Política de Seguridad

Última revisión: 03 de Junio de 2024

Misión y Objetivos

La misión de Genomcore S.L. (en adelante, la “Empresa”) es proporcionar servicios avanzados de salud personalizada y gestión de datos biosanitarios, garantizando la protección y confidencialidad de los datos personales y genéticos de nuestros clientes. La Empresa se compromete a la innovación continua y a la implementación de tecnologías de vanguardia para asegurar la calidad y seguridad de sus servicios.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sometidos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGS) que permita la aplicación y seguimiento de controles para evitar la pérdida, divulgación, modificación y utilización no autorizada de la información, tanto en sistemas locales como en la nube, ayudando así a reducir los costos operativos y financieros, garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio. Estos controles tienen como objetivo garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trate de datos personales y de naturaleza sensible.

La presente política es comunicada a las partes interesadas con el fin de involucrarlos en la mejora continua del sistema.

Marco legal y regulatorio

La Empresa desarrolla sus actividades en conformidad con un riguroso marco legal y regulatorio que incluye, pero no se limita a:

  • Normas Internacionales: UNE ISO/IEC 27001, UNE-EN ISO/IEC 27017, UNE-EN ISO/IEC 27018.

  • Regulaciones Nacionales: Real Decreto 311/2022 – Esquema Nacional de Seguridad.

  • Legislación de Protección de Datos: Reglamento General de Protección de Datos (GDPR), Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

  • Otras Normativas Relevantes: Normativas específicas del sector salud y cualquier otro marco regulatorio aplicable a la gestión de datos personales y genéticos, incluyendo entornos digitales.

Roles y funciones de seguridad

Dirección de la Empresa

La Dirección de la Empresa, y en su representación el Consejero Delegado (CEO), se compromete a:

  1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y provisión de Servicios en la Nube, la gestión de los Datos Personales, así como las acciones necesarias para su desarrollo.

  2. Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas, incluyendo las específicas de servicios en la nube y la gestión de datos personales.

  3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.

  4. Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.

  5. Cumplir con los requisitos legales, reglamentarios y contractuales de seguridad asumidos por la Empresa, especialmente en lo referido a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.

  6. Garantizar a cada cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad propios de un sistema de gestión de información biosanitaria.

  7. Promover la concienciación y garantizar formación en materia de seguridad de la información a todo el personal propio, así como a colaboradores externos implicados en el uso o la gestión de sistemas de la información.

  8. Cuando los trabajadores incumplan las políticas de seguridad, aplicar medidas disciplinarias acordes al convenio de los trabajadores, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.

  9. Implementar una política de desarrollo seguro que contemplen la gestión de cambios, requisitos de seguridad en el software y la calidad del código, tanto interno como externo.

  10. Aportar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Adicionalmente, son responsabilidades de la Dirección de la Empresa:

  • La coordinación estratégica de todas las acciones de seguridad de la información

  • La inclusión de las políticas de seguridad en la estrategia de la empresa

  • La dotación de recursos a los responsables técnicos

  • Asegurar el cumplimiento de la normativa y legislación vigente

  • Transmitir y facilitar la implementación de las políticas de seguridad a nivel transversal entre departamentos

  • Revisar anualmente el SGSI y la aceptación final de las diferentes políticas de seguridad.

  • Actuar como Responsable de la Información de forma Interina en absencia del RSI

Director/a de Tecnología (CTO)

La Dirección de la Empresa nombra al CTO como responsable de las siguientes tareas:

  • Definir los requisitos y alcance de los desarrollos tecnológicos

  • Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de la empresa

  • Establecer y Monitorizar Indicadores relacionados con el correcto funcionamiento de los sistemas de información

  • Trasladar las medidas de seguridad definidas al equipo responsable de desarrollo tecnológico

  • Comunicar al Responsable de Seguridad cualquier incidencia del ámbito de la Seguridad de la Información originada en procesos de monitorización de sistemas o desarrollo de software.

  • Implementar una política de Desarrollo Seguro y evaluar la Calidad del Software

  • Auditar la debida diligencia del personal técnico referente a la seguridad del sistema.

Responsable de la Seguridad de la Información (RSI)

La Dirección de la Empresa nombra al RSI como responsable de las siguientes tareas:

  • Implementar la presente Política de Seguridad, así como brindar consejo y guía para su implementación.

  • Gestionar las Incidencias reportadas en el SGSI

  • Convocar y Dirigir las Reuniones del Comité de Seguridad

  • Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la seguridad de la información

  • Coordinar la Auditoria del SGSI de forma periódica

  • Auditar la debida diligencia del CTO referente a la seguridad del sistema.

Director/a de Seguridad de la Información (CISO)

La Dirección de la Empresa nombra al CISO como responsable de las siguientes tareas:

  • Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la empresa

  • Asegurar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios y Activos de Información

  • Coordinar las actuaciones técnicas de forma transversal a otros departamentos

  • Definir y supervisar los procesos de integración o transferencia de datos con terceros

  • Definir y supervisar los proyectos de explotación de la información, propios o de terceros

  • Monitorizar y comunicar a los equipos técnicos cualquier cambio en los servicios de los proveedores cloud.

  • Actuar como Responsable de la Información

Administrador/a del Sistema (AS)

El CISO nombra al AS como responsable de las siguientes tareas:

  • Configurar las Herramientas de Gestión de Identidades y Permisos

  • Gestión de los Dispositivos de Punto Final (Endpoints)

  • Supervisión de los eventos relevantes de seguridad SIEM

  • Atención a los usuarios en materia de Seguridad de la Información

Delegado/a de Protección de Datos (DPD)

La Dirección de la Empresa nombra al DPD como responsable de las siguientes tareas:

  • Velar por el cumplimiento de la normativa aplicable en Protección de Datos Personales en los diferentes procesos de la empresa

  • Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la gestión de datos personales

  • Comunicación con las autoridades en caso de vulneraciones de datos personales

Usuarios de Información

Los Usuarios de la Información, entre los que encontramos clientes, proveedores, empleados y otros grupos de interés, tienen el deber y la responsabilidad de cumplir con las políticas de seguridad establecidas, reportar incidentes de seguridad, y proteger la información de acuerdo con las directrices de la Empresa, indicadas en los Términos y Condiciones aplicables. La Empresa realizará tareas de formación y concienciación pero la responsabilidad individual y colaboración de cada usuario es indispensable para una correcta ejecución de esta Política.

Comité de Seguridad

El Comité de Seguridad se establece como un organismo global de gestión de la seguridad de la información a nivel de la empresa. El Responsable de Seguridad de la Información actúa como secretario de dicho comité, siendo el responsable de definir las medidas y las implementaciones necesarias acordadas por el Comité. El Comité de Seguridad se reunirá, en general, con una frecuencia mensual exceptuando los meses de agosto y diciembre, aunque se podrán agendar o anular reuniones según la carga de trabajo. En cualquier caso, se establece mantener un mínimo de 10 reuniones del Comité a lo largo de un año natural.

Se establece un Comité Permanente de 4 personas. Las Reuniones del Comité contarán con almenos 2 personas siendo obligatoriamente una de ellas el Responsable de Seguridad de la Información, que anticipará al resto de miembros el Orden del Día así como la información relevante para la reunión. Se establece un comité permanente que será convocado en cada reunión, y unos miembros no permanentes que serán convocados si el Orden del Día lo requiere:

Miembros permanentes:

  • Chief Executive Officer

  • Chief Information Security Officer / Responsable de Seguridad de la Información

  • Chief Technology Officer

  • Administrador de Sistemas

Miembros no-permanentes:

  • Delegado de Protección de Datos

  • Chief Product Officer

Las funciones principales del Comité de Seguridad son:

  • Identificación, revisión y aprobación de riesgos

  • Revisión y aprobación de políticas y protocolos de seguridad de la empresa

  • Aprobación de medidas correctoras para mitigar estos riesgos

  • Revisión de incidencias

  • Propuesta de mejoras

  • Distribución y comunicación de información relacionada con la seguridad de la información

  • Diseño e implementación de planes formativos en materia de seguridad para los empleados de la empresa

 

Los interesados pueden dirigirse al Comité de Seguridad a través del correo electrónico security@genomcore.com

Principios y objetivos de seguridad

La Política de Seguridad de la Información se encuentra soportada por un conjunto de políticas concretas, registros, controles y procedimientos que guían el correcto manejo, custodia y protección de la información y que están fundamentadas en los objetivos de control de la norma internacional ISO 27001, ISO 27017, ISO 27018, así como de aquellos controles aplicables según el Real Decreto 311/2022 – Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del SGSI se apoyará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de la Empresa y que se agrupan entorno los siguientes bloques de trabajo:

  • Protección de los ficheros y bases de datos, ya sean de forma local o en la nube.

  • Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.

  • Protección de los repositorios de código fuente de los productos y servicios de la compañía, así como su calidad.

  • Protección de la infraestructura informática que soporta la organización, incluyendo instalaciones, edificios y estancias.

  • Protección de los recursos virtuales en la nube, incluyendo la gestión de su ciclo de vida y controles de acceso requeridos.

  • Protección de los recursos y servicios emplazados en la nube mediante proveedores de servicios especializados.

  • Protección de las redes y canales de comunicación usados de forma interna o pública, de forma local y en la nube.

  • Protección de los activos pasivos de la compañía y de los datos de los usuarios de sus servicios, localmente y en la nube.

  • La investigación, regulación y conformidad de los proveedores de servicios, ya sean servicios físicos o en la nube.

  • La formación y supervisión continua de los empleados y colaboradores con acceso a sistemas de información.

  • La comunicación de los hecho relevantes, incluyendo brechas de seguridad, de los clientes de servicios locales y en la nube.

  • El soporte a la investigación de hechos relevantes, incluyendo brechas de seguridad, a los clientes, autoridades y partes afectadas.

  • Garantizar la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.

  • Cumplimiento con los estándares legales y normativos.

Aplicación y modificación

Esta política aplica a todo el personal de la Empresa, así como a colaboradores y proveedores con responsabilidad sobre activos de la empresa, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y asegurar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar los incidentes en materia de seguridad de la información utilizando las directrices establecidas por la Empresa a través de los canales establecidos a tal efecto o, de forma general, a través del correo electrónico security@genomcore.com

Esta Política de Seguridad de la información podrá ser revisada y modificada según disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas periódicamente.