🔒 Seguridad de nivel empresarial • Cumplimiento regulatorio

Seguridad y protección de datos en KinBé

Protegemos la información más sensible: los datos de salud emocional de tus pacientes.
Cumplimiento total con NOM-004-SSA3-2012 y LFPDPPP.

🏥 NOM-004-SSA3-2012
🛡️ LFPDPPP Compliant
🔐 AES-256 Encryption
🌐 MongoDB Atlas (US)

Medidas de seguridad técnica

Implementamos múltiples capas de protección para asegurar que la información clínica esté completamente protegida

🔐

Cifrado de extremo a extremo

Todos los datos se cifran con AES-256 tanto en tránsito (TLS 1.3) como en reposo. Las claves de cifrado se rotan automáticamente cada 90 días.

  • Expedientes clínicos: AES-256-GCM
  • Comunicaciones: TLS 1.3
  • Respaldos: Cifrado diferenciado
  • Bases de datos: Cifrado transparente
🛡️

Autenticación multifactor

Autenticación de dos factores (2FA) obligatoria para todos los profesionales, con soporte para aplicaciones como Google Authenticator.

  • TOTP (Google Authenticator, Authy)
  • SMS de respaldo
  • Códigos de recuperación
  • Sesiones con timeout automático
🏢

Infraestructura segura

MongoDB Atlas en centros de datos certificados en Estados Unidos, con controles físicos y ambientales estrictos.

  • Centros de datos Tier III
  • Acceso biométrico
  • Videovigilancia 24/7
  • Sistemas de energía redundantes
🔍

Monitoreo continuo

Sistemas de detección de intrusiones y análisis de comportamiento para identificar actividades sospechosas en tiempo real.

  • SIEM (Security Information Event Management)
  • Análisis de anomalías con IA
  • Alertas automáticas
  • Logs inmutables de auditoría
📊

Segregación de datos

Cada profesional y clínica tiene su propio espacio de datos completamente aislado, con controles de acceso granulares.

  • Bases de datos por cliente
  • Aislamiento de red
  • Controles de acceso RBAC
  • Principio de menor privilegio
💾

Respaldos seguros

Respaldos automáticos diarios cifrados, con almacenamiento distribuido y pruebas regulares de recuperación.

  • Respaldos automáticos cada 6 horas
  • Retención por 7 años (NOM-004)
  • Almacenamiento en 3 ubicaciones
  • Pruebas de recuperación mensuales

Cumplimiento regulatorio

🏥 NOM-004-SSA3-2012

Cumplimiento total con la Norma Oficial Mexicana del Expediente Clínico:

Estructura del expediente: Templates que incluyen todos los campos obligatorios según la norma
Conservación: Almacenamiento seguro por mínimo 5 años (7 años en nuestro caso)
Integridad: Firma digital del profesional y protección contra alteraciones
Disponibilidad: Acceso inmediato a expedientes cuando sea requerido

🛡️ LFPDPPP

Cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Responsable vs Encargado: Roles claramente definidos en contratos DPA
Consentimiento: Herramientas para obtener y documentar consentimientos
Derechos ARCO: Funcionalidades para ejercer Acceso, Rectificación, Cancelación y Oposición
Transferencias: Controles para transferencias nacionales e internacionales

Modelo de amenazas y mitigación

Hemos identificado y mitigado las principales amenazas específicas para software de salud emocional

🎯 Amenazas identificadas y controles

Acceso no autorizado a expedientes

Riesgo: Personas no autorizadas acceden a información clínica sensible

Mitigación: Autenticación multifactor, controles de acceso RBAC, logs de auditoría, sesiones con timeout automático

Intercepción de comunicaciones

Riesgo: Intercepción de mensajes entre profesional y paciente

Mitigación: Cifrado TLS 1.3 para todas las comunicaciones, verificación de certificados, HSTS

Pérdida de datos por fallas técnicas

Riesgo: Pérdida de expedientes por fallas de hardware o software

Mitigación: Respaldos automáticos cada 6 horas, almacenamiento redundante, pruebas de recuperación

Ataques de ingeniería social

Riesgo: Manipulación de usuarios para obtener acceso

Mitigación: Capacitación continua, verificación de identidad para cambios críticos, alertas de actividad inusual

Vulnerabilidades de aplicación

Riesgo: Explotación de vulnerabilidades en el código

Mitigación: Revisiones de código, pruebas de penetración, escaneado automático de vulnerabilidades, parches regulares

Certificaciones de nuestros proveedores

Trabajamos únicamente con proveedores que cumplen con los más altos estándares de seguridad

🏆 Proveedores certificados

  • MongoDB Atlas (Almacenamiento): SOC 2 Type II, ISO 27001, HIPAA BAA
  • Soniox (Transcripción): Business Associate Agreement (BAA), SOC 2
  • Stripe (Pagos): PCI DSS Level 1, SOC 1 Type II
  • Facturama (CFDI): Certificado SAT autorizado

🚨 Plan de respuesta a incidentes

En caso de incidente de seguridad que pueda afectar datos de pacientes, seguimos un protocolo estricto:

⏰ Dentro de 1 hora

  • Activación del equipo de respuesta
  • Contención del incidente
  • Evaluación inicial del impacto

📞 Dentro de 24 horas

  • Notificación a profesionales afectados
  • Análisis forense completo
  • Plan de remediación

📋 Dentro de 72 horas

  • Notificación a INAI si aplica
  • Implementación de correcciones
  • Reporte detallado del incidente

🔄 Seguimiento continuo

  • Monitoreo post-incidente
  • Lecciones aprendidas
  • Mejoras en seguridad

Transferencias internacionales de datos

Transparencia total sobre dónde y cómo procesamos datos fuera de México

🇺🇸 Procesamiento en Estados Unidos

Ciertos datos pueden procesarse en EE.UU. con las siguientes protecciones:

Con desidentificación:

  • Anthropic (Claude): Análisis de texto sin identificadores
  • OpenAI (GPT): Procesamiento de lenguaje natural
  • xAI (Grok): Análisis de patrones

Sin desidentificación:

  • Soniox: Transcripción de audio con Business Associate Agreement (BAA)
  • Eliminación cuando el terapeuta lo aplique
  • Cifrado AES-256 en tránsito y reposo

🛡️ Salvaguardas legales

Todas las transferencias internacionales cuentan con protecciones legales:

  • Data Processing Agreements (DPA) con todos los proveedores
  • Standard Contractual Clauses (SCC) aprobadas por la UE
  • Business Associate Agreements (BAA) para datos de salud
  • Consentimiento explícito del profesional para transferencias
  • Derecho de revocación en cualquier momento
Importante: Los datos se almacenan en MongoDB Atlas (Estados Unidos) con todas las salvaguardas legales. Funcionalidades de IA procesan datos desidentificados o con BAA específico.

Recomendaciones de seguridad para profesionales

Como profesional de salud emocional, también eres responsable de mantener buenas prácticas de seguridad

💻

Seguridad del dispositivo

  • Mantén tu sistema operativo actualizado
  • Usa antivirus confiable
  • Configura bloqueo automático de pantalla
  • No compartas tu computadora de trabajo
  • Usa redes WiFi seguras (WPA3)
🔑

Gestión de contraseñas

  • Usa contraseñas únicas y complejas
  • Habilita autenticación de dos factores
  • Considera un gestor de contraseñas
  • Cambia contraseñas si sospechas compromiso
  • No compartas credenciales con nadie
👥

Prácticas clínicas

  • Cierra sesión al terminar el día
  • No dejes pantallas abiertas sin supervisión
  • Verifica identidad antes de compartir información
  • Obtén consentimientos específicos para tecnología
  • Revisa transcripciones antes de guardar
🚨

Detección de amenazas

  • Reporta actividad sospechosa inmediatamente
  • No hagas clic en enlaces sospechosos
  • Verifica solicitudes inusuales por teléfono
  • Mantente alerta a técnicas de phishing
  • Revisa regularmente los logs de acceso

🛡️ Reporte de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en KinBé, contáctanos inmediatamente.

📧 Email seguro

kinbe@coronaee.com.mx

Cifrado PGP disponible

⏰ Tiempo de respuesta

Crítica: 4 horas
Alta: 24 horas
Media/Baja: 72 horas

🏆 Bug Bounty

Programa de recompensas para vulnerabilidades verificadas

Divulgación responsable: Te pedimos no divulgar vulnerabilidades públicamente hasta que hayamos tenido oportunidad de investigar y corregir el problema.