Dokuflex es un gestor documental alineado con los requisitos del Esquema Nacional de Seguridad nivel Medio, ISO 27001 y RGPD. Pensado para administraciones públicas, sanidad, energía y banca. Datos cifrados en la UE, auditoría completa de accesos y trazabilidad documental lista para cualquier pliego o inspección.
El Esquema Nacional de Seguridad (ENS) es el marco regulatorio español que define los principios y requisitos mínimos de seguridad para los sistemas de información de las administraciones públicas y sus proveedores tecnológicos. Está regulado por el Real Decreto 311/2022, de 3 de mayo, que actualiza el antiguo RD 3/2010 e incorpora controles alineados con ISO/IEC 27001 y la Directiva NIS2.
El ENS clasifica los sistemas en tres niveles según el impacto que tendría un fallo de seguridad sobre la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad del servicio:
El ENS aplica de forma obligatoria a todas las administraciones públicas españolas (estatales, autonómicas y locales), a sus organismos dependientes y a los proveedores tecnológicos que les presten servicios. Desde la entrada en vigor del RD 311/2022, también aplica a operadores de servicios esenciales y de servicios digitales bajo NIS2.
Si tu organización es una administración pública o un proveedor que firma contratos con AAPP, el cumplimiento del ENS no es opcional. El artículo 156 de la Ley 9/2017 de Contratos del Sector Público (LCSP) exige que las empresas adjudicatarias acrediten medios técnicos y organizativos coherentes con el ENS para la prestación del servicio. En la práctica, los pliegos publican habitualmente como requisito mínimo el nivel ENS Medio.
Más allá de la obligatoriedad en el sector público, un gestor documental alineado con ENS es altamente recomendable en sectores regulados privados, donde los reguladores sectoriales y los clientes corporativos exigen niveles de seguridad equivalentes:
Un gestor documental sin alineamiento ENS te excluye de facto de cualquier licitación pública relevante y te expone a sanciones bajo la Ley 39/2015 (procedimiento administrativo electrónico), Ley 40/2015 (sector público) y RGPD.
Dokuflex está alineado con los requisitos técnicos y organizativos del ENS Medio definidos en el Anexo II del RD 311/2022. Esto significa que la plataforma implementa las medidas exigidas para sistemas con clasificación Media en las cinco dimensiones (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad). El equipo de compliance entrega la declaración de aplicabilidad y la matriz CCN-STIC en el pliego técnico para cada despliegue.
Datos en reposo cifrados con AES-256-GCM. Tráfico en TLS 1.3 con suites cualificadas. Gestión de claves rotada y separada por entorno.
RBAC granular por usuario, grupo, expediente y campo. MFA obligatorio para roles privilegiados. Integración SAML / OIDC con AD, Azure AD y Cl@ve.
Cada acceso, descarga, modificación y borrado queda registrado en un log inmutable con sello de tiempo cualificado. Exportable para inspecciones.
Políticas de retención configurables por tipo documental y unidad organizativa. Borrado seguro con sobreescritura criptográfica al fin del ciclo de vida.
Backups cifrados con replicación georredundante entre regiones de la UE. Pruebas de recuperación trimestrales. RPO y RTO documentados por SLA.
Procedimiento de notificación CCN-CERT alineado con la guía CCN-STIC 817. Plan de respuesta y notificación de brechas en plazos RGPD (72h).
El Centro Criptológico Nacional (CCN) publica las guías CCN-STIC, que desarrollan técnicamente cómo aplicar el ENS. Tres son especialmente relevantes para un gestor documental:
Metodología para clasificar el sistema en nivel Bajo, Medio o Alto según el impacto sobre las cinco dimensiones de seguridad. Dokuflex acompaña al cliente en esta valoración y entrega la categorización aplicable al despliegue concreto.
Checklist de comprobación que aplica el auditor externo para validar que cada medida del Anexo II del ENS está implementada. Dokuflex entrega evidencias (logs, configuraciones, políticas, capturas) en formato auditable.
Define perfiles de seguridad concretos para productos comunes (correo, gestor documental, firma electrónica). Aplicable a la matriz de controles que cubre Dokuflex en su catálogo de aplicabilidad.
El ENS no vive aislado. Las organizaciones que operan en España conviven con tres marcos complementarios, cada uno con un alcance específico:
Los tres marcos comparten controles de fondo (cifrado, acceso, auditoría, gestión de incidentes) pero responden a preguntas distintas: el ENS se pregunta "¿puedo prestar este servicio público con garantías?"; ISO 27001 se pregunta "¿gestiono la seguridad de forma sistemática?"; el RGPD se pregunta "¿respeto los derechos de los interesados?".
Dokuflex está alineado con los tres y permite mapear los controles una sola vez, reduciendo el coste de mantener tres declaraciones de aplicabilidad separadas.
Dokuflex se despliega en cuatro perfiles donde el cumplimiento ENS, ISO 27001 y RGPD es condición innegociable.
Expedientes administrativos digitales, registro electrónico, contratación pública, archivo definitivo. Cumplimiento de la Ley 39/2015 y Ley 40/2015, integración con SIR, plataformas de notificación y archivo electrónico único.
Historia clínica electrónica, consentimientos informados, gestión de pruebas y consentimiento de cesión a investigación. Datos de categoría especial (art. 9 RGPD) con cifrado reforzado, segregación por rol clínico y auditoría completa por episodio.
Contratos críticos de suministro, documentación regulatoria CNMC, expedientes de inversión sometidos a auditoría sectorial. Cumplimiento Directiva NIS2, Ley 8/2011 PIC y trazabilidad documental para reguladores europeos.
KYC, expedientes de cliente regulados (Banco de España, CNMV, SEPBLAC), contratos hipotecarios y de financiación. Cumplimiento DORA, blanqueo de capitales y conservación documental durante los plazos legales aplicables.
El artículo 156 de la Ley 9/2017 de Contratos del Sector Público regula los medios y la documentación que el adjudicatario debe aportar para acreditar su solvencia técnica. Cuando el objeto del contrato implica el tratamiento de información de las administraciones, los pliegos exigen explícitamente que el licitador cuente con medios alineados con el ENS, normalmente en nivel Medio.
En la práctica, los pliegos de prescripciones técnicas (PPT) suelen incluir cláusulas como:
"El sistema de gestión documental empleado deberá cumplir los requisitos del Esquema Nacional de Seguridad en su nivel Medio (RD 311/2022) y disponer de medidas de cifrado, control de accesos, auditoría y borrado seguro, así como ubicación de los datos dentro del Espacio Económico Europeo."
Dokuflex ayuda al licitador a cumplir el pliego con:
Si tienes una licitación en curso, el equipo de compliance entrega el dossier en 48 horas hábiles.
La auditoría ENS es un proceso periódico (al menos bienal) que verifica que el sistema mantiene los controles del nivel asignado. La conduce una entidad de certificación acreditada por ENAC, siguiendo la guía CCN-STIC 808. El procedimiento estándar comprende cinco fases:
Se aplica CCN-STIC 803 para clasificar el sistema en Bajo, Medio o Alto sobre las cinco dimensiones de seguridad. El resultado condiciona la matriz de controles aplicables.
El responsable del sistema documenta qué medidas del Anexo II aplican, cómo se implementan y qué excepciones existen. Este documento es la base de toda la auditoría posterior.
El auditor revisa políticas, procedimientos, configuraciones técnicas, logs y evidencias. Aplica el checklist CCN-STIC 808 y solicita capturas, registros y pruebas funcionales.
El auditor entrevista a responsable del sistema, responsable de seguridad y administradores. Realiza pruebas de control de accesos, recuperación de copias y revisión de incidentes históricos.
El informe final lista hallazgos (conformidades, no conformidades menores y mayores) y, si procede, emite la declaración de cumplimiento. Las no conformidades requieren plan de acción correctivo con plazos.
Dokuflex acompaña a sus clientes durante todo el proceso entregando evidencias técnicas (logs, configuraciones, capturas), la declaración de aplicabilidad de la plataforma y atención al auditor para las pruebas funcionales sobre el producto.
Dokuflex está alineado con los requisitos técnicos y organizativos del ENS Medio definidos en el RD 311/2022, ISO 27001 y RGPD. La certificación formal ENS Medio es un proceso de auditoría externa por entidad acreditada por ENAC; cuando está en curso o aplica al despliegue concreto se informa en el pliego técnico. Por transparencia: no afirmamos certificación donde existe alineamiento.
Sí. Dokuflex se ha desplegado en pliegos públicos que exigen medidas técnicas alineadas con ENS Medio (art. 156 LCSP y RD 311/2022). El equipo de compliance entrega el pliego técnico, declaración de aplicabilidad, matriz CCN-STIC y evidencias de cifrado, control de accesos, auditoría y borrado seguro requeridas en la mesa de contratación.
El RD 311/2022 define tres niveles según el impacto de un fallo de seguridad sobre el servicio prestado: Bajo (perjuicio limitado), Medio (perjuicio grave) y Alto (perjuicio muy grave o crítico). Cada nivel añade controles adicionales sobre los anteriores. ENS Medio suele aplicar a la mayoría de servicios de gestión documental de AAPP y sectores regulados con datos sensibles.
Audita cinco bloques: 1) declaración de aplicabilidad ENS firmada por el proveedor, 2) cifrado de datos en reposo (AES-256) y en tránsito (TLS 1.3), 3) control de accesos por rol y registro auditable de cada acceso, 4) política de retención y borrado seguro documentada, 5) ubicación física de los datos en la UE y matriz CCN-STIC 803/808/850. Pide evidencias verificables, no declaraciones generales.
Los datos de categoría especial (salud, biométricos, origen racial, opiniones políticas, etc.) requieren protección reforzada del art. 32 RGPD: cifrado, seudonimización, control de accesos estricto y registro completo de actividades de tratamiento. Dokuflex aplica cifrado AES-256, accesos por rol granular, log inmutable y políticas de retención configurables por tipo documental para cubrir el tratamiento de estos datos.
Sí. Las copias de seguridad se almacenan cifradas (AES-256) en centros de datos ubicados en la Unión Europea, con replicación georredundante intra-UE. No hay transferencias internacionales fuera del EEE, lo que evita los riesgos de transferencias a países sin decisión de adecuación bajo el Capítulo V del RGPD.
Información orientativa elaborada por el Equipo Compliance Dokuflex. Para casos específicos consulta tu asesoría jurídica o el órgano competente.
Solicita una demo con el equipo de compliance Dokuflex o descarga el pliego técnico ENS Medio listo para presentar en mesa de contratación.
Continúa explorando soluciones relacionadas: