El Centro Criptológico Nacional ha publicado la Guía CCN-STIC 857 Requisitos de seguridad para aplicaciones de cibersalud en el contexto del ENS, disponible en la parte pública de su portal, con el objetivo de ayudar a los desarrolladores de aplicaciones de Cibersalud a elaborar aplicaciones móviles seguras.
Concretamente, a lo largo de este documento se persigue evidenciar los requisitos mínimos exigibles para el funcionamiento seguro de una aplicación de salud, es decir, aquella destinada a colaborar en la detección, diagnóstico, vigilancia y tratamiento de una enorme variedad de patologías, en el contexto del Esquema Nacional de Seguridad (ENS).
Para ello, se incluye lo que se ha denominado una Definición del Problema de Seguridad (DPS), la cual identifica los posibles escenarios de amenaza. Por tanto, los objetivos de seguridad de las aplicaciones móviles, sus plataformas y/o entornos de despliegue serán consecuencia de la DPS.
En este sentido, las diferentes medidas recogidas en la Guía para garantizar los requisitos mínimos de seguridad en las aplicaciones, los cuales deben ser satisfechos por sus fabricantes, están organizadas en función de los siguientes Objetivos de Seguridad:
- Prueba de la finalidad de la aplicación
- Prueba de la arquitectura
- Prueba del código fuente
- Prueba del software de terceros
- Prueba de la aplicación de la criptografía
- Prueba de la autenticación
- Prueba del almacenamiento y la protección de datos
- Prueba de los recursos de pago
- Prueba de las interacciones específicas de la plataforma
- Prueba de la comunicación de red
- Prueba de la resiliencia
Cabe destacar que los diferentes escenarios de amenaza y los objetivos de seguridad señalados en esta Guía se basan en la experiencia que el CCN ha venido adquiriendo a lo largo de los años, en su colaboración con otras instituciones nacionales e internacionales homólogas, en las Guías CCN-STIC del CCN y en otros documentos europeos e internacionales.