COMPLIANCE

Cumplimiento HIPAA

Health Insurance Portability and Accountability Act

ECOTECH está diseñada para cumplir con los requisitos de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 de los Estados Unidos, específicamente en lo que respecta a la Regla de Privacidad (Privacy Rule) y la Regla de Seguridad (Security Rule).

1. Salvaguardas Administrativas

1.1 Gestión de Accesos

  • Autenticación multifactor: Acceso protegido con contraseñas hasheadas (bcrypt) y sesiones seguras
  • Control de acceso basado en roles (RBAC): Sistema de roles granular (Super Admin, Admin, Médico, Staff, Asistente) que limita el acceso a la información mínima necesaria para cada función
  • Registro de auditoría: Todas las acciones quedan registradas con timestamp, usuario, IP y detalle de la operación

1.2 Capacitación y Acuerdos

  • Acuerdo de Asociación Comercial (Business Associate Agreement - BAA) implícito en los Términos del Servicio
  • Políticas de privacidad y seguridad documentadas y accesibles

2. Salvaguardas Físicas

  • Centros de datos certificados ISO 27001 con control de acceso biométrico, vigilancia 24/7 y generadores de respaldo
  • Redundancia geográfica: Backups en ubicaciones físicamente separadas
  • Disposición segura: Borrado seguro de datos (DoD 5220.22-M) al finalizar el servicio

3. Salvaguardas Técnicas

✅ Encriptación AES-256 en reposo ✅ TLS 1.3 en tránsito ✅ Hashing bcrypt de contraseñas ✅ Auditoría completa (Spatie Activitylog) ✅ Aislamiento de datos por contexto ✅ Backups diarios con retención de 30 días ✅ Protección CSRF, XSS y SQL Injection ✅ Firmas digitales en documentos ✅ Códigos QR de verificación anti-falsificación

4. Controles de Integridad de Datos

  • Firmas digitales en documentos médicos que garantizan integridad y no repudio
  • Códigos QR únicos que permiten verificar la autenticidad de cada documento
  • Control de versiones en estudios e informes médicos
  • Validación de integridad mediante checksums en archivos subidos

5. Plan de Contingencia

  • Backups diarios automáticos con retención de 30 días
  • Procedimiento de restauración documentado y probado periódicamente
  • Modo de contingencia para operaciones críticas durante ventanas de mantenimiento
  • SLA de disponibilidad: 99.9% en plan Enterprise

6. Notificación de Brechas

En caso de una brecha de seguridad que afecte datos protegidos (ePHI), ECOTECH notificará al responsable del tratamiento (el profesional de la salud) dentro de las 72 horas siguientes a la confirmación de la brecha, de acuerdo con los requisitos del HIPAA Breach Notification Rule.

7. Acuerdo de Asociación Comercial (BAA)

Al aceptar los Términos del Servicio de ECOTECH, el profesional de la salud (Covered Entity) y ECOTECH (Business Associate) acuerdan cumplir con los requisitos de HIPAA. Se puede solicitar un BAA firmado contactando a info@ecotech.cloud.