Confianza y seguridad
Lo que tu persona de seguridad (o quien firme el DPA) necesita saber para aprobar NurseIQ. Declaramos alcance, limitaciones y hoja de ruta con la misma granularidad que usamos con nuestros abogados.
Última actualización: 2026-04-21
Cómo manejamos tus datos
NurseIQ opera bajo la Ley 25.326 de Protección de Datos Personales. Cada paciente que entra al sistema genera una base de datos inscribible bajo el registro que tu clínica tenga en la Agencia de Acceso a la Información Pública. Nosotros somos encargados del tratamiento, no responsables — la clínica cliente es responsable ante el titular del dato.
La autenticación de enfermeros y supervisores es por sesión JWT con cookies HttpOnly Secure SameSite=Strict. Ninguna credencial viaja por query-string ni localStorage. Las contraseñas se hashean con bcrypt (cost 12) — nunca en texto plano.
Los datos clínicos (FHIR Observation, Encounter, RiskAssessment) se cifran en tránsito con TLS 1.3 y en reposo con AES-256 a nivel disco del proveedor de base de datos gestionada.
Dónde viven los datos
Hoy (Abril 2026) la demo corre en Cloudflare Pages (edge) con almacenamiento en memoria — cero persistencia. La producción paga usa Postgres gestionado. La región se elige por cliente:
| Proveedor | Región | Redundancia | Clientes objetivo |
|---|---|---|---|
| Cloudflare Pages | Edge global | Anycast · multi-POP | Demo, marketing |
| Postgres gestionado | us-east-1 | 3 AZ · backups diarios 30d | Clínicas en Américas |
| Postgres gestionado | eu-central-1 (Frankfurt) | 3 AZ · backups diarios 30d | Clientes UE (GDPR) |
| Object storage (fotos, firmas) | Mismo región que DB | Replicación cross-AZ | Todos |
Retención y borrado
Por Ley 26.529 (Derechos del Paciente) las historias clínicas deben conservarse durante 10 años post-alta. NurseIQ respeta ese piso:
- Datos clínicos (Observation, Encounter, RiskAssessment): 10 años.
- Logs de auditoría (quién vió qué historia y cuándo): 5 años.
- Archivos adjuntos (fotos de heridas, firmas): 10 años, vinculados al Encounter que los originó.
- Sesiones y tokens: 24 h tras el último uso, luego expiración hard.
Pasados los 10 años, el cliente (clínica) decide: archivado frío o borrado con auditoría. Nosotros no borramos por defecto — nos obligamos a preguntar.
Tu derecho a exportar (Habeas Data)
Todo paciente tiene derecho a recibir una copia completa de sus datos — en un formato interoperable, no en un PDF que nadie puede re-importar. Implementamos esto con FHIR Bulk Data:
- Endpoint
GET /api/fhir/v1/$export?patient=:id— devuelve todos los recursos vinculados como bundle FHIR R5 firmado. - Roadmap Q3 2026: NDJSON Bulk Data async con notificación por email al titular del dato cuando el zip está listo.
- Roadmap Q4 2026: formato CDA + PDF con firma digital para portabilidad fuera del ecosistema FHIR (peritaje, migración a EHR que no hable FHIR).
Matriz de controles ISO 27799
Alineamiento, no certificación. ISO 27799 es el estándar de gestión de seguridad en salud. Certificar formalmente cuesta ~USD 30k el primer año y sólo tiene ROI con ≥3 clientes productivos. Hasta entonces publicamos esta matriz.
| Control | Estado | Próximo milestone |
|---|---|---|
| Control de acceso basado en roles (RBAC) | implementado | Roles supervisora y enfermera. Owner y admin llegan Q3 2026. |
| Autenticación multifactor (MFA) | próximamente | TOTP vía apps estándar. Q3 2026. |
| Single Sign-On (SAML / OIDC) | próximamente | Sólo para plan Enterprise. Q4 2026. |
| Cifrado en tránsito (TLS 1.3) | implementado | Cloudflare fuerza TLS 1.3, HSTS con preload. |
| Cifrado en reposo (AES-256) | implementado | Pendiente: encriptación a nivel columna para campos sensibles. |
| Logs de auditoría inmutables (WORM) | parcial | Hoy logueamos a Cloudflare Logs. WORM S3 append-only: Q4 2026. |
| Backups cifrados fuera de región | parcial | Backups diarios en la misma región. Cross-region: Q3 2026. |
| Plan de recuperación ante desastres (DRP) | próximamente | RTO 4 h, RPO 24 h. Documentación + simulacro Q4 2026. |
| Revisiones periódicas de acceso | próximamente | Trimestral. Q3 2026 con el primer cliente. |
| Pruebas de penetración externas | próximamente | Anual. Primera auditoría al cerrar 3 clientes. |
| Gestión de vulnerabilidades | parcial | GitHub Dependabot activo. SBOM + SCA formal: Q4 2026. |
| Capacitación en seguridad | próximamente | Al incorporar la primera persona clínica. 8 h al año. |
Incidentes y disclosure
Si un incidente de seguridad compromete datos de paciente lo comunicamos por email al DPO de la clínica cliente en menos de 72 h desde la detección. Si el incidente es público (ej: CVE en dependencia upstream), publicamos en nuestra status page pública.
Canales
- Reporte responsable: security@firemandeveloper.com (PGP disponible bajo solicitud)
- Status page: status.nurseiq.com (stub · primer cliente piloto)
- Ventana de disclosure coordinado: 90 días estándar.
No ofrecemos bug bounty monetario hasta cerrar primer cliente pagante. Hasta entonces reconocemos hall of fame en la status page y créditos en el changelog.
Política de privacidad
Qué recolectamos. Sólo los datos clínicos que tu clínica nos carga (signos vitales, notas, fotos de visita) y la mínima telemetría operativa (logs de request, latencia, errores). No hacemos profiling publicitario. No vendemos datos a terceros. Nunca.
Con quién compartimos. Sub-procesadores operativos (Cloudflare, proveedor de Postgres, proveedor de email transaccional). Lista completa con direcciones legales disponible a pedido antes de la firma del DPA.
Cookies. Una sola cookie de sesión (nurseiq_session). Sin trackers de terceros, sin Google Analytics, sin píxeles de Facebook. Privacy by default.
Términos de servicio
Los términos comerciales definitivos se acuerdan en el contrato con cada cliente clínico. Los principios que no negociamos:
- El cliente es dueño de sus datos. Si cancela, exportamos todo en FHIR R5 en ≤ 30 días.
- No hacemos training de modelos con datos del cliente sin un adenda específica firmada.
- SLA 99,5% mensual para tier Pro, 99,9% para Enterprise. Créditos si incumplimos.
- Cláusula de auditoría: el cliente puede pedir un SOC-type-2 vendor report cuando exista.
¿Algo acá te parece incompleto para tu compliance interno? Escribinos a hola@firemandeveloper.com. Preferimos una conversación larga antes de la firma que una sorpresa después.
Documento versionado · última actualización 2026-04-21.