Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
  • Records
    • GP-001 Documents and records control
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 HR and training
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Suppliers
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-023 Change control management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-110 Esquema Nacional de Seguridad
      • General
        • Evidencias de auditoría ENS
        • R-110-010 Informe Nacional del Estado de la Seguridad (INES)
      • ORG Marco Organizativo
      • OP Marco Operacional
      • MP Medidas de Protección
    • GP-200 Remote Data Acquisition in Clinical Investigations
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Records
  • GP-110 Esquema Nacional de Seguridad
  • General
  • Evidencias de auditoría ENS

Evidencias de auditoría ENS

Recopilación de capturas de pantalla y evidencias documentales para la auditoría ENS 2026:

  • Auditoría interna: 26 de febrero de 2026 (Adrián Roo)
  • Auditoría externa: 9-13 de marzo de 2026 (Manuel Carrillo, Applus)

Todas las capturas se almacenan en /evidence/gp-110/ y se referencian desde este registro.

ORG Marco organizativo​

Política de seguridad comunicada al personal (ORG.1)​

Email de la Política de Seguridad enviado

Captura realizada el 26 de febrero de 2026. Email enviado por Andy Aguilar (Directora General, JD-001) al grupo "Team" con asunto "Política de Seguridad de la Información — lectura y cumplimiento obligatorio". Incluye enlace a la política publicada en la web corporativa (https://legit.health/politica-de-seguridad-de-la-informacion) y contacto del Responsable de Seguridad.

OP.ACC — Control de acceso​

Usuarios y permisos en AWS IAM (OP.ACC.4)​

Usuarios y grupos en AWS IAM

Captura realizada el 9 de marzo de 2026. Se observan 17 usuarios IAM (reducido desde 18 tras revisión). Todos con MFA virtual habilitado. Contraseñas renovadas recientemente para todos los usuarios del alcance ENS (albertosabater: 13 min, alejandrocarmena: 2 min, gerardo: 20 min, ignaciohernandez: 1 min, taigmc: 11 días, alfonsomedela: 60 días). Último acceso reciente para todos los usuarios, confirmando cuentas activas.

Roles y usuarios en Google Workspace (OP.ACC.4)​

Usuarios en Google Workspace

Captura realizada el 26 de febrero de 2026. Se muestran todos los usuarios del directorio con estado de verificación en dos pasos. Todos los usuarios tienen 2-step verification "Enrolled" — 100% de cumplimiento MFA.

Miembros y permisos en GitHub (OP.ACC.4)​

Miembros de la organización en GitHub

Captura realizada el 26 de febrero de 2026. 17 miembros en la organización, todos con 2FA habilitado. 4 Enterprise owners (Alfonso Medela, Andy Aguilar, Gerardo, Taig Mac Carthy), resto con rol Member.

Política de contraseñas — Google Workspace (OP.ACC.5)​

Política de contraseñas en Google Workspace

Captura realizada el 26 de febrero de 2026. Política configurada conforme a la normativa ENS: contraseñas fuertes obligatorias, mínimo 12 caracteres, sin reutilización, caducidad 180 días, aplicación inmediata en el siguiente inicio de sesión.

Política de contraseñas — AWS IAM (OP.ACC.5)​

Política de contraseñas en AWS IAM

Captura realizada el 26 de febrero de 2026. Política personalizada configurada conforme a la normativa ENS: mínimo 12 caracteres, complejidad (mayúsculas, minúsculas, números, símbolos), caducidad 180 días, no reutilización de las últimas 5 contraseñas, usuarios pueden cambiar su propia contraseña.

MFA habilitado — Google Workspace (OP.ACC.5)​

MFA en Google Workspace

Captura realizada el 26 de febrero de 2026. 2-Step Verification con enforcement activado ("On") a nivel de organización (legit.health). Período de inscripción para nuevos usuarios: 1 semana. Métodos permitidos: todos (authenticator apps, security keys, SMS). Dispositivos de confianza habilitados.

MFA habilitado — AWS (OP.ACC.5)​

Política EnforceMFA en AWS IAM

Captura realizada el 26 de febrero de 2026. Política "EnforceMFA" (Customer managed, creada 3 de noviembre de 2025): deniega explícitamente el acceso a los 463 servicios AWS cuando aws:MultiFactorAuthPresent es false. Cualquier usuario sin MFA activo queda bloqueado a nivel de cuenta.

MFA habilitado — GitHub (OP.ACC.5)​

MFA en GitHub

Captura realizada el 26 de febrero de 2026. MFA obligatorio para todos los miembros de la organización ("Require two-factor authentication for everyone"). Además, solo se permiten métodos seguros de 2FA (authenticator apps, passkeys, security keys — excluye SMS).

Bloqueo por intentos fallidos — macOS (OP.ACC.5)​

Cuenta bloqueada tras intentos fallidos

Cuenta deshabilitada tras intentos fallidos

Capturas realizadas el 26 de febrero de 2026. Tras 3 intentos fallidos de contraseña en la pantalla de inicio de sesión de macOS Tahoe, el sistema muestra: (1) "Your account is locked" y (2) "Your account has been disabled. Contact your system administrator for more information." Se requiere intervención del administrador para desbloquear la cuenta, conforme a la política de contraseñas ENS (OP.ACC.5).

Aviso legal al inicio de sesión — macOS (OP.ACC.6)​

Banner de aviso legal en pantalla de inicio de sesión (detalle)

Banner de aviso legal en pantalla de inicio de sesión (vista completa)

Capturas realizadas el 8 de marzo de 2026. La pantalla de inicio de sesión de macOS muestra el aviso legal conforme al control OP.ACC.6 del ENS: "AVISO LEGAL: Este equipo es propiedad de la empresa y está sujeto a las políticas de seguridad del Esquema Nacional de Seguridad (RD 311/2022). Al acceder, usted acepta las obligaciones establecidas en la Normativa de Seguridad. El uso de este sistema es monitorizado. Cualquier uso no autorizado puede dar lugar a medidas disciplinarias y/o legales." Configurado mediante defaults write /Library/Preferences/com.apple.loginwindow LoginwindowText. La configuración ShowLastLoginDate también está habilitada para mostrar la fecha y hora del último inicio de sesión.

Diálogo de aviso de seguridad tras inicio de sesión

Además, un LaunchAgent (health.legit.ens-login-notice) ejecuta un diálogo tras cada inicio de sesión que muestra: (1) la fecha y hora del último inicio de sesión anterior ("Previous login: Thu Feb 12 15:35"), permitiendo al usuario detectar accesos no autorizados, y (2) un aviso sobre derechos y obligaciones con enlace directo a la Normativa de Seguridad (ORG.2). El usuario debe pulsar "Acknowledge" para continuar. Captura del 26 de febrero de 2026.

OP.EXP — Explotación​

Entornos separados — AWS S3 (MP.SW.2)​

Buckets S3 separados por entorno

Captura realizada el 26 de febrero de 2026. S3 muestra buckets separados por entorno: iframe-pre.legit.health (preproducción) e iframe.legit.health (producción), ambos en eu-west-3 (París). La convención de nombres con sufijo -pre demuestra la separación de entornos conforme a MP.SW.2.

Protección de ramas — GitHub (MP.SW.2)​

Rulesets del repositorio principal

Detalle de las reglas de protección de ramas

Captura realizada el 26 de febrero de 2026. Repositorio md-legit-health-plus (producto principal). Ruleset "Code inspection and PR reviews required" activo sobre la rama main con: restricción de eliminación, PR obligatorio antes de merge, y bloqueo de force push. Lista de bypass vacía — nadie puede eludir las reglas.

Pipeline CI/CD — GitHub Actions (MP.SW.2)​

GitHub Actions — CodeQL

Captura realizada el 26 de febrero de 2026. Repositorio md-legit-health-plus. 250 ejecuciones del workflow CodeQL, todas con resultado exitoso. Se ejecuta automáticamente: de forma programada (semanal), en push a main, y en cada pull request — garantizando inspección de código continua.

Revisión de código obligatoria — GitHub (MP.SW.2)​

PR con revisión de código

Captura realizada el 26 de febrero de 2026. PR #2 del repositorio md-legit-health-plus (10 de noviembre de 2025). Demuestra el proceso de inspección de código: revisión humana aprobada por alejandro-carmena, análisis automático por github-code-quality (bot) con hallazgos y sugerencias, 1 check CI pasado, y merge tras aprobación.

OP.MON — Monitorización​

Consola WatchGuard EPDR — todos los endpoints (OP.EXP.6, OP.MON.1)​

Lista de endpoints en WatchGuard

Dashboard de WatchGuard EPDR

Captura realizada el 26 de febrero de 2026. 3 de 7 endpoints desplegados (Andy, Gerardo, Taig), todos con macOS Tahoe 26.2 y conectados hoy. Dashboard: 0 alertas activas, 3 endpoints con cifrado de disco completo (Encrypted by User). 1 endpoint con "Protected with Errors" — pendiente de investigar. Despliegue a los 4 endpoints restantes en curso.

Detalle de endpoint — WatchGuard EPDR (OP.EXP.6, OP.MON.1)​

Detalle de endpoint en WatchGuard

Captura realizada el 26 de febrero de 2026. Endpoint "Taigs-MacBook-Pro" (macOS Tahoe 26.2, 192.168.1.74). Estado de componentes: Advanced Protection (Enabled), File Antivirus (Enabled), Web Browsing Antivirus (Enabled), Connection to Knowledge Servers (OK). Pendiente de resolución: Web Access Control (Disabled) y Hard Disk Encryption (Disabled) — ambos requieren asignación de perfil por parte del administrador en WatchGuard Cloud. Nota: FileVault está activo en el equipo (fdesetup status confirma "FileVault is On"); el estado "Disabled" es un problema de sincronización o de perfil no asignado.

Dashboard Wazuh — todos los agentes (OP.MON.1)​

Dashboard Wazuh SIEM

Captura realizada el 26 de febrero de 2026. 2 agentes activos, 0 desconectados. Alertas últimas 24h: 0 críticas, 0 altas, 62 medias, 90 bajas — actividad operativa normal sin incidentes. Módulos activos: Configuration Assessment, Malware Detection, Threat Hunting, Vulnerability Detection, File Integrity Monitoring, MITRE ATT&CK.

Actualización: endpoints Wazuh (9 de marzo de 2026)​

Endpoints Wazuh — 4 agentes activos

Captura realizada el 9 de marzo de 2026. 4 agentes activos (de 7 en alcance), todos macOS, versión Wazuh 4.14.3, estado "active". Agentes identificados: Taig Mac Carthy (192.168.1.74), Andy Aguilar (192.168.1.72), Gerardo Fernández (MacBook-Pro-de-Ger.local), Alejandro Carmena (MacBook-Pro-de-Alejandro-2.local). Pendiente despliegue en 3 endpoints restantes (Ignacio, Alberto, Alfonso).

MP.PER — Gestión del personal​

Email de aceptación de políticas enviado (MP.PER.2, OP.ACC.6)​

Email de aceptación enviado

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (Responsable de Seguridad) a Andy, Alfonso, Gerardo, Alberto, Ignacio y Alejandro con asunto "ACCIÓN REQUERIDA — Aceptación de Políticas de Seguridad ENS". Incluye enlaces a ORG.1, ORG.2 y el documento de aceptación (R-110-004). Plazo de respuesta: antes del 7 de marzo de 2026.

Respuestas de aceptación recibidas (MP.PER.2, OP.ACC.6)​

Aceptación de Ignacio Hernández

Email de aceptación de Ignacio Hernández Montilla, recibido el 26 de febrero de 2026 a las 11:34. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Alberto Sabater

Email de aceptación de Alberto Sabater Bailón, recibido el 26 de febrero de 2026 a las 14:56. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Gerardo Fernández

Email de aceptación de Gerardo Fernández Moreno (CTO, RSIS), recibido el 9 de marzo de 2026 a las 23:44. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Andy Aguilar

Email de aceptación de Andy Aguilar (CEO, RSERV y RINFO), recibido el 8 de marzo de 2026 a las 21:30. Texto completo conforme al modelo establecido en R-110-004.

Aceptación de Alfonso Medela

Email de aceptación de Alfonso Medela (Chief AI Officer), recibido el 9 de marzo de 2026 a las 02:54. Texto completo conforme al modelo establecido en R-110-004.

Cláusulas de confidencialidad en contratos laborales (MP.PER.2)​

Cláusula de confidencialidad — página 5

Cláusula de confidencialidad — página 6

Cláusula de confidencialidad — firma electrónica

Capturas de FactorialHR (herramienta de gestión de RRHH). Contrato marco de una empleada mostrando la sección "Confidencialidad" (páginas 5-6 de 19) que incluye: obligación de tratar datos personales conforme a instrucciones de la empresa, prohibición de cesión a terceros, secreto profesional (especialmente fotografías de pacientes), medidas técnicas de seguridad (confidencialidad, integridad, disponibilidad, resiliencia — art. 32 RGPD), asistencia en ejercicio de derechos, colaboración en auditorías, notificación de brechas en 72 horas, y borrado/devolución de datos al finalizar la relación. Firmado electrónicamente por ambas partes (status: "Completed"). Todos los contratos laborales de la organización incluyen esta misma cláusula.

Concienciación — detección y comunicación de incidentes (MP.PER.3)​

Email concienciación incidentes

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Alberto, Ignacio, Alejandro y Gerardo con asunto "Seguridad ENS — Cómo detectar y comunicar incidentes de seguridad. MP.PER.3, OP.EXP.7". Contenido basado en pautas INCIBE: remitentes desconocidos, spoofing, ingeniería social, adjuntos maliciosos, phishing. Contenido completo documentado en R-110-006.

Concienciación — navegación web segura (MP.PER.3)​

Email concienciación navegación web

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Gerardo, Alberto, Alejandro e Ignacio con asunto "Seguridad ENS — Buenas prácticas de navegación web segura. MP.PER.3". Contenido: navegador actualizado, contraseñas seguras, credenciales, redes WiFi públicas, descargas autorizadas. Contenido completo documentado en R-110-006.

Concienciación — uso seguro del correo electrónico (MP.PER.3)​

Email concienciación correo

Captura realizada el 26 de febrero de 2026. Email enviado por Taig Mac Carthy (RSEG) a Andy, Alfonso, Gerardo, Alejandro, Alberto e Ignacio con asunto "Seguridad ENS — Buenas prácticas para el uso seguro del correo electrónico. MP.PER.3". Contenido: contraseñas, adjuntos sospechosos, phishing, información confidencial, dispositivos seguros, reporte de incidentes. Contenido completo documentado en R-110-006.

Formación​

Curso ENS CCN — Taig Mac Carthy​

Curso CCN — Mis cursos

Curso CCN — Temas completados

Plataforma Ángeles CCN (Centro Criptológico Nacional). Curso "ESQUEMA NACIONAL DE SEGURIDAD (RD 311/2022, de 3 de Mayo)" completado al 100% por Taig Mac Carthy Espinar. Los 9 temas y la evaluación final aparecen como "Hecho". Temas: Introducción, Administración Electrónica, Introducción al ENS, Requisitos mínimos, Infraestructuras y Servicios Comunes, Auditorías y Respuesta a Incidentes, Órganos y Organismos, Categorización de Sistemas, Ejercicio práctico, Guías CCN-STIC, y Evaluación. PDF original.

Curso ENS CCN — Gerardo Fernández​

Curso CCN — Mis cursos

Curso CCN — Temas completados

Plataforma Ángeles CCN (Centro Criptológico Nacional). Curso "ESQUEMA NACIONAL DE SEGURIDAD (RD 311/2022, de 3 de Mayo)" completado al 100% por Gerardo Fernández Moreno. Los 9 temas y la evaluación final aparecen como "Hecho". PDF original.

Curso ENS CCN — Andy Aguilar​

Certificado del curso "Nuevo Esquema Nacional de Seguridad (ENS)" completado por Andy Aguilar. PDF original.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
Tags:
  • ENS
  • Evidencias
  • Auditoría
  • 2026
Previous
General
Next
R-110-010 Informe Nacional del Estado de la Seguridad (INES)
  • ORG Marco organizativo
    • Política de seguridad comunicada al personal (ORG.1)
  • OP.ACC — Control de acceso
    • Usuarios y permisos en AWS IAM (OP.ACC.4)
    • Roles y usuarios en Google Workspace (OP.ACC.4)
    • Miembros y permisos en GitHub (OP.ACC.4)
    • Política de contraseñas — Google Workspace (OP.ACC.5)
    • Política de contraseñas — AWS IAM (OP.ACC.5)
    • MFA habilitado — Google Workspace (OP.ACC.5)
    • MFA habilitado — AWS (OP.ACC.5)
    • MFA habilitado — GitHub (OP.ACC.5)
    • Bloqueo por intentos fallidos — macOS (OP.ACC.5)
    • Aviso legal al inicio de sesión — macOS (OP.ACC.6)
  • OP.EXP — Explotación
    • Entornos separados — AWS S3 (MP.SW.2)
    • Protección de ramas — GitHub (MP.SW.2)
    • Pipeline CI/CD — GitHub Actions (MP.SW.2)
    • Revisión de código obligatoria — GitHub (MP.SW.2)
  • OP.MON — Monitorización
    • Consola WatchGuard EPDR — todos los endpoints (OP.EXP.6, OP.MON.1)
    • Detalle de endpoint — WatchGuard EPDR (OP.EXP.6, OP.MON.1)
    • Dashboard Wazuh — todos los agentes (OP.MON.1)
      • Actualización: endpoints Wazuh (9 de marzo de 2026)
  • MP.PER — Gestión del personal
    • Email de aceptación de políticas enviado (MP.PER.2, OP.ACC.6)
    • Respuestas de aceptación recibidas (MP.PER.2, OP.ACC.6)
    • Cláusulas de confidencialidad en contratos laborales (MP.PER.2)
    • Concienciación — detección y comunicación de incidentes (MP.PER.3)
    • Concienciación — navegación web segura (MP.PER.3)
    • Concienciación — uso seguro del correo electrónico (MP.PER.3)
  • Formación
    • Curso ENS CCN — Taig Mac Carthy
    • Curso ENS CCN — Gerardo Fernández
    • Curso ENS CCN — Andy Aguilar
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)