Saltar al contenido principal

PHI y seguridad

Clinical.ink procesa encuentros clínicos sensibles. La plataforma se diseñó con controles compatibles con HIPAA y ofrece a los propietarios herramientas para gestionar el acceso y la retención.

Salvaguardas de la plataforma

  • Autenticación – Todas las solicitudes a la API requieren tokens de acceso de Auth0. Los servicios internos se comunican con credenciales con alcance específico en lugar de usar cuentas de usuario.
  • Seguridad en tránsito – Los despliegues en producción operan detrás de HTTPS. Los navegadores rechazan el acceso al micrófono en orígenes inseguros, por lo que la aplicación aplica conexiones seguras automáticamente.
  • Almacenamiento temporal – Los archivos subidos y los intermedios solo se conservan mientras la tarea está activa y se eliminan automáticamente al finalizar el procesamiento.
  • Aislamiento de tareas – Los workers en segundo plano ejecutan las labores de IA pesadas. Las notificaciones de progreso incluyen identificadores de tarea, no texto de la transcripción.
  • Logging estructurado – Los registros operativos capturan tiempos, códigos de estado e IDs de tareas, pero evitan almacenar PHI. Así se puede hacer soporte sin exponer contenido del encuentro.

Controles del workspace

Desde Settings → Organization / Security puedes limitar la exposición:

  • Roles – Las personas con rol owner administran miembros, asientos y facturación. Quienes tienen rol member capturan encuentros y trabajan con notas, pero no pueden modificar la facturación ni borrar el workspace.
  • Límites de asientos – Las invitaciones respetan el cupo del plan. Al eliminar un miembro, el asiento se libera de inmediato.
  • Trazabilidad – Los IDs de encuentro, datos de suscripción y resúmenes de uso están disponibles en la pantalla de suscripción para auditorías.
  • Cuotas de chat – Las cuotas limitan cuánto contenido se envía al copiloto. Cuando se agotan, el panel cambia a respuestas de solo lectura.

Manejo responsable de PHI

  • Accede siempre a Clinical.ink mediante HTTPS.
  • Graba y sube encuentros desde dispositivos de confianza. Usa Settings → General → Restart application para limpiar contenido en caché si compartes computadora.
  • Revisa transcripciones y borradores antes de exportarlos o pegarlos en tu EHR.
  • Comparte los archivos exportados a través de los canales seguros de tu organización (correo cifrado, mensajería segura, etc.).

Retención y eliminación de datos

  • Los archivos de audio y sus fragmentos derivados se eliminan automáticamente tras el procesamiento.
  • Los metadatos de encuentros, transcripciones y notas permanecen disponibles hasta que elimines el workspace o solicites una purga. Escribe a support@clinical.ink si necesitas borrar encuentros específicos antes.
  • Los registros de facturación se conservan por cumplimiento financiero y no contienen contenido clínico.

Respuesta a incidentes

Si sospechas acceso no autorizado o fuga de datos:

  1. Envía un correo a security@clinical.ink con el slug de la organización, IDs de encuentro y marcas de tiempo.
  2. Elimina o suspende a los miembros afectados desde Settings → Organization.
  3. Rota credenciales conectadas (integraciones de calendario, claves de almacenamiento, etc.) si crees que se expusieron.
  4. Reúne los logs o capturas relevantes y compártelos de forma segura con el equipo de soporte.

Respondemos a los reportes de seguridad en un día hábil y te mantenemos al tanto hasta resolver el incidente.