Seguridad en Kintaria
Kintaria maneja información de salud sobre personas en momentos vulnerables. Lo tomamos en serio. Esta página documenta qué hay en pie hoy, qué viene, y dónde aún no estamos — escrita para una familiar que quiere saber qué nos está confiando, no solo para un auditor.
1. Los controles vigentes hoy
Seguridad a nivel de fila (RLS) en cada tabla
Cada fila de la base de datos está protegida por una verificación de pertenencia a la familia en Postgres mismo. Incluso si el código de la aplicación tuviera un error, la base de datos rechazaría devolver los datos de otra familia.
Registro de auditoría en cada cambio
Cada inserción, actualización y eliminación en el contenido del espacio escribe una fila en la tabla de auditoría — quién, qué, cuándo. Basado en triggers, no puede ser evadido por el código de la aplicación.
Cifrado en tránsito y en reposo
Todas las conexiones usan TLS 1.2+. El almacenamiento de la base de datos y los archivos están cifrados en reposo por los proveedores subyacentes (Supabase / Postgres / Supabase Storage).
Enlaces de compartir con expiración
Los enlaces "Compartir con el médico" usan tokens aleatorios de 32 bytes, expiran automáticamente (1–90 días) y pueden revocarse al instante. El destinatario no ve quién más está en su espacio ni datos fuera de las secciones que marcaron.
Inicio de sesión por enlace, sin contraseñas
El inicio de sesión usa enlaces de un solo uso enviados por correo. No hay contraseña que pueda filtrarse, reutilizarse o ser robada por phishing. Las sesiones son cookies HTTP-only ligadas al dispositivo.
Notas solo para cuidadores
Las notas pueden marcarse como visibles solo para dueños + cuidadores, ocultas al rol del padre y a los observadores. Aplicado en el servidor — quienes no son cuidadores no pueden escribir notas ocultas ni siquiera llamando directamente al API.
Aislamiento de claves de servicio
La clave privilegiada de Supabase está solo en el servidor, nunca se envía a navegadores. La aplicación usa la clave pública para tráfico normal y recurre a la clave privilegiada solo para operaciones de administración (siembra de demo, decodificación de enlaces compartidos).
Encabezados de seguridad
Strict-Transport-Security, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy denegando cámara/micrófono/ubicación. El subdominio de la aplicación está configurado para no ser indexado.
2. Quién puede ver qué
Cuatro roles dentro de un espacio, cada uno con acceso progresivamente más limitado. Ninguno de ellos puede ver los espacios de otras familias — eso es una garantía de la base de datos, no una política.
| Rol | Lectura | Escritura | Notas solo cuidadores |
|---|---|---|---|
| Dueño | Todo en el espacio | Todo | Puede leer y escribir |
| Cuidador | Todo en el espacio | Todo excepto eliminar el espacio | Puede leer y escribir |
| Padre (la persona cuidada) | Todo excepto notas solo cuidadores | Notas, perfil, citas, medicamentos, documentos | Oculto |
| Observador | Todo excepto notas solo cuidadores | Nada | Oculto |
El personal de Kintaria no puede leer el contenido del espacio en operaciones normales. El rol privilegiado de base de datos que usa el equipo de ingeniería para migraciones y respuesta a incidentes queda registrado y acotado; nunca vamos a navegar silenciosamente los datos de su familia.
3. Dónde viven sus datos
Todo el contenido del espacio se almacena en un único proyecto Supabase en EE. UU. (base de datos + almacenamiento). Sin replicación entre regiones. Sin caché en CDN de las páginas del espacio.
El sitio público (thrive.me) está alojado en la red de Vercel y Cloudflare y solo sirve contenido estático y no personal (páginas de aterrizaje, texto de políticas, copy de marketing). La búsqueda del número de la línea telefónica corre en Fly.io.
4. Lista de proveedores
Cada servicio externo que toca sus datos, en lenguaje claro, y dónde está cada uno respecto a un Acuerdo de Asociado de Negocio (BAA):
| Proveedor | Qué hace | BAA |
|---|---|---|
| Supabase | Base de datos + almacenamiento + autenticación | Plan Pro, BAA disponible — en proceso |
| Vercel | Aloja la aplicación + el sitio público | Requiere plan Enterprise para BAA — aún no |
| Anthropic (Claude) | Funciones de IA: resúmenes de visita, extracción de laboratorios, etiquetado de documentos — solo opt-in | Requiere nivel Enterprise para BAA — en conversación |
| Resend | Correo transaccional (invitaciones, notificaciones, resúmenes) | BAA disponible — en proceso |
| Twilio | SMS para alertas urgentes (opt-in) | BAA disponible — en proceso |
| Cloudflare | DNS + edge para el sitio público thrive.me | Datos del espacio no pasan por aquí |
| Plausible | Analítica de sitio sin cookies, respetuosa de la privacidad | Solo conteos agregados, sin PII |
5. Funciones de IA
Las funciones de IA (resúmenes de visita, clasificación de documentos, extracción de laboratorios desde fotos) están desactivadas por defecto. El dueño del espacio tiene que activarlas explícitamente en Ajustes → Funciones de IA. Cuando IA está apagada, ningún contenido del espacio se envía a ningún servicio de IA.
Cuando IA está activa: el contenido se envía a Anthropic (Claude) por una conexión TLS; Anthropic no usa el contenido del API para entrenar sus modelos (es su política por defecto, no un opt-in); Anthropic retiene el contenido del API hasta 30 días para revisión de confianza y seguridad, luego lo elimina; enviamos el mínimo necesario para la función; cada página con IA muestra un banner recordando que la IA está en vista previa y que conviene revisar el resultado.
6. Compartir con proveedores
La función "compartir con el médico" existe para que un cuidador pueda darle a un doctor, sala de emergencias, trabajador social o abogado una vista de solo lectura del expediente de su padre sin obligar a esa persona a crear una cuenta. El token es una cadena criptográficamente aleatoria de 32 bytes — prácticamente imposible de adivinar. Ustedes eligen qué secciones se incluyen. El enlace expira automáticamente. Pueden revocarlo en cualquier momento. Cada acceso queda contado. El destinatario no puede ver nada fuera de las secciones elegidas — incluyendo otros miembros de la familia o el historial del espacio. La página compartida no se indexa en motores de búsqueda.
Traten el URL como una contraseña de un solo uso. No lo publiquen en foros públicos. Para destinatarios sensibles, envíenlo por mensaje del portal del paciente o por teléfono en vez de SMS abierto.
7. Postura HIPAA — dicha sin rodeos
Kintaria aún no es una entidad cubierta por HIPAA. Estamos en fase previa al lanzamiento y aún no tenemos Acuerdos de Asociado de Negocio con todos los proveedores que tocan datos del espacio.
La arquitectura está construida con controles alineados a HIPAA (registro de auditoría, cifrado, control de acceso, divulgación mínima necesaria, prácticas de desarrollo seguro). Un marco formal de BAA, un Aviso de Prácticas de Privacidad y las políticas operativas que HIPAA requiere (respuesta a incidentes, notificación de violaciones, capacitación del personal, inventario de asociados de negocio) están en el camino de preparación previo al lanzamiento. Hasta que estén completos y nuestros BAAs con Supabase, Anthropic, Resend y Twilio estén firmados, por favor no suban nada que necesite estar protegido por un contrato HIPAA hoy.
Cuando lleguemos a disponibilidad general con el marco completo de BAA en pie, esta página se actualizará y ofreceremos un BAA a las organizaciones que lo necesiten (consultorios médicos, FQHCs, compañías de coordinación de cuidados, etc.).
Ley de Gobernanza de IA Responsable de Texas (TRAIGA, vigente desde el 1 de enero de 2026). Texas ahora exige que los profesionales de salud con licencia entreguen a los pacientes una divulgación escrita y visible sobre cualquier uso de IA en el diagnóstico o el tratamiento. Las funciones de IA de Kintaria (resúmenes de visita, extracción de laboratorios, etiquetado de documentos) están desactivadas por defecto y requieren activación explícita por función por parte del dueño del espacio — diseñadas para que un clínico de Texas que revise las notas que un familiar cuidador trae pueda divulgar con precisión la participación de la IA cuando sea necesario.
Actualización del Reglamento de Seguridad HIPAA de HHS (regla final esperada para fines de 2026). La regla propuesta exigiría cifrado de ePHI en tránsito y en reposo (ya en pie en Kintaria), MFA para sistemas críticos y remotos (ofrecemos inicio de sesión de dos pasos opcional hoy), y requisitos explícitos para sistemas de IA que tocan datos de pacientes (inventarios escritos, monitoreo continuo de vulnerabilidades). Nuestra postura existente se alinea con la mayoría de los controles propuestos; actualizaremos esta sección cuando la regla final aterrice.
8. Retención y eliminación de datos
Los datos del espacio se retienen mientras el espacio exista. Cuando ustedes eliminan un espacio: todo el contenido se elimina permanentemente de la base de datos en un plazo de 7 días; las copias de seguridad de la base de datos (que contienen los datos en el momento en que se tomaron) envejecen en su propio calendario de retención — típicamente 7 días para recuperación a un punto en el tiempo, luego se eliminan; los archivos del documento se eliminan del almacenamiento inmediatamente; las filas del registro de auditoría que referenciaban a la familia eliminada se eliminan en cascada; su cuenta (si no tiene otros espacios) se elimina permanentemente bajo solicitud — escriban a info@thrive.me.
La función "exportar tus datos", donde podrán descargar un ZIP completo de su espacio antes de eliminarlo, está en la hoja de ruta cercana. Hasta entonces, pídannoslo en info@thrive.me y empaquetaremos y enviaremos manualmente.
9. Reportar un problema de seguridad
Si encuentran un problema de seguridad con Kintaria — una forma de ver los datos de otra familia, un endpoint sin autenticación que debería requerirla, un secreto filtrado en un artefacto público, cualquier cosa que parezca una vulnerabilidad — por favor escriban a security@thrive.me o llamen al (888) 704-0999. Acusaremos recibo en un día hábil.
10. Prácticas operativas
- Autenticación de dos factores requerida en cada cuenta que toca infraestructura de producción (Supabase, Vercel, GitHub, Cloudflare, registrador del dominio).
- Los secretos de producción (claves de API, contraseñas de DB) viven en las variables de entorno de Vercel y el panel de Supabase. Nunca se commitean al control de versiones. El repositorio es privado.
- Las migraciones de base de datos están bajo control de versiones, son revisadas por el equipo de ingeniería antes de aplicarse a producción, y se aplican a través del tooling de migraciones de Supabase (sin ediciones directas en la base de datos de producción).
- Las vulnerabilidades de dependencias se rastrean vía GitHub Dependabot; los avisos de seguridad se revisan dentro de una semana.
11. Lo que viene
- Completar la ejecución de los BAA con Supabase, Anthropic, Resend y Twilio.
- Trabajo de preparación para SOC 2 Tipo 1 — documentar políticas, recolectar evidencia, recorrer el marco de control. Objetivo: dentro del primer año de disponibilidad general.
- Descarga de autoservicio "exportar tus datos" desde la página de ajustes del espacio.
- Eliminación de autoservicio del espacio (hoy nos escriben).
- Un visor del registro de auditoría dentro del espacio para que los cuidadores vean el historial de cambios.
12. Preguntas
Escriban a info@thrive.me o llamen al (888) 704-0999. Respondemos cada mensaje; no somos una startup financiada por capital de riesgo con un bot en la puerta.