Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
  • Records
    • GP-001 Documents and records control
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 HR and training
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Suppliers
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-023 Change control management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-110 Esquema Nacional de Seguridad
      • General
        • Evidencias de auditoría ENS
        • R-110-010 Informe Nacional del Estado de la Seguridad (INES)
      • ORG Marco Organizativo
      • OP Marco Operacional
      • MP Medidas de Protección
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-600 Equality Planning
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Records
  • GP-110 Esquema Nacional de Seguridad
  • General
  • Evidencias de auditoría ENS

Evidencias de auditoría ENS

Recopilación de capturas de pantalla y evidencias documentales para la auditoría ENS 2026:

  • Auditoría interna: 26 de febrero de 2026 (Adrián Roo)
  • Auditoría externa: 9-13 de marzo de 2026 (Manuel Carrillo, Applus)

Todas las capturas se almacenan en /evidence/gp-110/ y se referencian desde este registro.

ORG Marco organizativo​

Política de seguridad comunicada al personal (ORG.1)​

Email de la Política de Seguridad enviado

Captura realizada el 26 de febrero de 2026. Email enviado por Andy Aguilar (Directora General, JD-001) al grupo "Team" con asunto "Política de Seguridad de la Información — lectura y cumplimiento obligatorio". Incluye enlace a la política publicada en la web corporativa (https://legit.health/politica-de-seguridad-de-la-informacion) y contacto del Responsable de Seguridad.

OP.ACC — Control de acceso​

Usuarios y permisos en AWS IAM (OP.ACC.4)​

Usuarios y grupos en AWS IAM

Captura realizada el 9 de marzo de 2026. Se observan 17 usuarios IAM (reducido desde 18 tras revisión). Todos con MFA virtual habilitado. Contraseñas renovadas recientemente para todos los usuarios del alcance ENS (albertosabater: 13 min, alejandrocarmena: 2 min, gerardo: 20 min, ignaciohernandez: 1 min, taigmc: 11 días, alfonsomedela: 60 días). Último acceso reciente para todos los usuarios, confirmando cuentas activas.

Roles y usuarios en Google Workspace (OP.ACC.4)​

Usuarios en Google Workspace

Captura realizada el 26 de febrero de 2026. Se muestran todos los usuarios del directorio con estado de verificación en dos pasos. Todos los usuarios tienen 2-step verification "Enrolled" — 100% de cumplimiento MFA.

Miembros y permisos en GitHub (OP.ACC.4)​

Miembros de la organización en GitHub

Captura realizada el 26 de febrero de 2026. 17 miembros en la organización, todos con 2FA habilitado. 4 Enterprise owners (Alfonso Medela, Andy Aguilar, Gerardo, Taig Mac Carthy), resto con rol Member.

Política de contraseñas — Google Workspace (OP.ACC.5)​

Política de contraseñas en Google Workspace

Captura realizada el 26 de febrero de 2026. Política configurada conforme a la normativa ENS: contraseñas fuertes obligatorias, mínimo 12 caracteres, sin reutilización, caducidad 180 días, aplicación inmediata en el siguiente inicio de sesión.

Política de contraseñas — AWS IAM (OP.ACC.5)​

Política de contraseñas en AWS IAM

Captura realizada el 26 de febrero de 2026. Política personalizada configurada conforme a la normativa ENS: mínimo 12 caracteres, complejidad (mayúsculas, minúsculas, números, símbolos), caducidad 180 días, no reutilización de las últimas 5 contraseñas, usuarios pueden cambiar su propia contraseña.

MFA habilitado — Google Workspace (OP.ACC.5)​

MFA en Google Workspace

Captura realizada el 26 de febrero de 2026. 2-Step Verification con enforcement activado ("On") a nivel de organización (legit.health). Período de inscripción para nuevos usuarios: 1 semana. Métodos permitidos: todos (authenticator apps, security keys, SMS). Dispositivos de confianza habilitados.

MFA habilitado — AWS (OP.ACC.5)​

Política EnforceMFA en AWS IAM

Captura realizada el 26 de febrero de 2026. Política "EnforceMFA" (Customer managed, creada 3 de noviembre de 2025): deniega explícitamente el acceso a los 463 servicios AWS cuando aws:MultiFactorAuthPresent es false. Cualquier usuario sin MFA activo queda bloqueado a nivel de cuenta.

MFA habilitado — GitHub (OP.ACC.5)​

MFA en GitHub

Captura realizada el 26 de febrero de 2026. MFA obligatorio para todos los miembros de la organización ("Require two-factor authentication for everyone"). Además, solo se permiten métodos seguros de 2FA (authenticator apps, passkeys, security keys — excluye SMS).

Bloqueo por intentos fallidos — macOS (OP.ACC.5)​

Cuenta bloqueada tras intentos fallidos

Cuenta deshabilitada tras intentos fallidos

Capturas realizadas el 26 de febrero de 2026. Tras 3 intentos fallidos de contraseña en la pantalla de inicio de sesión de macOS Tahoe, el sistema muestra: (1) "Your account is locked" y (2) "Your account has been disabled. Contact your system administrator for more information." Se requiere intervención del administrador para desbloquear la cuenta, conforme a la política de contraseñas ENS (OP.ACC.5).

Aviso legal al inicio de sesión — macOS (OP.ACC.6)​

Banner de aviso legal en pantalla de inicio de sesión (detalle)

Banner de aviso legal en pantalla de inicio de sesión (vista completa)

Capturas realizadas el 8 de marzo de 2026. La pantalla de inicio de sesión de macOS muestra el aviso legal conforme al control OP.ACC.6 del ENS: "AVISO LEGAL: Este equipo es propiedad de la empresa y está sujeto a las políticas de seguridad del Esquema Nacional de Seguridad (RD 311/2022). Al acceder, usted acepta las obligaciones establecidas en la Normativa de Seguridad. El uso de este sistema es monitorizado. Cualquier uso no autorizado puede dar lugar a medidas disciplinarias y/o legales." Configurado mediante defaults write /Library/Preferences/com.apple.loginwindow LoginwindowText. La configuración ShowLastLoginDate también está habilitada para mostrar la fecha y hora del último inicio de sesión.

Diálogo de aviso de seguridad tras inicio de sesión

Además, un LaunchAgent (health.legit.ens-login-notice) ejecuta un diálogo tras cada inicio de sesión que muestra: (1) la fecha y hora del último inicio de sesión anterior ("Previous login: Thu Feb 12 15:35"), permitiendo al usuario detectar accesos no autorizados, y (2) un aviso sobre derechos y obligaciones con enlace directo a la Normativa de Seguridad (ORG.2). El usuario debe pulsar "Acknowledge" para continuar. Captura del 26 de febrero de 2026.

OP.EXP — Explotación​

Entornos separados — AWS S3 (MP.SW.2)​

Buckets S3 separados por entorno

Captura realizada el 26 de febrero de 2026. S3 muestra buckets separados por entorno: iframe-pre.legit.health (preproducción) e iframe.legit.health (producción), ambos en eu-west-3 (París). La convención de nombres con sufijo -pre demuestra la separación de entornos conforme a MP.SW.2.

Protección de ramas — GitHub (MP.SW.2)​

Rulesets del repositorio principal

Detalle de las reglas de protección de ramas

Captura realizada el 26 de febrero de 2026. Repositorio md-legit-health-plus (producto principal). Ruleset "Code inspection and PR reviews required" activo sobre la rama main con: restricción de eliminación, PR obligatorio antes de merge, y bloqueo de force push. Lista de bypass vacía — nadie puede eludir las reglas.

Pipeline CI/CD — GitHub Actions (MP.SW.2)​

GitHub Actions — CodeQL

Captura realizada el 26 de febrero de 2026. Repositorio md-legit-health-plus. 250 ejecuciones del workflow CodeQL, todas con resultado exitoso. Se ejecuta automáticamente: de forma programada (semanal), en push a main, y en cada pull request — garantizando inspección de código continua.

Revisión de código obligatoria — GitHub (MP.SW.2)​

PR con revisión de código

Captura realizada el 26 de febrero de 2026. PR #2 del repositorio md-legit-health-plus (10 de noviembre de 2025). Demuestra el proceso de inspección de código: revisión humana aprobada por alejandro-carmena, análisis automático por github-code-quality (bot) con hallazgos y sugerencias, 1 check CI pasado, y merge tras aprobación.

OP.MON — Monitorización​

Consola WatchGuard EPDR — todos los endpoints (OP.EXP.6, OP.MON.1)​

Lista de endpoints en WatchGuard

Dashboard de WatchGuard EPDR

Captura realizada el 26 de febrero de 2026. 3 de 7 endpoints desplegados (Andy, Gerardo, Taig), todos con macOS Tahoe 26.2 y conectados hoy. Dashboard: 0 alertas activas, 3 endpoints con cifrado de disco completo (Encrypted by User). 1 endpoint con "Protected with Errors" — pendiente de investigar. Despliegue a los 4 endpoints restantes en curso.

Detalle de endpoint — WatchGuard EPDR (OP.EXP.6, OP.MON.1)​

Detalle de endpoint en WatchGuard

Captura realizada el 26 de febrero de 2026. Endpoint "Taigs-MacBook-Pro" (macOS Tahoe 26.2, 192.168.1.74). Estado de componentes: Advanced Protection (Enabled), File Antivirus (Enabled), Web Browsing Antivirus (Enabled), Connection to Knowledge Servers (OK). Pendiente de resolución: Web Access Control (Disabled) y Hard Disk Encryption (Disabled) — ambos requieren asignación de perfil por parte del administrador en WatchGuard Cloud. Nota: FileVault está activo en el equipo (fdesetup status confirma "FileVault is On"); el estado "Disabled" es un problema de sincronización o de perfil no asignado.

Dashboard Wazuh — todos los agentes (OP.MON.1)​

Dashboard Wazuh SIEM

Captura realizada el 26 de febrero de 2026. 2 agentes activos, 0 desconectados. Alertas últimas 24h: 0 críticas, 0 altas, 62 medias, 90 bajas — actividad operativa normal sin incidentes. Módulos activos: Configuration Assessment, Malware Detection, Threat Hunting, Vulnerability Detection, File Integrity Monitoring, MITRE ATT&CK.

Actualización: endpoints Wazuh (9 de marzo de 2026)​

Endpoints Wazuh — 4 agentes activos

Captura realizada el 9 de marzo de 2026. 4 agentes activos (de 7 en alcance), todos macOS, versión Wazuh 4.14.3, estado "active". Agentes identificados: Taig Mac Carthy (192.168.1.74), Andy Aguilar (192.168.1.72), Gerardo Fernández (MacBook-Pro-de-Ger.local), Alejandro Carmena (MacBook-Pro-de-Alejandro-2.local). Pendiente despliegue en 3 endpoints restantes (Ignacio, Alberto, Alfonso).

MP.EQ — Protección de los equipos​

Bloqueo automático por inactividad — macOS (MP.EQ.2)​

Configuración de pantalla de bloqueo en macOS

Captura realizada el 23 de marzo de 2026. Ajustes del Sistema → Pantalla de bloqueo (Lock Screen) en macOS Sequoia. Configuración conforme al control MP.EQ.2 del ENS para categoría ALTA: pantalla se apaga tras 5 minutos de inactividad (tanto con batería como con adaptador de corriente) y se requiere contraseña inmediatamente ("Immediately") tras iniciarse el protector de pantalla o apagarse la pantalla. Adicionalmente: pistas de contraseña desactivadas ("Show password hints: Off") y mensaje en pantalla bloqueada habilitado ("Show message when locked: On").

Cifrado de disco y firewall — macOS (MP.EQ.3)​

FileVault activado en macOS

Firewall activo en macOS

Capturas realizadas el 23 de marzo de 2026. Ajustes del Sistema en macOS Sequoia:

  1. FileVault (Privacy & Security → FileVault): cifrado de disco completo activado ("FileVault secures your data by encrypting the contents of your Mac and locking your screen with a password"). Clave de recuperación configurada ("A recovery key has been set"), accesible vía iCloud Keychain.
  2. Firewall (Network → Firewall): estado "Active", filtrando conexiones entrantes no autorizadas.

Estas configuraciones se aplican a todos los equipos del alcance ENS según consta en el R-018-001 Infrastructure list and control plan: los 5 MacBook tienen FileVault y los 2 equipos Windows tienen BitLocker. La columna "Configuración seguridad ENS" del inventario documenta la configuración completa de cada equipo (cifrado + EDR + SIEM + firewall).

Entrega de equipos — inventario ENS (MP.EQ.3)​

La evidencia de entrega de equipos consta en el R-018-001 Infrastructure list and control plan, que incluye las columnas "Entrega confirmada" (fecha) y "Configuración seguridad ENS" para los 7 equipos en alcance. Todas las entregas fueron confirmadas el 8 de marzo de 2026.

Identificación y etiquetado de soportes (MP.INFO.2, MP.SI.1)​

Número de serie del equipo — About This Mac

Número de serie del equipo — etiqueta física

Capturas realizadas el 23 de marzo de 2026. Identificación del equipo MacBook Pro 16" M2 Max (número de serie PJXF4N0VC6), tanto en el software (About This Mac) como en la etiqueta física del dispositivo. Este número de serie coincide con el registrado en el R-018-001 Infrastructure list and control plan, donde cada equipo está vinculado a su propietario, su clasificación de seguridad ENS y su configuración de protección. La clasificación de la información se rige por el procedimiento MP.INFO.2 Calificación de la información con tres niveles (PÚBLICO, USO INTERNO, CONFIDENCIAL), alineados con el marcado de soportes definido en MP.SI.1.

Certificado de firma electrónica FNMT (MP.INFO.3)​

Certificado FNMT en Keychain Access

Captura realizada el 23 de marzo de 2026. Acceso a Llaveros (Keychain Access) → Mis Certificados, mostrando el certificado de firma electrónica emitido por la Fábrica Nacional de Moneda y Timbre (AC FNMT Usuarios):

  • Titular: MAC CARTHY ESPINAR TAIG - 72516712N
  • Emisor: AC FNMT Usuarios
  • Vigencia: hasta el 30 de junio de 2026
  • Estado: "This certificate is valid" (certificado válido y vigente)
  • Ubicación: Keychain "login" del equipo macOS

Este certificado permite la firma electrónica reconocida conforme al procedimiento MP.INFO.3 Firma electrónica, que establece el uso de certificados cualificados de la FNMT para operaciones que requieran firma electrónica avanzada o cualificada.

Copias de seguridad automatizadas — AWS RDS (MP.INFO.7)​

Backups automatizados en Aurora/RDS

Captura realizada el 23 de marzo de 2026. AWS Console → Aurora and RDS → Database legit-health-app-pro → Backup. Configuración de copias de seguridad automatizadas:

  • Automated backups: Habilitados con retención de 15 días
  • Backup window: 05:34-06:04 UTC (diario)
  • Latest restore time: 23 de marzo de 2026 a las 17:37 (CET) — indica que Point-in-Time Recovery (PITR) está activo
  • Backup target: AWS Cloud (Europe, Paris — eu-west-3)
  • Copy tags to snapshots: Habilitado
  • Snapshots: 17 snapshots automáticos visibles, todos con estado "Available", generados diariamente

Esta configuración garantiza la recuperación de la base de datos de producción ante cualquier incidente, con un RPO efectivo de minutos (gracias a PITR) y retención de 15 días de histórico. La prueba de restauración se documentó en R-110-014 con resultado exitoso (RTO: 28 minutos vs objetivo de 4 horas).

MP.S — Protección de los servicios​

Informe de pentesting — DEKRA CASA Tier 3 (MP.S.2, R2)​

La evidencia de auditoría de seguridad de aplicaciones web (refuerzo R2, categoría ALTO) consta en el expediente técnico del producto sanitario:

  • Prueba de penetración externa (caja negra): R-TF-030-003 Cyber Security Assessment Report — Informe DEKRA con evaluación CASA Tier 3 (133 casos de evaluación) sobre base-pre.legit.health. Metodología OSE con herramientas Burp Suite, Fuff, Nuclei, Nikto y OpenSSL. El informe PDF original está embebido en el registro.
  • Verificación de seguridad interna (caja blanca): CodeQL ejecutado automáticamente en CI/CD (evidencia en la sección MP.SW.2 de este documento) + tests de seguridad trazados en TestRail conforme a IEC 62443-4-2.
  • WAF activo: app-pro-backend-waf integrado con ALB en AWS, con 4 reglas activas.

Filtrado de navegación web — Chrome URL blocking (MP.S.3)​

Bloqueo de URLs en Google Chrome gestionado

Captura realizada el 23 de marzo de 2026. Google Admin → Devices → Chrome → Settings → Users & browsers → URL blocking, aplicado a la unidad organizativa legit.health. URLs bloqueadas para prevenir la exfiltración de datos a través de servicios de compartición de archivos no autorizados:

  • ilovepdf.com
  • mega.nz
  • mediafire.com
  • sendspace.com
  • zippyshare.com

La herencia está configurada como "Locally applied", lo que garantiza que la política se aplica a todos los navegadores Chrome gestionados de la organización. Este control complementa la lista blanca de software autorizado definida en OP.EXP.6 y la normativa de navegación web establecida en ORG.2.

Reglas DLP activas — Google Workspace (MP.S.3, R1)​

Reglas de protección de datos en Google Workspace

Captura realizada el 23 de marzo de 2026. Google Admin → Security → Data protection → Rules. 50 reglas DLP activas aplicadas a Google Drive y Gmail, configuradas desde el 31 de octubre de 2025. Incluyen detección de:

  • Números de cuentas bancarias (IBAN) — Global
  • Números de Seguridad Social — Francia, EE.UU.
  • Números de tarjetas de crédito — Global
  • Números de identificación nacional — Francia (CNI), España (DNI)
  • Números de teléfono — Global
  • Identificadores de proveedores de salud (NPI) — EE.UU.
  • Carnets de conducir — España

Todas las reglas están en estado Active y cubren los servicios Google Drive y Gmail, proporcionando detección automática de información sensible conforme al refuerzo R1 (monitorización) del control MP.S.3.

Registro de auditoría DLP — Google Workspace (MP.S.3, R1)​

Auditoría de eventos DLP en Google Workspace

Captura realizada el 23 de marzo de 2026. Google Admin → Reporting → Audit and investigation, filtrado por "Event: Is: Action complete" y "Rule type: Is: DLP". Se observan múltiples eventos DLP del 18 de marzo de 2026 con resultado "Action completed", incluyendo reglas "[Default] Global", "[Default] United States" y "[Default] Spain". Esto demuestra que las reglas DLP están activamente monitorizando y registrando eventos, conforme al requisito de monitorización (R1) del control MP.S.3 del ENS.

MP.PER — Gestión del personal​

Email de aceptación de políticas enviado (MP.PER.2, OP.ACC.6)​

Email de aceptación enviado

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (Responsable de Seguridad) a Andy, Alfonso, Gerardo, Alberto, Ignacio y Alejandro con asunto "ACCIÓN REQUERIDA — Aceptación de Políticas de Seguridad ENS". Incluye enlaces a ORG.1, ORG.2 y el documento de aceptación (R-110-004). Plazo de respuesta: antes del 7 de marzo de 2026.

Respuestas de aceptación recibidas (MP.PER.2, OP.ACC.6)​

Aceptación de Ignacio Hernández

Email de aceptación de Ignacio Hernández Montilla, recibido el 26 de febrero de 2026 a las 11:34. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Alberto Sabater

Email de aceptación de Alberto Sabater Bailón, recibido el 26 de febrero de 2026 a las 14:56. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Gerardo Fernández

Email de aceptación de Gerardo Fernández Moreno (CTO, RSIS), recibido el 9 de marzo de 2026 a las 23:44. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Andy Aguilar

Email de aceptación de Andy Aguilar (CEO, RSERV y RINFO), recibido el 8 de marzo de 2026 a las 21:30. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Alfonso Medela

Email de aceptación de Alfonso Medela (Chief AI Officer), recibido el 9 de marzo de 2026 a las 02:54. Texto completo conforme al modelo establecido en R-110-004.

Cláusulas de confidencialidad en contratos laborales (MP.PER.2)​

Cláusula de confidencialidad — página 5

Cláusula de confidencialidad — página 6

Cláusula de confidencialidad — firma electrónica

Capturas de FactorialHR (herramienta de gestión de RRHH). Contrato marco de una empleada mostrando la sección "Confidencialidad" (páginas 5-6 de 19) que incluye: obligación de tratar datos personales conforme a instrucciones de la empresa, prohibición de cesión a terceros, secreto profesional (especialmente fotografías de pacientes), medidas técnicas de seguridad (confidencialidad, integridad, disponibilidad, resiliencia — art. 32 RGPD), asistencia en ejercicio de derechos, colaboración en auditorías, notificación de brechas en 72 horas, y borrado/devolución de datos al finalizar la relación. Firmado electrónicamente por ambas partes (status: "Completed"). Todos los contratos laborales de la organización incluyen esta misma cláusula.

Concienciación — detección y comunicación de incidentes (MP.PER.3)​

Email concienciación incidentes

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Alberto, Ignacio, Alejandro y Gerardo con asunto "Seguridad ENS — Cómo detectar y comunicar incidentes de seguridad. MP.PER.3, OP.EXP.7". Contenido basado en pautas INCIBE: remitentes desconocidos, spoofing, ingeniería social, adjuntos maliciosos, phishing. Contenido completo documentado en R-110-006.

Concienciación — navegación web segura (MP.PER.3)​

Email concienciación navegación web

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Gerardo, Alberto, Alejandro e Ignacio con asunto "Seguridad ENS — Buenas prácticas de navegación web segura. MP.PER.3". Contenido: navegador actualizado, contraseñas seguras, credenciales, redes WiFi públicas, descargas autorizadas. Contenido completo documentado en R-110-006.

Concienciación — uso seguro del correo electrónico (MP.PER.3)​

Email concienciación correo

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Gerardo, Alejandro, Alberto e Ignacio con asunto "Seguridad ENS — Buenas prácticas para el uso seguro del correo electrónico. MP.PER.3". Contenido: contraseñas, adjuntos sospechosos, phishing, información confidencial, dispositivos seguros, reporte de incidentes. Contenido completo documentado en R-110-006.

Formación​

Curso ENS CCN — Taig Mac Carthy​

Curso CCN — Mis cursos

Curso CCN — Temas completados

Plataforma Ángeles CCN (Centro Criptológico Nacional). Curso "ESQUEMA NACIONAL DE SEGURIDAD (RD 311/2022, de 3 de Mayo)" completado al 100% por Taig Mac Carthy Espinar. Los 9 temas y la evaluación final aparecen como "Hecho". Temas: Introducción, Administración Electrónica, Introducción al ENS, Requisitos mínimos, Infraestructuras y Servicios Comunes, Auditorías y Respuesta a Incidentes, Órganos y Organismos, Categorización de Sistemas, Ejercicio práctico, Guías CCN-STIC, y Evaluación. PDF original.

Curso ENS CCN — Gerardo Fernández​

Curso CCN — Mis cursos

Curso CCN — Temas completados

Plataforma Ángeles CCN (Centro Criptológico Nacional). Curso "ESQUEMA NACIONAL DE SEGURIDAD (RD 311/2022, de 3 de Mayo)" completado al 100% por Gerardo Fernández Moreno. Los 9 temas y la evaluación final aparecen como "Hecho". PDF original.

Curso ENS CCN — Andy Aguilar​

Certificado del curso "Nuevo Esquema Nacional de Seguridad (ENS)" completado por Andy Aguilar. PDF original.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Tags:
  • ENS
  • Evidencias
  • Auditoría
  • 2026
Previous
General
Next
R-110-010 Informe Nacional del Estado de la Seguridad (INES)
  • ORG Marco organizativo
    • Política de seguridad comunicada al personal (ORG.1)
  • OP.ACC — Control de acceso
    • Usuarios y permisos en AWS IAM (OP.ACC.4)
    • Roles y usuarios en Google Workspace (OP.ACC.4)
    • Miembros y permisos en GitHub (OP.ACC.4)
    • Política de contraseñas — Google Workspace (OP.ACC.5)
    • Política de contraseñas — AWS IAM (OP.ACC.5)
    • MFA habilitado — Google Workspace (OP.ACC.5)
    • MFA habilitado — AWS (OP.ACC.5)
    • MFA habilitado — GitHub (OP.ACC.5)
    • Bloqueo por intentos fallidos — macOS (OP.ACC.5)
    • Aviso legal al inicio de sesión — macOS (OP.ACC.6)
  • OP.EXP — Explotación
    • Entornos separados — AWS S3 (MP.SW.2)
    • Protección de ramas — GitHub (MP.SW.2)
    • Pipeline CI/CD — GitHub Actions (MP.SW.2)
    • Revisión de código obligatoria — GitHub (MP.SW.2)
  • OP.MON — Monitorización
    • Consola WatchGuard EPDR — todos los endpoints (OP.EXP.6, OP.MON.1)
    • Detalle de endpoint — WatchGuard EPDR (OP.EXP.6, OP.MON.1)
    • Dashboard Wazuh — todos los agentes (OP.MON.1)
      • Actualización: endpoints Wazuh (9 de marzo de 2026)
  • MP.EQ — Protección de los equipos
    • Bloqueo automático por inactividad — macOS (MP.EQ.2)
    • Cifrado de disco y firewall — macOS (MP.EQ.3)
    • Entrega de equipos — inventario ENS (MP.EQ.3)
    • Identificación y etiquetado de soportes (MP.INFO.2, MP.SI.1)
    • Certificado de firma electrónica FNMT (MP.INFO.3)
    • Copias de seguridad automatizadas — AWS RDS (MP.INFO.7)
  • MP.S — Protección de los servicios
    • Informe de pentesting — DEKRA CASA Tier 3 (MP.S.2, R2)
    • Filtrado de navegación web — Chrome URL blocking (MP.S.3)
    • Reglas DLP activas — Google Workspace (MP.S.3, R1)
    • Registro de auditoría DLP — Google Workspace (MP.S.3, R1)
  • MP.PER — Gestión del personal
    • Email de aceptación de políticas enviado (MP.PER.2, OP.ACC.6)
    • Respuestas de aceptación recibidas (MP.PER.2, OP.ACC.6)
    • Cláusulas de confidencialidad en contratos laborales (MP.PER.2)
    • Concienciación — detección y comunicación de incidentes (MP.PER.3)
    • Concienciación — navegación web segura (MP.PER.3)
    • Concienciación — uso seguro del correo electrónico (MP.PER.3)
  • Formación
    • Curso ENS CCN — Taig Mac Carthy
    • Curso ENS CCN — Gerardo Fernández
    • Curso ENS CCN — Andy Aguilar
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)