SanaMedica

Cumplimiento y seguridad

HIPAA Ready · SOC 2 · HITRUST · Ley 8968

Tu información médica protegida (PHI) recibe el mismo trato que en clínicas reguladas en EE. UU. y Costa Rica. Aquí explicamos exactamente cómo.

Última revisión: 2025-11-01

01.Marco regulatorio

Sana Medica S.R.L. aplica simultáneamente los requisitos de la Health Insurance Portability and Accountability Act (HIPAA) de Estados Unidos —Privacy Rule, Security Rule y Breach Notification Rule— y la Ley N.° 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales de Costa Rica, supervisada por PRODHAB.

Adicionalmente, alineamos nuestros controles con el HITRUST Common Security Framework (CSF) y con los Trust Services Criteria de AICPA (SOC 2), tal como hacen las plataformas de salud de referencia en el mercado.

02.Lo que esto significa para ti

  • HIPAA ReadyOperamos bajo los estándares de HIPAA (45 CFR §§160, 162, 164) para todo paciente atendido en la plataforma.
  • BAA con proveedoresMantenemos Business Associate Agreements firmados con cada proveedor que procesa PHI (videoconferencia, almacenamiento, correo, IA).
  • SOC 2 + HITRUST CSFNuestros controles se alinean con los Trust Services Criteria de AICPA y el HITRUST Common Security Framework.
  • Cifrado de extremo a extremoTLS 1.2+ en tránsito, AES-256 en reposo, y video clínico cifrado con BAA del proveedor.
  • MFA y mínimo necesarioMFA obligatorio, control de acceso por rol, bitácora completa de cada acceso a PHI.
  • Notificación de brechasPlan documentado de respuesta a incidentes; notificación dentro de 60 días según HIPAA y sin demora ante PRODHAB (Ley 8968).

03.Telemedicina y videoconsulta

Nuestras videoconsultas se realizan únicamente sobre plataformas con un Business Associate Agreement (BAA) firmado, cifrado en tránsito y configuración de cuenta empresarial reforzada (sin grabación local, salas con contraseña, sala de espera y autenticación del clínico). Esto incluye proveedores certificados HIPAA-Ready como Zoom for Healthcare bajo su programa SOC 2 + HITRUST.

Ninguna PHI se almacena en dispositivos personales; todo el expediente vive en infraestructura cifrada con respaldos auditados.

04.Sub-encargados (Business Associates)

Cada proveedor con acceso a PHI firma un BAA antes del go-live. La lista incluye, entre otros: proveedor de videoconferencia clínica, almacenamiento en la nube, correo transaccional, infraestructura de base de datos y servicios de IA usados con datos desidentificados o bajo BAA específico.

Solicita el listado actualizado de sub-encargados a dpo@sanamedica.org.

05.Tus derechos y cómo ejercerlos

Puedes acceder, rectificar, restringir, portar o eliminar tu PHI según corresponda; revocar consentimientos no obligatorios; y recibir un registro de divulgaciones. Lee el Aviso completo de HIPAA.

Oficial de Protección de Datos (DPO): dpo@sanamedica.org