La información de tus pacientes, protegida al máximo estándar.
Sabemos que no tratas a cualquier paciente. Por eso protegemos sus datos con el mismo nivel de seguridad que las plataformas médicas que conoces en Estados Unidos.
Controles de Seguridad Activos
Cada control está implementado y funcionando en producción hoy. No son promesas — es lo que protege tus datos en este momento.
AES-256 Encryption at Rest
Cada dato sensible de tus pacientes se encripta antes de almacenarse. Nombre, diagnóstico, notas clínicas — todo protegido con el mismo estándar que usan los bancos.
TLS 1.3 Encryption in Transit
Toda comunicación entre tu dispositivo y nuestros servidores viaja encriptada. Nadie puede interceptar los datos en tránsito.
Zero PHI Logging
Nunca registramos información de salud protegida (PHI) en logs del sistema. Los datos de tus pacientes no aparecen en registros de depuración, monitoreo ni análisis.
Signed URLs Temporales
Los PDFs generados se almacenan encriptados en Google Cloud Storage. Los enlaces de acceso expiran automáticamente en 1 hora — sin acceso permanente, sin links compartibles.
GCP Secret Manager
Todas las credenciales y API keys se almacenan en Google Cloud Secret Manager — nunca en código fuente, nunca en variables de entorno expuestas.
Firebase Authentication
Autenticación gestionada por Google Firebase con tokens JWT firmados. Soporte para login social y verificación de email.
Ciclo de Vida de tus Datos
Transparencia total sobre qué pasa con la información desde que dictas hasta que recibes el PDF.
Tú dictas o escribes la nota clínica
Transmisión encriptada via TLS 1.3 desde tu dispositivo.
Procesamiento con inteligencia artificial
La nota se procesa en segundos. Los datos se envían encriptados a Anthropic (Claude AI) para extracción estructurada. Solo se procesan en memoria — nunca se almacenan en los servidores de Anthropic.
Datos encriptados en base de datos
Campos sensibles (nombre, diagnóstico, datos clínicos) se encriptan con AES-256 antes de almacenarse en PostgreSQL. Ni siquiera un administrador de base de datos puede leerlos en texto plano.
PDF generado y almacenado en Google Cloud
El informe médico se genera via DocSpring y se almacena encriptado en Google Cloud Storage (gs://medgenius-pdfs).
Acceso temporal con signed URL
Recibes un enlace firmado que expira en 1 hora. Después de eso, se requiere una nueva autorización para acceder al documento.
Infraestructura
Construido sobre Google Cloud Platform — la misma infraestructura que usan Mayo Clinic, Cleveland Clinic y los principales sistemas de salud de Estados Unidos.
Google Cloud Run
Servidores serverless con auto-scaling. Región us-central1.
Cloud SQL (PostgreSQL)
Base de datos gestionada con backups automáticos y PHI encriptada.
Cloud Storage
PDFs encriptados at rest con acceso via signed URLs temporales.
Roadmap de Compliance
Creemos en la transparencia. Aquí puedes ver exactamente dónde estamos y hacia dónde vamos en certificaciones formales.
Controles de Seguridad Implementados
- Encriptación AES-256 at rest para toda PHI
- TLS 1.3 para datos in transit
- Zero PHI logging en toda la plataforma
- Secret Manager para credenciales
- Signed URLs con expiración automática
- Rate limiting y protección contra abuso
Audit Trail para Doctores
- Log visible de cada sesión de extracción
- Confirmación de encriptación en tiempo real
- Historial de acceso a documentos
SOC 2 Type I
- Auditoría formal de controles de seguridad
- Plataforma de monitoreo continuo
- Penetration testing por firma independiente
SOC 2 Type II + HIPAA
- Período de observación de 6–12 meses
- Certificación HIPAA formal
- Business Associate Agreements (BAA)
Subprocesadores
Estos son los servicios de terceros que procesan datos como parte de MedGenius. Todos cuentan con certificaciones de seguridad propias.
Lo que NUNCA hacemos
Tan importante como lo que hacemos es lo que nos comprometemos a nunca hacer.
No vendemos datos
La información de tus pacientes jamás se vende, comparte o utiliza para publicidad. Punto.
No entrenamos IA con tus datos
Usamos Anthropic (Claude) con su política de zero data retention. Tus notas clínicas no entrenan modelos de IA.
No almacenamos PHI en logs
Nuestros logs de sistema registran eventos técnicos, nunca información de salud protegida.
No permitimos acceso sin autorización
Ni siquiera nuestro equipo técnico puede leer datos de pacientes — están encriptados con llaves que no poseemos en texto plano.
¿Tienes preguntas sobre seguridad?
Nuestro equipo está disponible para responder cualquier consulta sobre cómo protegemos la información de tus pacientes. También podemos completar cuestionarios de seguridad de tu institución.