Seguridad

Mejores prácticas para integraciones HIPAA / GDPR

Mejores prácticas para manejar API keys de CBCTHub y proteger datos del paciente en tu integración.

Nunca hardcodees la API key

Usá variables de entorno o un secret manager (AWS Secrets Manager, Vault, Doppler). No commitees la key en git, ni la pongas en código frontend.

No expongas la key al browser

Si tu integración tiene un frontend, todas las llamadas a CBCTHub tienen que pasar por tu backend. Una key expuesta en JS público puede ser robada y usada para llenarte el storage.

Rotá las keys cada 3-6 meses

Higiene básica. Crea una key nueva, actualizá la env var, verificá que funciona y revocá la vieja.

Usá keys distintas por entorno

Una key para dev, otra para staging, otra para prod. Si una se filtra, el blast radius queda limitado al entorno.

Datos del paciente (HIPAA/GDPR/LGPD)

CBCTHub está construido HIPAA-ready y GDPR-compliant. Los datos viajan cifrados (TLS 1.3) y se almacenan cifrados en R2. Tu sistema es responsable de obtener el consentimiento del paciente antes de subir su examen. Para clientes que necesitan firmar un Data Processing Agreement (DPA), descargable en cbcthub.com/dpa.

Revocá si sospechás filtración

Si una key se compartió por error en un repo público, Slack, email o ticket: revocala de inmediato desde Ajustes → API. Esto invalida la key al instante.

← Anterior

Ejemplos de código

Preguntas frecuentes