Seguridad y Compliance

🛡️ Seguridad y Compliance

Privacidad médica como prioridad #1

Rxly maneja PHI (información de salud protegida). Nuestra arquitectura está diseñada desde cero para cumplir Habeas Data, GDPR, HIPAA-style, AHPRA y Privacy Act.

Compliance por país

Diseñado para cada jurisdicción

🇨🇴

Colombia · Habeas Data

Ley 1581/2012 + Decreto 1377. Registro RNBD-SIC. Política de tratamiento publicada. Derechos ARCO. Telemedicina Resolución 2654/2019. Integración futura con MIPRES.

🇦🇷

Argentina · Ley 25.326 + 27.553

Receta electrónica nacional con firma digital del prescriptor. Matrícula nacional + provincial validadas. Inscripción AAIP. Multi-jurisdicción (CABA, Bs.As., Córdoba, etc.).

🇦🇺

Australia · Privacy Act + AHPRA

13 APPs (Australian Privacy Principles). Notifiable Data Breaches scheme. AHPRA registration validada vía API. Data residency en Sídney (futuro). eRx Script Exchange ready.

🇪🇺

Europa · GDPR

DPA template, Records of Processing Activities (RoPA), DPIA para procesamiento de PHI, breach notification 72h, derecho a portabilidad y olvido, Standard Contractual Clauses para transferencias.

🇺🇸

EE.UU. · HIPAA-style

Encryption at rest + transit, audit logs append-only ≥6 años, BAA disponible para clientes Enterprise, training del equipo, breach notification a OCR ≤60 días.

🇲🇽🇧🇷

México · LFPDPPP / Brasil · LGPD

Aviso de privacidad (MX) y Encarregado/DPO designado (BR). Base legal de tratamiento documentada. Derechos del titular implementados.

Arquitectura

Defense in depth

🔐

Encriptación at rest

AES-256-GCM para API keys, MFA secrets, OAuth tokens. Postgres managed encryption del cloud provider. S3 SSE-S3 para PDFs y audios.

🔒

Encriptación in transit

HTTPS obligatorio. TLS 1.2+. HSTS habilitado. Certificados Let's Encrypt auto-renew.

🛡️

Aislamiento por tenant

Postgres Row-Level Security en TODAS las tablas tenant-scoped. Tests automáticos verifican que tenant A no puede ver datos de tenant B (171 tests específicos de aislamiento).

🔑

Auth + MFA

JWT firmado HS256. Refresh tokens revocables. Bcrypt cost 12 para passwords. TOTP MFA opcional para usuarios, OBLIGATORIO para staff Rxly.

📜

Audit log inmutable

Append-only. Login/logout, creación de pacientes, finalización de recetas, descargas, accesos admin — todo registrado con request_id. Dump trimestral a cold storage.

🚨

Detección de anomalías

Rate limiting per-IP y per-user. Lockout tras 5 intentos fallidos. Alertas a 80% del budget de IA. Monitoring de sesiones impersonadas.

Validación profesional

Verificación de identidad médica

Antes de que una receta tenga validez legal, validamos tu credencial profesional contra el registro oficial de tu jurisdicción.

Mientras no estés verificado:

Puedes crear pacientes y borradores
Puedes usar el asistente por voz
Puedes usar Auto Mode
Puedes usar todas las plantillas

Pero las recetas:

Salen con watermark grande "MUESTRA — NO VÁLIDA PARA DISPENSACIÓN"
No tienen validez legal de prescripción
No se pueden dispensar en farmacia

Verificación automática en <1 hora vía API gov para CO, AU, US. Manual <72h para resto de países.