Construido para la información del paciente.
Aria maneja información protegida de salud (PHI). Aquí está exactamente cómo la protegemos — sin promesas vagas, solo controles concretos.
Alineado con HIPAA, BAA disponible.
Firmamos un Acuerdo de Asociación Comercial (BAA) con cada consultorio antes de que cualquier información de paciente fluya por Aria. La firma estándar es el mismo día.
Implementamos controles administrativos, físicos y técnicos requeridos por la Regla de Seguridad HIPAA: encriptación en tránsito y en reposo, control de acceso basado en roles, registro de auditoría, plan de respuesta a incidentes, capacitación de empleados.
SOC 2 Tipo II — actualmente en proceso. Meta de finalización: tercer trimestre de 2026. Hasta entonces, tenemos auditorías internas trimestrales y proporcionamos a los clientes empresariales reportes de seguridad bajo NDA.
Toda la información del paciente está encriptada en tránsito y en reposo.
En tránsito: Toda la comunicación entre Aria y los servicios externos (PMSes, aseguradores, Twilio, Stripe) usa TLS 1.2+ con cifrado moderno. No aceptamos conexiones sin encriptar.
En reposo: Los campos PHI (nombres de paciente, números de teléfono, correos, notas, información de seguro) están encriptados con AES-256-GCM antes de guardarse en la base de datos. La clave maestra se guarda fuera de la base de datos. La base de datos misma también está encriptada a nivel de disco.
Búsqueda por hash: Para identificar a pacientes que regresan por número de teléfono, usamos un hash unidireccional SHA-256 — no almacenamos números de teléfono en texto plano fuera de los campos encriptados.
Quién puede ver qué, cuándo y por qué.
Control de acceso basado en roles: Cada usuario de Aria (empleado del consultorio, gerente, propietario, administrador del DSO) tiene un rol específico con permisos definidos. Por defecto, los usuarios solo ven información de su propio consultorio.
Registro de auditoría: Cada cambio de configuración, cada acceso a una grabación, cada login y cada llamada API se registra con actor, marca de tiempo y contexto. Los registros de auditoría son exportables a tu SIEM en planes empresariales.
Respuesta a incidentes: Mantenemos un plan documentado de respuesta a incidentes con SLA de 24 horas para notificación al cliente sobre incidentes que afecten su PHI. Para más detalles, escribe a info@velzyx.ai.
Programa de divulgación responsable.
Tomamos en serio los reportes de seguridad de buena fe de investigadores externos. Si encontraste una vulnerabilidad en Aria, escríbenos a info@velzyx.ai.
Nos comprometemos a no perseguir acciones legales contra investigadores que actúan de buena fe siguiendo las pautas de nuestro programa. Para detalles completos sobre el alcance, lo que está fuera de alcance, y nuestro proceso de respuesta, ver nuestra página de divulgación responsable (en inglés).
Listo para hablar con tu recepcionista de IA en español.
Demo en vivo de 30 minutos. Atendemos llamadas de prueba en español, mostramos la programación y verificación de seguro, y resolvemos tus dudas.