MEDICARE|Seguridad y Protección de Datos

Política de Seguridad y Protección de Datos Personales

Conforme a la Ley 1581 de 2012, Decreto 1377 de 2013 y normativas de seguridad de la información

🔒
Cifrado en Tránsito
TLS 1.3 en todas las comunicaciones. HSTS preloading habilitado.
🔐
Cifrado en Reposo
AES-256-GCM para datos en base de datos y almacenamiento S3.
🛡️
Autenticación Fuerte
JWT con expiración corta + refresh tokens. Soporte 2FA/TOTP.
📋
Auditoría Completa
Audit log inmutable de todas las acciones con usuario, IP y timestamp.
🔑
RBAC Granular
Control de acceso por roles: admin, médico, enfermera, farmacia, etc.
⏱️
Rate Limiting
Protección contra fuerza bruta: bloqueo tras 5 intentos fallidos.
🌐
Aislamiento de Red
Infraestructura en VPC privada. Base de datos sin acceso público.
💾
Backups Automáticos
Respaldos diarios cifrados con retención de 30 días.

1. Base Legal para el Tratamiento de Datos Sensibles

El tratamiento de datos de salud (categoría especial según la Ley 1581/2012) se realiza bajo las siguientes bases legales:

  • Consentimiento explícito del titular para el tratamiento de su historia clínica
  • Cumplimiento de obligación legal (Resolución 1995/1999, Ley 100/1993)
  • Interés vital del titular en situaciones de emergencia médica
  • Interés legítimo para fines de salud pública e investigación epidemiológica

2. Medidas de Seguridad Técnica

MEDICARE implementa las siguientes medidas conforme al Decreto 1377 de 2013 y estándares ISO 27001:

  • Gestión de identidad: UUIDs como identificadores, sin exposición de IDs secuenciales
  • Mínimo privilegio: cada rol solo accede a los datos necesarios para su función
  • Segregación de datos: datos clínicos, administrativos y de auditoría en tablas separadas
  • Logging de seguridad: registro de accesos, modificaciones y exportaciones de datos
  • Gestión de vulnerabilidades: actualizaciones de seguridad en un máximo de 72 horas
  • Pruebas de penetración: realizadas semestralmente por terceros certificados

3. Derechos ARCO+ (Habeas Data)

Los titulares de datos personales pueden ejercer los siguientes derechos ante MEDICARE:

🔍 Acceso
Conocer qué datos personales tenemos sobre ti
✏️ Rectificación
Corregir datos inexactos o incompletos
🗑️ Supresión
Solicitar la eliminación cuando no sea obligatoria su conservación
⛔ Oposición
Oponerte al tratamiento para determinadas finalidades
📦 Portabilidad
Recibir tus datos en formato HL7/FHIR o JSON
⏸️ Limitación
Limitar el tratamiento mientras se resuelve una controversia

Envía tu solicitud a: privacidad@medicare.co

Plazo de respuesta: 15 días hábiles prorrogables por 8 días adicionales con notificación previa.

4. Incidentes de Seguridad

En caso de una brecha de seguridad que comprometa datos personales, MEDICARE:

  1. Notificará a la Superintendencia de Industria y Comercio (SIC) en el plazo legal
  2. Informará a los titulares afectados dentro de los 5 días hábiles siguientes a la detección
  3. Implementará medidas de mitigación inmediatas
  4. Documentará el incidente en el registro de actividades de tratamiento

Para reportar un incidente de seguridad: seguridad@medicare.co

5. Delegado de Protección de Datos (DPO)

MEDICARE ha designado un Delegado de Protección de Datos responsable de supervisar el cumplimiento de esta política:

Correo: dpo@medicare.co

Entidad supervisora: Superintendencia de Industria y Comercio (SIC) — www.sic.gov.co

6. Normativa Aplicable

  • Ley 1581 de 2012 — Protección de Datos Personales
  • Decreto 1377 de 2013 — Reglamentación Ley 1581
  • Resolución 1995 de 1999 — Historia Clínica
  • Ley 23 de 1981 — Ética Médica
  • Resolución 3374 de 2000 y 2275 de 2023 — RIPS
  • NIST SP 800-53, ISO/IEC 27001:2022 — Seguridad de la Información
  • HL7/FHIR R4 — Interoperabilidad en Salud
Términos de ServicioPolítica de Privacidad← Volver al inicio