Es
Contacto

Política de seguridad

Última actualización: 22 de enero de 2026

Misión y Objetivos

La misión de Genomcore S.L. (en adelante, la "Compañía") es proporcionar servicios avanzados de salud personalizada y gestión de datos biosanitarios, garantizando la protección y confidencialidad de los datos personales y genéticos de nuestros clientes. La Compañía está comprometida con la innovación continua y la implementación de tecnologías de vanguardia para asegurar la calidad y seguridad de sus servicios.

La Compañía reconoce la importancia de identificar y minimizar los riesgos a los que están expuestos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGSI) que permite la aplicación y seguimiento de controles para prevenir la pérdida, divulgación, modificación y uso no autorizado de la información, tanto en sistemas locales como en la nube, ayudando así a reducir costes operativos y financieros, asegurando el cumplimiento de los requisitos legales, contractuales, regulatorios y de negocio. Estos controles tienen como objetivo garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trata de datos personales y sensibles.

Esta política se comunica a las partes interesadas con el fin de involucrarlas en la mejora continua del sistema.

Marco legal y normativo

La Compañía desarrolla sus actividades en cumplimiento de un riguroso marco legal y normativo que incluye, pero no se limita a:

  • Estándares Internacionales: ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019.

  • Normativa Nacional: Real Decreto 311/2022 - Esquema Nacional de Seguridad.

  • Legislación de Protección de Datos y Servicios de la Información:

    • Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.

    • Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) - Ley Orgánica 3/2018, de 5 de diciembre.

    • LSSI - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

  • Otras Normativas Relevantes: Normativa específica del sector sanitario y cualquier otro marco regulatorio aplicable a la gestión de datos personales y genéticos, incluidos entornos digitales.

    • Ley 14/2007, de 3 de julio, de Investigación Biomédica.

    • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Aunque estas son las principales normativas aplicables, el registro completo de normativa de referencia está a disposición de las partes interesadas previa solicitud específica.

Roles y funciones de seguridad

Dirección de la Compañía

La Dirección de la Compañía, y en su nombre el Director Ejecutivo (CEO), se compromete a:

  1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y provisión de Servicios en la Nube, la gestión de Datos Personales, así como las acciones necesarias para su desarrollo.

  2. Establecer el análisis sistemático de riesgos, evaluando el impacto y las amenazas, incluidas las específicas de los Servicios en la Nube y la gestión de Datos Personales.

  3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.

  4. Implementar los controles necesarios y sus correspondientes métodos de seguimiento.

  5. Cumplir con los requisitos de seguridad legales, reglamentarios y contractuales asumidos por la Compañía, especialmente en lo que respecta a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.

  6. Garantizar a cada cliente que su información será tratada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad de un sistema de gestión de información biosanitaria.

  7. Promover la concienciación y asegurar la formación en seguridad de la información a todo el personal propio, así como a los colaboradores externos implicados en el uso o gestión de los sistemas de información.

  8. Cuando los trabajadores no cumplan con las políticas de seguridad, aplicar medidas disciplinarias de acuerdo con el convenio de los trabajadores, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.

  9. Implementar una política de desarrollo seguro que incluya la gestión de cambios, requisitos de seguridad del software y calidad del código, tanto interno como externo.

  10. Proporcionar los recursos necesarios para garantizar la continuidad del negocio de la Compañía.

Adicionalmente, son responsabilidades de la Dirección de la Compañía:

  • La coordinación estratégica de todas las acciones de seguridad de la información.

  • La inclusión de las políticas de seguridad en la estrategia de la compañía.

  • La provisión de recursos a los responsables técnicos.

  • Asegurar el cumplimiento de la normativa y legislación vigente.

  • Transmitir y facilitar la implementación de políticas de seguridad a nivel transversal entre departamentos.

  • Revisar anualmente el SGSI y la aceptación final de las diferentes políticas de seguridad.

  • Actuar como Responsable de Información Interino en ausencia del RSI.

Director de Tecnología (CTO) / Responsable del Servicio

El CTO es designado por la Dirección de la Compañía como responsable de las siguientes tareas:

  • Definir los requisitos y el alcance de los desarrollos tecnológicos.

  • Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de la compañía.

  • Establecer y monitorizar indicadores relacionados con el correcto funcionamiento de los sistemas de información.

  • Trasladar las medidas de seguridad definidas al equipo responsable del desarrollo tecnológico.

  • Comunicar al Responsable de Seguridad cualquier incidente en el ámbito de la Seguridad de la Información derivado de la monitorización del sistema o de los procesos de desarrollo de software.

  • Implementar una política de Desarrollo Seguro y evaluar la Calidad del Software.

  • Auditar la diligencia debida del personal técnico respecto a la seguridad del sistema.

Oficial de Seguridad de la Información (ISO)

La Dirección de la Compañía designa al ISO como responsable de las siguientes tareas:

  • Gestionar los Incidentes reportados en el SGSI.

  • Convocar y liderar las Reuniones del Comité de Seguridad.

  • Recibir y gestionar las comunicaciones con clientes o usuarios relacionadas con la seguridad de la información.

  • Coordinar, junto con el RSIS, las auditorías del SGSI de forma regular.

  • Auditar la diligencia debida del CTO respecto a la seguridad del sistema.

Director de Seguridad de la Información (CIO/CISO) / Responsable de Seguridad de la Información

La Dirección de la Compañía designa al CISO como responsable de las siguientes tareas:

  • Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la compañía.

  • Asegurar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios y Activos de Información.

  • Coordinar las acciones técnicas de manera transversal a otros departamentos.

  • Definir y supervisar los procesos de integración o transferencia de datos con terceros.

  • Definir y supervisar los proyectos de explotación de información, propios o de terceros.

  • Monitorizar y comunicar a los equipos técnicos cualquier cambio en los servicios de proveedores en la nube.

  • Actuar como Responsable de la Información.

Administrador de Sistemas (AS) / Responsable de Sistemas

El CISO designa al AS como responsable de las siguientes tareas:

  • Configurar Herramientas de Gestión de Identidad y Permisos.

  • Gestión de los Dispositivos Finales (Endpoints).

  • Monitorización de eventos SIEM relevantes para la seguridad.

  • Soporte al usuario en temas de Seguridad de la Información.

Delegado de Protección de Datos (DPD)

La Dirección de la Compañía designa al DPD como responsable de las siguientes tareas:

  • Asegurar el cumplimiento de la normativa aplicable sobre Protección de Datos Personales en los diferentes procesos de la compañía.

  • Recibir y gestionar las comunicaciones con clientes o usuarios respecto a la gestión de datos personales.

  • Comunicación con las autoridades en caso de brechas de datos personales.

Responsable del Sistema de Seguridad de la Información (RSIS)

La Dirección de la Compañía designa al Líder de QARA como RSIS y responsable de las siguientes tareas:

  • Coordinar la integración de los requisitos de seguridad de la información dentro del sistema de gestión de calidad.

  • Identificar y evaluar riesgos de seguridad en procesos relacionados con calidad y regulación.

  • Coordinar, junto con el ISO, auditorías internas y externas para asegurar el cumplimiento normativo.

  • Coordinar con el equipo de seguridad la implementación de controles de seguridad en productos y servicios.

  • Asesorar a los equipos de trabajo sobre la implementación de buenas prácticas de seguridad en calidad y regulación.

Usuarios de la Información

Los Usuarios de la Información, incluyendo clientes, proveedores, empleados y otras partes interesadas, tienen el deber y la responsabilidad de cumplir con las políticas de seguridad establecidas, reportar incidentes de seguridad y proteger la información de acuerdo con las directrices de la Compañía, tal como se describe en los Términos y Condiciones aplicables.

Procedimiento de nombramiento y renovación

Los miembros del Comité de Seguridad y los roles definidos en esta política serán nombrados por la dirección ejecutiva. Serán incluidos en las correspondientes actas de reunión formalmente aprobadas, así como en el documento específico y detallado de Definición de Roles y Responsabilidades (documento de uso interno), y serán comunicados a las partes a través de los canales de comunicación de la entidad (correo electrónico, reunión o aplicaciones de mensajería).

El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. La dirección decidirá asignar más de un rol a la misma persona cuando lo considere apropiado y en cumplimiento con los requisitos del ENS, para lo cual se tomará en consideración la guía CCN-STIC-801.

Comité de Seguridad

El Comité de Seguridad se establece como un órgano global de gestión de la seguridad de la información a nivel de compañía. El Responsable de Seguridad de la Información actúa como secretario de este comité, siendo responsable de definir las medidas necesarias e implementaciones acordadas por el Comité. El Comité de Seguridad se reunirá, en general, con una periodicidad mensual, excepto los meses de agosto y diciembre, aunque las reuniones pueden programarse o cancelarse dependiendo de la carga de trabajo. En cualquier caso, se celebrarán un mínimo de 10 reuniones del Comité durante un año natural.

Se establece un Comité Permanente de 4 personas. A las Reuniones del Comité asistirán al menos 2 personas, una de las cuales debe ser el Responsable de Seguridad de la Información, quien informará al resto de los miembros sobre la Agenda y la información relevante para la reunión. Se establece un comité permanente que será convocado en cada reunión, y miembros no permanentes que serán convocados si la Agenda lo requiere:

Miembros permanentes:

  • Director Ejecutivo (CEO)

  • Director de Seguridad de la Información / Responsable de Seguridad de la Información

  • Director de Tecnología (CTO)

  • Administrador de Sistemas

  • Responsable del Sistema de Seguridad de la Información

Miembros no permanentes:

  • Delegado de Protección de Datos

  • Administración y Asuntos Generales

Las principales funciones del Comité de Seguridad son:

  • Identificación, revisión y aprobación de riesgos.

  • Revisión y aprobación de políticas y protocolos de seguridad de la compañía.

  • Aprobación de medidas correctivas para mitigar estos riesgos.

  • Revisión de incidentes.

  • Propuesta de mejoras.

  • Distribución y comunicación de información relacionada con la seguridad de la información.

  • Diseño e implementación de planes de formación en seguridad para los empleados de la compañía.

Resolución de conflictos

La eventual resolución de conflictos se resolverá según la jerarquía organizativa, siendo en última instancia responsabilidad de la dirección de la organización.

Principios y objetivos de seguridad

La Política de Seguridad de la Información se apoya en un conjunto de políticas específicas, registros, controles y procedimientos que guían el correcto manejo, custodia y protección de la información y se basan en los objetivos de control de los estándares internacionales ISO 27001, ISO 27017, ISO 27018, así como aquellos controles aplicables según el Real Decreto 311/2022 - Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del SGSI se basará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de la Compañía y que se agrupan en torno a los siguientes bloques de trabajo:

  • Protección de archivos y bases de datos, ya sea localmente o en la nube.

  • Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.

  • Protección de los repositorios de código fuente de los productos y servicios de la compañía, así como su calidad.

  • Protección de la infraestructura TI que soporta la organización, incluyendo instalaciones, edificios y salas.

  • Protección de recursos virtuales en la nube, incluyendo su gestión del ciclo de vida y controles de acceso requeridos.

  • Protección de recursos y servicios ubicados en la nube a través de proveedores de servicios especializados.

  • Protección de redes y canales de comunicación utilizados interna o públicamente, localmente y en la nube.

  • Protección de los activos pasivos de la compañía y los datos de los usuarios de sus servicios, localmente y en la nube.

  • La evaluación, regulación y cumplimiento de proveedores de servicios, ya sean servicios físicos o en la nube.

  • Formación y supervisión continua de empleados y colaboradores con acceso a sistemas de información.

  • La comunicación de hechos relevantes, incluyendo brechas de seguridad, de clientes de servicios on-premises y en la nube.

  • Apoyo en la investigación de eventos relevantes, incluyendo brechas de seguridad, a clientes, autoridades y partes afectadas.

  • Aseguramiento de la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.

  • Cumplimiento de estándares legales y regulatorios.

Otras Políticas de Seguridad de la Información

La Compañía extiende esta Política de Seguridad a través de sub-políticas específicas, listadas a continuación:

  • Política de Seguridad de Aplicaciones

  • Política de Credenciales

  • Política de Control de Código y Desarrollo Seguro

  • Política de Gestión de Incidentes y Eventos de Seguridad

  • Política de Gestión de Continuidad

  • Política de Seguridad del Centro de Trabajo

  • Política de Seguridad del Personal

  • Política de Proveedores de Servicios Tecnológicos

  • Política de Cuentas de Usuario (Clientes)

  • Política de Cuentas de Usuario (Empleados)

  • Política de Criptografía y Comunicaciones Secretas

  • Política de Administración de Sistemas TI (Servidores)

  • Política de Copias de Seguridad (Backup)

  • Política de Acceso Remoto y Teletrabajo

  • Política de Equipos Personales y Medios Extraíbles

  • Definición de grupos de interés e inteligencia de seguridad

  • Intercambio de credenciales

  • Centro de datos (Data center)

  • Diseño y desarrollo

  • Verificación y validación de software

Cuando corresponda, las sub-políticas anteriores están disponibles para las partes interesadas previa solicitud y acuerdo de confidencialidad previo.

Tratamiento de Datos Personales

La Compañía implementa un Registro de Actividades de Tratamiento, así como una Evaluación de Impacto relacionada con Datos Personales. Estos documentos están disponibles para las partes interesadas previa solicitud y acuerdo de confidencialidad previo, siempre que su acceso sea relevante y justificado para la parte interesada.

Además, los usuarios pueden consultar los detalles relativos al tratamiento de Datos Personales, tanto en el Rol de la Compañía como Responsable del Tratamiento como Encargado del Tratamiento en las Condiciones Generales del servicio.

Punto de Contacto

Las partes interesadas pueden contactar con el Responsable de Seguridad, o en su nombre con otro miembro permanente del Comité de Seguridad, por correo electrónico en security@genomcore.com.

Aplicación y modificación

Esta política se aplica a todo el personal de la Compañía, así como a colaboradores y proveedores con responsabilidad sobre activos de la compañía, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y asegurar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar incidentes de seguridad de la información utilizando las directrices establecidas por la Compañía a través de los canales establecidos para este fin o, en general, a través del Punto de Contacto.

Esta Política de Seguridad de la Información podrá ser revisada y modificada según lo disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas en cada momento.

Distribución de la Política y obligaciones

La Política de Seguridad se distribuirá de las siguientes formas dependiendo del grupo de interés al que se dirija:

Personal y directivos de la organización

La distribución de la Política de Seguridad se llevará a cabo mediante correo electrónico o herramientas de mensajería oficiales de la organización.

Todos en la Compañía están obligados a conocer y cumplir con esta política de seguridad de la información, así como la documentación que la desarrolla en la medida en que les afecte, siendo el Comité de Seguridad responsable de proporcionar los medios necesarios para que la información llegue a ellos.

Todo el personal de la Compañía asistirá a una sesión de concienciación sobre seguridad TI al menos una vez al año.

Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación adicional en el uso seguro de los sistemas en la medida en que la necesiten para llevar a cabo su trabajo.

Clientes, colaboradores, proveedores y otras partes interesadas

La Política de Seguridad se incluirá como una sección de nuestro sitio web donde podrá ser consultada y actualizada en todo momento. Se establecerán canales para el reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para reaccionar ante incidentes de seguridad.

Estos grupos estarán sujetos a las obligaciones establecidas en esta política, y podrán desarrollar sus propios procedimientos operativos para cumplirla.

Aprobación y entrada en vigor

Esta Política de Seguridad de la Información es efectiva desde la fecha de aprobación hasta que sea reemplazada por una nueva.

Interesados en Genomcore?

Cuéntanos tus necesidades y programemos una llamada de demostración

Reserva una demo

Transforma datos en resultados procesables

Explora todos nuestros casos de uso

Transforma datos en resultados procesables

Explora todos nuestros casos de uso

Salud digital

Acelera la creación de aplicaciones centradas en el paciente, con la integración de datos del mundo real que potencian la participación y el cuidado.

Explora casos de uso

Diagnóstico e IA

Escalada de sistemas expertos con pipelines de software conformes e informes multimodales adaptados a la diagnóstica clínica.

Explora casos de uso

Genómica y Multiómica

Optimiza el diseño y la ejecución de estudios con adquisición de datos estructurados, automatización de flujos de trabajo y plataformas colaborativas.

Explora casos de uso

Investigación clínica

Optimiza el diseño y la ejecución de estudios con adquisición de datos estructurados, automatización de flujos de trabajo y plataformas colaborativas.

Explora casos de uso