Política de Seguridad de la Información
Dentrisoft aplica controles de seguridad diseñados para proteger los datos clínicos y personales de los pacientes, uno de los activos más sensibles de una clínica odontológica.
Nota: Esta política describe las medidas de seguridad a alto nivel. No se publican detalles técnicos específicos de implementación para no comprometer la integridad de los controles. Para auditorías formales, contáctanos en [email protected].
TLS 1.3
Cifrado en tránsito
AES-256
Cifrado en reposo
99.5%
Disponibilidad objetivo
Diario
Copias de seguridad
1 Cifrado de Datos
En tránsito
Toda la comunicación entre el navegador del usuario y los servidores de Dentrisoft se realiza mediante HTTPS con TLS 1.3, el protocolo de cifrado más moderno disponible. Los certificados SSL son gestionados automáticamente por Netlify.
En reposo
Los datos almacenados en la base de datos (Supabase/PostgreSQL) están cifrados mediante AES-256. Las contraseñas de usuarios nunca se almacenan en texto plano; se utiliza hashing seguro con sal (bcrypt).
2 Control de Accesos
Dentrisoft implementa un sistema de control de accesos de múltiples capas:
Capa 1 — Autenticación
Sesiones basadas en tokens seguros (JWT) con expiración automática. Acceso mediante credenciales individuales por usuario.
Capa 2 — Control por roles (RBAC)
Tres roles definidos: Propietario (acceso total), Recepcionista (acceso operativo) y Odontólogo (acceso clínico). Cada rol ve y puede modificar únicamente lo que le corresponde.
Capa 3 — Aislamiento multi-tenant
Cada clínica opera en un silo de datos completamente aislado. Es arquitecturalmente imposible que una clínica acceda a datos de otra.
Capa 4 — Row-Level Security (RLS)
La base de datos aplica políticas de seguridad a nivel de fila que impiden el acceso a datos de otros tenants, incluso ante errores en la capa de aplicación.
3 Copias de Seguridad (Backups)
Frecuencia
Backups automáticos diarios de la base de datos completa, gestionados por Supabase.
Retención
Las copias de seguridad se retienen por un período mínimo de 7 días, con opción de recuperación a cualquier punto en ese período.
Cifrado
Las copias de seguridad están cifradas con los mismos estándares AES-256 aplicados a los datos en producción.
Almacenamiento
Las copias se almacenan en una región geográficamente separada para garantizar la continuidad ante desastres regionales.
4 Protección contra Accesos No Autorizados
Auditoría de eventos
Se registran las acciones críticas realizadas en el sistema (accesos, modificaciones de datos sensibles, liquidaciones) con timestamp, usuario y datos afectados.
Sesiones con expiración
Los tokens de acceso expiran automáticamente y se renuevan de forma segura. Las sesiones inactivas se cierran automáticamente.
Protección de APIs
Todos los endpoints del sistema validan la identidad y los permisos del usuario en cada solicitud. No existen rutas protegidas accesibles sin autenticación válida.
Variables sensibles protegidas
Las claves de API, credenciales de base de datos y llaves criptográficas nunca se exponen en el código fuente ni en el frontend.
Monitoreo continuo
Supabase y Netlify realizan monitoreo de seguridad continuo de la infraestructura, con alertas automáticas ante anomalías.
5 Buenas Prácticas Recomendadas para la Clínica
La seguridad es compartida. Te recomendamos:
Usa contraseñas fuertes y únicas para Dentrisoft (mínimo 12 caracteres).
No compartas credenciales entre miembros del equipo. Cada persona debe tener su propia cuenta.
Cierra sesión en Dentrisoft cuando uses equipos compartidos o públicos.
Actualiza las contraseñas periódicamente y ante cualquier sospecha de compromiso.
Revisa los roles asignados a tu equipo y retira accesos cuando alguien deje la clínica.
Notifica de inmediato a Dentrisoft si detectas actividad sospechosa en tu cuenta.
Asegúrate de que los equipos usados para acceder tengan antivirus y sistema operativo actualizados.
Accede a Dentrisoft siempre desde redes seguras (evita wifi públicas sin VPN).
6 Plan de Respuesta a Incidentes
Ante un incidente de seguridad que afecte datos personales, Dentrisoft activa su protocolo de respuesta:
Identificación del incidente mediante monitoreo automático o reporte del usuario.
Aislamiento del sistema o vector de ataque para evitar mayor propagación.
Comunicación a los clientes afectados en máximo 72 horas con información del incidente.
Corrección de la vulnerabilidad, restauración del servicio y refuerzo de controles.
Análisis de causa raíz y publicación de las medidas correctivas aplicadas.
Reporte de Vulnerabilidades
Si identificas una vulnerabilidad de seguridad en Dentrisoft, te pedimos reportarla de forma responsable antes de hacerla pública:
📌 Asunto: "Reporte de seguridad responsable"
Nos comprometemos a responder en 48 horas hábiles y a no tomar acciones legales contra investigadores de buena fe.
¿Tienes preguntas sobre la seguridad de tus datos?