Certificación de Seguridad Telemedicina COCO

A QUIEN CORRESPONDA:

COCO Inversiones Tecnológicas como prestador de servicios tecnológicos en la nube, entre ellos nuestra solución de telemedicina cumple con los siguientes numerales de la Resolución Colombiana 2654 del 2019:

Seguridad y Control de Acceso

Artículo 12. Comunicación de los usuarios con personal de la salud a través de plataformas tecnológicas
Artículo 27. Seguridad del paciente

Nuestra garantía de sistemas de seguridad y control de acceso se refleja en nuestros rigurosos procedimientos. Para asegurar la integridad y confidencialidad de los datos, el acceso de los pacientes a nuestra plataforma virtual se facilita mediante un enlace único, el cual es enviado de manera exclusiva a sus correos electrónicos y números de celular registrados. Este enlace va acompañado de un código captcha adicional, el cual se suma al protocolo HTTPS estándar para verificar la autenticidad de la conexión humana.

Medidas Adicionales de Seguridad

  • Activación temporal del enlace: Limitando su validez en el tiempo
  • Acceso restringido: Únicamente a usuarios debidamente registrados
  • Protocolo HTTPS: Con validación de identidad adicional para profesionales de la salud

Integridad de Datos

Nuestra plataforma emplea rigurosos mecanismos de compresión sin pérdida para garantizar que la integridad de los datos, imágenes o señales originales se conserve intacta durante el proceso de transmisión y almacenamiento. Esto significa que, al utilizar nuestra infraestructura respaldada por la seguridad de red global de AWS y la encriptación de la capa de transporte (TLS), los datos comprimidos y transmitidos mantienen su calidad y precisión, asegurando que la información recuperada sea una réplica exacta del dato original.

Tratamiento de la Información

Artículo 22. Responsabilidades en el uso de plataformas tecnológicas
Artículo 24. Tratamiento de la información y Habeas Data

Se implementa encriptación de la información para su transmisión, así como mecanismos de acceso definidos:

  • Conexión cifrada (HTTPS usando TLS) para toda la transmisión de datos
  • WebSockets encriptados para mensajería en tiempo real
  • DTLS-SRTP para video y audio con claves de cifrado generadas por el cliente
Nota: Por el momento, la capacidad de grabación de videoconferencias no forma parte de nuestra oferta. Sin embargo, en caso de que esta característica sea considerada en el futuro, nos comprometemos a implementar todos los criterios de seguridad informática necesarios para salvaguardar la confidencialidad y privacidad del paciente.

Firma Electrónica

Artículo 25. Uso de la firma electrónica o digital

El método utilizado es la firma electrónica; este método incorpora un proceso que garantiza la captura de la ubicación y fecha en que se realiza la firma, además de la firma electrónica del nombre del firmante.

Proceso de Firma

  1. Captura de Ubicación: El software registra automáticamente la ubicación geográfica del dispositivo desde el cual se está realizando la firma electrónica.
  2. Captura de Fecha: El sistema captura la fecha y hora exactas en que se realiza la firma, asegurando un registro temporal preciso.
  3. Firma Electrónica del Nombre: El firmante proporciona su nombre de forma digital, mediante la escritura a mano en una pantalla.

Calidad de la Atención

Artículo 26. Calidad de la atención

El software ha sido diseñado y probado para adaptarse eficientemente a cambios en la disponibilidad del ancho de banda sin perder la conexión, siempre y cuando se cumpla con el mínimo establecido (650kbps). Esto garantiza una experiencia de usuario fluida y continua, incluso en condiciones de red fluctuantes.

Aviso Importante sobre Habilitación

Este documento detalla el cumplimiento de los aspectos legales de la herramienta tecnológica de telemedicina de COCO Tecnologías, sin embargo se aclara que en la Resolución 3100 de 2019, la responsabilidad de la habilitación de los servicios de salud, incluyendo aquellos prestados mediante telemedicina y telesalud, recae sobre la Institución Prestadora de Servicios de Salud (IPS) que brinda el servicio.

La responsabilidad de garantizar que las plataformas tecnológicas utilizadas cumplan con los requisitos técnicos, de seguridad y normativos necesarios para la adecuada prestación del servicio de salud recae sobre la IPS. Este enfoque se complementa con lo establecido en la Resolución 2654 de 2019, que señala que cuando las plataformas tecnológicas sean de terceros, será responsabilidad de quien brinda el servicio de salud verificar las condiciones de seguridad, privacidad y confidencialidad.

Consentimientos Informados

Confidencialidad y Acceso Restringido

El acceso a los consentimientos informados está estrictamente limitado a usuarios con perfil de administrador y únicamente a través del módulo de información de la cita dentro del sistema. Estos documentos se almacenan en una nube privada, y su acceso se encuentra protegido mediante un token de seguridad exclusivo.

  • Los archivos no son accesibles públicamente
  • Cifrado en tránsito y en reposo
  • Transmisión mediante conexiones seguras (HTTPS) bajo el protocolo TLS 1.2

Procedimiento de Almacenamiento Seguro

Una vez el paciente firma el consentimiento informado, se genera automáticamente una firma electrónica incorporada en el documento. Este documento se almacena de forma segura en Amazon Web Services (AWS) S3, garantizando alta disponibilidad, durabilidad y protección contra alteraciones.

Conservación e Integridad

Los consentimientos son conservados durante el periodo definido contractualmente con cada cliente. Estos documentos se almacenan en formato PDF, lo que impide su edición posterior y asegura la integridad del contenido.

Garantía de No Repudio

El proceso de firma incorpora múltiples factores:

  • Nombre completo del paciente
  • Tipo y número de documento de identidad
  • Dirección IP
  • Firma del paciente (trazo manual)
  • Generación de un token único que valida la firma

Continuidad y Recuperación

Continuidad del Servicio

Contamos con una infraestructura de alta disponibilidad. En el contexto de teleconsultas, si se presenta una caída de conexión, los archivos previamente cargados por el paciente permanecen disponibles al reanudarse la sesión.

Recuperación ante Desastres

  • Sistema automático de reintentos de conexión
  • Plan de recuperación ante desastres (DRP)
  • Replicación de datos en múltiples regiones (us-east-1)

Estrategia de Copias de Seguridad

Infraestructura AWS

  • Redundancia de hardware: Replicación automática en múltiples servidores físicos
  • Almacenamiento distribuido: Documentos en múltiples ubicaciones físicas dentro de una misma región
  • AWS Backup: Capacidad de crear copias de seguridad automáticas con restauración a punto específico en el tiempo

Este documento certifica que los mecanismos y prácticas mencionadas cumplen rigurosamente con los requisitos establecidos para garantizar la seguridad y confidencialidad de la información.

COCO Inversiones Tecnológicas