Diseñado para datos sanitarios sensibles
LifeOrion está creado para los datos que los laboratorios manejan cada día: datos demográficos de pacientes, pedidos, resultados e informes. La seguridad forma parte de la arquitectura, no es una capa añadida después.
LifeOrion protege los datos del laboratorio y de los pacientes con controles que se ejecutan en cada acción, en los tres portales. A continuación se muestra lo que hemos implementado hoy y aquello hacia lo que estamos diseñando a medida que avanzamos hacia la certificación formal.
Controles que ya están activos en la plataforma
Estos son hechos en tiempo presente sobre cómo funciona LifeOrion hoy, no aspiraciones.
Registro de auditoría en cada acción
Cada creación, actualización y eliminación se registra con un rastro de auditoría completo, de modo que pueda reconstruir quién cambió qué y cuándo.
Cifrado de credenciales con Argon2
Las credenciales de usuario se procesan con hash mediante Argon2, un estándar moderno diseñado para resistir ataques de fuerza bruta y basados en GPU.
Sesiones JWT fail-closed
La seguridad de la sesión utiliza JWT que fallan en modo cerrado. Si un token falta, ha caducado o es inválido, el acceso se deniega de forma predeterminada.
Limitación de tasa
La limitación de la tasa de solicitudes protege los puntos de autenticación y de la API frente al abuso, el relleno de credenciales y los ataques automatizados.
RBAC en los tres portales
El control de acceso basado en roles rige los portales de SuperAdmin, de cliente y de socios, de modo que cada usuario actúa solo sobre lo que su rol permite.
Cifrado
Los datos se protegen con cifrado para favorecer la confidencialidad en toda la plataforma.
Eliminación reversible con Papelera y Restauración
Las eliminaciones son recuperables. Los registros se mueven a la Papelera y pueden restaurarse, de forma individual o masiva, en todas las entidades.
Compatibilidad con múltiples regiones
La implementación multirregión le permite mantener los datos en la geografía que se ajuste a sus requisitos operativos y regulatorios.
Hacia dónde nos dirigimos en cumplimiento formal
Los elementos a continuación no son certificaciones ya obtenidas. Describen marcos para los que LifeOrion está diseñado para dar soporte y las certificaciones que figuran en nuestra hoja de ruta. Actualizamos esta página a medida que se alcanza cada una.
SOC 2 Type II
En nuestra hoja de rutaEstamos avanzando hacia un examen SOC 2 Type II de nuestros controles de seguridad, disponibilidad y confidencialidad.
HIPAA
Diseñado para dar soporteLifeOrion está diseñado para dar soporte a un tratamiento alineado con HIPAA de la información sanitaria protegida, incluidos rastros de auditoría, controles de acceso y cifrado. Un Acuerdo de Asociado Comercial (BAA) figura en nuestra hoja de ruta.
ISO 27001
En nuestra hoja de rutaEstamos alineando nuestras prácticas de gestión de la seguridad de la información hacia la certificación ISO 27001.
CLIA / CAP
Diseñado para dar soporteLifeOrion está creado para los flujos de trabajo de laboratorios certificados por CLIA y CAP, incluida la verificación controlada de resultados, el QC y la publicación de informes.
21 CFR Part 11
Diseñado para dar soporteNuestro registro de auditoría, los controles de acceso y el ciclo de vida controlado de los registros están diseñados para dar soporte a los flujos de trabajo de registros electrónicos y firmas electrónicas de 21 CFR Part 11.
Cuando un marco se describe como «diseñado para dar soporte», refleja una alineación arquitectónica, no una certificación o atestación completada.
Privilegio mínimo por diseño, con un registro completo de cada cambio
El acceso está acotado, aislado por inquilino y es totalmente auditable.
LifeOrion aplica el control de acceso basado en roles en los portales de SuperAdmin, de cliente y de socios. Los permisos siguen un modelo de privilegio mínimo: los usuarios obtienen el acceso que requiere su rol y nada más, con vistas acotadas por sede que mantienen al personal dentro de su contexto asignado.
La plataforma es multiinquilino, con un aislamiento de inquilinos que separa los datos de cada laboratorio. Operadores, laboratorios y socios trabajan en la misma plataforma sin ver los registros de los demás. Los franquiciados pueden operar con marca blanca completa mientras sus datos permanecen aislados.
Cada creación, actualización y eliminación queda capturada en un rastro de auditoría de extremo a extremo. Combinado con la eliminación reversible y la Papelera y Restauración, esto ofrece a los equipos de control de calidad y cumplimiento un registro de actividad defendible y una vía para recuperarse de los errores.
- Control de acceso basado en roles en los tres portales
- Aislamiento de inquilinos para los datos de cada laboratorio
- Rastro de auditoría de extremo a extremo en cada cambio
- Eliminación reversible con restauración individual y masiva
Vea la arquitectura en detalle
Guiaremos a sus equipos de seguridad, TI y control de calidad a través de nuestros controles, modelo de datos y hoja de ruta de cumplimiento, y responderemos directamente a sus preguntas de diligencia debida.