Trust Center
Seguridad, privacidad y disponibilidad
AMIA Health Tech está construida por un médico activo del IMSS para médicos y clínicas privadas mexicanas. Esta página resume nuestra postura de seguridad, sub-procesadores, cumplimiento normativo y disponibilidad del servicio. Si te falta algo, escríbenos: cesarmg@amiahealthtech.com.
Cumplimiento normativo
LFPDPPP
CumplidoLey Federal de Protección de Datos Personales en Posesión de Particulares (México). Aviso de Privacidad publicado, derechos ARCO funcionales (Acceso, Rectificación, Cancelación, Oposición).
Ver Aviso de Privacidad →NOM-004-SSA3-2012
CumplidoNorma Oficial Mexicana del Expediente Clínico. Retención mínima 5 años, soft-delete con purga programada al cumplir el plazo, integridad de notas SOAP con versionado y audit log inmutable.
NOM-024-SSA3-2012
CumplidoSistemas electrónicos en salud. Trazabilidad de cambios al expediente y a plantillas clínicas; identificación inequívoca del médico vía cédula profesional bloqueada post-verificación.
HIPAA Technical Safeguards
AlineadoAlineación con safeguards técnicos. BAA firmado con Google Cloud (Firestore, Vertex AI, Storage). El cumplimiento HIPAA completo aplica a cargas de trabajo que cruzan a EE.UU.; ver tabla de sub-procesadores.
GDPR alignment
En procesoTratamiento conforme a principios GDPR (minimización, propósito limitado, lawful basis). DPAs con sub-procesadores en proceso de centralización pública.
SOC 2 Type II
RoadmapRoadmap planeado para inicio cuando AMIA alcance 30K MRR o cierre el primer hospital grande.
Sub-procesadores
Vendors que procesan datos en nombre de AMIA. Cada uno tiene contrato de procesamiento de datos vigente o en proceso de firma. Lista actualizada al 2026-05-29.
| Vendor | Propósito | Ubicación | Contrato |
|---|---|---|---|
| Google Cloud Platform | Firestore, Storage, Vertex AI, Cloud Run, Cloud Functions, Speech-to-Text | us-central1 (EE.UU.) | BAA + DPA firmados (2026-05-28) |
| Stripe | Procesamiento de suscripciones SaaS y pagos paciente-médico (Connect) | EE.UU. + UE | DPA vigente (2026-05-29) |
| Resend | Email transaccional (verificación, recordatorios, ARCO, alertas) | EE.UU. | DPA vigente (2026-05-29) |
| Twilio | Mensajería WhatsApp / SMS (confirmación de citas) | EE.UU. | DPA vigente (2026-05-29) — BAA HIPAA bajo demanda enterprise |
| Daily.co | Videoconsulta en tiempo real (telemedicina) | EE.UU. | DPA vigente (2026-05-29) — BAA HIPAA bajo demanda enterprise |
| Facturapi | Emisión de CFDI 4.0 (facturas electrónicas SAT) | México | Aviso de Privacidad vigente (2026-05-29) — Convenio Encargado en trámite |
| Algolia | Indexación del directorio público de médicos (solo perfiles con opt-in explícito) | EE.UU. + UE | DPA vigente (2026-05-29) |
| Vercel | Hosting de los frontends Next.js (no procesa expediente clínico — Vercel sólo sirve assets HTML/JS y reenvía a Firebase) | Global edge network | Términos estándar — DPA disponible bajo demanda enterprise |
Las transferencias internacionales se realizan al amparo del Art. 37 de la LFPDPPP con cláusulas contractuales modelo equivalentes. Una queja sobre cualquier sub-procesador puede dirigirse a cesarmg@amiahealthtech.com.
Prácticas de seguridad
Encriptación
AES-256 en reposo (Firestore + Cloud Storage administrados por Google). TLS 1.3 en tránsito para todos los endpoints públicos.
Multi-tenancy estricto
Cada práctica/clínica está aislada por `practiceId`. Las reglas de Firestore validan claim del token contra cada lectura/escritura. Auditoría con tests de seguridad ejecutados en CI.
Control de acceso basado en roles
Superadmin / owner / cirujano / doctor / nurse / asistente / receptionista / paciente. Custom claims firmados en backend con revocación inmediata al cambiar rol o membresía.
Audit logging
Eventos clínicos (consulta creada/editada, expediente accedido, plantillas modificadas) registrados en colección append-only. Disponible para auditoría regulatoria.
Backups
Backup diario automático del Firestore a 6 AM CDMX. Retención: 30 días granular, 12 meses mensual, 7 años anual (cumple retención NOM-004).
Monitoreo y respuesta
Sentry para captura de errores, Better Stack para uptime monitoring, status page público. Runbooks documentados para incidentes (Firebase suspendido, rollback Cloud Run, rotación de secretos, etc.).
Política de rotación de credenciales
Secret Manager con rotación trimestral de API keys; detección automática de service-account drift mensual; gitleaks pre-commit en todos los repos.
App Check
Verificación de integridad del cliente activa en Firebase (Firestore + Storage + Functions) — bloquea peticiones desde clientes no autorizados.
Derechos ARCO
Los cuatro derechos que la LFPDPPP otorga al titular de los datos personales — disponibles directamente desde la app o por correo.
Acceso
Descarga toda la información que AMIA tiene sobre ti en formato JSON estándar.
Desde la app (Perfil → Privacidad → Descargar mis datos) o emailto:cesarmg@amiahealthtech.com
Rectificación
Corrige datos personales incorrectos o desactualizados.
Desde la app (Perfil → Privacidad → Corregir mis datos).
Cancelación
Solicita la baja de tu cuenta. El expediente clínico se conserva 5 años por NOM-004; los datos no clínicos se eliminan inmediatamente.
Desde la app (Perfil → Privacidad → Eliminar mi cuenta).
Oposición
Opt-out de finalidades secundarias (marketing, analítica agregada, compartición con terceros opcionales).
Desde la app (Perfil → Privacidad → Limitar uso de mis datos).
¿Necesitas más detalle?
Para preguntas de seguridad, solicitudes de DPA / BAA, certificados o materiales para due diligence — contáctanos directamente.
cesarmg@amiahealthtech.com