Tu consulta, bajo llave.
Construimos Piloto con los mismos principios que exigen empresas reguladas: cifrado por defecto, aislamiento estricto entre profesionales y auditoría sobre cualquier acción sensible.
Cifrado en tránsito y en reposo
Todo el tráfico usa TLS 1.3. Los datos sensibles (tokens OAuth, DNI, RUC) se cifran con AES-256-GCM usando claves gestionadas por Arkaim Labs antes de guardarse en la base de datos.
Aislamiento por tenant
Cada acción aplica seguridad a nivel de fila (row-level security): un profesional solo puede leer y escribir sus propios pacientes, citas, servicios y conversaciones. Sin excepciones, sin acceso cross-tenant.
Autenticación moderna
Inicio de sesión con Google OAuth 2.0 o email + contraseña con hashing. Sesiones con cookies HttpOnly + SameSite. Rotación automática de tokens y expiración.
IA con confirmación
El asistente IA pide confirmación explícita antes de cualquier acción destructiva (cancelar, modificar precios, enviar mensajes). Las grabaciones de sesión se transcriben y el audio se destruye inmediatamente.
Backups y recuperación
Respaldos automáticos diarios con retención de 30 días. Infraestructura replicada en múltiples zonas. Objetivos de recuperación documentados y probados trimestralmente.
Auditoría y trazabilidad
Cada acción crítica genera un registro auditable con timestamp, actor y recurso afectado. Los cambios en datos sensibles quedan registrados por 180 días.
Si encontraste algo, cuéntanos
Valoramos a la comunidad de seguridad. Si encontraste una vulnerabilidad, por favor escríbenos antes de divulgar públicamente. Respondemos a todo reporte legítimo en menos de 72 horas y reconocemos a los investigadores en nuestro hall of fame.
Reportar vulnerabilidadMarcos que seguimos
- Ley 29733 — Protección de Datos Personales (Perú).
- Buenas prácticas OWASP Top 10 aplicadas a todo el stack.
- SOC 2 Type II — en preparación para 2026.
- Auditoría externa de pentesting anual desde el primer año de operación.