Tus datos financieros están protegidos.

STRADmed recopila exclusivamente información financiera y operativa de instituciones prestadoras de servicios de salud (IPS):

• Datos del perfil institucional: nombre de la IPS, tipo de institución, ciudad, servicios, número de camas, complejidad.
• Datos financieros: estados de resultados, balances de prueba, presupuestos, cartera por EPS, glosas, devoluciones de factura.
• Datos de cuenta: nombre del usuario, correo electrónico, rol, contraseña (hasheada con bcrypt).
• Datos de uso: conversaciones con el copiloto, alertas generadas, archivos subidos.

NO recopilamos: historias clínicas, datos de pacientes, información de salud individual, números de identificación de pacientes ni ninguna información protegida por la Ley Estatutaria 1751 de 2015 o la Resolución 1995 de 1999.

Usamos los datos exclusivamente para:

• Análisis financiero: cálculo de KPIs, health score, previsiones, benchmarks sectoriales.
• Copiloto IA: responder consultas del equipo directivo sobre la situación financiera de la IPS.
• Alertas proactivas: notificar sobre vencimientos de glosas, deterioro de cartera, riesgo EPS.
• Mejora del servicio: análisis agregado y anónimo para mejorar los modelos de análisis.

Nunca usamos tus datos para publicidad, venta a terceros, perfilamiento comercial ni ningún propósito ajeno a la gestión financiera de tu IPS.

No vendemos, cedemos, alquilamos ni compartimos tus datos financieros con terceros. Los únicos proveedores que procesan datos como encargados del tratamiento son:

• Supabase (PostgreSQL): almacenamiento de base de datos. Servidores en EE.UU. con cifrado en reposo (AES-256) y en tránsito (TLS 1.3).
• Anthropic (Claude API): procesamiento de consultas del copiloto. Los mensajes se envían por API y Anthropic no los almacena para entrenamiento (política de datos comerciales).
• Vercel: hosting de la aplicación. No accede a los datos almacenados en DB.
• Sentry: monitoreo de errores. Solo recibe trazas de errores técnicos, nunca datos financieros.
• Resend: envío de correos electrónicos transaccionales (notificaciones, alertas, invitaciones). Recibe nombre y correo del destinatario.

Cada proveedor está sujeto a obligaciones contractuales de confidencialidad y seguridad.

Los proveedores listados en la sección anterior (Supabase, Anthropic, Vercel, Sentry, Resend) almacenan y procesan los datos en servidores ubicados en Estados Unidos.

Al aceptar esta Política de Privacidad, el usuario autoriza de forma expresa e inequívoca la transferencia internacional de sus datos personales a Estados Unidos, conforme al Artículo 26 literal a) de la Ley 1581 de 2012.

Esta transferencia se realiza bajo las siguientes garantías:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) en todos los proveedores.
• Acuerdos contractuales de confidencialidad y procesamiento de datos con cada proveedor.
• Cumplimiento por parte de los proveedores de estándares internacionales de seguridad (SOC 2 Type II, ISO 27001) según corresponda.
• Compromiso de no transferir los datos a terceros distintos a los listados sin autorización previa.

Si el usuario no autoriza esta transferencia internacional, no podrá usar el servicio, ya que la infraestructura técnica de STRADmed depende de estos proveedores.

Implementamos múltiples capas de seguridad:

• Aislamiento multi-tenant (RLS): cada clínica solo puede acceder a sus propios datos mediante Row Level Security a nivel de base de datos.
• Autenticación JWT: tokens firmados con clave secreta, expiración de 8 horas, protección contra fuerza bruta.
• Cifrado en tránsito: HTTPS obligatorio (TLS 1.2+) con HSTS habilitado.
• Cifrado en reposo: base de datos cifrada con AES-256 (Supabase).
• Contraseñas: hasheadas con bcrypt (salt de 12 rounds).
• Cabeceras de seguridad: CSP, X-Frame-Options: DENY, X-Content-Type-Options: nosniff.
• Rate limiting: en todos los endpoints públicos y autenticados.
• Validación de archivos: extensión, content-type, magic bytes, detección de macros VBA.

Como titular de datos personales, tienes derecho a:

• Conocer: qué datos tenemos sobre tu IPS y cómo los usamos.
• Actualizar: corregir o completar datos inexactos o incompletos.
• Rectificar: solicitar la corrección de errores en tus datos.
• Suprimir: solicitar la eliminación total de tus datos (purga de tenant).
• Revocar: retirar la autorización de tratamiento en cualquier momento.

Para ejercer cualquiera de estos derechos, envía un correo a executive.team@loncocapital.com con:

• Nombre completo del representante legal de la IPS
• NIT de la IPS
• Descripción de la solicitud
• Correo de contacto

Responderemos en un plazo máximo de 10 días hábiles (ampliable a 5 días adicionales según art. 15 Ley 1581). Si no estás satisfecho con la respuesta, puedes presentar queja ante la Superintendencia de Industria y Comercio (SIC).

Periodos de retención:

• Archivos financieros subidos: mientras la cuenta esté activa.
• Conversaciones con el copiloto: 1 año desde la última interacción.
• Logs de auditoría: 2 años (requisito legal colombiano).
• Alertas leídas: 6 meses.
• Snapshots (health score, forecast): 2 años para análisis de tendencia.

Un administrador de la IPS puede solicitar la purga completa de todos los datos del tenant en cualquier momento desde la configuración de la cuenta o por correo a executive.team@loncocapital.com. La eliminación es irreversible.

En caso de incidente de seguridad que comprometa datos personales, notificaremos a los titulares y a la Superintendencia de Industria y Comercio (SIC) dentro de los 15 días hábiles siguientes al conocimiento del hecho, de conformidad con el artículo 17 de la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Responsable del tratamiento:

• Razón social: Lonco Capital SAS
• NIT: Pendiente de asignación
• Domicilio: Bogotá D.C., Colombia
• Correo: executive.team@loncocapital.com

Para consultas generales sobre el producto: executive.team@loncocapital.com