Certificaciones para SaaS de Salud
¿Por qué son importantes?
Las certificaciones no son obligatorias per se (salvo el ENS en ciertos casos), pero sin ellas no vendes:
| Cliente | Sin certificación | Con ISO 27001 |
|---|---|---|
| Hospital público | 🚫 No te contrata | ✅ Puedes competir |
| Clínica privada | 😬 Dudan | ✅ Confían |
| Aseguradora | 🚫 No pasa due diligence | ✅ Homologado |
| Socio UE (EHDS) | 🚫 No interoperas | ✅ Puedes expandirte |
| Inversores | 🤔 Riesgo regulatorio | ✅ Compliance checked |
Mapa de certificaciones para tu SaaS
╔═══════════════════╗
┌──────╢ TU SAAS SALUD ║──────┐
│ ╚═══════════════════╝ │
│ │
▼ ▼
┌──────────────┐ ┌──────────────────┐
│ ISO 27001 │ │ ISO 13485 │
│ SEGURIDAD │ │ CALIDAD SANIT. │
│ ★ Obligatorio│ │ ★ Si eres MDR │
└──────┬───────┘ └────────┬─────────┘
│ │
▼ ▼
┌──────────────┐ ┌──────────────────┐
│ ENS │ │ MARCADO CE │
│ ★ Si vendes │ │ ★ Si MDR≥Clase │
│ a público │ │ │
└──────────────┘ └──────────────────┘
1. ISO 27001 (Sistema de Gestión de Seguridad de la Información — SGSI)
La certificación más importante para un SaaS de salud.
| Aspecto | Detalle |
|---|---|
| Qué es | Sistema de gestión de seguridad de la información |
| Organismo | ISO (International Organization for Standardization) |
| Coste | 5.000–15.000 € implantación + 2.000–5.000 €/año auditoría |
| Tiempo | 4–8 meses |
| Caducidad | 3 años (auditorías anuales de seguimiento) |
Lo que implica:
- Política de seguridad documentada
- Evaluación de riesgos (metodología MAGERIT si además das ENS)
- Control de accesos (RBAC)
- Gestión de incidentes (breach notification)
- Continuidad de negocio (BCP/DRP)
- Formación y concienciación
- Auditoría interna anual
- Mejora continua
Dominios clave para tu SaaS:
A.9 Control de acceso → RBAC paciente/endocrino/admin
A.10 Cifrado → AES-256 + TLS 1.3
A.12 Seguridad operativa → Logs, monitors, backups
A.13 Seguridad comunicaciones → API segura, E2E cifrado
A.14 Adquisición de sistemas → SDLC seguro
A.16 Gestión de incidentes → Breach playbook
A.18 Cumplimiento → GDPR, LOPDGDD, ENS
🔑 Consejo: No esperes a tener la certificación para empezar. Implementa los controles desde el día 1. La certificación es el reconocimiento, no el trabajo.
2. ISO 13485 (Sistema de Gestión de Calidad para Productos Sanitarios)
Obligatoria si tu SaaS es producto sanitario (MDR clase IIa+).
| Aspecto | Detalle |
|---|---|
| Qué es | Sistema de calidad para fabricantes de productos sanitarios |
| Relación MDR | Necesaria para el marcado CE |
| Coste | 8.000–20.000 € |
| Tiempo | 6–12 meses |
Lo que añade sobre ISO 27001:
- Gestión de riesgos clínicos (ISO 14971)
- Validación de software
- Trazabilidad de diseño y desarrollo
- Evaluación clínica
- Vigilancia post-comercialización (PMCF)
- Gestión de quejas (incluyendo incidentes graves)
- Comunicación con autoridades sanitarias
ISO 13485 + ISO 27001 = La combinación ganadora para SaaS de salud
3. ENS (Esquema Nacional de Seguridad)
Obligatorio si trabajas con el sector público español.
| Aspecto | Detalle |
|---|---|
| Qué es | Marco de seguridad español para sistemas que tratan datos de las AAPP |
| Base legal | RD 3/2010 + RD 2022 actualización |
| Categorías | BÁSICA → MEDIA → ALTA |
| Coste | 3.000–10.000 € (depende de categoría) |
Para datos de salud, casi siempre es NIVEL ALTO → máximos requisitos.
Ver página dedicada: ens-esquema-nacional-seguridad
4. SOC 2 (System and Organization Controls)
Relevante si quieres clientes internacionales o EEUU.
| Aspecto | Detalle |
|---|---|
| Qué es | Auditoría de controles de seguridad (American Institute of CPAs) |
| Tipos | Tipo I (diseño) y Tipo II (operación durante 6-12 meses) |
| Coste | 15.000–40.000 € |
| Tiempo | 6–12 meses |
Principios (Trust Services Criteria):
- Security — Protección contra accesos no autorizados
- Availability — Disponibilidad del sistema
- Processing Integrity — Procesamiento íntegro de datos
- Confidentiality — Confidencialidad de la información
- Privacy — Privacidad de datos personales (el más relevante para salud)
5. UNE 179008 (Telemedicina)
Específica para servicios de telemedicina en España.
| Aspecto | Detalle |
|---|---|
| UNE 179008:1 | Requisitos para la consulta telefónica |
| UNE 179008:2 | Requisitos para la consulta por vídeo |
| UNE 179008:3 | Requisitos para la interconsulta |
No es obligatoria pero da confianza a los endocrinos que usen tu plataforma para teleconsulta.
6. Otras certificaciones relevantes
| Certificación | Para qué | ¿Obligatoria? |
|---|---|---|
| ISO 27701 | Extensión de 27001 para privacidad | No, pero complementa GDPR |
| ISO 22301 | Continuidad de negocio | No, pero recomendable |
| CIFRado CCN-STIC | Cifrado según ENS | Sí si das ENS nivel alto |
| HL7 FHIR | Interoperabilidad sanitaria | Sí si quieres EHDS-ready |
| IHE | Perfiles de intercambio sanitario | Recomendable para interoperar |
Roadmap de certificaciones para tu SaaS
FASE 1 (0-6 meses)
─ Implementar controles ISO 27001 (sin certificar)
─ Preparar documentación ENS básica
─ Arquitectura segura desde el día 1
FASE 2 (6-12 meses)
─ Certificar ISO 27001
─ Adecuación ENS nivel correspondiente
─ Si aplica MDR: iniciar ISO 13485
FASE 3 (12-24 meses)
─ Certificar ISO 13485 (si MDR)
─ Conseguir marcado CE (si MDR)
─ Auditoría SOC 2 Tipo I
─ Certificación UNE 179008
FASE 4 (24+ meses)
─ SOC 2 Tipo II
─ ENS nivel ALTO certificado
─ Interoperabilidad EHDS (FHIR)
─ ISO 27701 (privacidad)
Tabla de costes estimados
| Certificación | Implantación | Auditoría | Mantenimiento/año |
|---|---|---|---|
| ISO 27001 | 5.000–15.000 € | 2.000–5.000 € | 2.000–4.000 € |
| ISO 13485 | 8.000–20.000 € | 3.000–6.000 € | 3.000–5.000 € |
| ENS (adecuación) | 3.000–10.000 € | 1.000–3.000 € | 1.000–2.000 € |
| SOC 2 Tipo I | 15.000–30.000 € | Incluido | — |
| SOC 2 Tipo II | 20.000–40.000 € | Incluido | 10.000–15.000 € |