Ingeniería de seguridad
Security & Governance
AISERV aborda la seguridad como disciplina de ingeniería—no como lista de controles añadidos tras la entrega. El objetivo es limitar la exposición, aplicar mínimo privilegio y mantener las operaciones sensibles bajo autoridad humana y revisión institucional.
El diseño parte de límites de servicio, modelos de acceso y rutas de evidencia antes de ampliar el alcance en producción. Las superficies públicas se mantienen mínimas: sin runtime innecesario en rutas abiertas, transporte endurecido en el perímetro y sin secretos en repositorios públicos. En la plataforma, límites autenticados, política explícita de cambio de estado y confianza segregada entre operadores, servicios e integraciones definen cómo avanza el trabajo.
Los registros son orientados a append y correlacionados en entrega, acceso y transiciones de ciclo de vida—para reconstruir eventos cuando la evaluación, la respuesta a incidentes o la revisión interna lo exijan. La verificación del destinatario permanece separada del almacén de contenido; los resultados se registran antes de la exposición.
Estos criterios informan trabajos que se discuten habitualmente junto a ENS, CCN-STIC, GDPR y eIDAS. AISERV no afirma certificación salvo acreditación formal. Reportes de vulnerabilidad: security@aiserv.es (véase SECURITY.md). Texto de contexto técnico, no asesoramiento legal.
-
01 Arquitectura security-first
Límites de servicio, modelos de acceso y rutas de evidencia se definen antes de ampliar el alcance en producción—compatible con evaluación orientada a ENS, no controles añadidos a posteriori.
-
02 Superficie pública reducida
Entrega estática sin runtime de aplicación en la ruta pública; sin secretos en el repositorio; transporte endurecido en el perímetro. Inspirada en patrones de endurecimiento de alto nivel usados en diseño de perímetro institucional.
-
03 Límites de plataforma gobernados
Límites de servicio autenticados, política explícita en cambios de estado y efectos registrados en operaciones sensibles. Límites modelados para evaluación técnica y revisión institucional.
-
04 Rutas de acceso controladas
Verificación aislada del almacén de contenido; intentos acotados y resultados registrados antes de la exposición. Rutas gobernadas hacia paciente y operador—alineadas con expectativas de control de acceso de alto nivel sin abrir sistemas internos.
-
05 Evidencia de ciclo de vida
Eventos correlacionados y orientados a append en entrega, acceso y ciclo de vida—para reconstrucción cuando la evaluación o la respuesta a incidentes exigen prueba.
-
06 Mínimo privilegio
Roles, tokens y credenciales de integración acotados con política antes del enrutamiento. Confianza segregada entre operadores, servicios y puntos de integración.
-
07 Visibilidad de extremo a extremo
Una cadena coherente desde la solicitud hasta el handoff, el acceso y el almacenamiento—valor por defecto de ingeniería donde el fallo silencioso no es aceptable.
-
08 Disciplina de despliegue
Secretos protegidos, dependencias verificadas y cabeceras de seguridad documentadas en producción. Disciplina de despliegue para que políticas de acceso y retención de evidencia sigan siendo exigibles tras el release.
-
09 Divulgación responsable
Reporte en privado las vulnerabilidades que afecten a la infraestructura AISERV SYSTEMS o a despliegues soportados antes de una divulgación pública. Consulte SECURITY.md para alcance y coordinación. AISERV no opera un programa de bug bounty remunerado.
Contexto de evaluación técnica
Fuentes españolas y europeas de referencia que orientan el diseño de controles, modelos de acceso y expectativas de evidencia en entornos regulados e institucionales.
-
ENS — Esquema Nacional de Seguridad
Real Decreto 311/2022 y normativa CCN-CNI—contexto de ingeniería para categorización de servicios, medidas de seguridad y evidencia operativa en trabajo de evaluación orientado a ENS.
-
Guías CCN-STIC
Catálogos CCN y guías STIC de implementación—referencia para endurecimiento, controles de seguridad operativa y narrativas de evaluación técnica.
-
RGPD / LOPDGDD
Marco europeo y español de protección de datos para minimización, limitación de finalidad en registros y diseño con responsabilidad proactiva.
-
eIDAS
Marco de confianza electrónica de la UE—contexto para verificación reforzada del destinatario y patrones de firma cuando la política institucional lo exige.
-
Autonomía del paciente y documentación clínica
Ley 41/2002—marco español para información al paciente, documentación clínica y acceso proporcionado en flujos sanitarios.
-
Guía AEPD sobre datos de salud
Guía sectorial de la AEPD sobre datos de salud, proporcionalidad y responsabilidad operativa en entornos clínicos.
Estas referencias se utilizan como contexto de ingeniería y criterios de evaluación técnica, sin declaración pública de certificación.
Este sitio web ofrece información técnica y operativa, no asesoramiento legal.
AISERV SYSTEMS no reclama certificación de seguridad de terceros salvo que se indique explícitamente.