POLÍTICA DE SEGURIDAD

Última revisión: 6 de septiembre de 2019

La Dirección de Genomcore, S.L., empresa propietaria de la marca comercial Made of Genes (en adelante, la “Empresa”), establece como fundamental y prioritaria la protección de sus activos de información para la correcta prestación de sus servicios en el contexto de la medicina personalizada y la gestión de datos sensibles. Consciente de la importancia de una buena gestión de la seguridad de la información para su negocio y la satisfacción del cliente y como parte de una estrategia orientada a la continuidad del negocio, la gestión de riesgos y la consolidación de una cultura de seguridad, la Empresa ha decidido diseñar e implementar un Sistema de Gestión de Seguridad de la Información (SGSI) aplicando las requisitos de la Norma UNE ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:201 y de sus partes interesadas.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sometidos sus activos de información, desarrollando e implementando un modelo de gestión de seguridad para evitar la pérdida, divulgación, modificación y utilización no autorizada de la información, ayudando así a reducir los costos operativos y financieros, garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio. Estos tienen como objetivo garantizar la seguridad de la información preservando su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran, su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información y su integridad, asegurando que la información se mantiene invariable y trazable.

La Política de Seguridad de la Información se encuentra soportada por un conjunto de políticas, normas y procedimientos que guían el correcto manejo de la información y que están fundamentadas en los objetivos de control de la norma internacional UNE ISO 27002:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019.

El desarrollo, mantenimiento y mejora continua del SGSI se apoyará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de La Empresa que participan en la prestación de sus servicios, incluyendo el almacenamiento, análisis y gestión de datos genéticos, información clínica y otra información privada altamente sensible. 

La Dirección de La Empresa se compromete a:

  • Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, y las acciones necesarias para su desarrollo.
  • Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas.
  • Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.
  • Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.
  • Cumplir con los requisitos asumidos por la Empresa, legales, reglamentarios, de cliente y las obligaciones contractuales de seguridad, especialmente en lo referido a la gestión y privacidad de los datos personales y genéticos de nuestros Clientes y Colaboradores.
  • Garantizar a cada Cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad propios de un sistema de gestión de información biomédica.
  • Promover la concienciación y garantizar formación en materia de seguridad de la información a todo el personal propio, así como a colaboradores externos implicados en el uso o la gestión de sistemas de la información.
  • Cuando los trabajadores incumplan las políticas de seguridad, aplicar medidas disciplinarias acordes al convenio de los trabajadores, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.
  • Aportar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Los objetivos de seguridad de la Empresa se agrupan entorno a los siguientes bloques de trabajo:

  • Protección de los ficheros y bases de datos: almacenes de datos personales incluyendo información genética y datos clínicos.
  • Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.
  • Protección de los repositorios de código fuente de los productos y servicios de la compañía.
  • Protección de las redes y canales de comunicación.
  • Protección de la infraestructura informática que soporta la organización, incluyendo instalaciones, edificios y estancias.
  • Protección de los recursos emplazados en la nube mediante proveedores de servicios especializados.
  • Protección de los activos pasivos de la compañía.
  • Garantizar la continuidad del negocio con planes de contingencia y redundancia a múltiples niveles.
  • Cumplimiento con los estándares legales y normativos.

 La dirección de la Empresa nombra al Responsable de Seguridad de la Información como responsable directo en el mantenimiento de esta política por brindar consejo y guía para su implementación.

Esta política aplica a todo el personal de la Empresa, así como a colaboradores y proveedores con los que trabajan conjuntamente.

La Política de Seguridad de la Información podrá ser revisada y modificada según disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas periódicamente. La presente política es comunicada a las partes interesadas con el fin de involucrarlos en la mejora continua del sistema.