Política de Seguridad

1. Compromiso con la Seguridad

TeleMed Soluciones BPO S.A.S. reconoce que la seguridad de la información es un pilar fundamental en la prestación de servicios de BPO al sector salud. Nos comprometemos a proteger la confidencialidad, integridad y disponibilidad de la información de nuestros clientes, sus pacientes y nuestra organización.

2. Alcance

Esta política aplica a:

• Toda la información manejada en el desarrollo de los servicios BPO de TeleMed
• Todos los sistemas tecnológicos, plataformas y herramientas utilizadas
• Todos los colaboradores, contratistas y terceros con acceso a información
• Los datos de usuarios que interactúan con el sitio web de TeleMed

3. Medidas Técnicas de Seguridad

3.1 Cifrado

• Todas las comunicaciones entre el sitio web y el usuario se realizan mediante protocolo HTTPS con certificado SSL/TLS
• Los datos en reposo en nuestros sistemas son cifrados con estándares AES-256
• Las contraseñas se almacenan exclusivamente mediante funciones de hash seguras (bcrypt/Argon2)

3.2 Control de Acceso

• Implementación del principio de mínimo privilegio: cada colaborador accede únicamente a la información necesaria para su función
• Autenticación multifactor (MFA) para todos los accesos a sistemas críticos
• Revisión periódica de permisos y accesos
• Revocación inmediata de accesos al finalizar la relación laboral o contractual

3.3 Infraestructura

• Servidores alojados en proveedores de nube certificados con SOC 2 Tipo II
• Segmentación de redes y firewalls configurados bajo política de denegación por defecto
• Monitoreo continuo de eventos de seguridad (SIEM)
• Pruebas de penetración y evaluaciones de vulnerabilidades periódicas

4. Medidas Organizativas

4.1 Capacitación del Personal

Todo el personal de TeleMed recibe capacitación obligatoria en seguridad de la información al momento de su vinculación y de forma periódica durante su permanencia, con énfasis especial en:

• Manejo seguro de información de salud (PHI/datos sensibles)
• Reconocimiento y reporte de intentos de phishing y ataques de ingeniería social
• Políticas de escritorio limpio y bloqueo de pantalla
• Procedimientos de reporte de incidentes de seguridad

4.2 Acuerdos de Confidencialidad

Todos los colaboradores y terceros con acceso a información de clientes firman acuerdos de confidencialidad (NDA) y están sujetos a obligaciones de no divulgación tanto durante como después de su relación con TeleMed.

5. Cumplimiento HIPAA

Para los servicios prestados a clientes del sector salud en Estados Unidos, TeleMed opera bajo los lineamientos de la Ley HIPAA (Health Insurance Portability and Accountability Act):

• Firma de Business Associate Agreements (BAA) con todos los clientes cubiertos
• Controles específicos para el manejo de Información de Salud Protegida (PHI)
• Segregación de acceso a PHI: únicamente el personal autorizado y necesario puede acceder a datos de pacientes
• Registro de auditoría de todos los accesos a información protegida
• Plan de respuesta a violaciones de datos (Breach Notification) conforme a los requerimientos HIPAA

6. Gestión de Incidentes de Seguridad

TeleMed cuenta con un procedimiento formal de gestión de incidentes que incluye:

• Identificación y clasificación del incidente
• Contención inmediata y evaluación del impacto
• Notificación a clientes afectados dentro de las 72 horas siguientes a la confirmación del incidente
• Investigación forense y erradicación de la causa raíz
• Documentación y lecciones aprendidas

Para reportar un incidente de seguridad: seguridad@telemed.com.co

7. Continuidad del Negocio

TeleMed mantiene planes de continuidad del negocio y recuperación ante desastres que incluyen:

• Copias de seguridad cifradas y geográficamente distribuidas
• Objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) definidos por servicio
• Pruebas periódicas de restauración de respaldos
• Planes de contingencia para escenarios de falla de infraestructura crítica

8. Retención y Eliminación Segura de Datos

Los datos son conservados únicamente durante el tiempo necesario para cumplir con los propósitos del servicio y las obligaciones legales. Al finalizar el período de retención o por solicitud del cliente, los datos son eliminados de forma segura mediante métodos que impiden su recuperación (borrado seguro / destrucción certificada de medios).

9. Proveedores y Terceros

TeleMed evalúa la postura de seguridad de sus proveedores tecnológicos antes de su contratación y exige contractualmente que mantengan estándares de seguridad equivalentes. Los terceros con acceso a información de clientes deben cumplir con los requisitos de esta política y firmar los acuerdos correspondientes.

10. Revisión de la Política

Esta política es revisada al menos una vez al año o cuando se produzcan cambios significativos en la organización, la tecnología o el entorno regulatorio. La versión vigente siempre estará disponible en el sitio web.

11. Contacto de Seguridad

Para reportar vulnerabilidades, incidentes o consultas relacionadas con seguridad de la información:

TeleMed Soluciones BPO S.A.S.

Correo de seguridad: seguridad@telemed.com.co

Web: www.telemed.com.co

Dirección: Medellín, Colombia