Data Security Statement

> ⚠ **Traducción no oficial. En caso de discrepancias, prevalece la versión en inglés.**

# Política de Seguridad y Protección de Datos – 2Zone Therapy v1.0

**Fecha de entrada en vigor:** 6 de agosto de 2025  
**Última actualización:** 23 de octubre de 2025  

---

## 1. Nuestro compromiso con la seguridad
**2Zone Therapy**, operador de las plataformas **HealthGPT** y **ERRIC**, se compromete a garantizar la **confidencialidad, integridad y disponibilidad** de tus datos personales y de salud.  
Aplicamos estándares internacionales de ciberseguridad, incluyendo **ISO 27001**, y cumplimos con el **Reglamento General de Protección de Datos (GDPR)**.

---

## 2. Infraestructura y alojamiento
- Los servidores están ubicados en **centros de datos certificados ISO 27001**.  
- Todas las conexiones están protegidas con **cifrado SSL/TLS de 256 bits**.  
- Se realizan **copias de seguridad cifradas** diariamente.  
- El acceso administrativo requiere **autenticación multifactor (MFA)**.

---

## 3. Cifrado y almacenamiento de datos
- Las **frases secretas y contraseñas** están cifradas y nunca se almacenan en texto plano.  
- Los **protocolos de salud y registros ERRIC** están protegidos mediante cifrado **AES-256**.  
- Ningún dato se transmite o almacena sin protección.  
- Toda la comunicación interna se realiza a través de **API seguras** con monitoreo continuo.

---

## 4. Control de acceso y autenticación
- Cada usuario dispone de credenciales únicas e intransferibles.  
- Los inicios de sesión sospechosos (ubicaciones o dispositivos nuevos) son bloqueados automáticamente.  
- Todas las acciones críticas (inicio de sesión, eliminación, modificación) quedan registradas en un **log de seguridad**.

---

## 5. Detección y respuesta ante incidentes
- Nuestros sistemas de seguridad operan **24/7** para detectar posibles amenazas o intrusiones.  
- En caso de violación de datos, notificaremos a los usuarios dentro de un plazo máximo de **72 horas**, conforme al GDPR.  
- Los informes de incidentes pueden solicitarse al **Delegado de Protección de Datos (DPO)**.

---

## 6. Eliminación y retención de datos
- Puedes solicitar la eliminación de tus datos personales o registros desde tu panel de usuario (ver [Política de Privacidad](../privacy_policy_v5.0.md)).  
- Los datos se eliminan completamente dentro de los **30 días posteriores a la verificación**.  
- Las copias de seguridad se sobrescriben en un plazo máximo de **60 días**.

---

## 7. Proveedores y transferencias internacionales
Solo trabajamos con proveedores que **cumplen con GDPR** o están **certificados bajo ISO 27001**.  
Cualquier transferencia fuera del Espacio Económico Europeo (EEE) se realiza conforme a las **Cláusulas Contractuales Tipo (SCCs)** o garantías legales equivalentes.

---

## 8. Formación y control interno
- Todo el personal y colaboradores reciben **formación anual en seguridad de datos**.  
- Se realizan **auditorías internas semestrales** para verificar el cumplimiento.  
- Cualquier incumplimiento de esta política puede derivar en sanciones o cese de la relación contractual.

---

## 9. Derechos del usuario
Tienes derecho a:
- Obtener una copia de tus datos,  
- Solicitar su corrección o eliminación, y  
- Contactar con nuestro DPO para cualquier asunto relacionado con la seguridad o privacidad.

---

## 10. Contacto
**Delegado de Protección de Datos (DPO) – 2Zone Therapy**  
Correo electrónico: **privacy@2zonetherapy.com**  
Soporte técnico: **support@healthgpt.co.il**

---

## 11. Actualizaciones de la política
Esta política puede actualizarse periódicamente.  
Los cambios importantes serán notificados por correo electrónico o en el panel del usuario.  
En caso de discrepancia, **prevalecerá la versión en inglés**.

---