Saltar al contenido principal
Genomcore

Política de Seguridad

Última actualización: 22 de enero de 2026

Misión y Objetivos

La misión de Genomcore S.L. (en adelante, la "Empresa") es proporcionar servicios avanzados de salud personalizada y gestión de datos biosanitarios, garantizando la protección y confidencialidad de los datos personales y genéticos de nuestros clientes. La Empresa se compromete con la innovación continua y la implementación de tecnologías de vanguardia para asegurar la calidad y seguridad de sus servicios.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sujetos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGSI) que permita la aplicación y el seguimiento de controles para prevenir la pérdida, divulgación, modificación y uso no autorizado de la información, tanto en sistemas locales como en la nube, contribuyendo así a reducir los costes operativos y financieros, asegurando el cumplimiento de los requisitos legales, contractuales, normativos y de negocio. Dichos controles tienen por objeto garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trata de datos personales y sensibles.

Esta política se comunica a las partes interesadas con el fin de involucrarlas en la mejora continua del sistema.

Marco legal y normativo

La Empresa desarrolla sus actividades en cumplimiento de un riguroso marco legal y normativo que incluye, entre otros:

Normas internacionales:

  • ISO/IEC 27001:2022
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2019

Normativa nacional:

  • Real Decreto 311/2022 - Esquema Nacional de Seguridad

Legislación en materia de protección de datos y servicios de información:

  • Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
  • Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) - Ley Orgánica 3/2018, de 5 de diciembre
  • LSSI - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

Otras normativas relevantes: Normativa sectorial sanitaria específica y cualquier otro marco normativo aplicable a la gestión de datos personales y genéticos, incluidos los entornos digitales.

  • Ley 14/2007, de 3 de julio, de Investigación Biomédica
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Aunque estas son las principales normativas aplicables, el registro completo de la normativa de referencia se encuentra a disposición de los interesados previa solicitud específica.

Roles y funciones de seguridad

Dirección de la Empresa

La Dirección de la Empresa, y en su nombre el Director Ejecutivo (CEO), se compromete a:

  1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y la provisión de Servicios en la Nube, la gestión de Datos Personales, así como las acciones necesarias para su desarrollo.
  2. Establecer el análisis sistemático de riesgos, evaluando el impacto y las amenazas, incluidas las específicas de los Servicios en la Nube y la gestión de Datos Personales.
  3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, de acuerdo con los criterios establecidos por el Comité de Seguridad.
  4. Implementar los controles necesarios y sus correspondientes métodos de seguimiento.
  5. Cumplir con los requisitos legales, normativos y contractuales de seguridad asumidos por la Empresa, especialmente en lo que respecta a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.
  6. Garantizar a cada cliente que su información será tratada conforme a los requisitos fundamentales de confidencialidad, integridad y disponibilidad de un sistema de gestión de información biosanitaria.
  7. Promover la concienciación y garantizar la formación en seguridad de la información a todo el personal propio, así como a los colaboradores externos que participen en el uso o gestión de los sistemas de información.
  8. Cuando los trabajadores incumplan las políticas de seguridad, aplicar medidas disciplinarias conforme al convenio colectivo de los trabajadores, dentro del marco legal aplicable y proporcionales al impacto que tengan sobre la organización.
  9. Implementar una política de desarrollo seguro que incluya la gestión de cambios, los requisitos de seguridad del software y la calidad del código, tanto interno como externo.
  10. Proporcionar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Adicionalmente, son responsabilidades de la Dirección de la Empresa:

  • La coordinación estratégica de todas las acciones de seguridad de la información.
  • La inclusión de las políticas de seguridad en la estrategia de la empresa.
  • La provisión de recursos a los responsables técnicos.
  • Garantizar el cumplimiento de la normativa y legislación vigente.
  • Transmitir y facilitar la implantación de las políticas de seguridad a nivel transversal entre los departamentos.
  • Revisar anualmente el SGSI y la aceptación final de las distintas políticas de seguridad.
  • Actuar como Responsable Interino de la Información en ausencia del RSI.

Director de Tecnología (CTO) / Responsable del Servicio

El CTO es designado por la Dirección de la Empresa para ser responsable de las siguientes tareas:

  • Definir los requisitos y el alcance de los desarrollos tecnológicos.
  • Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de la empresa.
  • Establecer y monitorizar indicadores relacionados con el correcto funcionamiento de los sistemas de información.
  • Trasladar las medidas de seguridad definidas al equipo responsable del desarrollo tecnológico.
  • Comunicar al Responsable de Seguridad cualquier incidente en el ámbito de la Seguridad de la Información derivado de la monitorización de sistemas o de los procesos de desarrollo de software.
  • Implementar una política de Desarrollo Seguro y evaluar la Calidad del Software.
  • Auditar la diligencia debida del personal técnico en materia de seguridad de los sistemas.

Responsable de Seguridad de la Información (ISO)

La Dirección de la Empresa designa al ISO como responsable de las siguientes tareas:

  • Gestionar los Incidentes registrados en el SGSI.
  • Convocar y dirigir las Reuniones del Comité de Seguridad.
  • Recibir y gestionar las comunicaciones con clientes o usuarios relacionadas con la seguridad de la información.
  • Coordinar, junto con el RSIS, las auditorías del SGSI de forma regular.
  • Auditar la diligencia debida del CTO en materia de seguridad de los sistemas.

Director de Seguridad de la Información (CIO/CISO) / Responsable de Seguridad de la Información

La Dirección de la Empresa designa al CISO como responsable de las siguientes tareas:

  • Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la empresa.
  • Garantizar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios y Activos de Información.
  • Coordinar las acciones técnicas de forma transversal con otros departamentos.
  • Definir y supervisar los procesos de integración o transferencia de datos con terceros.
  • Definir y supervisar los proyectos de explotación de información, propia o de terceros.
  • Monitorizar y comunicar a los equipos técnicos cualquier cambio en los servicios de los proveedores en la nube.
  • Actuar como Responsable de la Información.

Administrador de Sistemas (SA) / Responsable de Sistemas

El CISO designa al SA como responsable de las siguientes tareas:

  • Configurar las Herramientas de Gestión de Identidad y Permisos.
  • Gestión de los Dispositivos de Punto Final (Endpoints).
  • Monitorización de los eventos SIEM relevantes para la seguridad.
  • Soporte a los usuarios en materia de Seguridad de la Información.

Delegado de Protección de Datos (DPD)

La Dirección de la Empresa designa al DPD como responsable de las siguientes tareas:

  • Garantizar el cumplimiento de la normativa aplicable en materia de Protección de Datos Personales en los distintos procesos de la empresa.
  • Recibir y gestionar las comunicaciones con clientes o usuarios en relación con el tratamiento de datos personales.
  • Comunicación con las autoridades en caso de violaciones de datos personales.

Responsable del Sistema de Seguridad de la Información (RSIS)

La Dirección de la Empresa designa al Responsable de QARA como RSIS y responsable de las siguientes tareas:

  • Coordinar la integración de los requisitos de seguridad de la información dentro del sistema de gestión de calidad.
  • Identificar y evaluar los riesgos de seguridad en los procesos relacionados con la calidad y la regulación.
  • Coordinar, junto con el ISO, las auditorías internas y externas para garantizar el cumplimiento normativo.
  • Coordinar con el equipo de seguridad la implementación de controles de seguridad en productos y servicios.
  • Asesorar a los equipos de trabajo en la implementación de buenas prácticas de seguridad en calidad y regulación.

Usuarios de la Información

Los Usuarios de la Información, incluidos clientes, proveedores, empleados y otras partes interesadas, tienen el deber y la responsabilidad de cumplir las políticas de seguridad establecidas, notificar los incidentes de seguridad y proteger la información de acuerdo con las directrices de la Empresa, tal y como se establece en los Términos y Condiciones aplicables.

Procedimiento de nombramiento y renovación

Los miembros del Comité de Seguridad y los roles definidos en esta política serán nombrados por la dirección ejecutiva. Constarán en las actas de las reuniones formalmente aprobadas correspondientes, así como en el documento específico y detallado de Definición de Roles y Responsabilidades (documento de uso interno), y serán comunicados a las partes a través de los canales de comunicación de la entidad (correo electrónico, reunión o aplicaciones de mensajería).

El nombramiento será revisado cada 2 años o cuando el cargo quede vacante. La dirección decidirá asignar más de un rol a la misma persona cuando lo considere oportuno y en cumplimiento de los requisitos del ENS, para lo cual se tomará en consideración la guía CCN-STIC-801.

Comité de Seguridad

Se constituye el Comité de Seguridad como órgano de gestión global de la seguridad de la información a nivel de empresa. El Responsable de Seguridad de la Información actúa como secretario de dicho comité, siendo responsable de definir las medidas e implementaciones necesarias acordadas por el Comité. El Comité de Seguridad se reunirá, con carácter general, mensualmente, salvo los meses de agosto y diciembre, aunque podrán convocarse o cancelarse reuniones en función de la carga de trabajo. En todo caso, se celebrará un mínimo de 10 reuniones del Comité durante un año natural.

Se constituye un Comité Permanente de 4 personas. A las Reuniones del Comité asistirán al menos 2 personas, una de las cuales deberá ser el Responsable de Seguridad de la Información, quien informará al resto de los miembros del Orden del Día y de la información relevante para la reunión. Se establece un comité permanente que será convocado en cada reunión, y miembros no permanentes que serán convocados si el Orden del Día así lo requiere:

Miembros permanentes:

  • Director Ejecutivo
  • Director de Seguridad de la Información / Responsable de Seguridad de la Información
  • Director de Tecnología
  • Administrador de Sistemas
  • Responsable del Sistema de Seguridad de la Información

Miembros no permanentes:

  • Delegado de Protección de Datos
  • Administración y Asuntos Generales

Las principales funciones del Comité de Seguridad son:

  • Identificación, revisión y aprobación de riesgos.
  • Revisión y aprobación de políticas y protocolos de seguridad de la empresa.
  • Aprobación de medidas correctoras para mitigar dichos riesgos.
  • Revisión de incidentes.
  • Propuesta de mejoras.
  • Distribución y comunicación de información relacionada con la seguridad de la información.
  • Diseño e implementación de planes de formación en seguridad para los empleados de la empresa.

Resolución de conflictos

Los conflictos se resolverán según la jerarquía organizativa, siendo en última instancia responsabilidad de la dirección de la organización.

Principios y objetivos de seguridad

La Política de Seguridad de la Información se sustenta en un conjunto de políticas específicas, registros, controles y procedimientos que orientan el correcto manejo, custodia y protección de la información, y se basan en los objetivos de control de las normas internacionales ISO 27001, ISO 27017, ISO 27018, así como en aquellos controles aplicables según el Real Decreto 311/2022 - Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del SGSI se basarán en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de la Empresa y que se agrupan en torno a los siguientes bloques de trabajo:

  • Protección de ficheros y bases de datos, ya sea en local o en la nube.
  • Protección de la información privada, incluidas contraseñas, certificados y claves criptográficas.
  • Protección de los repositorios de código fuente de los productos y servicios de la empresa, así como su calidad.
  • Protección de la infraestructura informática que soporta la organización, incluidas instalaciones, edificios y salas.
  • Protección de los recursos virtuales en la nube, incluida su gestión del ciclo de vida y los controles de acceso requeridos.
  • Protección de los recursos y servicios ubicados en la nube a través de proveedores de servicios especializados.
  • Protección de las redes y canales de comunicación utilizados interna o públicamente, en local y en la nube.
  • Protección de los activos pasivos de la empresa y de los datos de los usuarios de sus servicios, en local y en la nube.
  • La verificación, regulación y cumplimiento de los proveedores de servicios, ya sean físicos o servicios en la nube.
  • Formación y supervisión continua de empleados y colaboradores con acceso a los sistemas de información.
  • La comunicación de hechos relevantes, incluidas las brechas de seguridad, por parte de los clientes de servicios en local y en la nube.
  • Apoyo a la investigación de eventos relevantes, incluidas las brechas de seguridad, ante clientes, autoridades y afectados.
  • Garantizar la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.
  • Cumplimiento de los estándares legales y normativos.

Otras Políticas de Seguridad de la Información

La Empresa desarrolla esta Política de Seguridad a través de subpolíticas específicas, enumeradas a continuación:

  • Política de Seguridad de Aplicaciones
  • Política de Credenciales
  • Política de Control de Código y Desarrollo Seguro
  • Política de Gestión de Incidentes y Eventos de Seguridad
  • Política de Gestión de la Continuidad
  • Política de Seguridad del Centro de Trabajo
  • Política de Seguridad del Personal
  • Política de Proveedores de Servicios Tecnológicos
  • Política de Cuentas de Usuario (Clientes)
  • Política de Cuentas de Usuario (Empleados)
  • Política de Criptografía y Comunicaciones Secretas
  • Política de Administración de Sistemas IT (Servidores)
  • Política de Copias de Seguridad
  • Política de Acceso Remoto y Teletrabajo
  • Política de Equipos Personales y Medios Extraíbles
  • Definición de grupos de interés e inteligencia de seguridad
  • Compartición de credenciales
  • Centro de datos
  • Diseño y desarrollo
  • Verificación y validación de software

Cuando proceda, las subpolíticas anteriores se encuentran a disposición de los interesados previa solicitud y previo acuerdo de confidencialidad.

Tratamiento de Datos Personales

La Empresa implementa un Registro de Actividades de Tratamiento, así como una Evaluación de Impacto relativa a los Datos Personales. Estos documentos se encuentran a disposición de los interesados previa solicitud y previo acuerdo de confidencialidad, siempre que su acceso sea relevante y justificado para el interesado.

Además, los usuarios podrán consultar los detalles relativos al tratamiento de Datos Personales, tanto en el Rol de la Empresa como Responsable del Tratamiento como en calidad de Encargado del Tratamiento, en las Condiciones Generales del servicio.

Punto de Contacto

Las partes interesadas podrán ponerse en contacto con el Responsable de Seguridad, o en su nombre con otro miembro permanente del Comité de Seguridad, mediante correo electrónico en security@genomcore.com.

Aplicación y modificación

Esta política se aplica a todo el personal de la Empresa, así como a los colaboradores y proveedores con responsabilidad sobre los activos de la empresa, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y garantizar la disponibilidad de la información. Todos los usuarios tendrán la obligación de notificar los incidentes de seguridad de la información utilizando las directrices establecidas por la Empresa a través de los canales habilitados al efecto o, con carácter general, a través del Punto de Contacto.

Esta Política de Seguridad de la Información podrá ser revisada y modificada según lo disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas en cada momento.

Distribución de la Política y obligaciones

La Política de Seguridad se distribuirá de las siguientes formas según el grupo de partes interesadas al que vaya dirigida:

Personal y directivos de la organización

La distribución de la Política de Seguridad se realizará mediante correo electrónico o herramientas de mensajería oficiales de la organización.

Todo el personal de la Empresa está obligado a conocer y cumplir esta política de seguridad de la información, así como la documentación que la desarrolla en la medida en que les afecte, siendo el Comité de Seguridad el responsable de proporcionar los medios necesarios para que la información les llegue.

Todo el personal de la Empresa asistirá a una sesión de concienciación en seguridad informática al menos una vez al año.

Las personas con responsabilidad sobre el uso, operación o administración de sistemas de información recibirán formación adicional en el uso seguro de los sistemas en la medida en que la necesiten para desempeñar su trabajo.

Clientes, colaboradores, proveedores y otras partes interesadas

La Política de Seguridad se incluirá como sección de nuestro sitio web donde podrá ser consultada y actualizada en todo momento. Se establecerán canales para la notificación y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para reaccionar ante incidentes de seguridad.

Estos grupos estarán sujetos a las obligaciones establecidas en esta política, y podrán desarrollar sus propios procedimientos operativos para su cumplimiento.

Aprobación y entrada en vigor

Esta Política de Seguridad de la Información es efectiva desde la fecha de aprobación hasta que sea sustituida por una nueva.

Contacto: security@genomcore.com