Saltar al contenido principal
SofIA implementa múltiples capas de seguridad para garantizar la protección de datos clínicos sensibles y el cumplimiento de las normativas internacionales de privacidad en el sector sanitario.
SofIA cuenta con Marcado CE como dispositivo médico Clase I y cumple con los estándares ENS Alto, RGPD y HIPAA.

Capas de Seguridad

Seguridad de transporte

  • HTTPS (TLS 1.3) — Todas las comunicaciones REST API
  • WSS — Conexiones WebSocket de transcripción

Aislamiento del cliente

  • Shadow DOM — Encapsulación completa de DOM y estilos
  • Almacenamiento cifrado — Cifrado de datos de sesión local

Seguridad del servidor

  • Autenticación API Key — Validación a nivel de solicitud
  • Registro de auditoría — Trazabilidad completa de operaciones

Privacidad de datos

  • Anonimización PII — Enmascaramiento automático antes del procesamiento IA
  • Sin persistencia — Los datos clínicos no se almacenan más allá de la sesión

Seguridad en comunicaciones

Cifrado de transporte

La plataforma SofIA requiere el uso obligatorio de protocolos seguros para todas las comunicaciones:
  • HTTPS (TLS 1.3): Todas las propiedades baseUrl deben utilizar el protocolo https://
  • WebSocket Secure (WSS): Las conexiones en tiempo real mediante wssUrl requieren protocolo wss://
  • Prevención de contenido mixto: El sistema bloquea automáticamente conexiones no seguras (http:// o ws://) en entornos de producción

Autenticación y autorización

  • API Keys: Sistema de autenticación basado en claves de API con rotación periódica
  • Control de acceso: Validación de permisos a nivel de usuario y sesión
  • Trazabilidad de accesos: Registro completo de todas las operaciones realizadas

Privacidad de datos clínicos

Minimización de datos

La plataforma implementa principios de minimización de datos para reducir la exposición de información sensible:
  • Datos del paciente: La propiedad patientData debe contener únicamente la información estrictamente necesaria para el contexto clínico
  • Anonimización: Eliminación de identificadores personales no esenciales para el procesamiento
  • Retención limitada: Los datos se mantienen solo durante el tiempo necesario para completar las operaciones

Protección de información personal

  • Cifrado en reposo: Toda la información clínica se almacena utilizando algoritmos de cifrado robustos
  • Segregación de datos: Separación física y lógica entre diferentes contextos clínicos
  • Controles de acceso granulares: Permisos específicos basados en roles y responsabilidades

Cumplimiento normativo

Marcado CE Clase 1

SofIA cuenta con Marcado CE como dispositivo médico de Clase I, garantizando el cumplimiento de los requisitos esenciales de seguridad y rendimiento establecidos en el Reglamento (UE) 2017/745 sobre productos sanitarios.

ENS Nivel Alto

La plataforma cumple con el Esquema Nacional de Seguridad (ENS) en nivel alto, conforme al Real Decreto 311/2022, asegurando la protección adecuada de la información y servicios de las Administraciones Públicas españolas.

RGPD (Reglamento General de Protección de Datos)

  • Consentimiento explícito: Mecanismos para obtener y gestionar el consentimiento del paciente
  • Derecho al olvido: Capacidad de eliminación completa de datos a solicitud del titular
  • Portabilidad de datos: Exportación de datos en formatos estándar e interoperables
  • Residencia de datos: Opciones para mantener los datos dentro de la Unión Europea

HIPAA (Health Insurance Portability and Accountability Act)

  • BAA (Business Associate Agreement): Acuerdos disponibles para entidades cubiertas en Estados Unidos
  • Controles administrativos: Políticas y procedimientos para la gestión de PHI
  • Salvaguardas técnicas: Medidas de seguridad para el acceso y transmisión de datos

Auditoría y monitorización

Trazabilidad completa

El sistema registra de forma exhaustiva todas las operaciones para facilitar auditorías y cumplimiento:
  • Identificadores de sesión: Registro de userId y patientId para cada operación
  • Marcas temporales: Timestamp preciso de todas las transacciones
  • Versionado de esquemas: Control de versiones de template utilizado en cada reporte
  • Persistencia de reportes: Trazabilidad completa desde la generación hasta el almacenamiento

Monitorización de calidad

  • Validación de esquemas: Verificación automática de template mediante linting en el proceso de despliegue
  • Métricas de rendimiento: Supervisión continua de latencias WebSocket y tasas de error
  • Auditoría de precisión: Procesos opcionales de evaluación de exactitud y detección de alucinaciones disponibles bajo solicitud

Controles de calidad

  • Revisión médica: Integración con flujos de validación por profesionales sanitarios
  • Alertas automáticas: Notificaciones ante anomalías o patrones de comportamiento irregulares
  • Reportes de cumplimiento: Generación automatizada de informes para auditorías regulatorias

Próximos Pasos

  1. Visión general de la arquitectura
  2. Configurar propiedades requeridas
  3. Datos del paciente y anonimización