Seguridad y Compliance

Los datos de tus pacientes son sagrados. Esto es exactamente como los protegemos.

🔒 Proteccion de Datos

  • Diseñado para cumplir RGPD (EU) + LOPD-GDD (España)
  • AI Act (EU): trazabilidad, human-in-the-loop
  • Datos primarios alojados en la UE (Irlanda). Algunos subprocesadores fuera del EEE bajo SCCs.
  • Cifrado TLS 1.3 en transito, AES-256 en reposo
  • Tokens WhatsApp cifrados via pgcrypto (Supabase)
  • Aislamiento por clinica (multi-tenant)

🤖 Transparencia IA (AI Act)

  • Cada respuesta IA registrada con modelo, intent, confianza
  • Derivacion automatica a humano cuando hay incertidumbre
  • La IA nunca diagnostica — solo organiza informacion
  • Audit trail completo: quien hizo que, cuando, con que modelo
  • Override humano documentado (human_override flag)
  • SLA de handoff con deadline y tracking de cumplimiento

👤 Derechos del Paciente

  • Consentimiento explicito antes de la primera respuesta IA
  • 'Darme de baja' = anonimizacion + borrado automatico
  • Portal de paciente: citas, documentos, pagos, historial
  • Exportacion CSV de datos disponible para el admin
  • DPA (Data Processing Agreement) disponible
  • Borrado a los 90 dias tras cancelacion de cuenta

🏗️ Infraestructura

  • Cloudflare Workers (SOC 2, ISO 27001) — edge global
  • Supabase PostgreSQL EU-Ireland (SOC 2, cifrado)
  • Upstash Redis + QStash EU (cifrado, SOC 2)
  • OpenAI (SOC 2, datos no usados para entrenar)
  • Stripe (PCI DSS Level 1)
  • Sentry EU (RGPD-safe, sin PII en reportes)

🔐 Verificacion de Webhooks

  • WhatsApp (Meta): firma HMAC-SHA256
  • Stripe: HMAC-SHA256 + proteccion replay 5 min
  • Cal.com: verificacion de firma HMAC
  • Portal paciente: URLs firmadas con expiracion 24h
  • Rate limiting: 20 msg/min por telefono, 1000/h por clinica
  • Circuit breaker para fallos de servicios externos

📋 Respuesta a Incidentes

  • Deteccion: alertas Sentry + monitoreo UptimeRobot
  • Respuesta: <15 min en horario laboral
  • Comunicacion: notificacion WhatsApp al owner de la clinica
  • Resolucion: deploy via CI/CD (tests + staging automatico)
  • Post-mortem: revision audit log + causa raiz documentada

¿Necesitas mas informacion?

Contacta con nuestro equipo para DPA, auditorias, o cualquier consulta de compliance.

Contactar Politica de Privacidad