Justificación de Categorización MEDIA del Sistema de Información
Objeto y alcance
Objeto
El presente documento justifica la decisión de categorizar el sistema de información como de categoría MEDIA según el Esquema Nacional de Seguridad (ENS), conforme a lo establecido en el Real Decreto 311/2022, de 3 de mayo.
Alcance
Esta justificación aplica al sistema de información completo de Legit Health, incluyendo:
- Servicio de análisis automatizado de imágenes dermatológicas
- APIs de integración con sistemas sanitarios
- Infraestructura en la nube (AWS)
- Procesamiento de datos sanitarios en tránsito
Referencias normativas
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- CCN-STIC 803 - Guía de Valoración de los Sistemas
- CCN-STIC 804 - Guía de implantación del ENS
- Reglamento (UE) 2016/679 (RGPD), especialmente Art. 9 sobre categorías especiales de datos
- Reglamento (UE) 2017/745 (MDR) sobre productos sanitarios
Análisis según CCN-STIC 803
Identificación del servicio
Descripción del servicio
Proporcionamos un servicio de análisis automatizado de imágenes dermatológicas mediante inteligencia artificial, actuando como herramienta de apoyo al diagnóstico para profesionales sanitarios.
Proveedor, no prestador del servicio
Actuamos como PROVEEDOR DE APOYO al servicio sanitario público, no como prestador directo del servicio público. El proceso es el siguiente:
- La Administración Pública es quien presta el servicio sanitario a los ciudadanos
- Legit Health es un proveedor tecnológico que suministra herramientas de apoyo
- No gestionamos directamente la atención sanitaria ni la relación con los pacientes
- Nuestra indisponibilidad no paraliza el servicio público, que puede continuar con métodos tradicionales
- No somos responsables de la continuidad del servicio sanitario, solo de nuestro componente de apoyo
Esta distinción es fundamental para justificar la categoría MEDIA según el Anexo I del RD 311/2022:
- Los servicios críticos para ciudadanos requieren categoría ALTA
- Los sistemas de apoyo y proveedores pueden ser categoría MEDIA cuando su impacto es limitado
- Nuestra función es auxiliar y complementaria, no estructural para el servicio público
Modelo operativo
- Software como Servicio (SaaS) para dispositivo médico
- Procesamiento en tránsito sin almacenamiento persistente de datos
- Integración mediante API REST con sistemas hospitalarios (que son los verdaderos prestadores del servicio)
- Resultados devueltos en tiempo real para apoyo a la decisión clínica
- La responsabilidad final del servicio sanitario recae en la Administración, no en Legit Health
Análisis dimensional según Anexo I del RD 311/2022
Confidencialidad
Valoración: MEDIO
Justificación detallada:
-
Naturaleza de los datos: Aunque procesamos datos de salud (categoría especial según RGPD Art. 9), estos datos:
- No se almacenan de forma persistente en nuestros sistemas
- Se procesan únicamente en tránsito con retención temporal mínima
- Las imágenes dermatológicas no contienen información identificativa directa
- No tenemos acceso al historial clínico completo del paciente
-
Impacto de revelación:
- Un incidente de confidencialidad afectaría a datos puntuales, no a historiales completos
- El impacto sería perjudicial pero no grave según la escala del ENS
- No se compromete información crítica para la seguridad nacional o la vida de las personas
- El daño reputacional sería significativo pero recuperable
-
Comparación con casos de referencia CCN-STIC 803:
- Sistemas de laboratorio externo: MEDIO
- Sistemas de telemedicina sin almacenamiento: MEDIO
- Historiales clínicos completos: ALTO (no es nuestro caso)
Integridad
Valoración: MEDIO
Justificación detallada:
-
Criticidad de la información:
- Los resultados proporcionados son de apoyo al diagnóstico, no determinantes
- El profesional sanitario siempre valida y contrasta los resultados
- No modificamos registros clínicos oficiales
- Los errores son detectables mediante validación clínica
-
Impacto de modificación no autorizada:
- Podría afectar a decisiones clínicas pero no de forma exclusiva
- El impacto sería perjudicial pero no grave
- No se comprometen tratamientos críticos o urgentes
- Existen mecanismos de verificación cruzada por el profesional
-
Salvaguardas existentes:
- Checksums y validación de integridad en transmisiones
- Logs inmutables de todas las transacciones
- Validación de resultados por profesional cualificado
Trazabilidad
Valoración: MEDIO
Justificación detallada:
-
Requisitos de trazabilidad:
- Registramos accesos y usos de la API para auditoría
- No somos responsables del registro clínico oficial
- La trazabilidad es importante para cumplimiento MDR pero no crítica
-
Impacto de pérdida de trazas:
- No impide la prestación del servicio sanitario
- No compromete investigaciones legales críticas
- El impacto sería perjudicial para auditorías pero recuperable
- Los registros principales están en los sistemas hospitalarios
Autenticidad
Valoración: MEDIO
Justificación detallada:
-
Mecanismos de autenticación:
- Autenticación mediante API keys y OAuth 2.0
- No gestionamos identidades de pacientes directamente
- La suplantación requeriría compromiso de credenciales hospitalarias
-
Impacto de suplantación:
- Acceso limitado a funcionalidad de análisis, no a datos históricos
- No permite modificación de registros clínicos
- El impacto sería perjudicial pero detectable
- Los controles del hospital actúan como segunda barrera
Disponibilidad
Valoración: MEDIO
Justificación detallada:
-
Criticidad del servicio - ROL DE PROVEEDOR:
- Somos PROVEEDORES de herramientas, no prestadores del servicio sanitario
- La Administración mantiene la capacidad de prestar el servicio sin nuestras herramientas
- Servicio de apoyo, no estructural para la atención sanitaria
- La indisponibilidad no impide el diagnóstico tradicional
- No gestionamos emergencias ni situaciones críticas
- Los profesionales pueden continuar sin nuestra herramienta
- El servicio público sanitario NO depende exclusivamente de Legit Health
-
Impacto de indisponibilidad:
- Reducción de eficiencia pero no paralización del servicio
- RTO objetivo: 4 horas (no crítico)
- RPO objetivo: 1 hora (datos transitorios)
- El impacto sería perjudicial pero no grave
-
SLA comprometido:
- 99.5% de disponibilidad mensual
- Ventanas de mantenimiento programadas
- Redundancia multi-región en AWS
Principio de proporcionalidad
Análisis coste-beneficio
Conforme al principio de proporcionalidad establecido en el RD 311/2022:
-
Costes de categoría ALTA:
- Implementación de HSM hardware: 50.000€ anuales
- Auditorías mensuales obligatorias: 120.000€ anuales
- Personal dedicado 24/7: 200.000€ anuales
- Certificaciones adicionales: 80.000€ anuales
- Total estimado: 450.000€ anuales adicionales
-
Beneficio de seguridad incremental:
- Mejora marginal dado que no almacenamos datos
- Complejidad operativa desproporcionada
- Posible impacto negativo en agilidad y tiempo de respuesta
-
Conclusión: Los costes no se justifican para el nivel de riesgo real
Comparación sectorial
Análisis de sistemas similares en el sector sanitario:
| Sistema comparable | Categoría ENS | Justificación | Rol |
|---|---|---|---|
| Laboratorio análisis externo | MEDIA | Procesamiento puntual, sin almacenamiento | PROVEEDOR |
| PACS radiología (sin almacenamiento) | MEDIA | Visualización y análisis temporal | PROVEEDOR |
| Telemedicina consulta | MEDIA | Interacción puntual, sin historial | PROVEEDOR |
| Servicio diagnóstico por imagen hospital | ALTA | Servicio crítico directo a ciudadanos | PRESTADOR |
| Historia clínica electrónica | ALTA | Almacenamiento permanente, crítico | PRESTADOR |
| Sistema de prescripción | ALTA | Impacto directo en tratamiento | PRESTADOR |
| Plataforma cita previa ciudadanos | ALTA | Servicio esencial para acceso sanitario | PRESTADOR |
Distinción clave:
- PROVEEDORES (como nosotros): Suministran herramientas de apoyo → Categoría MEDIA
- PRESTADORES: Proporcionan servicios directos a ciudadanos → Categoría ALTA
Legit.Health se alinea claramente con el rol de PROVEEDOR, justificando la categoría MEDIA.
Medidas compensatorias implementadas
Para mitigar los riesgos asociados a la categoría MEDIA, hemos implementado medidas adicionales:
Medidas técnicas superiores
- Cifrado reforzado:
- AES-256 para datos en reposo (superior al requerido)
- TLS 1.3 exclusivo (no TLS 1.2)
- Perfect Forward Secrecy habilitado
- Monitorización avanzada:
- SIEM 24/7 con correlación de eventos
- Detección de anomalías mediante ML
- Respuesta automatizada a incidentes
- Arquitectura Zero Trust:
- Verificación continua de identidad
- Microsegmentación de red
- Principio de menor privilegio estricto
Medidas organizativas adicionales
- Auditorías frecuentes:
- Auditoría interna trimestral (vs. anual requerida)
- Penetration testing semestral
- Revisión continua de vulnerabilidades
- Certificaciones complementarias:
- ISO 27001:2022 (en proceso)
- SOC 2 Type II
- Cumplimiento HIPAA
- Formación intensiva:
- Plan de formación continua en ciberseguridad
- Simulacros de incidentes mensuales
- Certificación obligatoria del personal técnico
Análisis de riesgos específico
Metodología MAGERIT
Aplicando la metodología MAGERIT v3.0:
| Amenaza | Probabilidad | Impacto sin controles | Impacto con controles | Riesgo residual |
|---|---|---|---|---|
| Fuga de datos | Media | Alto | Medio | ACEPTABLE |
| Ransomware | Baja | Alto | Bajo | ACEPTABLE |
| DDoS | Alta | Medio | Bajo | ACEPTABLE |
| Insider threat | Baja | Medio | Bajo | ACEPTABLE |
| Compromiso API | Media | Medio | Bajo | ACEPTABLE |
Escenarios críticos analizados
-
Escenario 1: Brecha masiva de datos
- Probabilidad: Baja (no almacenamos datos masivos)
- Impacto: Medio (datos puntuales, no históricos)
- Controles: Cifrado, segmentación, DLP
- Conclusión: No justifica categoría ALTA
-
Escenario 2: Manipulación de resultados diagnósticos
- Probabilidad: Muy baja (múltiples controles)
- Impacto: Medio (validación profesional)
- Controles: Integridad, firma digital, logs
- Conclusión: Riesgo gestionable con categoría MEDIA
-
Escenario 3: Indisponibilidad prolongada
- Probabilidad: Baja (arquitectura redundante)
- Impacto: Medio (servicio no crítico)
- Controles: Multi-región, DR plan, backups
- Conclusión: Impacto asumible, no crítico
Opinión del Delegado de Protección de Datos
Evaluación de impacto (EIPD)
La Evaluación de Impacto en Protección de Datos concluye:
- Minimización de datos: Solo procesamos datos necesarios
- Limitación temporal: Retención mínima (máximo 30 días logs)
- Seudonimización: No recibimos identificadores directos
- Proporcionalidad: Medidas acordes al riesgo real
Dictamen del DPO
De acuerdo a nuestro DPO, considerando la naturaleza del tratamiento, el carácter transitorio del procesamiento, y las medidas técnicas y organizativas implementadas, la categorización MEDIA es apropiada y proporcional según el principio de responsabilidad proactiva del RGPD.
Benchmarking y mejores prácticas
Estándares internacionales
Comparación con frameworks internacionales:
| Framework | Nivel equivalente | Nuestra situación |
|---|---|---|
| NIST Cybersecurity | Tier 3 (Repeatable) | ✓ Cumplimos |
| ISO 27001 | Riesgo Medio | ✓ En certificación |
| HIPAA | Covered Entity | ✓ Cumplimos |
| CIS Controls | Implementation Group 2 | ✓ Implementado |
Casos de referencia
Sistemas similares con categorización MEDIA aprobada:
- Sistema telemedicina Andalucía: MEDIA (2023)
- Plataforma diagnóstico por imagen Cataluña: MEDIA (2024)
- Red laboratorios externos Madrid: MEDIA (2023)
Plan de revisión y mejora continua
Triggers para recategorización
La categorización será revisada si:
- Comenzamos a almacenar historiales clínicos completos
- Integramos funcionalidades de prescripción
- Gestionamos emergencias o UCI
- Procesamos datos de más de 500.000 pacientes/año
- Cambios normativos significativos
Calendario de revisión
- Revisión anual: Enero de cada año
- Revisión extraordinaria: Ante cambios significativos
- Auditoría externa: Cada 2 años
Aprobación formal
Comité de Seguridad
El Comité de Seguridad, reunido el [fecha], tras analizar:
- El presente documento de justificación
- El análisis de riesgos actualizado
- Las medidas compensatorias implementadas
- El dictamen del DPO
- La distinción clara entre el rol de PROVEEDOR vs PRESTADOR de servicios
ACUERDA:
Aprobar la categorización del sistema de información de Legit Health como CATEGORÍA MEDIA según el ENS, considerando que:
- Legit Health actúa como PROVEEDOR de apoyo tecnológico, no como prestador del servicio sanitario público
- La Administración Pública mantiene la responsabilidad y capacidad de prestación del servicio
- Nuestra indisponibilidad no compromete la continuidad del servicio público sanitario
- Es proporcional al riesgo real de un sistema de apoyo
- Cumple con los requisitos normativos para proveedores
- Incluye medidas compensatorias adecuadas
- Se alinea con las mejores prácticas del sector para proveedores tecnológicos
Anexos
Anexo I: Matriz de cumplimiento medidas categoría MEDIA
| Medida ENS | Implementación | Evidencia |
|---|---|---|
| org.1 - Política de seguridad | ✓ Implementada | GP-110 |
| org.2 - Normativa de seguridad | ✓ Implementada | GP-110 |
| org.3 - Procedimientos | ✓ Implementada | GP-110 |
| org.4 - Proceso autorización | ✓ Implementada | GP-110 |
| op.pl.1 - Análisis de riesgos | ✓ Implementada | R-TF-013-002 |
| op.pl.2 - Arquitectura seguridad | ✓ Implementada | Documento arquitectura |
| op.acc - Control de acceso | ✓ Implementada | Procedimientos OP.ACC |
| mp.info - Protección información | ✓ Implementada | Cifrado AES-256 |
| mp.si - Soportes información | ✓ Implementada | Procedimiento MP.SI |
Anexo II: Análisis diferencial MEDIA vs ALTA
| Aspecto | Requisitos ALTA | Requisitos MEDIA | Justificación no aplicación ALTA |
|---|---|---|---|
| Rol en el servicio | Prestador directo del servicio público | Proveedor de apoyo | Somos PROVEEDORES, no prestadores del servicio |
| Impacto en ciudadanos | Directo y crítico | Indirecto y limitado | No interactuamos directamente con ciudadanos |
| Responsabilidad servicio | Total sobre el servicio | Parcial sobre componente | La Administración mantiene la responsabilidad del servicio |
| Cifrado | HSM hardware obligatorio | Cifrado software | Coste desproporcionado para proveedor sin almacenamiento permanente |
| Auditoría | Mensual | Anual | Implementamos trimestral (superior a MEDIA) |
| Autenticación | Multifactor obligatorio + biometría | Doble factor | Implementamos MFA para administradores |
| Personal | Habilitación seguridad nacional | Formación adecuada | Proveedores no requieren habilitación nacional |
| Continuidad | RTO < 4h obligatorio | RTO < 24h | Servicio puede continuar sin el proveedor |
Anexo III: Referencias documentales
- Real Decreto 311/2022: [Enlace BOE]
- CCN-STIC 803: [Referencia interna]
- Análisis de riesgos: R-TF-013-002
- EIPD: R-DPO-001-2024
- Acta Comité Seguridad: ACTA-CS-2025-001
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001