Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Cybersecurity
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery And Comissioning
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
      • OP Marco operacional
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • External documentation
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.2 Normativa de Seguridad

ORG.2 Normativa de Seguridad

Documentos de referencia​

  • Guías CCN-STIC:
    • Guía CCN-STIC-821 - Normas de Seguridad
  • Son de especial relevancia los siguientes principios básicos:
    • Artículo 7. Prevención, reacción y recuperación.
    • Artículo 9. Reevaluación periódica.
  • ISO/IEC 27000
    • 27002:2013
      • 5.1 - Directrices de gestión de la seguridad de la información
      • 6.1.3 - Contacto con las autoridades
      • 6.1.4 - Contacto con grupos de interés especial
      • 18.1.2 - Derechos de propiedad intelectual (IPR)
      • 18.2.3 - Comprobación del cumplimiento técnico
  • NIST SP 800-53 rev.4
    • Todos los apartados, primer control (XX-1). Por ejemplo, AC-1 “Access Control Policy and Procedures”.
    • PM-15 - Contacts with Security Groups and Associations
  • Otras referencias:
    • The SANS Security Policy Project http://www.sans.org/resources/policies/
    • NIST SP800-12 - An Introduction to Computer Security
    • NSA - Manageable Network Plan

Plan de implantación​

  1. Conjunto de documentos que, sin entrar en detalles, establecen la forma de afrontar un cierto tema en materia de seguridad. Definen la posición del organismo en aspectos concretos y sirven para indicar cómo se debe actuar en caso de que una cierta circunstancia no esté recogida en un procedimiento explícito o que el procedimiento pueda ser impreciso o contradictorio en sus términos.

  2. A veces se denominan “policies” (en inglés).

  3. A veces se denominan “standards” (en inglés).

  4. Las normas deben centrarse en los objetivos que se desean alcanzar, antes que en la forma de lograrlo. Los detalles los proporcionarán los procedimientos. Las normas ayudan a tomar la decisión correcta en caso de duda.

  5. Las normas deben describir lo que se considera uso correcto, así como lo que se considera uso incorrecto.

  6. La normativa tiene carácter de obligado cumplimiento. Esto debe destacarse, así como las consecuencias derivadas de su incumplimiento (medidas disciplinarias).

  7. Cada norma debe indicar la forma de localizar los procedimientos que se han desarrollado en la materia tratada. Es difícil que la norma cubra todos los procedimientos desarrollados, pero los procedimientos deben indicar la norma o normas que desarrollan.

  8. Las normas deben escribirlas personas expertas en la materia, conocedoras de la postura de la Dirección, de las posibilidades y limitaciones de la tecnología correspondiente y con experiencia en los incidentes o situaciones típicas que pueden encontrarse los usuarios. Las normas deben ser revisadas por el departamento de asesoría legal, tanto para evitar el incumplimiento de alguna norma de rango superior, como para introducir registros que puedan ser requeridos como evidencias en caso de conflicto.

  9. Las normas deben ser realistas y viables. Deben ser concisas (sin perder precisión) y sin ambigüedades. Deben estar motivadas, ser descriptivas y definir puntos de contacto para su interpretación correcta.

  10. Normativa típica:

  • control de acceso: protección de los elementos de autenticación y autorización (contraseñas, tarjetas, etc.)
  • puesto de trabajo despejado y equipos desatendidos
  • protección frente a software malicioso: virus, spyware, adware, etc.
  • desarrollo de aplicaciones (software)
  • instalación de aplicaciones (software)
  • acceso remoto
  • tele-trabajo
  • uso de portátiles
  • gestión de soportes de información removibles (tales como CD, llaves USB, etc.)
  • tratamiento de la información impresa: copias, almacenamiento y destrucción
  • uso del correo electrónico
  • uso de la web
  • problemas de ingeniería social
  • criterios de clasificación de la información
  • tratamiento de información de carácter personal
  • copias de respaldo (back ups)
  • uso de la criptografía
  • gestión de claves
  • manejo de dispositivos
  • cifrado, firma y verificación
  • seguridad física
    • uso de las instalaciones
  • relaciones con terceros (proveedores externos)
    • acuerdos de confidencialidad
    • cooperación preventiva
    • resolución de incidencias

Finalidad​

La presente normativa establece las reglas de obligado cumplimiento en materia de seguridad de la información en nuestra empresa, con el objetivo de preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y servicios gestionados en sus sistemas de información. Esta normativa aplica a todo el personal, incluyendo empleados, colaboradores externos y proveedores que accedan a sistemas o datos bajo nuestra responsabilidad.

Ámbito de aplicación​

Esta normativa es de aplicación a todos los sistemas de información, infraestructuras tecnológicas y servicios digitales de nuestra empresa, incluyendo:

  • Aplicaciones web y API que integran nuestro software como producto sanitario
  • Equipos de usuario y servidores
  • Sistemas en la nube y entornos virtualizados
  • Correo electrónico corporativo y almacenamiento documental
  • Sistemas de control de acceso y autenticación
  • Procesos internos de desarrollo, operación y soporte

Normas generales de seguridad​

Uso autorizado de los sistemas​

Solo el personal autorizado podrá acceder a los sistemas de Legit.Health. Cada acceso debe realizarse con credenciales personales, únicas e intransferibles. El uso de los recursos tecnológicos está destinado exclusivamente al desempeño de funciones profesionales.

Protección de credenciales​

Está prohibido compartir contraseñas o tarjetas criptográficas. Las credenciales deben mantenerse en secreto y no almacenarse en texto plano ni dejarse visibles en el entorno de trabajo.

Normas sobre equipos y dispositivos​

  • Los equipos asignados son responsabilidad personal. Deben ser devueltos a la finalización de la relación laboral o cambio de funciones.
  • El usuario debe evitar accesos no autorizados, proteger el equipo físicamente, y bloquear la sesión en caso de ausencia.
  • Está prohibido conectar equipos o dispositivos no autorizados a la red corporativa (PCs, móviles, pendrives, etc.).

Acceso a Internet​

El acceso a Internet desde los dispositivos y sistemas gestionados por Legit.Health debe cumplir con las siguientes normas y restricciones, orientadas a garantizar un uso seguro, ético y profesional del servicio:

Reglas generales de uso​

  • Internet debe utilizarse exclusivamente para fines profesionales. No se permite el acceso a contenidos ajenos a las funciones propias del puesto.
  • Está prohibido visitar páginas con contenido ilegal, ofensivo, poco ético o sospechoso de contener código malicioso (como portales de apuestas, pornografía, sectas, violencia, racismo, etc.).
  • No debe difundirse información interna o sensible sobre Legit.Health en foros, redes sociales o sitios públicos sin autorización expresa.

Navegación segura​

  • Se debe verificar la autenticidad de los sitios web, especialmente al intercambiar información o realizar transacciones. Priorizar el uso de HTTPS y certificados válidos.
  • Se deben cerrar las sesiones activas al finalizar el uso de cualquier servicio web, y no basta con cerrar el navegador.
  • No se deben instalar complementos, extensiones o applets sin autorización previa del área técnica.

Descarga de contenidos​

  • Las descargas están restringidas. Solo el personal autorizado podrá descargar archivos ejecutables, multimedia o de gran tamaño, y exclusivamente desde fuentes confiables.
  • Está prohibida la descarga de software no licenciado o no procedente de canales oficiales.

Configuración del navegador​

  • El navegador debe mantenerse actualizado y configurado con un nivel de seguridad “medio” o “alto”.
  • Debe desactivarse el uso de cookies y eliminar regularmente el historial, la caché, contraseñas y otros datos privados.
  • Las herramientas de seguridad (antivirus, firewall) deben estar activas y actualizadas permanentemente.

Control de acceso y niveles​

Legit.Health establece distintos perfiles de acceso a Internet según la función del usuario:

NivelAcceso webDescargasObservaciones
1Categorías permitidas estrictasNoPerfil general. Acceso básico
2+Categorías técnicasMultimediaPerfil intermedio (e.g., comunicación, prensa)
3Acceso ampliadoAutorizadasSolo personal técnico o de seguridad

Cualquier cambio de nivel deberá ser solicitado y aprobado por el Responsable de Seguridad.

Ficheros restringidos​

Está prohibida la descarga de los siguientes tipos de archivo salvo autorización expresa:

  • Ejecutables (.exe, .bat, .cmd, etc.)
  • Imágenes de disco (.iso, .nrg, etc.)
  • Multimedia no profesional (.mp3, .mp4, .avi, etc.)
  • Ficheros de streaming (.swf, .flv, etc.)

(Ver detalle completo en el Anexo II del Apéndice NP10 del CCN-STIC 821)

Suspensión del acceso​

Legit.Health podrá suspender temporalmente el acceso a Internet en caso de uso indebido, previo informe del responsable correspondiente. El acceso será restaurado cuando desaparezcan las causas objetivas que motivaron la suspensión.

Uso del correo electrónico corporativo​

El uso del correo electrónico en Legit.Health se regula por los siguientes principios y normas, de aplicación obligatoria para todo el personal, interno o externo, con acceso a sistemas de información corporativos:

Normas básicas de uso​

  • El correo debe utilizarse exclusivamente para fines profesionales. Está prohibido su uso para fines personales o actividades no autorizadas.
  • Cada cuenta de correo es personal e intransferible. No está permitido compartir cuentas, delegar su uso ni reenviarlas automáticamente fuera del dominio legit.health sin aprobación expresa.
  • Las contraseñas del correo deben ser robustas y mantenerse protegidas. No deben recordarse en el navegador salvo configuración corporativa explícita.

Seguridad de los mensajes​

  • Debe verificarse siempre el destinatario antes de enviar un correo. Se recomienda revisar especialmente el campo "CC" y utilizar "CCO" en envíos masivos.
  • Está prohibido reenviar mensajes en cadena, responder a spam o acceder a enlaces sospechosos.
  • Los mensajes que contengan información sensible deben cifrarse. Legit.Health proporciona herramientas de cifrado para este fin.
  • Nunca se debe asumir que el remitente es quien dice ser: ante la duda, confirmar su identidad por otro canal antes de responder o actuar.

Gestión de correos y adjuntos​

  • No se debe utilizar el correo como espacio de almacenamiento. Los mensajes deben archivarse o eliminarse regularmente.
  • No se deben ejecutar adjuntos sospechosos sin analizarlos con herramientas corporativas.
  • Si se detecta un correo malicioso o con virus, debe notificarse de inmediato al Responsable de Seguridad sin reenviarlo.

Acceso remoto al correo​

  • Para el acceso vía webmail se deberá:
    • Usar navegadores actualizados con parches de seguridad aplicados.
    • Cerrar sesión correctamente al finalizar.
    • Desactivar opciones de recordar contraseñas o contenido remoto.
    • Habilitar el borrado automático de caché, cookies y sesiones autenticadas al cerrar el navegador.

Prevención frente al spam​

  • No se debe publicar la dirección de correo corporativo en foros o sitios no controlados.
  • Si se recibe spam, no debe abrirse ni responderse. El incidente debe reportarse.
  • Legit.Health cuenta con sistemas antispam, pero la colaboración del usuario es esencial para prevenir riesgos adicionales.

Teletrabajo y trabajo fuera de las instalaciones​

Legit.Health reconoce el trabajo en movilidad como una modalidad legítima de actividad profesional, siempre que se respeten las siguientes normas de seguridad:

Condiciones generales​

  • El trabajo remoto o fuera de las instalaciones solo podrá realizarse con autorización expresa.
  • Todo equipo y documentación debe estar identificado como propiedad de Legit.Health y ser transportado de forma segura. En desplazamientos en avión no debe facturarse equipo informático: debe acompañar siempre al usuario.
  • Los dispositivos móviles y documentación confidencial deberán estar bajo vigilancia constante, incluso en entornos como congresos, hoteles o espacios públicos.
  • Los dispositivos asignados son de uso profesional exclusivo. No podrán ser compartidos ni prestados sin autorización formal.

Acceso remoto​

  • Se deben utilizar exclusivamente los canales de conexión aprobados por Legit.Health.
  • Toda transmisión de datos sensibles o confidenciales debe realizarse cifrada.
  • Es obligatorio cerrar la sesión al finalizar el uso remoto, evitando así la reutilización indebida de sesiones abiertas.
  • Los navegadores utilizados deben estar actualizados y configurados para borrar automáticamente la información al cerrar (cookies, historial, formularios, etc.).

Normas específicas de seguridad​

  • Las contraseñas deben ser robustas y mantenerse confidenciales. No deben recordarse en los navegadores.
  • Está prohibida la instalación de extensiones (addons) o aplicaciones sin autorización.
  • Las herramientas de seguridad (antivirus, cifrado, firewall) deben mantenerse activas y actualizadas en todo momento.
  • No se permite el almacenamiento de información sensible sin cifrado en dispositivos personales ni en soportes externos sin protección.
  • No se deben desactivar los mecanismos de seguridad instalados (como cortafuegos, bloqueos, antivirus o gestión remota).
  • Es obligatorio el uso de sistemas de anclaje físico (candados, cables de seguridad) si el equipo va a quedar desatendido fuera de la oficina.

Normas de higiene digital​

  • Evitar dejar equipos en mesas con alimentos o líquidos, o en entornos polvorientos o húmedos.
  • Se recomienda revisar el equipo al menos dos veces al año para comprobar que no contiene software malicioso.
  • Toda actividad fuera de las instalaciones deberá cumplir con la misma normativa interna que si se realizara en las oficinas de Legit.Health.

Normas para la creación y uso de contraseñas​

Las contraseñas son uno de los principales mecanismos de autenticación en los sistemas de Legit.Health. Para garantizar su eficacia, todos los usuarios deben seguir estrictamente las siguientes normas:

Reglas generales de uso​

  • Las contraseñas son personales e intransferibles. Está prohibido compartirlas o ceder su uso, incluso temporalmente.
  • No deben escribirse en papel ni almacenarse en lugares no seguros. Se permite el uso de gestores de contraseñas aprobados por Legit.Health.
  • Las contraseñas no deben reutilizarse entre servicios distintos.
  • Toda contraseña comprometida o cedida debe cambiarse de inmediato.

Requisitos mínimos para contraseñas robustas​

  • Longitud mínima: 8 caracteres.
  • Se recomienda el uso de "frases de paso" (passphrases) largas y fáciles de recordar, como combinaciones de varias palabras no relacionadas:
    Ej.: molinilloPatataFlorPiedra
  • No deben utilizarse datos personales, fechas, frases populares, refranes ni secuencias obvias (1234, qwerty, etc.).
  • No deben repetirse contraseñas anteriores.
  • Se recomienda cambiarlas al menos una vez al año o cuando se sospeche su compromiso.

Buenas prácticas de memoria​

  • Pueden usarse acrónimos de frases inventadas (Ej.: “Hoy llueve y tengo café” → HlYtC).
  • Nunca deben compartirse por correo, mensajería u oralmente.
  • No usar la misma contraseña para acceso al correo, sistemas corporativos y plataformas externas.

Gestión del cambio​

  • En caso de olvido o bloqueo, el usuario debe solicitar a Soporte un reinicio seguro y proceder al cambio inmediato.
  • Las contraseñas provisionales deben sustituirse durante el primer inicio de sesión.

Requisitos técnicos para los sistemas de verificación​

Los sistemas de Legit.Health deben:

  • Permitir contraseñas de hasta 64 caracteres, incluyendo espacios y caracteres especiales.
  • No truncar las contraseñas introducidas.
  • No ofrecer preguntas de recuperación predecibles (e.g., "nombre de tu mascota").
  • Rechazar contraseñas débiles basadas en diccionarios o patrones comunes.
  • Aplicar mecanismos antifuerza bruta (bloqueo tras intentos fallidos).
  • Permitir ver opcionalmente la contraseña introducida si el usuario lo solicita.
  • Utilizar algoritmos criptográficos seguros para el almacenamiento de contraseñas y canales cifrados para su transmisión.

Auditoría​

  • Las contraseñas serán revisadas mediante programas de comprobación (password crackers autorizados) al menos cada 30 días.
  • Cualquier contraseña no conforme será anulada y el usuario deberá establecer una nueva de forma inmediata.

Confidencialidad y relaciones con terceros​

Legit.Health establece las siguientes normas de obligado cumplimiento para todo proveedor, colaborador externo o entidad tercera que tenga acceso a información, recursos o sistemas bajo responsabilidad de la empresa.

Ámbito de aplicación​

Estas normas son aplicables a:

  • Proveedores de servicios tecnológicos o consultoría
  • Personal subcontratado o en colaboración temporal
  • Empresas que participen en proyectos conjuntos
  • Profesionales autónomos vinculados mediante contrato

Principios generales de confidencialidad​

  • Toda la información a la que se accede durante la relación contractual con Legit.Health, ya sea en formato físico, digital, verbal o gráfico, se considera confidencial.
  • El deber de confidencialidad es indefinido: permanece en vigor incluso después de finalizada la relación contractual o profesional.
  • No podrá difundirse información a personas ajenas ni a personal interno que no tenga necesidad funcional de conocerla.

Tipos de información protegida​

Queda expresamente protegida:

  • La información técnica, comercial, financiera, organizativa o de seguridad de Legit.Health.
  • Datos personales bajo responsabilidad de Legit.Health o de sus clientes.
  • Información de terceros a la que se tenga acceso en virtud de un contrato con Legit.Health.

Acciones prohibidas​

  • Compartir información interna sin autorización escrita previa.
  • Usar la información para fines distintos a los contemplados en el contrato.
  • Copiar, reproducir o ceder contenidos a terceros no autorizados.

Obligaciones del tercero​

  • Usar la información exclusivamente para el proyecto o finalidad acordada.
  • Limitar el acceso solo al personal mínimo imprescindible.
  • Notificar de inmediato cualquier filtración o acceso no autorizado.
  • Devolver toda la información confidencial, física o digital, al finalizar el contrato.

Consecuencias de incumplimiento​

  • Legit.Health se reserva el derecho de vetar la continuidad del contrato con cualquier proveedor que se niegue a firmar el Acuerdo de Confidencialidad.
  • El incumplimiento será considerado falta grave y podrá conllevar responsabilidades civiles o penales conforme al art. 199 del Código Penal.

Requisitos formales​

  • Todo tercero con acceso a información o sistemas deberá firmar el modelo de Acuerdo de Confidencialidad proporcionado por Legit.Health.
  • La firma se realizará antes de comenzar cualquier prestación de servicio.

Prohibiciones específicas​

Se prohíbe expresamente:

  • Usar recursos informáticos para actividades ajenas al trabajo (juegos, ocio, mensajería privada, etc.).
  • Suplantar identidades, distribuir material ofensivo, o realizar actividades que afecten la imagen o integridad de Legit.Health.
  • Modificar hardware o software sin autorización.

Incumplimiento y sanciones​

El incumplimiento de la presente normativa podrá dar lugar a:

  • Restricciones de acceso
  • Medidas disciplinarias según legislación laboral
  • Responsabilidades civiles o penales en caso de daños o negligencia

Cualquier incidente de seguridad o sospecha deberá comunicarse de forma inmediata al Responsable de Seguridad o al Comité STIC.

Revisión y actualización​

Esta normativa será revisada al menos una vez al año o tras cualquier incidente grave. El Comité de Seguridad de la Información es responsable de su aprobación, modificación y divulgación. El Responsable de Seguridad coordinará su aplicación efectiva y resolverá cualquier duda sobre su interpretación.

Modelos de aceptación y compromiso​

Declaración de aceptación de la Normativa de Seguridad de Legit.Health​

Yo, [Nombre y Apellidos], con DNI número [_________], como miembro del personal de Legit.Health o colaborador externo con acceso a sus sistemas de información y recursos tecnológicos,

DECLARO

Haber leído, comprendido y aceptado la Normativa de Seguridad de la Información (ORG.2) de Legit.Health (versión vigente), incluyendo todas sus secciones y normas específicas aplicables a:

  • Uso correcto del correo electrónico corporativo
  • Acceso a Internet
  • Teletrabajo y trabajo fuera de las instalaciones
  • Creación y uso de contraseñas
  • Normas generales de utilización de sistemas
  • Confidencialidad de la información y relación con terceros

Y me comprometo expresamente a cumplir con dicha normativa en el ejercicio de mis funciones, así como a:

  1. Actuar en todo momento conforme a los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
  2. Comunicar cualquier incidente de seguridad o incumplimiento observado.
  3. Respetar las limitaciones de uso, divulgación, copia y transmisión de la información a la que tenga acceso.
  4. Seguir las instrucciones del Responsable de Seguridad y del Comité de Seguridad de la Información.

En [___], a [] de [_______] de 20[]

Firma del trabajador/aFirma del Responsable de Seguridad
Nombre y Apellidos: ******__******Nombre y Apellidos: ******__******
DNI: ******__******Cargo: Responsable de Seguridad STIC
Departamento/Área: ******__******Legit.Health
Firma: ******__******Firma: ******__******

Compromiso de cumplimiento de buenas prácticas de seguridad para terceros​

Yo, [Nombre y Apellidos], actuando en nombre de la entidad [Nombre de empresa/proveedor], con CIF/NIF [_________], y en calidad de [rol o función], DECLARO:

Que he leído, comprendido y aceptado la Normativa de Buenas Prácticas para Terceros de Legit.Health, en su versión vigente, y me comprometo expresamente a:

  • Cumplir con las normas de seguridad y uso responsable de los sistemas de información definidos por Legit.Health.
  • Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los activos e información a los que tenga acceso.
  • Firmar, cuando sea requerido, los registros de intercambio de información o salida de material que procedan.
  • Respetar las limitaciones en el uso de soportes externos, redes, servicios y equipos conforme a los contratos o acuerdos establecidos.
  • Notificar cualquier incidencia de seguridad a los responsables designados por Legit.Health.

Lugar y fecha: []
Nombre: []
Empresa / Entidad: []
Cargo: []
Firma: ****____****

Este compromiso será conservado por Legit.Health como parte del registro de terceros con acceso a sus sistemas o información.

Modelo de Acuerdo de Confidencialidad para Terceros​

(Adaptado del Apéndice VI - NP50 de la Guía CCN-STIC 821)

[A rellenar por ambas partes:]

ACUERDO DE CONFIDENCIALIDAD PERSONAL

De una parte, Legit.Health (en adelante, “la ENTIDAD”),
Y, de otra parte:
Nombre y apellidos del receptor: []
DNI/NIE: []
Empresa / Organización: []
Cargo o función: []

EXPONEN:

Que para prestar servicios o colaborar con Legit.Health será necesario el acceso a información protegida, razón por la cual ambas partes firman este acuerdo bajo las siguientes condiciones:

CLÁUSULAS:

  1. Objeto: El receptor se compromete a mantener la confidencialidad de toda información a la que tenga acceso, independientemente del formato o medio.

  2. Confidencialidad: La información se usará exclusivamente para los fines del contrato. No podrá difundirse sin autorización expresa de Legit.Health.

  3. Duración: El compromiso de confidencialidad es indefinido y seguirá vigente tras finalizar la relación profesional.

  4. Propiedad: La información es propiedad exclusiva de Legit.Health. No se transfiere ningún derecho.

  5. Modificación: Cualquier cambio deberá realizarse por escrito y con acuerdo de ambas partes.

  6. Resolución: Incumplimientos o rechazo de modificaciones serán causas de resolución del acuerdo.

  7. Jurisdicción: Ambas partes se someten a los Juzgados y Tribunales de Bilbao, salvo pacto expreso en contrario.

Firmado:

Por el Receptor de la Información:Por Legit.Health:
Nombre: _Nombre: _
Firma: ____Firma: ____
Fecha: _ / _ / 20__Fecha: _ / _ / 20__

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
ORG.1 Política de Seguridad
Next
ORG.3 Procedimientos Operativos de Seguridad
  • Documentos de referencia
  • Plan de implantación
  • Finalidad
  • Ámbito de aplicación
  • Normas generales de seguridad
    • Uso autorizado de los sistemas
    • Protección de credenciales
    • Normas sobre equipos y dispositivos
    • Acceso a Internet
      • Reglas generales de uso
      • Navegación segura
      • Descarga de contenidos
      • Configuración del navegador
      • Control de acceso y niveles
      • Ficheros restringidos
      • Suspensión del acceso
    • Uso del correo electrónico corporativo
      • Normas básicas de uso
      • Seguridad de los mensajes
      • Gestión de correos y adjuntos
      • Acceso remoto al correo
      • Prevención frente al spam
    • Teletrabajo y trabajo fuera de las instalaciones
      • Condiciones generales
      • Acceso remoto
      • Normas específicas de seguridad
      • Normas de higiene digital
    • Normas para la creación y uso de contraseñas
      • Reglas generales de uso
      • Requisitos mínimos para contraseñas robustas
      • Buenas prácticas de memoria
      • Gestión del cambio
      • Requisitos técnicos para los sistemas de verificación
      • Auditoría
    • Confidencialidad y relaciones con terceros
      • Ámbito de aplicación
      • Principios generales de confidencialidad
      • Tipos de información protegida
      • Acciones prohibidas
      • Obligaciones del tercero
      • Consecuencias de incumplimiento
      • Requisitos formales
    • Prohibiciones específicas
  • Incumplimiento y sanciones
  • Revisión y actualización
  • Modelos de aceptación y compromiso
    • Declaración de aceptación de la Normativa de Seguridad de Legit.Health
    • Compromiso de cumplimiento de buenas prácticas de seguridad para terceros
    • Modelo de Acuerdo de Confidencialidad para Terceros
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)