Política General de Seguridad de la Información
Esta es la política oficial de PassMed para garantizar la integridad, confidencialidad y disponibilidad de los datos clínicos en nuestro ecosistema digital.
1. Objetivo
PassMed establece esta política para garantizar la seguridad en la gestión de Fichas Clínicas Electrónicas (FCE) y la protección de los datos de salud, promoviendo un ecosistema digital donde la información sea fluida y accesible bajo los más altos estándares de seguridad para mejorar la eficiencia clínica y la seguridad del paciente.
2. Alcance
Esta política rige sobre todos los activos de información, procesos de desarrollo bajo estándares de seguridad, servicios de interoperabilidad sanitaria y la infraestructura en la nube operada por PassMed. El alcance se extiende a todos los colaboradores, proveedores y terceros que interactúan con el ecosistema de PassMed.
Dada la naturaleza del servicio SaaS, PassMed opera bajo un Modelo de Responsabilidad Compartida, diseñado para asegurar que la tríada de seguridad (Confidencialidad, Integridad y Disponibilidad) se mantenga en cada capa del servicio:
Responsabilidad de PassMed
PassMed asume la responsabilidad total sobre la seguridad de la infraestructura subyacente, la protección de los datos en reposo y tránsito, la resiliencia de los sistemas y la integridad de los recursos clínicos mediante el uso de estándares internacionales. PassMed se compromete a entregar una plataforma que cumpla con los requisitos legales, reglamentarios y contractuales vigentes en materia de protección de datos de salud y seguridad de la información.
Responsabilidad de la Organización Médica
El cliente, como administrador del proceso asistencial, es responsable de la gestión de identidades, la asignación de roles y permisos a su personal, y la debida diligencia en el uso de las credenciales de acceso. PassMed facilita esta labor entregando herramientas de auditoría y registro permanente, permitiendo que el cliente mantenga el control sobre el acceso a la información clasificada como Secreta.
Compromiso de Colaboración
El éxito del SGSI depende de la alineación mutua entre los controles técnicos de PassMed y la gestión administrativa de los centros médicos. PassMed actúa como un facilitador tecnológico, asegurando que la configuración por defecto promueva el mínimo privilegio y la transparencia en el uso de los datos.
3. Clasificación de la Información
Para asegurar una protección proporcional al riesgo sin sacrificar la operatividad clínica, PassMed define:
4. Objetivos y Principios de Interoperabilidad
- 1Disponibilidad y Continuidad
Garantizar una disponibilidad mensual del 99,5% y el uso del estándar HL7 FHIR para asegurar que los datos viajen sin fricción.
- 2Integridad y Exactitud
Asegurar que cada diagnóstico y hallazgo registrado mediante términos estandarizados sea exacto, analizable y perdurable.
- 3Trazabilidad Total
Identificar de forma inequívoca quién accedió a cada recurso clínico y en qué momento mediante registros de auditoría detallados.
5. Organización y Control de Acceso
Gestión por Roles: PassMed provee niveles técnicos de acceso diferenciados (administrativo y clínico) para proteger la privacidad.
Monitoreo Automático: La plataforma configura automáticamente el registro de todos los eventos de seguridad y actividades de usuario.
Privacidad desde el Diseño: Integramos la seguridad en cada fase del desarrollo, alineándonos con requisitos legales y contractuales vigentes.
6. Gestión de Riesgos e Incidentes
PassMed se orienta a la prevención y detección temprana de amenazas. Cualquier acceso no justificado detectado en los registros de auditoría será tratado como un incidente de seguridad, activando protocolos de respuesta inmediatos para asegurar la resiliencia de la plataforma.
7. Revisión y Mejora Continua
Esta política será revisada al menos una vez al año o ante cambios significativos en el entorno tecnológico o en el marco legal de los países donde PassMed tiene presencia legal, asegurando su adecuación permanente a los estándares internacionales.