Contacto
Volver

Alojamiento de datos sanitarios: normas, cumplimiento y retos de la certificación de 2024

Imagen del slider

13 de febrero de 2025

Introducción

Ante el aumento vertiginoso de los ciberataques —en particular, los 30 hospitales franceses que fueron víctimas de ataques de ransomware entre 2022 y 2023—, la protección de los datos sanitarios se ha convertido en una prioridad nacional.

Sin embargo, la evolución de las amenazas a los datos sanitarios no explica por sí sola la aparición de la certificación HDS. No es más que la consecuencia de un contexto cambiante en torno a los datos sanitarios. De hecho, se observa una creciente complejidad de los sistemas de información en general (nube en IaaS, PaaS, SaaS, integración de la IA, etc.) en los que se van a insertar datos especialmente sensibles en el sentido del artículo 9 del RGPD. También se observa un crecimiento de los servicios digitales relacionados con la salud (aplicaciones móviles de salud, plataformas de telemedicina, dispositivos conectados, lo que generará flujos masivos de datos sensibles). Por último, esto también da lugar a un volumen creciente de datos sanitarios con la integración del Big Data, lo que requiere capacidades de almacenamiento enormes y escalables.

Una vez planteado este contexto, se entiende mejor la aparición de la certificación de Alojamiento de Datos Sanitarios (HDS).

La certificación HDS se inscribe en este enfoque al establecer normas rigurosas para garantizar la seguridad de los datos sanitarios sensibles y la resiliencia de los sistemas críticos. La versión 2024 de la certificación HDS introduce cambios significativos, basados en la norma ISO 27001:2022, para responder mejor a los retos actuales.

Certificación de alojamiento de datos sanitarios (HDS) y su relación con las normas ISO 27 y el RGPD

La certificación HDS es una norma reglamentaria francesa que se aplica a las empresas que alojan y tratan datos personales de carácter sanitario. Definida por el Código de Salud Pública y basada en los principios del Reglamento General de Protección de Datos (RGPD), impone criterios estrictos en materia de protección de datos sensibles.

La certificación HDS también se basa en los requisitos previos de la norma ISO 27001, ya que exige un sistema de gestión de la seguridad de la información (SGSI) sólido. Por este motivo, la norma ISO 27001 es un requisito previo indispensable para obtener la certificación HDS.

Por lo tanto, una parte de la auditoría HDS consistirá en verificar los medios técnicos y organizativos destinados a satisfacer los requisitos de seguridad, a saber, la confidencialidad, la integridad y la disponibilidad. A los principios y objetivos establecidos por la norma ISO 27001, así como a los criterios del anexo A de dicha norma, se sumarán criterios específicos de la certificación HDS.

¿A qué «proveedores de alojamiento» se aplica la certificación HDS?

Para que un agente esté obligado a obtener una certificación HDS, deben cumplirse tres condiciones:

  1. Cualquier persona física o jurídica que aloje datos de carácter personal relacionados con la salud;
  2. Recogidos con motivo de actividades de prevención, diagnóstico, atención médica o seguimiento médico;
  3. En nombre de las personas físicas o jurídicas responsables de la elaboración o la recopilación de dichos datos, o en nombre del propio paciente.

Como excepción, un hospital que aloja sus propios datos no está sujeto a la certificación HDS, ya que no cumple el tercer criterio. Sin embargo, si aloja datos para otro hospital, se cumplirá dicha condición y, por lo tanto, deberá obtener la certificación.

La certificación HDS se inscribe en una distribución de funciones tripartita a la que pueden sumarse proveedores externos:

  1. El titular de los datos (el paciente o «el interesado») que es el origen de los datos de salud de carácter personal.
  2. Responsable del tratamiento de datos personales: Por lo general, son los profesionales sanitarios (hospitales, clínicas, consultas médicas) quienes recopilan los datos en nombre de los pacientes.
  3. Procesador de datos personales (o encargado del tratamiento de datos personales): Se trata de los proveedores de alojamiento que se encargan del almacenamiento y la gestión de los datos. Solo ellos deberán contar con la certificación HDS.
  4. Proveedores externos: Algunos proveedores, como los editores de software o las empresas de mantenimiento, pueden intervenir sin acceder directamente a los datos. Deben cumplir las restricciones de seguridad de HDS impuestas por sus clientes.

Ámbito de aplicación material: los servicios sujetos a la certificación HDS.

La certificación HDS se aplica a todas las infraestructuras necesarias para el almacenamiento, la gestión y la transmisión de datos sanitarios. Esto incluye:

  1. La base de infraestructura de HDS:
  • Infraestructuras físicas: los centros de datos y otras instalaciones físicas donde se alojan los datos.
  • Infraestructuras de software: la infraestructura virtual, la plataforma de software (sistemas operativos, middleware y bases de datos), así como las copias de seguridad de los datos.
  1. La gestión y el funcionamiento de los sistemas de información que contienen datos sanitarios:
  • Gestión de aplicaciones: supervisión y gestión de terceros ajenos a HDS que acceden a la aplicación de negocio a través de la plataforma de infraestructura de HDS. Esto no afecta a los usuarios finales (titulares de los datos personales) ni a los responsables del tratamiento (controladores de datos personales).
  • Gestión técnica: mantenimiento de la seguridad de la infraestructura básica de HDS y del centro de atención al cliente.

Para obtener más detalles, le remitimos a los seis niveles de prestación de alojamiento que figuran en la página web de la ANS.

Estos elementos están sujetos a normas estrictas, con requisitos específicos para garantizar su seguridad física y lógica. El marco de referencia HDS, actualizado en 2024, especifica que se debe evaluar la seguridad y el cumplimiento normativo de cada componente de la infraestructura.

La base de seguridad de la certificación HDS

La certificación HDS establece requisitos de seguridad basados en la norma ISO 27001:2022, que incluyen controles específicos para el sector sanitario. Los siguientes requisitos constituyen esta base de seguridad:

  1. Compartimentación
  • Separación de entornos: Los datos sanitarios deben estar estrictamente separados de otros tipos de datos, con entornos de desarrollo, prueba y producción aislados.
  • Control de accesos: El acceso a los datos debe estar restringido mediante un sistema de gestión de derechos, con funciones y responsabilidades claras para cada empleado o proveedor implicado.
  1. Menor privilegio

El principio del privilegio mínimo exige que cada usuario solo tenga acceso a la información estrictamente necesaria para el desempeño de sus funciones:

  • Restricción de los derechos de administración: Las cuentas con privilegios elevados deben estar restringidas y su uso debe ser controlado.
  • Revisión periódica de los accesos: Los privilegios de acceso deben reevaluarse periódicamente para garantizar que sigan siendo adecuados para las funciones de los usuarios.
  1. Gestión de cambios

La gestión de los cambios es fundamental para adaptar la infraestructura sin comprometer la seguridad:

  • Control de cambios: Cada cambio, ya sea técnico u organizativo, debe evaluarse en cuanto a sus posibles repercusiones en la seguridad.
  • Seguimiento de los cambios: Se establece un proceso de seguimiento para garantizar que las actualizaciones y los cambios no introduzcan nuevas vulnerabilidades.
  1. La integración de la seguridad en el diseño (security by design)

El concepto de «seguridad desde el diseño » exige que los mecanismos de seguridad se integren desde la fase de diseño de los sistemas y no se añadan a posteriori:

  • Seguridad integrada: Los dispositivos de seguridad deben planificarse e integrarse en cada fase del desarrollo de nuevos sistemas o infraestructuras.
  • Adaptación a los cambios: El sistema debe estar diseñado para poder integrar fácilmente las actualizaciones de seguridad, garantizando así su resiliencia a largo plazo.
  1. Trazabilidad e irrefutabilidad

Cada acción debe ser rastreable, y debe ser imposible que un usuario niegue una operación realizada:

  • Registro de accesos: Se registran todos los intentos de acceso, tanto los que tienen éxito como los que fallan.
  • Auditabilidad: La certificación HDS exige la realización de auditorías periódicas para verificar que los registros de trazabilidad estén completos y intactos.
  • Gestión de los accesos administrativos a través de un servidor bastión: Los accesos administrativos a los sistemas críticos deben centralizarse y protegerse mediante un servidor bastión
  1. Autenticación reforzada

La autenticación reforzada tiene por objeto garantizar que solo las personas autorizadas puedan acceder a los sistemas de datos sanitarios:

  • Contraseñas seguras: es necesario estandarizar la complejidad y la periodicidad de cambio de las contraseñas para reducir los riesgos asociados a las contraseñas comprometidas.
  • Autenticación multifactorial (MFA): La certificación suele exigir el uso de métodos de verificación adicionales para validar la identidad de los usuarios.
  • Detección de anomalías en el acceso: Los sistemas deben ser capaces de detectar y notificar comportamientos inusuales o sospechosos,

Las novedades de la nueva versión 2024 de la certificación:

A continuación se detallan los principales cambios introducidos por la nueva certificación HDS 2024, según la transcripción del seminario web:

  1. Alineación con la norma ISO 27001:2022: La nueva certificación HDS se basa en la versión actualizada de la norma ISO 27001 (2022), lo que refuerza la integración entre ambas normas. Esto significa que las organizaciones certificadas por HDS deberán disponer de un Sistema de Gestión de la Seguridad de la Información (SGSI) alineado con los requisitos de la norma ISO 27001. Este SGSI de HDS debe integrar procesos de mejora continua, mantenimiento y seguimiento de la eficacia de las medidas de seguridad, lo que supone un cambio importante con respecto a las versiones anteriores de la norma.
  2. Inclusión de las partes interesadas y requisitos específicos para los datos sanitarios: La nueva versión exige que las organizaciones identifiquen a todas las partes interesadas, lo que incluye no solo a los clientes, sino también a todos los subcontratistas, proveedores y socios que desempeñen un papel o ejerzan influencia en la seguridad de los datos sanitarios. Esto es especialmente relevante para la gestión de la cadena de subcontratación, que se convierte en un aspecto central de la certificación. Además, los objetivos de seguridad deben integrar ahora de forma explícita la protección de los datos sanitarios, y la dirección debe demostrar su compromiso en cuanto a los recursos asignados a dichos objetivos.
  3. Control de los subcontratistas: La certificación HDS 2024 exige a los proveedores de alojamiento que supervisen los cambios introducidos en las medidas de seguridad por parte de sus subcontratistas, lo que incluye el control de las intervenciones, el cumplimiento de las certificaciones y la gestión de incidentes. Las organizaciones deben poder demostrar que cuentan con procesos de control de sus subcontratistas para garantizar una gestión segura de la cadena de suministro.
  4. Nuevos requisitos contractuales: Los contratos entre los proveedores de servicios de alojamiento y sus clientes deben incluir ahora cláusulas específicas para garantizar la trazabilidad de los datos, la seguridad del tratamiento y la transparencia en cuanto a la ubicación de los datos. Los contratos también deben mencionar explícitamente los requisitos de cifrado de los datos sanitarios (en reposo o en tránsito) para mitigar los riesgos de acceso no autorizado, en particular en caso de transferencia o acceso desde terceros países.
  5. Soberanía de los datos: La nueva versión refuerza los requisitos de ubicación de los datos en el Espacio Económico Europeo (EEE). Los proveedores de alojamiento deben especificar con precisión los lugares de alojamiento y asegurarse de que las transferencias de datos, en caso de que se realicen a países fuera del EEE, cumplan con el RGPD. La nueva certificación exige que toda la información sobre las transferencias de datos a terceros países se documente y se comunique al cliente.
  6. Gestión de riesgos reforzada: La nueva HDS 2024 introduce criterios de gestión de riesgos que incluyen la pérdida de control sobre los soportes de almacenamiento y la vulneración de los datos. Las organizaciones deben incorporar procesos específicos de gestión de crisis para prevenir y mitigar los efectos de los incidentes de seguridad.
  7. Supervisión y mejora continua: La certificación 2024 hace hincapié en la necesidad de que las organizaciones supervisen y controlen sus objetivos de seguridad de forma continua, con una evaluación sistemática de la eficacia de los procesos. Las auditorías de transición exigirán una verificación de las actualizaciones de los sistemas de gestión para garantizar que los procesos definidos funcionen realmente y cumplan los nuevos requisitos.
  8. Necesidad de formación y competencias internas: Por último, la nueva certificación destaca la importancia de formar a los equipos internos y de reforzar las competencias en materia de SMSI y HDS. Los auditores internos deberán recibir formación sobre la nueva norma para garantizar que las organizaciones sean capaces de mantener un alto nivel de seguridad de la información.

  Las diferentes etapas del proceso de certificación HDS

La certificación de Alojamiento de Datos Sanitarios (HDS) sigue un proceso estructurado en, como mínimo, cuatro etapas principales:

1. Definición y análisis de riesgos

El primer paso consiste en definir el alcance de la certificación. Esto incluye:

  • Identificación de activos críticos: los sistemas, aplicaciones e infraestructuras afectados por la certificación.
  • Análisis de riesgos: Según la metodología definida por la norma ISO 27005, consiste en evaluar las amenazas potenciales, sus repercusiones en los datos sanitarios y las vulnerabilidades de los sistemas. Por ejemplo, se identifican los riesgos relacionados con los ciberataques, las averías en la infraestructura o los errores humanos.
  • Definición de responsabilidades: A cada actor implicado en el proceso de certificación, desde los administradores de sistemas hasta los responsables de seguridad (RSSI), se le asignan funciones claras.

El marco de referencia es fundamental para centrar los esfuerzos de seguridad en los elementos críticos y garantizar una auditoría eficaz.

2. Implementación

Una vez identificados los riesgos, la organización pasa a aplicar las medidas necesarias para cumplir los requisitos del marco HDS. Esto incluye:

  • Implantación de procesos de seguridad: aplicación de la Política General de Seguridad de los Sistemas de Información (PGSSI), de las políticas de segmentación y de limitación de privilegios, así como de los procesos de gestión de incidentes.
  • Redacción de la documentación: elaboración de la declaración de aplicabilidad (SOA), en la que se enumeran los controles de seguridad implementados, y de los procedimientos operativos necesarios.
  • Implementación de soluciones técnicas: implementación de herramientas como sistemas de registro (logs), soluciones de cifrado de datos y plataformas de autenticación reforzada (MFA).

Esta fase requiere una estrecha coordinación entre los equipos técnicos y los responsables del sistema de gestión de la seguridad de la información (SGSI).

3. Auditoría interna

Antes de pasar a la certificación oficial, se lleva a cabo una auditoría interna para garantizar que se cumplen todos los requisitos. Esta etapa permite:

  • Identificar los incumplimientos: Comprobación de posibles discrepancias entre los procesos implantados y los requisitos de la certificación HDS.
  • Probar los procedimientos establecidos: simulación de incidentes, pruebas de continuidad del servicio y validación del acceso a los datos.
  • Mejorar los procesos: Las no conformidades detectadas durante esta auditoría se corrigen antes de la auditoría oficial.

Una auditoría interna eficaz prepara a la organización y reduce el riesgo de no superar la auditoría de certificación.

4. Auditoría de certificación

La auditoría de certificación la lleva a cabo un organismo autorizado y acreditado por el COFRAC. El objetivo de esta auditoría es verificar que la organización cumple con los requisitos del HDS. Incluye:

  • Revisión de la documentación: validación de la declaración de aplicabilidad y de las políticas de seguridad.
  • Inspección in situ: El auditor examina las infraestructuras, comprueba la seguridad física de los centros de datos y analiza los sistemas de información.
  • Entrevistas: Se entrevista a los responsables técnicos y administrativos para evaluar su comprensión y dominio de las medidas implantadas.

Si se supera la evaluación, se expide un certificado HDS con una validez de tres años, y se realizan auditorías de seguimiento anuales para verificar la sostenibilidad de las medidas.

Conclusión: La certificación HDS, una ventaja estratégica para las empresas del sector sanitario

La certificación HDS no se limita a un simple cumplimiento normativo: constituye una auténtica estrategia para las empresas del sector sanitario. Al estructurar y reforzar su seguridad global, las organizaciones certificadas demuestran su capacidad para prevenir y gestionar eficazmente las ciberamenazas, protegiendo así los datos sensibles que se les confían. Este enfoque proactivo también permite anticiparse a un endurecimiento de la legislación y a controles cada vez más estrictos, reforzando su resiliencia frente a las crecientes exigencias normativas.

Por último, la certificación HDS ofrece una ventaja comercial nada desdeñable. Inspira confianza entre los pacientes, los profesionales sanitarios y los socios institucionales, al tiempo que permite a las empresas posicionarse favorablemente en mercados exigentes, especialmente en los procesos de licitación. En un contexto en el que la seguridad de los datos sanitarios se ha convertido en una prioridad nacional y europea, la certificación HDS se erige como una verdadera palanca de competitividad y un pilar esencial de la confianza digital.

 Fuentes:

Prensa:

https://www.lesechos.fr/economie-france/social/trente-hopitaux-francais-victimes-dune-cyberattaque-en-deux-ans-2130193

Artículos del Código de Salud Pública que definen el ámbito de aplicación del marco de referencia HDS: L.1111-8, R.1111-8-8 y R.1111-9 del Código de Salud Pública.

  • Marco de acreditación HDS

https://esante.gouv.fr/sites/default/files/media_entity/documents/referentiel_accreditation_hds---fr---v2.pdf

  • Marco de certificación para proveedores de servicios de alojamiento de datos sanitarios (HDS):

https://esante.gouv.fr/sites/default/files/media_entity/documents/referentiel_certification_hds---fr--v2.pdf

 

Florian COULON
Consultor de GRC

Ante el aumento vertiginoso de los ciberataques —en particular, los 30 hospitales franceses que fueron víctimas de ataques de ransomware entre 2022 y 2023—, la protección de los datos sanitarios se ha convertido en una prioridad nacional.