Cargando…
Cargando…
Lawen fue construido contra la Ley 21.719 chilena desde el primer commit — no portado desde HIPAA o GDPR con parches. Esta página resume lo que garantizamos y cómo lo probamos.
Garantías técnicas
Procesamos el audio en memoria y lo descartamos al finalizar la consulta. No queda en disco, base de datos ni backup.
Cómo lo probamos: Verificable por test automatizado que audita el schema de la base de datos.
Antes de enviar el transcript a la IA, desidentificamos los identificadores directos del paciente — RUT, teléfono, correo y número de afiliación (FONASA) — con reconocedores chilenos. El procesamiento usa un modelo de lenguaje de nivel empresarial con Zero Data Retention (ZDR) y DPA firmado: el contenido no se almacena del lado del modelo ni se usa para entrenamiento.
Cómo lo probamos: Reconocedores de patrón chilenos aplicados en la capa de servicio antes de cada llamada al LLM; cobertura verificada por tests unitarios de desidentificación.
Cada acción sobre PHI (crear, firmar, exportar, regenerar) queda en una cadena hash-encadenada. Si alguien altera evidencia, lo detectamos en la próxima verificación.
Cómo lo probamos: Verificación automática trimestral + endpoint de verificación on-demand para auditores externos.
Cada organización es invisible para las demás a nivel de motor de base de datos — no a nivel de aplicación. Un bug del backend no puede leakear datos cross-clínica.
Cómo lo probamos: Row-Level Security obligatorio en cada tabla con PHI; verificado por tests de doble tenant.
Datos clínicos cifrados en reposo a nivel de columna (cifrado autenticado). Transporte siempre HTTPS / WSS con TLS moderno.
Cómo lo probamos: Clave de cifrado rotable, separada del runtime; certificados gestionados por la plataforma cloud.
Cualquier acceso a datos clínicos requiere TOTP. No hay forma de saltar el segundo factor para acceder a PHI.
Cómo lo probamos: AAL2 enforced por el verificador de JWT; sin tokens long-lived para sesiones que toquen PHI.
Ficha clínica retenida por el plazo legal con bloqueo automático contra borrado antes del plazo.
Cómo lo probamos: Trigger SQL impide DELETE prematuro; auditoría escribe quién intentó borrar y cuándo.
Marco regulatorio
Contamos con DPA modelo, DPIA, lista completa de sub-procesadores y arquitectura técnica detallada — disponibles para revisión bajo acuerdo de confidencialidad.