Política de Seguridad de la Información (ENS)

Aprobación y entrada en vigor

Texto aprobado por la Gerencia de EUREKA FERTILITY, el 10 de marzo de 2026. Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

Introducción

EUREKA FERTILITY depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad —confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad— de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, en pliegos de licitación y en contratos para proyectos de TIC.

El personal debe estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.

Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

Respuesta

EUREKA FERTILITY deberá:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en la organización o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Recuperación

Para garantizar la disponibilidad de los servicios críticos, se desarrollarán planes de continuidad de los sistemas TIC como parte del plan general de continuidad de negocio y actividades de recuperación.

Alcance

Esta Política será de aplicación y de obligado cumplimiento para toda la organización EUREKA FERTILITY, a sus recursos y a los procesos afectados por el ENS, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Todos los miembros de EUREKA FERTILITY, afectados por el alcance del ENS, tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad correspondiente, siendo responsabilidad de EUREKA FERTILITY disponer los medios necesarios para que la información llegue al personal afectado.

Misión

La misión de EUREKA FERTILITY es proporcionar servicios especializados de marketing online y consultoría estratégica para el sector de la reproducción asistida, garantizando la máxima visibilidad y reputación de nuestros clientes.

Conscientes de la sensibilidad de la información que gestionamos —que afecta tanto a la propiedad intelectual de las clínicas como a la privacidad de los pacientes potenciales—, nuestra misión técnica es asegurar la confidencialidad, integridad y disponibilidad de todos los activos de información. Nos comprometemos a ofrecer un entorno digital seguro que proteja el flujo de datos entre las clínicas y sus pacientes, cumpliendo estrictamente con el Esquema Nacional de Seguridad (ENS) para proyectar una imagen de confianza, ética y excelencia en el ámbito de la salud reproductiva.

La Dirección de EUREKA FERTILITY, ha establecido en su organización un Sistema de Gestión de la Seguridad de la Información basado en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, atendiendo a los siguientes objetivos:

  • Garantizar la Confidencialidad en la captación de leads: Asegurar que los datos personales y de salud de pacientes potenciales, obtenidos a través de campañas de marketing y formularios online, sean accedidos únicamente por personal autorizado, evitando cualquier filtración que afecte a la intimidad de los usuarios.
  • Asegurar la Integridad de las estrategias de marketing: Proteger la información y activos digitales de nuestros clientes (clínicas de reproducción asistida) frente a modificaciones no autorizadas, garantizando que la publicidad y los contenidos publicados sean siempre veraces y alineados con la normativa sanitaria.
  • Mantener la Disponibilidad de los servicios digitales: Implementar medidas de seguridad que garanticen que las plataformas de captación y los sistemas de gestión de campañas estén operativos de forma continua, minimizando los tiempos de interrupción para no perjudicar la inversión de nuestros clientes.
  • Capacitación especializada en datos sensibles: Formar de manera continua a todo el equipo de marketing y soporte en las mejores prácticas de seguridad y en el tratamiento de “categorías especiales de datos”, asegurando que comprenden la responsabilidad legal y ética de manejar información del sector de la reproducción asistida.

Marco Normativo

El marco normativo en que se desarrollan las actividades de EUREKA FERTILITY, y en particular la prestación de sus servicios electrónicos a la ciudadanía, está integrado por las siguientes normas:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
  • Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la seguridad de la información. Requisitos. (ISO/IEC 27001:2022)
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia.
  • Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE)
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante RGPD).

Además de la normativa general de seguridad, EUREKA FERTILITY adapta sus procesos de seguridad de la información a los requisitos específicos del sector de la salud y la reproducción asistida, incluyendo:

  • Ley 14/2006 de Reproducción Humana Asistida: En lo relativo a la protección de la intimidad y anonimato de usuarios.
  • Ley 41/2002 de Autonomía del Paciente: Para la gestión segura de datos que puedan formar parte del historial clínico.
  • Normativa de Publicidad Sanitaria: Asegurando que los sistemas de información que soportan las campañas de marketing cumplen con los principios de ética y legalidad exigidos en el sector salud.
  • LSSI-CE 34/2002: Para la seguridad en las comunicaciones electrónicas y servicios de la sociedad de la información.

Comité de Seguridad de la Información

Responsable de la Información Natalia Álvarez Hernández
Responsable del Servicio Pedro Perles Roselló
Responsable de Seguridad Carlos González Bustos
Responsable de Sistemas Javier Sánchez-Moreno Giner

Roles: Funciones y Responsabilidades

Responsable de la Información

  • Establecer y aprobar los requisitos de seguridad aplicables al servicio dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, previa propuesta del Responsable de Seguridad y/o Comité de Seguridad de la Información.
  • Aceptar los niveles de riesgo residual que afecten al Servicio.
  • Aprobar la Política de Seguridad de la Información.
  • Efectuar las valoraciones a las que se refiere el artículo 40 del ENS (categorías de seguridad), así como, en su caso, su posterior modificación.
  • Recibir información sobre los incidentes y de las actuaciones realizadas para su resolución.
  • Determinación de los criterios para asignar y modificar a cada información el nivel de seguridad requerido, y será responsable de su documentación y aprobación formal.
  • Establecer los requisitos/niveles de la información en materia de seguridad teniendo en cuenta la Política de seguridad.
  • Asumir la responsabilidad última de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
  • Aprobar el Plan de continuidad de Negocio.
  • Aprobar el sistema de gestión de la información.
  • Aportar los recursos financieros para la Seguridad de la Información.

Responsable del Servicio

  • Establecer y aprobar los requisitos de seguridad aplicables al servicio dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, previa propuesta del Responsable de Seguridad y/o Comité de Seguridad de la Información.
  • Emprender y dirigir la política de seguridad de la información.
  • Aportar los recursos financieros para la Seguridad de la Información.
  • Efectuar las valoraciones a las que se refiere el artículo 40 (categorías de seguridad), así como, en su caso, su posterior modificación.
  • Ser informado de los incidentes y de las actuaciones llevadas a cabo para su resolución.
  • Establecer los requisitos/niveles del servicio en materia de seguridad teniendo en cuenta la Política de seguridad.

Responsable de Seguridad

  • La determinación de la categoría de seguridad del sistema, con base en las valoraciones de los Responsables de la Información y del Servicio.
  • Elaborar y aprobar la Declaración de Aplicabilidad, atendiendo a los requerimientos del Responsable de la Información y del Servicio.
  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas TIC en su ámbito de responsabilidad.
  • Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
  • Formalización y aprobación de las medidas seleccionadas del Anexo II en la Declaración de Aplicabilidad, incluyendo las medidas compensatorias o complementarias de vigilancia y su correspondencia con las medidas del Anexo II antes citado.
  • Comprobar que las medidas de seguridad de la información han sido adecuadamente implementadas por el Responsable del Sistema.
  • Análisis de los informes de Auditoría de primera, segunda o tercera parte que se refieran a los sistemas de su ámbito competencial, y presentación de sus conclusiones al Responsable del Sistema y, en su caso, al Comité de Seguridad de la Información.
  • Aprobación explícita de los cambios que impliquen un riesgo de nivel ALTO con carácter previo a su implantación protección de datos que sean fijados por el responsable o por el encargado del tratamiento, contando con el asesoramiento del DPD.
  • Participar en la elaboración y en la propuesta de la Política de Seguridad de la Información y los procedimientos, normativas e instrucciones en aplicación del ENS.
  • Analizar los riesgos antes del despliegue de los sistemas de inteligencia artificial en la entidad, atendiendo a las valoraciones del Responsable de la Información y del Servicio y, en su caso, del Delegado de Protección de Datos y supervisar su despliegue.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Cuando el sistema trate datos personales, el Responsable de la Seguridad recogerá los requisitos de protección de datos.
  • Realizar o promover las autoevaluaciones o auditorías periódicas que permitan verificar el cumplimiento del ENS.
  • En la gestión de los ciberincidentes, contando con los responsables de la entidad, de la información y de los servicios, calificará la peligrosidad de estos de acuerdo a la Guía CCN-STIC 817, actuando como punto de contacto con las autoridades competentes en materia de seguridad y, en función de los roles asignados en la Política podrá notificar los mismos, en su caso, al CCN-CERT. Cuando fuese precisa la notificación al CSIRT de referencia, esta deberá realizarse sin dilaciones indebidas y con carácter inmediato, sin perjuicio de la remisión de información ampliada de forma paulatina.
  • Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados.
  • Analizar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
  • Monitorizar el estado de seguridad del sistema, que podrá ser proporcionado por elementos específicos, tales como herramientas de gestión de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
  • Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.
  • Elaborar el informe periódico de seguridad para la alta dirección de la entidad, incluyendo los incidentes más relevantes del periodo.
  • El Responsable de la Seguridad colaborará con el Delegado de Protección de Datos de la Entidad en la gestión de los incidentes que afecten a datos personales y, en su caso, a la notificación a las autoridades de control y a las personas afectadas.

Responsable de Sistemas

  • Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
  • Elaborar los procedimientos operativos necesarios.
  • Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • Prestar al Responsable de Seguridad asesoramiento para la determinación de la Categoría del Sistema.
  • Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
  • Llevar a cabo las funciones del administrador de la seguridad del sistema:
    • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
    • Aprobar los cambios en la configuración vigente del Sistema de Información.
    • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
    • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
    • Dar de alta o baja los usuarios.
    • Llevar el registro de entrada y salida de soportes.

Procedimientos de Designación

La responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, siendo la responsabilidad última del Comité de Seguridad de la Información y de la Dirección como máximo Responsable del Sistema de gestión de seguridad de la información. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Política de Seguridad de la Información

Será misión del Comité de Seguridad TIC la revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Dirección de EUREKA FERTILITY y difundida para que la conozcan todas las partes afectadas.

Datos de Carácter Personal

EUREKA FERTILITY trata datos de carácter personal. El documento de seguridad COD. 105 REGISTROS DE LAS ACTIVIDADES DEL TRATAMIENTO, al que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes. Todos los sistemas de información de EUREKA FERTILITY se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad.

Gestión de Riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Desarrollo de la Política de Seguridad de la Información

Esta Política de Seguridad de la Información complementa las políticas de seguridad de EUREKA FERTILITY en diferentes materias:

  • POL-01 Políticas de Control de Accesos
  • POL-02 Política de Contraseñas
  • POL-03 Política de Uso aceptable de Activos
  • POL-04 Políticas de Controles Criptográficos
  • POL-05 Política de desarrollo
  • POL-06 Política de uso aceptable de servicios en la nube

La normativa de seguridad estará a disposición de todos los miembros de la EUREKA FERTILITY que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos.

La Política de Seguridad de la Información estará disponible en la página web de la organización.

Obligaciones del Personal

Todos los miembros de EUREKA FERTILITY tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados. Todos los miembros de EUREKA FERTILITY atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año.

Se establecerá un programa de concienciación continua para atender a todos los miembros de EUREKA FERTILITY, en particular a los de nueva incorporación. Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

Terceras Partes

Cuando EUREKA FERTILITY preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando EUREKA FERTILITY utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.