subcontratistas de proveedores

Controles de seguridad para proveedores Tier 2 (subcontratistas):

Requisitos de visibilidad:

Requisito	Descripción
Divulgación completa de subcontratistas	El proveedor principal debe revelar todos sus subcontratistas
Evaluación de riesgos de subcontratistas clave	Análisis de riesgo de subcontratistas críticos
Derechos de aprobación	Legit.Health debe aprobar subcontratistas críticos
Requisitos de notificación de cambios	Notificación obligatoria cuando cambian subcontratistas

Estándares de seguridad:

Estándar	Descripción
Flow-down de requisitos de seguridad	Los requisitos de seguridad fluyen a subcontratistas
Cumplimiento de baseline mínimo de seguridad	Subcontratistas deben cumplir estándares mínimos
Cuestionarios de seguridad regulares	Evaluaciones periódicas de seguridad
Extensión de derechos de auditoría	Derecho a auditar también a subcontratistas

Consideraciones de dispositivo médico:

Consideración	Descripción
Comprensión de requisitos de dispositivo médico	Conocimiento de regulaciones médicas aplicables
Cumplimiento GDPR para datos de salud	Protección específica para datos de salud (GDPR Art. 9)
Requisitos de continuidad del negocio	Planes de continuidad adecuados
Integración con sistema de calidad	Alineación con ISO 13485 y sistemas de gestión de calidad

Gestión de componentes de software críticos

Software Bill of Materials (SBOM) médico

Gestor de Software Bill of Materials (SBOM) Médico:

Componentes del SBOM para Dispositivo Médico:

Información del Dispositivo:

• Nombre: Legit Health Plus
• Versión: 1.1.0.0
• Clase: IIa
• UDI-DI: LH-DER-AI-2024-001

Elementos Registrados para Cada Componente:

1. Nombre y versión
2. Proveedor
3. Licencia
4. Clasificación de criticidad médica
5. Resultado de escaneo de seguridad
6. Impacto regulatorio
7. Verificación de integridad

Clasificación de Criticidad Médica:

Tipo de Componente	Clasificación	Descripción
TensorFlow, PyTorch	diagnostic_critical	Afecta directamente al diagnóstico
DICOM, HL7 FHIR	interoperability_critical	Crítico para intercambio datos médicos
Crypto, Security libraries	security_critical	Crítico para seguridad de datos
Otros componentes	standard	Componente estándar

Marcadores Críticos de Diagnóstico:

• Componentes clasificados como diagnostic_critical requieren:
  • Verificación de firma digital (signature_verification)
  • Monitorización de integridad (integrity_monitoring)

Análisis de Seguridad:

• Escaneo de vulnerabilidades específico para dispositivos médicos
• Resultados integrados en el SBOM

Monitorización continua de cadena de suministro

Sistema de alertas tempranas

Sistema de Monitorización de Amenazas de Cadena de Suministro:

Fuentes de Inteligencia de Amenazas:

1. CISA Advisories - Avisos de ciberseguridad
2. FDA Device Alerts - Alertas de dispositivos médicos FDA
3. Medical Device CERTs - Centros de respuesta médicos
4. Supplier Security Feeds - Feeds de seguridad de proveedores

Procedimiento de Monitorización Continua:

1. Recolección de Amenazas

   • Para cada fuente: Recolectar nuevas amenazas
   • Evaluar impacto en nuestra cadena de suministro

2. Evaluación de Impacto de Amenaza

   • ¿Afecta a la cadena de suministro? (Sí/No)
   • Nivel de severidad: LOW / MEDIUM / HIGH / CRITICAL
   • Proveedores afectados (lista)
   • Impacto médico: none / medium / high

3. Generación de Alerta

   • Si afecta cadena de suministro, crear alerta con:
     • ID de amenaza
     • Fuente de origen
     • Severidad
     • Proveedores afectados
     • Impacto en dispositivo médico
     • Acciones recomendadas

4. Respuesta Inmediata

   • Si severidad = CRITICAL: Activar respuesta de emergencia inmediata

Evaluación de Impacto Médico por Tipo de Proveedor:

Criticidad del Proveedor	Impacto Médico	Severidad
diagnostic_critical	high	CRITICAL
patient_data	medium	HIGH
Otros	none	LOW/MEDIUM

Plan de respuesta a incidentes de cadena de suministro

Procedimientos de respuesta por tipo de incidente

Procedimientos de respuesta a incidentes de cadena de suministro:

PRO-SUPPLY-INC-001: Compromiso de proveedor

Acciones inmediatas:

Acción	Descripción
Aislar conexiones del proveedor afectado	Desconectar sistemas del proveedor comprometido
Evaluar riesgo de exposición de datos	Determinar qué datos pueden haber sido expuestos
Activar proveedores de backup (si disponibles)	Cambiar a proveedores alternativos
Notificar clientes afectados	Comunicación proactiva a clientes impactados

Investigación:

Acción	Descripción
Coordinar con respuesta del proveedor	Trabajar conjuntamente con el equipo de respuesta del proveedor
Análisis forense de nuestro entorno	Investigar si hubo impacto en nuestros sistemas
Determinar impacto en datos de pacientes	Evaluar si datos clínicos fueron comprometidos
Evaluación de notificación regulatoria	Determinar si requiere notificación a AEPD, AEMPS, etc.

Recuperación:

Acción	Descripción
Validar remediación del proveedor	Confirmar que el proveedor resolvió el compromiso
Período de monitorización mejorada	Vigilancia intensificada post-incidente
Renegociación de contrato si necesario	Revisar términos contractuales según lecciones aprendidas
Integración de lecciones aprendidas	Incorporar mejoras al proceso

PRO-SUPPLY-INC-002: Vulnerabilidad de componente

Acciones inmediatas:

Acción	Descripción
Evaluar explotabilidad de vulnerabilidad	Determinar si la vulnerabilidad es explotable en nuestro contexto
Determinar impacto en dispositivo médico	Evaluar impacto en funcionalidad diagnóstica
Parcheo de emergencia si disponible	Aplicar parches de seguridad inmediatamente
Implementar workarounds temporales	Medidas paliativas mientras se resuelve definitivamente

Evaluación de seguridad médica:

Acción	Descripción
Evaluación de impacto clínico	Determinar si afecta precisión diagnóstica
Evaluación de riesgo de seguridad del paciente	Analizar riesgo para pacientes
Requisitos de reporte regulatorio	Determinar notificaciones a autoridades (AEMPS, organismos notificados)
Notificaciones a proveedores de salud	Alertar a clínicos usuarios del dispositivo

PRO-SUPPLY-INC-003: Fallo del negocio del proveedor

Acciones inmediatas:

Acción	Descripción
Activar procedimientos de continuidad	Ejecutar plan de continuidad de negocio
Asegurar acceso a activos críticos	Obtener acceso a IP, código fuente, documentación
Recuperación de datos e IP	Extraer y preservar información crítica
Activar proveedor alternativo	Cambiar a proveedor de backup pre-calificado

Planificación a medio-largo plazo:

Acción	Descripción
Planificación de transición de servicio	Plan detallado de migración a nuevo proveedor
Novación de contrato si aplica	Transferir contratos a entidad sucesora si existe
Mantenimiento de cumplimiento regulatorio	Asegurar continuidad de certificaciones
Estrategia de comunicación a clientes	Plan de comunicación transparente con stakeholders

Compliance y auditoría de cadena de suministro

Programa de auditorías

Programa de auditorías de cadena de suministro:

Auditorías anuales comprehensivas:

Aspecto	Detalle
Alcance	Todos los proveedores Tier 1 críticos
Áreas de enfoque	• Implementación de controles de seguridad • Cumplimiento de regulaciones de dispositivos médicos • Capacidades de continuidad del negocio • Preparación de respuesta a incidentes • Gestión de subcontratistas
Equipo de auditoría	• Interno: CTO, ISO, Quality Manager • Externo: Auditor especializado en dispositivos médicos • Expertos en la materia según necesidad

Evaluaciones trimestrales:

Aspecto	Detalle
Alcance	Proveedores Tier 2 de alto riesgo
Método	Cuestionario + revisión de documentación
Enfoque	Mantenimiento de cumplimiento y gestión de cambios

Monitorización continua:

Verificación automatizada	Descripción
Monitorización de vencimiento de certificados	Alertas previas a expiración de certificaciones
Indicadores de salud financiera	Seguimiento de estabilidad financiera del proveedor
Métricas de postura de seguridad	Monitorización continua de indicadores de seguridad
Cumplimiento de nivel de servicio	Verificación automática de cumplimiento de SLAs

Gestión de cambios en cadena de suministro

Control de cambios de proveedores

Control de Cambios de Proveedores:

Procedimiento de Procesamiento de Cambio:

Análisis de Cambio (para cada solicitud):

1. ID de cambio generado automáticamente
2. Proveedor solicitante
3. Descripción del cambio
4. Evaluación de riesgo del cambio
5. Evaluación de impacto regulatorio
6. Aprobaciones requeridas
7. Condiciones especiales
8. Requisitos de monitorización

Matriz de Aprobaciones Requeridas:

Nivel de Riesgo	Aprobaciones Requeridas
HIGH	CTO + CMO + CEO
MEDIUM	CTO + CMO
LOW	CTO

Condiciones Especiales para Cambios Médicos:

Si afecta compliance del dispositivo:

• Pre-aprobación regulatoria requerida
• Testing de validación obligatorio

Si afecta datos de pacientes:

• Evaluación de impacto en privacidad (Privacy Impact Assessment)
• Monitorización mejorada durante 90 días

Métricas de rendimiento de cadena de suministro

KPIs específicos médicos

KPIs de cadena de suministro médica:

Métricas de seguridad:

KPI	Objetivo
% proveedores con certificaciones de seguridad vigentes	100%
Tiempo medio de detección de amenazas de cadena de suministro	< 24 horas
Tiempo de respuesta a incidentes de cadena de suministro	< 4 horas
% proveedores críticos con respuesta a incidentes validada	100%

Métricas de cumplimiento:

KPI	Objetivo
% proveedores cumpliendo regulaciones de dispositivos médicos	100%
Hallazgos de auditoría regulatoria relacionados con cadena de suministro	0
% proveedores con certificaciones regulatorias válidas	100%
Tiempo de cumplimiento de notificación regulatoria	< 24 horas

Continuidad del negocio:

KPI	Objetivo
% servicios críticos con proveedores de backup	≥ 80%
Índice de concentración de riesgo de cadena de suministro	< 0.3
Tiempo promedio de cambio de proveedor	< 30 días
% proveedores con planes de continuidad validados	100%

Métricas de calidad:

KPI	Objetivo
Problemas de calidad relacionados con proveedores	Tendencia descendente
% proveedores cumpliendo requisitos de SLA	≥ 98%
Satisfacción del cliente con servicios entregados por proveedores	≥ 4.5/5

Qualificación de proveedores de dispositivos médicos

Procedimiento de cualificación de proveedores médicos

Proceso de cualificación de proveedores de dispositivos médicos:

Evaluación inicial:

Documentación requerida:

Documento	Descripción
Certificación ISO 13485 (vigente)	Sistema de gestión de calidad para dispositivos médicos
Licencias de fabricación de dispositivos médicos	Autorizaciones regulatorias
Evidencia de cumplimiento FDA/Marcado CE	Compliance con regulaciones médicas aplicables
Implementación de framework de ciberseguridad	Marco de seguridad implementado (ISO 27001, NIST, etc.)
Documentación de sistema de gestión de riesgos (ISO 14971)	Sistema de gestión de riesgos médicos
Procedimientos de evaluación clínica	Procesos de validación clínica

Evaluación técnica:

Aspecto	Descripción
Revisión de arquitectura de seguridad	Evaluación del diseño de seguridad
Auditoría de implementación de protección de datos	Verificación de medidas de protección de datos
Evaluación de capacidad de respuesta a incidentes	Validación de procedimientos y equipo de respuesta
Validación de continuidad del negocio	Revisión de planes de continuidad
Medidas de seguridad de cadena de suministro	Evaluación de controles de supply chain

Evaluación financiera:

Aspecto	Descripción
Análisis de estabilidad financiera (3 años)	Revisión de estados financieros
Verificación de cobertura de seguro (≥€10M)	Confirmación de seguro de responsabilidad civil
Auditoría de controles financieros	Evaluación de controles internos financieros
Verificación de calificación crediticia	Revisión de rating crediticio

Requisitos de due diligence:

Requisito	Valor
Período mínimo de cualificación	120 días
Auditoría en sitio obligatoria	Sí (para Tier 1)
Verificación de referencias	Mínimo 3 clientes del sector sanitario
Clearance de seguridad	Due diligence mejorado para proveedores críticos

Autoridad de aprobación:

Tier del proveedor	Aprobadores requeridos	Criterio
Tier 1 (Crítico)	CEO + CMO + CTO	Unanimidad
Tier 2 (Importante)	CMO + CTO	Mayoría
Tier 3 (Estándar)	CTO + Procurement Manager	—

Cuestionario de seguridad para proveedores médicos

Cuestionario de Seguridad para Proveedores Médicos:

Secciones del Cuestionario:

1. Compliance Regulatorio
2. Ciberseguridad
3. Seguridad Clínica
4. Protección de Datos
5. Continuidad de Negocio

Preguntas Críticas (Ejemplos):

Regulatorio:

• REG-001: ¿Mantiene certificación ISO 13485 vigente? (Crítico)
• REG-002: ¿Ha sido sujeto a advertencias regulatorias últimos 3 años? (Crítico)
• REG-003: ¿Implementa gestión de riesgos ISO 14971? (Crítico)
• REG-004: ¿Mantiene vigilancia post-comercialización? (Crítico)

Ciberseguridad:

• CYB-001: ¿Framework de ciberseguridad (NIST/ISO 27001)? (Crítico)
• CYB-002: ¿Pruebas de penetración regulares? (Crítico)
• CYB-003: ¿Programa de gestión de vulnerabilidades? (Crítico)
• CYB-004: Tiempo máximo respuesta incidentes críticos: 0-4 horas (Crítico)

Seguridad Clínica:

• CLI-001: ¿Recalls de dispositivos últimos 5 años? (Crítico)
• CLI-002: ¿Personal dedicado a seguridad del paciente? (Crítico)
• CLI-003: ¿Validación clínica para cambios de software? (Crítico)

Cálculo de Puntuación:

• Suma de puntuación por sección
• Cuenta de fallos críticos
• Estado: DISQUALIFIED si fallos críticos > 0
• Acciones requeridas y nivel de monitorización

Monitorización continua mejorada

Sistema de alerta temprana para cadena de suministro médica

Fuentes de Monitorización:

Fuente	URL/Fuente
FDA Alerts	https://www.fda.gov/safety/medwatch-fda-safety-information...
EMA Alerts	https://www.ema.europa.eu/en/human-regulatory/post-marketing...
CISA Advisories	https://www.cisa.gov/known-exploited-vulnerabilities-catalog
NIST NVD	https://nvd.nist.gov/vuln/data-feeds
Medical Device Recalls	https://www.fda.gov/medical-devices/medical-device-recalls
Monitorización Financiera	Agencias de calificación crediticia

Procedimiento de Monitorización:

1. Para cada proveedor activo:

   • Verificar alertas regulatorias
   • Verificar alertas de ciberseguridad
   • Verificar estabilidad financiera
   • Verificar alertas de calidad

2. Si severidad ≥ umbral configurado:

   • Enriquecer alerta con información del proveedor
   • Añadir a lista de alertas

3. Si severidad = CRITICAL:

   • Activar respuesta crítica automáticamente

Verificación de Alertas Regulatorias:

Recalls de FDA:

• Si recall posterior a última evaluación → Alerta CRITICAL
• Acción recomendada: "Evaluación inmediata del proveedor requerida"

Advertencias EMA:

• Generar alerta HIGH
• Acción recomendada: "Revisar estado de compliance del proveedor"

Gestión de crisis de cadena de suministro

Playbook de respuesta a crisis

Playbook de respuesta a crisis de cadena de suministro:

PRO-CRISIS-001: Insolvencia de proveedor

Acciones inmediatas (0-4 horas):

Acción	Descripción
Asegurar acceso a IP y código fuente crítico	Activar procedimientos de escrow, obtener acceso a activos
Congelar todos los pagos pendientes de revisión legal	Suspender pagos hasta claridad legal
Activar acuerdos con proveedores de backup	Cambiar a proveedores alternativos pre-calificados
Notificar equipo legal y aseguradora	Iniciar gestión legal y reclamaciones de seguro
Evaluar riesgos inmediatos de continuidad del servicio	Determinar servicios en riesgo inmediato

Corto plazo (4-24 horas):

Acción	Descripción
Ejecutar procedimientos de transferencia de servicio	Migrar servicios a proveedores alternativos
Comunicar con clientes afectados	Notificación proactiva a stakeholders
Notificación regulatoria si requerida	Informar a autoridades competentes (AEMPS, etc.) si aplica
Evaluación de impacto financiero	Cuantificar pérdidas y costos de transición
Acelerar cualificación de proveedor alternativo	Proceso expedito de validación de nuevo proveedor

Medio plazo (1-7 días):

Acción	Descripción
Completar migración de servicio	Finalizar transición a nuevo proveedor
Coordinación de procedimientos legales	Gestionar reclamaciones y procesos legales
Procesamiento de reclamaciones de seguro	Tramitar compensaciones de seguro
Revisión post-incidente y lecciones aprendidas	Analizar respuesta y identificar mejoras
Mejoras de resiliencia de cadena de suministro	Implementar controles adicionales

PRO-CRISIS-002: Brecha de seguridad mayor

Acciones inmediatas (0-2 horas):

Acción	Descripción
Aislar conexiones del proveedor	Desconectar sistemas del proveedor comprometido
Evaluar alcance de exposición de datos	Determinar qué datos fueron expuestos
Activar equipo de respuesta a incidentes	Movilizar equipo de respuesta
Preservar evidencia forense	Capturar logs y evidencias
Evaluación de impacto en clientes	Determinar clientes afectados

Notificación regulatoria (2-72 horas):

Acción	Descripción
Notificación de brecha GDPR si aplica	Notificar a AEPD dentro de 72 horas si datos personales afectados
Reporte de incidente de dispositivo médico	Notificar a AEMPS según criticidad del incidente
Notificación CCN-CERT	Informar al centro de respuesta nacional
Notificaciones a clientes y partners	Comunicar impacto a stakeholders
Preparación de divulgación pública	Preparar comunicado público si requerido

PRO-CRISIS-003: Problema de calidad del producto

Evaluación de seguridad clínica (0-1 hora):

Acción	Descripción
Evaluación de impacto en seguridad del paciente	Determinar riesgo para pacientes
Activación de equipo clínico	Movilizar personal médico para evaluación
Mitigación de riesgo inmediato	Implementar medidas paliativas urgentes
Alertas a proveedores de salud	Notificar a clínicos usuarios del dispositivo

Respuesta regulatoria (1-24 horas):

Acción	Descripción
Reporte de incidente FDA/EMA	Notificación formal a autoridades regulatorias
Acciones correctivas y preventivas	Implementar CAPAs según ISO 13485
Preparación de Field Safety Notice	Preparar aviso de seguridad de campo
Activación de vigilancia post-comercialización	Intensificar monitorización post-market

Referencias cruzadas

• OP.EXT.1: Contratos base y SLA para protección de cadena de suministro
• OP.EXT.2: Gestión diaria que implementa controles de cadena de suministro
• R-TF-013-002: Riesgos específicos de cadena de suministro
• GP-013: Marco de ciberseguridad aplicado a terceros
• T-024-009: Procedimiento de gestión de cadena de suministro
• OP.MON.2: Integración con sistema de métricas para monitorización de proveedores
• OP.CONT.2: Planes de continuidad que incluyen alternativas de suministro
• MP.PER.1: Gestión de personal de proveedores con acceso a sistemas críticos

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

• Author: Team members involved
• Reviewer: JD-003, JD-004
• Approver: JD-001