RIBERA SALUD TECNOLOGÍAS, S.L.U. (en adelante, FUTURS), dispone de una Política de Seguridad de la Información aprobada por la Dirección.
Definir las directrices en materia de seguridad de la información y poner de manifiesto el compromiso de la Dirección de FUTURS en este ámbito.
Es fundamental que todos los empleados de FUTURS que utilizan equipamiento informático y accedan o traten información para la realización de sus funciones y tareas sean conocedores de esta política.
Con este documento se pretende definir la normativa aplicable por parte de los usuarios de los Sistemas de Información de FUTURS, desde las distintas sedes, posibilitando la homogeneización de criterios dentro de sus unidades administrativas y definiendo unas reglas de uso que deberán ser conocidas y observadas por todos los usuarios.
Esta política es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en la Organización, incluyendo el personal de organizaciones externas, cuando sean usuarios o posean acceso a los Sistemas de Información propiedad de la Organización.
La misión de FUTURS es mejorar e innovar la tecnología asociada a la sanidad para conseguir unos mejores niveles de salud y bienestar de las personas. Para ello, se desarrolla la tecnología que ayuda a la mejora de la atención sanitaria y la excelencia asistencial.
FUTURS considera que es fundamental garantizar la seguridad de la información en todas sus vertientes (integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad) así como la seguridad de los procesos, infraestructuras, personas y otros recursos que participan en la prestación de los servicios.
En el contexto actual, es especialmente relevante la protección de la información corporativa y de los elementos que la tratan. Estos activos son críticos para la organización, por lo que se deben mantener razonablemente a salvo de cualquier amenaza que pueda suponer un riesgo para ellos. La seguridad de la información se debe garantizar atendiendo en todo momento a los principios legales, organizativos y técnicos correspondientes.
Por lo tanto, proteger la información y mantener su seguridad se convierte en un objetivo global que debe ser marcado como propio por todos y cada uno de los miembros de la organización. De esta forma, todos y cada uno de nosotros debemos conocer y cumplir con la Política de Seguridad de la Información, los procedimientos, normas, estándares y recomendaciones que la implantan.
Con este fin, se establecen los siguientes principios básicos de la Política de Seguridad de la Información de FUTURS:
La Política de Seguridad de la Información es un documento que será aprobado formalmente por la Dirección de FUTURS y tendrá carácter imperativo sobre toda la organización. La revisión anual de esta política será misión del Comité de Seguridad de la Información.
FUTURS trata datos de carácter personal. El Registro de Actividades del Tratamiento detalla los tratamientos afectados y los responsables correspondientes, así como las medidas de seguridad adoptadas derivadas de la evaluación de impacto y análisis de riesgos realizado sobre los tratamientos.
Conforme al principio básico de seguridad de función diferenciada y tal como indica el artículo 12 del ENS, la seguridad deberá comprometer a todos los miembros de la organización.
Con ese objetivo se establecen los siguientes roles y comités en la organización relacionados con la Seguridad de la Información:
Las funciones del Comité de Seguridad de la Información son:
Las funciones del Comité de Crisis son:
Las funciones del Responsable de Seguridad de la Información son:
Las funciones del Responsable del Sistema son:
Las funciones del Responsable de Información y de Servicio son:
Las funciones del Delegado de Protección de Datos son:
Los distintos responsables del ENS serán designados por la Alta Dirección de FUTURS. Se nombrarán y documentarán en las actas de reunión las nuevas designaciones y renovaciones periódicamente cada dos años o de acuerdo a las necesidades de la organización o cada dos años y siguiendo el principio de separación de funciones.
Las medidas de seguridad a aplicar a los datos de carácter personal se corresponden con las previstas en el ENS.
Todos los sistemas de información de FUTURS se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades de Tratamiento.
Para la correcta coordinación de la organización de la seguridad entre los responsables se debe establecer una jerarquía, en esta se pueden distinguir los siguientes niveles:
La jerarquía a la que deben atender los responsables es la siguiente:
Nivel |
Órgano |
1 – Gobierno |
Comité de Seguridad |
2 – Ejecutivo |
Responsable de Seguridad Responsable de Información y de Servicio |
3 – Operaciones |
Responsable del Sistema |
En caso de que los responsables encargados de la organización de la seguridad de FUTURS no sean capaces de establecer un objetivo, misión o conclusión en común, con el fin de evitar conflictos y preservar el buen clima de FUTURS, se deberá resolver la situación en el orden jerárquico indicado.
Todos los sistemas afectados por esta Política de Seguridad de la Información están sujetos a un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisará periódicamente de forma anual o cuando se de alguna de estas circunstancias: cambie la información manejada, cambien los servicios prestados, suceda un incidente grave de seguridad o se detecten vulnerabilidades graves.
Todos los miembros de FUTURS tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información de disponer los medios necesarios para que la información llegue a los afectados. Para ello, esta política estará disponible en el sitio web de FUTURS y, al menos una vez al año, se recordará a todo el personal, ya sea de forma presencial u on-line, la necesidad de su conocimiento y cumplimiento y se notificará cualquier cambio que se haya producido. Asimismo, se establecerá un programa de concienciación continua para atender a todos los miembros de FUTURS, en particular, a los de nueva incorporación.
El no cumplimiento de la presente política de seguridad, directrices o legislación aplicable en cada caso provocará la adopción de las correspondientes medidas legales o disciplinarias, definidas por la entidad.
El personal de FUTURS recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de FUTURS.
El objetivo es lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de FUTURS y a todas las actividades, de acuerdo al principio de Seguridad Integral recogido en el artículo 5 del ENS, así como la articulación de todos los medios necesarios para que todas las personas que intervienen en proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.
La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.
Se hace necesario que, de manera objetiva y no discriminatoria, las organizaciones que presten servicios de seguridad de FUTURS cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.
El acceso a los sistemas de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad.
Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Por ello, en primer lugar, se ha de establecer un perímetro físico de seguridad que proteja la información de la organización para prevenir incidencias, y garantizar el funcionamiento del resto de medidas.
El acceso a los locales, mediante vías de acceso autorizadas y controladas, barreras arquitectónicas como paredes o ventanas, elementos adicionales como áreas de descarga controladas, debe ser gestionado para proteger las zonas que contienen instalaciones informáticas o permiten el acceso a las mismas.
Dentro del perímetro de seguridad, se deben identificar las ubicaciones que almacenan soportes que puedan contener datos confidenciales o especialmente protegidos, estas ubicaciones dispondrán de una identificación personal de los usuarios que permita validar si disponen de autorización para su acceso.
Se deben validar las medidas de seguridad físicas de acceso al perímetro de seguridad, compuestas por puertas, cerraduras, alarmas, vigilancia y formalizarlas en instrucciones de acceso a los locales, que deberán ser comunicadas a todo el personal.
En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones, así como, de seguridad física, que vayan a ser utilizados por FUTURS se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, y se velará por que se contemple en los pliegos contractuales,
La certificación indicada deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.
Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto:
Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema.
Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.
En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los siguientes dispositivos: equipos portátiles, tablets, dispositivos periféricos, soportes de información (pendrive, disco duro) y comunicaciones sobre redes abiertas o con cifrado débil.
Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por el CIT en el ámbito de sus competencias.
Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de la información electrónica, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello se aplicarán las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de estos.
El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. Se entenderá por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, o a través de redes, con otros sistemas, y se controlará su punto de unión.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del Real Decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
FUTURS dispondrá de procedimientos de gestión de incidentes de seguridad de acuerdo con lo previsto en el artículo 33, la Instrucción Técnica de Seguridad correspondiente.
Asimismo, se dispondrá de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.
Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
FUTURS dispone de un Sistema de Gestión de Seguridad de la Información (SGSI) de obligado cumplimiento que se desarrollará en cuatro niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada documento de un determinado nivel de desarrollo se fundamente en los documentos de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
El SGSI se encuentra disponible dentro de un sistema de gestión documental.
El contenido, formato, estructura y codificación que se deben aplicar en la documentación generada por los profesionales de FUTURS se indica en la norma interna Gestión y Control Documental y esta nueva documentación debe ser aprobada por el responsable de departamento.
La eficacia y posibilidad de mejora de las directrices y los controles implantados en FUTURS vienen determinados por el correcto funcionamiento del Sistema de Gestión a través del modelo PDCA (Plan, Do, Check, Act) detallado en la norma interna Mejora Continua.
Los profesionales sólo tendrán acceso a la documentación necesaria para el correcto desempeño de sus funciones asignadas, como indica el procedimiento interno Control de Accesos.
La Política de Seguridad debe ser leída, comprendida y aplicada en su integridad por todas las personas incluidas en su ámbito de aplicación. Nadie, independientemente de su nivel o posición, está autorizado para solicitar que un profesional cometa un acto ilegal o que contravenga lo establecido en la presente política.
Se considera un incumplimiento de sus obligaciones por parte del profesional, susceptible de ser sancionado, la inobservancia de las directrices descritas en esta Política de Seguridad o de las normas y procedimientos que la desarrollan contenidos en este documento. En caso de tratarse de un incumplimiento por parte de un proveedor o tercero, este se gestionará dentro de la relación contractual con el proveedor.
El incumplimiento de cualquier obligación establecida en la presente Política o de la normativa interna y externa, podrá ser objeto de investigación, documentación y reporte al órgano interno competente según el caso y de acuerdo con la legislación vigente de aplicación. En base al resultado de las investigaciones, se podrán adoptar medidas disciplinarias, que en todo caso respetarán los principios de audiencia, contradicción y proporcionalidad.
La valoración de las consecuencias del incumplimiento para el infractor, y las medidas que se vayan a adoptar, serán tomadas de conformidad con la legislación aplicable en cada caso, sin perjuicio de aquellas medidas administrativas o penales que, en su caso, puedan también ser de aplicación.
Cuando FUTURS utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información.
Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de Información y de Servicio antes de seguir adelante.
—
Última actualización: Octubre de 2022
—
Calle Santiago Ramón y Cajal, número 43, 2ª planta Elche 03203 (Alicante)
Calle Vía de los Poblados, 1 · Parque tecnológico de Alvento · 28033 (Madrid)
Cookie | Duración | Descripción |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 year | Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad". |
cookielawinfo-checkbox-analytics | 1 year | Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis". |
cookielawinfo-checkbox-functional | 1 year | La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional". |
cookielawinfo-checkbox-necessary | 1 year | Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Necesario". |
cookielawinfo-checkbox-others | 1 year | Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros". |
cookielawinfo-checkbox-performance | 1 year | Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento". |
CookieLawInfoConsent | 1 year | Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal. |
PHPSESSID | session | Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar la ID de sesión única de un usuario con el fin de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador. |
Cookie | Duración | Descripción |
---|---|---|
locale | 2 years | Facebook establece esta cookie para mejorar la experiencia de navegación del usuario en el sitio web y para proporcionar al usuario publicidad relevante mientras usa las plataformas de redes sociales de Facebook. |
pll_language | 1 year | Polylang utiliza la cookie pll _language para recordar el idioma seleccionado por el usuario cuando regresa al sitio web, y también para obtener la información del idioma cuando no está disponible de otra manera. |
Cookie | Duración | Descripción |
---|---|---|
_session_id | 1 day | Cookie establecida por G2 para almacenar la navegación del visitante mediante el registro de las páginas de destino. Esto permite que el sitio web presente productos e indique la eficiencia del sitio web. |
CONSENT | 2 years | YouTube establece esta cookie a través de videos de YouTube incrustados y registra datos estadísticos anónimos. |
Cookie | Duración | Descripción |
---|---|---|
VISITOR_INFO1_LIVE | 5 months 27 days | Una cookie configurada por YouTube para medir el ancho de banda que determina si el usuario obtiene la interfaz de reproductor nueva o antigua. |
YSC | session | Youtube configura la cookie YSC y se utiliza para rastrear las vistas de videos incrustados en las páginas de Youtube. |
yt-remote-connected-devices | never | YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados. |
yt-remote-device-id | never | YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados. |