Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
  • Records
    • GP-001 Documents and records control
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 HR and training
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Suppliers
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-023 Change control management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco Organizativo
      • OP Marco Operacional
      • MP Medidas de Protección
        • Registro de borrado seguro
        • Píldoras de concienciación ENS
        • R-110-016 Evidencias de Entornos Separados (MP.SW.2)
        • R-110-017 Formación ENS: Configuración Segura de Sistemas AWS y Google Workspace
        • R-110-018 Formación ENS: Detección y Reacción ante Incidentes de Seguridad
        • R-110-019 Formación ENS: Gestión Segura de Información
    • GP-200 Remote Data Acquisition in Clinical Investigations
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Records
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de Protección
  • R-110-019 Formación ENS: Gestión Segura de Información

R-110-019 Formación ENS: Gestión Segura de Información

Material formativo para la tercera de las 3 formaciones obligatorias ENS (MP.PER.4), destinada a todo el personal dentro del alcance del ENS.

Datos de la formación​

CampoValor
CódigoENS-FORM-003
Duración2 horas
ModalidadOnline (videoconferencia)
Fecha planificadaNoviembre 2026
Público objetivoTodo el personal en alcance ENS (7 personas)
ResponsableRSEG
Referencia ENSMP.PER.4, MP.INFO, MP.SI

Contenido​

Módulo 1: Clasificación de la información (30 min)​

1.1 Niveles de clasificación​

Conforme al procedimiento MP.INFO.2 Calificación de la información:

NivelDescripciónEjemplosMarcado
ALTOInformación cuya divulgación causaría daño graveDatos clínicos de pacientes, claves criptográficas, credenciales de producciónEtiqueta "CONFIDENCIAL — ALTO"
MEDIOInformación cuya divulgación causaría daño moderadoCódigo fuente, documentación técnica interna, datos financierosEtiqueta "USO INTERNO — MEDIO"
BAJOInformación pública o de impacto mínimoDocumentación de producto publicada, información comercial generalSin marcado especial

1.2 Clasificación por defecto​

  • Toda información sin clasificar explícita se trata como MEDIO hasta que se clasifique formalmente
  • El Responsable de la Información (RINFO) es quien autoriza la clasificación

Módulo 2: Almacenamiento seguro (25 min)​

2.1 Dónde almacenar cada tipo de información​

NivelAlmacenamiento permitidoAlmacenamiento prohibido
ALTOAWS S3 (cifrado KMS), Google Drive (carpeta restringida)USB, email, dispositivos personales, servicios no autorizados
MEDIOAWS S3, Google Drive, repositorios GitHub privadosUSB, servicios cloud no autorizados, dispositivos personales
BAJOCualquier medio corporativo autorizadoServicios cloud no autorizados

2.2 Cifrado​

  • En reposo: Todo dato ALTO y MEDIO debe estar cifrado (FileVault en Mac, AWS KMS en cloud)
  • En tránsito: Siempre TLS 1.2 o superior
  • Procedimiento completo: OP.EXP.11 Protección de claves criptográficas

Módulo 3: Transferencia de información (25 min)​

3.1 Canales autorizados​

CanalNivel ALTONivel MEDIONivel BAJO
Email corporativo (Google)Solo con cifrado adicionalSíSí
Google Drive compartidoCarpeta restringida + permisos explícitosSíSí
GitHub (repositorio privado)No (excepto código fuente cifrado)SíSí
Videoconferencia (Google Meet)Con precaución (no compartir pantalla con datos ALTO)SíSí
USB / medio físicoProhibidoProhibidoSolo con autorización ORG.4

3.2 Transferencia a terceros​

  • Requiere autorización del Responsable de la Información
  • Verificar que el destinatario tiene contrato de confidencialidad
  • Limpieza de metadatos obligatoria antes de enviar documentos
  • Procedimiento: MP.INFO.5 Limpieza de documentos

Módulo 4: Copias de seguridad (20 min)​

4.1 Política de copias​

  • Frecuencia: Backup automático diario (03:00 CET)
  • Retención: 30 días mínimo
  • Ubicación: AWS S3 (región eu-west-1)
  • Cifrado: SSE-KMS
  • Verificación: Pruebas trimestrales de restauración (R-110-014)

4.2 Responsabilidades​

  • No almacenar información corporativa únicamente en el equipo local
  • Los documentos de trabajo deben estar en Google Drive o en el repositorio correspondiente
  • FileVault protege los datos locales en caso de pérdida del equipo

Módulo 5: Destrucción segura (20 min)​

5.1 Borrado seguro de archivos​

  • Eliminar archivos del equipo local no es suficiente (la papelera no borra realmente los datos)
  • Para borrado definitivo: usar diskutil secureErase (procedimiento en MP.SI.5)
  • Todo borrado seguro debe registrarse en R-110-003

5.2 Destrucción de soportes físicos​

  • Equipos que se retiren del servicio deben pasar por borrado seguro antes de su eliminación
  • Si el soporte es irrecuperable (disco dañado), destrucción física certificada por proveedor autorizado

5.3 Información en papel​

  • Aunque trabajamos sin oficina física, puede haber documentos impresos esporádicos
  • Destruir con destructora de corte cruzado (nivel P-4 mínimo)
  • No depositar documentos confidenciales en papeleras normales

Evaluación​

Cuestionario de 10 preguntas sobre los 5 módulos. Puntuación mínima: 70%.

Preguntas de ejemplo​

  1. ¿Cuál es el nivel de clasificación por defecto de información sin clasificar?
  2. ¿Está permitido almacenar datos ALTO en una memoria USB?
  3. ¿Qué herramienta se usa para el borrado seguro en macOS?
  4. ¿Con qué frecuencia se realizan los backups automáticos?
  5. ¿Qué debe hacerse antes de enviar un documento a un tercero?

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
R-110-018 Formación ENS: Detección y Reacción ante Incidentes de Seguridad
Next
GP-200 Remote Data Acquisition in Clinical Investigations
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)