Política de seguridad

Última modificación: 13 de Mayo de 2021

La Dirección de GENOMCORE S.L., empresa propietaria de la marca comercial MADE OF GENES (en adelante, la “Empresa”), establece como fundamental y prioritaria la protección de sus activos de información para la correcta prestación de sus servicios en el contexto de la salud personalizada y la gestión de datos biosanitarios. Consciente de la importancia de una buena gestión de la seguridad de la información para su negocio y la satisfacción del cliente y como parte de una estrategia orientada a la continuidad del negocio, la gestión de riesgos y la consolidación de una cultura de seguridad, la Empresa implementa un Sistema de Gestión de Seguridad de la Información (SGSI) aplicando los requisitos de la Norma UNE ISO/IEC 27001:2014, ISO/IEC 27017:2021, ISO/IEC 27018:2020 y de sus partes interesadas.

La Empresa reconoce la importancia de identificar y minimizar los riesgos a los que están sometidos sus activos de información, desarrollando e implementando un modelo de gestión de seguridad para evitar la pérdida, divulgación, modificación y utilización no autorizada de la información, tanto en sistemas locales como en la nube, ayudando así a reducir los costos operativos y financieros, garantizar el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio. Estos tienen como objetivo garantizar la seguridad de la información preservando su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran, su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información y su integridad, asegurando que la información se mantiene invariable y trazable, especialmente cuando se trate de datos personales y de naturaleza sensible.

La Política de Seguridad de la Información se encuentra soportada por un conjunto de políticas concretas, registros, controles y procedimientos que guían el correcto manejo, custodia y protección de la información y que están fundamentadas en los objetivos de control de la norma internacional UNE ISO 27002:2014, ISO/IEC 27017:2021, ISO/IEC 27018:2020. El desarrollo, mantenimiento y mejora continua del SGSI se apoyará en los resultados de un proceso de evaluación continua de los riesgos que actúan sobre los activos de información de La Empresa que participan en la prestación de sus servicios, incluyendo el almacenamiento, análisis y gestión de datos genéticos, información clínica y otra información personal altamente sensible. 

La Dirección de La Empresa se compromete a:

  1. Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, el uso y provisión de Servicios en la Nube, la gestión de los Datos Personales, así como las acciones necesarias para su desarrollo.

  2. Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas, incluyendo las específicas de servicios en la nube y la gestión de datos personales.

  3. Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.

  4. Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.

  5. Cumplir con los requisitos legales, reglamentarios y contractuales de seguridad asumidos por la Empresa, especialmente en lo referido a la gestión y privacidad de los datos personales y genéticos de nuestros clientes.

  6. Garantizar a cada cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad propios de un sistema de gestión de información biosanitaria.

  7. Promover la concienciación y garantizar formación en materia de seguridad de la información a todo el personal propio, así como a colaboradores externos implicados en el uso o la gestión de sistemas de la información.

  8. Cuando los trabajadores incumplan las políticas de seguridad, aplicar medidas disciplinarias acordes al convenio de los trabajadores, dentro del marco legal aplicable y dimensionadas al impacto que tengan en la organización.

  9. Implementar una política de desarrollo seguro que contemplen la gestión de cambios, requisitos de seguridad en el software y la calidad del código, tanto interno como externo.

  10. Aportar los recursos necesarios para garantizar la continuidad del negocio de la Empresa.

Los objetivos de seguridad de la Empresa se agrupan entorno a los siguientes bloques de trabajo:

  • Protección de los ficheros y bases de datos, ya sean de forma local o en la nube.

  • Protección de información privada incluyendo contraseñas, certificados y claves criptográficas.

  • Protección de los repositorios de código fuente de los productos y servicios de la compañía, así como su calidad.

  • Protección de la infraestructura informática que soporta la organización, incluyendo instalaciones, edificios y estancias.

  • Protección de los recursos virtuales en la nube, incluyendo la gestión de su ciclo de vida y controles de acceso requeridos.

  • Protección de los recursos y servicios emplazados en la nube mediante proveedores de servicios especializados.

  • Protección de las redes y canales de comunicación usados de forma interna o pública, de forma local y en la nube.

  • Protección de los activos pasivos de la compañía y de los datos de los usuarios de sus servicios, localmente y en la nube.

  • La investigación, regulación y conformidad de los proveedores de servicios, ya sean servicios físicos o en la nube.

  • La formación y supervisión continua de los empleados y colaboradores con acceso a sistemas de información.

  • La comunicación de los hecho relevantes, incluyendo brechas de seguridad, de los clientes de servicios locales y en la nube.

  • El soporte a la investigación de hechos relevantes, incluyendo brechas de seguridad, a los clientes, autoridades y partes afectadas.

  • Garantizar la continuidad del negocio mediante planes de contingencia y redundancia a múltiples niveles.

  • Cumplimiento con los estándares legales y normativos.

La dirección de la Empresa nombra al Responsable de Seguridad de la Información como responsable directo en el mantenimiento de esta política por brindar consejo y guía para su implementación, que puede ser contactado mediante la dirección de correo electrónico security@genomcore.com

Esta política aplica a todo el personal de la Empresa, así como a colaboradores y proveedores con responsabilidad sobre activos de la empresa, con el fin de mantener la confidencialidad, integridad y asegurar la disponibilidad de la información. Todos los usuarios tendrán la obligación de reportar los incidentes en materia de seguridad de la información utilizando las directrices establecidas por La Empresa.

Esta Política de Seguridad de la información podrá ser revisada y modificada según disponga el Comité de Seguridad de acuerdo con las necesidades de revisión establecidas periódicamente. La presente política es comunicada a las partes interesadas con el fin de involucrarlos en la mejora continua del sistema.

Scroll al inicio