Register Now

Login

Lost Password

Enter your email to reset your password.

BY Author

Arquitectura y Medidas de Seguridad

INTRODUCCIÓN

Vítaly Health Services, S.L.U. implementa, opera y evoluciona un Sistema de Gestión de Seguridad de la Información para garantizar la seguridad lógica, física y operacional del tratamiento de la información de sus clientes en sus servicios de Prevención de Riesgos Laborales y Salud.

Esta política se ha definido y desarrollado tras procesos de análisis de riesgos de nuestras plataformas, de la infraestructura y de las aplicaciones, definiéndose sobre los requisitos del Reglamento Europeo de Protección de datos GDPR 2016/679 y la LOPD-GDD, otra legislación en el ámbito de PRL y Ley del Paciente, y los estándares ISO 27001:2022 y Esquema Nacional de Seguridad, y establece como principal objetivo de Seguridad en sus Sistemas, las siguientes bases sobre las aplicaciones externas y aquellas internas necesarias para su funcionamiento:

  • Disponibilidad: Para asegurar que todas las personas autorizados y procesos tengan acceso a la información cuando lo requieran.
  • Integridad: Para preservar la veracidad, completitud de la información y los métodos de procesamiento.
  • Confidencialidad: Para asegurar que a la información sólo pueda ser accesible a las personas y procesos que cuenten con la autorización o con los permisos respectivos.
  • Trazabilidad. Para asegurar que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad. 
  • Autenticidad. Necesario para asegurar que la entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Y los principios básicos que Vítaly Health Services sigue para proteger la información y la Infraestructura se basan en el framework NIST y en las buenas prácticas de ISO 27001:2022:

  • Identificación
  • Prevención
  • Detección
  • Respuesta
  • Conservación

Con el objetivo de informar a nuestros Clientes, Vítaly Health Services presenta en este documento un resumen de la arquitectura de los Sistemas de Información, así como de las medidas de seguridad implantadas.

NUESTRO COMPROMISO CON LA SEGURIDAD DE LA INFORMACIÓN

La protección de los datos de nuestros clientes es nuestra máxima prioridad. Para ello, hemos construido un sólido ecosistema de seguridad basado en principios reconocidos internacionalmente y en una estrategia de mejora continua. Nuestro marco de trabajo está diseñado para garantizar la seguridad del tratamiento en línea con el Reglamento General de Protección de Datos (RGPD).

1. Una Filosofía de Seguridad Robusta

Nuestra estrategia se fundamenta en un conjunto de principios que garantizan la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios, creando una defensa sólida y adaptable:

  • Defensa en Profundidad: Implementamos múltiples capas de seguridad. Si una de ellas es superada, las siguientes están preparadas para detectar y detener la amenaza.
  • Confianza Cero: Partimos de la base de “nunca confiar, siempre verificar”. Antes de conceder acceso a cualquier recurso, verificamos rigurosamente la identidad y el contexto de seguridad.
  • Seguridad por Diseño: La seguridad es un ingrediente fundamental desde la concepción de cualquiera de nuestros sistemas o aplicaciones.
  • Mínimo Privilegio: Los usuarios y sistemas solo reciben los permisos estrictamente necesarios para realizar sus funciones, lo que limita enormemente el daño potencial en caso de un incidente.
  • Soberanía del Dato: Para garantizar el máximo nivel de protección y cumplimiento, todos nuestros datos y sistemas principales se alojan en centros de datos de alta seguridad ubicados exclusivamente dentro de la Unión Europea.

2. PROTECCIÓN DE NUESTRA INFRAESTRUCTURA Y SISTEMAS

Mantenemos una vigilancia constante sobre toda nuestra infraestructura para protegerla de amenazas externas e internas:

  • Protección de Redes y Aplicaciones: Contamos con sistemas avanzados que inspeccionan el tráfico de red para filtrar y bloquear ataques comunes y sofisticados antes de que lleguen a nuestras aplicaciones.
  • Seguridad en los Dispositivos: Tanto los equipos de nuestros empleados como nuestros servidores están equipados con soluciones de protección de última generación para prevenir, detectar y responder activamente a amenazas.
  • Gestión y Actualización Constante: Todos los dispositivos corporativos son gestionados de forma centralizada para garantizar que siempre estén actualizados con los últimos parches de seguridad.
  • Capacidad de Recuperación: Hemos implementado las medidas necesarias para poder restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

3. GESTIÓN SEGURA DE LA IDENTIDAD Y EL ACCESO

El acceso a la información se controla de manera estricta y se basa en la identidad verificada de cada usuario.

3.1 Acceso Usuarios Internos:

  • Autenticación Reforzada: Promovemos el uso de la Autenticación Multifactor (MFA) como una capa de seguridad esencial, aplicándola de forma obligatoria para el acceso a los sistemas y datos de mayor criticidad, reforzando así la seguridad más allá de la simple contraseña.
  • Acceso de Confianza Cero: Que proporciona acceso granular y seguro a aplicaciones específicas, eliminando la exposición de la red interna en el acceso de usuarios.

3.2 Acceso Usuarios Externos:

  • Autenticación Reforzada: Ponemos a disposición de nuestros Clientes la Autenticación Multifactor (MFA) como medida de seguridad avanzada para el acceso a su información. Para facilitar una gestión autónoma, los usuarios con privilegios de administración de cada Cliente pueden configurar directamente en la plataforma tanto la obligatoriedad del MFA para los usuarios de su organización como la política de caducidad de contraseñas.
  • Acceso Seguro y Aislado: Proporcionamos a nuestros usuarios acceso seguro y directo a las aplicaciones que necesitan, sin exponer nuestra red interna, lo que reduce significativamente la superficie de ataque.

4. SEGURIDAD EN EL DESARROLLO Y LOS DATOS

La protección está integrada en el ciclo de vida de nuestros datos y aplicaciones:

  • Seudonimización y Cifrado de Datos: Toda la información sensible se protege mediante técnicas de cifrado de datos personales, tanto cuando está almacenada en nuestros sistemas (cifrado en reposo) como cuando viaja a través de la red (cifrado en tránsito). Cuando es posible, aplicamos también medidas de seudonimización.
  • Desarrollo Seguro: Integramos revisiones y análisis de seguridad automáticos durante todo el proceso de desarrollo de software para identificar y corregir vulnerabilidades desde el inicio.

5. GOBERNANZA, CUMPLIMIENTO Y MEJORA CONTINUA

Nuestro compromiso con la seguridad se formaliza y se verifica constantemente:

  • Evaluación y Verificación Continua: Disponemos de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, tal y como exige el RGPD.
  • Alineados con los Mejores Estándares: Nuestro sistema de gestión de seguridad sigue las directrices de normativas de prestigio como ISO/IEC 27001 y el Esquema Nacional de Seguridad (ENS).
  • Auditorías Periódicas: Sometemos nuestras medidas de seguridad a auditorías, tanto internas como externas, para asegurar su eficacia y fomentar un ciclo de mejora continua.

La documentación pública disponible proporciona el detalle necesario para la evaluación de la idoneidad de nuestras medidas técnicas y organizativas, en cumplimiento con el artículo 32 del RGPD. 

Para aquellos clientes y responsables de tratamiento que necesiten información más específica sobre las medidas de seguridad implantadas en nuestros Sistemas de Información, su intercambio se realizará a través de procedimientos formales, y siempre bajo un Acuerdo de Confidencialidad (NDA).

Posted by