Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-026 Market-specific product requirements
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad de la Información
        • ORG.2 Normativa de Seguridad
          • Aceptación de Políticas, Obligaciones y Credenciales
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
        • ORG.5 Checklist de Auditoría Interna ENS
        • Plantilla de Documento ENS
      • OP Marco operacional
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-600 Equality Planning
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.2 Normativa de Seguridad

ORG.2 Normativa de Seguridad

Documento interno de obligado cumplimiento

Esta Normativa de Seguridad es de obligado cumplimiento para todo el personal, incluyendo empleados, colaboradores externos y proveedores con acceso a sistemas o información bajo nuestra responsabilidad. Su incumplimiento podrá dar lugar a las medidas disciplinarias descritas en la sección correspondiente de este documento.

Todo el personal deberá firmar el documento de Aceptación de Políticas, Obligaciones y Credenciales como requisito previo al acceso a los sistemas de información.

Finalidad​

La presente normativa establece las reglas de obligado cumplimiento en materia de seguridad de la información, con el objetivo de preservar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos y servicios gestionados en nuestros sistemas de información.

Las normas aquí recogidas definen la posición de la organización en aspectos concretos de seguridad y sirven como referencia para la toma de decisiones cuando un procedimiento específico no cubra una circunstancia determinada.

Ámbito de aplicación​

Esta normativa es de aplicación a todos los sistemas de información, infraestructuras tecnológicas y servicios digitales de la organización, incluyendo:

  • Aplicaciones web y API que integran nuestro software como producto sanitario
  • Equipos de usuario (portátiles, dispositivos móviles)
  • Sistemas en la nube y entornos virtualizados
  • Correo electrónico corporativo y almacenamiento documental
  • Sistemas de control de acceso y autenticación
  • Procesos internos de desarrollo, operación y soporte

Normas generales de seguridad​

Uso autorizado de los sistemas​

Solo el personal autorizado podrá acceder a los sistemas de información. Cada acceso debe realizarse con credenciales personales, únicas e intransferibles. El uso de los recursos tecnológicos está destinado exclusivamente al desempeño de funciones profesionales.

Protección de credenciales​

Las credenciales de acceso (contraseñas, certificados, tokens, tarjetas criptográficas) son estrictamente personales e intransferibles. Se prohíbe:

  • Compartir credenciales con cualquier persona, incluso temporalmente
  • Almacenar credenciales en texto plano, notas adhesivas o documentos no cifrados
  • Dejar credenciales visibles en el entorno de trabajo
  • Ceder el uso de sesiones autenticadas a terceros

Toda credencial comprometida o que se sospeche comprometida debe comunicarse de inmediato al Responsable de Seguridad y cambiarse sin demora.

La entrega de credenciales al personal se realizará de forma controlada, dejando constancia de la recepción y del compromiso de confidencialidad, mediante el documento de Aceptación de Políticas, Obligaciones y Credenciales.

Puesto de trabajo despejado​

Todo el personal debe mantener su puesto de trabajo despejado de información sensible cuando no se encuentre presente. En particular:

  • El puesto de trabajo debe estar libre de papeles con información sensible
  • El escritorio del ordenador debe estar libre de iconos de accesos directos a carpetas o aplicaciones que contengan datos sensibles
  • Al ausentarse brevemente del puesto de trabajo, colocar los documentos boca abajo y bloquear el ordenador
  • Guardar la documentación sensible en ubicaciones seguras (carpetas cifradas, almacenamiento corporativo protegido)
  • No dejar dispositivos desbloqueados sin supervisión
  • Al finalizar la jornada, verificar que no queda información sensible accesible en el puesto de trabajo
  • En entornos de teletrabajo, asegurar que convivientes u otras personas presentes no puedan acceder a información de la organización

Esta norma es de aplicación tanto en oficinas como en cualquier ubicación desde la que se trabaje en remoto.

Normas sobre equipos y dispositivos​

  • Los equipos asignados son responsabilidad personal del usuario. Deben devolverse a la finalización de la relación laboral o cambio de funciones.
  • El usuario debe proteger el equipo físicamente y bloquear la sesión en caso de ausencia, incluso momentánea.
  • Está prohibido conectar equipos o dispositivos no autorizados a los sistemas corporativos (PCs personales, móviles personales, pendrives, discos externos, etc.).
  • El uso de soportes de información removibles (USB, discos externos) está prohibido salvo autorización expresa del Responsable de Seguridad.
  • Está prohibido desactivar los mecanismos de seguridad instalados en los equipos (cifrado de disco, antivirus, cortafuegos, gestión remota).
  • El equipo debe mantenerse actualizado con los parches y actualizaciones distribuidas por la organización.

Protocolo de pérdida o sustracción de equipos​

En caso de pérdida, robo o sustracción de cualquier equipo o dispositivo móvil que contenga información de la organización, el usuario deberá:

  1. Notificar inmediatamente al Responsable de Seguridad (y, en su ausencia, al Responsable del Sistema) por correo electrónico o, si la urgencia lo requiere, por teléfono o mensajería instantánea.
  2. Presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado en las 24 horas siguientes al descubrimiento.
  3. Facilitar la información sobre el equipo perdido: modelo, número de serie, última ubicación conocida, contenido aproximado, y si el equipo estaba cifrado y con sesión cerrada.
  4. Cambiar las credenciales de todos los servicios a los que el equipo tuviera acceso (correo, repositorios, consolas de administración, etc.).

El Responsable de Seguridad, una vez notificado:

  • Activará el borrado remoto del dispositivo si es técnicamente posible
  • Evaluará el impacto potencial sobre la confidencialidad de la información
  • Registrará el incidente conforme al procedimiento de gestión de incidentes de seguridad (OP.EXP.7)
  • Determinará si procede la notificación a la autoridad de protección de datos o al CCN-CERT

Acceso a Internet y navegación web​

Reglas generales de uso​

  • Internet debe utilizarse para fines profesionales. No se permite el acceso a contenidos ajenos a las funciones propias del puesto.
  • Está prohibido visitar páginas con contenido ilegal, ofensivo o sospechoso de contener código malicioso.
  • No debe difundirse información interna o sensible en foros, redes sociales o sitios públicos sin autorización expresa.

Navegación segura​

  • Se debe verificar la autenticidad de los sitios web, especialmente al intercambiar información o realizar transacciones. Priorizar el uso de HTTPS y certificados válidos.
  • Se deben cerrar las sesiones activas al finalizar el uso de cualquier servicio web.
  • No se deben instalar complementos, extensiones o aplicaciones en el navegador sin autorización del Responsable de Seguridad.
  • El navegador debe mantenerse actualizado y las herramientas de seguridad (antivirus, cortafuegos) deben estar activas permanentemente.

Cookies y privacidad​

  • El navegador debe configurarse para eliminar regularmente las cookies, la caché, el historial y otros datos de navegación, especialmente al acceder a servicios corporativos desde ubicaciones no habituales.
  • No se deben aceptar cookies de terceros en sitios no confiables.
  • En caso de duda sobre la legitimidad de un sitio o una solicitud de consentimiento de cookies, consultar con el Responsable de Seguridad.

Descargas​

Las descargas están restringidas. Solo el personal autorizado podrá descargar archivos ejecutables, multimedia o de gran tamaño, y exclusivamente desde fuentes confiables. Está prohibida la descarga de software no licenciado o no procedente de canales oficiales.

Suspensión del acceso​

La organización podrá suspender temporalmente el acceso a Internet en caso de uso indebido, previo informe del Responsable de Seguridad. El acceso será restaurado cuando desaparezcan las causas que motivaron la suspensión.

Uso del correo electrónico corporativo​

Normas básicas de uso​

  • El correo debe utilizarse para fines profesionales. Está prohibido su uso para fines personales o actividades no autorizadas.
  • Cada cuenta de correo es personal e intransferible. No está permitido compartir cuentas, delegar su uso ni reenviarlas automáticamente fuera del dominio corporativo sin aprobación expresa.
  • Las contraseñas del correo deben ser robustas y mantenerse protegidas conforme a la sección de contraseñas de esta normativa.

Seguridad de los mensajes​

  • Debe verificarse siempre el destinatario antes de enviar un correo. Se recomienda revisar especialmente el campo «CC» y utilizar «CCO» en envíos masivos.
  • Está prohibido reenviar mensajes en cadena, responder a spam o acceder a enlaces sospechosos.
  • Los mensajes que contengan información sensible deben cifrarse utilizando las herramientas proporcionadas por la organización.
  • Nunca se debe asumir que el remitente es quien dice ser: ante la duda, confirmar su identidad por otro canal antes de responder o actuar.

Gestión de correos y adjuntos​

  • No se debe utilizar el correo como espacio de almacenamiento permanente. Los mensajes deben archivarse o eliminarse regularmente.
  • No se deben ejecutar adjuntos sospechosos sin analizarlos con las herramientas corporativas.
  • Si se detecta un correo malicioso o con virus, debe notificarse de inmediato al Responsable de Seguridad sin reenviarlo.

Prevención frente al spam y phishing​

  • No se debe publicar la dirección de correo corporativo en foros o sitios no controlados.
  • Si se recibe spam o un intento de phishing, no debe abrirse ni responderse. El incidente debe reportarse al Responsable de Seguridad.
  • Ante cualquier duda sobre la legitimidad de un mensaje, no actuar y consultar.

Teletrabajo y trabajo fuera de las instalaciones​

La organización opera bajo un modelo de trabajo 100 % remoto. Las siguientes normas son de obligado cumplimiento para todo el personal:

Condiciones generales​

  • Todo equipo y documentación debe estar identificado como propiedad de la organización y ser transportado de forma segura. En desplazamientos en avión, el equipo informático debe acompañar siempre al usuario como equipaje de mano.
  • Los dispositivos móviles y documentación confidencial deberán estar bajo vigilancia constante, incluso en entornos como congresos, hoteles o espacios públicos.
  • Los dispositivos asignados son de uso profesional exclusivo. No podrán ser compartidos ni prestados sin autorización formal.

Entorno de trabajo protegido​

Dado que la categoría del sistema es ALTO, los equipos portátiles deben operar en un entorno protegido. Esto significa:

  • Trabajar en un espacio donde convivientes u otras personas presentes no puedan visualizar la pantalla ni acceder al equipo
  • No utilizar el equipo en espacios públicos sin protector de pantalla de privacidad
  • Asegurar que las comunicaciones de voz sobre temas sensibles no puedan ser escuchadas por terceros
  • No dejar el equipo desatendido fuera de un espacio cerrado con llave

Acceso remoto​

  • Se deben utilizar exclusivamente los canales de conexión aprobados por la organización.
  • Toda transmisión de datos sensibles o confidenciales debe realizarse cifrada.
  • Es obligatorio cerrar la sesión al finalizar el uso remoto.
  • Los navegadores utilizados deben estar actualizados y configurados para borrar automáticamente la información de sesión al cerrar.

Normas específicas de seguridad​

  • Las contraseñas deben ser robustas y mantenerse confidenciales conforme a la sección de contraseñas de esta normativa.
  • Está prohibida la instalación de extensiones o aplicaciones sin autorización.
  • Las herramientas de seguridad (antivirus, cifrado, cortafuegos) deben mantenerse activas y actualizadas en todo momento.
  • No se permite el almacenamiento de información sensible sin cifrado en dispositivos personales ni en soportes externos.
  • No se deben desactivar los mecanismos de seguridad instalados en los equipos.

Normas para la creación y uso de contraseñas​

Las contraseñas son uno de los principales mecanismos de autenticación. Para garantizar su eficacia, todos los usuarios deben seguir estrictamente las siguientes normas:

Requisitos obligatorios​

RequisitoUsuario estándarUsuario con privilegios de administración
Longitud mínima12 caracteres16 caracteres
ComplejidadMayúsculas, minúsculas, números y caracteres especialesMayúsculas, minúsculas, números y caracteres especiales
Caducidad máxima90 días60 días
HistorialNo repetir las últimas 12 contraseñasNo repetir las últimas 24 contraseñas
Bloqueo por intentos fallidos3 intentos3 intentos (desbloqueo manual por el RSIS)
Autenticación multifactorObligatoria en servicios críticosObligatoria en todas las consolas de administración
Detalle operativo

Los requisitos de autenticación se especifican de forma detallada en el procedimiento OP.ACC.5 Mecanismo de autenticación.

Reglas generales​

  • Las contraseñas son personales e intransferibles. Está prohibido compartirlas o ceder su uso, incluso temporalmente.
  • No deben escribirse en papel ni almacenarse en lugares no seguros. Se permite exclusivamente el uso de gestores de contraseñas aprobados por la organización.
  • Las contraseñas no deben reutilizarse entre servicios distintos.
  • Toda contraseña comprometida o cedida debe cambiarse de inmediato y notificarse al Responsable de Seguridad.

Composición de contraseñas robustas​

  • Se recomienda el uso de frases de paso (passphrases) largas y fáciles de recordar, como combinaciones de varias palabras no relacionadas. Ejemplo: molinilloPatataFlorPiedra.
  • No deben utilizarse datos personales, fechas, frases populares, refranes ni secuencias obvias (1234, qwerty, etc.).
  • Pueden usarse acrónimos de frases inventadas. Ejemplo: «Hoy llueve y tengo café» → HlYtC2026!.

Gestión del cambio​

  • En caso de olvido o bloqueo, el usuario debe solicitar un reinicio seguro y proceder al cambio inmediato de la contraseña.
  • Las contraseñas provisionales deben sustituirse obligatoriamente durante el primer inicio de sesión.

Requisitos técnicos para los sistemas​

Los sistemas de información de la organización deben:

  • Permitir contraseñas de hasta 64 caracteres, incluyendo espacios y caracteres especiales
  • No truncar las contraseñas introducidas
  • Rechazar contraseñas débiles basadas en diccionarios o patrones comunes
  • Aplicar bloqueo tras 3 intentos fallidos consecutivos (desbloqueo por administrador o temporizado)
  • Utilizar algoritmos criptográficos seguros para el almacenamiento de contraseñas y canales cifrados para su transmisión
  • Registrar los intentos de acceso fallidos para su análisis

Confidencialidad y relaciones con terceros​

Principios generales de confidencialidad​

  • Toda la información a la que se accede durante la relación con la organización, ya sea en formato físico, digital, verbal o gráfico, se considera confidencial salvo que esté expresamente clasificada como pública.
  • El deber de confidencialidad es indefinido: permanece en vigor incluso después de finalizada la relación contractual o profesional.
  • No podrá difundirse información a personas ajenas ni a personal interno que no tenga necesidad funcional de conocerla (principio de mínimo privilegio).

Tipos de información protegida​

Queda expresamente protegida:

  • La información técnica, comercial, financiera, organizativa o de seguridad de la organización
  • Datos personales bajo nuestra responsabilidad o de nuestros clientes
  • Información de terceros a la que se tenga acceso en virtud de un contrato
  • Código fuente, documentación técnica y propiedad intelectual

Obligaciones de terceros con acceso a información​

Todo proveedor, colaborador externo o entidad tercera con acceso a información o sistemas deberá:

  • Firmar el Acuerdo de Confidencialidad proporcionado por la organización antes de comenzar cualquier prestación
  • Usar la información exclusivamente para la finalidad acordada
  • Limitar el acceso solo al personal mínimo imprescindible
  • Notificar de inmediato cualquier filtración o acceso no autorizado
  • Devolver toda la información confidencial, física o digital, al finalizar el contrato

El incumplimiento de las obligaciones de confidencialidad podrá conllevar responsabilidades civiles o penales conforme al artículo 199 del Código Penal.

Prohibiciones específicas​

Se prohíbe expresamente:

  • Usar recursos informáticos para actividades ajenas al trabajo (juegos, ocio, mensajería privada, etc.)
  • Suplantar identidades o distribuir material ofensivo
  • Modificar hardware o software sin autorización del Responsable de Seguridad
  • Realizar actividades que afecten la imagen o integridad de la organización
  • Eludir o intentar eludir los controles de seguridad implantados
  • Acceder o intentar acceder a información o sistemas para los que no se disponga de autorización

Incumplimiento y régimen disciplinario​

El cumplimiento de esta normativa es obligatorio. Todo el personal ha sido informado de su contenido y ha aceptado expresamente su cumplimiento mediante la firma del documento de Aceptación de Políticas, Obligaciones y Credenciales.

Todo el personal está obligado a cumplir lo prescrito en la presente Normativa de Seguridad. En el supuesto de que un usuario no observe alguno de los preceptos señalados en esta normativa, sin perjuicio de las acciones disciplinarias y administrativas que procedan y, en su caso, las responsabilidades legales correspondientes, se podrá acordar la suspensión temporal o definitiva del uso de los recursos informáticos asignados a dicho usuario.

El proceso disciplinario se llevará a cabo basándose en los requerimientos del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, que en su Sección 4.ª «Extinción del contrato», artículo 54, así como el Capítulo relativo al régimen disciplinario y código de conducta laboral del vigente convenio colectivo de aplicación.

El incumplimiento de la presente normativa podrá dar lugar a:

  • Suspensión del uso de recursos informáticos, temporal o definitiva, de los sistemas y equipos asignados al usuario
  • Medidas disciplinarias conforme al Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015), en particular:
    • Artículo 54.2.d: transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo
    • Artículo 54.2.e: disminución continuada y voluntaria en el rendimiento de trabajo normal o pactado
  • Medidas previstas en el convenio colectivo de aplicación (Convenio colectivo del sector de empresas de ingeniería, BOE-A-2019-14977), en su régimen disciplinario y código de conducta laboral
  • Responsabilidades civiles o penales en caso de daños, negligencia grave o divulgación de información confidencial
  • Resolución de la relación contractual en los casos más graves

Los incumplimientos serán valorados por el Comité de Seguridad, que propondrá a la Dirección las medidas disciplinarias correspondientes, garantizando en todo caso el derecho de audiencia del interesado.

Cualquier incidente de seguridad o sospecha de incumplimiento deberá comunicarse de forma inmediata al Responsable de Seguridad o al Comité de Seguridad.

Revisión y actualización​

Esta normativa será revisada al menos una vez al año o tras cualquier incidente grave de seguridad. El Comité de Seguridad es responsable de su aprobación, modificación y divulgación. El Responsable de Seguridad coordinará su aplicación efectiva y resolverá cualquier duda sobre su interpretación.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
ORG.1 Política de Seguridad de la Información
Next
Aceptación de Políticas, Obligaciones y Credenciales
  • Finalidad
  • Ámbito de aplicación
  • Normas generales de seguridad
    • Uso autorizado de los sistemas
    • Protección de credenciales
    • Puesto de trabajo despejado
    • Normas sobre equipos y dispositivos
    • Protocolo de pérdida o sustracción de equipos
  • Acceso a Internet y navegación web
    • Reglas generales de uso
    • Navegación segura
    • Cookies y privacidad
    • Descargas
    • Suspensión del acceso
  • Uso del correo electrónico corporativo
    • Normas básicas de uso
    • Seguridad de los mensajes
    • Gestión de correos y adjuntos
    • Prevención frente al spam y phishing
  • Teletrabajo y trabajo fuera de las instalaciones
    • Condiciones generales
    • Entorno de trabajo protegido
    • Acceso remoto
    • Normas específicas de seguridad
  • Normas para la creación y uso de contraseñas
    • Requisitos obligatorios
    • Reglas generales
    • Composición de contraseñas robustas
    • Gestión del cambio
    • Requisitos técnicos para los sistemas
  • Confidencialidad y relaciones con terceros
    • Principios generales de confidencialidad
    • Tipos de información protegida
    • Obligaciones de terceros con acceso a información
  • Prohibiciones específicas
  • Incumplimiento y régimen disciplinario
  • Revisión y actualización
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)