Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
          • OP.PL.1 Análisis de Riesgos
          • OP.PL.2 Arquitectura de Seguridad
          • OP.PL.3 Adquisición de nuevos componentes
          • OP.PL.4 Dimensionamiento y Gestión de Capacidades
          • OP.PL.5 Componentes Certificados
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Grants
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.PL Planificación
  • OP.PL.3 Adquisición de nuevos componentes

OP.PL.3 Adquisición de nuevos componentes

Documentos de referencia​

  • Son de especial relevancia los siguientes principios básicos:
    • Artículo 9. Reevaluación periódica.
  • ISO/IEC 27000
    • 27002:2013
      • 14.1.1 - Análisis de requisitos y especificaciones de seguridad de la información
  • NIST 800-53 rev.4
    • [PL-1] Security Planning Policy and Procedures
    • [PL-2] System Security Plan
    • [PL-7] Security Concept of Operations
    • [PL-8] Information Security Architecture
    • [SA-1] System and Services Acquisition Policy and Procedures
    • [SA-3] System Development Life Cycle
    • [SA-4] Acquisition Process
    • [SA-8] Security Engineering Principles
    • [SA-12] Supply Chain Protection
  • Otras referencias:
    • NIST SP 800-18 - Guide for Developing Security Plans for Federal Information Systems
    • NIST SP 800-65 - Integrating IT Security into the Capital Planning and Investment Control Process

Guía de implantación​

  1. La adquisición de nuevos componentes debe:
  • tener en cuenta el análisis de riesgos [op.pl.1]
  • ajustarse a la arquitectura de seguridad [op.pl.2]
  • prever los recursos necesarios, esfuerzo y medios económicos para:
    • la implantación inicial.
    • el mantenimiento a lo largo de su vida útil.
    • atender a la evolución de la tecnología.
  • en todo momento se atenderá tanto a las necesidades técnicas como a la necesaria concienciación y formación de las personas que van a trabajar con los componentes.

Implementación en Legit Health Plus​

Marco de Adquisición Segura​

Política de Adquisición de Componentes​

Legit Health Plus implementa un proceso estructurado para la adquisición de nuevos componentes que garantiza:

  • Evaluación de seguridad previa a la adquisición
  • Análisis de riesgos específico según op.pl.1
  • Conformidad con la arquitectura definida en op.pl.2
  • Evaluación del ciclo de vida completo del componente
  • Consideración de aspectos regulatorios (FDA, EU MDR, ENS)

Principios de Adquisición Segura​

Principios Fundamentales:

  • Security by Design: Componentes con seguridad integrada
  • Supply Chain Security: Validación de la cadena de suministro
  • Vendor Risk Management: Evaluación de proveedores
  • Total Cost of Ownership: Coste completo del ciclo de vida
  • Regulatory Compliance: Cumplimiento normativo desde el diseño
  • Open Source Due Diligence: Evaluación rigurosa de componentes FOSS

Proceso de Evaluación y Selección​

Fases del Proceso de Adquisición​

Fases del proceso de adquisición:

El proceso de adquisición sigue un flujo secuencial de 11 fases con validaciones en cada etapa:

FaseActividadObjetivo
1Identificación de NecesidadDeterminar la necesidad de un nuevo componente
2Evaluación InicialValorar alternativas y viabilidad técnica
3Análisis de SeguridadEvaluar requisitos y riesgos de seguridad
4Evaluación de ProveedoresSeleccionar y evaluar proveedores potenciales
5Prueba de ConceptoValidar funcionalidad en entorno controlado
6Análisis de RiesgosAnálisis detallado según op.pl.1 y R-TF-013-002
7Evaluación EconómicaCalcular TCO y ROI del componente
8Decisión de AdquisiciónAprobación formal por comité de evaluación
9Implementación PilotoDespliegue controlado en entorno de prueba
10Despliegue ProducciónPuesta en producción gradual
11Monitorización ContinuaSeguimiento del rendimiento y seguridad post-despliegue

Flujo de proceso: Las fases son secuenciales y cada fase debe completarse exitosamente antes de avanzar a la siguiente. Cualquier hallazgo crítico en fases intermedias puede requerir volver a fases anteriores o cancelar la adquisición.

Criterios de Evaluación​

Matriz de Evaluación por Categorías:

CategoríaPesoCriterios de Evaluación
Seguridad (40%)
- Certificaciones15%Common Criteria, FIPS 140-2, ISO 27001
- Historial CVEs10%Número y severidad de vulnerabilidades
- Security Response10%Tiempo respuesta a vulnerabilidades
- Documentación5%Calidad documentación de seguridad
Cumplimiento (25%)
- Regulatory Alignment15%FDA, EU MDR, GDPR, ENS
- Standards Compliance10%ISO, IEC, HL7, FHIR
Técnico (20%)
- Funcionalidad10%Cobertura de requisitos
- Performance5%Rendimiento y escalabilidad
- Integración5%Facilidad de integración
Económico (15%)
- Coste Inicial5%Licencias, implementación
- Coste Operacional10%Mantenimiento, soporte, actualizaciones

Evaluación de Componentes por Tipo​

Software de Terceros (SOUP - Software of Unknown Provenance)​

Componentes SOUP Críticos en Legit Health Plus:

ComponenteCategoríaEvaluación de Seguridad
FastAPIWeb Framework✓ Análisis de vulnerabilidades
✓ Revisión de dependencias
✓ SBOM (Software Bill of Materials)
PyTorchML Framework✓ Model security assessment
✓ Supply chain verification
✓ Vulnerability monitoring
OpenCVImage Processing✓ Buffer overflow analysis
✓ Input validation review
✓ Memory safety assessment

Proceso de Evaluación SOUP:

  1. Análisis de Dependencias

    Herramientas utilizadas para análisis de dependencias:

HerramientaÁmbitoFunción
npm auditNode.js dependenciesAuditoría de vulnerabilidades en dependencias npm
pip-auditPython packagesAuditoría de seguridad de paquetes Python
safety checkPython securityVerificación de vulnerabilidades conocidas en Python
snyk testMulti-language scanningEscaneo de vulnerabilidades en múltiples lenguajes
trivy fsContainer scanningEscaneo de vulnerabilidades y configuraciones

Estas herramientas se ejecutan de forma automatizada en cada cambio de dependencias para identificar vulnerabilidades conocidas antes de la integración del componente.

  1. Generación de SBOM (Software Bill of Materials)

    Herramientas para generación y análisis de SBOM:

HerramientaFunción
syftGenera SBOM completo en formato JSON de todos los paquetes
grypeAnaliza el SBOM generado para identificar vulnerabilidades

El proceso genera un inventario completo de todos los componentes de software (SBOM) y posteriormente lo analiza para detectar vulnerabilidades conocidas. El SBOM se almacena como parte de la documentación del componente para trazabilidad y auditoría.

  1. Validación de Integridad
    • Verificación de checksums/hashes
    • Validación de firmas digitales
    • Comprobación de fuentes oficiales

Servicios Cloud (AWS)​

Evaluación de Servicios AWS:

ServicioFunciónControles Evaluados
ECS/FargateContainer RuntimeIAM roles, network isolation, logging
DocumentDBDatabaseEncryption, backup, access controls
S3Object StorageBucket policies, versioning, encryption
KMSKey ManagementHSM level, key rotation, access logging
CloudWatchMonitoringLog retention, access controls, alerting

Criterios de Selección AWS:

  • Certificaciones de cumplimiento (SOC 2, ISO 27001, HIPAA)
  • Disponibilidad de controles de seguridad granulares
  • Capacidades de auditoría y logging
  • Soporte para cifrado en reposo y en tránsito
  • Integración con herramientas de security

Bibliotecas de Machine Learning​

Evaluación Específica para ML:

AspectoCriterioImplementación
Model SecurityModel tampering protectionDigital signatures, checksums
Data PrivacyTraining data protectionDifferential privacy, federated learning
Bias AssessmentAlgorithmic fairnessBias testing frameworks
ExplainabilityModel interpretabilitySHAP, LIME integration
Adversarial RobustnessAttack resistanceAdversarial testing

Gestión de Proveedores​

Evaluación de Proveedores​

Cuestionario de Evaluación de Proveedores:

Cuestionario de evaluación de proveedores:

Security Assessment (Evaluación de Seguridad):

CriterioOpciones de respuesta
ISO 27001 certificationYes / No
Vulnerability disclosure programYes / No
Security incident response< 24h / < 1 week / > 1 week
Penetration testing frequencyQuarterly / Annual / Ad-hoc
Employee security trainingMandatory / Optional / None

Development Practices (Prácticas de Desarrollo):

CriterioOpciones de respuesta
Secure SDLC implementationYes / No
Code review requirementsAll code / Critical only / Optional
Static analysis toolsYes / No
Dependency scanningYes / No
Container security scanningYes / No

Compliance (Cumplimiento Normativo):

CriterioOpciones de respuesta
GDPR complianceCertified / Self-assessed / No
HIPAA complianceYes / No / N/A
SOC 2 Type IIYes / No
Medical device experienceYes / No
FDA QSR experienceYes / No

Due Diligence de Proveedores​

Proceso de Verificación:

  1. Verificación Legal
    • Registro mercantil
    • Estados financieros
    • Referencias comerciales
    • Seguros de responsabilidad
  2. Evaluación Técnica
    • Capacidades técnicas
    • Roadmap de producto
    • Soporte técnico
    • Documentación
  3. Auditoría de Seguridad
    • Certificaciones vigentes
    • Políticas de seguridad
    • Gestión de vulnerabilidades
    • Respuesta a incidentes

Análisis de Riesgos de Componentes​

Integración con el Sistema de Gestión de Riesgos​

Vinculación con R-TF-013-002:

Cada nuevo componente genera automáticamente:

Estructura de registro de riesgo para nuevo componente:

Cada nuevo componente genera automáticamente un registro de riesgo en R-TF-013-002 con la siguiente estructura:

CampoValor para nuevo componente
IDR-NEW (asignado automáticamente)
Tipos de riesgoProduct, Cybersecurity
Peligro o error de usoIntroducción de vulnerabilidades por nuevo componente
Propiedades de seguridadConfidentiality, Integrity, Availability
Referencias modelo amenazaT-024-006 (modelo de amenazas de ciberseguridad)
Referencias componenteCOMP-XXX (identificador del componente nuevo)
Severidad inicialTBD (a determinar durante evaluación)
Severidad controladaTBD (a determinar tras implementación de controles)
Requisitos de mitigaciónEvaluación previa obligatoria, Monitorización continua post-despliegue

Este registro se actualiza a lo largo del proceso de adquisición conforme se completan las fases de evaluación y se implementan controles de mitigación.

Análisis de Impacto​

Matriz de Impacto por Componente:

Tipo de ComponenteImpacto PotencialControles Requeridos
SOUP CriticalAltoAnálisis exhaustivo, sandbox testing
SOUP Non-CriticalMedioAnálisis estándar, monitoring
Cloud ServicesVariableService-specific assessment
ML LibrariesAltoBias testing, adversarial testing
Crypto LibrariesCríticoFIPS validation, expert review

Proceso de Implementación​

Implementación Gradual​

Fases de Implementación:

Fases de implementación gradual:

La implementación sigue un modelo de despliegue progresivo con testing específico en cada fase:

FaseTesting asociadoObjetivo
DevelopmentUnit TestingValidación de funcionalidad básica del componente
StagingIntegration TestingPruebas de integración con sistemas existentes
Pre-ProductionSecurity TestingValidación de controles de seguridad
Production PilotUser AcceptanceValidación con usuarios reales en entorno limitado
Full DeploymentFull MonitoringDespliegue completo con monitorización exhaustiva

Flujo de implementación: Cada fase debe completarse exitosamente incluyendo su testing asociado antes de avanzar a la siguiente. El componente se despliega progresivamente desde entornos controlados (Development) hasta producción completa (Full Deployment), permitiendo detectar y corregir problemas en cada etapa.

Gates de Calidad​

Security Gates obligatorios:

GateFaseCriterios de Paso
Gate 1DevelopmentSAST sin críticos, dependencias actualizadas
Gate 2StagingDAST sin altos, configuración hardened
Gate 3Pre-ProdPenetration test OK, DR tested
Gate 4ProductionSecurity review completo, monitoring activo

Gestión del Ciclo de Vida​

Monitorización Continua​

Indicadores de Salud del Componente:

Indicadores de salud del componente:

Security Metrics (Métricas de Seguridad):

MétricaObjetivo/Umbral
CVE count (last 12 months)< 5 critical
Patch deployment time< 7 días
Security alert response< 24 horas
Vulnerability scan resultsNo critical/high

Performance Metrics (Métricas de Rendimiento):

MétricaObjetivo/Umbral
Availability> 99.9%
Response time< 200ms p95
Error rate< 0.1%
Resource utilization< 80%

Compliance Metrics (Métricas de Cumplimiento):

MétricaObjetivo/Umbral
Audit findings0 critical
Policy violations0
License compliance100%
Documentation currency< 30 días de antigüedad

Estos indicadores se monitorizan de forma continua y cualquier desviación de los umbrales establecidos genera alertas automáticas para investigación y remediación.

End-of-Life Management​

Proceso de Decommissioning:

  1. Identificación de EOL
    • Monitoring de vendor announcements
    • Tracking de support timelines
    • Assessment de replacement options
  2. Planificación de Migración
    • Risk assessment de continuidad
    • Selection de replacement
    • Migration timeline
  3. Ejecución Controlada
    • Parallel running period
    • Gradual cutover
    • Decommissioning seguro

Consideraciones Específicas para Dispositivos Médicos​

Requisitos Regulatorios​

FDA Requirements:

  • Pre-market notification para cambios significativos
  • Validación de SOUP según IEC 62304
  • Documentación de análisis de riesgos
  • Post-market surveillance de componentes

EU MDR Requirements:

  • Clinical evaluation de cambios
  • Technical documentation update
  • Notified body notification si aplica
  • UDI database update

Validación Clínica​

Impacto en Eficacia Clínica:

Tipo de CambioValidación Requerida
Algoritmo MLClinical validation completa
UI ComponentsUsability testing
InfrastructurePerformance validation
Security ComponentsSecurity testing + risk analysis

Documentación y Trazabilidad​

Registro de Componentes​

Component Configuration Management Database (CCMDB):

Estructura de registro de componente en CCMDB:

Cada componente se registra en la Component Configuration Management Database con la siguiente estructura:

Información básica del componente:

CampoDescripción
IDCOMP-XXX (identificador único)
NameNombre del componente
Versionx.y.z (versión semántica)
VendorNombre del proveedor
CategorySOUP / Cloud / Internal
CriticalityCritical / High / Medium / Low

Security Assessment (Evaluación de seguridad):

CampoDescripción
Completed dateYYYY-MM-DD (fecha de finalización de evaluación)
AssessorNombre del evaluador
FindingsLista de hallazgos de seguridad
RecommendationsRecomendaciones de seguridad

Risk Analysis (Análisis de riesgos):

CampoDescripción
Risk IDR-XXX (referencia al registro en R-TF-013-002)
Residual riskAcceptable / AFAP / Not Acceptable

Lifecycle (Ciclo de vida):

CampoDescripción
Acquisition dateYYYY-MM-DD (fecha de adquisición)
EOL dateYYYY-MM-DD (fecha prevista de fin de vida)
Replacement planPlan de sustitución del componente

Auditoría y Compliance​

Evidencias Requeridas:

  • Justificación de selección
  • Análisis comparativo de alternativas
  • Assessment de seguridad completo
  • Aprobaciones por comité de arquitectura
  • Registros de testing y validación
  • Documentación de deployment
  • Métricas de performance post-deployment

Roles y Responsabilidades​

Comité de Evaluación de Componentes​

Miembros del Comité:

RolResponsabilidad
CTODecisión final, presupuesto
CISOEvaluación de seguridad
QA/RA ManagerCumplimiento regulatorio
Solution ArchitectImpacto técnico
ProcurementEvaluación comercial

RACI Matrix​

ActividadCTOCISOQA/RAArchitectProcurement
Identificación necesidadCCCRI
Evaluación seguridadARCCI
Análisis riesgosARCCI
Selección proveedorACCCR
Aprobación adquisiciónRCCCA
ImplementaciónACCRI

Métricas y KPIs​

Métricas de Proceso​

KPIObjetivoFrecuencia
Tiempo medio de evaluación< 30 díasMensual
Tasa de rechazo en gates< 10%Mensual
Coste medio de evaluación< 10% precio componenteTrimestral
Vulnerabilidades post-deployment0 críticasContinua

Métricas de Resultado​

IndicadorTargetEstado Actual
Componentes sin vulnerabilidades críticas100%98%
Tiempo medio de patch deployment< 7 días5 días
Satisfacción con nuevos componentes> 4/54.2/5
ROI de componentes adquiridos> 150%180%

Herramientas y Automatización​

Pipeline de Evaluación Automatizada​

PRO-COMP-ASSESS-001: Pipeline automatizado de evaluación de componentes

Objetivo: Ejecutar automáticamente evaluaciones de seguridad cuando se modifican dependencias del proyecto.

Triggers (Desencadenantes):

  • Pull requests que modifican archivos de dependencias:
    • requirements.txt (Python)
    • package.json (Node.js)
    • Dockerfile (containers)

Pasos del proceso automatizado:

PasoActividadHerramientaObjetivo
1Checkout codeGitHub ActionsObtener código fuente del repositorio
2Run Trivy scanTrivy (aquasecurity)Escanear vulnerabilidades en dependencias y configuración
3Generate SBOMsyftGenerar Software Bill of Materials en formato JSON
4Vulnerability assessmentgrypeAnalizar SBOM para identificar vulnerabilidades
5License compliance checklicense-checkerVerificar cumplimiento de licencias
6Upload resultsGitHub CodeQLSubir resultados en formato SARIF para revisión

Resultado: El pipeline genera un informe completo de seguridad que debe ser revisado y aprobado antes de integrar los cambios de dependencias. Cualquier vulnerabilidad crítica o alta bloquea automáticamente la integración hasta su resolución.

Dashboard de Componentes​

Métricas en Tiempo Real:

  • Inventario de componentes por estado
  • Vulnerabilidades pendientes de parcheo
  • EOL timeline de componentes críticos
  • Compliance status por framework
  • Coste acumulado por componente

Anexo A: Checklist de Evaluación​

Pre-Acquisition Checklist:

  • Necesidad de negocio claramente definida
  • Alternativas evaluadas (incluido desarrollo interno)
  • Análisis de riesgos completado (referencia en R-TF-013-002)
  • Arquitectura de seguridad revisada (alineación con T-024-009)
  • Evaluación de proveedor completada
  • POC exitosa con criterios de aceptación
  • TCO calculado incluyendo ciclo de vida completo
  • Plan de implementación definido
  • Estrategia de monitorización establecida
  • Plan de contingencia documentado
  • Aprobaciones obtenidas según matriz RACI
  • Documentación en CCMDB actualizada

Anexo B: Plantilla de Análisis de Riesgos​

Plantilla de análisis de riesgos de componente:

Información general del assessment:

CampoDescripción
Component IDCOMP-XXX (identificador del componente)
Assessment dateYYYY-MM-DD (fecha de evaluación)
AssessorNombre del evaluador

Riesgos identificados (para cada riesgo):

CampoDescripciónValores posibles
IDR-XXX (identificador único del riesgo)—
DescriptionDescripción del riesgo identificado—
CategoryCategoría del riesgoSecurity / Operational / Compliance
ProbabilityProbabilidad de ocurrencia1-5 (1=Muy baja, 5=Muy alta)
ImpactImpacto si ocurre1-5 (1=Insignificante, 5=Catastrófico)
Risk levelNivel de riesgo calculadoLow / Medium / High / Critical
Mitigation measuresMedidas de mitigación implementadasLista de medidas
Residual riskRiesgo residual tras mitigaciónAcceptable / AFAP / Not Acceptable

Evaluación global:

CampoDescripciónValores posibles
Overall assessmentDecisión final sobre el componenteApproved / Conditional / Rejected
ConditionsCondiciones si la aprobación es condicionalLista de condiciones
Review dateFecha de próxima revisiónYYYY-MM-DD

Esta plantilla se completa para cada componente nuevo y se actualiza periódicamente según el ciclo de reevaluación establecido.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
OP.PL.2 Arquitectura de Seguridad
Next
OP.PL.4 Dimensionamiento y Gestión de Capacidades
  • Documentos de referencia
  • Guía de implantación
  • Implementación en Legit Health Plus
    • Marco de Adquisición Segura
      • Política de Adquisición de Componentes
      • Principios de Adquisición Segura
    • Proceso de Evaluación y Selección
      • Fases del Proceso de Adquisición
      • Criterios de Evaluación
    • Evaluación de Componentes por Tipo
      • Software de Terceros (SOUP - Software of Unknown Provenance)
      • Servicios Cloud (AWS)
      • Bibliotecas de Machine Learning
    • Gestión de Proveedores
      • Evaluación de Proveedores
      • Due Diligence de Proveedores
    • Análisis de Riesgos de Componentes
      • Integración con el Sistema de Gestión de Riesgos
      • Análisis de Impacto
    • Proceso de Implementación
      • Implementación Gradual
      • Gates de Calidad
    • Gestión del Ciclo de Vida
      • Monitorización Continua
      • End-of-Life Management
    • Consideraciones Específicas para Dispositivos Médicos
      • Requisitos Regulatorios
      • Validación Clínica
    • Documentación y Trazabilidad
      • Registro de Componentes
      • Auditoría y Compliance
    • Roles y Responsabilidades
      • Comité de Evaluación de Componentes
      • RACI Matrix
    • Métricas y KPIs
      • Métricas de Proceso
      • Métricas de Resultado
    • Herramientas y Automatización
      • Pipeline de Evaluación Automatizada
      • Dashboard de Componentes
    • Anexo A: Checklist de Evaluación
    • Anexo B: Plantilla de Análisis de Riesgos
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)