Saltar al contenido principal

Seguridad y Privacidad

Los datos de tus pacientes merecen la máxima protección. Conoce todas las medidas que aplicamos para que puedas ejercer tu profesión con la tranquilidad de que la información clínica está segura.

Última actualización: Marzo de 2026
RGPDCumplimiento total
Servidores UEIrlanda (eu-west-1)
Cifrado AES-256En reposo y en tránsito
SOC 2 Type IIProveedores certificados

Contenido de esta página

1Marco Legal2Infraestructura3Cifrado de Datos4Control de Acceso5Seguridad de Aplicación6Aislamiento de Datos7Backup y Recuperación8Respuesta ante Incidentes9Tu Responsabilidad10Reportar Vulnerabilidades

En Terapli, la protección de los datos de tus pacientes no es solo una obligación legal: es un compromiso fundamental con tu práctica profesional. Como plataforma especializada en el sector de la salud mental, tratamos datos especialmente sensibles (categoría especial según el art. 9 del RGPD), y por ello aplicamos las medidas de seguridad más exigentes del mercado. Esta página detalla de forma transparente todas las medidas técnicas, organizativas y legales que implementamos para que puedas confiar plenamente en que la información clínica de tus pacientes está protegida.

1 Marco Legal Aplicable

Terapli cumple con toda la normativa europea y española aplicable a plataformas digitales del sector sanitario:

RGPD (Reglamento UE 2016/679):

Regulación fundamental europea de protección de datos. Terapli es completamente RGPD compliant.

LOPDGDD (Ley Orgánica 3/2018):

Normativa española que desarrolla el RGPD. Terapli respeta todas las disposiciones adicionales españolas.

Ley 41/2002 (Autonomía del Paciente):

Regulación española específica sobre derechos de pacientes y protección de datos de salud.

LSSI-CE (Ley 34/1988):

Regulación de servicios de la sociedad de la información, incluyendo cookies y seguridad.

2 Infraestructura de Seguridad

Terapli utiliza infraestructura certificada y conforme a estándares internacionales:

Supabase (Base de Datos)

PostgreSQL en Irlanda (eu-west-1, AWS). SOC 2 Type II certificado. Copias de seguridad diarias. RGPD compliant con servidores en UE.

Vercel (Hosting y CDN)

Servidores distribuidos en la UE. SOC 2 Type II certificado. Infraestructura global con edge computing en Europa.

Stripe (Pagos)

PCI DSS Level 1 certificado. EU SCCs para transferencias internacionales. Datos de pago aislados de datos clínicos.

3 Cifrado de Datos

Todos los datos están cifrados usando estándares militares:

En Reposo

AES-256 para todos los datos almacenados en base de datos

Cada registro está cifrado individualmente

En Tránsito

TLS 1.3 para todas las conexiones HTTPS

Perfect Forward Secrecy habilitado

Copias de Seguridad

AES-256 para backups cifrados

Recuperación punto en tiempo disponible

Clave de Cifrado

Gestionada por Supabase KMS

Rotación de claves automática

4 Control de Acceso

Múltiples niveles de control para garantizar que solo el personal autorizado accede a datos:

Autenticación Fuerte

  • Contraseñas hasheadas con bcrypt (12 rondas)
  • Autenticación multifactor (MFA) disponible
  • SSO con proveedores confiables (en desarrollo)

Control de Roles (RBAC)

  • Rol de terapeuta: acceso solo a sus propios datos y de sus pacientes
  • Rol de admin: funciones administrativas limitadas
  • Principio de menor privilegio aplicado

Aislamiento de Datos (RLS)

  • Row Level Security en PostgreSQL
  • Un terapeuta NO PUEDE ver datos de otro terapeuta, incluso a nivel de base de datos
  • Implementado a nivel de base de datos, no de aplicación

Gestión de Sesiones

  • JWT tokens con expiración de 1 hora
  • Refresh tokens con expiración de 7 días
  • Cierre de sesión automático después de inactividad

5 Seguridad de Aplicación

Medidas defensivas contra ataques web comunes:

CSP (Content Security Policy)

Previene inyección de código malicioso y XSS attacks

HSTS (HTTP Strict Transport Security)

Fuerza conexiones HTTPS seguras

CSRF Protection

Tokens anti-CSRF en todos los formularios

Input Validation

Validación y sanitización en servidor

Dependency Scanning

Escaneo automático de vulnerabilidades

Rate Limiting

Protección contra fuerza bruta

6 Aislamiento de Datos Entre Terapeutas

Terapli garantiza aislamiento total de datos entre terapeutas:

Escenario: Un terapeuta A intenta acceder a datos de otro terapeuta B (deliberadamente o por compromiso de su cuenta).

Protección: Es técnicamente imposible. Row Level Security en PostgreSQL garantiza que:

  • Aunque A logre conectar a la base de datos, solo ve sus propias filas
  • Las consultas SQL de A solo devuelven datos donde therapist_id = A
  • Esto se aplica a nivel de base de datos, no solo de aplicación
  • A no puede eludir esta restricción incluso con acceso directo a la BD

7 Backup y Recuperación ante Desastres

Copias Diarias

Automatizadas cada 24 horas, cifradas con AES-256

Ubicación

Almacenadas en la UE (Irlanda), cumpliendo RGPD

Recuperación

Point-in-time recovery disponible hasta 30 días atrás

Pruebas

Pruebas mensuales de restauración para garantizar efectividad

8 Respuesta ante Incidentes de Seguridad

En caso de un incidente de seguridad:

0-1h

Detección: Sistemas de monitoreo alertan. Investigación inmediata inicia.

1-4h

Contención: Aislamiento del problema. Acceso no autorizado detenido.

4-24h

Evaluación: Análisis de alcance. Documentación de hechos.

72h

Notificación: Si aplica, AEPD notificada dentro de 72h (Art. 33 RGPD).

Post

Post-mortem: Análisis de causas raíz e implementación de mejoras.

9 Tu Responsabilidad como Terapeuta

Mientras Terapli garantiza seguridad técnica, tú tienes responsabilidades importantes:

Contraseña Fuerte

Usa contraseñas únicas, complejas y cambialas regularmente. Nunca compartas tu contraseña.

Seguridad del Dispositivo

Mantén tu ordenador, tablet o teléfono actualizado. Usa antivirus. Cierra sesión cuando termines.

Consentimiento Informado

Obtén consentimiento de tus pacientes antes de registrarlos en Terapli. Infórmales cómo se usan sus datos.

WiFi Segura

No accedas a Terapli desde WiFi pública sin VPN. Los datos viajan cifrados, pero es más seguro usar redes privadas.

10 Reportar Vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Terapli:

No la publiques públicamente

Contacta directamente con nuestro equipo de seguridad:

Email: hola@terapli.com

Describe la vulnerabilidad en detalle. Investigaremos inmediatamente y nos comunicaremos contigo sobre el estado.

Documentos relacionados

Volver al inicio