Security Whitepaper — HCE Panacea

Documento dirigido a: Directores Médicos, CIOs, oficiales de cumplimiento, jefes de TI y áreas legales de IPRESS, clínicas, redes asistenciales y organizaciones que evalúan HCE Panacea. Versión: 1.0 Fecha: 2026-05-17 Producto: HCE Panacea — Historia Clínica Electrónica Empresa: SERMEDPA SAC · RUC 20611435097 · Arequipa, Perú Sitio: https://hce.panaceamedocup.com/

1. Resumen ejecutivo

HCE Panacea es una solución Software como Servicio (SaaS) para la gestión de historia clínica electrónica, desarrollada en Perú y diseñada conforme a la Ley N° 29733 (Protección de Datos Personales), la NTS-139-MINSA/2018 (Historia Clínica de los Establecimientos del Sector Salud) y prácticas internacionales de seguridad para aplicaciones web.

Este documento describe, en lenguaje claro y no jurídico, cómo protegemos los datos clínicos de los pacientes de su organización, qué garantías técnicas ofrecemos, cómo respondemos ante incidentes y qué compromisos asumimos respecto a inteligencia artificial.

Compromisos centrales:

Aspecto	Compromiso
Cifrado en tránsito	TLS 1.2 o superior, HSTS habilitado
Cifrado en reposo	AES-256
Autenticación multifactor (MFA)	Obligatoria para administradores
Disponibilidad mensual	≥ 99.0% (SLA contractual)
RPO (pérdida máxima tolerable de datos)	≤ 24 horas
RTO (tiempo máximo de recuperación)	≤ 8 horas hábiles
Notificación de incidentes críticos	≤ 12 horas
Pruebas de penetración	Anuales, por terceros independientes
Uso de datos para IA	Prohibido sin consentimiento expreso por escrito

2. Sobre HCE Panacea

HCE Panacea es desarrollado y operado por SERMEDPA SAC, empresa peruana especializada en soluciones informáticas para el sector salud. Nuestro producto cubre las necesidades operativas centrales de la atención clínica:

Registro y búsqueda de pacientes
Atención médica completa con diagnósticos CIE-10
Emisión de recetas e indicaciones farmacológicas
Solicitud de exámenes auxiliares
Impresión de documentos clínicos con identidad institucional
Auditoría de accesos y trazabilidad clínica

Arquitectura: 100% web, accesible desde cualquier navegador moderno. No requiere instalación local.

3. Principios de seguridad

Nuestra aproximación a la seguridad se rige por cinco principios:

Confidencialidad — los datos clínicos solo son accesibles para personas autorizadas.
Integridad — los registros clínicos no pueden ser alterados sin dejar rastro.
Disponibilidad — el sistema está disponible cuando los profesionales lo necesitan.
Trazabilidad — toda acción crítica queda registrada con identificación, momento y origen.
Privacidad por diseño — la protección de datos personales es parte de la arquitectura, no un añadido.

4. Arquitectura a alto nivel

┌─────────────────────────────────────────────────────────────┐
│  Usuarios del Cliente (médicos, enfermeros, admins)         │
│  navegador con TLS 1.2+ y MFA para administradores          │
└──────────────────────────┬──────────────────────────────────┘
                           │ HTTPS
                           ▼
┌─────────────────────────────────────────────────────────────┐
│  Aplicación HCE Panacea                                     │
│  • Instancia lógicamente aislada por Cliente                │
│  • RBAC (control de acceso basado en roles)                 │
│  • Tenant scoping en cada operación                         │
│  • Audit trail / logs                                       │
└──────────────────────────┬──────────────────────────────────┘
                           │ Cifrado en tránsito
                           ▼
┌─────────────────────────────────────────────────────────────┐
│  Base de datos PostgreSQL gestionada                        │
│  • Cifrado AES-256 en reposo                                │
│  • Backups diarios automáticos                              │
│  • Point-in-time recovery (PITR)                            │
│  • Aislamiento lógico por Cliente                           │
└─────────────────────────────────────────────────────────────┘

Stack tecnológico de alto nivel:

Capa	Tecnología	Proveedor (subprocesador)
Frontend / hosting	Next.js (App Router)	Vercel — EE.UU.
Backend / API	Endpoints serverless	Vercel — EE.UU.
Base de datos	PostgreSQL gestionado	Supabase — AWS `us-east-1`
Almacenamiento	PostgreSQL + Supabase Storage	Supabase — AWS
Autenticación	Cookie HMAC propia	Operado por SERMEDPA

5. Cifrado de datos

5.1. En tránsito

Todas las comunicaciones entre usuarios y el sistema viajan sobre HTTPS con TLS 1.2 o superior.
Preferimos TLS 1.3 cuando el navegador lo soporta.
HSTS (HTTP Strict Transport Security) está habilitado para evitar downgrade de conexiones.
Suites criptográficas obsoletas (SSL 3.0, TLS 1.0/1.1) están deshabilitadas.

5.2. En reposo

La base de datos almacena toda la información clínica cifrada con AES-256.
Los backups generados también están cifrados.
Las claves de cifrado son gestionadas por el proveedor de infraestructura (Supabase / AWS KMS) bajo estándares profesionales.

6. Autenticación y control de acceso

6.1. Identidad

Credenciales individuales e intransferibles por usuario.
MFA (autenticación multifactor) obligatoria para todos los Administradores del Sistema de su organización y para nuestro personal técnico con acceso a infraestructura.
MFA disponible y recomendado para todos los demás usuarios.
Bloqueo automático de sesión por inactividad.
Bloqueo temporal de cuenta tras intentos fallidos.

6.2. Autorización (RBAC)

Cada usuario tiene un rol definido (médico, enfermero, recepción, administrador).
Cada rol tiene permisos específicos sobre módulos y acciones.
El Administrador del Sistema de su organización gestiona usuarios y roles internamente; nosotros no intervenimos en esa decisión.

7. Aislamiento multi-tenant

Cada cliente recibe:

Una instancia lógicamente aislada dentro de hce.panaceamedocup.com.
Un espacio de datos lógicamente aislado por organización.
Verificación de pertenencia (tenant scoping) en cada operación de lectura, escritura o eliminación.

Es arquitectónicamente imposible que un usuario de otra organización acceda a sus datos.

8. Backups y continuidad del servicio

Indicador	Compromiso
Frecuencia de backups	Diaria, automatizada
Retención productiva	30 días calendario
Point-in-time recovery (PITR)	7 días
RPO (Recovery Point Objective)	≤ 24 horas
RTO (Recovery Time Objective)	≤ 8 horas hábiles
Disponibilidad mensual (SLA)	≥ 99.0%
Pruebas de restauración	Al menos 1 vez al año
Plan de Continuidad de Negocio	Documentado y revisado anualmente

Plan de continuidad cubre escenarios de: caída de infraestructura, pérdida de datos por error humano, compromiso de seguridad, indisponibilidad del personal clave y catástrofe regional.

9. Auditoría y trazabilidad

Toda operación crítica queda registrada automáticamente con, como mínimo:

Timestamp UTC (precisión milisegundos)
Identificador del usuario que realizó la acción
Dirección IP de origen
Tipo de acción (login, creación, modificación, eliminación, consulta detallada)
Recurso afectado

Eventos registrados incluyen: autenticación, gestión de usuarios, gestión de pacientes, atenciones clínicas, emisión de documentos clínicos, exportación de datos y cambios de configuración.

Retención de logs:

12 meses en línea (consulta inmediata)
Hasta 24 meses adicionales en archivo

Acceso del cliente a sus propios logs: disponible bajo solicitud, con entrega en 10 días hábiles.

Integridad documental: cada documento clínico relevante (hoja de atención, receta, indicación) genera un hash SHA-256 que permite verificar que no ha sido alterado posteriormente.

10. Gestión de vulnerabilidades y desarrollo seguro

10.1. Pruebas de penetración

Pentesting por terceros independientes, con periodicidad anual o ante cambios arquitectónicos mayores.
Resumen ejecutivo disponible para clientes bajo Acuerdo de Confidencialidad.
Plan de remediación documentado para hallazgos críticos y altos.

10.2. Marco OWASP

Adoptamos las directrices del OWASP Top 10 y de OWASP ASVS como referencia de seguridad de aplicaciones web.

10.3. Análisis automatizado

SAST (Static Application Security Testing) sobre el código propio.
SCA (Software Composition Analysis) sobre dependencias de terceros.
Ambos integrados en el pipeline de integración continua.

10.4. Patches y actualizaciones

Severidad	Plazo máximo de aplicación
Crítica	7 días calendario
Alta	30 días calendario
Media / Baja	Ciclo regular de mantenimiento

10.5. Gestión de claves y secretos

Almacenamiento en gestores especializados (nunca en código fuente ni variables expuestas).
Rotación periódica mínima anual de credenciales de servicio.
Rotación inmediata ante salida de personal con acceso o sospecha de compromiso.
Acceso a infraestructura bajo principio de mínimo privilegio y con MFA obligatorio.

10.6. Ciclo de desarrollo seguro (SDL)

Revisión de código por pares (code review) obligatoria antes de despliegue a producción.
Separación estricta de entornos: desarrollo, staging, producción.
Control de versiones y pipelines de despliegue trazables.

11. Subprocesadores

Operamos con un número reducido de subprocesadores, todos con estándares profesionales de seguridad:

Subprocesador	Finalidad	País / Región	Certificaciones
Supabase, Inc.	Base de datos PostgreSQL, autenticación, almacenamiento	EE.UU. — AWS `us-east-1`	SOC 2 Type II
Vercel, Inc.	Hosting frontend, CDN	EE.UU. — edge locations globales	SOC 2 Type II

Los datos se almacenan en EE.UU. — esta transferencia internacional está declarada formalmente en nuestro DPA y los subprocesadores aplican cláusulas contractuales tipo (SCCs / DPAs propios).

Notificación de cambios: cualquier incorporación o sustitución de subprocesador se notifica con 30 días de anticipación al cliente, con derecho de oposición fundada.

12. Cumplimiento normativo (Perú)

Norma	Cómo cumplimos
Ley N° 29733 — Protección de Datos Personales	DPA suscrito como Encargado del Tratamiento; nivel de seguridad complejo (datos sensibles de salud); soporte a derechos ARCO
D.S. 003-2013-JUS — Reglamento LPDP	Aplicación de medidas técnicas y organizativas del nivel complejo
NTS-139-MINSA/2018 — Historia Clínica	Autenticidad (firma electrónica del profesional), integridad (audit trail + hash), trazabilidad (logs), conservación según plazos (15/23 años)
Directivas ANPD	Aplicación de las directivas vigentes sobre seguridad y notificación de incidentes

13. Privacidad y derechos de los pacientes

Los datos clínicos pertenecen al paciente y a su organización (titular del Banco de Datos), no a nosotros.
Su organización mantiene el control completo sobre los datos y atiende en primera instancia las solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) y portabilidad de los pacientes.
Nosotros brindamos la asistencia técnica necesaria mediante las funcionalidades del sistema.
Al término del contrato, exportamos sus datos en formato estructurado dentro de los 30 días siguientes.

14. Compromiso sobre Inteligencia Artificial

Este es un compromiso que tomamos seriamente y que diferencia a HCE Panacea de muchos SaaS internacionales:

No utilizamos los datos clínicos de sus pacientes para entrenar modelos de inteligencia artificial.

La prohibición es expresa, contractual y aplica:

A modelos propios y a modelos de terceros.
A todas las modalidades: machine learning, deep learning, LLMs, modelos generativos, fine-tuning, RLHF, evaluación, benchmarking.
A nuestros subprocesadores, a quienes exigimos contractualmente la misma obligación.

Si en el futuro incorporamos funcionalidades de IA dentro del sistema, lo notificaremos con anticipación y ofreceremos mecanismos de opt-in/opt-out.

15. Gestión de incidentes de seguridad

15.1. Niveles de severidad y notificación

Severidad	Ejemplo	Notificación al Cliente
Crítico	Acceso no autorizado o pérdida de datos sensibles	< 12 horas calendario
Alto	Vulnerabilidad descubierta sin explotación efectiva	< 48 horas hábiles
Medio	Indisponibilidad temporal sin afectación a integridad	Reporte mensual
Bajo	Incidentes operativos menores	No requiere notificación específica

15.2. Procedimiento

Detección (automatizada o reportada)
Registro con identificador único
Contención inmediata
Notificación al cliente
Investigación de causa raíz
Erradicación y recuperación
Reporte post-incidente entregado dentro de 10 días hábiles
Lecciones aprendidas

16. Soporte al cliente

Canal	Uso	Horario
WhatsApp Business	Operativo principal	Lun–Vie 09:00–18:00 PET
Correo	Formal, trazable	Lun–Vie 09:00–18:00 PET
Llamada telefónica	Solo severidad crítica	Lun–Vie 09:00–18:00 PET

Tiempos de respuesta por severidad están detallados en nuestro SLA.

17. Roadmap de seguridad y compliance

Compromisos hacia adelante:

Firma digital certificada (con certificados emitidos por entidades autorizadas por INDECOPI), para clientes que lo requieran.
Sellado temporal de terceros (TSA) para documentos clínicos críticos.
Certificación SOC 2 Type I/II como meta de mediano plazo.
Interoperabilidad HL7 / FHIR para integración con sistemas externos.
Reporte automatizado al HIS-MINSA.

18. Cómo evaluarnos

Si su organización tiene un proceso formal de evaluación de proveedores, podemos colaborar:

Resumen ejecutivo de pentest más reciente (bajo NDA).
Listado actualizado de subprocesadores y sus certificaciones.
Copia del DPA, SLA, T&C y Contrato SaaS modelo.
Resumen del Plan de Continuidad y Disaster Recovery.
Demo del sistema con foco en su caso de uso.
Sesión técnica con su equipo de TI / seguridad.

19. Contactos

SERMEDPA SAC RUC 20611435097 Av. Pizarro 155, José Luis Bustamante y Rivero, Arequipa, Perú Sitio: https://hce.panaceamedocup.com/

Para	Contacto
Comercial	panaceamedocup@gmail.com — +51 923 401 240
Soporte técnico	panaceamedocup@gmail.com — +51 923 401 240
Asuntos de seguridad y privacidad	panaceamedocup@gmail.com
Coordinador de incidentes	Wenceslao Ochoa Cuadros — Gerente

Control de cambios

Versión	Fecha	Cambios	Autor
1.0	2026-05-17	Versión inicial	SERMEDPA SAC

© 2026 SERMEDPA SAC. Documento informativo dirigido a clientes y prospectos de HCE Panacea. La información de este documento puede actualizarse periódicamente; las versiones jurídicamente vinculantes corresponden al Contrato SaaS, DPA, SLA y Términos y Condiciones firmados con cada cliente.