Legal y cumplimiento

En LinkHMS, nos dedicamos a mantener los más altos estándares de cumplimiento legal y protección de datos para garantizar la seguridad y privacidad de nuestros usuarios.

Normas de cumplimiento

 

LinkHMS opera siguiendo estándares de atención médica y protección de datos reconocidos internacionalmente, que incluyen:

HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico): garantiza la confidencialidad, integridad y seguridad de la información de salud.

Control de acceso

  • Cada usuario tiene una identificación única asignada para rastrear su acceso y actividad dentro del sistema.
  • Los procedimientos de acceso de emergencia establecidos han facilitado el acceso a la PHI durante emergencias.
  • Se implementaron funciones de cierre de sesión automático para evitar el acceso no autorizado después de períodos de inactividad.
  • La PHI se cifra en reposo y en tránsito para proteger los datos contra accesos no autorizados.
 

Controles de auditoría

  • Se implementaron mecanismos de registro para registrar el acceso y las modificaciones a la PHI.
  • Registros de auditoría monitoreados y analizados periódicamente para detectar y responder ante accesos no autorizados o anomalías.
 

Controles de integridad

  • Los mecanismos implementados garantizan que la PHI no se altere ni destruya de forma indebida mediante el uso de sumas de comprobación, funciones hash o firmas digitales.
  • Las técnicas de validación de datos aplicadas evitan la entrada de datos incorrectos o maliciosos.
 

Seguridad de la transmisión

  • Se utilizan protocolos de cifrado seguro (por ejemplo, TLS) para proteger la PHI durante la transmisión electrónica a través de redes.
  • Los controles de integridad aplicados garantizan que los datos transmitidos no se alteren durante la transmisión, utilizando firmas digitales o algoritmos hash seguros.
 

Autenticación

  • La autenticación de dos factores implementada mejora la seguridad de los inicios de sesión de los usuarios, garantizando que solo los usuarios autorizados puedan acceder a la PHI.
  • Se aplican políticas de contraseñas sólidas, que incluyen requisitos de complejidad y cambios regulares, que garantizan un control de acceso sólido.
 

Controles de dispositivos y medios

  • Implementamos políticas y procedimientos para garantizar la eliminación segura de PHI almacenada en medios físicos, como discos duros, unidades USB o registros en papel.
  • Los procedimientos establecidos borran de forma segura la PHI de los medios antes de reutilizarlos o darles un nuevo propósito.
  • Los datos cifrados en dispositivos portátiles y medios extraíbles protegen contra el acceso no autorizado en caso de pérdida o robo.
 

Copia de seguridad de datos y recuperación ante desastres

  • Copia de seguridad de datos: Realice copias de seguridad periódicas de la PHI para garantizar que los datos se puedan restaurar en caso de pérdida o corrupción de datos.
  • Plan de recuperación ante desastres: Implementar un plan de recuperación ante desastres que incluya procedimientos para restaurar el acceso a la PHI en caso de una emergencia o falla del sistema.
 

Minimización y retención de datos

  • Se recopila y almacena únicamente la PHI mínima necesaria para cumplir el propósito previsto.
  • Las políticas establecidas de retención y eliminación de datos garantizan que la PHI se conserve solo cuando sea necesario.
 

Prácticas de desarrollo seguras

  • Se siguieron estándares de codificación segura para evitar vulnerabilidades como inyección SQL, XSS y CSRF.
  • Realizó evaluaciones de seguridad periódicas, incluido análisis de vulnerabilidades y pruebas de penetración, para identificar y mitigar riesgos de seguridad.
 

Acuerdos de asociados comerciales (BAAs)

  • Todos los proveedores de servicios externos que acceden a PHI firmaron un Acuerdo de asociado comercial (BAA), que describe sus responsabilidades bajo la HIPAA.
  • Evaluó y monitoreó periódicamente el cumplimiento de los requisitos de seguridad de HIPAA por parte de los proveedores externos para garantizar el cumplimiento de los estándares.
 

Formación y concienciación

  • Brindar capacitación periódica garantiza que los empleados comprendan el cumplimiento de HIPAA y la importancia de proteger la PHI.
  • Empleados capacitados en respuesta a incidentes y preparados para manejar violaciones de seguridad que involucren PHI.
 

Notificación de infracciones y respuesta a incidentes

  • Implementamos sistemas de monitoreo para detectar posibles incidentes de seguridad o violaciones de datos que involucren PHI.
  • Los procedimientos establecidos garantizan la notificación oportuna a las personas afectadas, al Departamento de Salud y Servicios Humanos (HHS) y a otras entidades en caso de una violación de PHI.
 

Medidas de seguridad física

  • Los controles de acceso a las instalaciones garantizados restringen el acceso físico a las instalaciones que almacenan PHI únicamente al personal autorizado.
  • Se implementaron medidas de protección físicas y técnicas para las estaciones de trabajo a fin de evitar el acceso no autorizado a la PHI.

RGPD (Reglamento General de Protección de Datos): protege los datos personales y la privacidad en la Unión Europea.

Cifrado de datos

  • Cifrado: Todos los datos personales, almacenados en servidores, bases de datos y dispositivos de almacenamiento, mediante algoritmos robustos (por ejemplo, AES-256), han permanecido protegidos.
  • Transmisión protegida por TLS: los datos transmitidos entre sistemas mantienen su integridad y confidencialidad.
 

Controles de acceso

  • Acceso restringido basado en roles: el acceso a los datos personales, limitado según los roles del usuario, ha garantizado que los empleados solo accedan a los datos necesarios.
  • Autenticación verificada de múltiples factores: se requieren múltiples formas de verificación (por ejemplo, contraseñas, datos biométricos) para acceder a datos confidenciales.
  • Tiempo de espera administrado por sesión: se implementaron tiempos de espera de sesión automáticos y nueva autenticación para inactividad prolongada.
 

Anonimización y seudonimización

  • Datos anonimizados: Los identificadores personales, eliminados o modificados, han impedido la identificación directa o indirecta de personas.
  • Información seudonimizada: información identificable reemplazada con seudónimos o tokens cifrados, lo que minimiza los riesgos de privacidad y permite el uso de datos.
 

Auditorías de seguridad periódicas

  • Vulnerabilidades evaluadas periódicamente: las debilidades de seguridad se identifican y solucionan mediante evaluaciones periódicas.
  • Sistemas probados contra penetración: simulaciones de ciberataques probaron la resiliencia del sistema.
  • Actividades monitoreadas continuamente: Sistemas de detección y prevención de intrusiones monitoreados para detectar actividades sospechosas.
 

Minimización y retención de datos

  • Recopilación minimizada de datos: solo se recopiló la cantidad mínima de datos personales necesarios para fines específicos.
  • Políticas de retención definidas: se definen períodos de retención de datos y se implementan mecanismos automatizados para la eliminación segura de datos.
 

Notificación y respuesta ante violaciones de datos

  • Plan de respuesta a incidentes documentado: procedimientos establecidos para identificar, informar y mitigar violaciones de datos.
  • Protocolos notificados: Capacidad de notificar a las autoridades y a las personas afectadas dentro de las 72 horas siguientes al descubrimiento de una infracción.
 

Copia de seguridad y recuperación ante desastres

  • Datos respaldados periódicamente: Se realizan copias de seguridad de datos personales periódicamente y se almacenan de forma segura con cifrado.
  • Recuperación ante desastres probada: los planes de recuperación ante desastres se prueban periódicamente para comprobar la integridad y disponibilidad de los datos durante fallas o ataques.
 

Integridad y precisión de los datos

  • Precisión de datos validados: se implementan controles de validación de datos para garantizar la precisión.
  • Registros auditados: se mantienen registros de auditoría para rastrear el acceso, las modificaciones y las transferencias para la rendición de cuentas.
 

Privacidad por diseño y por defecto

  • Proyectos con evaluación de impacto de la privacidad: los nuevos proyectos que involucran datos personales se sometieron a evaluaciones de impacto de la privacidad (PIA) para mitigar los riesgos.
  • Configuración de privacidad predeterminada: los sistemas tienen como opción predeterminada la configuración de privacidad más alta (por ejemplo, aceptar compartir datos).
 

Capacitación regular de los empleados

  • Empleados conscientes de la seguridad: capacitación periódica sobre los requisitos del RGPD y las mejores prácticas proporcionadas a los empleados.
  • Respuestas de phishing simuladas: las respuestas de los empleados se prueban periódicamente con ataques de phishing simulados.

CCPA (Ley de Privacidad del Consumidor de California): otorga derechos a los residentes de California con respecto a su información personal.

Controles de acceso a datos

  • Acceso controlado basado en roles: el acceso a la información personal está restringido en función de los roles del usuario, lo que garantiza que solo el personal autorizado acceda a datos específicos.
  • Autenticación multifactor: el acceso a datos confidenciales requiere múltiples formularios de verificación (contraseñas, datos biométricos, tokens de hardware).
 

Cifrado

  • Datos cifrados en reposo y en tránsito: se utilizan protocolos de cifrado fuertes (AES-256 para almacenamiento y TLS para transmisión) para proteger los datos de los consumidores contra accesos no autorizados o violaciones.
 

Políticas de minimización y retención de datos

  • Recopilación de datos minimizada: solo se recopilan los datos necesarios para fines comerciales específicos.
  • Políticas de retención definidas: períodos de retención claros definidos, con datos eliminados de forma segura que ya no son necesarios, en cumplimiento con la CCPA.
 

Registros de auditoría y seguimiento

  • Acceso registrado detallado: se mantienen registros completos de acceso, modificaciones, eliminaciones y transferencias, lo que proporciona un registro de auditoría claro.
  • Actividades monitoreadas continuamente: Sistemas en tiempo real implementados para monitorear intentos de acceso no autorizado o actividades sospechosas.
 

Controles de privacidad y derechos del consumidor

  • Mecanismos de exclusión voluntaria habilitados: opciones de fácil acceso proporcionadas para que los consumidores puedan optar por no vender o compartir sus datos.
  • Solicitudes de acceso a datos desarrolladas: Procesos desarrollados para gestionar solicitudes de acceso, eliminación o divulgación de datos de los consumidores dentro de los plazos obligatorios.
 

Auditorías de seguridad periódicas

  • Vulnerabilidades evaluadas periódicamente: se realizan evaluaciones de vulnerabilidad periódicas para identificar brechas de seguridad y mejorar los controles.
  • Seguridad probada por penetración: se realizan pruebas de penetración periódicas para evaluar la efectividad de las medidas de seguridad e identificar posibles debilidades.
 

Procedimientos de eliminación de datos

  • Procesos de eliminación automatizados: Procesos automatizados creados para garantizar la eliminación oportuna de los datos del consumidor tras solicitudes verificadas, siguiendo las pautas de la CCPA.
  • Datos de respaldo desinfectados periódicamente: los datos de respaldo se revisan y desinfectan periódicamente para garantizar el cumplimiento de las solicitudes de eliminación.
 

Respuesta a incidentes y notificación de infracciones

  • Planes de respuesta a incidentes: planes integrales desarrollados para detectar, responder y mitigar violaciones de datos.
  • Procedimientos de notificación de violaciones establecidos: se establecieron protocolos para notificar rápidamente a los consumidores afectados en caso de una violación de datos, de acuerdo con los requisitos de la CCPA.
 

Capacitación regular de los empleados

  • Empleados conscientes de la CCPA: Se realizan sesiones de capacitación periódicas para empleados sobre los requisitos de la CCPA, las mejores prácticas de privacidad de datos y el manejo seguro de datos de los consumidores.

Estándares HL7/FHIR: facilita el intercambio de datos entre sistemas de salud, garantizando la interoperabilidad y la estandarización.

Protocolos de intercambio seguro de datos

  • HL7/FHIR estandarizado para el intercambio de datos estructurados, garantizando que los datos fueran interoperables entre diferentes sistemas de atención médica.
  • Protocolos comunicados de forma segura como HTTPS y TLS para datos en tránsito para proteger contra el acceso no autorizado.
 

Validación de datos y comprobaciones de integridad

  • Los procedimientos de datos sólidamente validados garantizaron que los datos intercambiados cumplieran con los formatos FHIR y las definiciones de esquema.
  • Los métodos de verificación de integridad, como las firmas digitales, verificaron la autenticidad de los datos y evitaron la manipulación.
 

Gestión de acceso

  • Mecanismos estrictamente controlados, como OAuth 2.0, autenticaron y autorizaron a los usuarios y aplicaciones que accedían a los datos de salud.
  • SMART en el marco FHIR proporcionó control de acceso seguro a las API.
 

Registro y monitoreo de auditorías

  • Los registros de auditoría registrados de forma exhaustiva capturaron todos los intercambios de datos, modificaciones y eventos de acceso.
  • Las herramientas monitoreadas continuamente detectaron y respondieron a actividades sospechosas, garantizando la seguridad y el cumplimiento de los datos.
 

Pruebas de interoperabilidad

  • La interoperabilidad probada periódicamente con sistemas de salud externos garantizó un intercambio de datos fluido y el cumplimiento de los requisitos de FHIR.
  • Los entornos probados simularon escenarios del mundo real y validaron el cumplimiento del sistema con los estándares FHIR.
 

Controles de seguridad y privacidad de datos

  • Se adoptaron técnicas de datos cifrados tanto para los datos almacenados como para los transmitidos para cumplir con los requisitos de privacidad y seguridad.
  • Los métodos anonimizados y seudonimizados protegieron las identidades de los pacientes al compartir datos para investigaciones o análisis.
 

Cumplimiento de versiones y actualizaciones

  • Los sistemas actualizados periódicamente siguieron cumpliendo con las últimas especificaciones de FHIR y admitieron múltiples versiones de FHIR para facilitar transiciones fluidas e interoperabilidad.
 

Capacitación y concientización periódica del personal

  • La capacitación continua proporcionó al personal conocimiento de los estándares HL7/FHIR, manejo de datos y protocolos de seguridad para mantener la conciencia y la competencia en la gestión segura de datos de salud.

POPIA (Ley de Protección de Información Personal): regula la protección de datos y la privacidad en Sudáfrica.

Cifrado de datos

  • Datos cifrados en tránsito y en reposo: todos los datos personales, incluida la información confidencial, se protegieron mediante métodos de cifrado avanzados como AES-256, lo que garantiza que el acceso no autorizado o las violaciones de datos se mitigaran de manera efectiva.
  • Gestión segura de claves de cifrado: se estableció un proceso para gestionar claves de cifrado para controlar el acceso y evitar el descifrado no autorizado de datos.
 

Control de acceso y autenticación

  • Controles de acceso basados en roles (RBAC): acceso restringido a la información personal en función de los roles de los empleados, lo que garantiza que solo el personal necesario tenga acceso a datos específicos.
  • Autenticación multifactor (MFA): protocolos implementados que requieren múltiples métodos de verificación, como contraseñas y datos biométricos, para acceder a datos confidenciales.
  • Acceso de usuarios revisado: se realizaron auditorías de los permisos de acceso de los usuarios para garantizar que solo las personas autorizadas mantuvieran acceso a la información personal.
 

Políticas de minimización y retención de datos

  • Recopilación minimizada de datos: se recopila solo la cantidad mínima de información personal necesaria para fines específicos, de acuerdo con los requisitos de POPIA para la limitación de propósitos.
  • Programas automatizados de retención de datos: se crearon programas para eliminar o anonimizar de forma segura la información personal una vez que ya no fuera necesaria.
  • Procedimientos integrales de eliminación de datos: se desarrollaron protocolos para garantizar que todas las copias de datos, incluidas las copias de seguridad, se eliminaran correctamente una vez que expiraran los períodos de retención.
 

Registro de auditoría y monitoreo continuo

  • Registros de auditoría completos: se mantienen registros detallados de todos los accesos, modificaciones y eliminaciones de información personal, lo que permite el seguimiento de las actividades de manejo de datos y la identificación de posibles incidentes de seguridad.
  • Monitoreo en tiempo real: Se emplearon herramientas avanzadas para detectar intentos de acceso no autorizado, comportamiento anómalo y otras actividades sospechosas.
  • Alertas automatizadas: configure alertas para cualquier actividad inusual o patrones de acceso, lo que permite una investigación y respuesta rápidas.
 

Evaluaciones de seguridad periódicas

  • Vulnerabilidades evaluadas periódicamente: se identificaron debilidades en la seguridad de los datos a través de evaluaciones y se aseguró de que se abordaran rápidamente.
  • Penetración probada periódicamente: simulacros de ciberataques para evaluar la resiliencia de las medidas de protección de datos.
  • Auditorías de seguridad comprometidas: se utilizaron auditores externos para verificar el cumplimiento de POPIA e identificar brechas en los controles de seguridad.
 

Plan de respuesta a incidentes

  • Detección y respuesta a incidentes establecidos: se formó un equipo dedicado e se implementó un plan detallado para detectar, responder y mitigar rápidamente violaciones de datos o incidentes de seguridad.
  • Protocolos de notificación rápida de violaciones: se desarrollaron procedimientos para notificar al regulador de información y a las personas afectadas en caso de una violación de datos, como lo exige la POPIA.
 

Gestión de los derechos del interesado

  • Solicitudes de acceso y corrección de datos gestionadas: sistemas y procesos implementados para manejar las solicitudes de los interesados para acceder, corregir o eliminar su información personal.
  • Mecanismos de exclusión voluntaria proporcionados: herramientas y procesos ofrecidos para que las personas puedan optar por no recibir marketing directo y oponerse al procesamiento de sus datos.
 

Evaluaciones de impacto sobre la privacidad (PIA)

  • PIA regulares: Se realizaron evaluaciones para nuevos proyectos, sistemas o procesos que involucran información personal para identificar y mitigar riesgos de privacidad de forma proactiva.
  • Protección de datos diseñada por diseño: principios de protección de datos integrados en el diseño y la implementación de sistemas, aplicaciones y procesos desde el principio.
 

Seguridad de la transferencia de datos

  • Métodos seguros de transferencia de datos: Canales utilizados (por ejemplo, VPN, SFTP) para transferir datos personales, especialmente cuando se comparten datos con terceros o a través de fronteras.
  • Cumplimiento garantizado de terceros: se verificó que los proveedores de servicios externos o socios cumplieran con estándares de protección de datos equivalentes y tuvieran acuerdos de procesamiento de datos vigentes.
 

Capacitación y concientización del personal

  • Programas de capacitación integral: Se brindaron sesiones periódicas a todos los empleados sobre los requisitos de POPIA, los principios de privacidad, las prácticas de protección de datos y la protección de la información personal.
  • Capacitación sobre phishing e ingeniería social: se realizaron sesiones para ayudar a los empleados a reconocer y responder a los intentos de phishing y otros ataques de ingeniería social que podrían comprometer datos personales.

NITDA (Ley de la Agencia Nacional de Desarrollo de Tecnología de la Información): establece regulaciones de protección de datos en Nigeria.

Cifrado de datos

  • Ciframos todos los datos personales y confidenciales en reposo y en tránsito utilizando protocolos de cifrado fuertes como AES-256, lo que garantiza la protección de los datos contra accesos no autorizados y violaciones.
 

Controles de acceso

  • El control de acceso basado en roles (RBAC) se aplica para limitar el acceso a los datos personales en función de los roles de los usuarios.
  • La autenticación multifactor (MFA) se implementa para mejorar la seguridad al requerir múltiples métodos de verificación antes de otorgar acceso a información confidencial.
 

Políticas de minimización y retención de datos

  • Se recopilan y conservan mínimamente solo los datos personales necesarios para fines específicos y legales.
  • Las políticas de retención de datos establecidas garantizan la eliminación oportuna y segura de los datos personales que ya no son necesarios.
 

Registro y monitoreo de auditorías

  • Se mantienen registros de auditoría detallados para rastrear todos los accesos, modificaciones, eliminaciones y transferencias de datos personales, lo que permite una total transparencia y responsabilidad.
  • Se implementan sistemas de monitoreo continuo para detectar y responder rápidamente a accesos no autorizados o actividades sospechosas.
 

Evaluaciones de seguridad periódicas

  • Se realizan evaluaciones de seguridad periódicas, que incluyen análisis de vulnerabilidades y pruebas de penetración, para identificar y abordar posibles debilidades en el sistema.
  • Se realizaron auditorías de seguridad integrales en las que se contrataron auditores externos para validar el cumplimiento de los estándares NDPR.
 

Plan de respuesta a incidentes

  • Se desarrolló un plan integral de respuesta a incidentes de RA que detalla los pasos para detectar, informar y mitigar violaciones de datos o incidentes de seguridad con rapidez.
  • Se establecieron protocolos de notificación de infracciones para informar a las autoridades pertinentes y a las personas afectadas siguiendo los requisitos de la NDPR.
 

Gestión de los derechos del interesado

  • Derechos de los interesados gestionados mediante procedimientos, incluidos el acceso, la corrección y la eliminación de datos personales, con procesos establecidos para manejar quejas y reclamos de manera eficaz.
 

Seguridad de la transferencia de datos

  • Para todas las transferencias de datos personales, especialmente aquellas que involucran a terceros o intercambios transfronterizos, se garantizan métodos de transmisión seguros (por ejemplo, VPN, HTTPS).
  • Se verifica la adhesión a proveedores de servicios externos para garantizar estándares de protección de datos similares y acuerdos de procesamiento de datos adecuados.
 

Capacitación y concientización del personal

  • Se llevan a cabo sesiones de capacitación periódicas para todos los empleados sobre los requisitos de la NDPR, los principios de privacidad y las mejores prácticas de seguridad para mantener el cumplimiento y la concientización.
  • Se desarrollaron programas de capacitación específicos para reconocer y prevenir ataques de ingeniería social, como el phishing.
 

Privacidad por diseño y por defecto

  • El diseño integrado de la privacidad de todos los sistemas, aplicaciones y procesos garantizó que los principios de protección de datos se mantuvieran desde el principio.
  • Sistemas y procesos revisados y actualizados periódicamente alineados con los requisitos cambiantes del NDPR y las mejores prácticas de la industria.

DPA (Ley de Protección de Datos): rige el uso de datos personales en varias jurisdicciones.

Cifrado de datos

  • Ciframos todos los datos personales utilizando algoritmos fuertes como AES-256 para protegerlos contra el acceso no autorizado durante el almacenamiento y la transmisión.
 

Controles de acceso

  • Control de acceso basado en roles (RBAC): acceso restringido a datos personales mediante la asignación de roles y privilegios según los requisitos del trabajo.
  • Autenticación multifactor (MFA): se utiliza MFA para acceder a datos confidenciales, lo que garantiza múltiples capas de verificación.
 

Políticas de minimización y retención de datos

  • Datos mínimamente recopilados para fines específicos y legítimos.
  • Programas de retención automatizados: protocolos establecidos para eliminar datos cuando ya no sean necesarios, lo que garantiza el cumplimiento de los principios de retención de datos.
 

Registro y monitoreo de auditorías

  • Registros de auditoría completos: se mantienen registros detallados de acceso, modificaciones y eliminaciones de datos para rastrear las acciones de los usuarios y mantener la responsabilidad.
  • Monitoreo continuo: sistemas implementados para detectar actividad sospechosa y responder rápidamente a posibles incidentes de seguridad.
 

Evaluaciones de seguridad periódicas

  • Pruebas de vulnerabilidad y penetración: se realizaron evaluaciones periódicas para identificar posibles vulnerabilidades en el sistema.
  • Auditorías de terceros: contratamos auditores externos para verificar que las prácticas de protección de datos cumplieran con los estándares de la DPA.
 

Plan de respuesta a incidentes

  • Procedimientos de respuesta ante violaciones: se desarrolló un plan para detectar, investigar y mitigar violaciones de datos.
  • Protocolos de notificación de violaciones: procedimientos establecidos para notificar rápidamente a las personas afectadas y a las autoridades pertinentes en caso de una violación de datos, como lo exige la DPA.
 

Gestión de los derechos del interesado

  • Procesos de derecho de acceso, corrección y eliminación: procedimientos implementados para gestionar las solicitudes de las personas para acceder, rectificar o eliminar sus datos.
  • Herramientas de transparencia: Se proporcionaron mecanismos claros para que las personas ejerzan sus derechos bajo la DPA.
 

Seguridad de la transferencia de datos

  • Protocolos de transferencia segura: Se garantiza la transmisión segura de datos personales, especialmente a través de fronteras, utilizando canales cifrados como HTTPS o VPN.
  • Acuerdos de protección de datos de terceros: se verificó que todos los proveedores de servicios externos cumplieran con estándares de protección de datos similares, con acuerdos que describen responsabilidades para proteger los datos personales.
 

Capacitación y concientización del personal

  • Programas de capacitación continua: se brindó capacitación periódica sobre los requisitos de la DPA, los principios de protección de datos y las mejores prácticas a todos los empleados.
  • Conciencia de incidentes: personal capacitado para reconocer posibles amenazas a la seguridad, como intentos de phishing y otras tácticas de ingeniería social.
 

Evaluaciones de impacto sobre la protección de datos (EIPD)

  • Marco de evaluación de riesgos: Se realizan evaluaciones de impacto de la protección de datos (EIPD) para nuevos proyectos, sistemas o procesos que involucran el manejo de datos personales para evaluar los riesgos y garantizar el cumplimiento de los principios de protección de datos.
  • Privacidad desde el diseño: consideraciones de privacidad integradas en el diseño y desarrollo de todas las actividades de procesamiento de datos.

Otras regulaciones locales aplicables: cumplimos con las leyes de protección de datos aplicables en diversas jurisdicciones.

Medidas de protección de datos

 

En LinkHMS, empleamos un enfoque de múltiples capas para la seguridad de los datos, que incluye:

  • Medidas de seguridad administrativas: Capacitación periódica del personal sobre políticas de privacidad, estándares de protección de datos y protocolos de respuesta ante infracciones. Implementamos estrictos controles de acceso basados en roles, que requieren autenticación y autorización para acceder a los datos.
  • Medidas de seguridad técnicas: Cifrado de datos en tránsito y en reposo mediante protocolos estándar de la industria. Implementamos firewalls avanzados, sistemas de detección de intrusiones y prácticas de codificación seguras para protegernos contra ciberamenazas. Realizamos evaluaciones de vulnerabilidades y pruebas de penetración periódicas para identificar y mitigar posibles riesgos.
  • Medidas de seguridad físicas: Instalaciones seguras con acceso restringido solo al personal autorizado, vigilancia 24/7 y centros de datos con estrictos controles ambientales. Todos los dispositivos de hardware y almacenamiento se eliminan de forma segura siguiendo protocolos de eliminación de datos.
  • Auditorías de seguridad periódicas: Monitoreo continuo y auditorías anuales de terceros para verificar el cumplimiento de las normas legales y regulatorias. Evaluamos y actualizamos continuamente nuestras medidas de seguridad para adaptarnos a las nuevas amenazas y mantener un alto nivel de protección.

Esta estrategia integral garantiza que todos los datos de los usuarios estén protegidos contra acceso no autorizado, divulgación y pérdida, de conformidad con las regulaciones internacionales y locales.

Protocolo de respuesta ante violaciones de datos

 

LinkHMS cuenta con un plan integral de respuesta ante brechas de datos para identificar, evaluar y mitigar con prontitud cualquier incidente de seguridad. En caso de una brecha, se notificará a las partes afectadas conforme a los requisitos legales.

Acuerdos de procesamiento de datos

 

Colaboramos con procesadores externos que cumplen con nuestros altos estándares de cumplimiento. Todas las actividades de procesamiento de datos se rigen por acuerdos que exigen el cumplimiento de la HIPAA, el RGPD y otras leyes de protección de datos aplicables.

Responsabilidades de cumplimiento del usuario

 

Los usuarios de LinkHMS son responsables de garantizar que su uso de la plataforma cumpla con los requisitos legales y reglamentarios aplicables, incluida la obtención del consentimiento adecuado de los pacientes para el procesamiento de datos.

Bases legales para el tratamiento de datos

 

Procesamos datos personales con base en el consentimiento, las obligaciones legales, la necesidad contractual y los intereses comerciales legítimos, de conformidad con la legislación aplicable. Cada actividad de procesamiento se somete a una evaluación legal para garantizar su cumplimiento.

Monitoreo y auditoría

 

LinkHMS realiza auditorías internas periódicas para verificar el cumplimiento de las normas legales y los requisitos regulatorios. Evaluamos continuamente nuestros procesos y actualizamos nuestras políticas para adaptarnos a la evolución del panorama legal.

Resolución de disputas

 

Cualquier disputa relacionada con el cumplimiento normativo y la protección de datos se resolverá mediante negociaciones amistosas. Las disputas no resueltas podrán elevarse a las autoridades reguladoras o a los tribunales de la jurisdicción correspondiente.

Actualizaciones de políticas legales y de cumplimiento

 

LinkHMS se reserva el derecho de actualizar sus políticas legales y de cumplimiento para reflejar cambios en leyes, regulaciones o prácticas comerciales. Los usuarios serán notificados de cualquier actualización significativa a través de nuestros canales oficiales.

Política de reembolso

 

Puede solicitar un reembolso en nuestra página de Reembolsos . Los reembolsos se pueden solicitar dentro de las 24 horas posteriores al pago, siempre que este se haya realizado por error. Nos esforzamos por procesar las solicitudes de reembolso lo más rápido posible y nuestro equipo revisará cada caso individualmente para garantizar una resolución justa. Por favor, incluya los datos de su pago y el motivo de la solicitud de reembolso al contactarnos para agilizar el proceso.