POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Versión: 1
Fecha de emisión: Junio 2025
Sistema: Kliniko V 3
Titular responsable: Luis Javier Cabanillas Champac

 

1. Introducción: 

La seguridad de la información es un eje central en la operación de Kliniko, sistema de gestión clínica, administrativa y financiera para clínicas ambulatorias de primer y segundo nivel de atención.

Esta política establece las bases, procedimientos y responsabilidades que permiten proteger la información personal de salud y los datos administrativos procesados en la plataforma, asegurando su confidencialidad, integridad, disponibilidad, trazabilidad y uso ético.

 

2. Objetivo

Establecer el marco de referencia para la gestión de la seguridad de la información en el sistema Kliniko. Garantizar la protección de la información clínica y administrativa de los usuarios y pacientes, asegurando su confidencialidad, integridad y disponibilidad en todos los procesos, incluyendo:

  • La planeación y evaluación de riesgos.
  • La implementación de controles técnicos, organizativos y contractuales.
  • La operación segura del sistema.
  • La supervisión y mejora continua de las medidas de seguridad

 

3. Alcance

Esta política es de aplicación para todos los usuarios, colaboradores, personal administrativo, socios y terceros que accedan, procesen o gestionen cualquier tipo de información dentro del sistema Kliniko, incluyendo:

  • Usuarios del sistema: Personal clínico (médicos, fisioterapeutas, podólogos, etc.), personal administrativo y de gestión de las clínicas.
  • Servicios y procesos: Todos los módulos funcionales de Kliniko, así como la infraestructura de la plataforma y de la nube utilizada para su operación.
  • Datos: Toda la información personal, clínica y administrativa capturada, almacenada y procesada a través del sistema.

 

4. Principios fundamentales de seguridad

Kliniko opera bajo los siguientes principios para la protección de la información de salud:

  • Confidencialidad: La información personal de salud es un activo valioso y sensible que debe ser protegida de accesos no autorizados. Solo el personal autorizado, bajo una estricta necesidad de conocimiento, podrá acceder a ella.
  • Integridad: La información debe ser precisa, completa y confiable. Se implementarán mecanismos para evitar su alteración o modificación no autorizada.
  • Disponibilidad: La información y los sistemas deben estar accesibles para los usuarios autorizados cuando sea necesario para la atención del paciente.
  • Trazabilidad y No Repudio: Cada acción realizada en el sistema debe ser rastreable y asociada a un usuario específico. Esto garantiza la responsabilidad individual y proporciona un registro auditable de todas las interacciones.

5. Lineamientos de Seguridad en la Operación

5.1. Gestión de la Información de Salud

  • Clasificación de la Información: Toda la información personal de salud gestionada en Kliniko se clasifica como confidencial.
  • Identificación Única de Pacientes: Cada paciente tendrá un identificador único en el sistema. En casos de emergencia que puedan generar registros duplicados, el sistema contará con herramientas para la unificación de expedientes, asegurando la integridad del historial clínico.
  • Manejo de la Información: Todo el personal está obligado a manejar la información con la máxima discreción. Está prohibido revelar, copiar o utilizar los datos de los pacientes para fines no relacionados con su atención.

5.2. Controles implementados

    • Control de Acceso Lógico: El acceso al sistema se otorgará a través de credenciales únicas para cada usuario, basadas en su rol profesional y necesidades específicas. Se prohíbe compartir cuentas o contraseñas.
    • Roles y Privilegios: Se asignarán perfiles de acceso que limiten las funciones y la visibilidad de los datos necesarios para cada puesto de trabajo (médico, recepcionista, gerente).
    • Autenticación y Sesiones: Se requerirá autenticación para el ingreso al sistema. Las sesiones inactivas se cerrarán automáticamente después de un período de tiempo definido para prevenir accesos no autorizados.
    • Técnicos adicionales: 
      • Bitácoras automáticas de acceso y modificaciones, 
      • Copias de seguridad automáticas diarias con pruebas trimestrales de restauración y 
      • Cifrado de la comunicación vía HTTPS/TLS.
  • Controles organizativos: 
  • Procedimiento de alta, modificación y baja de usuarios.
  • Revisión anual de accesos activos.
  • Acuerdos de confidencialidad con colaboradores y proveedores.
    Capacitación anual en seguridad y privacidad.
    • Inclusión de cláusulas de confidencialidad y seguridad en contratos con clientes y proveedores.
    • Cartas de responsabilidad de uso para usuarios internos.

  • Colaboración con Terceros

    • Acuerdos de Confidencialidad: Los acuerdos de servicio con cualquier tercero (proveedores, integradores) que tenga acceso a información del sistema incluirán cláusulas de confidencialidad y responsabilidades explícitas sobre el tratamiento de datos.
    • Evaluación de Riesgos: Antes de otorgar acceso a terceros, se evaluarán los riesgos para la información y se implementarán controles apropiados.

 

5.3. Gestión de Incidentes y Mejoras

  • Notificación de Incidentes: Cualquier evento de seguridad, sospecha de acceso no autorizado, o debilidad en el sistema debe ser reportado de manera inmediata a través del canal de soporte interno (contaco@rubiko.mx).
  • Gestión de Incidentes: Se establecerán responsabilidades y procedimientos de gestión para una respuesta rápida y efectiva a los incidentes de seguridad. Adicional se realizará una clasificación, mitigación, documentación y cierre de incidentes con evidencia.
  • Supervisión y revisión de riesgos: Se hará una revisión semestral de bitácoras y accesos. Validación trimestral de respaldos, así como una actualización anual o cuando existan cambios tecnológicos, normativos o de operación.

5.4. Seguridad de los Sistemas de Información

  • Controles de Software Malicioso: Se implementarán controles de detección, prevención y recuperación para proteger los sistemas contra códigos maliciosos.
  • Copia de Seguridad (Backup): Se realizarán copias de seguridad de toda la información y se probarán periódicamente para asegurar su disponibilidad futura.
  • Separación de Ambientes: Se mantendrán separados (física y virtualmente) los ambientes de desarrollo, prueba y producción para reducir los riesgos de acceso no autorizado o cambios accidentales en el sistema en uso.

 

  1. Revisión y mejora continua 

Esta política de seguridad será revisada de manera formal y a intervalos planificados. Las revisiones se llevarán a cabo anualmente, o cuando se presenten cambios significativos, con el fin de asegurar que la política sigue siendo adecuada, pertinente y efectiva. La revisión considerará:

  • Cambios en el sistema o en su infraestructura tecnológica.
  • Modificaciones en las normativas aplicables.
  • Nuevas recomendaciones de organismos reguladores.
  • Los resultados de los incidentes de seguridad y las auditorías internas.
  1. Publicación y Disponibilidad

Esta política estará disponible en formato digital dentro de la plataforma Kliniko para su consulta y disposición.

 

________________________________
Luis Javier Cabanillas Champac
Responsable del sistema Kliniko

contacto@rubiko.mx
Puebla, Puebla.