Confianza y Seguridad
PostDICOM almacena y procesa millones de imágenes médicas en más de 30 países. Esta página documenta nuestra arquitectura de seguridad, certificaciones independientes y prácticas de cumplimiento, para que usted pueda tomar una decisión informada.
Arquitectura de Seguridad
PostDICOM aplica controles de seguridad en las capas de cifrado, identidad, infraestructura y pagos, porque la seguridad no es una característica, es el fundamento sobre el que se diseña la plataforma.
La información de salud protegida (PHI) se asegura mediante cifrado AES-256 en reposo. Todos los datos en tránsito, entre sus dispositivos de imagen, navegadores y nuestra nube, están protegidos mediante TLS 1.2/1.3.
El control de acceso basado en roles (RBAC) le permite otorgar a cada miembro del equipo permisos definidos con precisión. La autenticación de dos factores (2FA) es compatible con todas las cuentas. Las visualizaciones, cargas, comparticiones y acciones administrativas se registran en un registro de auditoría que se conserva durante su suscripción activa.
PostDICOM se ejecuta en Microsoft Azure, una de las plataformas de nube empresarial más utilizadas del mundo. Sus datos se almacenan en la región que usted selecciona al configurar la cuenta. Microsoft Azure cuenta con certificaciones de cumplimiento ISO 27001, SOC 2 e HIPAA en toda su infraestructura global.
El procesamiento de pagos es manejado exclusivamente por Stripe, un proveedor certificado con PCI DSS Nivel 1. PostDICOM no almacena, transmite ni procesa números de tarjetas de crédito en sus propios servidores. Todas las nuevas suscripciones utilizan Stripe Setup Intents con autenticación 3D Secure (SCA), verificando que su tarjeta es válida y está autorizada antes de que comience su prueba.
Sí. PostDICOM utiliza 12 regiones independientes de Microsoft Azure para que usted pueda seleccionar la jurisdicción donde se almacenan los datos de sus pacientes, cumpliendo con las leyes regionales de datos de atención médica que exigen que los registros permanezcan dentro de límites geográficos específicos.
Cuando usted configura su cuenta de PostDICOM, selecciona su región principal. Sus archivos DICOM, bases de datos y registros están diseñados para permanecer dentro de esa jurisdicción seleccionada.
Red Principal de Microsoft Azure
Unión Europea
Fráncfort (Alemania)
París (Francia)
Estados Unidos
Ciudad de Nueva York (EE. UU.)
Los Ángeles (EE. UU.)
Dallas (EE. UU.)
Reino Unido
Londres (Reino Unido)
Suiza
Zúrich (Suiza)
Canadá
Montreal (Canadá)
Asia y Pacífico
Singapur
Sídney (Australia)
Pune (India)
Sudamérica
São Paulo (Brasil)
Certificaciones
PostDICOM posee las certificaciones Marcado CE Clase IIb, ISO 27001, ISO 13485, ISO 9001 e ISO 15504, otorgadas por organismos de auditoría independientes de terceros, no autoevaluadas. Cada una representa un compromiso continuo, no un logro único.
Las certificaciones de Marcado CE, ISO 27001, ISO 13485, ISO 9001 e ISO 15504 son mantenidas por Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi, el fabricante legal certificado del software PostDICOM. Las menciones a HIPAA y RGPD reflejan un diseño de arquitectura compatible, no certificaciones de terceros.
Marcado CE — Clase IIb
1984-MDD-10-057
PostDICOM cuenta con el Marcado CE como dispositivo médico de Clase IIb bajo la Directiva de Dispositivos Médicos (MDD 93/42/EEC).
ISO 27001:2022
Gestión de la Seguridad de la Información
Auditoría independiente por terceros de nuestro sistema de gestión de seguridad de la información (SGSI) que abarca la gestión de riesgos, el control de acceso, la respuesta a incidentes y la continuidad del negocio.
ISO 13485:2016
Gestión de Calidad de Dispositivos Médicos
Certificación de nuestro sistema de gestión de calidad específico para el diseño, desarrollo y vigilancia poscomercialización de dispositivos médicos.
ISO 9001:2015
Sistema de Gestión de Calidad
Certificación general de gestión de calidad que cubre la entrega consistente de servicios que cumplen con los requisitos del cliente y regulatorios.
ISO 15504 / SPICE
Nivel 2 — Capacidad del Proceso de Software
Evaluación de la capacidad de nuestro proceso de desarrollo de software en el Nivel 2 (Proceso Gestionado), confirmando que el desarrollo de software se planifica, supervisa y ajusta para cumplir con los objetivos definidos.
Arquitectura Compatible con HIPAA
Datos de Salud de Estados Unidos
La infraestructura de PostDICOM está diseñada para soportar flujos de trabajo de datos de atención médica que cumplen con HIPAA. Toda la PHI se cifra en reposo y en tránsito, el acceso se registra y los sistemas se implementan en Microsoft Azure en centros de datos ubicados en EE. UU. para clientes de la región estadounidense.
Arquitectura Compatible con el RGPD
Protección de Datos Europea y Global
PostDICOM B.V. está constituida en los Países Bajos y opera dentro del marco legal de la Unión Europea. Los datos de pacientes de clientes de la UE se almacenan en regiones de Azure ubicadas en la UE.
Hoja de Ruta Regulatoria
PostDICOM cuenta actualmente con el Marcado CE como dispositivo médico de Clase IIb y está avanzando activamente hacia el cumplimiento del MDR de la UE. A continuación, se presenta una descripción transparente de nuestra situación actual y hacia dónde nos dirigimos.
1984-MDD-10-057
PostDICOM cuenta actualmente con el Marcado CE bajo la Directiva de Dispositivos Médicos (MDD 93/42/EEC) como software de imagen médica de Clase IIb. Esta certificación está activa y se mantiene.
Reglamento sobre Dispositivos Médicos (UE) 2017/745
La Directiva sobre Dispositivos Médicos está siendo reemplazada por el Reglamento sobre Dispositivos Médicos (MDR). El fabricante legal de PostDICOM está activamente involucrado en el proceso de transición al MDR. Finalización prevista: 2028.
Subencargados del Tratamiento
PostDICOM depende de un pequeño número de proveedores cuidadosamente seleccionados: Microsoft Azure para la infraestructura en la nube y Stripe para el procesamiento de pagos. A continuación se encuentra una lista completa de los subencargados del tratamiento clave que utilizamos.
Transparencia Corporativa
PostDICOM opera a través de dos entidades: PostDICOM B.V. (Países Bajos), la entidad comercial y de licencias global, y Ekstrem Bir Bilgisayar Danışmanlık, el fabricante legal certificado. Esta estructura claramente definida separa las licencias comerciales de la fabricación de software regulado.
Sede Global
PostDICOM B.V. es la entidad con la que usted contrata al comprar una suscripción a PostDICOM. Es responsable de los acuerdos con los clientes, la facturación y los asuntos de protección de datos.
Centro de Tecnología e I+D
Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi es el fabricante legal certificado del software PostDICOM. Posee todas las certificaciones de dispositivos médicos y es responsable de la ingeniería de software, la gestión de calidad y el cumplimiento normativo de la plataforma PostDICOM.
Respuestas directas a preguntas comunes de diligencia debida.
Sí. La infraestructura y los procesos de PostDICOM están diseñados para ser compatibles con los flujos de trabajo que cumplen la HIPAA: la PHI se cifra en reposo (AES-256) y en tránsito (TLS 1.2/1.3), el acceso se controla mediante permisos basados en roles y autenticación de dos factores, y toda la actividad se registra en un registro de auditoría. Tenga en cuenta que no existe una 'certificación HIPAA' como estándar oficial; el cumplimiento de la HIPAA es un conjunto de prácticas, no un certificado otorgado por un tercero.
Cuando usted crea su cuenta de PostDICOM, selecciona su ubicación de almacenamiento principal entre 12 regiones independientes de Microsoft Azure: UE (Alemania (Fráncfort), Francia (París)), EE. UU. (Este, Oeste, Centro-sur), Reino Unido (Londres), Suiza (Zúrich), Canadá (Montreal), Asia-Pacífico (Singapur, Australia (Sídney), India (Pune)) y Sudamérica (Brasil (São Paulo)). Sus datos se alojan dentro de la jurisdicción seleccionada para ayudarle a cumplir con los requisitos locales de residencia de datos y las leyes regionales de privacidad de la salud (como el RGPD o la HIPAA).
Antes de cancelar su suscripción, descargue todos los datos de pacientes que desee conservar, incluidos los estudios DICOM, imágenes médicas, documentos y cualquier otro archivo cargado. Cuando finaliza su suscripción, todos los datos de pacientes restantes se eliminan permanentemente de nuestros sistemas. No hay período de gracia después de la cancelación. El registro de su cuenta se conserva únicamente con fines contables y de facturación.