Cifrado en tránsito
Todas las conexiones usan TLS 1.3 (Let's Encrypt + Cloudflare). HSTS forzado con preload. Configuración A+ en SSL Labs.
Disponible
Seguridad y Compliance
Tu información clínica, protegida con la misma rigurosidad que exiges al expediente médico
Esta página describe nuestra arquitectura de seguridad de forma honesta: qué tenemos hoy, qué está en roadmap y qué decisiones tomamos. Si algo no está implementado, lo decimos claramente.
Cifrado en reposo
Disco del VPS cifrado con LUKS. Contraseñas con bcrypt (cost 12). API keys cifradas con clave maestra aislada de la base de datos.
DisponibleAutenticación robusta
Login con email + contraseña. 2FA TOTP (Google Authenticator, Authy) con códigos de recuperación. WebAuthn / Passkeys para hardware keys (YubiKey, FaceID, TouchID).
DisponiblePrivacy by design
No entrenamos modelos con datos de usuarios. No vendemos información. Las conversaciones se cifran al guardarse y solo son legibles desde tu cuenta autenticada.
DisponibleAudit logs append-only
Cada login, cambio de plan, exportación o consulta sensible queda registrado en un audit log inmutable. Retención de 2 años por defecto.
DisponibleBackups multi-capa
Diario: dump cifrado de PostgreSQL + paquete monolítico completo. Triple destino: local (LUKS), Cloudflare R2 (S3-compatible) y Google Drive (cifrado GPG). Drill de restauración trimestral.
DisponibleAislamiento de PHI
Los datos clínicos nunca se mandan a APIs externas sin redacción previa. Logs estructurados eliminan automáticamente identificadores potenciales.
En roadmap Q3 2026Business Associate Agreement (BAA)
Para instituciones que requieren BAA bajo HIPAA. Acuerdo firmado disponible al activar plan empresarial. Si tu institución lo necesita antes, contáctanos para una revisión anticipada.
Disponible Q3 2026Certificación SOC 2 Type II
En proceso. Auditoría externa de controles operacionales, seguridad y disponibilidad. Reporte preliminar disponible bajo NDA.
En proceso 2027Compliance regulatorio
LOPDP Ecuador
Cumplimos la Ley Orgánica de Protección de Datos Personales del Ecuador: consentimiento explícito, derechos ARCO, registro de tratamiento de datos, transferencias internacionales documentadas.
Cumplimiento activoGDPR (UE)
Base legal documentada para cada procesamiento. Derechos de portabilidad, rectificación y olvido implementados. DPA (Data Processing Agreement) disponible bajo solicitud.
Cumplimiento activoHIPAA-aligned (EE.UU.)
Arquitectura técnica alineada con los Safeguards Administrativos, Físicos y Técnicos de HIPAA Security Rule. BAA disponible Q3 2026 para clientes institucionales.
Técnico OK · BAA Q3 2026Reporte responsable de vulnerabilidades
Si encontraste una vulnerabilidad, escríbenos a [email protected]. Reconocemos investigaciones serias en nuestro hall of fame (próximamente). Respondemos en menos de 72 h.