POLÍTICA DE SEGURIDAD INFORMÁTICA

1. Introducción

BAMBÚ DE ROCA depende de los sistemas TIC (Tecnologías de la Información y las Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados.

Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS) y la ISO 27001:2023, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados.

De este modo, todas las unidades administrativas de BAMBÚ DE ROCA tienen presente que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Por tanto, para BAMBÚ DE ROCA, el objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según lo establecido en el artículo 7 del ENS, con la aplicación de las medidas que se relacionan a continuación.

1.1. Prevención

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, BAMBÚ DE ROCA implementa las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional, que haya identificado como necesario, a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.

Para garantizar el cumplimiento de la política, BAMBÚ DE ROCA:

  • Autoriza los sistemas antes de entrar en operación.
  • Evalúa regularmente la seguridad, incluyendo el análisis de los cambios de configuración realizados de forma
  • Solicita la revisión periódica por parte de terceros, con el fin de obtener una evaluación independiente.

1.2. Detección

BAMBÚ DE ROCA establece controles de operación de sus sistemas de información con el objetivo de detectar anomalías en la prestación de los servicios y actuar en consecuencia según lo dispuesto en el artículo 9 del ENS (reevaluación periódica). Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales (conforme a lo indicado en el artículo 8 del ENS, Líneas de defensa), se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

1.3. Respuesta

BAMBÚ DE ROCA establecerá las siguientes medidas:

  • Mecanismos para responder eficazmente a los incidentes de
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

1.4. Recuperación

Para garantizar la disponibilidad de los servicios, BAMBÚ DE ROCA dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

2. ALCANCE de BAMBÚ DE ROCA

Bambú de Roca S.L.U., como sociedad matriz del grupo empresarial al que pertenece Clínica Juana Crespo, actúa como entidad prestadora de servicios transversales de gestión, soporte tecnológico y administración corporativa para las distintas empresas del grupo.

El Grupo Bambú de Roca está integrado por:

  • Equipo Médico Crespo Valencia S.L., dedicada a la prestación de servicios clínicos especializados en medicina reproductiva, incluyendo la atención médica personalizada, la gestión de tratamientos de fertilidad, el seguimiento de pacientes, los procesos de donación de óvulos y la administración técnica y operativa asociada.
  • Majuen S.L., sociedad del grupo orientada a la gestión y desarrollo de inversiones estratégicas.
  • Bambú de Roca S.L.U., responsable de los servicios corporativos comunes, entre ellos la gestión del sistema de información que da soporte a las operaciones clínicas, administrativas y técnicas del grupo.

En este contexto, el sistema de información gestionado por Bambú de Roca S.L.U., que da soporte a los servicios clínicos prestados por Equipo Médico Crespo Valencia S.L. (Clínica Juana Crespo), será objeto de certificación conforme al Esquema Nacional de Seguridad (ENS), de acuerdo con la Declaración de Aplicabilidad, versión 1.0.

3. Objetivos de la Seguridad de la Información

BAMBÚ DE ROCA establece como objetivos de la seguridad de la información los siguientes:

  1. Evidenciar el compromiso de Bambú de Roca con la seguridad de la información
  2. Reducir el riesgo de potenciales ciberataques
  3. Reducir el daño ocasionado por potenciales incidentes
  4. Reducir el riesgo de robo o pérdida de información sensible
  5. Alinear la estrategia de seguridad de la información con los objetivos comerciales, la estrategia y los planes de negocio de la organización

4. Marco normativo

El marco normativo que afecta al desarrollo de las actividades y competencias de Bambú de Roca está constituido por normas jurídicas estatales orientadas a la administración electrónica, a la seguridad de la información y los servicios que la manejan, así como a la protección de datos de naturaleza personal.

  • Seguridad como un proceso integral (artículo 6) y seguridad por defecto (artículo 19)
  • Reevaluación periódica (artículo 9) e integridad y actualización del sistema (Artículo 2)
  • Gestión de personal (artículo 14) y profesionalidad (artículo 15)
  • Gestión de la seguridad basada en los riesgos (artículo 6) y análisis y gestión de riesgos (artículo 13)
  • Incidentes de seguridad (artículo 24), prevención, reacción y recuperación (artículo 7)
  • Líneas de defensa (artículo 8) y prevención ante otros sistemas interconectados (artículo 22)
  • Función diferenciada (artículo 10) y organización e implantación del proceso de seguridad (artículo 12)
  • Autorización y control de los accesos (artículo 16)
  • Protección de las instalaciones (artículo 17)
  • Adquisición de productos de seguridad y contratación de servicios de seguridad (artículo 18)
  • Protección de la información almacenada y en tránsito (artículo 21) y continuidad de la actividad (artículo 25)
  • Registros de actividad (artículo 23)

5. Datos personales

BAMBÚ DE ROCA solo recogerá y tratará datos personales cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos.

BAMBÚ DE ROCA publicará en la Sede Electrónica su Política de Privacidad.

6. Aprobación y entrada en vigor

Texto aprobado el día 20/11/2025 por Comité de Seguridad.