Seguridad en comunicaciones
Cifrado de transporte
La plataforma SofIA requiere el uso obligatorio de protocolos seguros para todas las comunicaciones:- HTTPS (TLS 1.3): Todas las propiedades
baseUrldeben utilizar el protocolohttps:// - WebSocket Secure (WSS): Las conexiones en tiempo real mediante
wssUrlrequieren protocolowss:// - Prevención de contenido mixto: El sistema bloquea automáticamente conexiones no seguras (
http://ows://) en entornos de producción
Autenticación y autorización
- API Keys: Sistema de autenticación basado en claves de API con rotación periódica
- Control de acceso: Validación de permisos a nivel de usuario y sesión
- Trazabilidad de accesos: Registro completo de todas las operaciones realizadas
Privacidad de datos clínicos
Minimización de datos
La plataforma implementa principios de minimización de datos para reducir la exposición de información sensible:- Datos del paciente: La propiedad
patientDatadebe contener únicamente la información estrictamente necesaria para el contexto clínico - Anonimización: Eliminación de identificadores personales no esenciales para el procesamiento
- Retención limitada: Los datos se mantienen solo durante el tiempo necesario para completar las operaciones
Protección de información personal
- Cifrado en reposo: Toda la información clínica se almacena utilizando algoritmos de cifrado robustos
- Segregación de datos: Separación física y lógica entre diferentes contextos clínicos
- Controles de acceso granulares: Permisos específicos basados en roles y responsabilidades
Cumplimiento normativo
Marcado CE Clase 1
SofIA cuenta con Marcado CE como dispositivo médico de Clase I, garantizando el cumplimiento de los requisitos esenciales de seguridad y rendimiento establecidos en el Reglamento (UE) 2017/745 sobre productos sanitarios.ENS Nivel Alto
La plataforma cumple con el Esquema Nacional de Seguridad (ENS) en nivel alto, conforme al Real Decreto 311/2022, asegurando la protección adecuada de la información y servicios de las Administraciones Públicas españolas.RGPD (Reglamento General de Protección de Datos)
- Consentimiento explícito: Mecanismos para obtener y gestionar el consentimiento del paciente
- Derecho al olvido: Capacidad de eliminación completa de datos a solicitud del titular
- Portabilidad de datos: Exportación de datos en formatos estándar e interoperables
- Residencia de datos: Opciones para mantener los datos dentro de la Unión Europea
HIPAA (Health Insurance Portability and Accountability Act)
- BAA (Business Associate Agreement): Acuerdos disponibles para entidades cubiertas en Estados Unidos
- Controles administrativos: Políticas y procedimientos para la gestión de PHI
- Salvaguardas técnicas: Medidas de seguridad para el acceso y transmisión de datos
Auditoría y monitorización
Trazabilidad completa
El sistema registra de forma exhaustiva todas las operaciones para facilitar auditorías y cumplimiento:- Identificadores de sesión: Registro de
userIdypatientIdpara cada operación - Marcas temporales: Timestamp preciso de todas las transacciones
- Versionado de esquemas: Control de versiones de
toolsArgsutilizado en cada reporte - Persistencia de reportes: Trazabilidad completa desde la generación hasta el almacenamiento
Monitorización de calidad
- Validación de esquemas: Verificación automática de
toolsArgsmediante linting en el proceso de despliegue - Métricas de rendimiento: Supervisión continua de latencias WebSocket y tasas de error
- Auditoría de precisión: Procesos opcionales de evaluación de exactitud y detección de alucinaciones disponibles bajo solicitud
Controles de calidad
- Revisión médica: Integración con flujos de validación por profesionales sanitarios
- Alertas automáticas: Notificaciones ante anomalías o patrones de comportamiento irregulares
- Reportes de cumplimiento: Generación automatizada de informes para auditorías regulatorias