Seguridad y Cumplimiento

Protección de datos del paciente, sin letra chica

CBCTHub está hecho para clínicas y centros radiológicos que manejan datos de pacientes. Así los protegemos — la tecnología, las políticas y los límites que nos ponemos a nosotros mismos.

Principios fundamentales

  • El procesamiento DICOM ocurre localmente en el navegador. El examen nunca sale del dispositivo del usuario salvo que comparta un link explícitamente.
  • Mínima recolección de datos: sólo lo necesario para operar la cuenta y mantener la trazabilidad.
  • Cifrado en reposo y en tránsito. Acceso controlado por seguridad a nivel de fila, restringido al usuario autenticado.
  • Sin publicidad, sin trackers de terceros, sin venta de datos ni uso para entrenamiento.
  • Los datos son tuyos. Exportación y borrado completo a solicitud.

Controles técnicos

Cifrado en tránsito

Todo el tráfico usa TLS 1.3. HSTS está forzado. Los endpoints del visor envían cabeceras COOP/COEP para que SharedArrayBuffer — requerido para renderizado volumétrico — sólo se habilite en contextos autenticados y same-origin.

Cifrado en reposo

Los exámenes que el usuario decide subir se almacenan en object storage de Supabase, cifrados en reposo. Las filas de la base están protegidas por políticas row-level security que limitan toda lectura y escritura al propietario autenticado.

Autenticación

Email + contraseña con magic link de respaldo. Hashes de contraseña con bcrypt. Sesiones JWT con TTL corto y rotación de refresh. MFA está en el roadmap.

Links para compartir

Los links de compartir son tokens aleatorios largos — no adivinables. Se pueden revocar en cualquier momento. Protección opcional por contraseña y expiración. Cada acceso se registra con fecha, hora e IP (no se comparte con terceros).

Logs de auditoría

Todo acto de compartir, borrar, exportar y cambio de cuenta relevante queda registrado con fecha, usuario y recurso afectado. Los logs se retienen por la vida de la cuenta y se pueden exportar en jurisdicciones reguladas.

Postura regulatoria

HIPAA

CBCTHub está HIPAA-ready para entidades cubiertas y business associates en Estados Unidos. Firmamos BAA en planes Pro y Clínica bajo solicitud. La arquitectura del producto — procesamiento local, acceso mínimo necesario, logs de auditoría, controles de acceso de emergencia — implementa las medidas técnicas del Security Rule. HIPAA cubre medidas técnicas y organizativas; el BAA documenta la capa contractual.

GDPR

Para usuarios en UE, EEE y Reino Unido, CBCTHub actúa como data processor. Publicamos un registro de actividades de procesamiento, soportamos los derechos de acceso, rectificación, supresión y portabilidad, y ofrecemos un Data Processing Agreement bajo solicitud. Las regiones de almacenamiento se pueden fijar a UE cuando el plan lo permite.

Leyes regionales

CBCTHub es usado por clínicas en Latinoamérica, Europa, Norteamérica y Oceanía. Nos alineamos con la Ley 19.628 de Chile y la nueva Ley de Protección de Datos Personales, la LGPD de Brasil y PIPEDA de Canadá. Los contratos están disponibles en español e inglés.

Ciclo de vida de los datos

Subida: Un examen sólo se hace visible a CBCTHub cuando el usuario decide guardarlo en su cuenta. Las sesiones locales del navegador nunca tocan nuestros servidores.

Almacenamiento: Cifrado en reposo, acotado por row-level security a la cuenta propietaria. Los backups son diarios, cifrados, con retención limitada a lo necesario para recuperación ante desastre.

Compartir: Un link da acceso de sólo lectura, opcionalmente con contraseña, opcionalmente con expiración. La revocación es inmediata.

Borrado: Cuando un usuario borra un examen se elimina del almacenamiento primario al instante y se purga de los backups en 30 días. Al cerrar la cuenta, todos los datos propios se purgan con el mismo calendario.

Respuesta ante incidentes

Si se detecta un evento de seguridad que pueda afectar datos de pacientes, seguimos un plan documentado: contener, evaluar, notificar. Los clientes afectados son notificados dentro de 72 horas de la confirmación, cumpliendo o superando GDPR y la mayoría de leyes estatales de notificación.

Para reportar una vulnerabilidad, escribe a security@cbcthub.com. Confirmamos recepción en un día hábil y mantenemos al reportante informado hasta la resolución. La investigación de seguridad de buena fe es bienvenida.

Responsabilidad compartida

La seguridad es una responsabilidad compartida. CBCTHub cubre la plataforma — cifrado, infraestructura, seguridad de la aplicación. El cliente es responsable de:

  • • Usar contraseñas fuertes y únicas, y habilitar MFA cuando esté disponible.
  • • Controlar quién en la clínica tiene acceso y revocarlo cuando alguien se va.
  • • Obtener consentimiento del paciente antes de compartir exámenes fuera de la clínica.
  • • Mantener actualizados y libres de malware los dispositivos que acceden a CBCTHub.

Documentos legales

¿Necesitas BAA, DPA o responder un cuestionario de seguridad? Escríbenos y te respondemos rápido.

Política de privacidadTérminos de serviciosecurity@cbcthub.com