Política de Seguridad de la Información

1. Introducción

La Política de Seguridad de la Información de Digital Prescription Services, S.A. (DPS), define el marco de referencia, los principios y las directrices generales destinadas a proteger la información y los sistemas de información de la organización. Esta política se aprueba en cumplimiento de los requisitos establecidos en el Esquema Nacional de Seguridad (ENS) y se integra como parte fundamental del Sistema de Gestión de la Seguridad de la Información (SGSI) de DPS.

El objetivo de la presente política es garantizar de forma sistemática y continua la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información, así como la protección de los activos tecnológicos que soportan los servicios prestados por la organización, especialmente aquellos relacionados con el ámbito de la salud y la receta electrónica.

La Política de Seguridad de la Información es de aplicación obligatoria para todo el personal de DPS, así como para colaboradores, proveedores y terceros que, de forma directa o indirecta, tengan acceso o participen en el tratamiento de la información y los sistemas de la organización. Su finalidad es establecer un marco común de actuación que permita identificar, evaluar y mitigar los riesgos de seguridad, prevenir incidentes y asegurar el cumplimiento de la legislación y normativa vigente en materia de seguridad de la información y protección de datos.

 

2. Marco legal y regulatorio

Las actividades de DPS se desarrollan bajo el cumplimiento de la legislación vigente, incluyendo:

• Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Resolución de 4 de abril de 2025, de la Dirección General de Trabajo, por la que se registra y publica el XIX Convenio colectivo estatal de empresas de consultoría, tecnologías de la información y estudios de mercado y de la opinión pública.
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación.
• Real Decreto 1675/2012, de 14 de diciembre, por el que se regulan las recetas oficiales y los requisitos especiales de prescripción y dispensación de estupefacientes para uso humano y veterinario.
• Código de Comercio y Ley de Sociedades de Capital:
• Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

DPS mantiene un seguimiento continuo del marco legal y regulatorio para asegurar que todas las actividades y controles estén actualizados.

 

3. Política de seguridad de la información

La dirección de DPS reconoce la importancia de identificar y proteger sus activos de información, y en especial los de los clientes, evitando la pérdida, la divulgación, modificación y utilización no autorizada de toda su información. Por ello, se compromete a desarrollar, implantar, mantener y mejorar continuamente los procedimientos de la gestión de la seguridad de la información.

En coherencia con los requisitos del Esquema Nacional de Seguridad (ENS), es responsabilidad de la Dirección de DPS:

1. 1. Definir periódicamente objetivos sobre la gestión de la Seguridad de la Información, así como las acciones necesarias para su desarrollo.
   2. Establecer la sistemática de análisis de riesgo, evaluando el impacto y las amenazas, de acuerdo con los criterios aprobados por el Comité de Seguridad.
   3. Implementar las medidas y controles necesarios para reducir los riesgos identificados hasta niveles aceptables, y garantizar su seguimiento y eficacia.
   4. Cumplir con los requisitos asumidos por DPS: de clientes, legales, reglamentarios, contractuales y normativas en materia de seguridad de la información.
   5. Promover la concienciación y formación en materia de seguridad de la información a todo el personal de DPS.
   6. Aportar los recursos necesarios para garantizar la continuidad del negocio, además de la resiliencia de los servicios de la organización.
   7. Impulsar la mejora continua en la gestión de la seguridad de la información, incorporando las lecciones aprendidas y las mejores prácticas del sector.

La seguridad de la información se caracteriza como la preservación de:

1. 1. Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
   2. Su confidencialidad, asegurando que solo quienes están autorizados pueden acceder a la información.
   3. Su integridad, asegurando que la información se mantiene invariable y trazable.
   4. Su autenticidad, asegurando que la información, los usuarios y los sistemas son quienes dicen ser.
   5. Su trazabilidad, asegurando que las acciones sobre la información pueden ser registradas, verificadas y auditadas.

La dirección de DPS nombra al Comité de Seguridad de la información como responsable directo del mantenimiento de la política de seguridad de la información, por brindar consejo y guía para su implementación.

 

4. Objetivos de la seguridad de la información

Las metas y objetivos estarán de acuerdo con la política de seguridad de DPS, el análisis del contexto y las exigencias de la categoría a la que aspiramos (Alta) del ENS.

Los objetivos de seguridad se agrupan entorno a los siguientes bloques de trabajo:

• Protección del conocimiento, la información y los datos, asegurando su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
• Protección de las tecnologías de la información y las comunicaciones, mediante controles técnicos y organizativos.
• Protección de las instalaciones, edificios y estancias, frente a accesos no autorizados y amenazas físicas.
• Protección de los activos de la compañía.
• Protección de la continuidad del negocio.
• Cumplimiento de los estándares legales y normativos.

Esta documentación (que incluye no-conformidades, acciones correctoras y preventivas, auditorías internas, registros de formación y revisiones de dirección) tiene que servir como base de referencia para el establecimiento de objetivos medibles y cuantificables orientados a la mejora continua del servicio.

 

5. Administración de la política de seguridad

La presente política de seguridad es administrada por DPS en su condición de prestador de servicios. La modificación de este documento y su correspondiente aprobación se realizan a través del procedimiento de Gestión documental y si fuera necesario, según lo previsto en el procedimiento de gestión de cambios de DPS, considerando los roles y responsabilidades previstos en el proceso de toma de decisión.

Toda la documentación relativa al Sistema de Gestión de Seguridad de la Información (SGSI) se gestiona a través del mencionado procedimiento.

 

6. Alcance y ámbito de aplicación

La presente Política de Seguridad de la Información es de aplicación a la ejecución de las actividades relacionadas con los servicios de sistemas de información en el ámbito de la salud prestados por DPS, con especial foco en los servicios de receta electrónica y farmacia.

En consecuencia, esta política será de obligado cumplimiento para todo el personal de DPS, así como para cualquier tercero que intervenga o participe, directa o indirectamente, en el desarrollo, operación, soporte, mantenimiento o explotación de dichos servicios y de los sistemas de información que los soportan.

7. Roles y responsabilidades

Los roles y responsabilidades de seguridad en DPS se definen en “Roles y responsabilidades del SGSI de DPS” y son:

• Responsable de Seguridad.
• Responsable del Servicio.
• Responsable de la Información.
• Responsable del Sistema.
• Administrador y usuarios del sistema.
• Delegado de Protección de Datos.

La Dirección de DPS es la encargada de nombrar y aprobar los roles de las personas u órganos colegiados. Los roles del SGSI pueden designar sus responsabilidades en personas que asumirán el rol de “Delegado de”.

 

8. Comité de Seguridad

Se establecerá un Comité de Seguridad con las siguientes funciones:

• Desarrollo y Revisión de Políticas de Seguridad:

• Desarrollar y mantener políticas, procedimientos y directrices de seguridad de la información alineadas con los objetivos estratégicos de la empresa.
• Revisará, al menos, una vez al año o cuando se produzcan cambios normativos o de negocio, esta política para asegurar que siga siendo efectiva y relevante.

• Evaluación de Riesgos:

• Identificar y evaluar los riesgos de seguridad de la información.
• Desarrollar estrategias y medidas de mitigación para reducir los riesgos identificados.

• Cumplimiento Normativo y Legal:

• Asegurar el cumplimiento de todas las normativas y regulaciones aplicables relacionadas con la protección de datos y la seguridad de la información, como el RGPD o la LO 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
• Supervisar y auditar anualmente el cumplimiento normativo.

• Gestión de Incidentes de Seguridad:

• Establecer procedimientos para la gestión y respuesta a incidentes de seguridad de la información.
• Investigar y documentar los incidentes, analizando sus causas y desarrollando medidas preventivas.

• Formación y Concienciación:

• Desarrollar e implementar programas de formación y concienciación en seguridad de la información para todos los empleados.
• Evaluar la efectividad de estos programas y realizar ajustes según sea necesario.

• Supervisión y Control:

• Monitorizar y controlar el acceso a la información y los sistemas de la empresa.
• Realizar auditorías internas periódicas para asegurar la adherencia a las políticas y procedimientos de seguridad.

• Asesoramiento y Apoyo:

• Proveer asesoramiento y apoyo a todas las áreas de la empresa en temas relacionados con la seguridad de la información.
• Asistir en la integración de prácticas seguras en los procesos operativos y proyectos de la empresa.

• Planificación de Continuidad del Negocio:

• Desarrollar y mantener un plan de continuidad del negocio y recuperación ante desastres que incluya aspectos de seguridad de la información.
• Realizar pruebas periódicas del plan y ajustar según sea necesario.

Dada la estructura organizativa actual de DPS, se define un Comité de Seguridad simplificado donde algunos roles pueden llegar a ser combinados, debido a las responsabilidades compartidas por algunos miembros de la dirección. No obstante, para garantizar la independencia y la segregación de funciones, las actividades de supervisión serán reforzadas con la participación del responsable legal.

En particular los miembros del Comité de Seguridad son:

• Director con responsabilidad en las áreas TIC, seguridad y producción: asegura el compromiso y la asignación de recursos necesarios para la seguridad de la información. Asimismo, coordina las acciones relativas a políticas y procedimientos de seguridad, y asegura que las políticas de seguridad de la información se integran en los procesos operativos.
• Responsable de IT y administración de seguridad de la Información: esta persona combina ambos roles, encargándose tanto de la infraestructura tecnológica como de la implementación de políticas y procedimientos de seguridad de la información en la organización.
• Responsable de Legal: se encarga de la alineación de las políticas en el marco legal de la compañía, asegura el cumplimiento de las normativas y supervisa los aspectos relativos a protección de datos.es obligato

A su vez, y a discreción del Comité, se pueden incorporar:

• Delegado de Protección de Datos (DPD): garantiza el cumplimiento de las normativas de protección de datos y asesora sobre las mejores prácticas.
• Consultor Externo o Auditor de Seguridad de la Información: con el fin de ofrecer una perspectiva objetiva y especializada, este rol puede ser un consultor externo que se contrate periódicamente para revisar las prácticas y controles de seguridad de la información.

 

9. Datos de carácter personal

DPS realiza tratamientos de datos de carácter personal, adoptando las medidas de seguridad adecuadas derivadas de las directrices del Reglamento Europeo de Protección de Datos (RGPD) y de las indicaciones del DPD. La organización mantiene la debida diligencia para garantizar el cumplimiento del principio de responsabilidad proactiva y aplica, además, medidas de seguridad adicionales establecidas por el marco de seguridad de la información, tales como el ENS

 

10. Obligaciones del personal

Todos los miembros de DPS tienen la obligación de conocer y cumplir esta política de seguridad de la información, siendo responsabilidad directa de DPS disponer de los medios necesarios para que la información llegue a los afectados.

Todos los trabajadores de DPS atenderán a una acción de concienciación en materia de seguridad TIC al menos una vez cada dos años. Se establecerá una formación para atender a todos los miembros de DPS, y en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de los sistemas recibirán formación para el manejo seguro de estos en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto o responsabilidad.

11. Comunicación

La presente política de seguridad será notificada a todos los empleados, terceros y partes interesadas que participen en la ejecución de actividades relacionadas con la prestación de los servicios del alcance de esta política. En la medida en que sea aplicable, será incluida dentro de los planes de formación del personal y terceros vinculados.

 

Enero de 2026