Seguridad tecnológica

Para acceder al portal web de paciente o a la aplicación de doctor, es necesario estar registrado en la plataforma. Los doctores serán dados de alta por el administrador de la plataforma tras la firma del contrato SaaS. Una vez obtenido el usuario y contraseña, los doctores podrán acceder a la aplicación y registrar a sus pacientes, o facilitar el enlace que permite que estos se registren.

Para la transferencia de datos utilizamos protocolos HTTPS, es decir, los datos intercambiados entre cliente y servidor están cifrados.

Base de datos de Azure

La base de datos de Azure, está cifrada mediante cifrado de datos transparente o TDE. TDE cifra el contenido de una base de datos completa utilizando una clave simétrica denominada clave de cifrado de base de datos. En la base de datos SQL la clave de cifrado de base de datos está protegida por un certificado de servidor integrado. El certificado de servidor integrado es único para cada servidor de Base de datos SQL. Microsoft cambia automáticamente estos certificados al menos cada 90 días.

Seguridad en el sistema de videollamada

Para poder realizar llamadas,  de manera transparente para el usuario, se utilizan tokens de acceso que autorizan a este a entrar en una determinada llamada. Al realizar la conexión a la llamada se comprobará la validez de este token. Todos los tokens generados incluyen la siguiente información:

• Account SID, es el identificador público de la cuenta de videoconferencia asociada al token.
• API Key SID, es el identificador público de la clave para firmar el token.
• Identity grant, identifica al usuario que usa el token.
• API Secret, asociada a la API Key SID es usada para firmar el token y verificar si está asociada con la cuenta de videoconferencia.
• Acceso a la funcionalidad de videollamada, y acceso a una determinada conversación.

Los tokens están basados en JSON web token.
Usamos encriptación para proteger las comunicaciones entre el usuario y nuestra aplicación web. Cada participante en una conversación negocia una conexión DTLS/SRTP con el otro participante. Todo el contenido enviado o recibido es enviado a través de conexiones seguras y es encriptado en el envío y desencriptado en la recepción.

Integración con método de pago

Nuestro sistema de pago es PayPal. Ninguno de los servidores internos es capaz de obtener los números de tarjeta en texto plano. Toda la infraestructura de almacenamiento, desencriptación y transmisión de tarjetas corre en infraestructuras separadas y no comparte ninguna credencial con los servicios primarios ( API, web… ). De todo ello se encarga PayPal, uno de los proveedores más confiables y con más experiencia del mundo.

Para almacenar los códigos de ID y secret de PayPal de cada doctor, usamos Microsoft Azure Key valt un servicio en la nube para el almacenamiento de los secretos y el acceso a estos de forma segura. Un secreto es todo aquello cuyo acceso desea controlar de forma estricta, como las claves API, las contraseñas, los certificados o las claves criptográficas