Seguridad

Protocolo de infraestructura clínica

Protegemos los datos clínicos con prácticas estándar de la industria. Esta página describe las medidas técnicas concretas; para el detalle legal y los procesadores externos consulta el Aviso de Privacidad.

Cifrado

  • En tránsito: toda comunicación entre tu navegador y nuestros servidores usa TLS 1.2 o superior (HTTPS). Los formularios, las llamadas a la IA y la descarga de PDFs viajan cifrados.
  • En reposo: los datos almacenados en disco y los respaldos están cifrados mediante los mecanismos de cifrado del proveedor de infraestructura.

Importante: medynota no implementa cifrado de extremo a extremo (E2E). Nuestros servidores y los proveedores de IA descritos en el Aviso de Privacidad procesan el contenido en texto claro durante el tiempo necesario para generar la nota SOAP, la transcripción o la extracción de signos vitales. Es la única forma en que una IA puede dar estructura a tu dictado.

Aislamiento por cuenta

Cada cuenta tiene su propia base de datos aislada en el servidor. No existe acceso cruzado entre clientes: los datos clínicos de tu práctica no pueden ser consultados desde otra cuenta, ni siquiera por error de configuración.

Control de acceso del personal

El acceso del equipo de medynota a datos clínicos está restringido al personal autorizado y únicamente con fines de soporte técnico o continuidad del servicio. Registramos accesos internos a datos clínicos para fines de auditoría.

Pagos

Los cobros se procesan a través de Stripe, que cumple con el estándar PCI DSS. medynota no almacena el número completo de tu tarjeta ni el CVV.

Monitoreo y actualizaciones

Monitoreamos vulnerabilidades en nuestras dependencias y actualizamos componentes regularmente para incorporar parches de seguridad. Los formularios públicos están protegidos con Cloudflare Turnstile contra abuso automatizado, y nuestros endpoints aplican limitaciones de tasa (rate limiting).

Referencias normativas

Diseñamos la plataforma tomando como referencia:

  • LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México).
  • NOM-004-SSA3-2012: norma del expediente clínico.
  • NOM-024-SSA3-2012: norma para sistemas de información de registro electrónico para la salud.

Tomamos estas normas como referencia de diseño. medynota no se presenta como certificado por ningún ente gubernamental.

Reporte de vulnerabilidades

Si detectas un problema de seguridad, contáctanos en [email protected]. Agradecemos los reportes responsables y damos crédito a quienes ayudan a mejorar la plataforma.