Ultima actualizacion: Marzo 2026
AES-256 GCM en reposo (Cloudflare R2, automatico). TLS 1.3 en transito para todas las conexiones. Sin datos almacenados en texto plano en ningun punto de la cadena.
Cada archivo subido a TrazaLab — fotos de shade, escaneos STL, notas de voz, datos de Receta Digital — se cifra antes de llegar al almacenamiento. El cifrado se maneja a nivel de infraestructura por Cloudflare R2, lo que significa que no es opcional, no es configurable y no es posible de eludir. No existe una ruta sin cifrar a traves del sistema.
En transito, todas las conexiones usan TLS 1.3 — el estandar actual para cifrado de transporte. Esto aplica a sesiones de navegador, llamadas API, subida de archivos (via tus.io) y notificaciones del WhatsApp Bridge. Protocolos anteriores (TLS 1.0, 1.1, 1.2) no son aceptados.
Tres niveles de acceso: tecnico de laboratorio, admin de clinica y doctor. Cada rol tiene permisos configurables por caso. La visibilidad esta limitada por diseno.
Los tecnicos de laboratorio ven solo los casos asignados a su laboratorio. Pueden ver archivos, mensajes y datos de Rx para esos casos. No pueden ver casos de otros laboratorios u otras clinicas conectadas a la plataforma.
Las administradoras de clinica ven todos los casos de su clinica a traves de todos los doctores y laboratorios. Coordinan flujos de trabajo, gestionan fechas limite y enrutan casos. No pueden modificar recetas clinicas.
Los doctores ven solo sus propios casos. No pueden ver casos de otros doctores en la misma clinica. Tienen control total sobre sus datos clinicos, incluyendo la capacidad de exportar todo en cualquier momento.
Este aislamiento se aplica a nivel de consulta de base de datos — no es un filtro de interfaz que pueda ser eludido. Un usuario no puede solicitar datos que no esta autorizado a ver, ni siquiera a traves del API.
El acceso de cualquier usuario puede ser revocado instantaneamente. Al revocar, el usuario pierde visibilidad sobre todos los casos y archivos asociados. Los datos nunca residen en el dispositivo del usuario — TrazaLab es una aplicacion web sin cache de datos local.
Cuando un doctor deja una clinica o un tecnico de laboratorio cambia de trabajo, el propietario de la cuenta revoca su acceso con una sola accion. La revocacion es inmediata — no hay retraso de propagacion. Las acciones pasadas del usuario revocado permanecen en el log de auditoria para rendicion de cuentas.
Cada accion se registra con timestamp, usuario, tipo de accion y recurso afectado. Los logs son exportables para auditorias externas.
El log de auditoria captura: creacion de casos, subida de archivos, descarga de archivos, envio de mensajes, modificaciones de Rx, acciones de aprobacion, cambios de estatus, otorgamiento de acceso y revocaciones de acceso. Cada entrada incluye el ID de usuario, direccion IP, tipo de accion, recurso objetivo y timestamp UTC.
Los logs de auditoria no pueden ser modificados ni eliminados por ningun usuario, incluyendo propietarios de cuenta. Estan disenados para proporcionar un registro inmutable de toda la actividad de la plataforma para cumplimiento y resolucion de disputas.
Cloudflare R2 para almacenamiento (replicacion automatica global). tus.io para subida resumible. OpenAI Whisper API para transcripcion.
Cloudflare R2 almacena datos en multiples ubicaciones geograficas con replicacion automatica. La estrategia de replicacion especifica es gestionada por la infraestructura de Cloudflare — TrazaLab no controla que centros de datos reciben copias, pero todas las copias estan cifradas en reposo.
Las notas de voz procesadas por OpenAI Whisper API se transmiten a traves de conexiones cifradas. El audio se usa unicamente para transcripcion y no es retenido por OpenAI para fines de entrenamiento, segun su politica de uso de datos del API.
Las notificaciones de WhatsApp se envian a traves del API oficial de WhatsApp Business. El contenido de los mensajes se limita a disparadores de notificacion (cambios de estatus, solicitudes de aprobacion) — los datos clinicos y archivos nunca se transmiten a traves de WhatsApp.
TrazaLab mantiene un protocolo de respuesta a incidentes para eventos de seguridad. Si se detecta una brecha de datos o acceso no autorizado, los usuarios afectados son notificados dentro de 72 horas con detalles sobre el alcance, impacto y pasos de remediacion tomados.
La plataforma usa la proteccion DDoS y WAF (Web Application Firewall) de Cloudflare para mitigar vectores de ataque comunes. Se aplica limitacion de tasa a los endpoints del API para prevenir intentos de fuerza bruta.
TrazaLab esta disenado para apoyar el cumplimiento con regulaciones de proteccion de datos incluyendo GDPR y la Ley Federal de Proteccion de Datos Personales (LFPDPPP) de Mexico. La plataforma implementa controles tecnicos — cifrado, control de acceso, log de auditoria, exportacion de datos y revocacion de acceso — que se alinean con los requisitos de seguridad de estos marcos regulatorios.
TrazaLab actualmente no tiene certificaciones SOC 2, ISO 27001 ni HIPAA. Divulgamos esto transparentemente porque creemos que la comunicacion honesta sobre nuestra postura de seguridad genera mas confianza que las afirmaciones exageradas. Los controles tecnicos descritos en esta pagina son verificables y auditables.
Para reportar vulnerabilidades de seguridad: [email protected]
Tomamos todos los reportes en serio y respondemos dentro de 48 horas. Si una vulnerabilidad reportada es confirmada, acreditaremos al reportante (a menos que prefiera el anonimato) y proporcionaremos un cronograma para la remediacion.