FuncionesCómo funcionaBeneficiosPlanes Iniciar sesión Crear cuenta
← Volver al inicio

Alineado con HIPAA

Última actualización: 1 de marzo de 2025

DoctorEscribe adopta como referencia los estándares de la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) de los Estados Unidos, considerados el estándar global de oro para la protección de información médica electrónica protegida (ePHI). Si bien HIPAA es una regulación federal estadounidense, sus principios de seguridad son aplicados por DoctorEscribe en beneficio de todos nuestros usuarios en Latinoamérica, garantizando un nivel de protección que supera los requisitos mínimos de la mayoría de las legislaciones regionales de salud digital.

1. Compromiso con la Protección de Datos

En DoctorEscribe entendemos que la información médica de los pacientes es de los datos más sensibles que existen. Un incidente de seguridad en el ámbito clínico no solo tiene consecuencias legales, sino que puede afectar la confianza del paciente, la reputación del médico y, en casos extremos, el bienestar del paciente. Por esta razón, hemos diseñado nuestra arquitectura de seguridad desde cero con un enfoque de "privacidad por diseño" (privacy by design), integrando la protección de datos en cada capa de nuestra plataforma.

Nuestro compromiso con la seguridad incluye:

Evaluaciones periódicas de riesgo: Realizamos análisis formales de riesgos de seguridad al menos una vez al año, así como después de cualquier cambio significativo en nuestra infraestructura o procesos.

Políticas documentadas: Mantenemos políticas y procedimientos formales de seguridad de la información, acceso a datos, respuesta a incidentes y destrucción segura de datos.

Capacitación continua: Todo el personal de DoctorEscribe que tiene acceso a sistemas con datos de usuarios recibe capacitación en seguridad de la información y HIPAA al incorporarse, y actualización anual obligatoria.

Acuerdos con socios: Todos nuestros proveedores y socios de negocio que procesan datos en nombre de DoctorEscribe suscriben Acuerdos de Socio de Negocios (Business Associate Agreements, BAA) que los obligan a cumplir con estándares equivalentes de seguridad.

2. Salvaguardas Técnicas

Las salvaguardas técnicas son los controles tecnológicos que implementamos para proteger la información médica electrónica. Estas incluyen:

Cifrado en Tránsito

Todo el tráfico de datos entre el dispositivo del usuario y los servidores de DoctorEscribe está cifrado con TLS 1.3 (Transport Layer Security versión 1.3), el protocolo criptográfico más moderno y seguro disponible. TLS 1.3 ofrece mejoras significativas sobre versiones anteriores, incluyendo un handshake más rápido y la eliminación de algoritmos criptográficos obsoletos. No permitimos conexiones mediante versiones anteriores de TLS o SSL.

Cifrado en Reposo

Todos los datos almacenados en nuestra infraestructura —incluyendo notas clínicas, transcripciones, información de pacientes y archivos adjuntos— están cifrados mediante AES-256 (Advanced Encryption Standard con clave de 256 bits), el estándar de cifrado simétrico aprobado por el gobierno de los Estados Unidos para información clasificada. Las claves de cifrado se gestionan mediante un servicio de gestión de claves (KMS) con rotación automática periódica.

Pistas de Auditoría

Mantenemos registros de auditoría completos e inmutables de todas las operaciones de acceso, creación, modificación y eliminación de datos sensibles. Estos registros incluyen: identificación del usuario que realizó la acción, timestamp con zona horaria, tipo de operación realizada, dirección IP del dispositivo, y el recurso específico al que se accedió. Los registros de auditoría se conservan por un mínimo de 12 meses y están protegidos contra modificación no autorizada.

Control de Acceso Granular

Implementamos controles de acceso técnicos que garantizan que cada usuario solo pueda ver y modificar los datos a los que tiene autorización explícita. El acceso a datos clínicos requiere autenticación válida en cada sesión, y las sesiones inactivas se cierran automáticamente después de un período configurable.

Autenticación Segura

Las contraseñas de usuarios se almacenan utilizando algoritmos de hash criptográfico seguros (bcrypt con factor de costo elevado), lo que garantiza que incluso en el hipotético caso de una brecha en la base de datos, las contraseñas no puedan ser recuperadas en texto plano. Adicionalmente, ofrecemos y recomendamos la activación de autenticación de dos factores (2FA) para todas las cuentas.

Seguridad en la Transmisión de Audio

Las grabaciones de audio de consultas se transmiten de forma cifrada en tiempo real para su procesamiento. No se almacenan en el dispositivo del usuario ni en servidores intermedios. El procesamiento se realiza en memoria y el audio no se persiste después de completar la transcripción, salvo que el usuario active explícitamente el archivado de audio.

3. Salvaguardas Administrativas

Las salvaguardas administrativas son las políticas, procedimientos y procesos organizacionales que complementan las medidas técnicas de seguridad:

Control de Acceso Basado en Roles (RBAC)

DoctorEscribe implementa un sistema de control de acceso basado en roles tanto para los usuarios de la plataforma como para el personal interno de la Empresa. Cada rol tiene definidos los permisos específicos que le corresponden, y ningún usuario —interno o externo— puede acceder a recursos para los que no tiene autorización explícita según su rol.

Para el personal interno de DoctorEscribe, el acceso a sistemas de producción con datos de usuarios está limitado a un número mínimo de empleados con necesidad legítima y debidamente justificada. Todos los accesos internos requieren autenticación multifactor y se registran en los logs de auditoría.

Principio de Acceso Mínimo Necesario

Seguimos el principio de "mínimo privilegio necesario" (least privilege / minimum necessary access), que establece que cada usuario, sistema o proceso debe tener acceso únicamente a los recursos y datos estrictamente necesarios para cumplir su función. Aplicamos este principio en todos los niveles: acceso de usuarios a datos de pacientes, acceso de empleados a sistemas internos, y permisos de servicios y microservicios entre sí.

Gestión de Incidentes

Contamos con procedimientos documentados para la gestión de incidentes de seguridad, que incluyen identificación, contención, erradicación, recuperación y análisis post-incidente. El equipo de seguridad está disponible para responder a incidentes críticos las 24 horas.

Continuidad del Negocio

Mantenemos planes de continuidad de negocio y recuperación ante desastres que incluyen copias de seguridad cifradas y redundantes, con pruebas periódicas de restauración para garantizar la recuperabilidad de los datos.

4. Almacenamiento y Procesamiento de Datos

Infraestructura en la nube: DoctorEscribe opera sobre infraestructura en la nube con las más altas certificaciones de seguridad de la industria, incluyendo SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 y PCI DSS.

Ubicación de los servidores: Todos los datos de DoctorEscribe se almacenan y procesan en servidores ubicados en los Estados Unidos, en centros de datos certificados. No realizamos transferencias de datos a regiones con marcos legales de protección de datos menos robustos.

Copias de seguridad: Los datos se respaldan de forma automática y continua. Las copias de seguridad están cifradas con los mismos estándares que los datos en producción y se almacenan en ubicaciones geográficamente distribuidas para protección ante desastres.

Separación de datos: Los datos de cada usuario y organización están lógicamente separados de los de otros usuarios. No existe ningún mecanismo que permita a un usuario acceder a los datos de otro.

Eliminación segura: Cuando se eliminan datos (por solicitud del usuario o por vencimiento del período de retención), se realiza una eliminación segura que garantiza que los datos no sean recuperables, incluyendo la purga de todas las copias de seguridad una vez que el período de retención ha finalizado.

5. Responsabilidades del Consentimiento del Paciente

DoctorEscribe opera bajo un modelo de responsabilidad compartida en lo que respecta al consentimiento del paciente. Es importante que todos nuestros usuarios comprendan claramente las responsabilidades de cada parte:

Responsabilidad del profesional de salud: El médico o profesional de salud que utiliza DoctorEscribe es el único responsable de obtener el consentimiento informado del paciente antes de grabar la consulta o procesar su información médica. Este consentimiento debe ser libre, previo, informado y específico, conforme a las leyes y regulaciones aplicables en el país donde se ejerce la práctica médica.

Contenido mínimo del consentimiento: Recomendamos que el consentimiento informado incluya al menos: una descripción del uso de herramientas de IA para transcripción y generación de notas, los datos específicos que se procesarán, quién tiene acceso a esos datos, por cuánto tiempo se conservarán, y el derecho del paciente a retirar su consentimiento. DoctorEscribe provee plantillas de consentimiento orientativas que pueden ser adaptadas a las necesidades de cada práctica y jurisdicción.

Responsabilidad de DoctorEscribe: Una vez que el profesional de salud ha obtenido el consentimiento del paciente y ha procesado sus datos en la plataforma, DoctorEscribe asume la responsabilidad de proteger dichos datos de acuerdo con los estándares descritos en este documento y en nuestra Política de Privacidad.

Menores de edad: Para pacientes menores de edad, el consentimiento debe ser otorgado por el padre, madre o tutor legal, de acuerdo con la legislación local aplicable. El profesional de salud es responsable de obtener y documentar este consentimiento parental.

6. Procedimientos de Respuesta a Incidentes

A pesar de todas nuestras medidas preventivas, reconocemos que ningún sistema es completamente invulnerable. Por ello, contamos con procedimientos robustos para responder ante posibles incidentes de seguridad:

Detección y clasificación: Contamos con sistemas automatizados de detección de anomalías y un equipo de seguridad que monitorea continuamente los sistemas en busca de indicios de acceso no autorizado, comportamiento inusual o violaciones de seguridad. Los incidentes se clasifican por severidad (crítico, alto, medio, bajo) para priorizar la respuesta.

Contención inmediata: Ante la detección de un incidente de seguridad, el primer paso es contener la brecha para limitar el daño potencial. Esto puede incluir el bloqueo de cuentas comprometidas, el aislamiento de sistemas afectados o la revocación de credenciales de acceso.

Investigación y erradicación: Una vez contenido el incidente, realizamos una investigación forense para determinar el origen, alcance e impacto del incidente, y procedemos a eliminar la causa raíz del problema.

Notificación a usuarios: En caso de una brecha de seguridad que afecte datos de usuarios, notificaremos a los afectados dentro de las 72 horas siguientes a la confirmación del incidente, conforme a lo requerido por las regulaciones aplicables. La notificación incluirá: naturaleza de la brecha, datos potencialmente afectados, medidas tomadas, y recomendaciones para los usuarios afectados.

Reporte a autoridades: Notificaremos a las autoridades regulatorias competentes dentro de los plazos establecidos por la legislación aplicable.

Análisis post-incidente: Después de cada incidente, realizamos un análisis detallado para identificar lecciones aprendidas e implementar mejoras que prevengan incidentes similares en el futuro.

7. Contacto para Consultas de Seguridad

Si tiene preguntas sobre nuestras prácticas de seguridad y alineamiento con HIPAA, si desea reportar una vulnerabilidad o preocupación de seguridad, o si necesita información adicional para evaluar si DoctorEscribe cumple con los requisitos de su organización, comuníquese con nosotros:

Correo electrónico de seguridad: soporte@doctorescribe.com

Asunto recomendado: "Consulta de seguridad – [descripción breve]" o "Reporte de vulnerabilidad – [descripción breve]"

Tiempo de respuesta: Respondemos todas las consultas de seguridad dentro de las 24 horas hábiles. Para reportes de vulnerabilidades críticas, contamos con un proceso de respuesta acelerada.

Divulgación responsable: Si descubre una vulnerabilidad de seguridad en nuestra plataforma, le pedimos que nos la reporte de forma responsable a través de nuestro correo de seguridad antes de divulgarla públicamente. Agradecemos la colaboración de la comunidad de seguridad y nos comprometemos a responder de manera oportuna y profesional a todos los reportes de buena fe.

Para solicitudes de Acuerdos de Socio de Negocios (BAA) o evaluaciones de seguridad corporativas, contáctenos directamente para coordinar el proceso correspondiente.