NaturalSoft surge a finales de los años 70, en el mismo albor de la era de las Tecnologías de la Información y la Comunicación, participando en el desarrollo informático de cada una de las áreas que componen un centro hospitalario en Granada. Desde entonces, la empresa no ha hecho más que crecer, innovar y desarrollar nuevas soluciones que han ido implantándose de forma exitosa en centros hospitalarios y consultas médicas privadas de Europa, África y América.

La empresa cuenta además con el asesoramiento de los mejores médicos especialistas. De hecho, parte de nuestro éxito radica en haber sabido aunar la experiencia y necesidades de dichos profesionales con las necesidades administrativas y requisitos normativos de hoy día.

En NaturalSoft contamos con un amplio elenco de programadores altamente cualificados volcados con la creación de productos fáciles de usar que agilicen la atención al paciente y el trabajo administrativo. Soluciones de software que permiten además que toda la información
relativa a la gestión de la clínica, así como la relativa al historial clínico del paciente sea accesible en tiempo real desde cualquier dispositivo y lugar con conexión a Internet.

NaturalSoft está comprometido con seguir las mejores prácticas de seguridad para proteger los activos más importantes de los hospitales y centros médicos; la información de los pacientes, profesionales y su imagen corporativa, asegurando la confidencialidad la integridad, la
autenticidad y la trazabilidad de la información, así como de la disponibilidad de los servicios que se prestan a los clientes, de conformidad con los estándares internacionales para facilitar los siguientes objetivos:

1. Proteger los activos de información de entidad, frente a amenazas, internas y o externas, deliberadas o accidentales, como: accesos no autorizados, modificaciones no autorizadas pérdidas de información, ataques informáticos, virus, etc.
2. Reducir los riesgos de errores humanos, de irregularidades, de fraude, de uso inadecuado y manejo no autorizado de la información.
3. Mejorar continuamente la seguridad de la información de la entidad mediante la realización periódica de un análisis de riesgos que permita conocer y actualizar las amenazas y riesgos de los activos de información, para poder fortalecer los controles de seguridad implantados y o implementar nuevos controles.
4. Gestionar de forma eficiente, eficaz y efectiva, los incidentes de seguridad para asegurar la prestación adecuada de los servicios y la continuidad del negocio.
5. Asegurar que todo el personal conozca las principales amenazas y riesgos en materia de seguridad de la información.
6. Acatar los requerimientos legislativos y regulatorios en materia de seguridad de la información

NaturalSoft medirá el cumplimiento de todos los objetivos. El CTO es el responsable de definir el método para medir el cumplimiento de los objetivos; la medición se realizará al menos al menos una vez al año y el CTO analizará y evaluará los resultados y los reportará a CEO como material para la revisión por la Dirección. CTO es responsable de registrar los detalles sobre los métodos de medición, periodicidades y resultados en el Informe de Medición.

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

Para el cumplimiento de la Política de Seguridad de la Información de NaturalSoft se ha establecido un sistema de gestión de seguridad de la información (en adelante, SGSI), de acuerdo con la norma UNE-EN ISO/IEC 27001:2017 que da cobertura, de forma adecuada, a todos los requisitos necesarios para garantizar la confidencialidad, la integridad, la autenticidad y la trazabilidad de la información, así como de la disponibilidad de los servicios que se prestan a los clientes.

Mediante el presente documento, NATURALSOFT ha tomado las siguientes decisiones con el objetivo de implantar y mantener el SGSI.

Estas normas son de obligado cumplimiento para todos los miembros de NaturalSoft: personas en plantilla, estudiantes en prácticas, personal externo, colaboradores, etc.

Confidencialidad y deber de secreto.

Todo el personal, en el marco de la relación laboral o de la prestación de servicios que le une con NATURALSOFT, se compromete a:

1. No revelar a ninguna persona ajena a NATURALSOFT sin el consentimiento de esta, la información referente a la que haya tenido acceso durante el desempeño de sus funciones en la entidad, excepto en el caso de que ello sea necesario para dar debido cumplimiento a obligaciones del abajo firmante o de la entidad, impuestas por leyes o normas que resulten de aplicación, o sea requerido para ello por mandato de la autoridad competente con arreglo a Derecho.
2. Utilizar la información que alude el apartado anterior únicamente en la forma que exija el desempeño de sus funciones en NATURALSOFT y no disponer de ella de ninguna otra forma o con otra finalidad.
3. No utilizar de ninguna forma cualquier otra información que hubiese podido obtener prevaliéndose de su condición de empleado o colaborador y que no fuera necesaria para el desempeño de sus funciones en NATURALSOFT.
4. Cumplir, en el desarrollo de sus funciones en la entidad NATURALSOFT, la normativa vigente, relativa a la protección de datos de carácter personal y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
   y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
5. Cumplir los compromisos anteriores incluso después de extinguida, por cualquier causa, la relación laboral o de prestación de servicios que le une con NATURALSOFT.

Las siguientes medidas de seguridad son de obligado cumplimiento para todo el personal de NATURALSOFT en relación con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en cuyo artículo 32 se dispone que:

• El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
• El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo detectado teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
• Las sanciones por incumplimiento de las estipulaciones del Reglamento pueden acarrear la imposición de sanciones de hasta 20 millones euros o el 4% de la facturación bruta mundial.

Uso aceptable de los activos de información

Los activos de información solamente pueden ser utilizados a fines de satisfacer necesidades de negocios con el objetivo de ejecutar tareas vinculadas con la organización.

Responsabilidad sobre los activos.

Cada activo de información tiene designado un propietario en el Inventario de activos. El propietario del activo es el responsable de la confidencialidad, integridad y disponibilidad de la información en el activo en cuestión.

Actividades prohibidas

Está prohibido utilizar los activos de información de manera tal, que ocupen innecesariamente capacidad de almacenamiento, que disminuya el rendimiento del sistema de información o que presente una amenaza de seguridad. También está prohibido:

• Descargar archivos de imágenes o vídeos que no tienen objetivos de negocios, enviar cadenas de correos electrónicos, jugar juegos, utilizar redes sociales para su uso personal, etc.
• Instalar software en un ordenador local sin el permiso explícito del CIO.
• Utilizar aplicaciones (Ej: Flash, Java, controles Active X y otros códigos móviles), excepto cuando esté autorizado por el CIO.
• Utilizar herramientas criptográficas (encriptado) sobre ordenadores locales, excepto en los casos especificados en la Política de Clasificación de la Información.
• Descargar códigos de programa de soportes externos.
• Instalar o utilizar dispositivos periféricos como módems, tarjetas de memoria u otros dispositivos para almacenamiento y lectura de datos (por ej., dispositivos USB) sin el permiso explícito del CIO; el uso en conformidad con la Política de Clasificación de la Información está permitido.

Devolución de activos a la finalización de un contrato

Al finalizar un contrato de empleo, o de otro tipo, a raíz del cual se utilizan diversos equipos, software o información en formato electrónico o papel, el usuario debe devolver todos esos activos de información al CIO.

Copias de seguridad

El usuario debe realizar una copia de seguridad de toda la información sensible almacenada en su ordenador, como mínimo, una vez por día.

Protección antivirus

En cada ordenador debe estar instalado un software de protección de antivirus para la protección de amenazas y ciber incidentes aprobados por el CIO.

Facultados para el uso de sistemas de información

Los usuarios de los sistemas de información solamente pueden acceder a los activos de sistemas de información para los cuales han sido explícitamente autorizados por el propietario del activo.

Los usuarios pueden utilizar los sistemas de información únicamente para las actividades para las cuales han sido autorizados; es decir, para las cuales les han sido otorgados derechos de acceso.

Los usuarios no deben participar en actividades que puedan ser utilizadas para eludir controles de seguridad de los sistemas de información.

Responsabilidades sobre la cuenta de usuario

El usuario no debe, directa ni indirectamente, permitir que otra persona utilice sus derechos de acceso; es decir, su nombre de usuario; y no debe utilizar el nombre de
usuario y/o clave de otra persona.

El propietario de la cuenta de usuario es su usuario, que es responsable de su uso y de todas las transacciones realizadas con dicha cuenta de usuario. El propietario es el
encargado de la protección de la cuenta de usuario, y responsable cualquier actividad potencialmente maliciosa.

Responsabilidades sobre la contraseña

Los usuarios deben aplicar buenas prácticas de seguridad en cuanto a la elección y uso de claves:

• No se deben revelar las claves a otras personas, incluyendo la gerencia y los administradores del sistema.
• No se debe llevar un registro de las claves, a menos que un método seguro haya sido aprobado por CIO.
• Las claves generadas por el usuario no deben ser distribuidas por ningún medio (oral, escrito, electrónico, etc.).
• Las claves deben ser cambiadas si existen indicios de que puedan estar en riesgo las mismas claves o el sistema (en ese caso, se debe informar un
  incidente de seguridad).
• Se deben escoger claves seguras de la siguiente forma:
  • utilizando al menos doce caracteres;
  • utilizando al menos un carácter numérico;
  • utilizando al menos un carácter alfabético en mayúscula y uno en minúscula;
  • utilizando al menos un carácter especial;
  • una clave no debe ser una palabra que se encuentre en el diccionario, en un dialecto o jerga de ningún idioma; como tampoco ninguna de estas palabras escritas hacia atrás;
  • las claves no deben estar relacionadas con datos personales (por ej., fecha de nacimiento, domicilio, nombre de un familiar, etc.);
  • no se deben reutilizar claves anteriores.
• Las contraseñas se cambian cada 3 meses.
• Se cambian las contraseñas en el primer registro al sistema.
• Las contraseñas no se almacenan en un sistema de registro automatizado (por ej., macros o explorador).
• Las contraseñas no se almacenan en texto plano, de forma que sea accesible mediante una exploración de los archivos del SGSI.
• No se deben utilizar las mismas contraseñas personales para fines privados y para fines comerciales.

• El CIO facilita un gestor de contraseñas para garantizar la protección de las contraseñas más sensibles.

Política de escritorio limpio

Si la persona autorizada no se encuentra en su puesto de trabajo, todos los documentos impresos, como también los soportes de almacenamiento de datos, etiquetados como
sensibles, deben ser retirados del escritorio o de otros lugares (impresoras, equipos de fax, fotocopiadoras, etc.) para evitar el acceso no autorizado a los mismos.

Este tipo de documentos y soportes deben ser archivados de forma segura, de acuerdo con lo establecido en la Política de Clasificación de la Información.

Política de pantalla limpia

Si la persona autorizada no se encuentra en su puesto de trabajo, se debe quitar toda la información sensible de la pantalla, y se debe denegar el acceso a todos los sistemas
para los cuales la persona tiene autorización.

En el caso de una ausencia corta (hasta 30 minutos), la política de pantalla limpia se implementa bloqueando el equipo en todos los sistemas con una clave. Si la persona se
ausenta por un período más prolongado (superior a 60 minutos), la política de pantalla limpia se implementa finalizando la sesión en todos los sistemas.

Protección de instalaciones y equipos compartidos

Los documentos que contienen información sensible deben ser retirados inmediatamente de las impresoras, y fotocopiadoras.

El uso no autorizado de impresoras, fotocopiadoras, escáneres y demás equipamiento compartido para copiado ubicados en los despachos de gerencia se evita impidiendo su
acceso cerrando la instalación.

La impresora y destructora de papeles de uso común debe utilizarse bajo autorización explícita del CEO, nunca dejando documentación desprotegida, o en la bandeja de la
impresora. Deben quedar listas para su posterior uso sin ninguna información o documentación relacionada con su uso anterior.

Uso de Internet

Sólo se puede acceder a Internet a través de la red local de la organización, con la infraestructura y protección de cortafuegos adecuadas. El acceso directo a Internet mediante módems, Internet móvil, red inalámbrica u otros dispositivos de acceso directo a Internet de uso personal, está prohibido, excepto autorización del CEO.

El CIO puede bloquear el acceso a determinadas páginas de Internet para usuarios individuales, grupos de usuarios o para todos los empleados de la organización. Si el acceso a algunas páginas web está bloqueado, el usuario puede elevar una petición escrita al CIO solicitando autorización para acceder a dichas páginas. El usuario no debe intentar eludir por su cuenta esa restricción.

El usuario debe considerar como no confiable la información recibida a través de sitios web no verificados. Ese tipo de información puede ser utilizado con fines comerciales solamente después de haber verificado su autenticidad y veracidad.

El usuario es responsable por todas las posibles consecuencias que surjan por el uso no autorizado o inadecuado de servicios o contenidos de Internet.

Correo electrónico

Como pautas de seguridad, los usuarios deberán seguir las siguientes medidas:

• No abrir ni reenviar nunca mensajes de correo electrónico de remitentes desconocidos.
• No abrir ni reenviar mensajes de correo electrónico de remitentes conocidos que presenten asuntos en idiomas diferentes al suyo.
• Evitar abrir ficheros adjuntos de correos electrónicos que provengan de fuentes dudosas.

Derechos de autor

Los usuarios no deben realizar copias no autorizadas del software que pertenece a la organización, excepto en los casos permitidos por ley, por el propietario, o por el CIO.

Los usuarios no deben copiar software ni otros materiales originales de otras fuentes, y son responsables por todas las consecuencias que pudieran surgir bajo la ley de propiedad intelectual.

Equipos móviles

Los equipos, la información o software, independientemente de su formato o soporte de almacenamiento, no pueden ser retirados de las instalaciones sin el permiso escrito previo del CIO.

Mientras los activos en cuestión permanecen fuera de la organización, deben ser controlados por la persona a la que se le concedió el permiso para retirarlo.

Entre los equipos de trabajo móvil se incluyen todo tipo de ordenadores portátiles, tarjetas de memoria y demás equipamiento móvil utilizado para almacenamiento,
procesamiento y transferencia de datos.

La persona que se lleva equipos de computación móvil fuera de las instalaciones debe cumplir las siguientes reglas:

• El equipamiento de computación móvil que contiene información importante, sensible o crítica no debe ser desatendido y, en lo posible, debe quedar resguardado bajo llave o se deben utilizar trabas especiales para asegurarlo.
• Cuando se utiliza equipamiento de computación móvil en lugares públicos, el usuario debe tener la precaución de que los datos no puedan ser leídos por personas no autorizadas.
• Las actualizaciones de parches y demás configuraciones de seguridad del sistema son realizadas por el propietario.
• La protección contra códigos maliciosos se instala y actualiza, utilizando un software antivirus autorizado por la organización.
• La persona que utiliza equipamiento de trabajo móvil fuera de las instalaciones es responsable de realizar periódicamente copias de seguridad de datos en los términos establecidos en la política de copias de seguridad.
• La conexión a redes de comunicación y el intercambio de datos debe reflejar la sensibilidad de los datos y se realiza a través de los medios facilitados por la organización a tal fin.
• La información que se encuentra en ordenadores portátiles debe estar encriptada al menos en los archivos sensibles.
• La protección de datos sensibles debe ser implementada de acuerdo con la Política de Clasificación de Información.
• En el caso que el equipamiento de computación móvil sea desatendido, se deben aplicar las reglas para equipamiento de usuario desatendido de acuerdo con la Política de pantalla y escritorio limpios.

El CIO es el responsable de la formación y concienciación de las personas que utilizan equipamiento de computación móvil fuera de las instalaciones de la organización.

El CIO es el responsable de preparar planes y procedimientos para garantizar lo siguiente:

• Protección del equipamiento de computación móvil, de acuerdo con lo indicado en la sección anterior.
• Evitar el acceso no autorizado de personas que viven o trabajan en la ubicación donde se realiza la actividad de teletrabajo.
• Configuración adecuada de la red local utilizada para conectarse a la Internet.
• Protección de los derechos de propiedad intelectual de la organización, tanto por el software como por otros contenidos que puedan estar protegidos por derechos de propiedad intelectual.
• Proceso de devolución de datos y equipamiento en caso de finalización del empleo.

• Nivel mínimo de configuración de la instalación donde se realizarán las actividades de teletrabajo.
• Tipos de actividades permitidas y prohibidas.

Supervisión del uso de sistemas de información y comunicación

Todos los datos creados, almacenados, enviados o recibidos a través del sistema de información, o de otro sistema de comunicación, de la organización, incluyendo diversas
aplicaciones, correo electrónico, Internet, fax, etc., independientemente de si es personal o no, se considera propiedad de NATURALSOFT.

Los usuarios aceptan que personas autorizadas de la organización puedan acceder a todos los datos de ese tipo y que el acceso de dichas personas no será considerado una
violación de privacidad del usuario.

La organización puede utilizar herramientas especializadas para identificar y bloquear métodos prohibidos de comunicación y para filtrar contenidos prohibidos.

Incidentes

Cada empleado, proveedor o tercero que esté en contacto con datos y/o sistemas de NaturalSoft debe reportar toda debilidad del sistema, incidente o evento que pudiera
derivar en un posible incidente, de acuerdo con lo establecido en el Procedimiento para gestión de incidentes.

Otras normas a tener en cuenta.

1. La salida de soportes informáticos y ordenadores personales que contengan datos de carácter personal fuera de los locales de Instituto de NATURALSOFT
   precisa de autorización, que deberá solicitarse al administrador del sistema.
2. Toda incidencia y brecha en materia de seguridad deberá comunicarse a info@naturalsoft.es o al administrador del sistema tan pronto como se tenga
   constancia de esta.
3. Todos los ficheros temporales que los usuarios mantengan en sus ordenadores personales deberán ser borrados, una vez haya finalizado la finalidad para la que
   fueron creados.
4. Queda terminantemente prohibido iniciar nuevos tratamientos de datos sin previa autorización de la Dirección.
5. No está permitido instalar “motu propio” ningún producto informático o APP en ordenadores, smartphones, tabletas y sistemas de información de la organización. Todas aquellas aplicaciones necesarias para el desempeño de su trabajo serán autorizadas por el administrador del sistema e instaladas por personal autorizado para ello. También está prohibido alterar o modificar “motu propio” la configuración del sistema, dispositivo y aplicativos de gestión.
6. Queda terminantemente prohibido facilitar a persona alguna ajena a NATURALSOFT ningún soporte conteniendo datos, a los que haya tenido acceso en el desempeño de sus funciones, sin la debida autorización.
7. Cualquier solicitud de ejercicio de derechos por parte de un interesado en relación con el tratamiento de sus datos será trasladada inmediatamente a la persona o departamento responsable de estudiarla y responderla.
8. Queda prohibido el uso de aplicaciones en la nube para compartir documentos o trabajar fuera del lugar de trabajo, que no estén previamente autorizadas por el administrador del sistema. Algunas de estas aplicaciones del tipo Drive o Dropbox pueden ocasionar una transferencia internacional de datos fuera de la Unión Europea y del Espacio Económico Europeo, lo que requiere adaptar con carácter previo por parte de NATURALSOFT de una serie de medidas y cautelas impuestas por la normativa.