Política de Seguridad de la Información

1. Introducción

La presente Política de Seguridad de la Información establece el compromiso de SANUSHEALTH TECH SOLUTIONS S.L. con la protección de la información y los activos de información frente a accesos no autorizados, divulgación, alteración o destrucción. Esta política se aplica a todo el personal, contratistas y terceros que traten información en nombre de la entidad.

2. Ámbito y alcance

Esta política cubre todos los sistemas de información, datos, infraestructuras, aplicaciones, dispositivos y procedimientos usados por SANUSHEALTH TECH SOLUTIONS S.L., tanto en entornos internos como externos (nube, centros de datos, proveedores).

3. Principios de seguridad

Los principios que rigen la seguridad de la información en SANUSHEALTH TECH SOLUTIONS S.L. son:

• Confidencialidad: la información sólo será accesible por personas autorizadas.
• Integridad: se mantendrá la exactitud y completitud de la información y sus procesos.
• Disponibilidad: los servicios y sistemas estarán disponibles cuando sean necesarios.
• Autenticidad y trazabilidad: se garantizará la correcta identificación de usuarios y el registro de acciones relevantes.
• Cumplimiento normativo: se cumplirá la normativa aplicable, incluyendo el Esquema Nacional de Seguridad (ENS) y la protección de datos.

4. Responsabilidades

La Dirección: define la política, facilita recursos y promueve la mejora continua del sistema de gestión de seguridad.

Responsable de Seguridad / Responsable TIC: coordina la aplicación de controles técnicos y organiza auditorías y revisiones.

Personal y terceros: deben conocer y cumplir las políticas, procedimientos y medidas de seguridad establecidas.

5. Medidas y controles

Para materializar los principios de seguridad, SANUSHEALTH TECH SOLUTIONS S.L. implementa medidas técnicas y organizativas que incluyen, pero no se limitan a:

• Clasificación de la información según niveles de sensibilidad.
• Control de accesos basado en el principio de mínimos privilegios.
• Cifrado de datos en tránsito y en reposo cuando proceda.
• Gestión de identidades y autenticación robusta (por ejemplo, MFA cuando se requiera).
• Registro, monitorización y preservación de trazas de auditoría.
• Copias de seguridad y planes de recuperación ante incidentes y continuidad de negocio.
• Evaluaciones periódicas de vulnerabilidades y pruebas (pentesting) cuando proceda.
• Gestión de parches y actualizaciones de software y firmware.

6. Gestión de incidentes

Se dispone de procedimientos para la detección, notificación, tratamiento y análisis de incidentes de seguridad. Todo incidente deberá ser comunicado al Responsable de Seguridad a la mayor brevedad posible a través del canal interno habilitado.

En caso de afectación de datos personales, se seguirá el procedimiento de notificación a la Agencia Española de Protección de Datos (AEPD) y a los interesados si procede, conforme al Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD.

7. Formación y concienciación

SANUSHEALTH TECH SOLUTIONS S.L. impartirá formación periódica en seguridad de la información y campañas de concienciación para todo el personal, con especial énfasis en buenas prácticas, phishing y protección de credenciales.

8. Revisión y mejora continua

La política, los controles y los procedimientos serán revisados periódicamente, y tras incidentes relevantes, para garantizar su eficacia y adecuación. Se realizarán auditorías internas y, cuando proceda, auditorías externas.

9. Cumplimiento del Esquema Nacional de Seguridad (ENS)

SANUSHEALTH TECH SOLUTIONS S.L. se compromete a cumplir los principios y requisitos del Esquema Nacional de Seguridad (ENS), conforme al Real Decreto 311/2022, de 3 de mayo, y normativa relacionada. Esto incluye la implantación de controles en función del nivel de seguridad (bajo, medio o alto) aplicable a los sistemas y servicios gestionados.

Entre las acciones específicas relacionadas con el ENS se incluyen:

• Análisis de riesgos adaptado al ENS y clasificación de sistemas según su impacto.
• Documentación de medidas de seguridad y responsabilidades.
• Adecuación de los procedimientos de contratación y relación con proveedores para garantizar requisitos de seguridad.
• Planes de continuidad y recuperación que cumplan los requisitos del ENS.

10. Relación con la Protección de Datos

Las medidas de seguridad descritas complementan y se integran con la Política de Privacidad de la entidad, garantizando el cumplimiento del RGPD y la LOPDGDD. Para más detalle sobre el tratamiento de datos personales consulte la Política de Privacidad.

11. Contacto