Vitam Healthcare Logo

Política de Privacidad

Última actualización: 25/12/2025

Política de Seguridad de la Información y Protección de Datos

Empresa: Vitam Healthcare

Versión: 1.0

Fecha de emisión: 19/12/2025

Vigencia: Desde su aprobación y hasta actualización

Próxima revisión: 01/03/2026 (mínimo anual)

Propietario del documento: Gerencia General

Aprobación: CEO Vitam Healthcare

1. Propósito

La presente Política establece los principios, responsabilidades y controles mínimos para proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información y de los datos personales tratados por Vitam Healthcare, asegurando un nivel de seguridad adecuado al riesgo.

Esta Política se adopta con enfoque anticipatorio para cumplir progresivamente con la normativa chilena de protección de datos personales que entra en vigor en diciembre de 2026, y para alinearse con estándares europeos de referencia en seguridad de la información, privacidad y gestión de incidentes.

2. Alcance

Esta Política aplica a:

  • Todo el personal de Vitam Healthcare (contrato, honorarios, practicantes), y a terceros/proveedores que accedan a información o sistemas de la organización.
  • Toda información tratada por Vitam Healthcare, en formato digital o físico.
  • Todos los activos y plataformas, incluyendo expresamente: correos electrónicos, Gestum, Continuum, y todo desarrollo actual y futuro (módulos, aplicaciones, integraciones, APIs, repositorios, bases de datos, canales internos, respaldos e infraestructura asociada).
  • Todo tratamiento de datos personales realizado por Vitam Healthcare como Responsable y/o como Encargado (Procesador), incluyendo: recolección, registro, almacenamiento, consulta, uso, comunicación/transferencia, análisis, respaldo y eliminación.

3. Marco normativo y criterios de referencia

Vitam Healthcare se compromete a:

  • Cumplir con la normativa chilena vigente en materia de protección de datos, privacidad, ciberseguridad, salud y obligaciones relacionadas, y preparar su cumplimiento integral conforme al marco que entra en vigor en diciembre de 2026.
  • Adoptar, como referencia, criterios europeos y buenas prácticas internacionales basadas en gestión de riesgos, seguridad por diseño, continuidad y reporte estructurado de incidentes.

Esta Política se complementa con procedimientos internos obligatorios (Respuesta a Incidentes, Control de Accesos, Clasificación de Información, Gestión de Proveedores, Gestión de Vulnerabilidades, Backups/DR, SDLC Seguro, Gestión de Cambios, etc.).

4. Definiciones clave

  • Información: todo dato, documento, registro o conocimiento relevante para Vitam Healthcare.
  • Datos personales: información relativa a una persona natural identificada o identificable.
  • Datos sensibles / de salud: datos personales que exigen mayores resguardos, incluyendo información clínica o relacionada con salud cuando aplique.
  • Activo de información: recurso que almacena, procesa o transmite información (sistemas, bases de datos, equipos, servicios cloud, etc.).
  • Incidente de seguridad: evento que compromete o podría comprometer confidencialidad, integridad, disponibilidad o continuidad (p. ej., acceso no autorizado, fuga, malware, ransomware, indisponibilidad).

5. Principios de seguridad y privacidad

Vitam Healthcare adopta, como mínimos, los siguientes principios:

  • Seguridad basada en riesgos: controles proporcionales a criticidad e impacto (personas, operación, continuidad, cumplimiento).
  • Seguridad y privacidad desde el diseño y por defecto: la seguridad se incorpora desde requisitos hasta operación.
  • Mínimo privilegio y necesidad de saber: acceso sólo a lo indispensable, por rol y contexto.
  • Trazabilidad y evidencia: acciones relevantes deben quedar registradas y auditables.
  • Defensa en profundidad: controles por capas (identidad, red, aplicación, datos, monitoreo).
  • Resiliencia: continuidad, respaldos probados y capacidad de recuperación.
  • Responsabilidad extendida a terceros: exigencias y controles contractuales sobre proveedores y subencargados.

6. Gobierno, roles y responsabilidades

6.1 Autoridades internas

  • CEO (Aprobación): patrocina esta Política, asigna recursos y exige cumplimiento.
  • Gerencia General (Propietaria): custodia la Política, define prioridades, asegura su revisión y mantiene el control documental.
  • Responsable de Seguridad de la Información (RSI) / Encargado de Seguridad: lidera la gestión de riesgos, controles técnicos, monitoreo, incidentes, evidencias y métricas.
  • Responsable de Protección de Datos (RPD) / Encargado de Privacidad: coordina el programa de privacidad, registro de tratamientos, atención de derechos y preparación normativa.
  • Dueños de Proceso (Clínica/Operaciones/Producto/Comercial): clasifican información del proceso, definen necesidades de acceso y validan controles.

6.2 Obligaciones del personal y terceros

  • Conocer y cumplir esta Política y procedimientos asociados.
  • Proteger credenciales, dispositivos y accesos.
  • Reportar de inmediato incidentes o sospechas.
  • Mantener confidencialidad y cumplir restricciones de uso y divulgación.

7. Gestión de riesgos, activos y cumplimiento

Vitam Healthcare mantendrá y actualizará:

  • Inventario de activos de información (correos, Gestum, Continuum, infraestructura, datos, integraciones, repositorios, equipos).
  • Mapa de datos (origen → finalidades → almacenamiento → accesos → transferencias → retención → eliminación).
  • Registro de riesgos de seguridad y privacidad, con responsables, controles, fechas y evidencias.

Las evaluaciones se realizarán:

  • Al menos anualmente, y
  • Cada vez que exista un cambio relevante (nuevo módulo, integración, proveedor, migración, incidentes mayores, cambios regulatorios).

8. Clasificación de la información y reglas de manejo

8.1 Niveles de clasificación

  • Pública
  • Interna
  • Confidencial
  • Sensible/Crítica (incluye datos personales sensibles/de salud y activos críticos)

8.2 Reglas mínimas por clasificación

Confidencial y Sensible/Crítica:

  • Acceso restringido por rol (RBAC) y necesidad de saber.
  • Protección técnica adecuada al riesgo (cifrado en tránsito y controles equivalentes para almacenamiento y respaldos, cuando corresponda).
  • Registro de accesos y acciones relevantes en sistemas críticos.
  • Prohibición de compartir por canales no autorizados (correo personal, mensajería personal, enlaces públicos).
  • Uso controlado de exportaciones, descargas y copias.

9. Control de accesos, identidad y autenticación

  • Implementación de RBAC (roles y permisos) en sistemas críticos.
  • MFA obligatorio para accesos administrativos, remotos y cuentas con privilegios elevados (recomendado para todos los usuarios).
  • Prohibidas cuentas compartidas para funciones críticas; toda acción relevante debe ser atribuible a una identidad.
  • Gestión del ciclo de vida de accesos: Alta con autorización y perfil definido; Modificación ante cambio de cargo; Baja inmediata ante desvinculación.
  • Revisión de accesos: trimestral para roles críticos/administrativos y semestral para el resto (o antes si el riesgo lo exige).

10. Seguridad tecnológica mínima

Se establecen como controles mínimos:

  • Cifrado en tránsito (TLS) en web, APIs e integraciones.
  • Gestión de secretos: llaves, tokens y credenciales protegidos (no en repositorios ni en texto plano), con rotación según criticidad.
  • Hardening y configuración segura de infraestructura y servicios (cloud y/o on-premise).
  • Registro (logging) y monitoreo de: autenticación y sesiones, accesos a datos sensibles, acciones administrativas, eventos de seguridad, cambios relevantes.
  • Protección de endpoints cuando aplique (antimalware/EDR), cifrado de disco en equipos con información sensible y políticas de bloqueo automático.
  • Segmentación y control de red de acuerdo con criticidad y exposición.

11. Seguridad en desarrollo (SDLC) y gestión de cambios

Para software y desarrollos de Vitam Healthcare (incluye Gestum, Continuum y futuros productos):

  • Ambientes separados: dev / staging / producción.
  • Gestión de cambios con trazabilidad: revisión, pruebas, aprobación y plan de reversa.
  • Seguridad en SDLC: revisión de dependencias, evaluación de vulnerabilidades, prácticas OWASP y controles de seguridad de APIs, corrección de hallazgos con responsables y plazos.
  • Prohibido usar datos productivos en pruebas sin anonimización/seudonimización o autorización formal con controles reforzados.
  • Revisión de seguridad previa a liberaciones relevantes (checklist de release).

12. Gestión de vulnerabilidades y parches

Ciclo formal: identificación → priorización → remediación → verificación → evidencia.

Plazos internos sugeridos (ajustables por criticidad):

  • Crítica: 72 horas
  • Alta: 15 días
  • Media: 60 días
  • Baja: 120 días

Excepciones: requieren aprobación del RSI, controles compensatorios y fecha comprometida de cierre.

13. Respaldo, continuidad y recuperación

  • Backups automatizados y con retención definida, aplicando protección adecuada según criticidad.
  • Pruebas de restauración programadas (mínimo trimestral para sistemas críticos).
  • Definición de RPO/RTO por plataforma crítica (correos, Gestum, Continuum, infraestructura base).
  • Plan de continuidad y recuperación ante desastres (DR) con ejercicios al menos anuales, documentando resultados y mejoras.

14. Gestión de incidentes de seguridad y notificación

  • Todo colaborador o tercero debe reportar inmediatamente cualquier incidente o sospecha por el canal interno definido por la organización.
  • Procedimiento mínimo: detección → contención → erradicación → recuperación → comunicación → lecciones aprendidas → evidencia.
  • Se mantiene bitácora de incidentes con severidad, alcance, impacto, decisiones, responsables y acciones correctivas.
  • Se evaluará la obligación de notificación a clientes, terceros y autoridades competentes cuando corresponda por ley, contrato o por el impacto del incidente.

15. Gestión de proveedores, terceros y subencargados

  • Evaluación previa de seguridad y privacidad antes de contratar (tipo de datos, criticidad, ubicación, subencargados, medidas de seguridad).
  • Contratos deben incluir, como mínimo: confidencialidad, medidas de seguridad acorde al riesgo, notificación de incidentes, condiciones de subcontratación, derecho de auditoría/aseguramiento cuando sea razonable, devolución y/o eliminación segura al término.
  • Transferencias internacionales: deben documentarse en el mapa de datos y contar con salvaguardas contractuales y técnicas adecuadas.

16. Protección de datos personales

Vitam Healthcare garantiza:

  • Registro de tratamientos: categorías de datos, finalidades, base de licitud cuando aplique, plazos de retención, transferencias y medidas de seguridad.
  • Procedimiento para atención de derechos de titulares (canal oficial, verificación, respuesta, evidencia y trazabilidad).
  • Minimización: sólo datos necesarios para la finalidad declarada.
  • Controles adecuados al riesgo, incluyendo (según corresponda) segregación de accesos, cifrado, seudonimización, auditoría y monitoreo.
  • Gestión de retención y eliminación segura conforme necesidades operativas, contractuales y obligaciones aplicables.

17. Privacidad por diseño y evaluación de impacto

  • Todo nuevo producto, módulo, integración o cambio relevante debe incluir revisión de privacidad y seguridad “por diseño”, definiendo: qué datos se tratan y por qué, riesgos principales, controles propuestos, evidencias de cumplimiento.
  • Para tratamientos de alto riesgo, se deberán aplicar evaluaciones reforzadas (por ejemplo, evaluación de impacto interna), con medidas de mitigación documentadas.

18. Capacitación y cultura

  • Inducción obligatoria a seguridad y privacidad para todo ingreso.
  • Capacitación anual (mínimo) y campañas periódicas (phishing, manejo de datos sensibles, gestión de incidentes).
  • Registro de asistencia y evaluación básica de comprensión.

19. Auditoría, monitoreo y mejora continua

Vitam Healthcare medirá y revisará, como mínimo:

  • Incidentes (cantidad, severidad, tiempos de respuesta).
  • Cumplimiento de parches y estado de vulnerabilidades.
  • Revisiones de acceso (altas/bajas, privilegios).
  • Resultados de respaldos y restauraciones.
  • Hallazgos de auditoría y cierre de acciones correctivas.

Se realizarán auditorías internas al menos anuales y auditorías extraordinarias ante incidentes relevantes o cambios mayores.

20. Cumplimiento, sanciones internas y excepciones

  • El incumplimiento de esta Política podrá derivar en medidas disciplinarias internas, término de contratos con proveedores y acciones legales cuando corresponda.
  • Las excepciones a esta Política: Deben solicitarse por escrito, con justificación y plazo; Deben incluir controles compensatorios; Requieren aprobación del RSI y validación de Gerencia General cuando afecten información Sensible/Crítica.

21. Control documental y revisión

  • Esta Política se revisará como mínimo una vez al año y adicionalmente ante cambios regulatorios, tecnológicos o incidentes mayores.
  • Toda versión debe quedar archivada con su historial de cambios, fecha y aprobaciones.
  • Los procedimientos derivados (Incidentes, Accesos, Proveedores, Backups, SDLC, etc.) forman parte del sistema de gestión de seguridad y privacidad de Vitam Healthcare.