ClinicOSClinicOS

Cumplimiento HIPAA

ClinicOS está construido con configuraciones compatibles con HIPAA por defecto para ayudar a los proveedores de salud a mantener el cumplimiento mientras utilizan nuestra plataforma de recepcionista con IA. Esta página describe nuestro enfoque para proteger la información de salud y las salvaguardas que tenemos implementadas.

1. Alcance

ClinicOS maneja metadatos de citas, registros de llamadas y datos operativos clínicos. Estamos diseñados para minimizar la exposición de PHI por diseño — no almacenamos historiales médicos de pacientes, información de diagnósticos ni datos de reclamaciones de seguros. Nuestra plataforma se enfoca en la capa de comunicación y agendamiento, reduciendo el área de superficie de Información de Salud Protegida (PHI) que fluye a través del sistema.

2. Acuerdo de Asociado Comercial

ClinicOS ofrece Acuerdos de Asociado Comercial (BAA) para clientes en los planes Pro y Enterprise. Nuestro BAA cubre:

  • Limitaciones de uso y divulgación — Usamos PHI solo según lo permitido por el BAA y la ley aplicable.
  • Salvaguardas — Implementamos salvaguardas administrativas, físicas y técnicas para proteger PHI.
  • Notificación de brechas — Notificamos a la entidad cubierta de cualquier brecha de PHI no asegurada.
  • Obligaciones de subcontratistas — Aseguramos que nuestros subcontratistas que acceden a PHI acepten protecciones equivalentes.
  • Devolución o destrucción — Al finalizar, devolvemos o destruimos de forma segura toda la PHI en nuestra posesión.

Para solicitar un BAA, contáctenos en compliance@clinic-os.co.

3. Estándar de Mínimo Necesario

De acuerdo con el Estándar de Mínimo Necesario de HIPAA, nuestra recepcionista con IA recopila solo la información necesaria para cumplir su función de agendamiento y comunicación:

  • Nombre del paciente
  • Número telefónico
  • Fecha y hora preferida para la cita
  • Motivo de consulta (categoría general, ej. "limpieza," "consulta")

La recepcionista con IA no recopila:

  • Códigos de diagnóstico (ICD-10) o códigos de procedimiento (CPT)
  • Números de identificación de seguros o detalles de pólizas
  • Números de Seguro Social (SSN)
  • Historial médico detallado o registros de tratamiento
  • Información de tarjetas de pago (gestionada por Lemon Squeezy)

4. Medidas de Seguridad

  • Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Controles de acceso basados en roles con principio de mínimo privilegio
  • Registro de auditoría de todos los accesos a registros que contienen PHI
  • Verificación HMAC-SHA256 en todos los webhooks entrantes
  • Gestión de secretos mediante almacenamiento cifrado de claves (nunca en código fuente)
  • Evaluaciones de seguridad regulares y pruebas de vulnerabilidades
  • Infraestructura segura en la nube con proveedores certificados SOC 2

5. Notificación de Brechas

En caso de una brecha de PHI no asegurada, ClinicOS:

  • Proporcionará notificación por escrito dentro de 60 días desde el descubrimiento de la brecha a las entidades cubiertas afectadas.
  • Incluirá en la notificación: la naturaleza de la brecha, los tipos de datos involucrados, las medidas que hemos tomado para mitigar el daño y los pasos que las personas afectadas pueden tomar para protegerse.
  • Cooperará con la entidad cubierta en la notificación a las personas afectadas y al Departamento de Salud y Servicios Humanos (HHS) según sea requerido.
  • Proporcionará un punto de contacto dedicado para consultas relacionadas con la brecha.

6. Subcontratistas y Proveedores

Los siguientes servicios de terceros son utilizados por ClinicOS, junto con su estado de cumplimiento:

  • ElevenLabs (procesamiento de voz) — BAA disponible
  • Twilio (telefonía/enrutamiento SIP) — BAA vigente
  • Vercel (alojamiento frontend) — Certificado SOC 2 Tipo II
  • Pantheon (alojamiento backend) — Certificado SOC 2 Tipo II
  • Auth0 (autenticación) — BAA disponible, configuración compatible con HIPAA
  • Lemon Squeezy (procesamiento de pagos) — Sin acceso a PHI; solo maneja datos de facturación

Todos los subcontratistas con acceso a PHI están sujetos a acuerdos que requieren protecciones equivalentes de privacidad y seguridad.

7. Capacitación del Personal

Todos los miembros del equipo de ClinicOS con acceso potencial a PHI completan capacitación anual en privacidad y seguridad HIPAA. La capacitación cubre:

  • Requisitos de la Regla de Privacidad y Regla de Seguridad de HIPAA
  • Reconocimiento y reporte de posibles brechas
  • Manejo y disposición adecuados de PHI
  • Responsabilidades de acceso a datos específicas del rol

Los nuevos miembros del equipo completan la capacitación dentro de los 30 días posteriores a su incorporación. Los registros de capacitación se mantienen por un mínimo de 6 años.

8. Auditoría y Monitoreo

ClinicOS mantiene monitoreo continuo de cumplimiento a través de:

  • Registros de acceso — Todo acceso a sistemas que contienen PHI se registra con identidad del usuario, marca de tiempo y acción realizada.
  • Pistas de auditoría — Pistas de auditoría inmutables para modificaciones, eliminaciones y exportaciones de datos.
  • Evaluaciones regulares — Evaluaciones periódicas de riesgos para identificar y abordar vulnerabilidades.
  • Respuesta a incidentes — Procedimientos documentados de respuesta a incidentes con roles definidos y rutas de escalamiento.

9. Contacto

Para consultas relacionadas con HIPAA, solicitar un Acuerdo de Asociado Comercial o reportar una preocupación de seguridad potencial, contacte a nuestro equipo de cumplimiento en compliance@clinic-os.co.

Última actualización: febrero 2026