← Back to HealthGPT home
es/data_security_statement_v1.5.md
Terms & Conditions Privacy Policy Refund Policy Cookie & Ad Preference Policy Data Security Statement Membership Terms Suppliers & Partners Policy

Data Security Statement

# 🔐 2Zone Therapy / HealthGPT – Declaración de Seguridad de Datos v1.5

**Fecha de entrada en vigor:** 6 de agosto de 2025  
**Última actualización:** 27 de febrero de 2026  

---

## 1. Nuestro Compromiso

2Zone Therapy y HealthGPT están construidos con una arquitectura basada en seguridad desde el diseño.

Protegemos los datos de los usuarios mediante:

- Cifrado sólido  
- Infraestructura de acceso limitado  
- Monitoreo continuo  
- Modelo de credenciales Zero-Knowledge  
- Control interno de acceso estricto  

Los datos de salud y los datos generados por IA se consideran información personal sensible y se gestionan en consecuencia.

---

## 2. Alojamiento e Infraestructura

- Los servidores de producción están alojados en centros de datos seguros dentro de la Unión Europea (UE).
- Los servidores operan detrás de firewalls reforzados y capas de acceso restringido.
- El acceso administrativo está limitado únicamente a personal autorizado.
- Se mantienen copias de seguridad cifradas y redundantes.
- Se realizan pruebas periódicas de restauración para garantizar la integridad de la recuperación.

Los entornos de desarrollo y producción están completamente separados.

---

## 3. Estándares de Cifrado

### 3.1 Datos en Reposo
- Las bases de datos y los archivos almacenados están cifrados utilizando **AES-256** o estándares equivalentes.
- Los archivos de configuración sensibles se almacenan fuera de los directorios web públicos.

### 3.2 Datos en Tránsito
- HTTPS/TLS 1.3 se aplica en todos los dominios.
- Se habilitan encabezados HSTS cuando están disponibles.
- Las comunicaciones API con proveedores externos están cifradas.

---

## 4. Seguridad de Credenciales

Operamos bajo un modelo de credenciales **Zero-Knowledge**:

- Las Secret PassPhrases nunca se almacenan en texto plano.
- Las PassPhrases se cifran mediante **Argon2 o bcrypt**.
- Se aplican protección contra ataques de fuerza bruta y limitación de intentos.
- Los tokens de sesión se generan de forma segura y se rotan periódicamente.

El acceso administrativo requiere:

- Autenticación multifactor (MFA)  
- Monitoreo de IP  
- Registro de actividad  

---

## 5. Control de Acceso y Registro de Auditoría

Aplicamos un modelo de **mínimo privilegio (Least Privilege)**:

- Permisos basados en roles  
- Privilegios limitados en la base de datos  
- Servicios internos segmentados  

Se registran operaciones críticas, incluyendo:

- Activación de cuenta  
- Eliminación de datos  
- Generación de protocolos  
- Ajustes de saldo de GC  
- Confirmaciones de pago  

Los registros se conservan de forma segura con fines de seguridad y cumplimiento normativo.

---

## 6. IA y Procesamiento por Terceros

HealthGPT utiliza servicios de inteligencia artificial de terceros para generar respuestas.

### 6.1 Procesamiento OpenAI
- Solo se transmite la información mínima necesaria del usuario.
- No se concede acceso completo a la base de datos.
- Los datos se transmiten a través de canales API cifrados.
- El procesamiento sigue los estándares empresariales de manejo de datos de OpenAI.

### 6.2 Texto a Voz (TTS)
Cuando se genera salida de voz:
- Se utilizan los servicios TTS de OpenAI (por ejemplo, modelos Onyx).
- El texto se transmite de forma segura.
- Los archivos de audio se almacenan en directorios de servidor controlados.

No se concede acceso persistente a la base de datos a proveedores externos.

---

## 7. Seguridad de Pagos

- Los pagos se procesan mediante proveedores externos seguros (por ejemplo, Stripe).
- No almacenamos los datos completos de tarjetas de crédito.
- Las confirmaciones de pago se validan mediante webhooks seguros.
- Los metadatos de transacciones se registran para conciliación y prevención de fraude.

---

## 8. Minimización de Datos

Recopilamos únicamente los datos necesarios para:

- Proporcionar orientación de salud generada por IA  
- Gestionar Guidance Credits (GCs)  
- Procesar pagos  
- Mantener la seguridad de la cuenta  

No recopilamos:

- Números de identificación gubernamental  
- Identificadores biométricos  
- Credenciales bancarias  

---

## 9. Respuesta a Incidentes y Protocolo de Brecha

Mantenemos monitoreo continuo para detectar:

- Intentos de acceso no autorizados  
- Actividad de inicio de sesión anómala  
- Anomalías en pagos  
- Uso indebido de APIs  

Si se confirma una brecha de datos:

- Los usuarios afectados serán notificados sin demora indebida.
- Las autoridades regulatorias serán notificadas dentro de **72 horas** cuando sea requerido (RGPD Art. 33).
- Se implementarán medidas inmediatas de contención y remediación.

---

## 10. Eliminación de Datos Controlada por el Usuario

Los usuarios pueden solicitar:

- Eliminación completa de la cuenta  
- Eliminación de protocolos  
- Eliminación de registros de IA  
- Eliminación de notas de voz  

La eliminación requiere:

1. Confirmación de la Secret PassPhrase  
2. Verificación por correo electrónico  
3. Paso final de confirmación  

Una vez completada, la eliminación es permanente e irreversible.

---

## 11. Pruebas de Seguridad y Actualizaciones

Nosotros:

- Actualizamos regularmente el software del servidor  
- Corregimos vulnerabilidades conocidas  
- Supervisamos actualizaciones de dependencias  
- Revisamos registros de acceso  

Las prácticas de seguridad evolucionan continuamente a medida que la plataforma crece.

---

## 12. Divulgación Responsable

Si descubre una vulnerabilidad o problema de seguridad, por favor repórtelo de manera responsable a:

**security@2zonetherapy.com**

Investigamos todos los reportes y responderemos de manera apropiada.

---

## 13. Mejora Continua

La seguridad no es estática.

A medida que HealthGPT se expande — incluyendo analíticas TEL, mejoras de IA y generación de protocolos — la arquitectura de seguridad se revisa y actualiza en consecuencia.

---

**2Zone Therapy / HealthGPT**  
Comprometidos con la protección de sus datos de salud e identidad digital.
Tip: change language using ?lang=xx (example: ?type=terms&lang=fr). If a language folder doesn’t exist, it falls back to English.