Política de Seguridad

Última revisión: 04 de Julio de 2024

Misión y Objetivos

La misión de Genomcore S.L. (en adelante, la “Empresa”) es proporcionar servicios avanzados de salud personalizada y gestión de datos biosanitarios, garantizando la protección y confidencialidad de los datos personales y genéticos de nuestros clientes. La Empresa se compromete a la innovación continua y a la implementación de tecnologías de vanguardia para asegurar la calidad y seguridad de sus servicios.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sometidos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGS) que permita la aplicación y seguimiento de controles para evitar la pérdida, divulgación, modificación y utilización no autorizada de la información, tanto en sistemas locales como en la nube, ayudando así a reducir los costos operativos y financieros, garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio. Estos controles tienen como objetivo garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trate de datos personales y de naturaleza sensible.

La presente política es comunicada a las partes interesadas con el fin de involucrarlos en la mejora continua del sistema.

Marco legal y regulatorio

La Empresa desarrolla sus actividades en conformidad con un riguroso marco legal y regulatorio que incluye, pero no se limita a:

  • Normas Internacionales: UNE ISO/IEC 27001:2023, UNE-EN ISO/IEC 27017:2021, UNE-EN ISO/IEC 27018:2020.

  • Regulaciones Nacionales: Real Decreto 311/2022 – Esquema Nacional de Seguridad (España) .

  • Legislación de Protección de Datos y Servicios de Información:

    • Reglamento General de Protección de Datos (GDPR) – Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016

    • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) – Ley Orgánica 3/2018, de 5 de diciembre

    • LSSI – Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

  • Otras Normativas Relevantes: Normativas específicas del sector salud y cualquier otro marco regulatorio aplicable a la gestión de datos personales y genéticos, incluyendo entornos digitales.

    • Ley 14/2007, de 3 de julio, de Investigación biomédica

    • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Si bien estas son las principales regulaciones aplicables, el registro completo de las normativas de referencia se encuentran a disposición de las partes interesadas bajo solicitud específica.

Roles y funciones de seguridad

Dirección de la Empresa

La Dirección de la Empresa, y en su representación el Consejero Delegado (CEO), se compromete a:

  1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y provisión de Servicios en la Nube, la gestión de los Datos Personales, así como las acciones necesarias para su desarrollo.

  2. Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas, incluyendo las específicas de servicios en la nube y la gestión de datos personales.

  3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.

  4. Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.

  5. Cumplir con los requisitos legales, reglamentarios y contractuales de seguridad asumidos por la Empresa, especialmente en lo referido a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.

  6. Garantizar a cada cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad propios de un sistema de gestión de información biosanitaria.

  7. Promover la concienciación y garantizar formación en materia de seguridad de la información a todo el personal propio, así como a colaboradores externos implicados en el uso o la gestión de sistemas de la información.

  8. Cuando los trabajadores incumplan las políticas de seguridad, aplicar medidas disciplinarias acordes al convenio de los trabajadores, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.

  9. Implementar una política de desarrollo seguro que contemplen la gestión de cambios, requisitos de seguridad en el software y la calidad del código, tanto interno como externo.

  10. Aportar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Adicionalmente, son responsabilidades de la Dirección de la Empresa:

  • La coordinación estratégica de todas las acciones de seguridad de la información

  • La inclusión de las políticas de seguridad en la estrategia de la empresa

  • La dotación de recursos a los responsables técnicos

  • Asegurar el cumplimiento de la normativa y legislación vigente

  • Transmitir y facilitar la implementación de las políticas de seguridad a nivel transversal entre departamentos

  • Revisar anualmente el SGSI y la aceptación final de las diferentes políticas de seguridad.

  • Actuar como Responsable de la Información de forma Interina en absencia del RSI

Director/a de Tecnología (CTO) / Responsable de servicio

La Dirección de la Empresa nombra al CTO como responsable de las siguientes tareas:

  • Definir los requisitos y alcance de los desarrollos tecnológicos

  • Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de la empresa

  • Establecer y Monitorizar Indicadores relacionados con el correcto funcionamiento de los sistemas de información

  • Trasladar las medidas de seguridad definidas al equipo responsable de desarrollo tecnológico

  • Comunicar al Responsable de Seguridad cualquier incidencia del ámbito de la Seguridad de la Información originada en procesos de monitorización de sistemas o desarrollo de software.

  • Implementar una política de Desarrollo Seguro y evaluar la Calidad del Software

  • Auditar la debida diligencia del personal técnico referente a la seguridad del sistema.

Responsable de la Seguridad de la Información (RSI)

La Dirección de la Empresa nombra al RSI como responsable de las siguientes tareas:

  • Implementar la presente Política de Seguridad, así como brindar consejo y guía para su implementación.

  • Gestionar las Incidencias reportadas en el SGSI

  • Convocar y Dirigir las Reuniones del Comité de Seguridad

  • Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la seguridad de la información

  • Coordinar la Auditoria del SGSI de forma periódica

  • Auditar la debida diligencia del CTO referente a la seguridad del sistema.

Director/a de Seguridad de la Información (CISO) / Responsable de información

La Dirección de la Empresa nombra al CISO como responsable de las siguientes tareas:

  • Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la empresa

  • Asegurar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios y Activos de Información

  • Coordinar las actuaciones técnicas de forma transversal a otros departamentos

  • Definir y supervisar los procesos de integración o transferencia de datos con terceros

  • Definir y supervisar los proyectos de explotación de la información, propios o de terceros

  • Monitorizar y comunicar a los equipos técnicos cualquier cambio en los servicios de los proveedores cloud.

  • Actuar como Responsable de la Información

Administrador/a del Sistema (AS) / Responsable de sistemas

El CISO nombra al AS como responsable de las siguientes tareas:

  • Configurar las Herramientas de Gestión de Identidades y Permisos

  • Gestión de los Dispositivos de Punto Final (Endpoints)

  • Supervisión de los eventos relevantes de seguridad SIEM

  • Atención a los usuarios en materia de Seguridad de la Información

Delegado/a de Protección de Datos (DPD)

La Dirección de la Empresa nombra al DPD como responsable de las siguientes tareas:

  • Velar por el cumplimiento de la normativa aplicable en Protección de Datos Personales en los diferentes procesos de la empresa

  • Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la gestión de datos personales

  • Comunicación con las autoridades en caso de vulneraciones de datos personales

Usuarios de Información

Los Usuarios de la Información, entre los que encontramos clientes, proveedores, empleados y otros grupos de interés, tienen el deber y la responsabilidad de cumplir con las políticas de seguridad establecidas, reportar incidentes de seguridad, y proteger la información de acuerdo con las directrices de la Empresa, indicadas en los Términos y Condiciones aplicables. La Empresa realizará tareas de formación y concienciación pero la responsabilidad individual y colaboración de cada usuario es indispensable para una correcta ejecución de esta Política.

Comité de Seguridad

El Comité de Seguridad se establece como un organismo global de gestión de la seguridad de la información a nivel de la empresa. El Responsable de Seguridad de la Información actúa como secretario de dicho comité, siendo el responsable de definir las medidas y las implementaciones necesarias acordadas por el Comité. El Comité de Seguridad se reunirá, en general, con una frecuencia mensual exceptuando los meses de agosto y diciembre, aunque se podrán agendar o anular reuniones según la carga de trabajo. En cualquier caso, se establece mantener un mínimo de 10 reuniones del Comité a lo largo de un año natural.

Se establece un Comité Permanente de 4 personas. Las Reuniones del Comité contarán con al menos 2 personas siendo obligatoriamente una de ellas el Responsable de Seguridad de la Información, que anticipará al resto de miembros el Orden del Día así como la información relevante para la reunión. Se establece un comité permanente que será convocado en cada reunión, y unos miembros no permanentes que serán convocados si el Orden del Día lo requiere:

Miembros permanentes:

  • Chief Executive Officer

  • Chief Information Security Officer / Responsable de Seguridad de la Información

  • Chief Technology Officer

  • Administrador de Sistemas

Miembros no-permanentes:

  • Delegado de Protección de Datos

  • Chief Product Officer

Las funciones principales del Comité de Seguridad son:

  • Identificación, revisión y aprobación de riesgos

  • Revisión y aprobación de políticas y protocolos de seguridad de la empresa

  • Aprobación de medidas correctoras para mitigar estos riesgos

  • Revisión de incidencias

  • Propuesta de mejoras

  • Distribución y comunicación de información relacionada con la seguridad de la información

  • Diseño e implementación de planes formativos en materia de seguridad para los empleados de la empresa

Resolución de conflictos

La eventual resolución de conflictos se resolverá según la jerarquía organizativa, siendo en ultima instancia responsabilidad de la Dirección de la organización.

Principios y objetivos de seguridad

La Política de Seguridad de la Información se encuentra soportada por un conjunto de políticas concretas, registros, controles y procedimientos que guían el correcto manejo, custodia y protección de la información y que están fundamentadas en los objetivos de control de la norma internacional ISO 27001, ISO 27017, ISO 27018, así como de aquellos controles aplicables según el Real Decreto 311/2022 – Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del SGSI se apoyará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de la Empresa y que se agrupan entorno los siguientes bloques de trabajo:

  • Protección de los ficheros y bases de datos, ya sean de forma local o en la nube.

  • Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.

  • Protección de los repositorios de código fuente de los productos y servicios de la compañía, así como su calidad.

  • Protección de la infraestructura informática que soporta la organización, incluyendo instalaciones, edificios y estancias.

  • Protección de los recursos virtuales en la nube, incluyendo la gestión de su ciclo de vida y controles de acceso requeridos.

  • Protección de los recursos y servicios emplazados en la nube mediante proveedores de servicios especializados.

  • Protección de las redes y canales de comunicación usados de forma interna o pública, de forma local y en la nube.

  • Protección de los activos pasivos de la compañía y de los datos de los usuarios de sus servicios, localmente y en la nube.

  • La investigación, regulación y conformidad de los proveedores de servicios, ya sean servicios físicos o en la nube.

  • La formación y supervisión continua de los empleados y colaboradores con acceso a sistemas de información.

  • La comunicación de los hecho relevantes, incluyendo brechas de seguridad, de los clientes de servicios locales y en la nube.

  • El soporte a la investigación de hechos relevantes, incluyendo brechas de seguridad, a los clientes, autoridades y partes afectadas.

  • Garantizar la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.

  • Cumplimiento con los estándares legales y normativos.

Otras Políticas de Seguridad de la Información

La Empresa amplia esta Política de Seguridad a través de sub-políticas específicas, listadas a continuación

  • Política de Seguridad en Aplicaciones

  • Política de Credenciales

  • Política de Control de Código y Desarrollo Seguro

  • Política de Gestión de Incidencias y Eventos de Seguridad

  • Política de Gestión de la Continuidad

  • Política de Seguridad en el Centro de Trabajo

  • Política de Seguridad en el Centro de Datos

  • Política de Seguridad del Personal

  • Política de Proveedores de Servicios Tecnológicos

  • Política de Cuentas de Usuario (Clientes)

  • Política de Cuentas de Usuario (Empleados)

  • Política de Criptografía y Comunicaciones Secretas

  • Política de Administración de Sistemas IT (Servidores)

  • Política de Copias de Seguridad

  • Política de Acceso Remoto y Teletrabajo

  • Política de Equipos Personales y Soportes Extraíbles

Cuando sea aplicable, las sub-políticas anteriores se encuentran a disposición de las partes interesadas bajo solicitud y previo acuerdo de confidencialidad.

Tratamiento de Datos Personales

La Empresa implementa un Registro de las Actividades de Tratamiento, así como una Evaluación del Impacto relativa a los Datos Personales. Los citados documentos se encuentran a disposición de las partes interesadas bajo solicitud y previo acuerdo de confidencialidad, siempre y cuando su acceso sea relevante y justificado para la parte interesada.

Adicionalmente, los usuarios pueden consultar los detalles relativos al tratamiento de Datos Personales, tanto en el Rol de la Empresa como Responsable del Tratamiento como en el de Encargado del mismo en las Condiciones Generales del servicio.

Punto de Contacto

Los interesados pueden dirigirse al Responsable de Seguridad, o en su representación otro miembro permanente del Comité de Seguridad, a través del correo electrónico security@genomcore.com

Aplicación y modificación

Esta política aplica a todo el personal de la Empresa, así como a colaboradores y proveedores con responsabilidad sobre activos de la empresa, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y asegurar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar los incidentes en materia de seguridad de la información utilizando las directrices establecidas por la Empresa a través de los canales establecidos a tal efecto o, de forma general, a través del Punto de Contacto.

Esta Política de Seguridad de la información podrá ser revisada y modificada según disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas periódicamente.