Seguridad y Cumplimiento
Última actualización: Abril 2026
Cinco dominios donde aplicamos controles técnicos, organizativos y contractuales para proteger los datos de tu consulta.
Cifrado extremo a extremo
Datos protegidos en tránsito y en reposo, sin excepciones.
- TLS 1.2+ en todas las conexiones
- AES-256 para datos en reposo
- Gestión de llaves con rotación automática
- Hashing robusto de credenciales (bcrypt/argon2)
Control de accesos
Cada usuario ve solo lo que necesita para su rol.
- RBAC: roles por médico, admisión, admin
- Segundo factor (2FA) disponible
- Aislamiento por tenant (multi-clínica)
- Principio de mínimo privilegio
Auditoría inmutable
Todo acceso a ficha clínica queda registrado.
- Logs de acceso, edición y exportación
- Registros con timestamp, IP y usuario
- Retención prolongada e integridad verificable
- Visibilidad para compliance de la clínica
Infraestructura resiliente
Cloud de clase mundial con redundancia geográfica.
- Proveedores certificados (ISO 27001 / SOC 2)
- Respaldos cifrados y probados periódicamente
- Redes privadas, firewall y WAF
- Monitoreo 24/7 de infraestructura
IA responsable
IA como copiloto del profesional, nunca sustituto.
- No entrenamos modelos con datos identificables
- Proveedores con cláusulas de no retención
- Auditoría específica de acciones de IA
- El profesional valida siempre la salida clínica
Continuidad operacional
Porque una clínica no puede detenerse.
- Objetivo RPO ≤ 1h · RTO ≤ 4h
- Plan de recuperación ante desastres (DRP)
- Escalamiento y guardia de incidentes
- Ventanas de mantención notificadas
Seguridad en el ciclo de vida
La seguridad no se agrega al final: se diseña desde la primera línea de código.
Diseño
Modelado de amenazas, revisiones de arquitectura, privacidad por diseño desde el kickoff.
Desarrollo
Revisión de código obligatoria, linters de seguridad, gestión de secretos, dependencias auditadas.
Pruebas
SAST, DAST y pruebas automatizadas en cada despliegue. Pentests periódicos planificados.
Operación
Monitoreo continuo, alertas de anomalías, parcheo oportuno y gestión de vulnerabilidades.
Gestión de incidentes
Un plan documentado, probado y comunicado con nuestras clínicas.
- Detección y triage 24/7
- Notificación a la clínica sin demora injustificada
- Análisis de causa raíz (RCA) documentado
- Lecciones aprendidas y mejora continua
Reportar incidente a security@leucode.ia
Divulgación responsable
Si eres investigador de seguridad y encontraste una vulnerabilidad, queremos saberlo.
- Reporta a security@leucode.ia con detalle reproducible
- No explotes ni accedas a datos de terceros
- Te responderemos en 72 horas hábiles
- Reconocimiento público opcional tras la mitigación
Subencargados de confianza
Trabajamos con proveedores líderes bajo acuerdos de tratamiento de datos y cláusulas de confidencialidad.
Cloud e infraestructura
Proveedores certificados ISO 27001 / SOC 2 con presencia regional LATAM.
Bases de datos gestionadas
Cifrado en reposo, respaldos automáticos y alta disponibilidad.
Comunicaciones
Correo transaccional, SMS y videollamada con proveedores especializados.
Modelos de IA
Cláusulas de no retención y no entrenamiento con datos del cliente.
Pagos
Pasarelas certificadas PCI-DSS cuando aplica facturación a pacientes.
Observabilidad
Monitoreo, métricas y logs agregados sin datos clínicos identificables.
¿Necesitas documentación adicional?
Entregamos a clínicas contratantes: DPA, lista de subencargados, políticas de seguridad, matriz de controles y cuestionarios de due diligence (CAIQ).
© 2026 Leucode.IA · Todos los derechos reservados.