Es
Contacto

Política de Seguridad

Misión y Objetivos

La misión de Genomcore S.L (en adelante, la “Company”) es proporcionar servicios avanzados de salud personalizados y gestión de datos de biosalud, garantizando la protección y confidencialidad de nuestros clientes’ datos personales y genéticos. La Compañía está comprometida con la innovación continua y la implementación de tecnologías de vanguardia para garantizar la calidad y seguridad de sus servicios.

La Compañía reconoce la importancia de identificar y minimizar los riesgos a los que están sujetos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGSI) que permita la aplicación y monitoreo de controles para evitar la pérdida, divulgación, modificación y uso no autorizado de la información, tanto en sistemas locales como en la nube, ayudando así a reducir los costos operativos y financieros, asegurando el cumplimiento legal, contractual, etc requisitos reglamentarios y comerciales. Estos controles tienen como objetivo garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trata de datos personales y confidenciales.

Esta política se comunica a las partes interesadas para involucrarlas en la mejora continua del sistema.

Marco legal y regulatorio

La Compañía lleva a cabo sus actividades en cumplimiento de un riguroso marco legal y regulatorio que incluye, pero no se limita a:

  • Normas Internacionales: UNE ISO/IEC 27001:2023, UNE-EN ISO/IEC 27017:2021, UNE-EN ISO/IEC 27018:2020.
  • Reglamentos Nacionales: Real Decreto 311/2022 – Esquema de Seguridad Nacional.
  • Legislación sobre Protección de Datos y Servicios de Información:
    • Reglamento General de Protección de Datos (GDPR) – Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
    • Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) – Ley Orgánica 3/2018, de 5 de diciembre.
    • LSSI – Ley 34/2002, de 11 de julio de 2002, de servicios de la sociedad de la información y comercio electrónico.
  • Otras Regulaciones Relevantes: Regulaciones específicas del sector salud y cualquier otro marco regulatorio aplicable a la gestión de datos personales y genéticos, incluidos los entornos digitales.
    • Ley 14/2007, de 3 de julio de 2007, de Investigación Biomédica.
    • Ley 41/2002, de 14 de noviembre de 2002, por la que se regula la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica.

Aunque estas son las principales regulaciones aplicables, el registro completo de regulaciones de referencia está disponible para las partes interesadas a pedido específico.

Roles y funciones de seguridad

Gestión de Empresas

La Dirección de la Compañía, y en su nombre el Director Ejecutivo (CEO), se compromete a:

  • Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y prestación de los Servicios Cloud, la gestión de los Datos Personales, así como las acciones necesarias para su desarrollo.
  • Establecer el análisis sistemático de riesgos, evaluando el impacto y las amenazas, incluidas las específicas de los Servicios en la Nube y la gestión de Datos Personales.
  • Implementar las acciones necesarias para reducir los riesgos identificados que se consideran inaceptables, de acuerdo con los criterios establecidos por el Comité de Seguridad.
  • Implementar los controles necesarios y sus correspondientes métodos de monitoreo.
  • Cumplir con los requisitos de seguridad legales, reglamentarios y contractuales asumidos por la Compañía, especialmente en lo que respecta a la gestión y privacidad de nuestros clientes’ datos personales y genéticos.
  • Garantizar a cada cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad de un sistema de gestión de información de salud biológica.
  • Promover la sensibilización y garantizar la formación en seguridad de la información a todo nuestro personal, así como a colaboradores externos implicados en el uso o gestión de los sistemas de información.
  • Cuando los trabajadores no cumplan con las políticas de seguridad, apliquen medidas disciplinarias de acuerdo con el acuerdo workers’, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.
  • Implementar una política de desarrollo segura que incluya la gestión del cambio, los requisitos de seguridad del software y la calidad del código, tanto internos como externos.
  • Proporcionar los recursos necesarios para garantizar la continuidad del negocio de las Compañías.

Además, las siguientes son responsabilidades de la Administración de Compañías:

  • La coordinación estratégica de todas las acciones de seguridad de la información.
  • La inclusión de las políticas de seguridad en la estrategia de la empresa.
  • La provisión de recursos a los gerentes técnicos
  • Garantizar el cumplimiento de la normativa y legislación vigente.
  • Transmitir y facilitar la implementación de políticas de seguridad a nivel transversal entre departamentos.
  • Revisar anualmente el ISMS y la aceptación final de las diferentes políticas de seguridad.
  • Actuar como Director Interino de Información en ausencia del RSI.

Director de Tecnología (CTO) /Gerente de Servicio

El CTO es designado por la Administración de la Compañía para ser responsable de las siguientes tareas:

  • Definir los requisitos y el alcance de los desarrollos tecnológicos.
  • Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de las empresas.
  • Establecer y monitorear indicadores relacionados con el correcto funcionamiento de los sistemas de información.
  • Transferir las medidas de seguridad definidas al equipo responsable del desarrollo tecnológico.
  • Comunicar al Administrador de Seguridad cualquier incidente en el campo de la Seguridad de la Información que surja de la supervisión del sistema o de los procesos de desarrollo de software.
  • Implementar una Política de Desarrollo Seguro y evaluar la Calidad del Software.
  • Auditar la debida diligencia del personal técnico con respecto a la seguridad del sistema.

Oficial de Seguridad de la Información (ISO)

La Dirección de las Sociedades designa al RSI como responsable de las siguientes tareas:

  • Implementar la presente Política de Seguridad, así como brindar asesoramiento y orientación para su implementación.
  • Gestionar los Incidentes reportados en el ISMS.
  • Convocar y dirigir las reuniones del Comité de Seguridad.
  • Recibir y gestionar comunicaciones con clientes o usuarios relacionadas con la seguridad de la información.
  • Coordinar auditorías periódicas del ISMS
  • Auditar la debida diligencia de los CTO sobre la seguridad del sistema.

Director de Seguridad de la Información (CISO)/Oficial de Seguridad de la Información

La Dirección de la Empresa designa al CISO como responsable de las siguientes tareas:

  • Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la empresa.
  • Garantizar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios de Información y Activos.
  • Coordinar las acciones técnicas transversalmente a otros departamentos.
  • Definir y supervisar los procesos de integración o transferencia de datos con terceros.
  • Definir y supervisar los proyectos de explotación de información, propios o de terceros.
  • Monitorear y comunicar a los equipos técnicos cualquier cambio en los servicios de los proveedores de la nube.
  • Actuar como Gerente de Información

Administrador del sistema (SA) /Gerente de Sistemas

El CISO nombra al AS como responsable de las siguientes tareas:

  • Configurar Herramientas de Gestión de Identidad y Permisos.
  • Gestión de los dispositivos Endpoint (Endpoints)
  • Monitoreo de eventos SIEM relevantes para la seguridad
  • Soporte al usuario en temas de Seguridad de la Información

Oficial de Protección de Datos (DPD)

La Dirección de la Empresa designa al DPD como responsable de las siguientes tareas:

  • Asegurar el cumplimiento de la normativa aplicable en Protección de Datos Personales en los diferentes procesos de la empresa.
  • Recibir y gestionar comunicaciones con clientes o usuarios relativas a la gestión de datos personales.
  • Comunicación con las autoridades en caso de violaciones de datos personales.

Información Usuarios

Información Los usuarios, incluidos los clientes, proveedores, empleados y otras partes interesadas, tienen el deber y la responsabilidad de cumplir con las políticas de seguridad establecidas, informar incidentes de seguridad y proteger la información de acuerdo con las pautas de la Compañía, como se describe en los Términos y Condiciones aplicables. La Compañía llevará a cabo tareas de formación y sensibilización, pero la responsabilidad individual y la colaboración de cada usuario es indispensable para una correcta ejecución de esta Política.

Comité de Seguridad

El Comité de Seguridad se establece como un organismo general de gestión de la seguridad de la información a nivel de la empresa. El Jefe de Seguridad de la Información actúa como secretario de este comité, siendo responsable de definir las medidas e implementaciones necesarias acordadas por el Comité. El Comité de Seguridad se reunirá, en general, mensualmente, salvo los meses de agosto y diciembre, aunque las reuniones podrán programarse o cancelarse en función de la carga de trabajo. En cualquier caso, se celebrará un mínimo de 10 reuniones del Comité durante un año calendario.

Se establece un Comité Permanente de 4 personas. A las Reuniones del Comité asistirán al menos 2 personas, una de las cuales debe ser el Gerente de Seguridad de la Información, quien informará al resto de los miembros de la Agenda y la información relevante para la reunión. Se establece un comité permanente que se convocará en cada reunión, y miembros no permanentes que se convocarán si la Agenda lo requiere:

Miembros permanentes:

  • Director Ejecutivo
  • Director de Seguridad de la Información /Gerente de Seguridad de la Información
  • Director de Tecnología
  • Administrador de Sistemas

Miembros no permanentes:

  • Oficial de Protección de Datos
  • Director de Producto

Las principales funciones del Comité de Seguridad son:

  • Identificación, revisión y aprobación de riesgos
  • Revisión y aprobación de políticas y protocolos de seguridad de la empresa.
  • Aprobación de medidas correctivas para mitigar estos riesgos.
  • Revisión de incidentes
  • Proponer mejoras
  • Distribución y comunicación de información relacionada con la seguridad de la información.
  • Diseño e implementación de planes de capacitación en seguridad para los empleados de la empresa.

Resolución de conflictos

La eventual resolución de conflictos se resolverá de acuerdo con la jerarquía organizacional, siendo en última instancia la responsabilidad de la gerencia de los organigramas.

Principios y objetivos de seguridad

La Política de Seguridad de la Información está respaldada por un conjunto de políticas, registros, controles y procedimientos específicos que orientan el correcto manejo, custodia y protección de la información y se basan en los objetivos de control de las normas internacionales ISO 27001, ISO 27017, ISO 27018, así como aquellos controles aplicables según el Real Decreto 311/2022 – Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del ISMS se basará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de las Sociedades y que se agrupan en torno a los siguientes bloques de trabajo:

  • Protección de archivos y bases de datos, ya sea localmente o en la nube.
  • Protección de la información privada incluyendo contraseñas, certificados y claves criptográficas.
  • Protección de los repositorios de código fuente de los productos y servicios de la empresa, así como su calidad.
  • Protección de la infraestructura de TI que apoya a la organización, incluidas instalaciones, edificios y habitaciones.
  • Protección de los recursos virtuales en la nube, incluida la gestión de su ciclo de vida y los controles de acceso requeridos.
  • Protección de recursos y servicios ubicados en la nube a través de proveedores de servicios especializados.
  • Protección de redes y canales de comunicación utilizados interna o públicamente, localmente y en la nube.
  • Protección de los activos pasivos de la empresa y los datos de los usuarios de sus servicios, localmente y en la nube.
  • La investigación, regulación y cumplimiento de los proveedores de servicios, ya sean servicios físicos o en la nube.
  • Formación y supervisión continua de empleados y colaboradores con acceso a sistemas de información.
  • La comunicación de hechos relevantes, incluidas violaciones de seguridad, de clientes de servicios locales y en la nube.
  • Apoyar la investigación de eventos relevantes, incluidas violaciones de seguridad, a clientes, autoridades y partes afectadas.
  • Garantizar la continuidad del negocio a través de planes de contingencia y redundancia en múltiples niveles.
  • Cumplimiento de las normas legales y reglamentarias.

Otras Políticas de Seguridad de la Información

La Compañía extiende esta Política de Seguridad a través de subpolíticas específicas, enumeradas de la siguiente manera

  • Política de Seguridad de Aplicaciones
  • Política de Credenciales
  • Política de Control de Código y Desarrollo Seguro
  • Política de Gestión de Incidentes y Eventos de Seguridad
  • Política de Gestión de Continuidad
  • Política de Seguridad del Centro de Trabajo
  • Política de Seguridad del Centro de Datos
  • Política de Seguridad del Personal
  • Política de Proveedores de Servicios Tecnológicos
  • Política de Cuenta de Usuario (Clientes)
  • Política de Cuenta de Usuario (Empleados)
  • Política de Criptografía y Comunicaciones Secretas
  • Política de Administración de Sistemas de TI (Servidores)
  • Política de Copia de Seguridad
  • Política de Acceso Remoto y Teletrabajo
  • Política de Equipos Personales y Medios Removibles

Cuando corresponda, las subpolíticas anteriores están disponibles para las partes interesadas a pedido y previo acuerdo de confidencialidad.

Tratamiento de Datos Personales

La Compañía implementa un Registro de Actividades de Procesamiento, así como una Evaluación de Impacto relacionada con los Datos Personales. Estos documentos están disponibles para las partes interesadas a petición y previo acuerdo de confidencialidad, siempre y cuando su acceso sea relevante y justificado para el interesado.

Además, los usuarios pueden consultar los detalles sobre el procesamiento de Datos Personales, tanto en el Papel de la Compañía como Controlador de Datos y como Procesador de Datos en el Condiciones Generales del servicio.

Punto de Contacto

Las partes interesadas pueden comunicarse con el Oficial de Seguridad, o en su nombre con otro miembro permanente del Comité de Seguridad, por correo electrónico a seguridad@genomcore.com.

Aplicación y modificación

Esta política se aplica a todo el personal de la Compañía, así como a los colaboradores y proveedores responsables de los activos de la compañía, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y garantizar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar incidentes de seguridad de la información utilizando las directrices establecidas por la Compañía a través de los canales establecidos a tal efecto o, en general, a través del Punto de Contacto.

Esta Política de Seguridad de la Información puede ser revisada y modificada según lo dispuesto por el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas de vez en cuando.