Visión general de seguridad
Última actualización: 27 de junio de 2026
Psiquiatria.Ink está diseñado para la documentación psiquiátrica y, por ello, trata la confidencialidad, la minimización y el acceso controlado como requisitos esenciales del producto.
Esta página ofrece una visión general pública. Las medidas técnicas y organizativas detalladas pueden facilitarse a los clientes en el marco del Acuerdo de Encargo de Tratamiento o de un proceso de revisión de seguridad.
1. Principios de seguridad
Psiquiatria.Ink está diseñado en torno a los siguientes principios:
- minimizar los identificadores directos de pacientes;
- mantener la correspondencia de la identidad del paciente en local siempre que sea posible;
- utilizar cifrado en tránsito y en reposo;
- restringir el acceso por rol y organización;
- registrar los eventos de seguridad y auditoría pertinentes;
- separar los datos de los clientes cuando proceda;
- evitar el envío de identificadores innecesarios a los proveedores de IA;
- mantener en los clínicos la responsabilidad de la revisión y aprobación finales de los resultados.
2. Cifrado en el lado del cliente (zero-knowledge)
En los modos de sincronización de cuenta, los datos sensibles se cifran de extremo a extremo en el navegador antes de llegar a nuestros servidores, con claves que nunca salen del dispositivo del clínico:
- En el primer uso, la aplicación genera un par de claves RSA-OAEP-2048 en el navegador. La clave privada se almacena únicamente en el almacenamiento local del dispositivo (IndexedDB) y nunca se nos envía; nuestros servidores reciben, como máximo, la clave pública.
- Los identificadores del paciente (nombre, fecha de nacimiento) se cifran con AES-GCM-256, y esa clave de contenido se envuelve con la clave pública del dispositivo.
- Los expedientes de caso (notas clínicas, planes de medicación, hallazgos) se almacenan y sincronizan únicamente como texto cifrado. La edad puede figurar dentro del texto cifrado; el nombre y la fecha de nacimiento no forman parte de un expediente de caso sincronizado.
Dónde reside la correspondencia entre paciente y caso
Cada caso se referencia mediante un identificador aleatorio (un UUID). El vínculo entre ese identificador y el paciente real —el nombre y la fecha de nacimiento— existe únicamente como texto cifrado: en el dispositivo, dentro de la bóveda cifrada; y, si el clínico activa la copia de seguridad cifrada de la cuenta, en el servidor solo dentro de un bloque cifrado con la frase de recuperación.
Ejemplo. Nuestros servidores pueden almacenar que «el caso a1b2c3… tiene una instantánea cifrada de 12 KB, actualizada por última vez el 3 de julio». No almacenan —ni pueden almacenar— que a1b2c3… es «Jane Doe, nacida en 1980». Resolver el identificador hasta un paciente requiere la clave privada del dispositivo del clínico (o, para la copia de seguridad, la frase de recuperación del clínico).
Documentos escaneados y PDF
Los PDF y documentos escaneados cargados se almacenan cifrados en el dispositivo del clínico (en el navegador) y no se suben a nuestros servidores. Nunca se someten a OCR ni se leen de otro modo de forma automatizada: un documento escaneado puede contener identificadores en la propia imagen (membretes, sellos) que no pueden eliminarse de forma fiable. El clínico puede abrir y ver el archivo e introduce manualmente los datos estructurados. Solo se analizan los formatos de texto (DOCX, TXT, CSV, XLSX, JSON).
Qué revelaría y qué no revelaría un compromiso del servidor
Dado que el servidor solo alberga texto cifrado y metadatos no identificativos, un compromiso de nuestra infraestructura revelaría que existe una cuenta, aproximadamente cuántos casos tiene (como identificadores aleatorios) y sus tamaños y marcas de tiempo; no revelaría los nombres ni las fechas de nacimiento de los pacientes, la correspondencia entre identificador y paciente, el contenido clínico de un expediente de caso ni ningún documento escaneado (que no se almacena en el servidor en absoluto).
La frontera de confianza es, por tanto, el dispositivo del clínico y su frase de recuperación, no nuestros servidores. La pérdida de la clave del dispositivo o de la frase de recuperación puede hacer que los datos cifrados sean irrecuperables (véase la sección 7), y el cliente sigue siendo responsable de la seguridad de sus dispositivos.
3. Cifrado
Utilizamos HTTPS/TLS para los datos en tránsito. Los proveedores de infraestructura pueden ofrecer cifrado en reposo para los datos almacenados. Algunos componentes locales del producto pueden utilizar cifrado en el lado del cliente para correspondencias sensibles o el almacenamiento local.
Los controles de cifrado dependen de la configuración de producto seleccionada, el navegador, el dispositivo y el entorno de infraestructura.
4. Control de acceso
Psiquiatria.Ink utiliza controles de acceso basados en cuentas. Las funciones de organización pueden incluir roles como propietario, administrador, clínico, asistente, observador, consultor externo u otros tipos de rol, según el plan y la configuración.
Los usuarios son responsables de proteger sus credenciales, utilizar contraseñas seguras, activar las protecciones de autenticación disponibles y eliminar sin demora a los usuarios que ya no deban tener acceso.
5. Registro de auditoría
El servicio puede registrar eventos de auditoría y seguridad, como inicios de sesión, acciones sobre documentos, eventos de generación por IA, consumo de créditos, eventos de acceso, eventos de error y acciones administrativas. La disponibilidad de los registros de auditoría depende del plan y la configuración.
6. Minimización de datos en la IA
Las funciones de IA están diseñadas para apoyar la redacción de borradores y la documentación. Los usuarios deben evitar identificadores directos innecesarios en las instrucciones y en el texto de origen. Cuando estén disponibles, deben utilizarse la desidentificación, las barreras de privacidad o los modos exclusivamente locales antes de enviar texto clínico a proveedores externos de IA.
Los resultados de la IA deben ser revisados siempre por un profesional cualificado antes de su uso clínico, legal o administrativo.
7. Copias de seguridad y recuperación
La infraestructura de producción puede incluir copias de seguridad, instantáneas y procesos de recuperación. Los periodos de conservación de las copias de seguridad y los procedimientos de recuperación dependen de la configuración final del despliegue y del plan del cliente.
Es posible que Psychiatry Ink Ltd no pueda recuperar los datos de la bóveda local cifrada si el usuario pierde la clave local, el perfil del navegador o el almacenamiento del dispositivo.
8. Respuesta a incidentes
Si tenemos conocimiento de un incidente de seguridad o de una violación de la seguridad de los datos personales que afecte a datos de clientes, lo investigaremos y notificaremos a los clientes afectados cuando la ley y el contrato lo exijan.
Contacto de seguridad y protección de datos:
9. Divulgación responsable
Si cree haber encontrado una vulnerabilidad, póngase en contacto con nosotros antes de divulgarla públicamente. Incluya información suficiente para reproducir el problema. No acceda a datos que no le pertenezcan, ni los modifique, descargue o divulgue.
Notifique las vulnerabilidades a:
10. Limitaciones actuales
Ningún sistema de software es completamente seguro. Psiquiatria.Ink no debe utilizarse con datos de pacientes en producción hasta que el despliegue correspondiente, el DPA, la lista de subencargados del tratamiento, las garantías de transferencia de datos, los ajustes de conservación, los controles de acceso y la configuración de privacidad hayan sido aprobados para la jurisdicción y la organización previstas.