La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) establece el estándar para la protección de la información sensible de salud de los pacientes en Estados Unidos. En Luna Salud, el cumplimiento de HIPAA está integrado en cada capa de nuestra plataforma — desde cómo almacenamos y ciframos tus datos hasta cómo controlamos el acceso y monitoreamos la actividad. En esta guía te explicamos qué exige HIPAA y cómo Luna te ayuda a cumplir automáticamente.
¿Qué es HIPAA?
La Health Insurance Portability and Accountability Act (HIPAA), promulgada en 1996 en Estados Unidos, establece estándares nacionales para la protección de la información de salud identificable individualmente, conocida como Información de Salud Protegida (PHI). HIPAA aplica a proveedores de salud, planes de salud, cámaras de compensación y sus socios comerciales.
¿Quién debe cumplir?
Todas las entidades cubiertas y sus socios comerciales, incluyendo:
- Proveedores de salud que transmiten información de salud electrónicamente
- Consultorios privados, clínicas y hospitales
- Planes de salud y compañías de seguros
- Cámaras de compensación de salud
- Socios comerciales que manejan PHI en nombre de entidades cubiertas
Las Tres Reglas de HIPAA
Regla de Privacidad
Establece estándares sobre cuándo y cómo se puede usar o divulgar la PHI. Otorga a los pacientes derechos sobre su información de salud, incluyendo el derecho a acceder y solicitar correcciones.
Regla de Seguridad
Requiere salvaguardas administrativas, físicas y técnicas para asegurar la confidencialidad, integridad y disponibilidad de la PHI electrónica (ePHI).
Regla de Notificación de Brechas
Requiere que las entidades cubiertas notifiquen a las personas afectadas, al Departamento de Salud y Servicios Humanos de EE.UU. (HHS) y, en algunos casos, a los medios de comunicación, tras una brecha de PHI no protegida. Las notificaciones deben realizarse dentro de los 60 días posteriores al descubrimiento de la brecha.
Requisitos HIPAA y Cómo Luna los Cumple
A continuación te presentamos un mapeo completo de los requisitos de HIPAA con las funcionalidades de Luna Salud. Cada salvaguarda está integrada en la plataforma para que puedas enfocarte en la atención al paciente:
| Requisito HIPAA | Categoría | Cómo Luna Cumple | Estado |
|---|---|---|---|
| Control de Acceso | Técnica | Control de acceso basado en roles con cuentas de usuario únicas y permisos configurables | ✅ |
| Controles de Auditoría | Técnica | Bitácora de auditoría inmutable que registra todo acceso, creación, modificación y eliminación de PHI | ✅ |
| Controles de Integridad | Técnica | Firmas digitales en notas clínicas, verificación de integridad de datos, registros a prueba de manipulación | ✅ |
| Seguridad de Transmisión | Técnica | Todos los datos cifrados en tránsito con TLS 1.3; HTTPS obligatorio en todas las conexiones | ✅ |
| Cifrado | Técnica | Cifrado AES-256 estándar de la industria en reposo; cifrado a nivel de campo para toda la PHI | ✅ |
| Autenticación | Técnica | Identificación única de usuario, autenticación segura con contraseña, autenticación multifactor (MFA) por SMS | ✅ |
| Cierre Automático de Sesión | Técnica | Las sesiones expiran automáticamente después de un período definido de inactividad | ✅ |
| Evaluación de Riesgos | Administrativa | Evaluación formal y documentada de riesgos con planes de tratamiento y revisiones periódicas | ✅ |
| Capacitación del Personal | Administrativa | Políticas de capacitación en seguridad y procedimientos documentados | ✅ |
| Respuesta a Incidentes | Administrativa | Procedimientos documentados de notificación de brechas cumpliendo el plazo de 60 días de HIPAA | ✅ |
| Plan de Contingencia | Administrativa | Respaldos automatizados, redundancia multi-región, procedimientos de recuperación ante desastres | ✅ |
| Acuerdos de Socio Comercial | Organizacional | BAAs firmados con todos los proveedores externos que acceden o procesan PHI | ✅ |
| Controles de Acceso Físico | Física | Infraestructura en la nube en centros de datos certificados SOC 2; sin almacenamiento local de PHI | ✅ |
| Mínimo Necesario | Privacidad | Acceso basado en roles asegura que cada usuario solo vea información relevante a sus responsabilidades | ✅ |
| Derechos del Paciente | Privacidad | Portal de pacientes para acceder a sus propios registros; posibilidad de solicitar correcciones | ✅ |
| Retención de Datos | Administrativa | Retención mínima de 6 años de registros clínicos y bitácoras de auditoría | ✅ |
Salvaguardas Técnicas
Las Salvaguardas Técnicas de HIPAA (45 CFR § 164.312) requieren protecciones basadas en tecnología para la ePHI. Luna implementa todas las especificaciones requeridas y direccionables:
Cifrado en Tres Capas
Luna protege tus datos con tres capas independientes de cifrado, de modo que incluso si una capa fuera comprometida, tus datos permanecen seguros:
Cifrado a Nivel de Campo
Cada campo de PHI se cifra individualmente con AES-256 antes de almacenarse
Cifrado en Reposo
La base de datos completa está cifrada con AES-256 estándar de la industria
Cifrado en Tránsito
Todas las conexiones usan TLS 1.3 — el protocolo de seguridad de transporte más reciente
Controles de Acceso
Luna implementa controles de acceso completos para asegurar que solo personas autorizadas puedan ver la información de los pacientes:
Identificación Única de Usuario
Cada usuario tiene una cuenta única con credenciales individuales. No se permiten inicios de sesión compartidos. Todas las acciones son rastreables a un individuo específico.
Autenticación Multifactor
MFA opcional basada en SMS agrega una capa adicional de seguridad. Después de ingresar tu contraseña, se envía un código único a tu teléfono para verificación.
Expiración Automática de Sesión
Las sesiones expiran automáticamente después de un período definido, previniendo acceso no autorizado desde dispositivos desatendidos.
Acceso de Emergencia
Los administradores tienen capacidades de acceso de emergencia cuando sea necesario para la seguridad del paciente, con todo el acceso de emergencia completamente registrado en la bitácora.
Bitácora de Auditoría Inmutable
Cada interacción con datos de pacientes se registra automáticamente en la bitácora de auditoría inmutable de Luna. Estos registros no pueden ser modificados ni eliminados, proporcionando un historial completo y confiable:
- Ver — Cada vez que se accede a un registro
- Crear — Cuando se agrega información clínica nueva
- Editar — Cualquier modificación a datos existentes
- Eliminar — Intentos de eliminación (restringidos a roles autorizados)
Cada entrada del registro incluye el usuario que realizó la acción, el registro del paciente afectado, la fecha y hora exactas, y el tipo de acción realizada.
Seguridad de Transmisión
Todos los datos transmitidos desde y hacia Luna están protegidos:
- Solo HTTPS — Las conexiones HTTP se redirigen automáticamente a HTTPS
- TLS 1.3 — El protocolo de seguridad de capa de transporte más actual
- Comunicaciones API cifradas — Todas las llamadas servidor a servidor están cifradas
- Telemedicina segura — Las videoconsultas usan conexiones cifradas y privadas
Salvaguardas Administrativas
Las Salvaguardas Administrativas de HIPAA (45 CFR § 164.308) son las políticas y procedimientos diseñados para gestionar la selección, desarrollo, implementación y mantenimiento de medidas de seguridad. Luna aborda cada requisito:
Evaluación de Riesgos
Luna realiza evaluaciones formales y documentadas de riesgos que identifican amenazas potenciales a la ePHI, analizan su probabilidad e impacto, e implementan planes de tratamiento para mitigar los riesgos identificados.
Gobernanza de Seguridad
Un equipo de seguridad dedicado con una carta de gobernanza formal supervisa todas las políticas de seguridad, revisa los controles de acceso y asegura el cumplimiento continuo con los requisitos de HIPAA.
Capacitación del Personal
La capacitación en seguridad asegura que todos los miembros del equipo comprendan sus responsabilidades respecto a la protección de PHI, reporte de incidentes y prácticas seguras de manejo de datos.
Respuesta a Incidentes
Procedimientos documentados para detectar, responder y recuperarse de incidentes de seguridad. Incluye notificación de brechas dentro del plazo de 60 días de HIPAA y notificación a las personas afectadas.
Control de Acceso Basado en Roles
Luna aplica el estándar de mínimo necesario mediante control de acceso basado en roles. Cada miembro del equipo solo ve los datos que necesita para su función:
| Rol | Expedientes | Notas Clínicas | Bitácora |
|---|---|---|---|
| Administrador | Acceso completo | Crear, ver, editar | Ver todo |
| Profesional de Salud | Pacientes asignados | Crear, ver, editar propias | Solo propias |
| Personal Administrativo | Solo demográficos | Solo ver | Sin acceso |
| Recepción | Citas y contacto | Sin acceso | Sin acceso |
| Paciente | Solo propio | Solo ver | Sin acceso |
Respaldos y Recuperación ante Desastres
Luna mantiene procedimientos completos de respaldo y recuperación ante desastres para asegurar la disponibilidad de tus datos:
- Respaldos automatizados — Respaldos regulares y cifrados realizados automáticamente
- Redundancia multi-región — Datos replicados en ubicaciones geográficamente separadas
- Recuperación punto en el tiempo — Capacidad de restaurar datos a cualquier punto del pasado reciente
- Retención de 6 años — Registros clínicos y bitácoras de auditoría conservados por un mínimo de 6 años
- Procedimientos documentados — Planes de recuperación ante desastres probados con objetivos de recuperación definidos
Salvaguardas Físicas
Las Salvaguardas Físicas de HIPAA (45 CFR § 164.310) protegen los sistemas de información electrónica y los edificios que los albergan. La arquitectura cloud-first de Luna significa que tus datos se benefician de seguridad física de nivel empresarial:
Centros de Datos Certificados SOC 2
Luna está alojado en centros de datos certificados SOC 2 Tipo II con seguridad física 24/7, controles de acceso biométricos, sistemas de vigilancia y protecciones ambientales (supresión de incendios, control climático, energía redundante).
Sin PHI Local
Todos los datos se almacenan de forma segura en la nube. Ninguna información de salud protegida se almacena en dispositivos locales o servidores en sitio, reduciendo el riesgo de robo o pérdida física.
Acuerdos de Socio Comercial (BAAs)
HIPAA requiere que cualquier tercero que maneje PHI en nombre de una entidad cubierta firme un Acuerdo de Socio Comercial (BAA). Luna mantiene BAAs firmados con cada proveedor que tiene acceso a o procesa información de salud protegida:
Servicios de Autenticación
Proveedor seguro de login y MFA
Infraestructura en la Nube
Servicios de base de datos y alojamiento
Firmas Digitales
Proveedor de firma electrónica
Servicios de Mensajería
Proveedor de SMS y mensajería
Transcripción con IA
Voz a texto compatible con HIPAA
Video de Telemedicina
Plataforma de videollamadas cifradas
Derechos del Paciente bajo HIPAA
HIPAA otorga a los pacientes derechos importantes respecto a su información de salud. Luna respalda estos derechos a través de funcionalidades integradas en la plataforma:
Derecho de Acceso
Los pacientes pueden ver sus propios registros de salud, notas clínicas, resultados de laboratorio e historial de citas a través del portal de pacientes de Luna en cualquier momento.
Derecho a Solicitar Correcciones
Los pacientes pueden solicitar correcciones a sus registros de salud. Todas las solicitudes de corrección son rastreadas y documentadas en el sistema.
Derecho a un Registro de Divulgaciones
La bitácora de auditoría inmutable de Luna proporciona un registro completo de quién ha accedido a la información de un paciente y cuándo, respaldando solicitudes de registro de divulgaciones.
Estándar de Mínimo Necesario
El control de acceso basado en roles asegura que cada miembro del personal solo vea la información del paciente necesaria para su función específica — ni más, ni menos.
Telemedicina Compatible con HIPAA
Las capacidades integradas de telemedicina de Luna son totalmente compatibles con HIPAA, permitiéndote realizar consultas virtuales seguras:
Videollamadas Cifradas
Todas las videoconsultas usan cifrado de extremo a extremo. Las transmisiones de video viajan por conexiones seguras y cifradas que cumplen con los requisitos de HIPAA.
Acceso Basado en Tokens
Cada consulta genera tokens de acceso únicos y de tiempo limitado. Solo el profesional invitado y el paciente pueden unirse a la sala de video — sin participantes no invitados.
Grabación Segura en la Nube
Cuando la grabación en la nube está habilitada, las grabaciones se cifran en reposo y en tránsito. El acceso a las grabaciones está restringido por permisos basados en roles.
Plataforma con BAA
La plataforma de video de telemedicina de Luna está cubierta por un Acuerdo de Socio Comercial firmado, asegurando que tus videoconsultas cumplan con los requisitos organizacionales de HIPAA.
Cumplimiento de Transcripción con IA
La transcripción de audio con inteligencia artificial de Luna para consultas clínicas está diseñada con el cumplimiento de HIPAA como prioridad:
Proveedor de IA con BAA
El servicio de transcripción con IA utilizado por Luna ha firmado un Acuerdo de Socio Comercial, cumpliendo con los requisitos organizacionales de HIPAA para el manejo de PHI.
Sin Metadatos del Paciente
Solo la grabación de audio se envía para transcripción. Los nombres de pacientes, identificadores, nombres de organización y todos los demás metadatos identificatorios nunca se comparten con el servicio de IA.
Sin Entrenamiento de Modelos de IA
Tus datos de audio y transcripción nunca se usan para entrenar modelos de IA. Tus conversaciones clínicas permanecen privadas y no se utilizan para mejorar servicios de terceros.
Almacenamiento Cifrado
Todas las grabaciones de audio y transcripciones se cifran en reposo con cifrado AES-256 y en tránsito con TLS 1.3, cumpliendo con los más altos estándares de seguridad.
Seguridad de Datos de un Vistazo
Aquí tienes un resumen de las medidas de seguridad que Luna implementa para proteger la información de salud de tus pacientes:
Cifrado en Reposo
AES-256 para todos los datos almacenados
Cifrado en Tránsito
TLS 1.3 para todas las conexiones
Cifrado a Nivel de Campo
Cifrado individual para cada campo de PHI
Respaldos Automatizados
Respaldos cifrados regulares con almacenamiento multi-región
Autenticación Multifactor
MFA opcional basada en SMS para mayor seguridad
Gestión de Sesiones
Expiración automática de sesiones inactivas
Bitácora Inmutable
Registros a prueba de manipulación de todo acceso a PHI
Acceso por Roles
El personal solo ve lo que necesita
BAAs con Proveedores
Acuerdos firmados con todos los terceros
Retención de Datos
Luna conserva los registros clínicos por un mínimo de 6 años, en cumplimiento con HIPAA y regulaciones internacionales de salud. Esto incluye:
- Notas clínicas y registros de consultas
- Archivos y documentos cargados
- Recetas y planes de tratamiento
- Historial completo de la bitácora de auditoría
- Formularios de consentimiento firmados
Tu Flujo de Trabajo HIPAA con Luna
Cuando usas Luna Salud, el cumplimiento de HIPAA está integrado en tu flujo de trabajo diario. Así es como Luna protege la PHI en cada paso:
Inicio de Sesión Seguro
Cada sesión comienza con un inicio de sesión autenticado. La MFA opcional proporciona una capa adicional de seguridad. Todos los intentos de inicio de sesión se registran.
Acceso Basado en Roles
Solo ves los datos de pacientes relevantes para tu rol. Las notas clínicas, datos demográficos y datos administrativos están separados por nivel de permiso.
Documentación Cifrada
Mientras documentas notas clínicas, signos vitales, diagnósticos y planes de tratamiento, todos los datos se cifran en tiempo real antes de almacenarse.
Comunicación Segura
Las videollamadas de telemedicina, la mensajería y las notificaciones a pacientes viajan por canales cifrados. Ninguna PHI se expone en texto plano.
Firmas Digitales
Firma las notas clínicas digitalmente. Cada firma está vinculada a tu sesión autenticada con una marca de tiempo completa y un registro de auditoría.
Bitácora de Auditoría Automática
Todo se registra automáticamente. No necesitas tomar pasos adicionales — Luna registra quién accedió a qué, cuándo y qué acciones se realizaron.
¿Listo para una plataforma compatible con HIPAA?
Comienza tu prueba gratuita de 14 días y descubre cómo Luna hace que el cumplimiento sea sencillo.
