JWT + Refresh Tokens
Autenticación con JSON Web Tokens. Refresh token rotatorio: cada renovación invalida el anterior, blindando contra robo de credenciales.
Seguridad de grado clínico
Tu IPS maneja la información más sensible de tus pacientes. Clinova24 está diseñada desde el primer día para que esa información esté protegida, auditable y aislada — no como un módulo aparte, sino como parte del núcleo de la plataforma.
HABEAS DATA
Ley 1581 · Decreto 1377
Cifrado TLS 1.3
En tránsito por defecto
Resolución 1995
Historia clínica conforme
Resolución 3100
Habilitación de servicios
Aislamiento multi-tenant real
Una base de datos física por empresa
La mayoría de plataformas SaaS comparten una sola base de datos y filtran por company_id. Si esa columna se omite en una consulta, los datos se cruzan. Clinova24 no funciona así.
Cada IPS, consultorio o sede tiene una base de datos MySQL físicamente separada (romedicals_company_<tu_id>). Pacientes, historias clínicas, agendas, fórmulas y reportes viven en su propia DB — imposible cruzar datos entre clientes por error.
- Una DB por empresa, aislada a nivel de motor MySQL.
- Subdominio propio:
tuips.clinova24.com. - Validación de subdominio en cada request: cada IPS solo accede a su instancia.
- Branding, plantillas y catálogos independientes.
Garantía
Cero riesgo de fuga entre clientes
Si tu IPS comparte un proveedor de software con la clínica de al lado, en Clinova24 jamás verán los pacientes ni los reportes del otro. La separación es física, no lógica.
Autenticación
Sesiones seguras, sin caídas en mitad de la consulta
5h de inactividad real
La sesión solo se cierra tras 5h sin actividad del usuario, no por timer fijo. El médico nunca se queda colgado en mitad de la consulta.
Login OTP para pacientes
El paciente entra al portal con un código SMS — sin contraseña que recordar y sin riesgo de credenciales débiles.
Cifrado de contraseñas con bcrypt
Las contraseñas se guardan con bcrypt (12 rounds). Ni el administrador de Clinova puede ver una contraseña en claro.
Validación por subdominio
El backend verifica que cada request venga del subdominio correcto. Un token válido para una IPS no funciona en otra.
Roles y permisos granulares
Super usuario, médico, enfermería, administrativo, investigador, paciente. Cada rol con permisos específicos por módulo (CRUD).
Capas de cifrado
- En tránsito: TLS 1.3 en todo el tráfico HTTPS.
- Contraseñas: bcrypt con 12 rounds.
- Secrets de API: SHA-256 en reposo.
- Tokens temporales (soporte): AES-256-CBC.
- Backups: cifrados antes de salir del servidor.
Cifrado
Cifrado en tránsito y en reposo
Toda comunicación entre el navegador, la app móvil y nuestro backend viaja por TLS 1.3. Las contraseñas, los secrets de API y los tokens de soporte se guardan cifrados — no en claro.
Los backups de cada base de datos se cifran antes de almacenarse, con rotación periódica de claves.
Auditoría completa
Si alguien tocó un dato, queda registro
Clinova24 registra cada acción relevante: ver, crear, actualizar y eliminar. Cada evento queda con el usuario, el rol, la fecha, la IP, el navegador y el recurso afectado.
- Acciones tracked:
VIEW,CREATE,UPDATE,DELETE. - Filtros por usuario, empresa, recurso, fecha.
- Acceso restringido a administradores de Clinova.
- Listo para inspección de Superintendencia de Salud o entes de control.
Cumplimiento
Inspección sin pánico
Cuando llega un auditor preguntando "¿quién vio la historia clínica del paciente X la semana pasada?", la respuesta está a un click.
Infraestructura
Operación robusta y monitoreada
Datos en Colombia
Servidores localizados según la regulación colombiana de tratamiento de datos sensibles de salud.
Backups automáticos
Respaldos diarios cifrados con retención configurable y restauración bajo demanda.
Monitoreo 24/7
Vigilancia continua de disponibilidad, latencia y errores. Alertas automáticas al equipo.
Aislamiento por subdominio
Cada IPS tiene su propio subdominio. Validación obligatoria en cada request.
Hardening del backend
Rate limiting, validación de inputs, protección contra inyección SQL y XSS.
Hardening del frontend
Content Security Policy, headers HTTP seguros, tokens nunca en URLs.
Cumplimiento normativo Colombia
Construida bajo la regulación colombiana
Clinova24 no es un sistema extranjero adaptado. Está diseñada desde el inicio bajo la normativa de salud y de datos personales del país.
HABEAS DATA
Ley 1581 de 2012 y Decreto 1377 de 2013. Tratamiento, almacenamiento y circulación de datos personales con consentimiento del titular. Derecho de acceso, rectificación, supresión y revocatoria.
Historia clínica
Resolución 1995 de 1999: estructura, contenido y conservación de la historia clínica. Sello temporal, identificación del prestador y del paciente, integridad de la nota.
Habilitación de servicios
Resolución 3100 de 2019: estándares de habilitación de servicios de salud. Telemedicina con consentimiento, identificación del médico tratante y registro de la atención.
RIPS / FEVRIPS
Resolución 3374 de 2000 y normativa vigente del MinSalud. Generación de archivos AC/AP/US/AU/AT/AM/AH listos para validación.
Privacidad del paciente
Tus pacientes son dueños de sus datos
Consentimiento del titular
El paciente firma su consentimiento de tratamiento de datos antes del primer uso. Almacenado, fechado y auditable.
Derecho de acceso
El paciente accede a su historia clínica, fórmulas, exámenes y consentimientos desde su portal — 24/7.
Confidencialidad por prescripción
Cada prescripción puede marcarse como confidencial. Solo el médico tratante y el paciente la ven.
Borrado seguro
Cuando un paciente solicita supresión, ejecutamos el borrado seguro junto con la conservación legal de la historia clínica.
Mensajería trazable
El chat médico–paciente queda anexo a la HCE, no en WhatsApp personal. Todo registrado y firmado.
Pre-registro con consentimiento
Antes de registrarse, el paciente acepta los términos de tratamiento de datos vía link público con auditoría completa.