Política de seguridad de Made of Genes

Misión y objetivos

La misión de Made of Genes S.L. (en adelante, la "Empresa") es proporcionar servicios avanzados de salud personalizada y gestión de datos biosanitarios, garantizando la protección y confidencialidad de los datos personales y genéticos de nuestros clientes. La Empresa se compromete a la innovación continua y a la implementación de tecnologías de vanguardia para asegurar la calidad y seguridad de sus servicios.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sometidos sus activos de información, desarrollando e implementando un Sistema de Gestión de Seguridad de la Información (SGS) que permita la aplicación y seguimiento de controles para evitar la pérdida, divulgación, modificación y utilización no autorizada de la información, tanto en sistemas locales como en la nube, ayudando así a reducir los costos operativos y financieros, garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio. Estos controles tienen como objetivo garantizar la seguridad de la información preservando su confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente cuando se trate de datos personales y de naturaleza sensible.

La presente política es comunicada a las partes interesadas con el fin de involucrarlos en la mejora continua del sistema.

Marco jurídico y reglamentario

La Empresa desarrolla sus actividades en conformidad con un riguroso marco legal y regulatorio que incluye, pero no se limita a:

• Normas Internacionales: ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019.
• Normativa Nacional: Real Decreto 311/2022 - Esquema Nacional de Seguridad.
• Legislación de Protección de Datos y Servicios de Información:
  • Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) - Ley Orgánica 3/2018, de 5 de diciembre.
  • LSSI - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
• Otras normativas relevantes: Normativa específica del sector sanitario y cualquier otro marco normativo aplicable a la gestión de datos personales y genéticos, incluidos los entornos digitales.
• Ley 14/2007, de 3 de julio, de Investigación Biomédica.
• Ley 41/2002, de 14 de noviembre, por la que se regula la autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica.

Aunque se trata de la principal normativa aplicable, el registro completo de normas de referencia está a disposición de los interesados previa solicitud específica.

Roles y funciones de seguridad

Dirección de la empresa

La Dirección de la Empresa, y en su representación el Consejero Delegado (CEO), se compromete a:

1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y provisión de Servicios en la nube, la gestión de los datos personales, así como las acciones necesarias para su desarrollo.
2. Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas, incluyendo las específicas de servicios en la nube y la gestión de datos personales.
3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.
4. Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.
5. Cumplir con los requisitos legales, reglamentarios y contractuales de seguridad asumidos por la Empresa, especialmente en lo referido a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.
6. Garantizar a cada cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad propios de un sistema de gestión de información biosanitaria.
7. Promover la concienciación y garantizar formación en materia de seguridad de la información a todo el personal propio, así como a colaboradores externos implicados en el uso o la gestión de sistemas de la información.
8. Cuando los trabajadores no cumplan con las políticas de seguridad, se aplicarán las medidas disciplinarias correspondientes de acuerdo con el convenio laboral, dentro del marco legal aplicable y en proporción al impacto que dichas acciones tengan sobre la organización.
9. Implementar una política de desarrollo seguro que contemple la gestión de cambios, requisitos de seguridad en el software y la calidad del código, tanto interno como externo.
10. Aportar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Adicionalmente, son responsabilidades de la Dirección de la Empresa:

• La coordinación estratégica de todas las acciones de seguridad de la información.
• La inclusión de políticas de seguridad en la estrategia de la empresa.
• La dotación de recursos a los responsables técnicos
• Asegurar el cumplimiento de la normativa y legislación vigente.
• Transmitir y facilitar la implementación de las políticas de seguridad a nivel transversal entre departamentos.
• Revisar anualmente el SGSI y la aceptación final de las diferentes políticas de seguridad.
• Actuar como Responsable de la Información de forma Interina en ausencia del RSI

Director/a de Tecnología (CTO) / Responsable de servicio

La Dirección de la Empresa nombra al CTO como responsable de las siguientes tareas:

• Definir los requisitos y alcance de los desarrollos tecnológicos.
• Incorporar una dimensión de seguridad de la información a los desarrollos tecnológicos de la empresa
• Establecer y monitorizar indicadores relacionados con el correcto funcionamiento de los sistemas de información.
• Trasladar las medidas de seguridad definidas al equipo responsable de desarrollo tecnológico
• Comunicar al Responsable de Seguridad cualquier incidencia del ámbito de la Seguridad de la Información originada en procesos de monitorización de sistemas o desarrollo de software.
• Implementar una política de desarrollo seguro y evaluar la calidad del software.
• Auditar la debida diligencia del personal técnico referente a la seguridad del sistema.

Responsable de la Seguridad de la Información (RSI)

La Dirección de la Empresa nombra al RSI como responsable de las siguientes tareas:

• Gestionar las Incidencias reportadas en el SGSI
• Convocar y dirigir las reuniones del Comité de Seguridad.
• Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la seguridad de la información.
• Coordinar, junto con el RSIS, las auditorias del SGSI de forma periódica.
• Auditar la debida diligencia del CTO referente a la seguridad del sistema.

Director/a de Seguridad de la Información (CISO) / Responsable de información

La Dirección de la Empresa nombra al CISO como responsable de las siguientes tareas:

• Definir y supervisar la correcta aplicación de las Políticas de Seguridad en las diferentes áreas de la empresa.
• Asegurando la confidencialidad, trazabilidad, autenticidad, integridad y disponibilidad de los servicios y activos de información
• Coordinar las actuaciones técnicas de forma transversal a otros departamentos.
• Definir y supervisar los procesos de integración o transferencia de datos con terceros.
• Definir y supervisar los proyectos de explotación de la información, propios o de terceros.
• Monitorizar y comunicar a los equipos técnicos cualquier cambio en los servicios de los proveedores cloud.
• Actúa como gestor de la información

Administrador/a del Sistema (AS) / Responsable de sistemas

El CISO nombra al AS como responsable de las siguientes tareas:

• Configurar las herramientas de gestión de identidades y permisos.
• Gestión de los dispositivos de punto final (Endpoints)
• Supervisión de los eventos relevantes de seguridad SIEM
• Atención a los usuarios en materia de Seguridad de la Información

Delegado/a de Protección de Datos (DPD)

La Dirección de la Empresa nombra al DPD como responsable de las siguientes tareas:

• Garantizar el cumplimiento de la normativa aplicable en materia de protección de datos personales en los distintos procesos de la empresa.
• Recibir y gestionar las comunicaciones con clientes o usuarios relativas a la gestión de datos personales.
• Comunicación con las autoridades en caso de vulneraciones de datos personales.

Responsable del Sistema de Seguridad de la Información (RSIS)

La Dirección de la Empresa nombra al QARA Lead como RSIS y responsable de las siguientes tareas:

• Coordinar la integración de los requisitos de seguridad de la información dentro del sistema de gestión de calidad.
• Identificar y evaluar riesgos de seguridad en procesos relacionados con calidad y regulación.
• Coordinar, junto con el RSI, las auditorías internas y externas para garantizar el cumplimiento normativo.
• Coordinar con el equipo de seguridad la implementación de controles de seguridad en productos y servicios.
• Asesorar a equipos de trabajo en la implementación de buenas prácticas de seguridad en calidad y regulación.

Usuarios de Información

Los Usuarios de la Información, entre los que encontramos clientes, proveedores, empleados y otros grupos de interés, tienen el deber y la responsabilidad de cumplir con las políticas de seguridad establecidas, reportar incidentes de seguridad, y proteger la información de acuerdo con las directrices de la Empresa, indicadas en los Términos y Condiciones del Servicio aplicables. La Empresa realizará tareas de formación y concienciación pero la responsabilidad individual y colaboración de cada usuario es indispensable para una correcta ejecución de esta Política.

Procedimiento de asignación y renovación

Los miembros del Comité de Seguridad y los roles definidos en esta política serán designados por la dirección ejecutiva. Se incluirán en el correspondiente acta de reunión formalmente aprobada, así como en el documento específico y detallado de Definición de Roles y Responsabilidades (documento de uso interno), y se comunicará a las partes por las vías de comunicación de la entidad (correo electrónico, reunión, o aplicaciones de mensajería).

El nombramiento se revisará cada 2 años o cuando el puesto quede vacante. La dirección decidirá asignar más de un rol a una misma persona cuando así se estime adecuado y cumpliendo los requisitos del ENS, para lo cual se tendrá en consideración la guía CCN-STIC-801.

Comité de Seguridad

El Comité de Seguridad se establece como un organismo global de gestión de la seguridad de la información a nivel de la Empresa. El Responsable de Seguridad de la Información actúa como secretario de dicho comité, siendo el responsable de definir las medidas y las implementaciones necesarias acordadas por el Comité. El Comité de Seguridad se reunirá, en general, con una frecuencia mensual exceptuando los meses de agosto y diciembre, aunque se podrán agendar o anular reuniones según la carga de trabajo. En cualquier caso, se establece mantener un mínimo de 10 reuniones del Comité a lo largo de un año natural.

Las Reuniones del Comité contarán con al menos 2 personas siendo obligatoriamente una de ellas el Responsable de Seguridad de la Información, que anticipará al resto de miembros el Orden del Día así como la información relevante para la reunión. El comité permanente que será convocado en cada reunión, y adicionalmente los miembros no permanentes podrán ser convocados si el Orden del Día lo requiere:

Miembros permanentes:

• Chief Executive Officer
• Director/a de Seguridad de la Información (CISO) / Responsable de Seguridad de la información
• Chief Technology Officer
• Administrador de Sistemas
• Responsable del Sistema de Seguridad de la Información

Miembros no-permanentes:

• Delegado de Protección de Datos
• Administración y Asuntos Generales

Las funciones principales del Comité de Seguridad son:

• Identificación, revisión y aprobación de riesgos
• Revisión y aprobación de políticas y protocolos de seguridad de la empresa.
• Aprobación de medidas correctoras para mitigar estos riesgos.
• Revisión de incidencias
• Propuesta de mejora
• Distribución y comunicación de información relacionada con la seguridad de la información.
• Diseño e implementación de planes formativos en materia de seguridad para los empleados de la empresa.

Resolución de conflictos

La resolución eventual de conflictos se resolverá según la jerarquía organizativa, siendo en última instancia responsabilidad de la Dirección de la organización.

Principios y objetivos de seguridad

La Política de Seguridad de la Información se encuentra soportada por un conjunto de políticas concretas, registros, controles y procedimientos que guían el correcto manejo, custodia y protección de la información y que están fundamentadas en los objetivos de control de la norma internacional ISO 27001, ISO 27017, ISO 27018, así como de aquellos controles aplicables según el Real Decreto 311/2022 - Esquema Nacional de Seguridad. El desarrollo, mantenimiento y mejora continua del SGSI se apoyará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de la Empresa y que se agrupan entorno los siguientes bloques de trabajo:

• Protección de los ficheros y bases de datos, ya sean de forma local o en la nube.
• Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.
• Protección de los repositorios de código fuente de los productos y servicios de la compañía, así como su calidad.
• Protección de la infraestructura informática que soporta la organización, incluyendo instalaciones, edificios y estancias.
• Protección de los recursos virtuales en la nube, incluyendo la gestión de su ciclo de vida y controles de acceso requeridos.
• Protección de los recursos y servicios emplazados en la nube mediante proveedores de servicios especializados.
• Protección de las redes y canales de comunicación usados de forma interna o pública, de forma local y en la nube.
• Protección de los activos pasivos de la compañía y de los datos de los usuarios de sus servicios, localmente y en la nube.
• La investigación, regulación y conformidad de los proveedores de servicios, ya sean servicios físicos o en la nube.
• La formación y supervisión continua de los empleados y colaboradores con acceso a sistemas de información.
• La comunicación de los hechos relevantes, incluyendo brechas de seguridad, de los clientes de servicios locales y en la nube.
• El soporte a la investigación de hechos relevantes, incluyendo brechas de seguridad, a los clientes, autoridades y partes afectadas.
• Garantizando la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.
• Cumplimiento con los estándares legales y normativos.

Otras Políticas de Seguridad de la Información

La Empresa amplía esta Política de Seguridad a través de sub-políticas específicas, listadas a continuación

• Política de Seguridad en Aplicaciones
• Política de Credenciales
• Política de Control de Código y Desarrollo Seguro
• Política de Gestión de Incidencias y Eventos de Seguridad
• Política de Gestión de la Continuidad
• Política de Seguridad en el Centro de Trabajo
• Política de Seguridad del Personal
• Política de Proveedores de Servicios Tecnológicos
• Política de Cuentas de Usuario (Clientes)
• Política de Cuentas de Usuario (Empleados)
• Política de Criptografía y Comunicaciones Secretas
• Política de Administración de Sistemas IT (Servidores)
• Política de Copias de Seguridad
• Política de Acceso Remoto y Teletrabajo
• Política de Equipos Personales y Soportes Extraíbles

Cuando sea aplicable, las sub-políticas anteriores se encuentran a disposición de las partes interesadas bajo solicitud y previo acuerdo de confidencialidad.

Tratamiento de Datos Personales

La Empresa implementa un Registro de las Actividades de Tratamiento, así como una Evaluación del Impacto relativa a los Datos Personales. Los citados documentos se encuentran a disposición de las partes interesadas bajo solicitud y previo acuerdo de confidencialidad, siempre y cuando su acceso sea relevante y justificado para la parte interesada.

Adicionalmente, los usuarios pueden consultar los detalles relativos al tratamiento de datos personales, tanto en el rol de la Empresa como Responsable del Tratamiento como en el de Encargado del mismo en los Términos y Condiciones del Servicio.

Punto de contacto

Los interesados pueden dirigirse al Responsable de Seguridad, o en su representación otro miembro permanente del Comité de Seguridad, a través del correo electrónico security@madeofgenes.com.

Aplicación y modificación

Esta política aplica a todo el personal de la Empresa, así como a colaboradores y proveedores con responsabilidad sobre activos de la Empresa, con el fin de mantener la confidencialidad, trazabilidad, autenticidad, integridad y asegurar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar los incidentes en materia de seguridad de la información utilizando las directrices establecidas por la Empresa a través de los canales establecidos a tal efecto o, de forma general, a través del Punto de Contacto.

Esta Política de Seguridad de la información podrá ser revisada y modificada según disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas periódicamente.

Distribución de la Política y obligaciones

La distribución de la Política de Seguridad se realizará de las siguientes formas en función del grupo de interés al que se dirija:

Personal y directivos de la organización

La distribución de la Política de Seguridad se realizará mediante correo electrónico o herramientas de mensajería oficiales de la organización.

Todas las personas de la Empresa tienen la obligación de conocer y cumplir esta política de seguridad de la información, así como de la documentación que la desarrolla en la medida que les afecte, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información les llegue.

Todas las personas de la Empresa atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año.

Las personas con responsabilidad en el uso, operación o administración de sistemas de información recibirán formación complementaria para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

Clientes, colaboradores, proveedores y restantes grupos de interés.

La Política de Seguridad se incluirá como un apartado de nuestra página web donde podrá consultarse actualizada en todo momento. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Dichos grupos estarán sujetos a las obligaciones establecidas en esta política, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Aprobación y entrada el vigor

Esta Política de Seguridad de la información es efectiva desde la fecha de aprobación y hasta que fuere reemplazada por una nueva.