Seguridad

Política de Divulgación Responsable

PhysioClinic Pro — Seguridad

Versión1.0
Entrada en vigor21 de mayo de 2026

1. Nuestro Compromiso

PhysioClinic Pro maneja datos de salud (PHI) y toma la seguridad muy en serio. Si reporta una vulnerabilidad de buena fe, nos comprometemos a:

  • Acusar recibo dentro de las 72 horas hábiles.
  • Mantenerle informado del progreso de la investigación.
  • No iniciar acciones legales por el descubrimiento y reporte responsable.
  • Reconocer su contribución (si lo desea) al publicar la corrección.

2. Alcance del Programa

✅ En alcance:

  • API backend y aplicación web frontend.
  • Proceso de registro y autenticación.
  • Control de acceso inter-tenant.
  • Manejo de datos clínicos/PHI y segregación de tenants.
  • Gestión de sesiones y tokens de autenticación.

❌ Fuera de alcance:

  • Infraestructura de proveedores de nube y servicios de terceros (reportar directamente a cada proveedor).
  • Ataques DoS / DDoS.
  • Spam o ingeniería social contra el personal.
  • CVEs conocidos sin demostración de impacto real.

3. Reglas de Conducta

  1. No acceder a datos reales de pacientes. Use exclusivamente cuentas de prueba creadas por usted para la investigación.
  2. No modificar, eliminar ni exfiltrar datos de ninguna clínica o paciente.
  3. No interrumpir el Servicio ni degradar la experiencia de otros usuarios.
  4. Reportar de inmediato cualquier dato de paciente al que haya accedido accidentalmente; no continuar la investigación sobre ese vector.
  5. Confidencialidad obligatoria: Toda la información sobre vulnerabilidades, arquitectura interna, comportamiento del sistema o datos obtenidos durante la investigación es confidencial. No puede divulgarse, publicarse, compartirse con terceros ni usarse para ningún fin distinto al reporte al Proveedor.
  6. No divulgar públicamente la vulnerabilidad antes de que el Proveedor lance una corrección, o hasta 90 días después del reporte inicial, lo que ocurra primero.
  7. La información compartida en el reporte no puede usarse para desarrollar, mejorar o comercializar productos o servicios competidores.

4. Cómo Reportar

Envíe su reporte a security@physioclinicpro.com

Incluya en su reporte:

  • Descripción de la vulnerabilidad y su impacto potencial.
  • Pasos para reproducir (PoC) sin datos reales de pacientes.
  • Capturas o logs relevantes.
  • Su evaluación de severidad (CVSS si es posible).
  • Si desea reconocimiento público, incluya su nombre/alias.

5. Plazos de Respuesta

HitoPlazo objetivo
Acuse de recibo72 horas hábiles
Confirmación de la vulnerabilidad7 días hábiles
Plan de mitigación comunicado14 días hábiles
Corrección lanzada (P1/P2)30 días (objetivo)

Para consultas sobre este documento, comuníquese con soporte en security@physioclinicpro.com

El idioma prevalente de este documento es el español.

© 2026 PhysioClinic Pro. Todos los derechos reservados. El software, su diseño, flujos de trabajo y documentación son propiedad exclusiva del Proveedor y están protegidos por los tratados internacionales de propiedad intelectual aplicables.