Seguridad de nivel hospitalario: ORPHAMIND implementa controles técnicos, administrativos y físicos alineados con HIPAA, ISO 27001 y GDPR para proteger la información clínica sensible.
1. ¿Qué es HIPAA y por qué importa?
La Health Insurance Portability and Accountability Act (HIPAA) es el estándar federal de Estados Unidos para la protección de información de salud protegida (PHI). Aunque ORPHAMIND opera desde Chile, adoptamos los estándares HIPAA como marco de referencia por ser el estándar internacional más riguroso en seguridad de datos clínicos, junto con ISO 27001.
2. Controles de Seguridad Implementados
Cifrado en tránsito y reposo
TLS 1.3 para todas las comunicaciones. AES-256 para datos almacenados.
Autenticación multifactor
MFA obligatorio para todos los usuarios con acceso a datos clínicos.
Auditoría de accesos
Log completo de todos los accesos y operaciones sobre datos sensibles.
Control de acceso por roles
RBAC granular: cada usuario accede solo a los datos que su rol requiere.
Anonimización de datos
Datos clínicos procesados bajo protocolos de anonimización HIPAA Safe Harbor.
Respaldo y recuperación
Backups automáticos cada 6 horas. RTO < 4 horas, RPO < 1 hora.
3. Infraestructura y Alojamiento
La plataforma ORPHAMIND opera sobre infraestructura cloud con certificación SOC 2 Tipo II y ISO 27001. Los servidores de procesamiento de datos clínicos se encuentran en centros de datos con certificación HIPAA ubicados en la Unión Europea.
- Redundancia geográfica con failover automático
- Pruebas de penetración externas realizadas anualmente
- Monitoreo de seguridad 24/7 con alertas en tiempo real
- Política de divulgación responsable de vulnerabilidades
4. Acuerdos de Asociado de Negocios (BAA)
Para instituciones que comparten información de salud protegida (PHI) con ORPHAMIND, ofrecemos la firma de un Business Associate Agreement (BAA), requerido por HIPAA para el procesamiento legal de PHI. Contacta a compliance@orphamind.cl para iniciar este proceso.
5. Gestión de Incidentes de Seguridad
ORPHAMIND cuenta con un protocolo documentado de respuesta a incidentes que incluye:
- Detección y contención en menos de 1 hora para incidentes críticos
- Notificación a usuarios afectados en menos de 72 horas (según GDPR)
- Notificación a autoridades regulatorias cuando sea requerido
- Análisis post-incidente y mejora continua
6. Capacitación y Cultura de Seguridad
Todo el personal de ORPHAMIND recibe capacitación anual en seguridad de la información y protección de datos de salud. El acceso a datos sensibles requiere certificación interna y está sujeto a revisión periódica.
7. Reportar una Vulnerabilidad
Si descubres una vulnerabilidad de seguridad en ORPHAMIND, te pedimos que la reportes de forma responsable a seguridad@orphamind.cl. Nos comprometemos a responder en menos de 48 horas y a reconocer públicamente las contribuciones válidas.