1. Cifrado en tránsito
Toda comunicación entre tu navegador o aplicación móvil y los servidores de DentalBox se realiza exclusivamente sobre canales cifrados mediante TLS 1.2 o superior (HTTPS). Se aplica la política HSTS (Strict-Transport-Security) para impedir conexiones no cifradas, y se emplean cabeceras de seguridad (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, entre otras) para mitigar ataques comunes.
2. Cifrado en reposo
Los datos almacenados se cifran en reposo con algoritmos estándar de la industria (AES-256). Los archivos cargados por el usuario (radiografías, fotografías clínicas y documentos) se almacenan en infraestructura de objetos cifrada. Las credenciales de acceso se almacenan con funciones de hash; nunca se guardan contraseñas en texto plano.
3. Datos de pago
DentalBox no almacena datos completos de tarjetas de crédito en sus servidores. Los pagos son procesados directamente por pasarelas certificadas PCI-DSS (como Stripe, MercadoPago, PayPal, Khipu o Flow), de modo que la información sensible de pago se maneja en entornos especializados y auditados.
4. Infraestructura y certificaciones
La plataforma se aloja en proveedores de infraestructura con certificaciones internacionales reconocidas. Nuestros encargados de tratamiento mantienen, según corresponda, certificaciones SOC 2, ISO 27001 y PCI-DSS, y operan bajo acuerdos de procesamiento de datos (DPA). El acceso a la infraestructura productiva está restringido y monitoreado.
5. Gestión de secretos y tokens
Las credenciales de integraciones de terceros (por ejemplo, los tokens OAuth de Google) se almacenan cifradas y se utilizan únicamente para ejecutar las operaciones expresamente autorizadas por el usuario. El usuario puede revocar estos accesos en cualquier momento desde la configuración o desde la cuenta del proveedor.
6. Notificación de incidentes de seguridad
Mantenemos procesos de detección y respuesta ante incidentes. En caso de una violación de seguridad que afecte datos personales, notificaremos a los responsables y a las autoridades competentes dentro de los plazos exigidos por la normativa aplicable en cada país. A modo de referencia, el RGPD (Unión Europea y España) establece la notificación a la autoridad dentro de las 72 horas (artículo 33); legislaciones como la LGPD de Brasil, la Ley 25.326 de Argentina, la Ley 1581 de Colombia, la Ley 19.628/21.719 de Chile y HIPAA en Estados Unidos contemplan también deberes de notificación de brechas con plazos y condiciones propios.
7. Marco legal por país
Estas medidas de seguridad dan soporte al cumplimiento de las obligaciones de seguridad de los datos previstas en la normativa de cada país. Puedes consultar el detalle de la ley aplicable, la autoridad de control y los derechos del titular en nuestra página de Protección de Datos.
Este documento es de carácter informativo y no constituye asesoría legal ni una garantía contractual. Las medidas pueden evolucionar para mejorar la seguridad. Para consultas, escribe a privacidad@dentalbox.app.