TiendaIniciar sesión
Made of Genes
Hablemos

Política de Seguridad

Última actualización: 22 de enero de 2026

Misión y Objetivos

Made of Genes S.L. ("Empresa") tiene como objetivo prestar servicios avanzados de salud personalizada y gestión de datos de bio-salud, protegiendo los datos personales y genéticos de sus clientes. La Empresa se compromete con la innovación continua mediante el uso de tecnologías de vanguardia para garantizar la calidad y la seguridad del servicio.

La organización reconoce la importancia de identificar y minimizar los riesgos sobre los activos de información, desarrollando un Sistema de Gestión de Seguridad de la Información (SGSI) que aplica y monitoriza controles que previenen la pérdida, divulgación, modificación y uso no autorizado de la información, tanto en entornos locales como en la nube.

Estos controles tienen como objetivo garantizar la seguridad de la información preservando la confidencialidad, integridad, trazabilidad, disponibilidad y autenticidad, especialmente en lo relativo a datos personales y sensibles.

Marco Legal y Normativo

La Empresa opera dentro de un marco legal integral que incluye:

  • Estándares Internacionales: ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019
  • Normativa Nacional: Real Decreto 311/2022 - Esquema Nacional de Seguridad
  • Protección de Datos: Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679; Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) - Ley Orgánica 3/2018; LSSI - Ley 34/2002
  • Sector Sanitario: Ley 14/2007 de Investigación Biomédica; Ley 41/2002 sobre autonomía del paciente, derechos y obligaciones en materia de información y documentación clínica
  • Los registros normativos completos están disponibles bajo solicitud específica.

Roles y Funciones de Seguridad

Dirección de la Empresa

La Dirección y el Director General se comprometen a:

  1. Establecer periódicamente los objetivos de Seguridad de la Información, uso de servicios en la nube y gestión de datos personales, con las acciones necesarias para su consecución
  2. Realizar un análisis sistemático de riesgos evaluando impactos y amenazas, incluyendo los riesgos específicos de la nube y la gestión de datos personales
  3. Implementar acciones que reduzcan los riesgos identificados como inaceptables conforme a los criterios del Comité de Seguridad
  4. Implementar los controles y métodos de seguimiento necesarios
  5. Cumplir con los requisitos legales, normativos y contractuales de seguridad en materia de gestión de datos personales y genéticos
  6. Garantizar a los clientes que su información es tratada conforme a los fundamentos de confidencialidad, integridad y disponibilidad de la gestión de información de bio-salud
  7. Promover la concienciación y la formación en seguridad de la información para el personal y los colaboradores externos
  8. Aplicar medidas disciplinarias ante el incumplimiento de las políticas, de conformidad con los acuerdos laborales y los marcos legales aplicables
  9. Implementar la política de desarrollo seguro, incluyendo la gestión de cambios, los requisitos de seguridad del software y la calidad del código
  10. Proporcionar los recursos necesarios para garantizar la continuidad del negocio

Responsabilidades Adicionales de la Dirección

Responsabilidades Adicionales de la Dirección:

  • Coordinación estratégica de las acciones de seguridad de la información
  • Incorporación de las políticas de seguridad en la estrategia de la empresa
  • Provisión de recursos a los responsables técnicos
  • Garantía del cumplimiento normativo
  • Transmisión y facilitación de la implementación transversal de las políticas
  • Revisión anual del SGSI y aprobación de las políticas de seguridad
  • Actuación como Director de Información interino cuando sea necesario

Director de Tecnología (CTO) / Responsable de Servicio

El CTO, designado por la Dirección, es responsable de:

  • Definir los requisitos y el alcance del desarrollo tecnológico
  • Incorporar la seguridad de la información en los desarrollos tecnológicos
  • Establecer y monitorizar los indicadores de funcionamiento del sistema
  • Trasladar las medidas de seguridad definidas a los equipos de desarrollo
  • Comunicar los incidentes de Seguridad de la Información al Responsable de Seguridad
  • Implementar la política de Desarrollo Seguro y evaluar la Calidad del Software
  • Auditar la diligencia debida en materia de seguridad del personal técnico

Responsable de Seguridad de la Información (RSI)

El RSI es responsable de:

  • Gestionar los incidentes del SGSI notificados
  • Convocar y presidir las reuniones del Comité de Seguridad
  • Recibir y gestionar las comunicaciones de clientes y usuarios relativas a la seguridad
  • Coordinar regularmente las auditorías del SGSI con el RSIS
  • Auditar la diligencia debida en materia de seguridad del CTO

Director de Seguridad de la Información (CISO) / Responsable de Seguridad de la Información

El CISO es responsable de:

  • Definir y supervisar la aplicación de la Política de Seguridad en todos los departamentos
  • Garantizar la Confidencialidad, Trazabilidad, Autenticidad, Integridad y Disponibilidad de los Servicios y Activos de Información
  • Coordinar transversalmente las acciones técnicas
  • Definir y supervisar los procesos de integración y transferencia de datos con terceros
  • Definir y supervisar los proyectos de explotación de la información
  • Monitorizar los cambios en los servicios de los proveedores de nube
  • Actuar como Responsable de la Información

Administrador de Sistemas (AS) / Responsable de Sistemas

El AS es responsable de:

  • Configurar las herramientas de gestión de identidades y permisos
  • Gestionar los dispositivos de punto final (endpoints)
  • Monitorizar los eventos del SIEM relevantes para la seguridad
  • Proporcionar soporte a los usuarios en materia de Seguridad de la Información

Delegado de Protección de Datos (DPD)

El DPD es responsable de:

  • Garantizar el cumplimiento de la normativa de Protección de Datos Personales en todos los procesos de la empresa
  • Recibir y gestionar las comunicaciones de clientes y usuarios sobre el tratamiento de sus datos personales
  • Comunicarse con las autoridades competentes en relación con las brechas de datos personales

Responsable del Sistema de Seguridad de la Información (RSIS)

El RSIS (designado como QARA Lead) es responsable de:

  • Coordinar la integración de los requisitos de seguridad de la información dentro de los sistemas de gestión de calidad
  • Identificar y evaluar los riesgos de seguridad en los procesos relacionados con la calidad y la regulación
  • Coordinar las auditorías internas y externas con el RSI para el cumplimiento normativo
  • Coordinar la implementación de controles de seguridad en productos y servicios
  • Asesorar a los equipos sobre buenas prácticas de seguridad en materia de calidad y regulación

Usuarios de la Información

Los Usuarios de la Información — incluyendo clientes, proveedores, empleados y partes interesadas — deben cumplir con las políticas de seguridad establecidas, notificar los incidentes de seguridad y proteger la información conforme a las directrices de la Empresa recogidas en los Términos y Condiciones aplicables.

Procedimiento de Nombramiento y Renovación

Los miembros del Comité de Seguridad y los roles definidos en la política son nombrados por la dirección ejecutiva y quedan recogidos en actas de reunión aprobadas formalmente y en el documento de Definición de Roles y Responsabilidades. La comunicación se realiza a través de correo electrónico, reuniones o aplicaciones de mensajería.

Los nombramientos se revisan cada 2 años o cuando los puestos queden vacantes. La Dirección podrá asignar múltiples roles a una misma persona conforme a los requisitos del ENS, consultando la guía CCN-STIC-801.

Comité de Seguridad

El Comité de Seguridad actúa como órgano general de gestión de la seguridad de la información. El Responsable de Seguridad de la Información ejerce como secretario, definiendo las medidas necesarias derivadas de los acuerdos del Comité. Las reuniones ordinarias se celebran mensualmente (excepto agosto y diciembre), con un mínimo de 10 reuniones anuales.

Se constituye un Comité Permanente de 4 personas. Las reuniones del Comité requieren la presencia de al menos 2 asistentes, incluido el Responsable de Seguridad de la Información, quien presenta los puntos del orden del día y la información relevante.

Miembros Permanentes

  • Director General
  • Director de Seguridad de la Información (CISO) / Responsable de Seguridad de la Información
  • Director de Tecnología (CTO)
  • Administrador de Sistemas
  • Responsable del Sistema de Seguridad de la Información

Miembros No Permanentes

  • Delegado de Protección de Datos (DPD)
  • Administración y Asuntos Generales

Funciones Principales del Comité

  • Identificar, revisar y aprobar riesgos
  • Revisar y aprobar políticas y protocolos de seguridad
  • Aprobar medidas correctoras de mitigación de riesgos
  • Revisar incidentes
  • Proponer mejoras
  • Distribuir información relacionada con la seguridad
  • Diseñar e implementar formación en seguridad para los empleados

Resolución de Conflictos

Los conflictos se resuelven conforme a la jerarquía organizativa, recayendo la responsabilidad última en la Dirección.

Principios y Objetivos de Seguridad

La Política de Seguridad de la Información se sustenta en políticas, registros, controles y procedimientos específicos que orientan el tratamiento y la protección de la información, basándose en los objetivos de control de ISO 27001, ISO 27017 e ISO 27018, así como en los controles aplicables del Real Decreto 311/2022. El desarrollo del SGSI se apoya en la evaluación continua de los riesgos sobre los activos de información en los siguientes ámbitos:

  • Protección de ficheros y bases de datos (local y en la nube)
  • Protección de información privada (contraseñas, certificados, claves criptográficas)
  • Protección del repositorio de código fuente de los productos y servicios de la empresa y su calidad
  • Protección de la infraestructura TI (instalaciones, edificios, salas)
  • Protección de recursos virtuales en la nube, incluyendo la gestión del ciclo de vida y los controles de acceso
  • Protección de servicios en la nube mediante proveedores especializados
  • Protección de redes y canales de comunicación (internos, públicos, locales, en la nube)
  • Protección de activos pasivos de la empresa y datos de usuarios (local y en la nube)
  • Verificación, regulación y cumplimiento de los proveedores de servicios (físico y en la nube)
  • Formación y supervisión continua de empleados y colaboradores
  • Comunicación de hechos relevantes, incluyendo brechas de seguridad, a clientes en entornos locales y en la nube
  • Apoyo a la investigación de eventos relevantes, incluidas las brechas de seguridad
  • Continuidad del negocio mediante planes de contingencia y redundancia multinivel
  • Cumplimiento de los estándares legales y normativos aplicables

Otras Políticas de Seguridad de la Información

La Empresa desarrolla esta política mediante subpolíticas:

  • Política de Seguridad de Aplicaciones
  • Política de Credenciales
  • Política de Control de Código y Desarrollo Seguro
  • Política de Gestión de Incidentes y Eventos de Seguridad
  • Política de Gestión de la Continuidad
  • Política de Seguridad del Centro de Trabajo
  • Política de Seguridad del Personal
  • Política de Proveedores de Servicios Tecnológicos
  • Política de Cuentas de Usuario (Clientes)
  • Política de Cuentas de Usuario (Empleados)
  • Política de Criptografía y Comunicaciones Secretas
  • Política de Administración de Sistemas TI (Servidores)
  • Política de Copias de Seguridad
  • Política de Acceso Remoto y Teletrabajo
  • Política de Equipos Personales y Medios Extraíbles
  • Definición de grupos de interés e inteligencia de seguridad
  • Compartición de credenciales
  • Centro de datos
  • Diseño y desarrollo
  • Verificación y validación de software

Las subpolíticas aplicables están disponibles bajo solicitud previa con acuerdos de confidencialidad.

Tratamiento de Datos Personales

La Empresa dispone de un Registro de Actividades de Tratamiento y una Evaluación de Impacto sobre Datos Personales, disponibles bajo solicitud con acuerdos de confidencialidad, cuando el acceso sea relevante y esté justificado.

Los usuarios pueden consultar los detalles del tratamiento de Datos Personales — en relación con la Empresa en calidad de Responsable del Tratamiento y Encargado del Tratamiento — en las Condiciones Generales del servicio.

Punto de Contacto

Las partes interesadas pueden contactar con el Responsable de Seguridad u otros miembros permanentes del Comité Permanente a través de security@madeofgenes.com.

Aplicación y Modificación

Esta política es de aplicación a todo el personal de la Empresa y a los colaboradores/proveedores con responsabilidad sobre activos, manteniendo la confidencialidad, trazabilidad, autenticidad, integridad y disponibilidad de la información. Todos los usuarios deben notificar los incidentes de seguridad de la información conforme a las directrices establecidas por la Empresa o a través del Punto de Contacto.

El Comité de Seguridad podrá revisar y modificar esta política conforme a las necesidades de revisión establecidas.

Distribución de la Política y Obligaciones

Personal y Responsables de la Organización

La distribución se realiza mediante correo electrónico o las herramientas de mensajería organizativa oficiales. Todos los miembros de la organización deben conocer y cumplir esta política de seguridad y la documentación relacionada que les afecte. El Comité de Seguridad garantiza que la información llegue a sus destinatarios.

Todo el personal de la Empresa asiste anualmente a sesiones de concienciación en seguridad de las TI. Aquellos con responsabilidad en el uso, operación o administración de sistemas reciben formación adicional sobre el uso seguro de los mismos.

Clientes, Colaboradores, Proveedores y Otras Partes Interesadas

La Política de Seguridad se publica en el sitio web para su consulta y actualización. Se establecen canales de notificación y coordinación con los respectivos Comités de Seguridad de la Información, junto con procedimientos de respuesta a incidentes de seguridad.

Estos grupos deben cumplir con las obligaciones establecidas en la política y podrán desarrollar procedimientos operativos para su cumplimiento.

Aprobación y Entrada en Vigor

Esta Política de Seguridad de la Información es efectiva desde su aprobación hasta que sea sustituida por una nueva versión.