1) Aprobación y Entrada en vigor
Esta Política de Seguridad de la Información es efectiva desde la fecha de firma y hasta que sea reemplazada por una nueva Política.
2) Misión de la Organización
Ephion Health, para alcanzar sus objetivos, asume su compromiso con la seguridad de la información, comprometiéndose a la adecuada gestión de esta, con el fin de ofrecer a todos sus grupos de interés las mayores garantías en torno a la seguridad de la información utilizada.
MISIÓN: Nuestra misión en Ephion Health es desarrollar herramientas digitales que ayuden a los pacientes, médicos e industria farmacéutica durante todo el proceso terapéutico, desde el diagnóstico hasta el seguimiento y el tratamiento personalizado.
VISIÓN: Nuestra visión en Ephion Health es un mundo en el que todas las personas que padezcan enfermedades crónicas tengan acceso a herramientas que les ayuden eficazmente a mejorar su calidad de vida y acorten el camino hacia tratamientos específicos y personalizados.
Para cumplir esta misión y avanzar hacia esta visión, Ephion Health considera la seguridad de la información como un elemento estratégico y esencial para garantizar la confianza de pacientes, profesionales sanitarios, colaboradores y demás partes interesadas.
Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios.
Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar medidas de seguridad alineadas con los principios y requisitos del Esquema Nacional de Seguridad (ENS), así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 8 del ENS (Artículo 8. Prevención, detección, respuesta y conservación)
3) Alcance
La presente Política de Seguridad de la Información aplica a los sistemas de información que dan soporte a los servicios de diseño, desarrollo, validación, operación y mantenimiento de soluciones software en el ámbito sanitario para la recopilación, procesamiento, análisis y visualización de datos, así como a la generación, presentación y acceso a resultados para el seguimiento y monitorización de pacientes ambulantes con afecciones de salud en las que la movilidad, la postura, la marcha o el equilibrio se ven afectados, incluyendo los entornos de desarrollo, prueba y producción, la infraestructura tecnológica asociada (cloud y local), los servicios de soporte y el personal que participa en dichas actividades, conforme a la Declaración de Aplicabilidad Vigente.
4) Objetivos
Por todo lo anteriormente expuesto, la Dirección establece los siguientes objetivos de seguridad de la información:
• Proporcionar un marco de gestión que permita aumentar la resiliencia de la organización y garantizar una respuesta eficaz ante incidentes de seguridad de la información.
• Asegurar la recuperación rápida y eficiente de los servicios, frente a cualquier desastre físico o contingencia que pudiera ocurrir y que pusiera en riesgo la continuidad de las operaciones.
• Prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable, así como mitigar los riesgos de seguridad de la información generados por nuestras actividades.
• Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
5) Marco normativo
La organización se compromete a cumplir los requisitos legales, regulatorios, contractuales y normativos aplicables a sus actividades, así como a mantener una actualización continua de los mismos. Para ello, el marco legal y regulatorio en el que desarrollamos nuestras actividades es:
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
• Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y por el que se incorporan al ordenamiento jurídico español la Directiva 2014/26/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, y la Directiva (UE) 2017/1564 del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017.
• Real Decreto 311/2022, de 3 de Mayo, por el que se regula el Esquema Nacional de Seguridad.
• Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• ISO 27001:2022 Seguridad de la información, ciberseguridad y protección de la privacidad –Sistemas de gestión de la seguridad de la información – Requisitos
• Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios (MDR 2017/745).
• ISO 13485:2016 Productos sanitarios – Sistemas de gestión de la calidad – Requisitos a efectos reglamentarios.
6) Desarrollo
Para poder lograr estos objetivos es necesario:
• Mejorar continuamente nuestro sistema de seguridad de la información.
• Identificar las amenazas potenciales, así como el impacto en las operaciones de negocio que dichas amenazas, caso de materializarse, puedan causar.
• Preservar los intereses de sus principales partes interesadas (clientes, accionistas, empleados y proveedores), la reputación, la marca y las actividades de creación de valor.
• Trabajar de forma conjunta con nuestros suministradores y subcontratistas con el fin de mejorar la prestación de servicios de TI, la continuidad de los servicios y la seguridad de la información, que repercutan en una mayor eficiencia de nuestra actividad.
• Evaluar y garantizar la competencia técnica del personal, así como asegurar la motivación adecuada de éste para su participación en la mejora continua de nuestros procesos, proporcionando la formación y la comunicación interna adecuada para que desarrollen buenas prácticas definidas en el sistema.
• Garantizar el correcto estado de los equipos, activos tecnológicos e instalaciones utilizadas para el desarrollo de las actividades de la organización, de forma que estén alineados con los objetivos, necesidades operativas y requisitos de seguridad establecidos.
• Garantizar un análisis de manera continua de todos los procesos relevantes, estableciéndose las mejoras pertinentes en cada caso, en función de los resultados obtenidos y de los objetivos establecidos.
• Estructurar nuestro Sistema de Gestión de Seguridad de la Información de forma que sea fácil de comprender.
Nuestro Sistema de Gestión de Seguridad de la Información (SGSI) tiene la siguiente estructura:
• La gestión del SGSI se encomienda al Responsable del SGSI, quien vela por su mantenimiento, actualización, seguimiento y mejora continua.
• La documentación referida a la seguridad del sistema es gestionada por el Responsable del SGSIy se encuentra almacenada en repositorios corporativos autorizados, estructurada en carpetas y subcarpetas organizadas por marcos normativos y ámbitos de operación. Dichos repositorios recogen los distintos procedimientos, registros y evidencias del sistema, con acceso restringido según los permisos asignados al personal autorizado.
La documentación de seguridad se estructura en:
• Política de Seguridad.• Normativa de seguridad: documentos que describen el uso de equipos, servicios e instalaciones. Describen lo que se considera uso indebido, la responsabilidad del personal con respecto al cumplimiento o violación de la normativa, derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente.
• Documentos específicos: documentación de seguridad desarrollada según las guías CCN-STIC que resulten de aplicación.• Procedimientos de seguridad: documentos que detallan cómo operar los elementos del sistema.
• Registros y evidencias: documentos que permiten demostrar la ejecución de los controles, actividades de seguimiento, revisiones, auditorías y acciones de mejora del sistema.
7) Organización de seguridad
La responsabilidad esencial recae sobre la Dirección General de la organización, ya que esta es responsable de organizar las funciones y responsabilidades y de facilitar los recursos adecuados para conseguir los objetivos del ENS. Los directivos son también responsables de dar buen ejemplo siguiendo las normas de seguridad establecidas.
Estos principios son asumidos por la Dirección, quien dispone los medios necesarios y dota a sus empleados de los recursos suficientes para su cumplimiento, plasmándose y poniéndolos en público conocimiento a través de la presente Política Integrada de Sistemas de Gestión. Los roles o funciones de seguridad definidos son:
Responsable de la información (RINFO):
• Tomar las decisiones relativas a la información tratada
• Determinar los requisitos de seguridad de la información y su nivel de criticidad
Responsable del servicio (RSER):
• Aprobar los niveles de seguridad de los servicios
• Asegurar que el servicio cumple con sus objetivos de negocio/operación
Responsable de la seguridad (RSEG):
• Determinar la idoneidad de las medidas técnicas
• Promover la mejora continua de la seguridad
• Supervisar el cumplimiento de la política, reportar los incidentes y coordinar la gestión de riesgos
Responsable del sistema (RSIS):
• Coordinar la implantación del sistema informático y su infraestructura
• Mejorar el sistema de forma continua
La Dirección:
• Proporcionar los recursos necesarios para el sistema
• Liderar y respaldar el sistema de gestión de seguridad
Administrador de Seguridad (AS) - si se designa:
• Ejecutar, configurar y monitorizar herramientas y medidas de seguridad
• Apoyo en el mantenimiento técnico seguro de la infraestructura
8) Comité de Seguridad
El procedimiento para su designación y renovación será la ratificación por el Comité de Seguridad. El comité para la gestión y coordinación de la seguridad es el órgano con mayor responsabilidad dentro del SGSI, de forma que todas las decisiones más importantes relacionadas con la seguridad se acuerdan por este comité. Los miembros del comité de seguridad de la información son:
• RESPONSABLE DE SEGURIDAD
• RESPONSABLE DEL SISTEMA• RESPONSABLE DEL SERVICIO
• RESPONSABLE DE LA INFORMACIÓN
Estos miembros son designados por el comité, único órgano que puede nombrarlos, renovarlos y cesarlos. El Comité de Seguridad es el órgano de coordinación y decisión en materia de seguridad de la información, sin perjuicio de la responsabilidad última de la Dirección. La composición, funcionamiento y acuerdos del Comité de Seguridad de la Información se documentan en el acta correspondientedentro de la documentación del SGSI.
También se nombra al Responsable del SGSI, que podrá participar en las reuniones del Comité de Seguridad cuando sea requerido para el desempeño de sus funciones.
9) Comité de Seguridad
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisa regularmente:
• al menos una vez al año;
• cuando cambie la información manejada;
• cuando cambien los servicios prestados;
• cuando ocurra un incidente grave de seguridad;
• cuando se reporten vulnerabilidades graves.
Para la realización del análisis de riesgos se tendrá en cuenta la metodología de análisis de riesgos desarrollada en el procedimiento Análisis de Riesgos. Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
10) Gestión de personal
Todos los miembros de Ephion Health tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de Ephion Health recibirán formación o asistirán a sesiones de concienciación en materia de seguridad al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Ephion Health, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
11) Profesionalidad y seguridad de los recursos humanos
Esta Política se aplica a todo el personal de Ephion Health y el personal externo que realiza tareas dentro de la empresa.
Las funciones de gestión del personal relacionadas con la seguridad de la información serán asumidas por la Dirección de Ephion Health. Se incluirán funciones de seguridad de la información en las descripciones de los trabajos de los empleados, informará a todo el personal que contrate sus obligaciones con respecto al cumplimiento de la Política de Seguridad de la Información, gestionará los Compromisos de Confidencialidad con el personal y coordinará las tareas de capacitación de los usuarios con respecto a esta Política.
• El Responsable de Seguridad, es responsable de la gestión y coordinación de los incidentes de seguridad de la información, incluyendo su registro, análisis y comunicación al Comité de Seguridad de la Información y al Responsable de la Información.
• El Comité de Seguridad supervisa la gestión de incidentes y define directrices, mientras que la implementación operativa corresponde al Responsable del Sistema.
• La Dirección es responsable de la gestión de los acuerdos de confidencialidad, con el apoyo del Responsable de la Seguridad y del Responsable de la Información en su redacción y requisitos de seguridad.
• El Responsable de la Seguridad colabora con la Dirección en la definición de los contenidos de formación en seguridad de la información.
• Todo el personal de Ephion Health es responsable de informar sobre las debilidades e incidentes de seguridad de la información que se detectan oportunamente.
Profesionalidad de los recursos humanos:
• Determinar la competencia necesaria del personal para llevar a cabo el trabajo que afecta a la Seguridad de la Información.• Hay que asegurar que las personas sean competentes sobre la base de la educación, capacitación o experiencia adecuadas.
• Demostrar mediante la información documentada que sea necesaria la competencia del personal en materia de Seguridad de la Información.
Los objetivos de controlar la seguridad del personal son:
• Reducir los riesgos de error humano, puesta en marcha de irregularidades, uso indebido de instalaciones y recursos, y manejo no autorizado de la información.
• Explicar las responsabilidades de seguridad en la etapa de reclutamiento del personal e incluirlas en los acuerdos a firmar y verificar su cumplimiento durante el desempeño de las tareas del empleado.
• Asegurar que los usuarios estén al tanto de las amenazas y preocupaciones de seguridad de la información y estén capacitados para apoyar la Política de Seguridad de la Información de la organización en el curso de sus tareas normales.
• Establecer compromisos de confidencialidad con todo el personal y usuarios fuera de las instalaciones de procesamiento de información.
• Establecer las herramientas y mecanismos necesarios para promover la comunicación de las debilidades de seguridad existentes, así como los incidentes, con el fin de minimizar sus efectos y prevenir su reincidencia.
12) Autorización y control de acceso a los Sistemas de Informacion
El control del acceso a los sistemas de información tiene por objetivo:
• Evitar el acceso no autorizado a sistemas de información, bases de datos y servicios de información.
• Implementar la seguridad en el acceso de los usuarios a través de técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre la red de Ephion Health y otras redes públicas o privadas.
• Registrar y revisar los eventos de seguridad y las actividades relevantes realizadas por los usuarios en los sistemas.
• Concienciar sobre su responsabilidad por el uso de contraseñas y equipos.
• Garantizar la seguridad de la información cuando se utilizan ordenadores portátiles y ordenadores personales para el trabajo remoto.
13) Protección de las instalaciones
Los objetivos de esta política en materia de protección de las instalaciones son:
• Prevenir el acceso no autorizado, daños e interferencias a la sede, instalaciones e información de Ephion Health.
• Proteger el equipo de procesamiento de información crítico de Ephion Health, colocándolo en áreas protegidas y protegido por un perímetro de seguridad definido, con las medidas de seguridad y controles de acceso adecuados. Asimismo, contemplar la protección de esta en su traslado y permanecer fuera de las áreas protegidas, por mantenimiento u otros motivos.
• Controlar los factores físicos y ambientales que puedan afectar a los equipos e instalaciones utilizados por la organización.
• Implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus tareas habituales.
• Proporcionar protección proporcional a los riesgos identificados.
Esta Política se aplica a todos los recursos físicos relacionados con los sistemas de información de Ephion Health: instalaciones, equipos, cableado, expedientes, medios de almacenamiento, etc.
El Responsable de Seguridad, junto con el Responsable del Sistema y el Responsable de la Información, según proceda, definirá las medidas de seguridad física y ambiental para la protección de los activos críticos, sobre la base de un análisis de riesgos, y supervisará su aplicación. También verificará el cumplimiento de las disposiciones de seguridad física y medioambiental.
Los responsables de los diferentes departamentos definirán los niveles de acceso físico del personal a las áreas restringidas bajo su responsabilidad, en coordinación con el Responsable de la Seguridad. El acceso a la información fuera de las instalaciones se realizará conforme a la Normativa de Seguridad.Todo el personal de Ephion Health es responsable del cumplimiento de la política de pantalla limpia y escritorio, para la protección de la información relacionada con el trabajo diario en las oficinas.
14) Adquisición de productos
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Por otro lado, se tendrá en cuenta la seguridad de la información en la adquisición y mantenimiento de los sistemas de información, limitando y gestionando el cambio. La política de desarrollo y adquisición de sistemas de información se desarrolla en el documento: Política Adquisición, Desarrollo y Mantenimiento de Sistemas.
15) Seguridad por defecto
Ephion Health considera estratégico para la entidad que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y/o adquisición y en todas las actividades en explotación estableciéndose la seguridad como un proceso integral y transversal.
16) Integridad y actualización del sistema
Ephion Health se compromete a garantizar la integridad del sistema mediante un proceso de gestión de cambios que permita el control de la actualización de los elementos físicos o lógicos mediante la autorización previa a su instalación en el sistema. Dicha evaluación será llevada a cabo por el Responsable de Seguridad o Responsable de Sistema o por la persona designada para ello que evaluará el impacto en la seguridad del sistema antes de realizar los cambios y controlará de forma documentada aquellos cambios que se evalúen como importantes o con implicaciones en la seguridad de los sistemas.
Mediante revisiones periódicas de seguridad se evaluará el estado de seguridad de los sistemas, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de estos.
17) Protección de la información almacenada
Ephion Health establece medidas de protección para la Seguridad de la Información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los equipos portátiles, dispositivos móviles, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
18) Prevención de sistemas de información interconectados
Ephion Health, establece medidas de protección para la Seguridad de la Información especialmente para proteger el perímetro, en particular, si se conecta a redes públicas, especialmente si se utilizan en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público.
En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.
19) Continuidad de la actividad
Ephion Health, con el objetivo de garantizar la continuidad de las actividades, establece medidas para que los sistemas dispongan de copias de seguridad y establece mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo, incluyendo mecanismos de recuperación y restauración de la información.
20) Mejora continua del proceso de seguridad
Ephion Health establece un proceso de mejora continua de la seguridad de la información basado en la gestión de riesgos, las auditorías, la revisión de indicadores, la gestión de incidentes y los principios establecidos en normas internacionales como ISO 27001.
Última actualización: 01/07/2026